FÖRVALTNINGSUTSKOTTETS UTLÅTANDE 32/2008 rd

FvUU 32/2008 rd - RP 48/2008 rd

Granskad version 2.0

Regeringens proposition med förslag till lag om ändring av lagen om dataskydd vid elektronisk kommunikation och vissa lagar som har samband med den

Till kommunikationsutskottet

INLEDNING

Remiss

Riksdagen remitterade den 29 april 2008 en proposition med förslag till lag om ändring av lagen om dataskydd vid elektronisk kommunikation och vissa lagar som har samband med den (RP 48/2008 rd) till kommunikationsutskottet för beredning och bestämde samtidigt att förvaltningsutskottet ska lämna utlåtande i ärendet till kommunikationsutskottet.

Sakkunniga

Utskottet har hört

konsultativ tjänsteman Sanna Helopuro, kommunikationsministeriet

ledande effektivitetsrevisor Tomi Voutilainen, Statens revisionsverk

lagstiftningsråd Helena Hynynen, justitieministeriet

polisdirektör Kimmo Hakonen, inrikesministeriet

regeringsråd Raila Kangasperko, arbets- och näringsministeriet

dataombudsman Reijo Aarnio

jurist Jarkko Saarimäki, Kommunikationsverket

specialrådgivare Mikko Nyyssölä, Finlands näringsliv

jurist Heikki Sipiläinen, Förbundet för den offentliga sektorn och välfärdsområdena JHL rf

professor Olli Mäenpää

Dessutom har skriftligt utlåtande lämnats av

  • Löntagarorganisationen Pardia
  • FiCom ry
  • professor Kaarlo Tuori.

PROPOSITIONEN

I propositionen föreslår regeringen att lagen om dataskydd vid elektronisk kommunikation ändras. Dessutom föreslås vissa ändringar av närmast teknisk karaktär i lagen om integritetsskydd i arbetslivet, lagen om samarbete inom företag och lagen om samarbete inom statens ämbetsverk och inrättningar.

Sammanslutningsabonnenternas rätt att behandla identifieringsuppgifter för teknisk utveckling och för att reda ut olovligt brukande av avgiftsbelagda informationssamhällstjänster eller kommunikationsnät och användning som strider mot anvisningarna för kommunikationstjänster förtydligas. Förslaget innebär att teleföretagen, de som tillhandahåller mervärdestjänster och sammanslutningsabonnenterna på vissa villkor ges rätt att med hjälp av automatisk databehandling behandla identifieringsuppgifter för statistisk analys.

Sammanslutningsabonnenter föreslås få rätt att på vissa villkor behandla identifieringsuppgifter, om det finns misstanke om olovligt röjande av företagshemligheter som är av central betydelse för näringsverksamheten. Sammanslutningsabonnenterna ska få behandla uppgifter om bland annat avsändaren och mottagaren av elektronisk post och tidpunkten för kommunikationen, men inte innehållet i meddelandet.

Genom förslaget förbättras möjligheterna för teleföretag, tillhandahållare av mervärdestjänster och sammanslutningsabonnenter att ha hand om datasäkerheten för kommunikationsnät och kommunikationstjänster.

Dataombudsmannen ska övervaka bestämmelserna om sammanslutningsabonnenternas rätt att behandla identifieringsuppgifter i missbrukssituationer. Dessutom föreslås Kommunikationsverket få mera omfattande rättigheter att lämna ut uppgifter i syfte att förebygga och utreda kränkningar av dataskyddet.

Lagarna avses träda i kraft den 1 januari 2009.

UTSKOTTETS ÖVERVÄGANDEN

Motivering

Allmänt

Propositionen ger aktörer, som vanligen är arbetsgivare, rätt att på vissa villkor behandla identifieringsuppgifter i elektronisk kommunikation mellan arbetstagare och en tredje part. Enligt det första lagförslaget ska sammanslutningsabonnenter ha rätt att behandla identifieringsuppgifter i elektronisk kommunikation i sitt kommunikationsnät för att utreda om någon olovligt har använt avgiftsbelagda informationssamhällstjänster eller använt kommunikationstjänster som strider mot anvisningarna. Enligt 2 § i lagen om dataskydd vid elektronisk kommunikation () avses med sammanslutningsabonnent ett företag eller en sammanslutning som är abonnent på kommunikations- eller mervärdestjänster. Däremot ska sammanslutningsabonnenter inte ha rätt att få information om innehållet i meddelanden.

Rätten att behandla identifieringsuppgifter förutsätter att en sammanslutningsabonnent har uppfyllt sin lagstadgade skyldighet att i förväg säkerställa högkvalitativ datasäkerhet och skydda sina företagshemligheter. En sammanslutningsabonnent som är arbetsgivare ska dessutom ta upp frågan om rätten att behandla identifieringsuppgifter i samarbetsförfarande och informera personalen. Dataombudsmannen utöver tillsyn över rätten.

Om villkoren för behandling av identifieringsuppgifter är uppfyllda, får en sammanslutningsabonnent behandla identifieringsuppgifter med hjälp av en automatisk sökfunktion och i vissa fall manuellt (13 d §). Syftet med den automatiska behandlingen är att avskilja identifieringsuppgifter för meddelanden som är förknippade med missbruk för manuell behandling. Uppgifterna får bara behandlas av personer med ansvar för underhåll, dataskydd och säkerhet i sammanslutningsabonnentens kommunikationsnät och kommunikationstjänster. Vid missbruk avslöjas enligt propositionen bara uppgifter om de som kommunicerat med varandra. Inte heller då ska abonnenten ha rätt att få information om innehållet. I 42 § ingår straffbestämmelser som gäller lagstridigt förfarande.

Propositionen motiveras med att den gällande lagen inte anses tillåta sammanslutningsabonnenter att själv samla in bevis på missbruk. Det har dessutom förekommit problem med att utreda och föra missbruk genom elektronisk kommunikation vidare till förundersökning som inte kunde förutses när lagen infördes. Därtill kommer att datasäkerhetshoten har förändrats och breddats avsevärt sedan lagen kom till.

Polisens befogenheter

När propositionen bereddes övervägdes möjligheten att låta bara polisen utreda fall av missbruk. Det har dock inte ansetts möjligt eftersom sammanslutningsabonnenterna är så många, missbruket så komplext, systemen så olika och uppdragen så resurskrävande. Propositionen gäller det dagliga underhållet av sammanslutningsabonnenternas kommunikationssystem och varje abonnent tar hand om den delen själv.

Brott mot företagshemligheten och olovligt bruk är som regel målsägandebrott. Polisen eller någon annan förundersökningsmyndighet ska göra förundersökning när det på grund av anmälan till den eller annars finns skäl att misstänka att ett brott har begåtts, föreskrivs det i 2 § i förundersökningslagen (). Men det har inte ansetts att den gällande lagen om dataskydd vid elektronisk kommunikation tillåter att en sammanslutningsabonnent själv samlar in bevis för missbruk. När målsäganden har anmält brottet utför polisen förundersökning. Förvaltningsutskottet understryker att sammanslutningsabonnenter bör få behandla identifieringsuppgifter bara i den omfattning att kan specificera sin anmälan eller begäran om undersökning för polisen tillräckligt utförligt.

Sammanslutningsabonnenters ställning och skyldigheter

Företag och andra sammanslutningsabonnenter ska i första hand försöka skydda sina kommunikationsnät och kommunikationstjänster och sina företagshemligheter genom användar-, administrations- och datasäkerhetsåtgärder. Dessutom måste användarna få tydliga regler för vad som är tillåtet respektive förbjudet i hanteringen av företagshemligheter. Behandling av identifieringsuppgifter ska vara den sista utvägen. Sammanslutningsabonnenter är skyldiga att öppet redovisa för behandlingen av identifieringsuppgifter och informera användarna. Skyldighet att informera och prioritering av åtgärder för effektiv datasäkerhet och skydd för företagshemligheter är absoluta krav för att också de anställda ska ha förtroende för de befogenheter som arbetsgivaren får genom den föreslagna ändringen av lagen om dataskydd vid elektronisk kommunikation.

Om identifieringsuppgifter trots allt måste behandlas i fall av missbruk, bör man i första hand behandla uppgifterna med en automatisk sökfunktion, påpekar förvaltningsutskottet. Sökningen kan göras utifrån meddelandena: storlek, sammantagen storlek, typ, antal, kontaktmetod eller adresser. Uppgifterna bör behandlas manuellt först när den automatiska sökfunktionen har upptäckt avvikelser.

En sammanslutningsabonnent är skyldig att informera om frågan, om den behandlar identifieringsuppgifter manuellt i fall av missbruk. På arbetsplatsen ska frågan behandlas i samarbetsförfarande (13 g §). Användare vars uppgifter har behandlats manuellt ska informeras skriftligt om detta och upplysas om vad åtgärden grundar sig på (13 e §). Dataombudsmannen utövar tillsyn över rätten att behandla identifieringsuppgifter. Abonnenterna är skyldig att lämna förhandsanmälan om behandlingen och avrapportera den också i efterhand (13 h §). Arbetsgivarens informations- och anmälningsskydighet, liksom också skyldigheten att rapportera både i förväg och i efterhand är viktiga skyldigheter med avseende på hela propositionen, påpekar utskottet. För användarna är det en viktig rättsskyddsfråga att de blir informerade om att identifieringsuppgifter om dem har behandlats manuellt.

Samma rättigheter och skyldigheter som gäller sammanslutningsabonnenter gäller även myndigheter eftersom också stat och kommun kan vara sammanslutningsabonnenter. Bestämmelserna är utformade så neutralt att de i förekommande fall kan tillämpas på myndigheter och deras verksamhet. Däremot kan bestämmelsen om olovligt röjande av företagshemlighet normalt inte tillämpas på myndigheter.

Dataombudsmannen

Genom förslaget ändras ansvarsfördelningen mellan Kommunikationsverket och dataombudsmannen när det handlar om att sammanslutningsabonnenter behandlar identifieringsuppgifter i fall av missbruk. Dataombudsmannen ska i enlighet med personuppgiftslagen () utöva tillsyn över behandlingen av personuppgifter. Enligt lagen om integritetsskydd i arbetslivet () är det arbetarskyddsmyndigheterna som tillsammans med dataombudsmannen övervakar att lagen följs. Företagen som arbetsgivare är en av de största grupperna sammanslutningsabonnenter. Därför är det enligt utskottet i konsekvensens namn lämpligt att dataombudsmannen också delvis övervakar att lagen om dataskydd vid elektronisk kommunikation följs.

I ett utlåtande till utskottet säger dataombudsmannen att lagövervakningen i och för sig är tydlig, men arbetsam. Förvaltningsutskottet anser att dataombudsmannens byrå bör få mer resurser för att kunna ta hand om övervakningen av lagen. En liten enhet som denna har inga möjligheter att omfördela resurserna internt för ett nytt övervakningsuppdrag. Dessutom är det viktigt att skyndsamt utreda möjligheten att inrätta en tjänst som biträdande dataombudsman. Det är nödvändigt att dataskyddet ska kunna ordnas enligt god förvaltningssed.

Utlåtande

Förvaltningsutskottet anser

att kommunikationsutskottet bör beakta det som sägs ovan.

Helsingfors den 13 november 2008

I den avgörande behandlingen deltog

  • ordf. Tapani Tölli /cent
  • vordf. Tapani Mäkinen /saml
  • medl. Thomas Blomqvist /sv
  • Maarit Feldt-Ranta /sd
  • Juha Hakola /saml
  • Rakel Hiltunen /sd
  • Heli Järvinen /gröna
  • Oiva Kaltiokumpu /cent
  • Elsi Katainen /cent
  • Valto Koski /sd
  • Pirkko Ruohonen-Lerner /saf
  • Lenita Toivakka /saml
  • Unto Valpas /vänst
  • ers. Veijo Puhjo /vänst

Sekreterare var

utskottsråd Tuula Sivonen

AVVIKANDE MENING

Motivering

Det är uppenbart att lagstiftningen om elektronisk kommunikation och övervakningen av den behöver ses över. De gällande bestämmelserna om behandling av identifieringsuppgifter är så allmänt utformade att de ger upphov till tolkningsproblem. E-posttrafiken har blivit en gråzon som inte har kunnat undersökas av arbetsgivaren eller myndigheterna, till exempel polisen, i fall då det har funnits anledning att misstänka att företagshemligheter har läckt ut. Varje företag har rätt att råda över resultatet av sitt arbete och företagets materiella och immaterialla kapital. Men i vissa fall har det varit svårt för företagen att skydda sig mot missbruk.

Genom behandling av identifieringsuppgifter erbjuder propositionen ett sätt att motverka olaglig användning av kommunikationsnät och användning av kommunikationstjänster i strid med anvisningarna. Dessutom medverkar lagförslaget till att förhindra att företagshemligheter som är viktiga för näringsverksamheten läcks ut via elektronisk kommunikation.

Textutformningen och begreppsapparaten i propositionen visar tydligt att elektronisk kommunikation rent tekniskt sett, men också i juridisk mening är ett extremt känsligt ämne på arbetsplatser där parterna har mycket starka rättigheter och skyldigheter.

Av allt att döma tar propositionen i hög grad fasta på företagens behov. Det kan förstås vara befogat, men man bör trots allt fundera över om man hade kunnat få samma resultat på något annat sätt utan att sätta integritetsskyddet på spel i ett läge då tekniken och systemen utvecklas i rasande takt. Vid utfrågningen av de sakkunniga fick vi inget uttömmande svar på den grundläggande frågan vem som "övervakar övervakaren"? Till exempel dataombudsmannens byrå har mycket knappa resurser.

Den uppkomna situationen i e-posttrafiken kan jämföras med att normal post skickas i öppet kuvert, men alla som bevakar postgången förbjuds att läsa innehållet.

Det hade funnits två tillvägagångssätt för att ändra lagen om dataskydd vid elektronisk kommunikation och de anknytande lagarna som inte hade gett upphov till så stora farhågor för och hot mot integritetsskyddet. För det första hade det varit en bättre lösning med avseende på arbetslivet att lagen om dataskydd vid elektronisk kommunikation hade fått direkta bestämmelser om rätt för arbetsgivaren att behandla identifieringsuppgifterna i meddelanden som arbetstagarna skickar. Det andra alternativet hade varit att ge polisen större och tydligare befogenheter att behandla identifieringsuppgifter i situationer som dessa.

Ståndpunkt

Vi anser

att förvaltningsutskottet i sitt utlåtande skulle ha föreslagit att lagförslaget förkastas.

Helsingfors den 13 november 2008

  • Unto Valpas /vänst
  • Pirkko Ruohonen-Lerner /saf
  • Veijo Puhjo /vänst