Perustelut
Yleistä
Työelämä- ja tasa-arvovaliokunta
on käsitellyt asiaa oman toimialansa osalta ja keskittynyt
kysymyksiin, jotka koskevat työnantajan oikeutta käsitellä työntekijän
viestinnän tunnistamistietoja.
Esityksestä on pyydetty lausunto myös perustuslakivaliokunnalta.
Perustuslakivaliokunta ei ole vielä antanut lausuntoaan
asiasta. Työelämä- ja tasa-arvovaliokunta
pitää perustuslakivaliokunnan lausuntoa asian
käsittelyn kannalta olennaisena ja tärkeänä asiaan
liittyvien monien perusoikeuskytkentöjen johdosta.
Voimassaolevan lain säännökset tunnistamistietojen
käsittelystä ovat hyvin yleisellä tasolla, ja
niiden soveltamisessa on ollut ongelmia. Valiokunta pitää tärkeänä,
että asiasta saadaan selkeät säännökset,
joiden soveltamisessa ei synny ongelmia.
Käsiteltävänä olevassa hallituksen
esityksessä esitetään luotavaksi järjestelmä,
joka "luo yhteisötilaajille velvoitteen huolehtia tietoturvasta ensisijaisesti
muilla keinoilla". Näin ollen esityksen voidaan katsoa
edistävän arjen tietoyhteiskuntakehityksen kannalta
välttämätöntä oikeutta
tietoturvallisuuteen. Koska Suomi on tuotekehityksen ja korkean
teknologian johtavia maita, Suomella on erityinen kansallinen intressi
suojella myös yrityssalaisuuksia.
Tietosuoja työelämässä
Tietosuojasta työelämässä on
säädetty laissa yksityisyyden suojasta työelämässä,
johon tässä hallituksen esityksessä esitetään
lisättäväksi tunnistamistietojen käsittelyä koskeva
viittaus sähköisen viestinnän tietosuojalakiin.
Valiokunta on useissa yhteyksissä korostanut, että työelämän
lainsäädäntöön kohdistuvat muuta
lainsäädäntöä suuremmat
selkeys- ja ymmärrettävyysvaatimukset, koska kyse
on säännöksistä, joita tulee
pystyä tulkitsemaan kaikilla työpaikoilla myös
ilman juridista asiantuntemusta.
Nyt käsiteltävänä oleva
sähköisen viestinnän tietosuojalaki käsittelee
hyvin vaikeasti hahmottuvia asioita ja käyttää runsaasti
arkielämälle vieraita käsitteitä.
Esimerkiksi työnantaja ja työntekijä ovat
lakiehdotuksessa yleensä yhteisötilaaja ja käyttäjä.
Yhteisötilaaja ei kuitenkaan ole sama kuin työnantaja,
vaan joissakin säännöksissä käytetään
ilmaisua "jos yhteisötilaaja on työnantaja".
Useat sähköisen viestinnän tietosuojalain säännökset
tunnistamistietojen käsittelystä koskevat yhteisötilaajien
(työnantajien) ohella myös teleyrityksiä ja
lisäarvopalvelujen tarjoajia. Tämä tekee
säännöksistä vielä monimutkaisempia
ja vaikeammin ymmärrettäviä. Kuitenkin
työpaikoilla tulisi pystyä toimimaan säännösten
mukaan ja käsittelemään yhteistoimintamenettelyssä työnantajan
tarjoamien viestintäpalvelujen käyttöön
ja tunnistamistietojen selvittämiseen liittyviä järjestelmiä,
menettelyjä ja ohjeita.
Valiokunta toteaa, että lakiehdotuksen ymmärrettävyydessä on
runsaasti toivomisen varaa, kun otetaan huomioon, että sen
säännöksiä pitää pystyä soveltamaan
työpaikoilla, joissa sen enempää työnantajan
kuin työntekijöidenkään edustajat
eivät aina ole tietotekniikan ja lainsäädännön
asiantuntijoita. Toinen vaihtoehto olisi ottaa yksityisyyden suojasta
työelämässä annettuun lakiin
säännökset työnantajan oikeudesta käsitellä työntekijän
viestinnän tunnistamistietoja.
Säännösten vaikeaselkoisuus asettaa
merkittävän koulutus- ja tiedotushaasteen niin
viranomaisille kuin työmarkkinajärjestöillekin,
jotta työpaikoilla pystytään toimimaan
lain edellyttämällä tavalla. Tärkeää on,
että säännöksistä laaditaan
ennen lain voimaantuloa selkokieliset ohjeet, joiden pohjalta työpaikoilla
voidaan kehittää lainmukaiset menettelytavat.
Valiokunta pitää välttämättömänä,
että lainsäädännön
sisällöstä tiedotetaan hyvin eri tiedotuskanavia
käyttäen niin, että tieto tavoittaa työnantajat
ja työntekijät mahdollisimman kattavasti.
Väärinkäytöstapausten ennaltaehkäisy
ja selvittäminen
Lakiehdotuksen mukaan tunnistamistietojen käsittely
on vasta viimesijainen toimenpide. Ensisijaisesti työnantajan
on suojattava viestintäverkkonsa ja -palvelunsa sekä yrityssalaisuutensa
parantamalla tietoturvaa ja antamalla kirjalliset ohjeet siitä,
miten työntekijät saavat verkkoa ja palveluja
käyttää.
Valiokunta pitää tietoturvan kehittämistä ja ohjeistuksen
parantamista hyvin tärkeänä ja katsoo,
että näin voidaan ennaltaehkäistä ongelmia ja
välttää tilanteet, joissa olisi tarvetta
tunnistamistietojen käsittelylle. Jotta työntekijät
voivat varautua tilanteeseen ja muuttaa toimintaansa lainmukaisten
ohjeiden ja pelisääntöjen mukaiseksi,
valiokunta pitää tärkeänä,
että lakiehdotusta täsmennetään
siten, että työnantaja voi käsitellä tunnistamistietoja
vain siltä ajalta, jolloin tietoturvan parannukset ja käyttöä koskevat
ohjeet ovat olleet käytössä ja työntekijöiden
tiedossa.
Valiokunta painottaa erityisesti, että työpaikoilla
tulee käsitellä tietoturvatarpeita ja viestinnän
pelisääntöjä mahdollisimman
avoimesti yhteistoimintalainsäädännön
tarkoittamalla tavalla yhdessä kaikkien niiden työntekijöiden
kanssa, joita asia koskee. Laaja käsittely ja pelisääntöjen
laatiminen yhdessä henkilöstön kanssa luovat
hyvän pohjan sääntöjen tuntemiselle
ja noudattamiselle, jolloin tarvetta väärinkäytösten
selvittämiselle ei tule.
Sekä työnantajan että työntekijöiden
kannalta on tärkeää avoimesti ja ennakkoluulottamasti keskustella
ja pohtia, mitä hyötyjä ja haittoja on siitä,
että työntekijä käyttää työnantajan
antamia työvälineitä myös omien
asioidensa hoitoon, ja sopia sitten sellaisista käyttöohjeista, jotka
vastaavat juuri kyseisen yrityksen ja sen työntekijöiden
tarpeita. Kun laki koskee samalla tavoin pieniä ja suuria
yrityksiä ja kaikkia toimialoja, on luonnollista, etteivät
samat säännöt sovellu kaikkiin tilanteisiin.
Valiokunta pitää tärkeänä,
että tunnistamistietojen käsittelyoikeus edellyttää työnantajan hankkivan
sellaiset tietojärjestelmät, joista voidaan tarvittaessa
helposti selvittää, onko joku tutkinut tunnistamistietoja
tai avannut viestejä ilman lupaa. Jotta jälkikäteisvalvonta
ja mahdollisten viestintäsalaisuuden loukkausten selvittäminen
on mahdollista, tunnistamistietojen tutkimista ja viestien avaamista
koskevat tiedot tulee myös säilyttää riittävän
kauan.
Yrityssalaisuuksien paljastamisen selvittäminen
Voimassaoleva laki ei salli tunnistamistietojen käsittelyä yrityssalaisuuksien
paljastamisen selvittämiseksi. Lakiehdotuksen mukaan työnantaja
voisi käsitellä tunnistamistietoja yrityssalaisuuksien
paljastamisen selvittämiseksi laissa säädetyin
edellytyksin. Oikeus ei koskisi kiinteän tai
matkapuhelinverkon puhelinpalvelujen tunnistamistietoja.
Yrityssalaisuuksien rikkominen voi tapahtua hyvin monella tavalla
(keskinäisillä tapaamisilla, puhelimitse, postitse
jne.). Sähköpostiviestit eivät välttämättä muodosta
kovin todennäköistä tai merkittävää osuutta
tällaisessa toiminnassa. Silti voidaan pitää perusteltuna,
että valvontamahdollisuus ulotetaan tavalla tai toisella
myös yrityssalaisuuksien vuotamiseen sähköpostin välityksellä.
Esityksen perustelujen mukaan nykysäännösten
mukaan käytettävissä olevien "tietojen
avulla pystytään vain poikkeuksellisesti selvittämään
yrityssalaisuuden paljastaminen kokonaisuudessaan". Perusteluista
ei ilmene, onko tarkoitus, että ehdotettujen muutosten
jälkeen yritykset voisivat selvittää yrityssalaisuuden
paljastamisen "kokonaisuudessaan" ja mitä tällä tarkoitetaan.
Yritykset voivat jo nyt käyttää esimerkiksi
järjestelmiä, jotka pitävät
kirjaa siitä, kuka on muokannut, tallentanut, tulostanut
ja siirtänyt mitäkin tietoa, ja tutkia näitä tietoja.
Pakkokeinolain mukaan poliisi tarvitsee tunnistamistietojen
käsittelyyn oikeuden myöntämän
televalvontaluvan, joka voidaan myöntää vain
tiettyjen törkeinä pidettyjen rikosten tutkimiseksi,
eikä yrityssalaisuuden rikkominen kuulu näihin
rikoksiin. Valiokunta katsoo, ettei ole perusteltua jättää yrityssalaisuuden
vuotamista sähköpostin välityksellä "harmaaksi
alueeksi", jota ei voitaisi lainkaan selvittää.
Valiokunta pitää kuitenkin tärkeänä,
että liikenne- ja viestintävaliokunta vielä tutkii,
onko lakiehdotuksen mukainen työnantajan ja poliisin valtuuksien
välinen rajanveto järkevä ja perusteltu.
Lakiehdotuksen 13 d §:n 3 momentin 2 kohdan
mukaan tunnistamistietojen käyttö edellyttää,
että kyseessä on elinkeinotoiminnan kannalta keskeinen
yrityssalaisuus. Liikenne- ja viestintäministeriön
lausunnon mukaan keskeisinä yrityssalaisuuksina voitaisiin
pitää niitä tietoja, joiden käsittelystä ja
suojaamisesta elinkeinonharjoittaja on laatinut erityiset ohjeet
ja suojaamiskäytännöt, kuten 13 b §:ssä edellytetään.
Valiokunta katsoo, että säännöstä tulisi
täsmentää ministeriön lausunnossa
esitetyllä tavalla, jotta sen soveltamisessa ei tulisi
ongelmia.
Lakiehdotuksessa tavoiteltu suoja ulotetaan myös yhteisötilaajan
yhteistyökumppanin keskeisiin yrityssalaisuuksiin. Yritysten
entistä verkottuneempi toimintatapa lisää tilanteita,
joissa toisella yrityksellä on hallussaan yrityksen toiminnan
kannalta keskeisiäkin yrityssalaisuuksia. Esityksessä ei
kuitenkaan ole laajemmin pohdittu, millaisia tilanteita voi käytännössä syntyä ja
mikä on tiedon vastaanottajan vastuu, kun työntekijä tarjoutuu
toimittamaan tällaisia tietoja tai kilpailijayritys tai
yhteistyökumppani houkuttelee työntekijän
luovuttamaan tietoja ja hyödyntää niitä omassa
toiminnassaan. Valiokunta katsoo, että myös näitä kysymyksiä tulisi selvittää.
Valvonta ja seuranta
Lakiehdotuksen mukaan yhteisötilaajan tunnistamistietojen
käsittelyä valvoo tietosuojavaltuutettu. Esityksen
perusteluissa todetaan, että tietosuojavaltuutetun toimistolla
ei pienenä yksikkönä ole mahdollisuuksia
sisäisin järjestelyin kohdentaa resursseja uuteen
valvontatehtävään. Näin ollen
lakiehdotuksen mukaisen valvonnan toteuttaminen edellyttää kahden
erityisasiantuntijan ja yhden toimistohenkilön palkkaamista, mikä merkitsee
vuositasolla arviolta 260 000 euron määrärahalisäystä.
Lakiehdotuksen mukaan valvontatehtävästä voidaan
periä maksu yhteisötilaajalta.
Valiokunta pitää tärkeänä,
että valvontaan osoitetaan riittävästi
resursseja niin, että säännösten
noudattamista voidaan tehokkaasti valvoa. Tietosuojavaltuutetun
toimistolle voidaan odottaa tulevan runsaasti lain sisältöä ja
soveltamista koskevia kysymyksiä, joten resursseja tarvitaan
myös neuvontaan ja ohjaamiseen. Samalla valiokunta korostaa,
että lain vaikutuksia ja valvonnan tehokkuutta tulee seurata
ja arvioida.
Rangaistussäännös
Esityksen perustelujen mukaan tunnistamistietojen käsittelyn
oikeusturvatakeiden voidaan arvioida olevan verrattavissa
yksityisyyden suojasta työelämässä annetun
lain oikeusturvajärjestelyihin. Lakiehdotuksen 42 §:n
rangaistussäännöksessä ehdotetaan
kuitenkin, että tunnistamistietojen käsittely
lain vastaisesti olisi rangaistavaa vain, jos se on tahallista.
Yksityisyyden suojasta työelämässä annetun
lain rikkomukset ovat rangaistavia myös silloin, kun työnantaja
tai tämän edustaja on toiminut törkeän huolimattomasti.
Esityksen perusteluista ei ilmene, miksi sähköisen
viestinnän tietosuojarikkomukset olisivat rangaistavia
vain tahallisina. Valiokunnan mielestä liikenne- ja viestintävaliokunnan
tulee selvittää, pitäisikö tunnistamistietojen
luvattoman käytön ja lain mukaisten selvitysten
ja ilmoitusten antamatta jättämisen olla rangaistavaa
paitsi tahallisena myös törkeän huolimattomuuden
perusteella.
Muuta
Valiokunta toteaa, että lakiehdotuksen 13 f §:ssä on
väärä momenttiviittaus 13 d §:n
1 momenttiin, sillä mainitussa 1 momentissa säädetään vain
automaattisesta käsittelystä. Lakiehdotuksesta
puuttuvat lukuotsikot, mikä vaikeuttaa lain hahmottamista.