Kun voin joutua esittämään mielipiteitä asiassa virkani johdosta, olen varonut ottamasta siihen julkista kantaa.
Tilanne on päällä edelleen.
Kun ammattilaisenkin on vaikea hahmottaa, mitä työntekijöiden yksityisyydelle nyt on tapahtumassa, julkaisen pohjaksi pari katkelmaa hallituksen esityksestä 48/2008 ja perustuslakivaliokunnan lausunnosta.
Muutos on painotettu sähköisen viestinnän tietosuojalakiin (516/2004). Se koskee siis paljon laajempia joukkoja kuin esimerkiksi yrityksiä, joilla on yrityssalaisuuksia. Avainsana on ”yhteisötilaaja”.
Lakiin yksityisyyden suojasta työelämässä ehdotetaan muutosta, joka on luonteeltaan lähinnä viittaus.
Usein mainittu ”tunnistamistieto”:
"Tässä laissa tarkoitetaan - - - 8) tunnistamistiedolla tilaajaan tai käyttäjään yhdistettävissä olevaa tietoa, jota viestintäverkoissa käsitellään viestien siirtämiseksi, jakelemiseksi tai tarjolla pitämiseksi; - - -"
Usein mainittu ”yhteistötilaaja”:
"Tässä laissa tarkoitetaan - - - 11) yhteisötilaajalla viestintäpalvelun tai lisäarvopalvelun tilaajana olevaa yritystä tai yhteisöä, joka käsittelee viestintäverkossaan käyttäjien luottamuksellisia viestejä, tunnistamistietoja tai paikkatietoja; - - - "
”Esityksessä ehdotetaan muutettavaksi sähköisen viestinnän tietosuojalakia. Yksityisyyden suojasta työelämässä annettuun lakiin, yhteistoiminnasta yrityksissä annettuun lakiin sekä yhteistoiminnasta valtion virastoissa ja laitoksissa annettuun lakiin ehdotetaan lisäksi eräitä lähinnä teknisiä muutoksia.
Yhteisötilaajien oikeuksia käsitellä tunnistamistietoja teknistä kehittämistä varten sekä maksullisten tietoyhteiskunnan palvelujen ja viestintäverkkojen luvattoman käytön tai viestintäpalvelujen ohjeiden vastaisen käytön selvittämiseksi selkeytettäisiin. Teleyrityksille, lisäarvopalvelun tarjoajille ja yhteisötilaajille annettaisiin tietyin edellytyksin oikeus käsitellä tunnistamistietoja automaattisen tietojenkäsittelyn avulla tilastollista analyysiä varten.
Yhteisötilaajille annettaisiin tietyin edellytyksin oikeus käsitellä tunnistamistietoja, jos epäillään elinkeinotoiminnan kannalta keskeisten yrityssalaisuuksien luvatonta paljastamista. Yhteisötilaajat saisivat käsitellä tietoa muun muassa sähköpostiviestien lähettäjästä ja vastaanottajasta sekä lähetysajasta, mutta eivät viestin sisältöä.”
”13 a §. Yhteisötilaajan käsittelyoikeus väärinkäytöstapauksissa. Ehdotetun 13 a §:n 1 momentin mukaan yhteisötilaajalla on oikeus käsitellä tunnistamistietoja maksullisen tietoyhteiskunnan palvelun tai viestintäverkon luvattoman käytön, viestintäpalvelun ohjeen vastaisen käytön taikka yrityssalaisuuksien paljastamisen selvittämiseksi siten kuin 13 b–13 j §:ssä säädetään.
Ehdotettu tunnistamistietojen käsittelyoikeus liittyy yhteisötilaajien viestintäverkkojen ja viestintäpalvelujen käytön turvaamiseen sekä yrityssalaisuuksien oikeudettoman paljastamisen selvittämiseen. Yhteisötilaajat voisivat ehdotetun säännöksen nojalla käsitellä tunnistamistietoja, kun kyse on maksullisen tietoyhteiskunnan palvelun tai viestintäverkon luvattomasta käytöstä taikka viestintäpalvelun ohjeen vastaisesta luvattomasta käytöstä sekä epäiltäessä yrityssalaisuuksien oikeudetonta paljastamista.
Sähköisen viestinnän tietosuojalain 8 §:n 3 momentin mukaan tunnistamistietojen käsittely on sallittua ainoastaan käsittelyn tarkoituksen vaatimassa laajuudessa ja se on toteutettava luottamuksellisen viestin ja yksityisyyden suojaa tarpeettomasti vaarantamatta. Käsittelyn jälkeen viestit ja tunnistamistiedot on hävitettävä tai tehtävä sellaisiksi, ettei niitä voi yhdistää tilaajaan tai käyttäjään, ellei laissa toisin säädetä.
Lain 8 §:n 3 momentista johtuu, että väärinkäytökset on ensisijaisesti pyrittävä selvittämään muiden kuin luottamuksellista viestintää koskevien tunnistamistietojen avulla. Jos tunnistamistietojen käsittely on välttämätöntä väärinkäytöksen selvittämiseksi, on käsiteltäväksi tulevien tunnistamistietojen piiri rajattava aina tapauskohtaisesti käytettävissä olevien muiden tietojen perusteella. Käsiteltäväksi voitaisiin välttämättömyysvaatimuksen vuoksi tällöinkin ottaa vain lähinnä käyttäjän lähettämien eikä tämän vastaanottamien viestien tunnistamistietoja.
Pykälässä ehdotetun tunnistamistietojen käsittelyoikeuden yleisten ja erityisten edellytysten ja lain 8 § 3 momentin välttämättömyysedellytyksen vuoksi yhteisötilaaja ei voisi seurata tavanomaisiin viesteihin liittyviä tunnistamistietoja. Esimerkiksi työnantaja-asemassa oleva yhteisötilaaja ei voisi seurata viestintäverkon tai viestintäpalvelujen käyttöä työajan seuraamiseksi eikä sen selvittämiseksi, onko käyttäjä ollut yhteydessä henkilöstön edustajaan, työsuojeluviranomaisiin tai työterveyshuoltoon. Ajallisesti käsiteltäväksi voitaisiin ottaa vain kulloinkin käsillä olevan tapauksen selvittämisen kannalta välttämättömät tunnistamistiedot eikä säännös oikeuttaisi käsittelemään tunnistamistietoja tätä laajemmin.
Ehdotetun säännöksen mukaisia yhteisötilaajan viestintäpalveluja ja tietoyhteiskunnan palveluja olisivat sen omaan viestintäverkkoon liitetyt palvelut sekä sellaiset palvelut, joita käytetään yhteisötilaajan viestintäverkon kautta, mutta jotka ovat luonteeltaan tietoyhteiskunnan palveluja ja joiden käytön yhteisötilaaja maksaa.
Tietoyhteiskunnan palvelujen tarjoamisesta annetun lain (458/2002) 2 §:n mukaan tietoyhteiskunnan palvelulla tarkoitetaan palvelua, joka toimitetaan ilman, että osapuolet ovat yhtä aikaa läsnä, sähköisesti, palvelun vastaanottajan henkilökohtaisesta pyynnöstä tapahtuvana tiedonsiirtona ja tavallisesti vastiketta vastaan.
Esimerkkinä maksullisen tietoyhteiskunnan palvelun luvattomasta käytöstä voisi olla se, että yrityksen henkilökunnan koon mukaan hinnoiteltua palvelua jaettaisiin luvatta ulkopuolisten käyttöön. Tällöin yritys joutuisi vastaamaan hankkimansa käyttöoikeuden ylittävästä käytöstä.
Viestintäverkon luvatonta käyttöä tai viestintäpalvelun ohjeen vastaista käyttöä olisi sellainen toiminta, jonka yhteisötilaaja on määritellyt luvattomaksi 13 b §:n 3 momentissa tarkoitetussa ohjeessa.
Yrityssalaisuuksien oikeudettoman paljastamisen selvittämisessä ovat käytettävissä tietohallinnolliset keinot, kuten käyttäjätietolokien tarkastaminen, pääsyä rajoittaviin järjestelmiin kirjautuvien tietojen tarkastaminen sekä järjestelmien teknisessä ylläpidossa kerätyt tiedot. Näistä tiedoista käy ilmi, kuka on tallentanut mitäkin tietoja, missä muodossa, koska ja mille tallenteelle, kuten kovalevylle tai siirrettävälle tallenteelle. Siirrettäviä tallenteita ovat esimerkiksi muistitikut ja cd-levyt. Myös aineiston muuta käsittelyä, kuten tulostamista koskevat tiedot, voidaan tallentaa. Näiden tietojen käsittelylle sähköisen viestinnän tietosuojalaissa ei aseteta rajoituksia. Toisaalta näiden tietojen avulla pystytään vain poikkeuksellisesti selvittämään yrityssalaisuuden paljastaminen kokonaisuudessaan.
Työnantaja voi suojata yrityssalaisuuksia myös muilla tietoturvallisuustoimenpiteillä. Esimerkkinä voidaan mainita, että työnantajat käyttävät myös työntekijän kanssa tehtäviä salassapitosopimuksia keinoina yrityssalaisuuksien suojaamisessa. Työnantaja voi myös turvallisuusselvityksistä annetun lain (177/2002) mukaan hankkia selvityksen työntekijän luotettavuudesta, milloin suojattavana on huomattavan arvokas liike- tai ammattisalaisuus tai muu tähän rinnastettava erittäin merkittävä yksityinen etu.
Pykälässä tarkoitettu yrityssalaisuuden käsite vastaisi rikoslain 30 luvun 11 §:n yrityssalaisuuden määritelmää. Rikoslain 30 luvun 11 §:n yrityssalaisuuden määritelmän mukaan yrityssalaisuudella tarkoitetaan liike- tai ammattisalaisuutta, taikka muuta vastaavaa elinkeinotoimintaa koskevaa tietoa, jonka elinkeinonharjoittaja pitää salassa ja jonka ilmaiseminen olisi omiaan aiheuttamaan taloudellista vahinkoa joko hänelle tai toiselle elinkeinonharjoittajalle, joka on uskonut tiedon hänelle.
Rikoslaissa määritelty yrityssalaisuus on siten jossain määrin laajempi kuin viranomaisten toiminnan julkisuudesta annetun lain (621/1999) elinkeinotoiminnan intressien suojaamiseksi säädetyn salassapitosäännöksen (24 §:n 1 momentin 20 kohta) soveltamisala, jonka piiriin eivät esimerkiksi kuulu elinkeinonharjoittajan velvollisuuksia ja niiden hoitamista koskevat tiedot. Käsite kattaa sellaisetkin teknologista ja muuta kehittämistyötä koskevat tiedot, joissa ei vielä ole kysymys esimerkiksi patentoitavista tuotteista. Yrityssalaisuuden käsitteen piiriin kuuluvat siten myös sellaiset tiedot, jotka viranomaisten toiminnan julkisuudesta annetun lain 24 §:n 1 momentin 21 kohdan mukaan ovat salassa pidettäviä.
Yrityssalaisuuden käsite on katsottu esitystä valmisteltaessa asianmukaisimmaksi käsitteeksi, koska tähän käsitteeseen liittyy kiinteästi elinkeinonharjoittajan oma salassapitotahto ja koska säännökset vaikuttavat yksityisten osapuolten välillä.
Tunnistamistietojen käsittely 13 a–13 j §:n ja 8 §:n käsittelysääntöjen vastaisesti saattaa täyttää rikoslain 38 luvun 3 §:ssä ja 4 §:ssä säädetyn viestintäsalaisuuden loukkaamisen tai törkeän viestintäsalaisuuden loukkaamisen tunnusmerkistön.
Tunnistamistietojen käsittelyn asianmukaisuuden takaavien 13 b–13 c §:ssä tarkoitettujen ennakollisten velvoitteiden laiminlyönti täyttäisi lain 42 §:n 2 momentin 5 kohdassa tarkoitetun sähköisen viestinnän tietosuojarikkomuksen tunnusmerkistön. Ehdotetulla 42 §:n 2 momentin uudella 9 kohdalla säädettäisiin rangaistavaksi sähköisen viestinnän tietosuojarikkomuksena tunnistamistietojen käsittelyn lainmukaisuuden takaavien jälkikäteisten velvoitteiden laiminlyönti.
Ehdotetun 2 momentin mukaan säännöksessä tarkoitetusta viestintäverkon luvattomasta käytöstä tai viestintäpalvelun ohjeen vastaisesta käytöstä olisi kyse, jos joku asentaa yhteisötilaajan viestintäverkkoon sen käytöstä annettujen ohjeiden vastaisesti laitteita, ohjelmia tai palveluita tai käyttää muuten näihin rinnastuvalla tavalla viestintäverkkoa tai viestintäpalveluita käytöstä laadittujen 13 b §:ssä tarkoitettujen ohjeiden vastaisesti.
Ehdotetussa 3 momentissa rajataan kiinteän ja matkapuhelinverkon puhelinpalvelujen tunnistamistiedot väärinkäytössäännöksien ulkopuolelle. Tällöin yhteisötilaaja ei saisi käsitellä puheluihin, tekstiviesteihin tai muihin vastaaviin viesteihin liittyviä tietoja. Lain määritelmän mukaan viestillä tarkoitetaan joko osapuolten välillä tai vapaasti valikoituville vastaanottajille välitettävää puhelua, sähköpostiviestiä, tekstiviestiä, puheviestiä ja muuta vastaavaa sanomaa (HE 125/2003 vp, s. 45–46). Tilaajan oikeudesta saada puhelupalvelulaskun erittely on säädetty erikseen.”
Perustuslakivaliokunta:
”Sääntely on merkityksellistä myös Euroopan ihmisoikeussopimuksen 8 artiklan näkökulmasta. Sen mukaan jokaisella on oikeus nauttia muun muassa yksityiselämäänsä ja kirjeenvaihtoonsa kohdistuvaa kunnioitusta. Artikla kattaa myös luottamukselliseksi tarkoitetun viestinnän. Euroopan ihmisoikeustuomioistuin on ratkaisussaan Copland v. Yhdistynyt kuningaskunta (tuomio 3.4.2007) todennut yleisesti, että liiketiloista soitetut puhelut kuuluvat lähtökohtaisesti 8 artiklan suojaaman yksityiselämän ja kirjeenvaihdon alaan. Siitä seuraa tuomioistuimen mukaan loogisesti, että työpaikalta lähetetyt sähköpostiviestit samoin kuin henkilökohtaisesta internetin käytön valvonnasta kertynyt informaatio ovat vastaavasti 8 artiklan suojan piirissä. Kyseisessä tapauksessa Yhdistyneen kuningaskunnan katsottiin loukanneen 8 artiklaa, koska julkisen oppilaitoksen työntekijän puheluita, sähköpostiviestintää ja internetin käyttöä oli valvottu ilman, että valvonta täytti ihmisoikeussopimuksen lailla säätämisen vaatimuksen. Ihmisoikeustuomioistuin ei sinänsä kuitenkaan sulkenut pois mahdollisuutta, että työntekijän puhelimen, sähköpostiviestien ja internetin käytön valvontaa työpaikalla voitaisiin joissakin olosuhteissa pitää sopimuksen tarkoittamassa mielessä välttämättömänä demokraattisessa yhteiskunnassa.
Yhteisötilaajan käsittelyoikeus yrityssalaisuuksien paljastamisen selvittämiseksi. Ehdotetun yrityssalaisuuksia koskevan sääntelyn keskeisenä tarkoituksena on estää ja selvittää yhteisötilaajan elinkeinotoiminnan kannalta keskeisten yrityssalaisuuksien sekä elinkeinotoiminnan käynnistämisen tai sen harjoittamisen kannalta merkittävien kehittämistyön tulosten luvaton paljastaminen. Keskeisten yrityssalaisuuksien liiketaloudellinen merkitys saattaa olla yrityksen kannalta niin suuri, että tällaiset yritysvarallisuuden arvon ja elinkeinotoiminnan taloudellisten edellytysten turvaamiseen liittyvät seikat ovat hyväksyttäviä ja painavia perusteita tietoverkoissa harjoitettavaan viestintään kohdistuville rajoituksille.”
= = =
Lausuntonaan perustuslakivaliokunta esittää,
että lakiehdotukset voidaan käsitellä tavallisen lain säätämisjärjestyksessä.
