ARBETSLIVS- OCH JÄMSTÄLLDHETSUTSKOTTETS UTLÅTANDE 14/2008 rd

AjUU 14/2008 rd - RP 48/2008 rd

Granskad version 2.0

Regeringens proposition med förslag till lag om ändring av lagen om dataskydd vid elektronisk kommunikation och vissa lagar som har samband med den

Till kommunikationsutskottet

INLEDNING

Remiss

Riksdagen remitterade den 29 april 2008 en proposition med förslag till lag om ändring av lagen om dataskydd vid elektronisk kommunikation och vissa lagar som har samband med den (RP 48/2008 rd) till kommunikationsutskottet för beredning och bestämde samtidigt att arbetslivs- och jämställdhetsutskottet ska lämna utlåtande i ärendet till kommunikationsutskottet.

Sakkunniga

Utskottet har hört

konsultativ tjänsteman Sanna Helopuro, kommunikationsministeriet

lagstiftningsråd Helena Hynynen, justitieministeriet

regeringsråd Raila Kangasperko, arbets- och näringsministeriet

chefsjurist Timo Koskinen, Finlands Fackförbunds Centralorganisation FFC rf

jurist Anja Lahermaa, Tjänstemannacentralorganisationen FTFC rf

jurist Paula Ilveskivi, Akava r.f.

specialrådgivare Mikko Nyyssölä, Finlands näringsliv

juridisk expert Outi Tähtinen, Företagarna i Finland rf

ordförande Antti Rinne, Tjänstemannaunionen TU rf

chef för juridiska ärenden Satu Kangas, Mediernas Centralförbund

överinspektör Sari Kajantie, Centralkriminalpolisen

jurist Aino Rättyä, Elisa Abp

konsulteringschef Olavi Köngäs, Netum Oy

säkerhetschef Rauno Hammarberg och jurist Mikko Niva, Nokia Abp

jurist Krister Kaipio, TeliaSonera Abp

dataombudsman Reijo Aarnio

professor Seppo Koskinen

Dessutom har skriftligt utlåtande lämnats av Kommunikationsverket.

PROPOSITIONEN

Regeringen föreslår att lagen om dataskydd vid elektronisk kommunikation ska ändras. Dessutom föreslås vissa främst tekniska ändringar i lagen om integritetsskydd i arbetslivet, lagen om samarbete inom företag och lagen om samarbete inom statens ämbetsverk och inrättningar.

Sammanslutningsabonnenternas rätt att behandla identifieringsuppgifter för teknisk utveckling och för att reda ut olovlig användning av avgiftsbelagda informationssamhällstjänster eller kommunikationsnät och användning som strider mot anvisningarna för kommunikationstjänster ska förtydligas. Förslaget innebär att teleföretagen, de som tillhandahåller mervärdestjänster och sammanslutningsabonnenterna på vissa villkor ges rätt att med hjälp av automatisk databehandling behandla identifieringsuppgifter för statistisk analys.

Genom förslaget ges sammanslutningsabonnenterna rätt att på vissa villkor behandla identifieringsuppgifter, om det finns misstanke om olovligt röjande av företagshemligheter som är av central betydelse för näringsverksamheten. Sammanslutningsabonnenterna ska få behandla uppgifter om bland annat avsändare och mottagare av elektronisk post samt tidpunkten för kommunikationen, men inte innehållet i meddelandet.

Genom förslaget förbättras möjligheterna för teleföretag, tillhandahållare av mervärdestjänster och sammanslutningsabonnenter att ha hand om datasäkerheten i kommunikationsnät och kommunikationstjänster.

Dataombudsmannen ska övervaka bestämmelserna om sammanslutningsabonnenternas behandling av identifieringsuppgifter i missbruksfall. Dessutom föreslås Kommunikationsverket få mer omfattande rättigheter att lämna ut uppgifter i syfte att förebygga och utreda kränkningar av dataskyddet.

Lagarna avses träda i kraft den 1 januari 2009.

UTSKOTTETS ÖVERVÄGANDEN

Motivering

Allmänt

Arbetslivs- och jämställdhetsutskottet har behandlat ärendet utifrån sitt eget ansvarsområde och koncentrerat sig på frågor kring arbetsgivarens rätt att behandla identifieringsuppgifter som gäller arbetstagarnas kommunikation.

Även grundlagsutskottet har ombetts lämna utlåtande, men utlåtandet har inte kommit än. Arbetslivs- och jämställdhetsutskottet ser det som väsentligt och viktigt att grundlagsutskottet yttrar sig, eftersom ärendet hänger samman med de grundläggande fri- och rättigheterna på många sätt.

Den gällande lagens bestämmelser om behandling av identifieringsuppgifter är på mycket allmän nivå och det har varit problematiskt att tillämpa dem. Därför är det viktigt med klara bestämmelser som går att tillämpa utan problem.

Nu föreslås ett system där sammanslutningsabonnenterna är skyldiga att i första hand på annat sätt se till informationssäkerheten. Således kan propositionen anses främja den rätt till informationssäkerhet som är nödvändig med tanke på den dagliga utvecklingen i informationssamhället. Eftersom Finland är ett av de ledande länderna inom produktutveckling och högteknologi har vi ett särskilt nationellt intresse av att skydda affärshemligheter också.

Dataskyddet i arbetslivet

Dataskyddet i arbetslivet regleras i lagen om integritetsskydd i arbetslivet, som nu föreslås bli kompletterad med en hänvisning till lagen om dataskydd vid elektronisk kommunikation. Hänvisningen gäller behandling av identifieringsuppgifter.

Utskottet har i många sammanhang framhållit att kraven på tydlighet och begriplighet i arbetslivslagstiftningen är mycket högre än i annan lagstiftning, eftersom bestämmelserna måste kunna tolkas utan juridisk expertis på alla arbetsplatser.

Det föreliggande förslaget till lag om dataskydd vid elektronisk kommunikation handlar om frågor som är svåra att få grepp om och där används många termer som är främmande i vardagslivet. Exempelvis är arbetsgivaren och arbetstagaren i regel sammanslutningsabonnent och användare. Men sammanslutningsabonnent är inte detsamma som arbetsgivare. I en del bestämmelser står det "Om sammanslutningsabonnenten är arbetsgivare".

Många bestämmelser om behandling av identifieringsuppgifter i lagen om dataskydd vid elektronisk kommunikation gäller inte bara sammanslutningsabonnenter (arbetsgivare) utan också teleföretag och företag som tillhandahåller mervärdestjänster. Det gör bestämmelserna ännu mer komplicerade och svårbegripliga. Ändå måste man följa bestämmelserna på arbetsplatserna och i samarbetsförfarande hantera system, procedurer och anvisningar som gäller utredning av identifieringsuppgifter och användning av kommunikationstjänster som arbetsgivaren tillhandahåller.

Utskottet anser att lagförslaget lämnar mycket övrigt att önska när det gäller begriplighet med beaktande av att bestämmelserna ska kunna tillämpas på arbetsplatser där varken arbetsgivaren eller personalen är experter på IT eller lagstiftning. Ett annat alternativ är att i lagen om integritetsskydd i arbetslivet ta in bestämmelser om arbetsgivarens rätt att behandla identifieringsuppgifter som gäller arbetstagares kommunikation.

De svårtolkade bestämmelserna är en stor utmaning för såväl myndigheter som arbetsmarknadsorganisationer när det gäller utbildning och information för att man ska kunna följa lagen på arbetsplatserna. Innan lagen träder i kraft är det viktigt att lägga upp lättlästa anvisningar om hur bestämmelserna ska tolkas, så att arbetsplatserna kan införa lagenliga procedurer. Det är nödvändigt att gå ut med information om lagstiftningens innehåll via olika informationskanaler så att man når så många arbetsgivare och arbetstagare som möjligt.

Om att förebygga och utreda missbruk

Enligt lagförslaget ska man bara i sista hand behandla identifieringsuppgifter. I första hand ska arbetsgivaren skydda sina kommunikationsnät, kommunikationstjänster och företagshemligheter genom att förbättra informationssäkerheten och komma med skriftliga anvisningar om hur arbetstagarna får använda nätet och tjänsterna.

Det är mycket viktigt att förbättra informationssäkerhet och anvisningar, anser utskottet. På så sätt kan man förebygga problem och undvika att behöva behandla identifieringsuppgifter. För att arbetstagarna ska kunna förbereda sig för omställningar enligt nya regler är det påkallat att precisera lagförslaget så att arbetsgivaren bara får behandla sådana identifieringsuppgifter som finns från den tid då informationssäkerheten redan förbättrats och anvisningarna om användningen varit gällande och arbetstagarna haft kännedom om dem.

Det är särskilt viktigt att man på arbetsplatserna behandlar behovet av informationssäkerhet och spelreglerna för kommunikation så öppet som möjligt så som avses i samarbetslagstiftningen och tillsammans med alla berörda arbetstagare. Om man behandlar informationssäkerheten på bred front och utformar spelreglerna tillsammans med personalen underlättar man för personalen att känna till reglerna och följa dem. Då uppstår inget behov av att utreda missbruk.

Det är angeläget med tanke på både arbetsgivaren och arbetstagarna att öppet och fördomsfritt diskutera och fundera på vad det finns för fördelar och nackdelar med att arbetstagarna använder arbetsgivarens redskap för egna ändamål. Man bör också komma överens om användningsvillkor som lämpar sig för just det företaget och dess personal. Lagen berör stora och små företag och alla sektorer på samma sätt, så det är naturligt att samma regler inte är lämpliga i varje enskilt fall.

Utskottet anser att rätten att behandla identifieringsuppgifter förutsätter att arbetsgivaren skaffar sådana datasystem som gör det lätt att vid behov ta reda på om någon har undersökt identifieringsuppgifter eller öppnat meddelanden utan lov. För att det ska gå att övervaka i efterhand och utreda eventuella kränkningar av kommunikationshemligheten, måste informationen om huruvida identifieringsuppgifter undersökts och meddelanden öppnats finnas kvar tillräckligt länge.

Om att utreda röjande av företagshemligheter

Den gällande lagen tillåter inte behandling av identifieringsuppgifter i syfte att utreda om företagshemligheter röjts. Enligt lagförslaget ska arbetsgivaren kunna behandla identifieringsuppgifter i detta syfte på de villkor som anges i lagen. Rätten gäller inte identifieringsuppgifter för telefonitjänster i det fasta eller mobila telefonnätet.

Företagshemligheter kan avslöjas på många olika sätt (personligt möte, per telefon eller post osv.). Det är inte så sannolikt att man i någon större utsträckning använder sig av e-post. Ändå kan det anses motiverat att det ska vara möjligt att på något sätt övervaka om företagshemligheter avslöjas via e-post.

I motiven till propositionen står det att röjande av företagshemligheter bara i undantagsfall kan utredas fullständigt med hjälp av de uppgifter som enligt de gällande bestämmelserna är åtkomliga. Det framgår inte om de föreslagna ändringarna avses ge företagen möjlighet att utreda röjande av företagshemligheter "i deras helhet" eller vad som avses med detta. Företagen kan redan i dagsläget använda system med register över vem som har redigerat, sparat, skrivit ut och flyttat information. De får också undersöka uppgifterna i registret.

För att få behandla identifieringsuppgifter behöver polisen enligt tvångsmedelslagen teleövervakningstillstånd av en domstol. Tillståndet beviljas bara för utredning av vissa grova brott. Röjande av företagshemligheter hör inte till dessa brott. Utskottet vill inte låta ett slags gråzon uppstå där det inte alls går att reda ut om företagshemligheter avslöjats per e-post. Det är därför påkallat att kommunikationsutskottet undersöker om gränsdragningen mellan arbetsgivarens och polisens befogenheter är rationell och motiverad.

Enligt 13 d § 3 mom. 2 punkten i lagförslaget får identifieringsuppgifter användas bara om det är fråga om en företagshemlighet som är väsentlig för näringsverksamheten. Enligt ett utlåtande från kommunikationsministeriet kan väsentliga företagshemligheter anses vara information som ska hanteras och skyddas enligt särskilda regler och särskild skyddspraxis som näringsidkaren utarbetat, så som det föreskrivs i 13 b §. Utskottet anser att bestämmelsen bör preciseras så som ministeriet föreslår för att det inte ska bli problematiskt att tillämpa den.

Det skydd som eftersträvas i lagförslaget gäller också väsentliga företagshemligheter som sammanslutningsabonnenternas samarbetspartner har. Företagen arbetar allt oftare i nätverk och därför blir det vanligare att de innehar andra företags företagshemligheter som kan vara väsentliga. Men det redogörs inte närmare i propositionen för hurdana situationer som kan uppstå och vilket ansvar som bärs av den som tar emot information då en arbetstagare erbjuder sig att lämna ut uppgifter eller ett konkurrerande företag eller en samarbetspartner vill dra nytta av informationen och därför lockar en arbetstagare att lämna ut den. Utskottet anser att också de här frågorna bör redas ut.

Tillsyn och uppföljning

Enligt lagförslaget är det dataombudsmannen som ska övervaka sammanslutningsabonnenternas behandling av identifieringsuppgifter. I motiven står det att dataombudsmannens byrå är en liten enhet och därför inte genom intern omstrukturering kan anvisa resurser för den nya tillsynsuppgiften. För att tillsynen ska kunna genomföras i enlighet med lagförslaget behövs det två sakkunniga och en kontorsanställd till, vilket kräver ett anslagstillskott på uppskattningsvis 260 000 euro per år. Sammanslutningsabonnenten ska kunna påföras en tillsynsavgift.

Utskottet ser det som angeläget att det avdelas tillräckligt med resurser för tillsyn så att bestämmelserna kan övervakas effektivt. Dataombudsmannens byrå kan väntas få många frågor om lagens innehåll och tillämpning, så det behövs också resurser för rådgivning och vägledning. Samtidigt bör lagens konsekvenser och tillsynens effektivitet bevakas och utvärderas.

Straffbestämmelsen

Garantierna för rättssäkerhet i fråga om den föreslagna behandlingen av identifieringsuppgifter kan enligt motiven till propositionen anses vara jämförbara med rättssäkerhetsarrangemangen i lagen om integritetsskydd i arbetslivet. Men enligt straffbestämmelsen i 42 § ska lagstridig behandling av identifieringsuppgifter vara straffbar bara om den är uppsåtlig. Brott mot lagen om integritetsskydd i arbetslivet är straffbara också om arbetsgivaren eller en företrädare för denne har handlat av grov oaktsamhet.

Det framgår inte av motiven varför brott mot dataskydd vid elektronisk kommunikation ska vara straffbara bara om de är uppsåtliga. Kommunikationsutskottet bör utreda om det ska vara straffbart att olovligen använda identifieringsuppgifter och försumma att lämna lagfästa utredningar och anmälningar på grund av uppsåt eller grov oaktsamhet.

Övrigt

Utskottet påpekar att 13 f § i lagförslaget innehåller en felaktig hänvisning till 13 d § 1 mom., eftersom detta moment bara föreskriver om automatisk behandling. Lagförslaget saknar kapitelrubriker, vilket gör det svårare att få grepp om lagen.

Utlåtande

Arbetslivs- och jämställdhetsutskottet föreslår

att kommunikationsutskottet beaktar det som sägs ovan.

Helsingfors den 12 juni 2008

I den avgörande behandlingen deltog

  • ordf. Arto Satonen /saml
  • vordf. Jukka Gustafsson /sd
  • medl. Susanna Haapoja /cent
  • Hannakaisa Heikkinen /cent
  • Anna-Maja Henriksson /sv
  • Arja Karhuvaara /saml (delvis)
  • Johanna Karimäki /gröna
  • Merja Kuusisto /sd
  • Esa Lahtela /sd
  • Jari Larikka /saml
  • Markus Mustajärvi /vänst
  • Paula Sihto /cent
  • Katja Taimela /sd
  • Tarja Tallqvist /kd (delvis)
  • Jyrki Yrttiaho /vänst
  • ers. Lenita Toivakka /saml
  • Henna Virkkunen /saml

Sekreterare var

utskottsråd Ritva Bäckström

AVVIKANDE MENING

Motivering

Det finns ett klart behov av att se över lagstiftningen om elektronisk kommunikation och övervakningen av den. Den gällande lagens bestämmelser om behandling av identifieringsuppgifter är ytliga och svåra att tolka. Kommunikation per e-post har blivit en grå zon som inte kunnat övervakas av arbetsgivarföretag, myndigheter eller polis ens om det funnits skäl att misstänka att företagshemligheter röjts. Varje företag har rätt till resultatet av sitt eget arbete och materiellt och immateriellt kapital. Men i vissa fall har det varit svårt att skydda dessa mot missbruk.

Om propositionen genomförs kommer den att möjliggöra behandling av identifieringsuppgifter i syfte att råda bot på olovlig användning av kommunikationsnät och regelvidrig användning av kommunikationstjänster. Likaså gör den det möjligt att hindra att företagshemligheter som är väsentliga för näringsverksamheten avslöjas olovligt med hjälp av elektronisk kommunikation. Om man använder arbetsgivarens e-postsystem för att röja företagshemligheter motsvarar det alltså en situation där en maskerad bankrånare rånar en bank och går till nästa kassa för att sätta in bytet på sitt eget konto.

Språkdräkten och begreppsapparaten i propositionen åskådliggör att det är ett känsligt område när det gäller tekniska aspekter på elektronisk kommunikation och anknytande reglering på arbetsplatser, där de olika parterna har vissa fast förankrade rättigheter och skyldigheter. Den tjänsteman som svarar för propositionen kom med en träffande beskrivning i en egen promemoria, nämligen att det gäller att samordna tekniska, affärsrelaterade och juridiska krav, som sinsemellan inte är helt friktionsfria.

Vad vi förstår utgår propositionen i mycket stor utsträckning från företagens behov. Även om de i sig är motiverade finns det skäl att fundera på om man hade nått samma mål på något annat sätt utan att riskera integritetsskyddet i ett läge där teknologin, systemen och arbetslivet överhuvudtaget förändras mycket snabbt. De sakkunniga kunde inte ge något uttömmande svar på den grundläggande frågan, "vem övervakar övervakaren". Exempelvis dataombudsmannens byrå har mycket begränsade resurser.

Villkoren för kommunikation per e-post kommer att bli jämförbara med att normal post skickas i ett öppet kuvert men alla som är involverade i postgången är förbjudna att läsa innehållet.

Förslaget till lag om dataskydd vid elektronisk kommunikation och vissa anknytande lagar skulle ha haft två alternativ som inte skulle ha väckt lika stora misstankar om att integritetsskyddet ställs på spel. Med tanke på praxis i arbetslivet skulle det för det första ha varit bättre att i lagen om integritetsskydd i arbetslivet ta in lämpliga bestämmelser om arbetsgivarens rätt att behandla identifieringsuppgifter som gäller arbetstagares kommunikation. Det andra alternativet hade varit att utöka och precisera polisens befogenheter så att polisen i dessa fall skulle få behandla identifieringsuppgifter.

Ståndpunkt

Vi föreslår

att lagförslagen förkastas.

Helsingfors den 12 juni 2008

  • Markus Mustajärvi /vänst
  • Jyrki Yrttiaho /vänst
  • Esa Lahtela /sd
  • Merja Kuusisto /sd
  • Katja Taimela /sd
  • Jukka Gustafsson /sd
  • Tarja Tallqvist /kd