Perustelut
Luottamuksellisen viestin salaisuuden suoja
Ehdotus.
Yhteisötilaajalla on 1. lakiehdotuksen perusteella
oikeus käsitellä sähköisen viestinnän
tunnistamistietoja maksullisen tietoyhteiskunnan palvelun tai viestintäverkon
luvattoman käytön ja viestintäpalvelun
ohjeen vastaisen käytön selvittämiseksi.
Tunnistamistietoja voidaan käsitellä myös
yrityssalaisuuksien paljastamisen selvittämiseksi. Ehdotetut
tunnistamistietojen käsittelyoikeudet eivät oikeuttaisi
yhteisötilaajia saamaan tietoa viestien sisällöstä.
Yhteisötilaaja voi käyttää oikeuttaan
tunnistamistietojen käsittelyyn vain, jos se on täyttänyt
eräät yleiset ennakolliset tietoturvallisuuden korkean
tason turvaamiseen ja yrityssalaisuuksien suojaamiseen
liittyvät laissa määritellyt velvoitteet.
Lisäksi lakiehdotukseen sisältyy säännöksiä työnantaja-asemassa
olevan yhteisötilaajan velvollisuudesta ottaa tunnistamistietojen
käsittelyyn liittyvät asiat ennakolta yhteistoimintamenettelyssä käsiteltäväksi
ja tiedottaa tehdyistä päätöksistä työntekijöille
tai heidän edustajilleen. Yhteisötilaajan on myös
ilmoitettava ennalta tietosuojavaltuutetulle tunnistamistietojen
käsittelyn aloittamisesta.
Käsittelyn jälkeen yhteisötilaajan
on laadittava manuaalisesta tunnistamistietojen käsittelystä selvitys,
joka on annettava tiedoksi käsittelyn kohteena olevalle
käyttäjälle. Tietosuojavaltuutetulle
ja työntekijöiden edustajalle on annettava vuosittain
yleisempi selvitys tunnistamistietojen manuaalisesta käsittelystä.
Tunnistamistietojen manuaalisen käsittelyn aloittamiselle
on säädetty myös eräitä asiallisia edellytyksiä.
Tietoja saa käsitellä vain, jos yhteisötilaajalla
on perusteltu syy epäillä verkkoa tai palvelua
käytetyn ohjeiden vastaisesti tai yrityssalaisuuden luvatonta
luovuttamista ulkopuoliselle. Väärinkäytöksen
ja yrityssalaisuuden paljastamisen vakavuuteen kohdistuu merkittävyysvaatimuksia.
Arvioinnin lähtökohtia.
Sääntely yhteisötilaajan oikeudesta
käsitellä sähköisen viestinnän tunnistamistietoja
on merkityksellistä luottamuksellisen viestin salaisuudelle
perustuslaissa säädetyn suojan kannalta. Perustuslain
10 §:n 2 momentin mukaan kirjeen, puhelun
ja muun luottamuksellisen viestin salaisuus on loukkaamaton. Saman
pykälän 3 momentin nojalla lailla voidaan säätää välttämättömistä rajoituksista viestin
salaisuuteen yksilön ja yhteiskunnan turvallisuutta taikka
kotirauhaa vaarantavien rikosten tutkinnassa, oikeudenkäynnissä ja
turvallisuustarkastuksessa sekä vapaudenmenetyksen aikana.
Tämän perusoikeussääntelyn ensisijaisena
tarkoituksena on suojata luottamukselliseksi tarkoitetun viestin
sisältö ulkopuolisilta (HE 309/1993
vp, s. 53/II). Viestin tunnistamistietojen on
perustuslakivaliokunnan vakiintuneessa käytännössä katsottu
jäävän luottamuksellisen viestin salaisuutta
suojaavan perusoikeuden ydinalueen ulkopuolelle (PeVL 23/2006
vp, s. 2—3, PeVL 3/2008
vp, s. 2/I). Perustuslakivaliokunta on tällöin
pitänyt mahdollisena, että tunnistamistietojen
saamisoikeus jätetään sitomatta tiettyihin
rikostyyppeihin (PeVL 9/2004 vp,
s. 4/I). Toisaalta myös tunnistamistietojen salaisuuden
suojaan puuttuvan sääntelyn on täytettävä perusoikeuksien
rajoittamisen yleiset edellytykset (PeVL 23/2006
vp, s. 3).
Ehdotuksessa on kysymys yksityiselle, yleensä työnantajan
asemassa olevalle, toimijalle annettavasta oikeudesta käsitellä tietyin
edellytyksin tunnistamistietoja toisen yksityisen ja kolmannen tahon
välisestä sähköisestä viestinnästä.
Työnantaja ei tällöin ole luottamuksellisen viestinnän
osapuoli (vrt. PeVL 10/2004 vp, s. 4—5).
Perustuslakivaliokunta ei ehdotetun sääntelyn
kaltaisessa asetelmassa arvioinut sääntelyä suoraan
suhteessa perustuslain 10 §:n 3 momentissa sallittuihin
rajoitusperusteisiin, jotka ainakin ensisijaisesti koskevat julkisen vallan
taholta tulevia puuttumisia (PeVL 47/1996 vp,
s. 4). Valiokunta kiinnitti tarkastelussaan huomiota rajoitusten
hyväksyttävyyteen, tarkkarajaisuuteen ja oikeasuhtaisuuteen. Rajoitusten
oikeasuhtaisuutta tarkastellessaan valiokunta arvioi erityisesti
sitä, millainen tietojensaantitarve yksityisellä on
sääntelyn tavoitteen kannalta. Tietojensaantioikeuden
ulottaminen vain välttämättömiin
ja oikeasuhtaisiin — tuolloisessa tapauksessa ei-täydellisiin — tietoihin
ei valiokunnan mielestä ollut ongelmallista perustuslain
10 §:n 2 momentin kannalta. Sen sijaan tätä laajemman
tietojensaantioikeuden antaminen yksityiselle olisi edellyttänyt
perustuslain 10 §:n 3 momentin säännösten
huomioon ottamista.
Valiokunnan mielestä on sinänsä selvää,
että nyt käsiteltävänä olevassa
lakiehdotuksessa tunnistamistietojen käsittelyyn liittyvä tiedonsaantitarve
koskee viestinnän tunnistamistietoja, esimerkiksi sähköpostin
kohdeosoitetta, kokonaisuudessaan. Sääntelyä on
kuitenkin arvioitava muutoinkin perusoikeuksien yleisten rajoitusedellytysten
valossa.
Sääntely on merkityksellistä myös
Euroopan ihmisoikeussopimuksen 8 artiklan näkökulmasta.
Sen mukaan jokaisella on oikeus nauttia muun muassa yksityiselämäänsä ja
kirjeenvaihtoonsa kohdistuvaa kunnioitusta. Artikla kattaa myös
luottamukselliseksi tarkoitetun viestinnän. Euroopan ihmisoikeustuomioistuin
on ratkaisussaan Copland v. Yhdistynyt kuningaskunta (tuomio 3.4.2007)
todennut yleisesti, että liiketiloista soitetut puhelut
kuuluvat lähtökohtaisesti 8 artiklan suojaaman
yksityiselämän ja kirjeenvaihdon alaan. Siitä seuraa
tuomioistuimen mukaan loogisesti, että työpaikalta
lähetetyt sähköpostiviestit samoin kuin
henkilökohtaisesta internetin käytön
valvonnasta kertynyt informaatio ovat vastaavasti 8 artiklan suojan
piirissä. Kyseisessä tapauksessa Yhdistyneen kuningaskunnan
katsottiin loukanneen 8 artiklaa, koska julkisen oppilaitoksen työntekijän
puheluita, sähköpostiviestintää ja
internetin käyttöä oli valvottu ilman,
että valvonta täytti ihmisoikeussopimuksen lailla
säätämisen vaatimuksen. Ihmisoikeustuomioistuin
ei sinänsä kuitenkaan sulkenut pois mahdollisuutta,
että työntekijän puhelimen, sähköpostiviestien
ja internetin käytön valvontaa työpaikalla
voitaisiin joissakin olosuhteissa pitää sopimuksen
tarkoittamassa mielessä välttämättömänä demokraattisessa
yhteiskunnassa.
Yhteisötilaajan käsittelyoikeus yrityssalaisuuksien
paljastamisen selvittämiseksi.
Ehdotetun yrityssalaisuuksia koskevan sääntelyn
keskeisenä tarkoituksena on estää ja
selvittää yhteisötilaajan elinkeinotoiminnan
kannalta keskeisten yrityssalaisuuksien sekä elinkeinotoiminnan käynnistämisen
tai sen harjoittamisen kannalta merkittävien kehittämistyön
tulosten luvaton paljastaminen. Keskeisten yrityssalaisuuksien liiketaloudellinen
merkitys saattaa olla yrityksen kannalta niin suuri, että tällaiset
yritysvarallisuuden arvon ja elinkeinotoiminnan taloudellisten edellytysten
turvaamiseen liittyvät seikat ovat hyväksyttäviä ja
painavia perusteita tietoverkoissa harjoitettavaan viestintään
kohdistuville rajoituksille.
Sääntelyn oikeasuhtaisuuden näkökulmasta on
olennaista, että sekä lakiehdotuksen 13 a—13 h §:n
muodostaman kokonaisuuden että lain 8 §:n
3 momentin perusteella yrityssalaisuuksien luottamuksellisuuden
turvaamisessa ensisijaisia ovat sellaiset keinot, joilla ei puututa
käyttäjien luottamukselliseen viestintään.
Tällaisia ovat erityisesti lakiehdotuksen 13 b §:ssä yhteisötilaajalle
säädetyt velvollisuudet huolehtia tietoturvasta
sekä suojata yrityssalaisuudet ja määritellä yrityssalaisuuksien
sallitut ja kielletyt käsittelytavat. Valiokunnan mielestä 13 b §:ssä säädetyt
velvollisuudet merkitsevät muun muassa sitä, että yhteisötilaajalla
ei ole oikeutta aloittaa tunnistamistietojen käsittelyä ennen
kuin se on käyttänyt hyväkseen kaikki
tarpeelliset muut lain sallimat tietohallinnolliset keinot, joilla
voidaan estää yrityssalaisuuksien paljastaminen
ulkopuolisille. Tunnistamistietojen käsittely tulee valiokunnan
mielestä kyseeseen vasta viimesijaisena keinona ja vain
jos on ilmeistä, ettei yrityssalaisuuden paljastamista
voida millään muulla tavoin selvittää.
Samalla valiokunta korostaa, että käsittely on
lain 8 §:n 3 momentinkin vaatimusten vuoksi sallittua ainoastaan
sen tarkoituksen vaatimassa laajuudessa eikä käsittelyllä voida
rajoittaa luottamuksellisen viestin suojaa enempää kuin
on välttämätöntä. Käsittely
on siten sallittua esimerkiksi ainoastaan siinä laajuudessa,
että yhteisötilaaja pystyy riittävällä tavalla
yksilöimään poliisille osoitettavan rikosilmoituksen
tai tutkintapyynnön. Näin tulkittuna ja sovellettuna
sääntely ei tältä osin muodostu
ongelmalliseksi oikeasuhtaisuudesta johtuvien vaatimusten
kannalta.
Valiokunta kiinnittää huomiota siihen, että sanamuotonsa
mukaan 13 b §:n 1 momentissa säädetyt
tietoturvavelvoitteet eivät koskisi tilanteita, joissa
on kysymys yrityssalaisuuksien paljastamisen ehkäisemisestä.
Tämä ei esityksen perustelujenkaan perusteella
liene ollut esityksen tarkoituksena. Säännöstä on
tältä osin syytä tarkistaa esityksen
tarkoitusta vastaavasti niin, että tietoturvavelvoitteet
koskevat myös näitä tilanteita.
Yhteisötilaaja saa lakiehdotuksen 13 d §:n 2 momentin
nojalla käsitellä tunnistamistietoja manuaalisesti,
jos sillä on perusteltu syy epäillä, että yrityssalaisuus
on luvattomasti annettu ulkopuoliselle. Lisäedellytyksenä on
muun muassa se, että yrityssalaisuus julkaistaan tai sitä käytetään
luvatta taikka yhteisötilaajalla on muun tähän
rinnastuvan yleisesti havaittavissa olevan seikan perusteella syy
epäillä, että yrityssalaisuus on luvattomasti
annettu ulkopuoliselle. Valiokunnan mielestä on rajoituksen
suhteellisuus- sekä täsmällisyys- ja
tarkkarajaisuusvaatimuksen kannalta tärkeää,
että tunnistamistietojen manuaalinen käsittely
on näissä tapauksissa mahdollista vain, jos on
myös olemassa perusteltu syy epäillä,
että yrityssalaisuuksia on luovutettu nimenomaan viestintäverkon
välityksellä. Tästä on sisällytettävä maininta
säännökseen. Lisäksi lakiehdotuksen
13 d §:ää on täsmennettävä niin,
että sen 2 momentissa olevat 1—5 kohdan edellytykset
jaetaan niihin, jotka voivat koskea käsittelyn edellytyksiä yrityssalaisuuksien
luovuttamistilanteissa ja toisaalta niihin jotka soveltuvat muihin
väärinkäytöstapauksiin.
Valiokunnan mielestä ainakaan mainitun momentin 2 ja 3
kohdan edellytykset eivät voi oikeuttaa tunnistamistietojen
käsittelyyn edellisessä tapauksessa.
Suhteellisuusvaatimuksen näkökulmasta on syytä korostaa,
että yrityssalaisuuksien paljastamisen selvittämiseksi
työnantajana oleva yhteisötilaaja voi lakiehdotuksen
13 e §:n 2 momentin mukaan käsitellä vain
sellaisten käyttäjiensä tunnistamistietoja,
joille tämä on antanut pääsyn
tai joilla muutoin on yhteisötilaajan hyväksymällä tavalla
pääsy yrityssalaisuuksiin. Tietojen käsittelyn
oikeasuhtaisuudesta ja välttämättömyydestä on
asianmukaiset säännökset sekä lain
8 §:n 3 momentissa että 13 d §:n
4 momentissa. Merkitystä on myös sillä seikalla,
että sääntelyssä on toteutettu
porrastus tunnistamistietojen automaattisen hakutoiminnon ja manuaalisen
käsittelyn välillä siten, että tunnistamistietojen
manuaalinen käsittely on selvästi toissijainen
ja vain laissa määritellyin edellytyksin käytettävissä oleva
toimenpide. Sääntelyn kohdistuminen vain keskeisiin
yrityssalaisuuksiin ja merkittäviin kehittämistyön
tuloksiin asettaa tältä osin käsittelyn
edellytykseksi tietynasteisen olennaisuusvaatimuksen.
Täsmällisyys- ja tarkkarajaisuusvaatimuksen kannalta
vähäisenä puutteena voidaan pitää sitä, ettei
ehdotetussa laissa ole määritelty yrityssalaisuuden
käsitettä. Esityksen perusteluissa on kuitenkin
viitattu rikoslaissa omaksuttuun yrityssalaisuuden määritelmään.
Sääntelyä on tältä osin
asianmukaista tarkentaa.
Oikeusturvan näkökulmasta ovat merkityksellisiä lakiehdotuksen
13 c §:n säännökset
yhteistoimintamenettelystä ja yhteisötilaajan
tiedottamisvelvollisuudesta, 13 f §:n
säännökset manuaalisesta tunnistamistietojen
käsittelystä tehtävästä selvityksestä ja
sen tiedoksiantamisesta käsittelyn kohteena olevalle käyttäjälle, 13 g §:n
säännökset tiedonantovelvollisuudesta työntekijöiden
edustajalle, 13 h §:n säännökset ennakollisesta
ja vuosittaisesta selvityksestä tietosuojavaltuutetulle
samoin kuin 42 §:n rangaistussäännökset.
Merkitystä on myös 13 c §:n säännöksellä,
jonka mukaan tunnistamistietoja voivat käsitellä vain
yhteisötilaajan viestintäverkon ja viestintäpalvelun
ylläpidosta ja tietoturvasta sekä turvallisuudesta
huolehtivat henkilöt. Oikeusturvajärjestelyjä voidaan
kokonaisuutena arvioiden pitää oikeusturvavaatimuksen
kannalta riittävinä.
Yhteisötilaajan käsittelyoikeus luvattoman
käytön tai ohjeen vastaisen käytön
selvittämiseksi.
Ehdotettu sääntely liittyy tilanteisiin, joissa
on kysymys yhteisötilaajan oikeudesta suojautua viestintäverkkonsa
ja maksullisten yhteiskunnan palvelujen luvatonta käyttöä sekä viestintäpalvelujen
ohjeen vastaista käyttöä vastaan. Luvattomalta
käytöltä suojautumisen keskeisenä tarkoituksena
on estää yhteisötilaajalle palvelujen
väärinkäytöstä aiheutuvia
taloudellisia menetyksiä ja turvata yhteisötilaajan
käytössä olevan verkon toimintakyky.
Tällaiset omaisuudensuojan ja viime kädessä myös
sananvapauden käyttämiseen ja toteutumisen edistämiseen
liittyvät seikat ovat hyväksyttäviä ja
painavia perusteita tietoverkoissa harjoitettavaan viestintään
kohdistuville rajoituksille (ks. PeVL 9/2004 vp,
s. 4).
Viestintäverkon luvatonta käyttöä tai
viestintäpalvelun ohjeen vastaista käyttöä on
lakiehdotuksen 13 a §:n 2 momentin mukaan
laitteen, ohjelman tai palvelun asentaminen yhteisötilaajan viestintäverkkoon.
Säännös sisältää lisäksi
rinnastuvuuslausekkeen, jonka nojalla edellä mainittua
väärinkäyttöä voi olla
myös muu viestintäverkon tai viestintäpalvelun
käyttö. Edellytyksenä on, että tällainen
käyttö on 13 b §:n
3 momentissa tarkoitettujen yhteisötilaajan antamien kirjallisten
ohjeiden vastaista. Luvattoman käytön ja ohjeiden
vastaisen käytön sisältö jää tällaisessa
asetelmassa perusoikeusrajoitusten täsmällisyys-
ja tarkkarajaisuusvaatimuksen kannalta varsin väljäksi
ja viime kädessä yhteisötilaajan määriteltäväksi.
Toisaalta yhteisötilaajan oikeutta käsitellä tunnistamistietoja
näillä perusteilla on rajoitettu 13 d §:n
2—4 momenttiin sisältyvillä edellytyksillä.
Käsittelyä sitoo myös lain 8 §:n
3 momentin välttämättömyysvaatimus.
Valiokunnan mielestä on kuitenkin tarpeen täsmentää 13 a §:n
sääntelyä esimerkiksi kattavammalla luettelolla
siitä, mikä voi olla siinä tarkoitettua
luvatonta tai ohjeen vastaista käyttöä.
Tällaista luetteloa on mahdollista täydentää rinnastuvuuslausekkeella.
Valiokunta huomauttaa lisäksi, että 13 a §:n 2 momentin
säännökseen liittyy kehämäisyyttä ("ohjeen
vastaista käyttöä on" "viestintäpalvelun
käyttö", "jos se on...ohjeiden vastaista"). Vastaavanlainen
ongelma sisältyy myös 13 d §:n
2 momentin johdantokappaleeseen verrattuna saman momentin 5 kohtaan.
Sääntelyä on näiltä osin
asianmukaista tarkistaa.
Muuta
Perustuslakivaliokunta pitää tärkeänä,
että hallituksen esityksen perusteluissa mainittu liikenne-
ja viestintäministeriöön asetettava seurantaryhmä arvioi
lain soveltamista myös perusoikeuksien kannalta.
Tällöin on syytä kiinnittää huomiota
siihen, miten laajasti työnantajat ovat turvautuneet lain
mahdollistamiin oikeuksiin, miten tietosuojavaltuutetun valvontatehtävä on toiminut
sekä miten työntekijöiden luottamuksellisten
viestien salaisuuden suoja on toteutunut.