HALLINTOVALIOKUNNAN LAUSUNTO 32/2008 vp

HaVL 32/2008 vp - HE 48/2008 vp

Tarkistettu versio 2.0

Hallituksen esitys sähköisen viestinnän tietosuojalain ja eräiden siihen liittyvien lakien muuttamisesta

Liikenne- ja viestintävaliokunnalle

JOHDANTO

Vireilletulo

Eduskunta on 29 päivänä huhtikuuta 2008 lähettäessään hallituksen esityksen sähköisen viestinnän tietosuojalain ja eräiden siihen liittyvien lakien muuttamisesta (HE 48/2008 vp) valmistelevasti käsiteltäväksi liikenne- ja viestintävaliokuntaan samalla määrännyt, että hallintovaliokunnan on annettava asiasta lausunto liikenne- ja viestintävaliokunnalle.

Asiantuntijat

Valiokunnassa ovat olleet kuultavina

neuvotteleva virkamies Sanna Helopuro, liikenne- ja viestintäministeriö

johtava toiminnantarkastaja Tomi Voutilainen, Valtiontalouden tarkastusvirasto

lainsäädäntöneuvos Helena Hynynen, oikeusministeriö

poliisijohtaja Kimmo Hakonen, sisäasiainministeriö

hallitusneuvos Raila Kangasperko, työ- ja elinkeinoministeriö

tietosuojavaltuutettu Reijo Aarnio

lakimies Jarkko Saarimäki, Viestintävirasto

asiantuntija Mikko Nyyssölä, Elinkeinoelämän keskusliitto EK ry

lakimies Heikki Sipiläinen, Julkisten ja hyvinvointialojen liitto JHL ry

professori Olli Mäenpää

Lisäksi kirjallisen lausunnon ovat antaneet

  • Palkansaajajärjestö Pardia ry
  • FiCom ry
  • professori Kaarlo Tuori.

HALLITUKSEN ESITYS

Esityksessä ehdotetaan muutettavaksi sähköisen viestinnän tietosuojalakia. Yksityisyyden suojasta työelämässä annettuun lakiin, yhteistoiminnasta yrityksissä annettuun lakiin sekä yhteistoiminnasta valtion virastoissa ja laitoksissa annettuun lakiin ehdotetaan lisäksi eräitä lähinnä teknisiä muutoksia.

Yhteisötilaajien oikeuksia käsitellä tunnistamistietoja teknistä kehittämistä varten sekä maksullisten tietoyhteiskunnan palvelujen ja viestintäverkkojen luvattoman käytön tai viestintäpalvelujen ohjeiden vastaisen käytön selvittämiseksi selkeytettäisiin. Teleyrityksille, lisäarvopalvelun tarjoajille ja yhteisötilaajille annettaisiin tietyin edellytyksin oikeus käsitellä tunnistamistietoja automaattisen tietojenkäsittelyn avulla tilastollista analyysiä varten.

Yhteisötilaajille annettaisiin tietyin edellytyksin oikeus käsitellä tunnistamistietoja, jos epäillään elinkeinotoiminnan kannalta keskeisten yrityssalaisuuksien luvatonta paljastamista. Yhteisötilaajat saisivat käsitellä tietoa muun muassa sähköpostiviestien lähettäjästä ja vastaanottajasta sekä lähetysajasta, mutta eivät viestin sisältöä.

Ehdotuksella parannettaisiin teleyritysten, lisäarvopalvelun tarjoajien ja yhteisötilaajien mahdollisuutta huolehtia viestintäverkkojen ja -palvelujen tietoturvasta.

Tietosuojavaltuutettu valvoisi yhteisötilaajien tunnistamistietojen käsittelyä väärinkäytöstilanteissa. Lisäksi Viestintävirastolla olisi aikaisempaa laajempi oikeus luovuttaa tietoja tietoturvaloukkausten ehkäisemiseksi ja selvittämiseksi.

Lait on tarkoitettu tulemaan voimaan 1 päivänä tammikuuta 2009.

VALIOKUNNAN KANNANOTOT

Perustelut

Yleistä

Hallituksen esityksessä on kysymys toimijalle, joka on yleensä työnantajan asemassa, annettavasta oikeudesta käsitellä tietyin edellytyksin tunnistamistietoja työntekijän ja kolmannen tahon välisestä sähköisestä viestinnästä. Yhteisötilaajalla on 1. lakiehdotuksen perusteella oikeus käsitellä sähköisen viestinnän tunnistamistietoja viestintäverkkonsa sekä maksullisten tietoyhteiskunnan palvelujen luvattoman käytön ja viestintäpalvelujen ohjeen vastaisen käytön selvittämiseksi. Yhteisötilaajalla tarkoitetaan sähköisen viestinnän tietosuojalain (516/2004) 2 §:n mukaan viestintäpalvelun tai lisäarvopalvelun tilaajana olevaa yritystä tai yhteisöä. Ehdotetut tunnistamistietojen käsittelyoikeudet eivät oikeuta yhteisötilaajia saamaan tietoa viestien sisällöstä.

Tunnistamistietojen käsittely edellyttää, että yhteisötilaaja on täyttänyt laissa määritellyt velvoitteet ennakollisen tietoturvallisuuden korkean tason turvaamiseksi ja yrityssalaisuuksiensa suojaamiseksi. Työnantaja-asemassa olevan yhteisötilaajan on lisäksi otettava tunnistamistietojen käsittelyyn liittyvät asiat käsiteltäviksi yhteistoimintamenettelyssä ja tiedotettava niistä työntekijöille. Ehdotettujen muutosten mahdollistamaa yhteisötilaajien tunnistamistietojen käsittelyä valvoo tietosuojavaltuutettu.

Mikäli edellytykset tunnistamistietojen käsittelylle ovat olemassa, yhteisötilaaja saa käsitellä tunnistamistietoja automaattisen hakutoiminnon avulla ja tietyin edellytyksin myös manuaalisesti (13 d §). Automaattisen haun tarkoituksena on erottaa manuaalisesti käsiteltäviksi väärinkäytöksiin liittyvien viestien tunnistamistiedot. Näitä voivat käsitellä vain yhteisötilaajan viestintäverkon ja viestintäpalvelun ylläpidosta ja tietoturvasta sekä turvallisuudesta huolehtivat henkilöt. Väärinkäytöksiin liittyvien viestien osalta tietoon tulevat hallituksen esityksen mukaan ainoastaan viestien osapuolia koskevat tiedot. Viestien sisällöstä yhteisötilaaja ei tällöinkään ole oikeutettu saamaan tietoa. Lakiehdotuksen 42 § sisältää rangaistussäännökset lain vastaisen toiminnan varalta.

Hallituksen esityksen tarvetta on perusteltu sillä, että voimassa olevan lain ei ole katsottu sallivan yhteisötilaajan kerätä väärinkäytöksistä itse näyttöä. Sähköisen viestinnän avulla toteutettujen väärinkäytösten selvittämisessä ja esitutkintaan saamisessa on myös ilmennyt ongelmia, joita ei ole lakia säädettäessä osattu ennakoida. Toisaalta tietoturvauhat ovat lain säätämisen jälkeen olennaisesti muuttuneet ja laaja-alaistuneet.

Poliisin toimivaltuudet

Esitystä valmisteltaessa on arvioitu mahdollisuutta antaa väärinkäytösten selvittäminen yksin poliisin tehtäväksi. Yhteisötilaajien määrän, vikatilanteiden ja väärinkäytösten moninaisuuden, järjestelmien erilaisuuden ja tehtävien vaatimien resurssien laajuuden vuoksi tätä vaihtoehtoa ei kuitenkaan ole pidetty toteuttamiskelpoisena. Esityksen kohteena ovat yhteisötilaajien omien viestintäjärjestelmien päivittäiseen ylläpitoon liittyvät tehtävät, joista kukin yhteisötilaaja huolehtii itse.

Yrityssalaisuuksiin kohdistuvat rikokset ja luvaton käyttö ovat pääsääntöisesti asianomistajarikoksia. Tämä tarkoittaa sitä, että asianomistajan on ilmoitettava rikos syytteeseen pantavaksi. Esitutkintalain (449/1987) 2 §:n mukaan poliisin tai muun esitutkintaviranomaisen toimittaman esitutkinnan edellytyksenä on, että sille tehdyn ilmoituksen perusteella tai muutoin on syytä epäillä, että rikos on tehty. Voimassa olevan sähköisen viestinnän tietosuojalain ei ole katsottu kuitenkaan sallivan, että yhteisötilaaja kerää väärinkäytöksistä itse näyttöä. Asianomistajan tekemän rikosilmoituksen jälkeen esitutkinnan suorittaa poliisi. Hallintovaliokunta korostaa, että yhteisötilaajan suorittama tunnistamistietojen käsittely pitää olla sallittua ainoastaan siinä laajuudessa, että yhteistötilaaja pystyy riittävällä tavalla yksilöimään poliisille osoitettavan rikosilmoituksen tai tutkintapyynnön.

Yhteisötilaajan asema ja velvollisuudet

Yritysten ja muiden yhteisötilaajien tulee ensisijaisesti pyrkiä suojaamaan viestintäverkkonsa ja -palvelunsa sekä yrityssalaisuutensa käyttäjähallinto- ja tietoturvatoimenpitein. Palveluiden käyttäjille on tämän lisäksi annettava selkeät ohjeet, joissa määritellään yrityssalaisuuksien sallitut ja kielletyt käsittelytavat. Tunnistamistietojen käsittely on vasta viimesijainen keino. Yhteisötilaajan velvollisuus on avoimesti selvittää myös tunnistamistietojen käsittelyn perusteet ja tiedottaa niistä käyttäjille. Yhteistötilaajan tiedottamisvastuu sekä toimenpiteiden painottuminen tietoturvasta huolehtimiseen ja yrityssalaisuuksien suojaamiseen ovat välttämätön edellytys sille, että työnantajalle nyt säädettävällä lailla sähköisen viestinnän tietosuojalain muuttamisesta annettavat valtuudet nauttivat myös työntekijöiden luottamusta.

Jos tunnistamistietojen käsittelyyn on väärinkäytöstapauksissa kuitenkin ryhdyttävä, käsittely pitäisi hallintovaliokunnan mielestä kuitenkin aina pyrkiä tekemään ensimmäisessä vaiheessa automaattisen hakutoiminnon avulla. Se voi perustua viestien kokoon, yhteenlaskettuun kokoon, tyyppiin, määrään, yhteystapaan tai kohdeosoitteisiin. Manuaalisesti yhteisötilaajan tulisi käsitellä tunnistamistietoja vasta, jos automaattisen hakutoiminnon avulla on havaittu viestinnässä poikkeama.

Jos yhteistötilaaja ryhtyy tunnistamistietojen manuaaliseen käsittelyyn väärinkäytöstapauksissa, sillä on velvollisuus tiedottaa asiasta. Työpaikalla asia käsitellään yhteistoimintamenettelyssä (13 g §). Käyttäjälle, jonka tietoja on manuaalisesti käsitelty, ilmoitetaan kirjallisesti käsittelystä sekä siitä, millä perusteella käsittelyyn on ryhdytty (13 e §). Käsittelyoikeuksia valvoo tietosuojavaltuutettu, jolle annetaan etu- ja jälkikäteiset selvitykset tunnistamistietojen käsittelystä (13 h §). Valiokunta pitää työnantajan tiedotus- ja ilmoitusvelvollisuutta sekä velvollisuutta antaa tietosuojavaltuutelle etu- ja jälkikäteisiä selvityksiä nyt käsiteltävän hallituksen esityksen kokonaisuuden kannalta olennaisina velvoitteina. Tiedon saaminen tunnistamistietojen manuaalisen käsittelyn kohteeksi joutumisesta on puolestaan viestintäverkon tai viestintäpalvelun käyttäjän kannalta keskeinen oikeusturvakysymys.

Yhteisötilaajaan kohdistuvat oikeudet ja velvoitteet kohdistuvat myös viranomaisiin, koska myös valtio ja kunnat voivat olla lakiehdotuksen tarkoittamia yhteisötilaajia. Sääntely on muotoiltu sillä tavoin neutraalisti, että se valiokunnan mielestä soveltuu tarvittaessa myös viranomaisten toimintaan. Säännökset yrityssalaisuuksien luvattomasta paljastamisesta eivät kuitenkaan pääsäännön mukaan voine tulla viranomaisissa sovellettaviksi.

Tietosuojavaltuutettu

Ehdotuksessa muutetaan Viestintäviraston ja tietosuojavaltuutetun tehtävänjakoa silloin, kun kyse on yhteisötilaajien tunnistamistietojen käsittelystä väärinkäytöstilanteissa. Valiokunta toteaa, että tietosuojavaltuutetun tehtävänä on valvoa henkilötietolain (523/1999) mukaisesti henkilötietojen käsittelyä ja että yksityisyyden suojasta työelämässä annetun lain (759/2004) mukaan sen noudattamista valvovat työsuojeluviranomaiset yhdessä tietosuojavaltuutetun kanssa. Koska yksi suurimmista yhteisötilaajan ryhmistä ovat yritykset työnantajina, on valiokunnan mielestä johdonmukaista, että tietosuojavaltuutettu valvoo osin myös nyt käsiteltävän 1. lakiehdotuksen noudattamista.

Tietosuojavaltuutettu on valiokunnalle antamassaan lausunnossa todennut, että "lainvalvonta on sinällään selkeää, mutta erittäin työlästä". Hallintovaliokunta katsoo, että ehdotuksen mukaisen valvonnan toteuttaminen edellyttää lisäresurssien osoittamista tietosuojavaltuutetun toimistolle, jolla ei pienenä yksikkönä ole mahdollisuuksia sisäisin järjestelyin kohdentaa resursseja uuteen valvontatehtävään. Valiokunta pitää myös tärkeänä, että ensi tilassa selvitetään mahdollisuus apulaistietosuojavaltuutetun viran perustamiseen, jotta tietosuojaa koskevat asiat saadaan hoidetuksi hyvän hallinnon edellyttämällä tavalla.

Lausunto

Lausuntonaan hallintovaliokunta esittää,

että liikenne- ja viestintävaliokunta ottaa edellä olevan huomioon.

Helsingissä 13 päivänä marraskuuta 2008

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

  • pj. Tapani Tölli /kesk
  • vpj. Tapani Mäkinen /kok
  • jäs. Thomas Blomqvist /r
  • Maarit Feldt-Ranta /sd
  • Juha Hakola /kok
  • Rakel Hiltunen /sd
  • Heli Järvinen /vihr
  • Oiva Kaltiokumpu /kesk
  • Elsi Katainen /kesk
  • Valto Koski /sd
  • Pirkko Ruohonen-Lerner /ps
  • Lenita Toivakka /kok
  • Unto Valpas /vas
  • vjäs. Veijo Puhjo /vas

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Tuula Sivonen

ERIÄVÄ MIELIPIDE

Perustelut

Sähköistä viestintää ja sen valvontaa koskevan lainsäädännön uudistamistarve on selkeä. Voimassa olevan lain säädökset tunnistamistietojen käsittelystä ovat ylimalkaisia ja aiheuttavat tulkintaongelmia. Sähköpostiliikenne on muodostanut harmaan alueen, jota ei ole voitu tutkia työnantajayrityksen tai viranomaisen, esimerkiksi poliisin toimesta edes niissä tilanteissa, kun on ollut aihetta epäillä yrityssalaisuuden vuotamista. Jokaisella yrityksellä on oikeus työnsä tuloksiin ja yritykseen kertyneeseen aineelliseen ja aineettomaan pääomaan. Sen suojaaminen väärinkäytöksiltä on joissain tilanteissa ollut kuitenkin hankalaa.

Hallituksen esitys toteutuessaan antaa mahdollisuuden torjua tunnistamistietoja käsittelemällä viestintäverkon luvatonta ja viestintäpalveluiden ohjeiden vastaista käyttöä. Samoin se antaa mahdollisuuden estää elinkeinotoiminnan kannalta keskeisten yrityssalaisuuksien luvatonta paljastamista, silloin kun välineenä käytetään sähköistä viestintää.

Jo hallituksen esityksen tekstiasu ja käsitteistö antavat hyvän kuvan siitä, että sähköinen viestintä teknisesti ja siihen liittyvä juridinen sääntely työpaikoilla, joilla eri osapuolten oikeudet ja velvollisuudet ovat vahvat, on äärimmäisen herkkää aluetta.

Käsittääksemme hallituksen esitys lähtee hyvin pitkälle yritysten tarpeista. Vaikka ne olisivatkin sinällään perusteluja, on syytä miettiä, olisiko samaan tavoitteeseen päästy toista kautta vaarantamatta yksityisyydensuojaa tilanteessa, jossa käytettävä teknologia ja järjestelmät sekä työelämä sinällään muuttuvat hyvin nopeasti. Peruskysymykseen, "kuka valvoo valvojaa" ei saatu asiantuntijakuulemisen aikana tyhjentävää vastausta. Esimerkiksi tietosuojavaltuutetun toimiston resurssit ovat hyvin niukat.

Nyt syntyvää tilannetta sähköpostiliikenteessa voi verrata käytäntöön, jossa normaali posti lähetetään avoimessa kirjekuoressa, mutta kaikkia, jotka seuraavat postin kulkua, kiellettäisiin lukemasta kirjeen sisältöä.

Nyt esitetylle sähköisen viestinnän tietosuojalaille ja eräiden siihen liittyvien lakien muuttamiselle olisi ollut kaksi vaihtoehtoista etenemistietä, jotka eivät olisi aiheutaneet niin suuria epäilyjä ja uhkia yksityisyyden vaarantumiselle, kuin nyt tapahtuu. Ensinnäkin, työelämän käytäntöjen kannalta parempi ratkaisu olisi ollut, että yksityisyyden suojasta työelämässä annettuun lakiin olisi otettu asianmukaiset säännökset työnantajan oikeudesta käsitellä työntekijän viestien tunnistamistietoja. Toinen vaihtoehto olisi ollut lisätä ja tarkentaa poliisin valtuuksia niin, että se voisi näissä tilanteissa käsitellä tunnistamistietoja.

Mielipide

Edellä olevan perusteella katsomme,

että hallintovaliokunnan olisi tullut lausunnossaan ehdottaa lakiehdotusta hylättäväksi.

Helsingissä 13 päivänä marraskuuta 2008

  • Unto Valpas /vas
  • Pirkko Ruohonen-Lerner /ps
  • Veijo Puhjo /vas

​​​​