GRUNDLAGSUTSKOTTETS UTLÅTANDE 29/2008 rd

GrUU 29/2008 rd - RP 48/2008 rd

Granskad version 2.1

Regeringens proposition med förslag till lag om ändring av lagen om dataskydd vid elektronisk kommunikation och vissa lagar som har samband med den

Till kommunikationsutskottet

INLEDNING

Remiss

Riksdagen remitterade den 29 april 2008 en proposition med förslag till lag om ändring av lagen om dataskydd vid elektronisk kommunikation och vissa lagar som har samband med den (RP 48/2008 rd) till kommunikationsutskottet för beredning och bestämde samtidigt att grundlagsutskottet ska lämna utlåtande i ärendet till kommunikationsutskottet.

Sakkunniga

Utskottet har hört

kommunikationsråd Juhapekka Ristola, kommunikationsministeriet

dataombudsman Reijo Aarnio

professor Mikael Hidén

professor Jukka Kemppinen

professor Olli Mäenpää

professor Tuomas Ojanen

professor Teuvo Pohjolainen

professor Ahti Saarenpää

professor Veli-Pekka Viljanen

Dessutom har utskottet fått skriftligt utlåtande från

  • professor Kaarlo Tuori.

PROPOSITIONEN

I propositionen föreslår regeringen ändringar i lagen om dataskydd vid elektronisk kommunikation. Dessutom föreslås vissa ändringar av närmast teknisk karaktär i lagen om integritetsskydd i arbetslivet, lagen om samarbete inom företag och lagen om samarbete inom statens ämbetsverk och inrättningar.

Lagen om dataskydd vid elektronisk kommunikation föreslås få en bestämmelse om bland andra sammanslutningsabonnenters rätt att på vissa villkor behandla identifieringsuppgifter i elektronisk kommunikation för att utreda olovlig användning av avgiftsbelagda informationssamhällstjänster eller kommunikationsnät, användning av kommunikationstjänster i strid med anvisningarna och röjande av företagshemligheter.

Lagarna avses träda i kraft den 1 januari 2009.

I den ingående motiveringen till lagstiftningsordningen bedöms regleringen med hänsyn till 10 § i grundlagen som skyddar hemligheten i fråga om förtroliga meddelanden, 15 § i grundlagen som föreskriver om egendomsskydd och 18 § i grundlagen som reglerar näringsfriheten. Enligt propositionen kan lagförslaget behandlas i vanlig lagstiftningsordning. Men regeringen anser det viktigt att utlåtande inhämtas av grundlagsutskottet.

UTSKOTTETS ÖVERVÄGANDEN

Motivering

Skyddet för förtroliga meddelanden
Förslaget.

På grundval av det första lagförslaget har sammanslutningsabonnenter rätt att behandla identifieringsuppgifter i elektronisk kommunikation för att utreda om avgiftsbelagda informationssamhällstjänster eller kommunikationsnät har använts olovligt och om kommunikationstjänster används i strid med anvisningarna. Identifieringsuppgifter ska också få behandlas för att utreda om någon har röjt företagshemligheter. Däremot ska sammanslutningsabonnenter inte ha rätt att få information om innehållet i meddelandena.

Sammanslutningsabonnenters rätt att få identifieringsuppgifter gäller bara om de uppfyller vissa allmänna krav på hög nivå på dataskyddet och skydd för företagshemligheter som anges närmare i lagen. Dessutom kräver lagen att sammanslutningsabonnenter i egenskap av arbetsgivare i förväg ska ta upp frågan om att behandla identifieringsuppgifter i samarbetsförfarande och informera personalen eller personalrepresentanter om sina beslut. Vidare är sammanslutningsabonnenter skyldiga att i förväg underrätta dataombudsmannen att de kommer att behandla identifieringsuppgifter.

Efteråt ska sammanslutningsabonnenterna sammanställa en rapport om den manuella behandlingen av identifieringsuppgifter och lämna den för kännedom till den som behandlingen gäller. Dessutom ska dataombudsmannen och personalrepresentanten årligen få en rapport om manuell behandling av identifieringsuppgifter.

Lagen ställer också vissa andra krav som ska vara uppfyllda innan manuell behandling får göras. Sammanslutningsabonnenter måste ha grundad anledning att misstänka att någon har missbrukat nätet eller en tjänst på ett sätt som strider mot anvisningarna eller utan tillstånd har lämnat ut en företagshemlighet till någon utomstående. Dessutom är allvarligt missbruk eller röjande av företagshemlighet förenade med vissa krav på relevansnivå.

Grunden för bedömningen.

Bestämmelserna om sammanslutningsabonnenters rätt att behandla identifieringsuppgifter i elektronisk kommunikation är av relevans med avseende på grundlagsskyddet för hemligheten i fråga om förtroliga meddelanden. Enligt 10 § i grundlagen är brevhemligheten, telefonhemligheten och hemligheten i fråga om andra förtroliga meddelanden okränkbar. I 3 mom. sägs att det genom lag också kan bestämmas om sådana begränsningar i meddelandehemligheten som är nödvändiga vid utredning av brott som äventyrar individens eller samhällets säkerhet eller hemfriden, vid rätttegång och säkerhetskontroll och under frihetsberövande. Det primära syftet med grundlagsbestämmelserna är att skydda förtroliga meddelanden mot utomstående (RP 309/1993 rd). I sin praxis har grundlagsutskottet ansett att identifieringsuppgifter för meddelanden inte ingår i det kärnområde av de grundläggande fri- och rättigheterna som skyddar hemligheten i fråga om förtroliga meddelanden (GrUU 23/2006 rd, GrUU 3/2008 rd). I samma sammanhang har utskottet ansett det möjligt att rätten att få identifieringsuppgifter inte binds vid vissa typer av brott (GrUU 9/2004 rd). Men också regler som ingriper i hemligheten i fråga om identifieringsuppgifter måste uppfylla de allmänna kraven på rätt att införa begränsningar i de grundläggande fri- och rättigheterna (GrUU 23/2006 rd).

Förslaget gäller rätt för privata aktörer, vanligen i arbetsgivarställning, att på vissa villkor behandla identifieringsuppgifter i elektronisk kommunikation mellan ett annat företag och en tredje part. Arbetsgivaren är då inte part i en konfidentiell kommunikation (jfr GrUU 10/2004 rd). I en konstellation liknande den som regeringen nu föreslår har grundlagsutskottet inte bedömt regleringen direkt i relation till de tillåtna begränsningarna enligt 10 § 3 mom. i grundlagen som åtminstone i första hand gäller ingrepp från det allmännas sida (GrUU 47/1996 rd). Utskottet har i stället koncentrerat sig på begränsningarnas acceptans, exakta avgränsning och proportionalitet. I bedömningen av om begränsningarna är proportionella eller inte gick utskottet då särskilt in på vilket behov av information en privat aktör har i relation till målet med bestämmelserna. Att begränsa rätten att få information bara till nödvändiga uppgifter som står i rätt proportion till målet, i det då aktuella fallet till ofullständiga uppgifter, var inget problem med avseende på 10 § 2 mom. i grundlagen. Däremot hade det varit nödvändigt att ta hänsyn till 10 § 3 mom. i grundlagen om privata aktörer hade fått ännu större rätt att få information.

Det är i och för sig klart att behovet av att få information i det aktuella förslaget gäller identifieringsuppgifter i kommunikation, exempelvis mottagarens e-postadress, i sin helhet. Regleringen måste även i övrigt bedömas med avseende på de generella villkoren för att begränsa de grundläggande fri- och rättigheterna.

Bestämmelserna är av relevans också med avseende på artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna. Artikeln föreskriver att var och en har rätt till skydd för bland annat sitt privatliv och sin korrespondens och täcker också in konfidentiell kommunikation. I målet Copland mot Förenade Konungariket (dom 3.4.2007) framhåller Europeiska domstolen för de mänskliga rättigheterna rent generellt att telefonsamtal som rings från affärslokaler a priori ingår i skyddet för privatliv och korrespondens enligt artikel 8. En logisk konsekvens är då enligt domstolen att e-postmeddelanden som sänds från arbetsplatsen, liksom också information som samlats in om privat användning av Internet, ingår i skyddet enligt artikel 8. I fallet ansågs Förenade Konungariket ha brutit mot artikel 8 när telefonsamtal, e-postmeddelanden och Internetanvändning hade övervakats när det gäller en arbetstagare på en allmän läroanstalt utan att övervakningen uppfyllde kravet enligt konventionen på att rätten till övervakning måste föreskrivas i lag. Domstolen uteslöt dock inte möjligheten att övervakning av en anställds telefonsamtal, e-postmeddelanden och Internetanvändning under vissa omständigheter kan anses vara nödvändigt i ett demokratiskt samhälle i den mening som konventionen avser.

Sammanslutningsabonnentens rätt att behandla uppgifter för att utreda om företagshemligheter har röjts.

Ett av de primära syftena med bestämmelsen om företagshemligheter är att förhindra och utreda att inte viktiga företagshemligheter eller betydande resultat av utvecklingsarbete som är viktigt för att starta eller bedriva näringsverksamhet olovligt röjs. Stora företagshemligheter kan ha så stor företagsekonomisk betydelse för företagets värde och de ekonomiska villkoren för näringsverksamheten att de måste betraktas som godtagbara och tungt vägande skäl för begränsningar i kommunikationen via nätet.

Med avseende på proportionalitetsprincipen är det viktigt att medel som inte gör ingrepp i användarnas konfidentiella kommunikation både enligt 13 a—13 h § och enligt 8 § 3 mom. är primära för att trygga konfidentialiteten i företagshemligheter. Exempel på detta är i synnerhet 13 b § där sammanslutningsabonnenter förpliktas att se till datasäkerheten, skydda företagshemligheter och ange vad som är tillåtna respektive förbjudna metoder att behandla företagshemligheter. Enligt utskottets uppfattning innebär skyldigheterna i 13 b § bland annat att en sammanslutningsabonnent inte har rätt att behandla identifieringsuppgifter innan den har uttömt alla andra dataadministrativa medel som lagen tillåter för att förhindra att företagshemligheter läcks ut till utomstående. Behandling av identifieringsuppgifter ska vara den sista utvägen och sättas in bara om det är uppenbart att det inte finns några andra metoder för att utreda om företagshemligheter har röjts. Samtidigt vill utskottet understryka att behandling av identifieringsuppgifter på grund av kraven i 8 § 3 mom. bara är tillåten i den omfattning som syftet kräver och att det inte är tillåtet att begränsa skyddet för förtroliga meddelanden mer än nödvändigt. Identifieringsuppgifter får alltså till exempel bara behandlas så mycket att sammanslutningsabonnenten på ett adekvat sätt kan specificera en anmälan eller begäran om utredning till polisen. Med denna tolkning och tillämpning är bestämmelserna inget problem med avseende på proportionalitetsprincipen.

Utskottet noterar att 13 b § 1 mom. är så utformat att skyldigheten att se till datasäkerheten inte gäller fall då man avser att förhindra att företagshemligheter röjs. Att döma av motiven till propositionen var det inte meningen heller. Följaktligen måste bestämmelsen bedömas med avseende på syftet med propositionen, nämligen att skyldigheten att se till datasäkerheten också gäller dessa fall.

En sammanslutningsabonnent får behandla identifieringsuppgifter manuellt, om det finns grundad anledning att misstänka att en företagshemlighet olovligen har röjts för utomstående, föreskrivs det i 13 d § 2 mom. Detta är villkorat bland annat med att en företagshemlighet offentliggörs eller utnyttjas olovligen eller att sammanslutningsabonnenten i ett enskilt fall på grundval av jämförbara allmänt konstaterbara omständigheter har anledning att misstänka att en företagshemlighet olovligen har röjts för en utomstående. Med avseende på att begränsningar måste uppfylla proportionalitetsprincipen, vara specificerade och exakt avgränsade är det viktigt att manuell behandling bara är tillåten om det dessutom finns grundad anledning att misstänka att företagshemligheter de facto har getts ut via nätet. Detta måste nämnas i bestämmelsen. Dessutom måste 13 d § preciseras så att villkoren i 1—5 punkten delas upp dels i villkor som gäller vid misstanke om att företagshemligheter har röjts, dels i villkor som gäller vid misstanke om missbruk. Utskottet menar att villkoren i åtminstone punkt 2 och 3 inte kan ge rätt att behandla identifieringsuppgifter i det första fallet.

Med avseende på proportionalitetskravet bör det framhållas att en sammanslutningsabonnent som är arbetsgivare för att utreda om företagshemligheter har röjts enligt 13 e § 2 mom. bara har rätt att behandla sådana användares identifieringsuppgifter som av sammanslutningsabonnenten har fått tillgång eller som i övrigt har tillgång till företagshemligheter på ett sätt som sammanslutningsabonnenten har godkänt. Behöriga bestämmelser om krav på att behandlingen ska stå i rätt proportion till syftet och vara nödvändig finns i 8 § 3 mom. och 13 d § 4 mom. Det spelar också en roll att det finns en gradering mellan behandling genom automatisk sökfunktion och manuell behandling. Det innebär att manuell behandling har en avgjort sekundär position och inte får tilllämpas annat än på de lagstadgade villkoren. Det faktum att bestämmelserna uteslutande gäller viktiga företagshemligheter och betydande resultat av utvecklingsarbete ställer vissa relevanskrav på rätt att behandla identifieringsuppgifter.

Ett smärre brist i fråga om kraven på exakthet och exakt avgränsning är att lagen inte har någon definition på företagshemlighet. I motiven refererar regeringen emellertid till definitionen i strafflagen. Lagen bör preciseras i detta hänseende.

Med tanke på rättssäkerheten spelar följande bestämmer en roll: 13 c § om samarbetsförfarande och sammanslutningsabonnentens informationsskyldighet, 13 f § om rapportering av den manuella behandlingen av identifieringsuppgifter och skyldigheten att informera den som behandlingen gäller, 13 g § om skyldigheten att informera arbetstagarföreträdarna, 13 h § om skyldigheten att på förhand meddela dataombudsmannen att behandling av identifieringsuppgifter inleds och en årlig rapport. Det gäller också 42 § och straffbestämmelserna i den. Också bestämmelsen i 13 c § att identifieringsuppgifter bara får behandlas av personer som svarar för driften av och informationssäkerheten i sammanslutningsabonnentens kommunikationsnät och kommunikationstjänst och för säkerheten är av relevans för rättssäkerheten. Sammanfattningsvis kan man säga att kraven på rättssäkerhet är tillgodosedda i tillräckligt hög grad.

Sammanslutningsabonnentens rätt att behandla identifieringsuppgifter för att utreda olovlig användning av kommunikationsnätet eller användning av kommunikationstjänsten i strid med anvisningarna.

Bestämmelserna gäller situationer då en sammanslutningsabonnent har rätt att skydda sig mot att dess kommunikationsnät och avgiftsbelagda samhällstjänster används utan lov eller i strid med anvisningarna. Ett av de viktigaste syftena med detta är att förhindra att sammanslutningsabonnenten drabbas av ekonomiska förluster och att säkerställa att abonnentens nät fungerar. Den här typen av omständigheter kring egendomsskyddet som också rör möjligheterna att utöva och fullfölja yttrandefriheten är godtagbara och tungt vägande skäl för att begränsa kommunikation i datanätet (se GrUU 9/2004 rd).

Enligt 13 a § 2 mom. är det olovlig användning av kommunikationsnätet eller användning i strid med anvisningarna att installera anordningar, program eller tjänster i sammanslutningsabonnentens kommunikationsnät. Bestämmelsen har också en parallellklausul som innebär att annan användning av kommunikationsnätet eller kommunikationstjänster betraktas som missbruk. Ett villkor är att användningen strider mot de anvisningar av sammanslutningsabonnenten som avses i 13 b § 3 mom. Innebörden av olovligt brukande och brukande i strid med anvisningarna är i detta fall mycket ospecificerad med avseende på kravet att begränsningar i grundläggande fri- och rättigheterna måste var precisa och exakt avgränsade och i sista hand kan definieras av sammanslutningsabonnenten. Men sammanslutningsabonnentens rätt att behandla identifieringsuppgifter under dessa förutsättningar är begränsade genom villkoren i 13 d § 2—4 mom. Möjligheterna begränsas också av kravet i 8 § 3 mom. att behandlingen ska var nödvändig. Utskottet anser ändå att 13 a § bör preciseras till exempel med en mer heltäckande förteckning över vad som kan vara olovligt brukande eller brukande i strid med anvisningarna. Förteckningen kan sedan kompletteras genom en parallellklausul.

Dessutom påpekar utskottet att 13 a § 2 mom. innehåller ett cirkelbevis ("brukande … som strider mot anvisningarna är" "användning av … kommunikationstjänsten", "om den står i strid med de anvisningar…"). Ett likadant problem ingår i det inledande stycket till 13 d 2 mom. jämfört med punkt 5 i samma moment. Bestämmelserna bör följaktligen ses över.

Övrigt

Det är viktigt att den uppföljningsgrupp som enligt propositionen ska tillsättas vid kommunikationsministeriet också utvärderar tillämpningen av lagen med avseende på de grundläggande fri- och rättigheterna. Då bör det undersökas i vilken omfattning arbetsgivarna har utnyttjat de rättigheter som lagen ger dem, hur dataombudsmannens tillsynsuppdrag har utfallit och hur hemligheten i fråga om personalens meddelanden har tillgodosetts.

Utlåtande

Grundlagsutskottet anför

att lagförslaget kan behandlas i vanlig lagstiftningsordning.

Helsingfors den 13 november 2008

I den avgörande behandlingen deltog

  • ordf. Kimmo Sasi /saml
  • vordf. Jacob Söderman /sd
  • medl. Tuomo Hänninen /cent
  • Ulla Karvo /saml
  • Elsi Katainen /cent
  • Esko Kiviranta /cent
  • Kari Kärkkäinen /kd (delvis)
  • Elisabeth Nauclér /sv
  • Ville Niinistö /gröna
  • Mikaela Nylander /sv
  • Tuula Peltonen /sd (delvis)
  • Veijo Puhjo /vänst
  • Tapani Tölli /cent
  • Tuulikki Ukkola /saml
  • Antti Vuolanne /sd
  • ers. Johannes Koskinen /sd

Sekreterare var

utskottsråd Petri Helander