YRITTÄJÄ, tule mukaan omiesi pariin! Liity Yrittäjiin.

JÄSEN, oletko jo ladannut Yrittäjät-sovelluksen puhelimeesi? Lataa sovellus Androidille tai Applelle.

1.6.2006 klo 13:05
Lausunto

Luonnos hallituksen esitykseksi sähköisen viestinnän tietosuojalain muuttamisesta

Liikenne- ja viestintäministeriö

Liikenne- ja viestintäministeriö on pyytänyt Suomen Yrittäjät ry:ltä lausuntoa otsikkoasiassa. Suomen Yrittäjät lausuu asiasta kunnioittavasti seuraavaa:

Sähköisen viestinnän tietosuojalailla on tärkeä merkitys sähköisen viestinnän sääntelyssä ja se vaikuttaa laajasti läpi Suomen yrityskentän. Tämän vuoksi on erityisen tärkeää, että sääntely olisi selkeää, yksiselitteistä ja täsmällistä siten, että lain soveltaminen käytännön toiminnassa on helppoa. Nykymuodossaan tai ehdotettujen muutosten jälkeenkään lakia ei voi pitää sillä tavoin selkeänä, että ns. keskiverto yritys tai kansalainen sen perusteella pääsisi selville oikeusohjeiden sisällöstä.

Pidämme kuitenkin kannatettavina ehdotuksen lähtökohtia siitä, että yritysten mahdollisuuksia ja oikeuksia turvata toimintaansa ja reagoida viestintäverkkoonsa ja -palveluihin kohdistuviin väärinkäytöksiin lisätään. On myös tärkeää, että yritys voi tehokkaasti reagoida ja torjua yrityssalaisuuksiinsa kohdistuvia uhkatekijöitä myös sähköisessä viestinnässä. Pidämme hyvänä myös ehdotusta, jonka mukaan teleyrityksen on annettava tilaajalle tai käyttäjälle täydellinen erittely palveluittain sellaisista yhteyksistä, joista aiheutuu tilaajalle tai käyttäjälle muita kuin viestintäpalvelun käytöstä johtuvia maksuja. Ehdotus ei mielestämme ole kuitenkaan sääntelytavaltaan täysin onnistunut vaan sääntelyn jäykkyys ja monimutkaisuus sekä käytettyjen käsitteiden sekavuus aiheuttavat sen, että kokonaisuudesta tulee käytännön soveltajalle vaikea.

Ensimmäisenä haluamme nostaa esille ehdotuksen 2 §:n mukaisen yhteisötilaajan epäselvän määritelmän. Ehdotetun pykälän virke ”…taikka jolla muutoin on oikeus käsitellä liittymänsä tai päätelaitteensa näitä tietoja” on epäselvä eikä yksiselitteisesti määritä sitä, kuka on lain tarkoittama yhteisötilaajaa. Ehdotettua lainkohtaa voidaan tulkita siten, että jokainen yritys jolla on viestintäpalveluiden yritysliittymä, olisi yhteisötilaaja. Mikäli tätä todella on tarkoitettu, pidämme laajennusta tarpeettomana etenkin, kun muutokselle ei ole esitetty selkeitä, yksityiskohtaisia perusteluja.

Edelleen ehdotetussa 13 §:n 2 momentissa säädetään, että yhteisötilaaja voi käsitellä tunnistamistietoja viestintäverkkojensa ja palvelujensa luvattoman käytön ja käytöstä aiheutuvien kustannusten havaitsemiseksi, estämiseksi ja selvittämiseksi sekä esitutkintaan saattamiseksi. Ehdotetussa lainkohdassa ei viitata rikoslain 28 luvun 7 §:n tarkoittamaan luvattomaan käyttöön. Perusteluissa mainittua rikoslain kohtaa kuitenkin käsitellään. Epäselväksi jää tarkoitetaanko luvattomalla käytöllä nyt nimenomaan rikoslain 28 luvun 7 §:n tarkoittamaa luvatonta käyttöä vai merkitseekö käsite jotain muuta. Näkemyksemme mukaan luvattoman käytön käsitettä ei tulisi sitoa rikoslain luvattoman käytön tunnusmerkistön täyttymiseen vaan sen tulisi kattaa myös esimerkiksi työsuhteen ehtojen vastainen yhteisötilaajan viestintäverkkojen ja palveluiden käyttö.

Katsomme myös, että ehdotettuun sääntelytapaan, jossa esimerkiksi yhteisötilaajan tunnistamistietojen käsittelyoikeuksia sidotaan tietyissä tilanteissa yksittäisten rikostunnusmerkistöjen mahdolliseen täyttymiseen, liittyy ongelmia. On vaikea nähdä, kuinka esimerkiksi pienessä tai keskisuuressa yrityksessä (jos tämä on yhteisötilaajan asemassa) olisi mahdollisuus tehdä rikosoikeudellinen arvio tunnusmerkistön mahdollisesta täyttymisestä ennen 13 §:n 2 momentin (jos luvattomalla käytöllä tarkoitetaan rikoslain 28 luvun 7 §:n mukaista luvatonta käyttöä) tai 20 §:n tarkoittamaa tunnistamistietojen käsittelyä tai viestin sisältöön puuttumista. Vastaava ongelma liittyy ehdotettuun 36a §:n 2 momenttiin, jonka perustelujen mukaan yhteisötilaajalla tulisi olla perusteltu syy epäillä omaan toimintaansa kohdistuvaa säännöksessä tarkoitettua rikosta ennen tunnistamistietojen käsittelyä ja luovuttamista poliisille. Rikosoikeudellisen arvion tekeminen vaatii aina juridista osaamista ja muutoinkin lähtökohtaisesti tällaisen arvion voi tehdä ainoastaan viranomainen ja rikosepäilyvaiheessa nimenomaan poliisi.

Siten mainitut edellytykset tunnistamistietojen käsittelylle ja viestinnän sisältöön puuttumiselle voivat estää ehdotuksen sinänsä hyvien ja kannatettavien tavoitteiden toteutumisen käytännön yritystasolla. Täytyy huomata, että väärä rikosoikeudellinen arvio ja tunnistamistietojen käsittely tai viestin sisältöön puuttuminen tämän perusteella saattaa itsessään merkitä viestinnän luottamuksellisuuteen kohdistuvaa rikosta. Lisäksi tulee muistaa, että yritys – vaikka ei olisikaan viestinnän osapuoli sinänsä – on työnantajana taho, jolla tulisi olla nyt ehdotettua sääntelyä joustavampi oikeus kontrolloida viestintävälineiden käyttöä ja reagoida tehokkaasti väärinkäytöksiin ja estää yrityssalaisuuksien leviäminen. Tällöin myös tunnistamistietojen käsittely ja viestin sisältöön puuttuminen tulisi olla mahdollista. Yritysten mainittuja oikeuksia ei tulisi sitoa monimutkaisiin menettelyihin tai velvollisuuksiin arvioida yksittäisten rikostunnusmerkistöjen täyttymistä. Sääntely yksittäistapauksien näkökulmasta on ongelmallinen myös siksi, että tällöin puututaan ensisijaisesti ajan ilmiöihin eikä pyritä kokonaisvaltaiseen tietoturvan hallintaan, jonka tulisi olla tämän kaltaisten säädösten osalta ensisijainen tavoite.

Huomautamme, että henkilötietolain tarkoittamien henkilötietojen käsittely rakentuu joustaville säännöksille ja periaatteille, joten tunnistamistietojen käsittelyn oikeudet voitaisiin toteuttaa vastaavalla tavalla ottamalla mallia henkilötietolain sääntelymekanismista. Haluamme tähdentää, että joustavammankaan sääntelyn alaisuudessa yritys ei saisi puuttua viestinnän luottamuksellisuuteen ja viestinnän osapuolten yksityisyyden suojaan enempää kuin se olisi tunnistamistietojen tai viestin sisällön käsittelyn tarkoituksen kannalta välttämätöntä. Luonnollisesti silloin, kun yritys on itse viestinnän osapuolena, voi yritys nykyisenkin sääntelyn mukaan rajoituksetta käsitellä tunnistamistietoja.

Toteamme vielä, että jokaisella yrityksellä on itsenäinen intressi huolehtia tietoturvastaan omien riskianalyysiensa perusteella. Koska mainittu intressi yrityksillä jo on, emme pidä perusteltuna, että yrityksille yhteisötilaajina asetettaisiin erityinen tietoturvavelvoite lain tasolla ehdotetun 19 §:n 1 momentin mukaisella tavalla.

SUOMEN YRITTÄJÄT RY

Jussi Järventaus
toimitusjohtaja

Janne Makkula
lainopillinen asiamies