TYÖELÄMÄ- JA TASA-ARVOVALIOKUNNAN LAUSUNTO  14/2008 vp

TyVL 14/2008 vp - HE 48/2008 vp

Tarkistettu versio 2.0

Hallituksen esitys sähköisen viestinnän tietosuojalain ja eräiden siihen liittyvien lakien muuttamisesta

Liikenne- ja viestintävaliokunnalle

JOHDANTO

Vireilletulo

Eduskunta on 29 päivänä huhtikuuta 2008 lähettäessään hallituksen esityksen sähköisen viestinnän tietosuojalain ja eräiden siihen liittyvien lakien muuttamisesta (HE 48/2008 vp) valmistelevasti käsiteltäväksi liikenne- ja viestintävaliokuntaan samalla määrännyt, että työelämä- ja tasa-arvovaliokunnan on annettava asiasta lausunto liikenne- ja viestintävaliokunnalle.

Asiantuntijat

Valiokunnassa ovat olleet kuultavina

neuvotteleva virkamies Sanna Helopuro, liikenne- ja viestintäministeriö

lainsäädäntöneuvos Helena Hynynen, oikeusministeriö

hallitusneuvos Raila Kangasperko, työ- ja elinkeinoministeriö

päälakimies Timo Koskinen, Suomen Ammattiliittojen Keskusjärjestö SAK ry

lakimies Anja Lahermaa, Toimihenkilökeskusjärjestö STTK ry

lakimies Paula Ilveskivi, Akava ry

asiantuntija Mikko Nyyssölä, Elinkeinoelämän keskusliitto EK

lainopillinen asiantuntija Outi Tähtinen, Suomen Yrittäjät ry

puheenjohtaja Antti Rinne, Toimihenkilöunioni TU ry

johtaja, lakiasiat Satu Kangas, Viestinnän Keskusliitto

ylitarkastaja Sari Kajantie, Keskusrikospoliisi

lakimies Aino Rättyä, Elisa Oyj

konsultointijohtaja Olavi Köngäs, Netum Oy

turvallisuusjohtaja Rauno Hammarberg ja lakimies Mikko Niva, Nokia Oyj

lakimies Krister Kaipio, TeliaSonera Oyj

tietosuojavaltuutettu Reijo Aarnio

professori Seppo Koskinen

Lisäksi kirjallisen lausunnon on antanut Viestintävirasto.

HALLITUKSEN ESITYS

Esityksessä ehdotetaan muutettavaksi sähköisen viestinnän tietosuojalakia. Yksityisyyden suojasta työelämässä annettuun lakiin, yhteistoiminnasta yrityksissä annettuun lakiin sekä yhteistoiminnasta valtion virastoissa ja laitoksissa annettuun lakiin ehdotetaan lisäksi eräitä lähinnä teknisiä muutoksia.

Yhteisötilaajien oikeuksia käsitellä tunnistamistietoja teknistä kehittämistä varten sekä maksullisten tietoyhteiskunnan palvelujen ja viestintäverkkojen luvattoman käytön tai viestintäpalvelujen ohjeiden vastaisen käytön selvittämiseksi selkeytettäisiin. Teleyrityksille, lisäarvopalvelun tarjoajille ja yhteisötilaajille annettaisiin tietyin edellytyksin oikeus käsitellä tunnistamistietoja automaattisen tietojenkäsittelyn avulla tilastollista analyysiä varten.

Yhteisötilaajille annettaisiin tietyin edellytyksin oikeus käsitellä tunnistamistietoja, jos epäillään elinkeinotoiminnan kannalta keskeisten yrityssalaisuuksien luvatonta paljastamista. Yhteisötilaajat saisivat käsitellä tietoa muun muassa sähköpostiviestien lähettäjästä ja vastaanottajasta sekä lähetysajasta, mutta eivät viestin sisältöä.

Ehdotuksella parannettaisiin teleyritysten, lisäarvopalvelun tarjoajien ja yhteisötilaajien mahdollisuutta huolehtia viestintäverkkojen ja -palvelujen tietoturvasta.

Tietosuojavaltuutettu valvoisi yhteisötilaajien tunnistamistietojen käsittelyä väärinkäytöstilanteissa. Lisäksi Viestintävirastolla olisi aikaisempaa laajempi oikeus luovuttaa tietoja tietoturvaloukkausten ehkäisemiseksi ja selvittämiseksi.

Lait on tarkoitettu tulemaan voimaan 1 päivänä tammikuuta 2009.

VALIOKUNNAN KANNANOTOT

Perustelut

Yleistä

Työelämä- ja tasa-arvovaliokunta on käsitellyt asiaa oman toimialansa osalta ja keskittynyt kysymyksiin, jotka koskevat työnantajan oikeutta käsitellä työntekijän viestinnän tunnistamistietoja.

Esityksestä on pyydetty lausunto myös perustuslakivaliokunnalta. Perustuslakivaliokunta ei ole vielä antanut lausuntoaan asiasta. Työelämä- ja tasa-arvovaliokunta pitää perustuslakivaliokunnan lausuntoa asian käsittelyn kannalta olennaisena ja tärkeänä asiaan liittyvien monien perusoikeuskytkentöjen johdosta.

Voimassaolevan lain säännökset tunnistamistietojen käsittelystä ovat hyvin yleisellä tasolla, ja niiden soveltamisessa on ollut ongelmia. Valiokunta pitää tärkeänä, että asiasta saadaan selkeät säännökset, joiden soveltamisessa ei synny ongelmia.

Käsiteltävänä olevassa hallituksen esityksessä esitetään luotavaksi järjestelmä, joka "luo yhteisötilaajille velvoitteen huolehtia tietoturvasta ensisijaisesti muilla keinoilla". Näin ollen esityksen voidaan katsoa edistävän arjen tietoyhteiskuntakehityksen kannalta välttämätöntä oikeutta tietoturvallisuuteen. Koska Suomi on tuotekehityksen ja korkean teknologian johtavia maita, Suomella on erityinen kansallinen intressi suojella myös yrityssalaisuuksia.

Tietosuoja työelämässä

Tietosuojasta työelämässä on säädetty laissa yksityisyyden suojasta työelämässä, johon tässä hallituksen esityksessä esitetään lisättäväksi tunnistamistietojen käsittelyä koskeva viittaus sähköisen viestinnän tietosuojalakiin.

Valiokunta on useissa yhteyksissä korostanut, että työelämän lainsäädäntöön kohdistuvat muuta lainsäädäntöä suuremmat selkeys- ja ymmärrettävyysvaatimukset, koska kyse on säännöksistä, joita tulee pystyä tulkitsemaan kaikilla työpaikoilla myös ilman juridista asiantuntemusta.

Nyt käsiteltävänä oleva sähköisen viestinnän tietosuojalaki käsittelee hyvin vaikeasti hahmottuvia asioita ja käyttää runsaasti arkielämälle vieraita käsitteitä. Esimerkiksi työnantaja ja työntekijä ovat lakiehdotuksessa yleensä yhteisötilaaja ja käyttäjä. Yhteisötilaaja ei kuitenkaan ole sama kuin työnantaja, vaan joissakin säännöksissä käytetään ilmaisua "jos yhteisötilaaja on työnantaja".

Useat sähköisen viestinnän tietosuojalain säännökset tunnistamistietojen käsittelystä koskevat yhteisötilaajien (työnantajien) ohella myös teleyrityksiä ja lisäarvopalvelujen tarjoajia. Tämä tekee säännöksistä vielä monimutkaisempia ja vaikeammin ymmärrettäviä. Kuitenkin työpaikoilla tulisi pystyä toimimaan säännösten mukaan ja käsittelemään yhteistoimintamenettelyssä työnantajan tarjoamien viestintäpalvelujen käyttöön ja tunnistamistietojen selvittämiseen liittyviä järjestelmiä, menettelyjä ja ohjeita.

Valiokunta toteaa, että lakiehdotuksen ymmärrettävyydessä on runsaasti toivomisen varaa, kun otetaan huomioon, että sen säännöksiä pitää pystyä soveltamaan työpaikoilla, joissa sen enempää työnantajan kuin työntekijöidenkään edustajat eivät aina ole tietotekniikan ja lainsäädännön asiantuntijoita. Toinen vaihtoehto olisi ottaa yksityisyyden suojasta työelämässä annettuun lakiin säännökset työnantajan oikeudesta käsitellä työntekijän viestinnän tunnistamistietoja.

Säännösten vaikeaselkoisuus asettaa merkittävän koulutus- ja tiedotushaasteen niin viranomaisille kuin työmarkkinajärjestöillekin, jotta työpaikoilla pystytään toimimaan lain edellyttämällä tavalla. Tärkeää on, että säännöksistä laaditaan ennen lain voimaantuloa selkokieliset ohjeet, joiden pohjalta työpaikoilla voidaan kehittää lainmukaiset menettelytavat. Valiokunta pitää välttämättömänä, että lainsäädännön sisällöstä tiedotetaan hyvin eri tiedotuskanavia käyttäen niin, että tieto tavoittaa työnantajat ja työntekijät mahdollisimman kattavasti.

Väärinkäytöstapausten ennaltaehkäisy ja selvittäminen

Lakiehdotuksen mukaan tunnistamistietojen käsittely on vasta viimesijainen toimenpide. Ensisijaisesti työnantajan on suojattava viestintäverkkonsa ja -palvelunsa sekä yrityssalaisuutensa parantamalla tietoturvaa ja antamalla kirjalliset ohjeet siitä, miten työntekijät saavat verkkoa ja palveluja käyttää.

Valiokunta pitää tietoturvan kehittämistä ja ohjeistuksen parantamista hyvin tärkeänä ja katsoo, että näin voidaan ennaltaehkäistä ongelmia ja välttää tilanteet, joissa olisi tarvetta tunnistamistietojen käsittelylle. Jotta työntekijät voivat varautua tilanteeseen ja muuttaa toimintaansa lainmukaisten ohjeiden ja pelisääntöjen mukaiseksi, valiokunta pitää tärkeänä, että lakiehdotusta täsmennetään siten, että työnantaja voi käsitellä tunnistamistietoja vain siltä ajalta, jolloin tietoturvan parannukset ja käyttöä koskevat ohjeet ovat olleet käytössä ja työntekijöiden tiedossa.

Valiokunta painottaa erityisesti, että työpaikoilla tulee käsitellä tietoturvatarpeita ja viestinnän pelisääntöjä mahdollisimman avoimesti yhteistoimintalainsäädännön tarkoittamalla tavalla yhdessä kaikkien niiden työntekijöiden kanssa, joita asia koskee. Laaja käsittely ja pelisääntöjen laatiminen yhdessä henkilöstön kanssa luovat hyvän pohjan sääntöjen tuntemiselle ja noudattamiselle, jolloin tarvetta väärinkäytösten selvittämiselle ei tule.

Sekä työnantajan että työntekijöiden kannalta on tärkeää avoimesti ja ennakkoluulottamasti keskustella ja pohtia, mitä hyötyjä ja haittoja on siitä, että työntekijä käyttää työnantajan antamia työvälineitä myös omien asioidensa hoitoon, ja sopia sitten sellaisista käyttöohjeista, jotka vastaavat juuri kyseisen yrityksen ja sen työntekijöiden tarpeita. Kun laki koskee samalla tavoin pieniä ja suuria yrityksiä ja kaikkia toimialoja, on luonnollista, etteivät samat säännöt sovellu kaikkiin tilanteisiin.

Valiokunta pitää tärkeänä, että tunnistamistietojen käsittelyoikeus edellyttää työnantajan hankkivan sellaiset tietojärjestelmät, joista voidaan tarvittaessa helposti selvittää, onko joku tutkinut tunnistamistietoja tai avannut viestejä ilman lupaa. Jotta jälkikäteisvalvonta ja mahdollisten viestintäsalaisuuden loukkausten selvittäminen on mahdollista, tunnistamistietojen tutkimista ja viestien avaamista koskevat tiedot tulee myös säilyttää riittävän kauan.

Yrityssalaisuuksien paljastamisen selvittäminen

Voimassaoleva laki ei salli tunnistamistietojen käsittelyä yrityssalaisuuksien paljastamisen selvittämiseksi. Lakiehdotuksen mukaan työnantaja voisi käsitellä tunnistamistietoja yrityssalaisuuksien paljastamisen selvittämiseksi laissa säädetyin edellytyksin. Oikeus ei koskisi kiinteän tai matkapuhelinverkon puhelinpalvelujen tunnistamistietoja.

Yrityssalaisuuksien rikkominen voi tapahtua hyvin monella tavalla (keskinäisillä tapaamisilla, puhelimitse, postitse jne.). Sähköpostiviestit eivät välttämättä muodosta kovin todennäköistä tai merkittävää osuutta tällaisessa toiminnassa. Silti voidaan pitää perusteltuna, että valvontamahdollisuus ulotetaan tavalla tai toisella myös yrityssalaisuuksien vuotamiseen sähköpostin välityksellä.

Esityksen perustelujen mukaan nykysäännösten mukaan käytettävissä olevien "tietojen avulla pystytään vain poikkeuksellisesti selvittämään yrityssalaisuuden paljastaminen kokonaisuudessaan". Perusteluista ei ilmene, onko tarkoitus, että ehdotettujen muutosten jälkeen yritykset voisivat selvittää yrityssalaisuuden paljastamisen "kokonaisuudessaan" ja mitä tällä tarkoitetaan. Yritykset voivat jo nyt käyttää esimerkiksi järjestelmiä, jotka pitävät kirjaa siitä, kuka on muokannut, tallentanut, tulostanut ja siirtänyt mitäkin tietoa, ja tutkia näitä tietoja.

Pakkokeinolain mukaan poliisi tarvitsee tunnistamistietojen käsittelyyn oikeuden myöntämän televalvontaluvan, joka voidaan myöntää vain tiettyjen törkeinä pidettyjen rikosten tutkimiseksi, eikä yrityssalaisuuden rikkominen kuulu näihin rikoksiin. Valiokunta katsoo, ettei ole perusteltua jättää yrityssalaisuuden vuotamista sähköpostin välityksellä "harmaaksi alueeksi", jota ei voitaisi lainkaan selvittää. Valiokunta pitää kuitenkin tärkeänä, että liikenne- ja viestintävaliokunta vielä tutkii, onko lakiehdotuksen mukainen työnantajan ja poliisin valtuuksien välinen rajanveto järkevä ja perusteltu.

Lakiehdotuksen 13 d §:n 3 momentin 2 kohdan mukaan tunnistamistietojen käyttö edellyttää, että kyseessä on elinkeinotoiminnan kannalta keskeinen yrityssalaisuus. Liikenne- ja viestintäministeriön lausunnon mukaan keskeisinä yrityssalaisuuksina voitaisiin pitää niitä tietoja, joiden käsittelystä ja suojaamisesta elinkeinonharjoittaja on laatinut erityiset ohjeet ja suojaamiskäytännöt, kuten 13 b §:ssä edellytetään. Valiokunta katsoo, että säännöstä tulisi täsmentää ministeriön lausunnossa esitetyllä tavalla, jotta sen soveltamisessa ei tulisi ongelmia.

Lakiehdotuksessa tavoiteltu suoja ulotetaan myös yhteisötilaajan yhteistyökumppanin keskeisiin yrityssalaisuuksiin. Yritysten entistä verkottuneempi toimintatapa lisää tilanteita, joissa toisella yrityksellä on hallussaan yrityksen toiminnan kannalta keskeisiäkin yrityssalaisuuksia. Esityksessä ei kuitenkaan ole laajemmin pohdittu, millaisia tilanteita voi käytännössä syntyä ja mikä on tiedon vastaanottajan vastuu, kun työntekijä tarjoutuu toimittamaan tällaisia tietoja tai kilpailijayritys tai yhteistyökumppani houkuttelee työntekijän luovuttamaan tietoja ja hyödyntää niitä omassa toiminnassaan. Valiokunta katsoo, että myös näitä kysymyksiä tulisi selvittää.

Valvonta ja seuranta

Lakiehdotuksen mukaan yhteisötilaajan tunnistamistietojen käsittelyä valvoo tietosuojavaltuutettu. Esityksen perusteluissa todetaan, että tietosuojavaltuutetun toimistolla ei pienenä yksikkönä ole mahdollisuuksia sisäisin järjestelyin kohdentaa resursseja uuteen valvontatehtävään. Näin ollen lakiehdotuksen mukaisen valvonnan toteuttaminen edellyttää kahden erityisasiantuntijan ja yhden toimistohenkilön palkkaamista, mikä merkitsee vuositasolla arviolta 260 000 euron määrärahalisäystä. Lakiehdotuksen mukaan valvontatehtävästä voidaan periä maksu yhteisötilaajalta.

Valiokunta pitää tärkeänä, että valvontaan osoitetaan riittävästi resursseja niin, että säännösten noudattamista voidaan tehokkaasti valvoa. Tietosuojavaltuutetun toimistolle voidaan odottaa tulevan runsaasti lain sisältöä ja soveltamista koskevia kysymyksiä, joten resursseja tarvitaan myös neuvontaan ja ohjaamiseen. Samalla valiokunta korostaa, että lain vaikutuksia ja valvonnan tehokkuutta tulee seurata ja arvioida.

Rangaistussäännös

Esityksen perustelujen mukaan tunnistamistietojen käsittelyn oikeusturvatakeiden voidaan arvioida olevan verrattavissa yksityisyyden suojasta työelämässä annetun lain oikeusturvajärjestelyihin. Lakiehdotuksen 42 §:n rangaistussäännöksessä ehdotetaan kuitenkin, että tunnistamistietojen käsittely lain vastaisesti olisi rangaistavaa vain, jos se on tahallista. Yksityisyyden suojasta työelämässä annetun lain rikkomukset ovat rangaistavia myös silloin, kun työnantaja tai tämän edustaja on toiminut törkeän huolimattomasti.

Esityksen perusteluista ei ilmene, miksi sähköisen viestinnän tietosuojarikkomukset olisivat rangaistavia vain tahallisina. Valiokunnan mielestä liikenne- ja viestintävaliokunnan tulee selvittää, pitäisikö tunnistamistietojen luvattoman käytön ja lain mukaisten selvitysten ja ilmoitusten antamatta jättämisen olla rangaistavaa paitsi tahallisena myös törkeän huolimattomuuden perusteella.

Muuta

Valiokunta toteaa, että lakiehdotuksen 13 f §:ssä on väärä momenttiviittaus 13 d §:n 1 momenttiin, sillä mainitussa 1 momentissa säädetään vain automaattisesta käsittelystä. Lakiehdotuksesta puuttuvat lukuotsikot, mikä vaikeuttaa lain hahmottamista.

Lausunto

Lausuntonaan työelämä- ja tasa-arvovaliokunta esittää,

että liikenne- ja viestintävaliokunta ottaa edellä olevan huomioon.

Helsingissä 12 päivänä kesäkuuta 2008

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

  • pj. Arto Satonen /kok
  • vpj. Jukka Gustafsson /sd
  • jäs. Susanna Haapoja /kesk
  • Hannakaisa Heikkinen /kesk
  • Anna-Maja Henriksson /r
  • Arja Karhuvaara /kok (osittain)
  • Johanna Karimäki /vihr
  • Merja Kuusisto /sd
  • Esa Lahtela /sd
  • Jari Larikka /kok
  • Markus Mustajärvi /vas
  • Paula Sihto /kesk
  • Katja Taimela /sd
  • Tarja Tallqvist /kd (osittain)
  • Jyrki Yrttiaho /vas
  • vjäs. Lenita Toivakka /kok
  • Henna Virkkunen /kok

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Ritva Bäckström

ERIÄVÄ MIELIPIDE

Perustelut

Sähköistä viestintää ja sen valvontaa koskevan lainsäädännön uudistustarve on selkeä. Voimassa olevan lain säädökset tunnistamistietojen käsittelystä ovat ylimalkaisia ja aiheuttavat tulkintaongelmia. Sähköpostiliikenne on muodostanut harmaan alueen, jota ei ole voitu tutkia työnantajayrityksen tai viranomaisen, esimerkiksi poliisin toimesta edes niissä tilanteissa, kun on ollut aihetta epäillä yrityssalaisuuden vuotamista. Jokaisella yrityksellä on oikeus työnsä tuloksiin ja yritykseen kertyneeseen aineelliseen ja aineettomaan pääomaan. Sen suojaaminen väärinkäytöksiltä on joissain tilanteissa ollut kuitenkin hankalaa.

Hallituksen esitys toteutuessaan antaa mahdollisuuden torjua tunnistamistietoja käsittelemällä viestintäverkon luvatonta ja viestintäpalveluiden ohjeiden vastaista käyttöä. Samoin se antaa mahdollisuuden estää elinkeinotoiminnan kannalta keskeisten yrityssalaisuuksien luvatonta paljastamista, silloin kun välineenä käytetään sähköistä viestintää. Esimerkiksi työnantajan sähköpostijärjestelmän käyttö yrityssalaisuuden vuotamiskanavana olisi sama, kuin jos naamioitunut pankkiryöstäjä ryöstäisi pankin ja kävelisi tekonsa jälkeen seuraavalle kassalle ja tallettaisi saaliinsa omalle tililleen.

Jo hallituksen esityksen tekstiasu ja käsitteistö antavat hyvän kuvan siitä, että sähköinen viestintä teknisesti ja siihen liittyvä juridinen sääntely työpaikoilla, joilla eri osapuolten oikeudet ja velvollisuudet ovat vahvat, on äärimmäisen herkkää aluetta. Hallituksen esityksestä vastannut virkahenkilö kuvasikin omassa muistiossaan osuvasti, että kyse on kolmen keskenään jännitteellisen kokonaisuuden, teknisten, liiketoiminnallisten ja oikeudellisten vaatimusten yhteensovittamisesta.

Käsittääksemme hallituksen esitys lähtee hyvin pitkälle yritysten tarpeista. Vaikka ne olisivatkin sinällään perusteltuja, on syytä miettiä, olisiko samaan tavoitteeseen päästy toista kautta vaarantamatta yksityisyydensuojaa tilanteessa, jossa käytettävä teknologia ja järjestelmät sekä työelämä sinällään muuttuvat hyvin nopeasti. Peruskysymykseen, "kuka valvoo valvojaa" ei saatu asiantuntijakuulemisen aikana tyhjentävää vastausta. Esimerkiksi tietosuojavaltuutetun toimiston resurssit ovat hyvin niukat.

Nyt syntyvää tilannetta sähköpostiliikenteessä voi verrata käytäntöön, jossa normaali posti lähetetään avoimessa kirjekuoressa, mutta kaikkia, jotka seuraavat postin kulkua, kiellettäisiin lukemasta kirjeen sisältöä.

Nyt esitetylle sähköisen viestinnän tietosuojalaille ja eräiden siihen liittyvien lakien muuttamiselle olisi ollut kaksi vaihtoehtoista etenemistietä, jotka eivät olisi aiheuttaneet niin suuria epäilyjä ja uhkia yksityisyyden vaarantumiselle, kuin nyt tapahtuu. Ensinnäkin, työelämän käytäntöjen kannalta parempi ratkaisu olisi ollut, että yksityisyyden suojasta työelämässä annettuun lakiin olisi otettu asianmukaiset säännökset työnantajan oikeudesta käsitellä työntekijän viestien tunnistamistietoja. Toinen vaihtoehto olisi ollut lisätä ja tarkentaa poliisin valtuuksia niin, että se voisi näissä tilanteissa käsitellä tunnistamistietoja.

Mielipide

Edellä olevan perusteella esitämme,

että lakiehdotukset hylätään.

Helsingissä 12 päivänä kesäkuuta 2008

  • Markus Mustajärvi /vas
  • Jyrki Yrttiaho /vas
  • Esa Lahtela /sd
  • Merja Kuusisto /sd
  • Katja Taimela /sd
  • Jukka Gustafsson /sd
  • Tarja Tallqvist /kd

​​​​