Perustelut

Yleistä.

Jäsenvaltion on puitepäätösehdotuksen 3 ja 4 artiklan perusteella toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että julkisten viestintäverkkojen ja yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajien käsittelemät ja tallentamat eli puitepäätöksen mukaisesti säilytettävät viestinnän tunnistamistiedot säilytetään vähintään 12 ja enintään 36 kuukauden ajan niiden tuottamisesta.

Sääntelyä on arvioitava ennen muuta perustuslain 10 §:n 1 momentissa turvatun henkilötietojen suojan kannalta. Sääntely voi sen yksityiskohtaisesta sisällöstä riippuen muodostua merkitykselliseksi myös perustuslain 10 §:n 2 momentissa turvatun luottamuksellisen viestin salaisuuden, 12 §:n 1 momentissa turvatun sananvapauden samoin kuin perustuslain 15 §:ssä turvatun omaisuudensuojan näkökulmista.

Henkilötietojen suojasta säädetään perustuslain 10 §:n 1 momentin mukaan tarkemmin lailla. Perustuslain lakiviittaus edellyttää lainsäätäjän säätävän tästä oikeudesta (PeVM 25/1994 vp, s. 6/I), mutta jättää sääntelyn yksityiskohdat lainsäätäjän harkintaan. Tällainen perusoikeussäännös sitoo lainsäätäjän sisällöllistä harkintaa vähemmän kuin sen tapainen sääntelyvarauksen sisältävä säännös, jossa perusoikeuden todetaan olevan olemassa sen mukaan kuin lailla säädetään (esim. PeVL 51/2002 vp, s. 2/I).

Perustuslakivaliokunnan käytännön (esim. PeVL 14/2002 vp, s. 2) mukaan lainsäätäjän liikkuma-alaa rajoittaa kuitenkin se, että henkilötietojen suoja osittain sisältyy samassa momentissa turvatun yksityiselämän piiriin. Kysymys on kaiken kaikkiaan siitä, että lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Lainsäätäjän harkintaa sitoo se, että henkilötietojen suojan kannalta tärkeitä sääntelykohteita rekisteröinnissä ovat ainakin rekisteröinnin tavoite, rekisteröitävien henkilötietojen sisältö, niiden sallitut käyttötarkoitukset tietojen luovutettavuus mukaan luettuna sekä tietojen säilytysaika henkilörekisterissä ja rekisteröidyn oikeusturva, minkä lisäksi näiden seikkojen sääntelyn lain tasolla tulee olla kattavaa ja yksityiskohtaista (esim. PeVL 51/2002 vp, s. 2/I).

Henkilötietojen suojaa käsitellään myös Euroopan unionin perusoikeuskirjan 8 artiklassa. Euroopan ihmisoikeussopimuksen 8 artikla sisältää niin ikään määräyksiä jokaisen oikeudesta nauttia yksityiselämäänsä ja kirjeenvaihtoonsa kohdistuvaa kunnioitusta.

Tietojen säilyttämistarkoitus.

Puitepäätöksen tarkoituksena on helpottaa oikeudellista yhteistyötä rikosasioissa lähentämällä jäsenvaltioiden lainsäädäntöä viestien tunnistamistietojen säilyttämisestä rikosten ja rikollisten tekojen, terrorismi mukaan lukien, torjumiseksi, tutkimiseksi ja selvittämiseksi sekä niistä syytteeseen asettamiseksi. Tietojen nämä säilyttämistarkoitukset ovat perusoikeusjärjestelmän kannalta hyväksyttäviä eikä valiokunnalla siksi ole sääntelyn päämääristä huomautettavaa.

Säilytettävät tiedot.

Tietojen säilyttämisvelvollisuus kohdistuu ehdotuksen mukaan viestintäpalvelujen ja viestintäverkon tarjoajan käsittelemiin ja tallentamiin tietoihin, joihin 2 artiklan 1 kohdan mukaan sisältyvät liikenne-, paikka-, käyttäjä- ja tilaajatiedot. Puitepäätöksessä tarkoitettuja tietoja ovat 2 artiklan 2 kohdan perusteella muun ohella sellaiset tiedot, joita tarvitaan viestinnän lähteen jäljittämiseen samoin kuin lähteen tai viestintävälineen tunnistamiseen taikka viestinnän reitityksen, kohteen, kellonajan, päivämäärän ja keston määrittämiseen samoin kuin viestintätapahtuman tai viestintäpaikan määrittämiseen. Sääntelyä ei 1 artiklan 2 kohdan perusteella sovelleta vaihdettujen viestien sisältöön, jos kansallisessa lainsäädännössä on näin säädetty.

Säilyttämisvelvollisuus näyttää ehdotuksen perusteella koskevan tunnistamistietoja varsin laajasti, etenkin kun se 2 artiklan 3 ja 4 kohdan mukaisesti kohdistuu puhelintoiminnan lisäksi erinäisiin nykyisiin ja vastaisuudessa kehitettäviin puhelin- ja tietoverkkopalveluihin. Jäsenvaltio voi toisaalta poiketa sääntelystä — tai ainakin puitepäätöksen mukaisista säilytysajoista — 4 artiklan 2 kohdassa tarkoitettujen tietotyyppien osalta samassa kohdassa tarkoitettujen viestintämenetelmien yhteydessä.

Valtioneuvoston kirjelmän liitteenä olevan muistion mukaan säilyttämisvelvoite käsittää kuitenkin vain teleyrityksen laillisessa liiketoimintaintressissä luodut, yrityksen hallussa jo olevat tiedot. Ehdotetun säännöstekstin perusteella tällaista rajausta on hankala päätellä. Rajaukseen tosin voidaan katsoa viitattavan joillakin säännöksissä käytetyillä ilmaisuilla ("käsittelemät ja tallentamat tiedot") samoin kuin 1 artiklan 4 kohdan siinä säännöksessä, jonka mukaan puitepäätös ei rajoita kansallisia määräyksiä sellaisten tietotyyppien tallentamisesta, joita viestintäpalvelun tarjoaja ei säilytä kaupallisiin tarkoituksiin. Tämä säännös on kuitenkin ristiriidassa puitepäätösehdotuksen johdannon 6 kappaleessa olevan sen maininnan kanssa, jonka mukaan puitepäätös koskee tietojen "säilyttämistä", ei niiden "tallentamista".

Valiokunta pitää puitepäätöksen täsmentämistä tältä osin tärkeänä. Säilyttämisvelvollisuuden vähimmäissisällön kannalta on aivan olennaista, mihin tietoihin tai tietotyyppeihin velvollisuus ulottuu. Tällaisten sääntelyn kannalta olennaisten seikkojen ja rajausten tulee käydä puitepäätöksen säännöksistä ilmi ehdotettua täsmällisemmin.

Säilyttämisvelvollisuuden mahdollinen ulottaminen yritysten nykyisin tallentamien tietojen lisäksi uusiin tietotyyppeihin ja viestintämenetelmiin voi muodostua ongelmalliseksi myös sääntelyn oikeasuhtaisuuden näkökulmasta. Siksi valiokunta yhtyy valtioneuvoston kantaan säilyttämisvelvoitteen kohdentamisesta sellaisiin teleyrityksen hallussa oleviin tunnistamistietoihin, joita jo säilytetään useita kuukausia verkko- ja viestintäpalvelujen teknisen toteuttamisen osana.

Säilyttämisvelvolliset.

Ehdotettu sääntely kohdistuu julkisten viestintäverkkojen ja yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajiin. Tältä osin sääntely näyttää muodostuvan varsin laajaa toimijoiden joukkoa koskevaksi.

Perustuslakivaliokunta on aiemmin (PeVM 14/2002 vp, s. 3/II) katsonut erityisesti tietoverkoissa harjoitettavan viestinnän poikkeavan perinteisemmistä viestinnän muodoista muun ohella siinä, että verkkoja käyttävät poikkeuksellisen paljon myös yksityishenkilöt samoin kuin kansalaisjärjestöt ja vastaavat yhteisöt. Valiokunta ei siksi ole pitänyt samanlaisten velvoitteiden asettamista esimerkiksi yksityishenkilöille ja viestintäyhtiöille kaikilta osin perusteltuna. Tällainen sääntely voisi käytännössä kaventaa yksityisten henkilöiden mahdollisuuksia käyttää sananvapautta verkossa. Viestinnän tunnistamistietoihin kohdistuvan laajan säilyttämisvelvollisuuden ulottaminen erilaisiin toimijoihin voi valiokunnan aiemman arvion mukaan muodostua ongelmalliseksi esimerkiksi yksityisille henkilöille ja kansalaisjärjestöille. Tällaiseen sääntelyyn liittyy riskejä myös henkilötietojen suojan kannalta (PeVM 14/2002 vp, s. 6/I).

Ehdotettu tunnistamistietojen säilyttämisvelvollisuus ei valtioneuvoston kirjelmän liitteenä olevan muistion mukaan kohdistu teleyritysten lisäksi muihin palvelun tarjoajiin tai sellaisiin yhteisöihin, jotka käyttävät teleyritysten tarjoamia viestintäpalveluita (yhteisötilaajiin). Tämä ei käy puitepäätösehdotuksen säännöstekstistä selvästi ilmi. Perustuslakivaliokunta pitää edellä esitetyn perusteella tärkeänä, että sääntelyn kohteen tämän kaltaisesta rajauksesta otetaan riittävän tarkat säännökset puitepäätökseen.

Tunnistamistietojen säilytysajat.

Tunnistamistietojen säilyttämisaika on 4 artiklan 1 kohdan perusteella 12—36 kuukautta tietojen tuottamisesta. Jäsenvaltio voi kuitenkin kansallisin perustein soveltaa myös pidempiä säilyttämisaikoja tai päättää poiketa 1 kohdan mukaisista vaatimuksista 2 kohdassa tarkoitettujen tietotyyppien osalta samassa kohdassa tarkoitettujen viestintämenetelmien yhteydessä.

Tunnistamistietojen säilyttämiseen liittyy valiokunnan mielestä aina riskejä yhtä hyvin luottamuksellisen viestinnän suojan kuin henkilötietojen suojan kannalta. Riskit kasvavat, mitä kauemmin tietoja säilytetään. Siksi valiokunta on aiemmin katsonut, että esimerkiksi laskutuksessa tarvittavat tunnistamistiedot tulisi poistaa melko pian laskun suorittamisen jälkeen, ja pitänyt kolmen vuoden säilyttämisaikaa yleisen henkilötietolainsäädännön kannalta poikkeuksellisen pitkänä (PeVL 26/1998 vp, s. 3).

Puitepäätösehdotuksen perusteella jäsenvaltio ei ole velvollinen ottamaan käyttöön yhtä vuotta pitempää säilytysaikaa, minkä lisäksi jäsenvaltiolla on mahdollisuus poiketa joiltakin osin puitepäätöksen mukaisista säilytysajoista. Sääntely ei tältä osin muodostu perustuslain kannalta ongelmalliseksi varsinkaan, jos valiokunnan edellä esittämät huomautukset säilyttämisvelvollisuuden vähimmäissisältöä ja säilyttämisvelvollisia koskevien säännösten täsmentämisestä otetaan ehdotuksen jatkovalmistelussa asianmukaisesti huomioon. Mitä suurempi nimittäin on säilytettävien tietojen ja tietotyyppien määrä ja mitä laajempi on säilyttämisvelvollisten piiri, sitä ongelmallisemmiksi voivat sääntelyn oikeasuhtaisuuden näkökulmasta muodostua myös tietojen pitkähköt säilyttämisajat. Tällöin sääntely voi tulla arvioitavaksi myös perustuslaissa turvatun omaisuudensuojan näkökulmasta.

Säilytettävien tietojen luovuttaminen.

Jäsenvaltion pyyntö toiselle jäsenvaltiolle tunnistamistietoihin pääsystä on 5 artiklan mukaan tehtävä ja pyyntöön on vastattava rikosasioissa tehtävää oikeudellista yhteistyötä koskevien välineiden mukaisesti. Pyynnön vastaanottava jäsenvaltio voi asettaa pyyntöön suostumiselle sellaisia ehtoja, joita olisi noudatettava myös vastaavassa kansallisessa tapauksessa.

Tunnistamistietojen luovuttamisedellytykset jäävät ehdotuksen perusteella jäsenvaltion kansallisessa lainsäädännössä säänneltäviksi. Siksi ehdotuksesta ei ole huomautettavaa perustuslain 10 §:ssä turvatun luottamuksellisen viestin salaisuuden näkökulmasta.