PERUSTUSLAKIVALIOKUNNAN LAUSUNTO 29/2008 vp

PeVL 29/2008 vp - HE 48/2008 vp

Tarkistettu versio 2.1

Hallituksen esitys sähköisen viestinnän tietosuojalain ja eräiden siihen liittyvien lakien muuttamisesta

Liikenne- ja viestintävaliokunnalle

JOHDANTO

Vireilletulo

Eduskunta on 29 päivänä huhtikuuta 2008 lähettäessään hallituksen esityksen sähköisen viestinnän tietosuojalain ja eräiden siihen liittyvien lakien muuttamisesta (HE 48/2008 vp) valmistelevasti käsiteltäväksi liikenne- ja viestintävaliokuntaan samalla määrännyt, että perustuslakivaliokunnan on annettava asiasta lausunto liikenne- ja viestintävaliokunnalle.

Asiantuntijat

Valiokunnassa ovat olleet kuultavina

viestintäneuvos Juhapekka Ristola, liikenne- ja viestintäministeriö

tietosuojavaltuutettu Reijo Aarnio

professori Mikael Hidén

professori Jukka Kemppinen

professori Olli Mäenpää

professori Tuomas Ojanen

professori Teuvo Pohjolainen

professori Ahti Saarenpää

professori Veli-Pekka Viljanen

Lisäksi kirjallisen lausunnon on antanut

  • professori Kaarlo Tuori.

HALLITUKSEN ESITYS

Esityksessä ehdotetaan muutettavaksi sähköisen viestinnän tietosuojalakia. Yksityisyyden suojasta työelämässä annettuun lakiin, yhteistoiminnasta yrityksissä annettuun lakiin sekä yhteistoiminnasta valtion virastoissa ja laitoksissa annettuun lakiin ehdotetaan lisäksi eräitä lähinnä teknisiä muutoksia.

Sähköisen viestinnän tietosuojalakiin ehdotetaan otettavaksi säännökset muun muassa yhteisötilaajan oikeudesta tietyin edellytyksin käsitellä sähköisen viestinnän tunnistamistietoja maksullisen tietoyhteiskunnan palvelun tai viestintäverkon luvattoman käytön, viestintäpalvelun ohjeen vastaisen käytön sekä yrityssalaisuuksien paljastamisen selvittämiseksi.

Lait ovat tarkoitetut tulemaan voimaan 1 päivänä tammikuuta 2009.

Esityksen laajoissa säätämisjärjestysperusteluissa sääntelyä arvioidaan perustuslain 10 §:ssä turvatun luottamuksellisen viestin salaisuuden suojan sekä perustuslain 15 §:ssä säädetyn omaisuudensuojan ja perustuslain 18 §:ssä suojatun elinkeinovapauden kannalta. Perustelujen mukaan lakiehdotukset voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Hallitus on kuitenkin pitänyt perustuslakivaliokunnan lausunnon hankkimista asiasta tärkeänä.

VALIOKUNNAN KANNANOTOT

Perustelut

Luottamuksellisen viestin salaisuuden suoja
Ehdotus.

Yhteisötilaajalla on 1. lakiehdotuksen perusteella oikeus käsitellä sähköisen viestinnän tunnistamistietoja maksullisen tietoyhteiskunnan palvelun tai viestintäverkon luvattoman käytön ja viestintäpalvelun ohjeen vastaisen käytön selvittämiseksi. Tunnistamistietoja voidaan käsitellä myös yrityssalaisuuksien paljastamisen selvittämiseksi. Ehdotetut tunnistamistietojen käsittelyoikeudet eivät oikeuttaisi yhteisötilaajia saamaan tietoa viestien sisällöstä.

Yhteisötilaaja voi käyttää oikeuttaan tunnistamistietojen käsittelyyn vain, jos se on täyttänyt eräät yleiset ennakolliset tietoturvallisuuden korkean tason turvaamiseen ja yrityssalaisuuksien suojaamiseen liittyvät laissa määritellyt velvoitteet. Lisäksi lakiehdotukseen sisältyy säännöksiä työnantaja-asemassa olevan yhteisötilaajan velvollisuudesta ottaa tunnistamistietojen käsittelyyn liittyvät asiat ennakolta yhteistoimintamenettelyssä käsiteltäväksi ja tiedottaa tehdyistä päätöksistä työntekijöille tai heidän edustajilleen. Yhteisötilaajan on myös ilmoitettava ennalta tietosuojavaltuutetulle tunnistamistietojen käsittelyn aloittamisesta.

Käsittelyn jälkeen yhteisötilaajan on laadittava manuaalisesta tunnistamistietojen käsittelystä selvitys, joka on annettava tiedoksi käsittelyn kohteena olevalle käyttäjälle. Tietosuojavaltuutetulle ja työntekijöiden edustajalle on annettava vuosittain yleisempi selvitys tunnistamistietojen manuaalisesta käsittelystä.

Tunnistamistietojen manuaalisen käsittelyn aloittamiselle on säädetty myös eräitä asiallisia edellytyksiä. Tietoja saa käsitellä vain, jos yhteisötilaajalla on perusteltu syy epäillä verkkoa tai palvelua käytetyn ohjeiden vastaisesti tai yrityssalaisuuden luvatonta luovuttamista ulkopuoliselle. Väärinkäytöksen ja yrityssalaisuuden paljastamisen vakavuuteen kohdistuu merkittävyysvaatimuksia.

Arvioinnin lähtökohtia.

Sääntely yhteisötilaajan oikeudesta käsitellä sähköisen viestinnän tunnistamistietoja on merkityksellistä luottamuksellisen viestin salaisuudelle perustuslaissa säädetyn suojan kannalta. Perustuslain 10 §:n 2 momentin mukaan kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton. Saman pykälän 3 momentin nojalla lailla voidaan säätää välttämättömistä rajoituksista viestin salaisuuteen yksilön ja yhteiskunnan turvallisuutta taikka kotirauhaa vaarantavien rikosten tutkinnassa, oikeudenkäynnissä ja turvallisuustarkastuksessa sekä vapaudenmenetyksen aikana. Tämän perusoikeussääntelyn ensisijaisena tarkoituksena on suojata luottamukselliseksi tarkoitetun viestin sisältö ulkopuolisilta (HE 309/1993 vp, s. 53/II). Viestin tunnistamistietojen on perustuslakivaliokunnan vakiintuneessa käytännössä katsottu jäävän luottamuksellisen viestin salaisuutta suojaavan perusoikeuden ydinalueen ulkopuolelle (PeVL 23/2006 vp, s. 2—3, PeVL 3/2008 vp, s. 2/I). Perustuslakivaliokunta on tällöin pitänyt mahdollisena, että tunnistamistietojen saamisoikeus jätetään sitomatta tiettyihin rikostyyppeihin (PeVL 9/2004 vp, s. 4/I). Toisaalta myös tunnistamistietojen salaisuuden suojaan puuttuvan sääntelyn on täytettävä perusoikeuksien rajoittamisen yleiset edellytykset (PeVL 23/2006 vp, s. 3).

Ehdotuksessa on kysymys yksityiselle, yleensä työnantajan asemassa olevalle, toimijalle annettavasta oikeudesta käsitellä tietyin edellytyksin tunnistamistietoja toisen yksityisen ja kolmannen tahon välisestä sähköisestä viestinnästä. Työnantaja ei tällöin ole luottamuksellisen viestinnän osapuoli (vrt. PeVL 10/2004 vp, s. 4—5). Perustuslakivaliokunta ei ehdotetun sääntelyn kaltaisessa asetelmassa arvioinut sääntelyä suoraan suhteessa perustuslain 10 §:n 3 momentissa sallittuihin rajoitusperusteisiin, jotka ainakin ensisijaisesti koskevat julkisen vallan taholta tulevia puuttumisia (PeVL 47/1996 vp, s. 4). Valiokunta kiinnitti tarkastelussaan huomiota rajoitusten hyväksyttävyyteen, tarkkarajaisuuteen ja oikeasuhtaisuuteen. Rajoitusten oikeasuhtaisuutta tarkastellessaan valiokunta arvioi erityisesti sitä, millainen tietojensaantitarve yksityisellä on sääntelyn tavoitteen kannalta. Tietojensaantioikeuden ulottaminen vain välttämättömiin ja oikeasuhtaisiin — tuolloisessa tapauksessa ei-täydellisiin — tietoihin ei valiokunnan mielestä ollut ongelmallista perustuslain 10 §:n 2 momentin kannalta. Sen sijaan tätä laajemman tietojensaantioikeuden antaminen yksityiselle olisi edellyttänyt perustuslain 10 §:n 3 momentin säännösten huomioon ottamista.

Valiokunnan mielestä on sinänsä selvää, että nyt käsiteltävänä olevassa lakiehdotuksessa tunnistamistietojen käsittelyyn liittyvä tiedonsaantitarve koskee viestinnän tunnistamistietoja, esimerkiksi sähköpostin kohdeosoitetta, kokonaisuudessaan. Sääntelyä on kuitenkin arvioitava muutoinkin perusoikeuksien yleisten rajoitusedellytysten valossa.

Sääntely on merkityksellistä myös Euroopan ihmisoikeussopimuksen 8 artiklan näkökulmasta. Sen mukaan jokaisella on oikeus nauttia muun muassa yksityiselämäänsä ja kirjeenvaihtoonsa kohdistuvaa kunnioitusta. Artikla kattaa myös luottamukselliseksi tarkoitetun viestinnän. Euroopan ihmisoikeustuomioistuin on ratkaisussaan Copland v. Yhdistynyt kuningaskunta (tuomio 3.4.2007) todennut yleisesti, että liiketiloista soitetut puhelut kuuluvat lähtökohtaisesti 8 artiklan suojaaman yksityiselämän ja kirjeenvaihdon alaan. Siitä seuraa tuomioistuimen mukaan loogisesti, että työpaikalta lähetetyt sähköpostiviestit samoin kuin henkilökohtaisesta internetin käytön valvonnasta kertynyt informaatio ovat vastaavasti 8 artiklan suojan piirissä. Kyseisessä tapauksessa Yhdistyneen kuningaskunnan katsottiin loukanneen 8 artiklaa, koska julkisen oppilaitoksen työntekijän puheluita, sähköpostiviestintää ja internetin käyttöä oli valvottu ilman, että valvonta täytti ihmisoikeussopimuksen lailla säätämisen vaatimuksen. Ihmisoikeustuomioistuin ei sinänsä kuitenkaan sulkenut pois mahdollisuutta, että työntekijän puhelimen, sähköpostiviestien ja internetin käytön valvontaa työpaikalla voitaisiin joissakin olosuhteissa pitää sopimuksen tarkoittamassa mielessä välttämättömänä demokraattisessa yhteiskunnassa.

Yhteisötilaajan käsittelyoikeus yrityssalaisuuksien paljastamisen selvittämiseksi.

Ehdotetun yrityssalaisuuksia koskevan sääntelyn keskeisenä tarkoituksena on estää ja selvittää yhteisötilaajan elinkeinotoiminnan kannalta keskeisten yrityssalaisuuksien sekä elinkeinotoiminnan käynnistämisen tai sen harjoittamisen kannalta merkittävien kehittämistyön tulosten luvaton paljastaminen. Keskeisten yrityssalaisuuksien liiketaloudellinen merkitys saattaa olla yrityksen kannalta niin suuri, että tällaiset yritysvarallisuuden arvon ja elinkeinotoiminnan taloudellisten edellytysten turvaamiseen liittyvät seikat ovat hyväksyttäviä ja painavia perusteita tietoverkoissa harjoitettavaan viestintään kohdistuville rajoituksille.

Sääntelyn oikeasuhtaisuuden näkökulmasta on olennaista, että sekä lakiehdotuksen 13 a—13 h §:n muodostaman kokonaisuuden että lain 8 §:n 3 momentin perusteella yrityssalaisuuksien luottamuksellisuuden turvaamisessa ensisijaisia ovat sellaiset keinot, joilla ei puututa käyttäjien luottamukselliseen viestintään. Tällaisia ovat erityisesti lakiehdotuksen 13 b §:ssä yhteisötilaajalle säädetyt velvollisuudet huolehtia tietoturvasta sekä suojata yrityssalaisuudet ja määritellä yrityssalaisuuksien sallitut ja kielletyt käsittelytavat. Valiokunnan mielestä 13 b §:ssä säädetyt velvollisuudet merkitsevät muun muassa sitä, että yhteisötilaajalla ei ole oikeutta aloittaa tunnistamistietojen käsittelyä ennen kuin se on käyttänyt hyväkseen kaikki tarpeelliset muut lain sallimat tietohallinnolliset keinot, joilla voidaan estää yrityssalaisuuksien paljastaminen ulkopuolisille. Tunnistamistietojen käsittely tulee valiokunnan mielestä kyseeseen vasta viimesijaisena keinona ja vain jos on ilmeistä, ettei yrityssalaisuuden paljastamista voida millään muulla tavoin selvittää. Samalla valiokunta korostaa, että käsittely on lain 8 §:n 3 momentinkin vaatimusten vuoksi sallittua ainoastaan sen tarkoituksen vaatimassa laajuudessa eikä käsittelyllä voida rajoittaa luottamuksellisen viestin suojaa enempää kuin on välttämätöntä. Käsittely on siten sallittua esimerkiksi ainoastaan siinä laajuudessa, että yhteisötilaaja pystyy riittävällä tavalla yksilöimään poliisille osoitettavan rikosilmoituksen tai tutkintapyynnön. Näin tulkittuna ja sovellettuna sääntely ei tältä osin muodostu ongelmalliseksi oikeasuhtaisuudesta johtuvien vaatimusten kannalta.

Valiokunta kiinnittää huomiota siihen, että sanamuotonsa mukaan 13 b §:n 1 momentissa säädetyt tietoturvavelvoitteet eivät koskisi tilanteita, joissa on kysymys yrityssalaisuuksien paljastamisen ehkäisemisestä. Tämä ei esityksen perustelujenkaan perusteella liene ollut esityksen tarkoituksena. Säännöstä on tältä osin syytä tarkistaa esityksen tarkoitusta vastaavasti niin, että tietoturvavelvoitteet koskevat myös näitä tilanteita.

Yhteisötilaaja saa lakiehdotuksen 13 d §:n 2 momentin nojalla käsitellä tunnistamistietoja manuaalisesti, jos sillä on perusteltu syy epäillä, että yrityssalaisuus on luvattomasti annettu ulkopuoliselle. Lisäedellytyksenä on muun muassa se, että yrityssalaisuus julkaistaan tai sitä käytetään luvatta taikka yhteisötilaajalla on muun tähän rinnastuvan yleisesti havaittavissa olevan seikan perusteella syy epäillä, että yrityssalaisuus on luvattomasti annettu ulkopuoliselle. Valiokunnan mielestä on rajoituksen suhteellisuus- sekä täsmällisyys- ja tarkkarajaisuusvaatimuksen kannalta tärkeää, että tunnistamistietojen manuaalinen käsittely on näissä tapauksissa mahdollista vain, jos on myös olemassa perusteltu syy epäillä, että yrityssalaisuuksia on luovutettu nimenomaan viestintäverkon välityksellä. Tästä on sisällytettävä maininta säännökseen. Lisäksi lakiehdotuksen 13 d §:ää on täsmennettävä niin, että sen 2 momentissa olevat 1—5 kohdan edellytykset jaetaan niihin, jotka voivat koskea käsittelyn edellytyksiä yrityssalaisuuksien luovuttamistilanteissa ja toisaalta niihin jotka soveltuvat muihin väärinkäytöstapauksiin. Valiokunnan mielestä ainakaan mainitun momentin 2 ja 3 kohdan edellytykset eivät voi oikeuttaa tunnistamistietojen käsittelyyn edellisessä tapauksessa.

Suhteellisuusvaatimuksen näkökulmasta on syytä korostaa, että yrityssalaisuuksien paljastamisen selvittämiseksi työnantajana oleva yhteisötilaaja voi lakiehdotuksen 13 e §:n 2 momentin mukaan käsitellä vain sellaisten käyttäjiensä tunnistamistietoja, joille tämä on antanut pääsyn tai joilla muutoin on yhteisötilaajan hyväksymällä tavalla pääsy yrityssalaisuuksiin. Tietojen käsittelyn oikeasuhtaisuudesta ja välttämättömyydestä on asianmukaiset säännökset sekä lain 8 §:n 3 momentissa että 13 d §:n 4 momentissa. Merkitystä on myös sillä seikalla, että sääntelyssä on toteutettu porrastus tunnistamistietojen automaattisen hakutoiminnon ja manuaalisen käsittelyn välillä siten, että tunnistamistietojen manuaalinen käsittely on selvästi toissijainen ja vain laissa määritellyin edellytyksin käytettävissä oleva toimenpide. Sääntelyn kohdistuminen vain keskeisiin yrityssalaisuuksiin ja merkittäviin kehittämistyön tuloksiin asettaa tältä osin käsittelyn edellytykseksi tietynasteisen olennaisuusvaatimuksen.

Täsmällisyys- ja tarkkarajaisuusvaatimuksen kannalta vähäisenä puutteena voidaan pitää sitä, ettei ehdotetussa laissa ole määritelty yrityssalaisuuden käsitettä. Esityksen perusteluissa on kuitenkin viitattu rikoslaissa omaksuttuun yrityssalaisuuden määritelmään. Sääntelyä on tältä osin asianmukaista tarkentaa.

Oikeusturvan näkökulmasta ovat merkityksellisiä lakiehdotuksen 13 c §:n säännökset yhteistoimintamenettelystä ja yhteisötilaajan tiedottamisvelvollisuudesta, 13 f §:n säännökset manuaalisesta tunnistamistietojen käsittelystä tehtävästä selvityksestä ja sen tiedoksiantamisesta käsittelyn kohteena olevalle käyttäjälle, 13 g §:n säännökset tiedonantovelvollisuudesta työntekijöiden edustajalle, 13 h §:n säännökset ennakollisesta ja vuosittaisesta selvityksestä tietosuojavaltuutetulle samoin kuin 42 §:n rangaistussäännökset. Merkitystä on myös 13 c §:n säännöksellä, jonka mukaan tunnistamistietoja voivat käsitellä vain yhteisötilaajan viestintäverkon ja viestintäpalvelun ylläpidosta ja tietoturvasta sekä turvallisuudesta huolehtivat henkilöt. Oikeusturvajärjestelyjä voidaan kokonaisuutena arvioiden pitää oikeusturvavaatimuksen kannalta riittävinä.

Yhteisötilaajan käsittelyoikeus luvattoman käytön tai ohjeen vastaisen käytön selvittämiseksi.

Ehdotettu sääntely liittyy tilanteisiin, joissa on kysymys yhteisötilaajan oikeudesta suojautua viestintäverkkonsa ja maksullisten yhteiskunnan palvelujen luvatonta käyttöä sekä viestintäpalvelujen ohjeen vastaista käyttöä vastaan. Luvattomalta käytöltä suojautumisen keskeisenä tarkoituksena on estää yhteisötilaajalle palvelujen väärinkäytöstä aiheutuvia taloudellisia menetyksiä ja turvata yhteisötilaajan käytössä olevan verkon toimintakyky. Tällaiset omaisuudensuojan ja viime kädessä myös sananvapauden käyttämiseen ja toteutumisen edistämiseen liittyvät seikat ovat hyväksyttäviä ja painavia perusteita tietoverkoissa harjoitettavaan viestintään kohdistuville rajoituksille (ks. PeVL 9/2004 vp, s. 4).

Viestintäverkon luvatonta käyttöä tai viestintäpalvelun ohjeen vastaista käyttöä on lakiehdotuksen 13 a §:n 2 momentin mukaan laitteen, ohjelman tai palvelun asentaminen yhteisötilaajan viestintäverkkoon. Säännös sisältää lisäksi rinnastuvuuslausekkeen, jonka nojalla edellä mainittua väärinkäyttöä voi olla myös muu viestintäverkon tai viestintäpalvelun käyttö. Edellytyksenä on, että tällainen käyttö on 13 b §:n 3 momentissa tarkoitettujen yhteisötilaajan antamien kirjallisten ohjeiden vastaista. Luvattoman käytön ja ohjeiden vastaisen käytön sisältö jää tällaisessa asetelmassa perusoikeusrajoitusten täsmällisyys- ja tarkkarajaisuusvaatimuksen kannalta varsin väljäksi ja viime kädessä yhteisötilaajan määriteltäväksi. Toisaalta yhteisötilaajan oikeutta käsitellä tunnistamistietoja näillä perusteilla on rajoitettu 13 d §:n 2—4 momenttiin sisältyvillä edellytyksillä. Käsittelyä sitoo myös lain 8 §:n 3 momentin välttämättömyysvaatimus. Valiokunnan mielestä on kuitenkin tarpeen täsmentää 13 a §:n sääntelyä esimerkiksi kattavammalla luettelolla siitä, mikä voi olla siinä tarkoitettua luvatonta tai ohjeen vastaista käyttöä. Tällaista luetteloa on mahdollista täydentää rinnastuvuuslausekkeella.

Valiokunta huomauttaa lisäksi, että 13 a §:n 2 momentin säännökseen liittyy kehämäisyyttä ("ohjeen vastaista käyttöä on" "viestintäpalvelun käyttö", "jos se on...ohjeiden vastaista"). Vastaavanlainen ongelma sisältyy myös 13 d §:n 2 momentin johdantokappaleeseen verrattuna saman momentin 5 kohtaan. Sääntelyä on näiltä osin asianmukaista tarkistaa.

Muuta

Perustuslakivaliokunta pitää tärkeänä, että hallituksen esityksen perusteluissa mainittu liikenne- ja viestintäministeriöön asetettava seurantaryhmä arvioi lain soveltamista myös perusoikeuksien kannalta. Tällöin on syytä kiinnittää huomiota siihen, miten laajasti työnantajat ovat turvautuneet lain mahdollistamiin oikeuksiin, miten tietosuojavaltuutetun valvontatehtävä on toiminut sekä miten työntekijöiden luottamuksellisten viestien salaisuuden suoja on toteutunut.

Lausunto

Lausuntonaan perustuslakivaliokunta esittää,

että lakiehdotukset voidaan käsitellä tavallisen lain säätämisjärjestyksessä.

Helsingissä 13 päivänä marraskuuta 2008

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

  • pj. Kimmo Sasi /kok
  • vpj. Jacob Söderman /sd
  • jäs. Tuomo Hänninen /kesk
  • Ulla Karvo /kok
  • Elsi Katainen /kesk
  • Esko Kiviranta /kesk
  • Kari Kärkkäinen /kd (osittain)
  • Elisabeth Nauclér /r
  • Ville Niinistö /vihr
  • Mikaela Nylander /r
  • Tuula Peltonen /sd (osittain)
  • Veijo Puhjo /vas
  • Tapani Tölli /kesk
  • Tuulikki Ukkola /kok
  • Antti Vuolanne /sd
  • vjäs. Johannes Koskinen /sd

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Petri Helander

​​​​