DIAARI OTE

Transkriptio

1 i tä

2 VK-FAKTA PERUSTUSLAKIVALIOKUNTA DIAARI OTE DIAARIOTE PERUSTUSLAKIVALIOKUNTA HE 125/2003 vp sähköisen viestinnän tietosuojalaiksi ja eräiksi siihen liittyviksi laeiksi Saapunut: Miotintövk: Lähettäjä: Saapumi spvm: Lopputoimi: Lopputoim.pvm: LiV Täysistunto Lausuntoa varten Ministeriö: LM Lähetyspvm: Tilakoodi: Käsittely päättynyt PeVL 9/2004 vp II käsittely Jatkettu I kasit Jatkettu I kasit I käsittely

3 L i Kirjallinen V lausunto merk. saapuneeksi Jatkettu V I käsittely Kirjallinen a lausunto merk. saapuneeks i Jatkettu l I käsittely m i s t u n u t Y k s i tyi skohtainen käsittely Yleiskeskustelu L a I käsittelyssä u s hyväksytty u lausunto n Yks i tyi skohtainen t käsittely ifctely Yleiskeskustelu o ittely Asiakirja saapunut Asiantuntijakuulemisen päättäminen Jatkettu I käsittely l Asiantuntijoiden ä kuuleminen -professori Veli- Pekka h Viljanen (K) Jatkettu I käsittely e Asiakirja saapunut t Jatkettu e I käsittely t Asiakirja saapunut t Jatkettu y I käsittely PeVL 9/2004 vp PeVL 9/2003 vp esitelty lausuntoluonnos lausuntoluonnos liikenne- ja viestintäministeriön vastine liikenne- ja viestintäministeriön vastine Asiantuntijoiden kuuleminen -oikeustieteen tohtori, oikeusasiamiehensihteeri Kirsti Kurki- Suonio (K) -professori Olli Mäenpää (K) Suomen Suoramarkkinointiliitto ry:n kirjallinen lausunto Asiantuntijoiden kuuleminen Viestinnän Keskusliiton -professori Tuomas Ojanen kirjallinen lausunto (K) -professori Kaarlo Tuori (K) Asiantuntijoiden kuuleminen -viestintäneuvos Kristiina Pietikäinen liikenne- ja viestintäministeriö -neuvotteleva virkamies Juhapekka Ristola liikenne- ja viestintäministeriö (K) Kirjaus - l a i n s ä ä d ä n t ö n e u v o s L e e n a Vettenranta oikeusministeriö (K) - professori Mikael Hiden (K) -professori Timo Konstari (K) -oikeustieteen tohtori, dosentti Riitta Ollila (K) Ilm. vkaan saapuneeksi (lausunto) Saap. lausuntoa varten

4 LIIKENNE- JA VIESTINTÄMINISTERIÖ Viestintämarkkinaosasto neuvotteleva virkamies Juhapekka Ristola MUISTIO >eVP s//<^oo 3 9fvu 1 (8) / Eduskunnan perustuslakivaliokunta Hallituksen esitys Eduskunnalle sähköisen viestinnän tietosuojalaiksi ja eräiden siihen liittyvien lakien muuttamisesta (HE 125/2003) 1. Esityksen säädökset ja tavoite Esityksessä ehdotetaan säädettäväksi uusi sähköisen viestinnän tietosuojalaki sekä muutettavaksi eräitä muita lakeja, kuten viestintämarkkinalakia ja poliisilakia. Ehdotetulla lailla kumottaisiin voimassa oleva televiestinnän tietosuojalaki. Lailla pantaisiin täytäntöön uusi sähköisen viestinnän tietosuojadirektiivi ja rahoituspalvelujen etämyyntidirektiivin markkinointia koskeva artikla. Esityksellä toteutettaisiin yksityisyyden suojan sääntelyn kokonaistarkistus sähköisessä viestinnässä. Esityksen tavoitteena on turvata sähköisen viestinnän luottamuksellisuuden ja yksityisyyden suojan toteutuminen sekä edistää sähköisen viestinnän tietoturvaaja monipuolisten sähköisen viestinnän palvelujen tasapainoista kehittymistä. 2. Esityksen valtiosääntöoikeudellisesti keskeiset ehdotukset 2.1. Yksityiselämän suoja Merkittävä osa ehdotetun sähköisen viestinnän tietosuojalain säännöksistä on sellaisia, että niitä tulee tarkastella perustuslain perusoikeuksien näkökulmasta. Perustuslain 10 :n 1 momentin mukaan jokaisen yksityiselämä, kunnia ja kotirauha on turvattu ja henkilötietojen suojasta säädetään tarkemmin lailla. Viestinnän luottamuksellisuus on perustuslain 10 :n 2 momentin nojalla jokaiselle kansalaiselle kuuluva perusoikeus. Kyseisen momentin mukaan kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton. Perustuslain kyseisten säännösten sisältöä ja eduskunnan perustuslakivaliokunnan tulkintakäytäntöä on tarkemmin selvitetty esityksen säätämisjärjestyksen perusteluissa (HE 125/2003, s ). Esityksellä pyrittäisiin selkeyttämään tunnistamistietojen käsittelyä koskevia säännöksiä voimassaolevan televiestinnän tietosuojalain keskeiset periaatteet säilyttäen. Tunnistamistiedoista käy muun muassa ilmi, kuka puhuu puhelimessa kenenkin kanssa, ketkä lähettelevät toisilleen sähköposti- tai tekstiviestejä tai miltä Internet-sivustoa kukin selaa. On huomattava, että lähtökohtaisesti käsittelyoikeudet eivät kohdistu viestin sisältöön. Yleisesti vastaanotettavaksi saatetun viestin tunnistamistietojen osalta on noudatettu samaa periaatetta kuin sananvapauden käyttämisestä joukkoviestinnässä annetussa laissa (460/2003), mistä hieman laajemmin muistion kohdassa 2.2.

5 LIIKENNE- JA VIESTINTÄMINISTERIÖ MUISTIO Viestintämarkkinaosasto neuvotteleva virkamies Juhapekka Ristola Esityksessä ehdotetaan, että tunnistamistietojen käsittelyoikeudet ja velvollisuudet koskisivat myös viestinnän osapuolten kannalta sivullista yhteisötilaajaa, jolla tarkoitetaan viestintäpalvelun tai lisäarvopalvelun tilaajana olevaa yhteisöä, joka käsittelee viestintäverkossaan käyttäjien luottamuksellisia viestejä, tunnistamistietoja tai paikkatietoja. Yhteisötilaaj ia ovat esimerkiksi yritykset ja yliopistot. Voimassa olevassa laisneuvotteleva virkamies Juhapekka Ristola sa on jo säädetty televiestintä luottamukselliseksi myös niin sanotuissa (yhteisötilaajien) sisäverkoissa; laista on kuitenkin puuttunut yhteisö tilaajaa koskevat käsittelysäännöt, jotka nyt siis sisältyvät ehdotukseen. Yhteisötilaajan aseman täsmentämisellä ei vähennetä oikeushenkilöille viestinnän osapuolina kuuluvia oikeuksia. Lisäksi ehdotetaan, että teleyrityksen olisi tallennettava tunnistamistietojen käsittelyä koskevat yksityiskohtaiset tapahtumatiedot kahden vuoden ajaksi. Vastaava velvoite, ilman täsmällistä säilyttämisaikaa, on jo sisältynyt Viestintäviraston määräykseen. Lakiehdotuksessa viestinnän luottamuksellisuuteen puuttuvia ja sitä rajoittavia säännöksiä ovat palveluiden toteuttamiseen liittyvien varsinaisten ja tarkoitussidonnaisten käsittelysäännösten lisäksi muun muassa ehdotetun 20 :n 1 momentin tietoturvaloukkausten ja tietoturvaan kohdistuvien häiriöiden poistamiseksi välttämättömien toimenpiteiden sallimista koskeva sääntely, 29 :n suoramarkkinoinnin ja muun vastaavan viestinnän vastaanottamisen estämistä koskeva sääntely sekä lakiehdotuksen :n viranomaisten tiedonsaantioikeuksia koskeva sääntely. Kyseiset rajoitukset on kuitenkin rajattu tarkasti tiettyihin intresseihin tai rikostunnusmerkistöihin, joissa ne ovat välttämättömiä tietoturvaloukkausten ehkäisemiseksi tai torjumiseksi, viranomaistehtävän suorittamiseksi tai muun muassa hengen ja terveyden, turvallisuuden, yksityisyyden-ja kotirauhan suojan tai omaisuuden suojan turvaamiseksi. Esityksessä ehdotetaan, että niin sanotun sähkökauppalain mukainen tietoyhteiskunnan palvelun tarjoaja voisi käsitellä teleyrityksen hallinnoiman viestintäverkon välityksellä tarjottavien kuvatallenteiden, äänitallenteiden ja muiden maksullisten palvelujensa laskutusta varten välttämättömiä tunnistamistietoja ja muita laskutuksen kannalta välttämättömiä tietoja, jos tilaaja tai käyttäjä, jota tiedot koskevat, on antanut siihen suostumuksensa. Tunnistamistietojen luovuttaminen teleyritysten ulkopuolelle muodostaa uhkan viestinnän luottamuksellisuudelle, eikä se tästä syystä ole yleisesti sallittua. Tietojen kohteen suostumukseen perustuvaa tunnistamistietojen luovuttamista ei sen sijaan ole pidettävä ongelmallisena yksityisyyden suojan kannalta. Poliisilain tiedonsaantia koskevaa 36 :ää ehdotetaan täydennettäväksi siten, että tällä hetkellä saatavilla olevien salaisten puhelinnumeroiden lisäksi poliisi saisi teleyrityksiltä telepäätelaitteiden tai liittymien yksilöivät tiedot, kuten esimerkiksi tiedot tietokoneiden niin sanotuista yhteyskohtaisesti muodostettavista (dynaamisista) IP-osoitteista ja niiden haltijoista sekä kännyköiden niin sanotuista IMEI-koodeista, jos näitä tietoja yksittäistapauksissa tarvitaan poliisille kuuluvien tehtävien suorittamiseksi. Tällä hetkellä poliisilla on oikeus saada poliisilain perusteella tieto niin sanotuista pysyvistä (staattisista) IP-osoitteista. On huomattava, että jos poliisi katsoo tarpeelliseksi kohdistaa edellä kerrottuihin päätelaitteisiin tutkinnallisia pakkokeinoja, lupa keinojen käyttöönottoon ratkaistaan pakkokeinolain mukaisesti. Ehdotuksen pääosin perusoikeusjärjestelmään ja osittain muihin tärkeisiin intresseihin kiinnittyviä rajoitusperusteita on pidettävä hyväksyttävinä. Esityksessä on pyritty so-

6 LIIKENNE- JA VIESTINTÄMINISTERIÖ MUISTIO Viestintämarkkinaosasto neuvotteleva virkamies Juhapekka Ristola vittamaan yhteen toisaalta tilaajien ja käyttäjien yksityisyyden suojaaja toisaalta teleyritysten ja lisäarvopalvelun tarjoajien sekä viranomaisten tarpeita sähköisen viestinnän erityispiirteet huomioon ottaen. Kyseisten rajoitusten ei voida myöskään katsoa ylittävän sitä, mikä on välttämätöntä niillä tavoiteltavan hyväksyttävän tarkoituksen saavuttamiseksi, joten ne ovat myös suhteellisuusperiaatteen mukaisia Sananvapaus Perustuslain 12 :n mukaan jokaisella on sananvapaus. Perustuslain 12 :n 1 momentissa jokaiselle turvattuun sananvapauteen sisältyy oikeus ilmaista, julkistaa ja vastaanottaa tietoja, mielipiteitä ja muita viestejä kenenkään ennakolta estämättä (PeVL 54/2002 vp). Tarkempia säännöksiä sananvapauden käyttämisestä annetaan lailla. Sananvapauden käyttämisestä joukkoviestinnässä annetun lain (460/2003) 16 :n mukaan yleisön saataville toimitetun viestin laatijalla sekä julkaisijalla ja ohjelmatoiminnan harjoittajalla on oikeus olla ilmaisematta, kuka on antanut viestin sisältämät tiedot. Julkaisijalla ja ohjelmatoiminnan harjoittajalla on lisäksi oikeus olla ilmaisematta viestin laatijan henkilöllisyyttä. Säännöksen mukaan edellä tarkoitettu oikeus on myös sillä, joka on saanut mainituista seikoista tiedon ollessaan viestin laatijan taikka julkaisijan tai ohjelmatoiminnan harjoittajan palveluksessa; velvollisuudesta ilmaista edellä tarkoitettu tieto esitutkinnassa tai oikeudenkäynnissä säädetään erikseen. Sananvapauden käyttämisestä joukkoviestinnässä annetun lain mukaisesti esityksessä ehdotetaan tunnistamistiedon luottamuksellisuuden pääsäännöstä poiketen, että viesti ja siihen liittyvät tunnistamistiedot eivät ole luottamuksellisia, jos viesti on saatettu yleisesti vastaanotettavaksi. Esityksessä ehdotetaan (HE 125/2003,20 ), että teleyrityksellä, lisäarvopalvelun tarjoajalla tai yhteisötilaaj alla olisi oikeus tietyin erityisedellytyksin ryhtyä tietoturvaloukkausten torjumiseksi ja tietoturvaan kohdistuvien häiriöiden poistamiseksi välttämättömiin toimiin estämällä tietyin edellytyksin sähköpostiviestien, tekstiviestien ja muiden vastaavien viestien vastaanottaminen, poistamalla haittaohjelmat viesteistä sekä toteuttamalla muut välttämättömät toimenpiteet. Erityisedellytyksinä ovat verkko-tai viestintäpalvelujen taikka vastaanottajan viestintämahdollisuuksien vaarantuminen; tällöinkin viestin sisältöön saisi puuttua vain, jos viestiin epäillään sisältävän haittaoh- t a1»-v*o»-* l'iit;"i»"\ irifitl/dan tm mn/^am tm imact-in anfiillnnn ].- r i. - * ; *+1- * i. r! -. t C < 11 ^. 1 «. 1 < *. t >..» < jvinicui, KULUI viiurov/ii \.ai mavhjii, icii viv^oua vapainaan ivayitiiavaii uduiiift.cin.gcii Häirintään. Samalla ehdotetaan (HE 125/2003, 29 ), että teleyrityksellä ja yhteisötilaaj alla olisi käyttäjän suostumuksella aina oikeus estää suoramarkkinoinnin vastaanottaminen (ts. suodattaa nk. häiritsevää roskapostia). Ongelmana haittaohjelmien ja roskapostin suodattamisessa ovat teknisten suodatinten epätäydellisyys, eli myös hyväksyttävää viestintää (esim. keskinäisiä sähköpostiviestejä, toivottua mainontaa tai tilattuja palveluita) tulee poistetuksi viestinnän virrasta. Tästä syystä ehdotetaan, että välttämättömätkin toimenpiteet on toteutettava huolellisesti ja luottamuksellisen viestin ja yksityisyyden suojaa tarpeettomasti vaarantamatta. Ehdotetun 20 :n 1 momentin ja 29 :n viestien vastaanottamisen rajoittamista koskevilla säännöksillä saattaa olla vaikutuksia myös sananvapauden käyttämiseen lähinnä sähköpostitse toteutettavan toivotun kaupallisen mainonnan osalta. Lisäksi säännöksillä voi olla vaikutusta luottamuksellisen viestin suojalle. Rajoitusten perusteena on toisaalta

7 LIIKENNE- JA VIESTINTÄMINISTERIÖ Viestintämarkkinaosasto neuvotteleva virkamies Juhapekka Ristola MUISTIO Sivu 7 (8) verkko- ja viestintäpalveluiden sekä viestinnän vastaanottajan viestintämahdollisuuksien turvaaminen ja toisaalta yksityisyyden suojan asettamat vaatimukset. Säännösten tarkoituksena on suojata sekä viestinnän järjestelmien käytettävyyttä suhteessa suureksi ongelmaksi muodostuneeseen haittaliikenteeseen ja haittaohjelmiin että käyttäjien yksityisyyttä ja itsemääräämisoikeutta. Kyseisiä säännöksiä on niiden tarkoitus, tarkkarajaisuus sekä käyttöönottokynnyksen että viestin sisältöön puuttumisen osalta ja vähäiset sananvapautta rajoittavat vaikutukset huomioon ottaen kuitenkin pidettävä ongelmattomina perustuslaissa turvatun sananvapauden kannalta Tietoturvamaksu Esityksessä ehdotetaan, että ilmoituksenvaraista tai toimiluvanvaraista toimintaa harjoittava teleyritys olisi velvollinen suorittamaan Viestintävirastolle vuotuisen tietoturvamaksun kansallisen CERT-toiminnan rahoittamiseksi. Maksun kertymä vuodelle 2004 olisi arviolta euroa. Ehdotettu tietoturvamaksu vastaa tietoturvasuorit-teista Viestintävirastolle aiheutuvia kustannuksia. Vastaava velvoite sisältyy voimassa olevaan niin sanottuun televiestinnän tietosuojalakiin. Eduskunnan perustuslakivaliokunta on katsonut lausunnossaan 3/2003 vp, että viestintämarkkinamaksu voitiin säätää tavallisen lain säätämisjärjestyksessä sillä edellytyksellä, että esityksestä poistettaisiin maksun suuruutta koskevat asetuksenantovaltuudet ja maksun suuruudesta säädettäisiin lain tasolla. Lisäksi perustuslakivaliokunta katsoi, että viestintämarkkinamaksu on valtiosääntöoikeudellisessa mielessä vero. Koska verot on tuloutettava valtion talousarvioon, säädettävä maksu tuloutetaan valtion talousarvioon tuloihin ja vastaava määräraha osoitetaan Viestintävirastolle. Tietoturvamaksu on rakenteellisesti, valtiosääntöoikeudellisesti ja rahoituksellisesti samanlainen kuin viestintämarkkinamaksu hyväksytyssä muodossaan. Esityksessä on otettu huomioon edellä mainittu perustuslakivaliokunnan lausunto Paikkatietojen käsittely ja erityiskysymyksenä alle 15-vuotiaan lapsen ja muun vajaavaltaisen kuin alaikäisen lapsen asema Esityksessä ehdotetaan uusia paikkatietojen käsittelyä koskevia säännöksiä. Paikkatiedot ovat sellaisia matkapuhelimen sijaintitietoja, joita käytetään paikannuspalveluihin. Esityksen mukaan teleyrityksen tulisi tilaajaan tai käyttäjään yhdistettävissä oleviin paikkatietoihin perustuvan palvelun toteuttamiseksi antaa tilaajalle mahdollisuus kieltää paikkatietojensa käyttäminen kaupallisten palvelujen tarjoamiseksi. Sen lisäksi edellytetään, että paikannuspalvelun tarjoaja saa paikannettavalta palvelukohtaisen suostumuksen ennen yksittäisen paikkatietoon perustuvan palvelun tarjoamista. Tilaajalla tai käyttäjällä olisi siis sekä teleyrityksen kanssa asioidessaan että palvelukohtaisesti oikeus aina saada tiedot siitä, käytetäänkö paikkatietoja kaupallisesti hyväksi. Tietosuojan ja yksityisyyden suojan merkitys korostuu paikkatietoja käsiteltäessä. Tästä syystä on perusteltua asettaa sääntelyn lähtökohdaksi nimenomaan paikannettavan suostumus. Oletettavasti useimmissa palveluissa paikannussuostumus tai paikannuksen esto annetaan kännykästä käsin, esimerkiksi tekstiviestillä. Tällöin vain kännykän haltija pystyy määräämään kyseisen kännykän paikantamisesta. Osassa palveluista lienee mahdollista antaa suostumus myös kirjallisesti, esimerkiksi kaupallisen etusopimuksen yhteydessä.

8 LIIKENNE- JA VIESTINTÄMINISTERIÖ MUISTIO Sivu 8 (8) Viestintämarkkinaosasto neuvotteleva virkamies Juhapekka Ristola Esityksessä paikannettavan suostumuksesta poiketaan ainoastaan siten, että paikkatietojen käsittelyn kieltämisestä ja palvelukohtaisesta suostumuksesta päättäisi alle 15-vuotiaan huoltaja ja muun kuin alaikäisen vajaavaltaisen puolesta hänen edunvalvojansa, jollei tämä ole palvelun teknisen toteutuksen takia mahdotonta (eli jos suostumusta hallitaan yksinomaan kännykästä). Tämä tarkoittaa sitä, että joidenkin paikan-nuspalveluiden osalta vanhemmille muodostuu tosiasiallinen mahdollisuus paikantaa omat lapsensa aina 15 ikävuoteen saakka. Ehdotettu ikäraja on sama paikkatiedoissa, puhelujen laskuerittelyissä ja käyttäjän erityisessä tiedonsaantioikeudessa. Ikäraja vastaa rikosoikeudellisen vastuun alaikärajaa ja ikärajaa, jolloin henkilö voi itsenäisesti päättää omalla työllä ansaitsemiensa varojen käytöstä. Myös alle 15-vuotiaan lapsen osalta on otettava huomioon, että lapsen huollosta ja tapaamisoikeudesta annetun lain 4 :n mukaan lapsen huoltajalla on oikeus päättää lapsen hoidosta, kasvatuksesta, asuinpaikasta sekä muista henkilökohtaisista asioista turvatakseen lapsen kehityksen ja hyvinvoinnin. Ennen kuin huoltaja tekee päätöksen lapsen henkilökohtaisessa asiassa, hänen tulee keskustella asiasta lapsen kanssa, jos se lapsen ikään ja kehitystasoon sekä asian laatuun nähden on mahdollista. Päätöstä tehdessään hänen on kiinnitettävä huomiota lapsen mielipiteeseen ja toivomuksiin. Jos nimenomaista ikärajaa ei aseteta, jää epäselväksi, kenen luvalla voidaan ottaa käyttöön alle 18-vuotiaaseen kohdistuva paikannuspalvelu; epäselvää nykylainsäädännön perusteella on se, voiko alaikäinen lapsi itse antaa omasta puolestaan suostumusta paikannuspalveluiden käyttöönotolle. Samoja vajaavaltaisuutta koskevia periaatteita on esityksessä sovellettu puhelinlaskun täydellisen yhteyskohtaisen erittelyn ja käyttäjän erityisen tiedonsaantioikeuden osalla. Ehdotetun 4 luvun paikkatietojen käsittelyä koskevalla sääntelyllä saattaa olla perustuslain 10 :ssä säädetyn yksityiselämän suojan lisäksi liityntöjä myös perustuslain 9 :n liikkumisvapautta koskevaan sääntelyyn, kuten perustuslakivaliokunta on todennut esitutkintalain ja pakkokeinolain sekä eräiden näihin liittyvien lakien muuttamista koskevasta hallituksen esityksestä 52/2002vp antamassaan lausunnossa (PeVL 36/2002vp) Norminantovaltuudet Ehdotuksessa on myös säännöksiä, jotka liittyvät lainsäädäntövallan siirtämistä sääntelevään perustuslain 80 :ään. Lakiehdotukseen sisältyy säännöksiä Viestintäviraston oikeudesta antaa teknisiä ja tarkempia määräyksiä muun muassa ohjaus ja valvontatehtäviensä toteuttamiseksi. Perustuslain 80 :n 2 momentin mukaan muu viranomainen voidaan lailla valtuuttaa antamaan oikeussääntöjä määrätyistä asioista, jos siihen on sääntelyn kohteeseen liittyviä erityisiä syitä eikä sääntelyn asiallinen merkitys edellytä, että asiasta säädetään lailla tai asetuksella. Tällaisen valtuuden tulee olla soveltamisalaltaan täsmällisesti rajattu. Lisäksi perustuslaista johtuu, että valtuuden kattamat asiat on määriteltävä tarkasti laissa. Kyseinen norminantovalta on lakiehdotuksessa määritelty mahdollisimman tarkkarajaisesi! ja täsmällisesti. Määräysten antamiseen liittyy vain vähäisissä määrin tarkoituksenmukaisuusharkintaa. Teknisten ja tarkempien määräysten antaminen on välttämättömiä sääntelyn kohteen teknisen luonteen, teknisen kehityksen nopeuden ja sääntelyn edellyttämän erityisasiantuntemuksen vuoksi.

9 LIIKENNE- JA VIESTINTÄMINISTERIÖ Viestintämarkkinaosasto neuvotteleva virkamies Juhapekka Ristola MUISTIO Sivu 9 (8) Perustuslain 80 :n 1 momentin mukaan lailla on säädettävä yksilön oikeuksien ja velvollisuuksien perusteista. Ehdotetut valtuutussäännökset on pääosin rajoitettu koskemaan ainoastaan teknisluonteisia yksityiskohtia yksilöiden oikeusaseman perusteiden määräytyessä lain säännösten perusteella. Ehdotuksen norminantovaltuuksien ei edellä kerrotuilla perusteilla voida katsoa olevan ristiriidassa perustuslain 80 :n kanssa Säätämisjärjestyksen arviointi Edellä kerrotuilla perusteilla hallitus katsoo, että lakiehdotukset voidaan käsitellä tavallisessa lainsäätämisj ärj estyksessä. 3. Ehdotukseen ei sisälly eräitä vaadittuja kokonaisuuksia, joilla voi olla valtiosääntöoikeudellista merkitystä 3.1 Ei sananvapauslakiehdotukseen sisältynyttä tallennusvelvoitetta Sananvapauden käyttämisestä joukkoviestinnässä koskeneen hallituksen esityksen mukaan tunnistamistiedoista olisi ollut tallennettava ainakin se edellinen osoite, josta verkkoviesti on laitteelle tullut. Koska palvelimen ylläpitäjän on käytännössä mahdotonta erotella yleisön saataville toimitettavat verkkoviestit ja muut viestit, hallituksen esityksessä olikin lähdetty siitä, että tällöin olisi myös muut tunnistamistiedot tallennettava. Muun muassa liikenne-ja viestintäministeriö esitti eduskuntakäsittelyn aikana, että kaikkien viestintäverkoissa liikkuvien tunnistamistietojen tallentaminen varmuuden vuoksi on ylimitoitettu toimija liiallista puuttumista henkilöiden yksityisyyden suojaan. Myös oikeus tallennetun tiedon käsittelemiseen ja luovuttamiseen jäi esityksessä liian laajaksi. Lisäksi tuolloin todettiin, että tallennettavan tiedon määrä suhteessa sen hyödynnettävyyteen ei ole tarkoituksenmukainen, koska käytännössä viimeisen osoitteen informatiivinen merkitys voidaan vaivatta ohittaa käyttämällä yleisessä käytössä olevia päätelaitteita tai ns. anonyymeja sähköpostiosoitteita, kuten hotmailosoitteita. Erityisen uhkan yksityiselämän suojalle muodosti se, ettei esitys sisältänyt nimenomaisia tietoturvavelvoitteita, vaikka tunnistamistietoja esityksen mukaan olisivat tallentaneet hyvin moninaiset tahot. Eduskunnan perustuslakivaliokunnan kannan mukaisesti tämä tallentamisvelvollisuus poistettiin esityksestä ja jätettiin uudelleen arvioitavaksi sähköisen viestinnän tietosuojalain valmistelun yhteydessä. Valmistelun aikana ei ole kuitenkaan kyetty löytämään tarkoituksen kannalta tehokasta, yksityiselämän suojan kannalta tasapainoista ja riittävän tietoturvan luomisen kannalta kustannuksiltaan kohtuullista tapaa toteuttaa aiottu tallentaminen. On kuitenkin huomattava, että ehdotettu poliisin oikeus dynaamiseen IP-osoitteeseen on välttämätön jo nyt sananvapauslakiin sisältyvän niin sanotun viimeisen verkkoviestin oikeuden toteuttamiseksi käytännössä. Vaikka esitykseen ei sisälly edellä kuvattua viimeisen verkkoviestin tunnistamistietojen tallentamisvelvollisuutta, teleyritykset, lisäarvopalvelun tarjoajat ja yhteisötilaajat voivat tallentaa tunnistamistietoja ehdotetussa laissa yksilöityjen tarkoitusten toteuttamiseksi, kuten palvelun väärinkäytösten selvittämiseksi ja laskutuksen mahdollistamiseksi. Tosiasiassa onkin niin, että useimmissa tapauksissa teleyrityksellä on ollut poliisin kannalta tarvittavat tunnistamistiedot hallussaan ilman erityistä tallentamis-

10 LIIKENNE- JA VIESTINTÄMINISTERIÖ Viestintämarkkinaosasto neuvotteleva virkamies Juhapekka Ristola MUISTIO Sivu 10 (8) velvollisuuttakin. Ehdotukseen sisältyvän kokonaisuuden arvioidaan luovan hyvät ja nykyistä selkeämmät mahdollisuudet puuttua sellaiseen rikolliseen toimintaan, jota ei voida pitää hyväksyttävänä viestintäpalvelujen käyttönä. Verkkoviestien julkaisijoihin kohdistuvan tallentamisvelvollisuuden säätämisen osalta on tärkeää arvioida myös sen vaikutuksia käyttäjien luottamukseen sähköistä viestintää kohtaan. Tähän mennessä käyttäjät ovat luottaneet siihen, että heidän viestintänsä on luottamuksellista eikä siitä kertyneitä tietoja tallenneta enempää kuin on ehdottoman välttämätöntä. Erityisen tallentamisvelvoitteen säätäminen muuttaisi nykyistä oi keustilaa tämän keskeisimmän periaatteen osalta ja sen vaikutukset ihmisten käyttäytymiseen saattavat olla arvaamattomat. 3.2 Ei sähköisen viestinnän tunnistamistietojen yleistä tallentamisvelvoitetta Poliisi on valmistelun aikana ja eduskunnan liikenne- ja viestintävaliokunnassa vaatinut, että ehdotetulla lailla säädettäisiin sähköisen viestinnän yleinen tallentamisvelvollisuus (eng. data retention) törkeiden rikosten ennaltaehkäisemiseksi ja jälkikäteiseksi selvittämiseksi. Esimerkinomaisina rikostyyppeinä on mainittu lapsipornon ja rasistisen materiaalin levittäminen sekä terrorismirikokset. Yleinen tallentamisvelvollisuus kohdistuisi ennalta lähes kaiken sähköisen viestinnän tunnistamistietoihin ja edellyttäisi Suomessa ensimmäisen vuoden aikana arviolta 75 miljoonan euron ja kunkin seuraavan vuoden aikana noin 17 miljoonan euron ylimääräisiä investointeja. Tallennettavien tietojen suuruusluokasta antaa jonkinlaisen kuvan se, että yksin SoneraPla-za-portaalin pääsivustolla kävi kuluvan vuoden elokuussa eri kävijää, eri kertaa ja sieltä ladattiin eri sivua; jokaisesta kävijästä, käyntikerrasta ja sivun latauksesta muodostui tunnistamistietoja. Samoin tunnistamistietoja kertyy muun muassa ihmisten välisestä sähköpostiviestinnästä, tekstiviesteistä ja puheluista. Keskusrikospoliisin mukaan vuonna 2002 poliisille ilmoitettiin lapsipornon ja rasistisen materiaalin kolme (3) levittämistapausta, joista yksikään ei johtanut syytteen nostamiseen. Euroopan neuvoston verkkorikosyleissopimuksen kansallisen voimaansaattamisen yhteydessä on oikeusministeriössä luonnosteltu säännöksiä datan säilyttämisvelvollisuudesta (eng. data preservation) verkkorikosten selvittämisen varmistamiseksi. Tämä pakkokeinolakiin mahdollisesti sisällytettävä säilyttämisvelvollisuus kohdistuisi yksittäisiin tapauksiin ja jo valmiiksi tietojärjestelmän ylläpitäjän hallussa oleviin tietoihin, eikä siten edellyttäisi erityisiä ylimääräisiä investointeja. Lainvalmistelun aikana pyrittiin luonnostelemaan ratkaisu, joka olisi voinut olla hyväksyttävä perusoikeuksien, teleyritysten ja poliisin perusteltujen tarpeiden kannalta. Kustannukset olisivat tulleet korvatuiksi viestintämarkkinalakiin sisällytettyjen periaatteiden mukaisesti. Luonnostellut kompromissit eivät tyydyttäneet poliisia, minkä johdosta säännökset poistettiin ehdotuksesta. Edellä esitetyin perustein valmistelussa päädyttiin siihen, että verkkorikosyleissopimuksen mukainen ja jo olemassa oleviin tietoihin kohdistuva säilyttämisvelvollisuus on olennaisesti oikeasuhtaisempi tapa turvata verkkorikosten selvittämistä kuin yleinen tallentamisvelvollisuus. Sen sijaan on päätetty perustaa liikenne-ja viestintäministeriön

11 LIIKENNE- JA VIESTINTÄMINISTERIÖ Viestintämarkkinaosasto neuvotteleva virkamies Juhapekka Ristola MUISTIO Sivu 11 (8) sekä sisäasiainministeriön yhteinen asiantuntijatyöryhmä selvittämään, mitä etuja, kustannuksia ja muita vaikutuksia yleisestä tallentamisvelvollisuudesta todellisuudessa seuraisi. 4. Eduskuntakäsittely, voimaantulo ja seuranta Esitys on annettu yksimielisesti. Esitykseen sisältyy runsaasti luottamuksellisen viestin ja yksityisyyden suojaan sekä uuteen teknissosiaaliseen palveluympäristöön liittyviä kysymyksiä, mistä syystä esitykselle toivotaan perusteellista käsittelyä. Ehdotetut lait on tarkoitettu tulemaan voimaan mahdollisimman pian sen jälkeen, kun ne on hyväksyttyjä vahvistettu. Sähköisen viestinnän tietosuojadirektiivi olisi tullut panna täytäntöön 31 päivänä lokakuuta Koska sääntelyn kohteena olevat palvelut, kuten paikannuspalvelut, kehittyvät hyvin nopeasti ja koska erityisesti uusien tietoturvauhkien vaikutus yhteiskunnan eri toimintoihin voi olla ennalta arvaamatonta, tarkoitus on poikkeuksellisesti käynnistää lain vaikutusten arviointi heti lain voimaantultua sekä tarvittaessa valmistella tarkistusesitykset nopeastikin.

12 OIKEUSMINISTERIÖ Lainvalmisteluosasto Leena Vettenranta Eduskunnan perustuslaki valiokunnalle HALLITUKSEN ESITYS EDUSKUNNALLE SÄHKÖISEN VIESTINNÄN TIETOSUOJALAIKSI JA ERÄIKSI SIIHEN LIITTYVIKSI LAEIKSI (HE 125/2003 vp) 1. Esityksen valmistelusta Liikenne- ja viestintäministeriön valmistelijat ovat pitäneet esityksen valmistelun aikana yhteyttä oikeusministeriöön perustuslakiin, tietosuojaan ja julkisuuslainsäädäntöön sekä rangaistussäännöksiin liittyvissä kysymyksissä. Ensimmäisen esitysluonnoksen valmistuttua LVM:n ja OM:n virkamiehet pitivät yhteisen keskustelutilaisuuden, jossa ehdotetun esityksen valmistelijoille annettiin palautetta lakiehdotuksesta sen jatkovalmistelua varten. Oikeusministeriö antoi ehdotuksesta kirjallisen lausunnon OM:n lausunto ja siinä esitetyt näkökohdat käytiin LVM:n valmistelijoiden kanssa läpi yhteisessä kokouksessa kesäkuussa. Oikeusministeriön ehdotuksesta sen valmistelun aikana esittämät huomautukset ja ehdotukset on otettu esityksen valmistelussa pitkälti huomioon. Seuraavassa tuodaan esiin sellaisia OM:n lausunnossakin esillä olleita näkökohtia, jotka antavat edelleen aihetta pohdintaan. 2. Sähköisen viestinnän tietosuojalaki 10. Käsittely laskutusta varten Pykälän 5 momentissa säädetään laskun määräytymiseen liittyvien tietojen säilyttämisestä. Säännöksen mukaan tällaisia tietoja on säilytettävä "vähintään kolme kuukautta laskun eräpäivästä tai tunnistamistiedon tallentumisesta riippuen siitä, kumpi näistä ajankohdista on myöhäisempi. Tietoja ei saa kuitenkaan säilyttää enää sen jälkeen, kun saatava on velan vanhentumisesta annetun lain (728/2003) mukaan vanhentunut." Oikeusministeriö on pitänyt ehdotettua säännöstä suhteellisuusperiaatteen kannalta ongelmallisena sen vuoksi, että se mahdollistaisi liikenne- ja tunnistamistietojen säilyttämisen varsin pitkän ajan myös sen jälkeen, kun lasku on maksettu. Oikeusministeriö kiinnittää huomiota perustuslakivaliokunnan aiemmin hallituksen

13 2 esityksen yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta yhteydessä lausumaan kantaan (ks. Pe VL 26/1998 vp), jonka mukaan ehdotuksessa tarkoitetun kaltaiset tiedot tulisi poistaa melko pian laskun suorittamisen jälkeen. Voisi olla aiheellista rajoittaa näiden tietojen käsittelyoikeutta erikseen niissä tapauksissa, joissa lasku on jo maksettu. 12. Käsittely teknistä kehittämistä varten Teleyritys ja lisäarvopalvelun tarjoaja voi pykälän 1 momentin mukaan käsitellä tunnistamistietoja palvelujen teknistä kehittämistä varten. Tilaajalle tai käyttäjälle olisi pykälän 2 momentin mukaan ilmoitettava ennen 1 momentissa tarkoitetun käsittelyn aloittamista, millaisia tunnistamistietoja käsitellään ja kuinka kauan niiden käsittely kestää. Tilaajan ja käyttäjän säännöksessä ehdotettu tiedonsaantioikeus jää vaikutukseltaan sillä tavoin tyhjäksi, ettei tällä ole mahdollisuutta kieltää tietojensa käsittelyä pykälässä mainittuun tarkoitukseen. 13. Käsittely väärinkäytöstapauksissa Teleyritys, lisäarvopalvelun tarjoaja ja yhteisötilaaja voi pykälän mukaan käsitellä tunnistamistietoja, jos se on tarpeen verkkopalvelun, viestintäpalvelun tai lisäarvopalvelun käyttöä koskevien väärinkäytösten havaitsemiseksi, estämiseksi ja selvittämiseksi sekä esitutkintaan saattamiseksi. Oikeusministeriö pitää sinänsä hyväksyttävänä sitä, että silloin, kun liittymän käyttäjä on pyrkinyt käyttämään viestintäpalvelua tai muuta palvelua oikeudettomasti ilman maksua, palvelun tarjoaja voi selvittää, mistä tällaiset yhteydet on otettu. Oikeusministeriö on kuitenkin säännöksen valmisteluvaiheessa korostanut sitä, että säännös tulisi muotoilla siten, että siinä tarkoitetaan tunnistamistietojen käsittelemistä yksittäistapauksessa sen selvittämiseksi, niistä liittymästä säännöksessä tarkoitettuja yhteyksiä on otettu. Ehdotettu säännös on täsmentynyt monilta osin jatkovalmistelussa. Ongelmalliselta vaikuttaa kuitenkin edelleen se, ettei säännös edelleenkään näyttäisi rajoittuvan yksittäistapauksiin.

14 7 & l/p Afr/olOÖ SVLyo/c Mikael Hiden PERUSTUSLAKIVALIOKUNTA KELLO 10. HE 125/03 vp sähköisen viestinnän tietosuojalaiksi ja eräiksi siihen liittyviksi laeiksi Yleisvaikutelmani itse lakiehdotuksista ja niiden perusteluista on, että esitys on huolella valmisteltu ja siinä on pyritty ottamaan huomioon perusoikeuksia koskevassa säätelyssä merkittävät näkökohdat. Säätämisjärjestystä koskeva luku perusteluissa on varsin yleispiirteinen ja turhan paljon kirjoitettu "on pidettävä"- henkeen. Siinä ei kuitenkaan näytä olevan aihetta ihmeempiin huomautuksiin. Tarkastelen seuraavassa tämän vuoksi vain joitakin yksityiskohtia, jotka näyttäisivät vielä ansaitsevan huomiota. Niissäkin on osaksi ehkä kysymys asioista, jotka lakitekstin huolelliseen muotoiluun liittyvinä kuuluvat asiavalmistelun suorittavalle valiokunnalle. Tarkkuus lakitekstin laadinnassa on tässä kuitenkin merkittävää myös siksi, että kyse on perusoikeuksien käyttämistä koskevasta säätelystä. Kommenttejani saattaa jossain määrin rasittaa se, että viestinnän teknologiaa koskevat tietoni ovat kovin vaatimattomia. 1. lakiehdotus 6. Säännös koskee viestin ja tunnistamistietojen suojaamista. Säännöksen 2 momentissa todetaan kielletyksi suojauksen purkavan järjestelmän tai sen osan hallussapito, maahantuonti, valmistaminen ja levittäminen, jos järjestelmän tai sen osan ensisijaisena käyttötarkoituksena on suojauksen "oikeudeton" purku. Lainkohta luultavasti toimii käytännössä kohtuullisen ennakoitavalla tavalla. Voidaan kuitenkin kysyä, onko muotoilu tässä selkein mahdollinen. Perusteluissa (s. 54) viitataan lainsäädännössä jo oleviin vastaaviin säännöksiin. Viitatussa televiestinnän tietosuojalain kohdassa puhutaan ko. viittauksen mukaan kuitenkin erilaisesta asiasta eli oikeudettomasta hallussapidosta. Jos oikeudeton- sanalla tässä tarkoitetaan perusteluissa viitatuissa rikoslain kohdissa tarkoitettuja tilanteita, tämä olisi ehkä voitu tuoda myös säännöstekstiin. Minusta

15 2 oikeudeton -sana jää tietynlaisen toiminnan kieltävän normin yhtenä määritteenä epämääräiseksi, jos sillä tarkoitetaan jotakin muutakin kuin (määrätyssä) laissa jo kiellettyä toimintaa. Lainkohdan tekee jossain määrin väljäksi myös kriteeri "ensisijaisena käyttötarkoituksena on ". Kohdan väljyys on rikosoikeudellisen legaliteettiperiaatteenkin kannalta merkittävä sikäli, että kohta on ehdotuksen 42,2 :n mukaisesti myös rangaistavuutta määrittelevä säännös. 7. Säännös koskee palvelun käyttöä koskevien tietojen tallentamista käyttäjän päätelaitteelle. En pysty riittävästi arvioimaan säännöksen käytännön merkitystä. Jo säännöksen perusteluissakin kuitenkin todetaan (s. 56), että käyttäjän päätelaitteelle tallennetut tiedot kuuluvat käyttäjän yksityisyyden suojan piiriin ja että tässä on kysymys päätelaitteeseen ja siihen tallennettuihin tietoihin tunkeutumisesta. Tätä perusoikeustaustaa vasten näyttäisi olevan aihetta pariin kommenttiin. Minusta tällaisessa säätelyssä ei pitäisi tyytyä lakitekstissä käyttämään sellaista käsitettä kuin eväste, jota ei määritellä 2 :n määritelmissä tai laissa muuten ja jonka merkitystä ei toisaalta voi mitenkään pitää yleisen kielenkäytön tai edes yleisen juridisen kielenkäytön pohjalta riittävän selvänä. Säännöksen 1 momentin viimeisessä virkkeessä oleva vaatimus, jonka mukaan käyttäjälle "on annettava mahdollisuus kieltää", jättää turhan paljon tilaa palvelun tarjoajan passiiviselle, huonosti informoivalle suhtautumiselle. Voidaan ainakin kysyä, miksi tässä ei voitaisi käyttää saman tyyppistä sääntelyä kuin esim. ehdotuksen 17 :n 2 (ja 3) momentissa. - Säännöksen 3 momentin lopun muotoilu ei näytä oikein onnistuneelta, siinä kun annetaan ymmärtää, että tämän säännöksen puitteissa voidaan vaarantaa yksityisyyden suojaa kunhan vaan vaarantaminen ei ole tarpeetonta. Ehdotetussa 7 :ssä sallituksi tehdyn toiminnan tavoitteet näyttävät minusta sellaisilta, että ne eivät ylipäätään riitä oikeutukseksi yksityisyyden "vaarantamiselle". 8. Säännös koskee yleisiä käsittelysääntöjä. Perusoikeuksien suojaa turvaavien yleisten rajoitusten lakitekstissä kuvaamisen tapaan liittyy tietysti useinkin harkinnanvaraisuutta. Minusta olisi kuitenkin vielä harkita, eikö 3 momentissa olevaa varausta (luottamuksellisen viestin ja yksityisyyden ) "suojaa tarpeettomasti vaarantamatta" olisi syytä ennemminkin kirjoittaa tyyliin "ei saa rajoittaa enemmän kuin on välttämätöntä".

16 9. Mm. tämän säännöksen yhteydessä on mielestäni vieläkin aiheellista kysyä, onko lakitekstissä omaksuttu termi "käsittely" oikein onnistunut. Sen käyttöala on 2 :n määrittelyn mukaan huomattavan laaja ja sisältää mm. luovuttamisen. Luovuttaminen ei helposti tule mieleen käsittely-sanasta yleiskielen perusteella ja toisaalta luovuttaminen on (tässä) viranomaisten toimivaltojen kannalta niin merkittävä toimintamahdollisuus, että sitä ei saisi "piilottaa" yleiskielessä niin muunlaisiin asioihin viittaavan sanan kuin käsittely taakse. Toinen hankaluus käsittely- sanassa näyttäisi tulevan esille juuri 9 :ssä. Säännöksen 1 momentti nähtävästi viittaa käsittelyyn juuri 2 :n määrittelyn mielessä, mutta 2 momentissa käsitellä-sanalla nähtävästi tarkoitetaan käsittelyä sanan tavanomaisessa mielessä, ts. puhutaan niistä henkilöistä, jotka saavat käsitellä ko. tietoja. (Sama asetelma näyttäisi olevan myös 16 :n 1 ja 2 momentissa.) Tällaista kielenkäytön hämmentämistä samassa pykälässä ei saisi olla. 12. Säännös koskee käsittelyä teknistä kehittämistä varten. Käsittely- sanan liiallinen monikäyttöisyys (2 :n määritelmän puitteissa) tulee esille myös tässä säännöksessä. Kuten perusteluissakin todetaan (s. 62), käsittelyn määritelmä tässä sisältää myös tunnistamistietojen luovuttamisen. Minusta perusoikeuksien turvaa koskevan säätelyn laissa pitäisi olla läpinäkyvämpää eikä operoida tällaisella yleiskielestä selvästi poikkeavalla ja vain ammattilaisille avautuvalla sanankäytöllä. Säännöksen perustelu on tässä myös sikäli harhaanjohtava, että ehdotettu muotoilu ei tässä vastaa televiestinnän tietosuojalain 12 :n 1 momenttia, jossa on nimenomaisesti erikseen mainittu luovuttamismahdollisuudesta. Hiukan voisi myös kysyä, mistä lain säännöksestä selviää se perusteluissa mainittu seikka, että luovuttaminen voi tässä tapahtua vain taholle, jolla on oikeus "käsitellä tunnistamistietoja kyseisessä tilanteessa." 13. Säännös koskee käsittelyä väärinkäytöstapauksissa. Säännöksen tavoitteita ja pääasiallista sisältöä voidaan varmaan pitää ongelmattomana. On kuitenkin syytä kysyä, onko yksi käytetyistä kriteereistä, "väärinkäytösten havaitsemiseksi", liian väljäksi jätetty. Voisiko tunnistetietojen käsittely ja siten mm. niiden luovuttaminen olla tämän nojalla mahdollista silloinkin kun mitään konkreettisia epäilyksiä väärinkäytösten tapahtumisesta ei ole ja kun ei kyse myöskään ole väärinkäytösten estämistä tarkoittavista toimista ( lainkohdassa puhutaan erikseen väärinkäytösten estämisestä)? Mitä kaikkea voisi esim. jokin innokas yhteisötilaaja tehdä viestintäverkossaan ainakin näennäisen laillisesti sillä varjolla, että kysymys on toiminnasta väärinkäytösten havaitsemiseksi?

17 2 16. Säännös käsittelee paikkatietojen käsittelyä ja luovutusta. Pariin väljyyspiirteeseen voisi tässä kiinnittää huomiota. Paikkatietojen käsittelyjä luovutus merkitsee tai ainakin voi tulla merkitsemään puuttumista yksityisyyden suojaan. Tähän nähden voidaan säännöksen 1 momenttiin sisältyvää toimenpidevaltuutusta pitää varsin väljänä siinä käytetyn lisäarvopalvelun/jcäsitteen väljyyden vuoksi. Lakiehdotuksen 2 :n määritelmän mukaan lisäarvopalvelu tarkoittaa palvelua, joka perustuu mm. juuri paikkatietojen käsittelyyn "muuta tarkoitusta kuin verkkopalvelun tai viestintäpalvelun toteuttamista varten". Ainakaan yleensä ei perusoikeuksien tulkintakäytännössä liene oltu valmiita hyväksymään perusoikeuksien rajoittamisvaltuuksia niin epämääräisesti kuvattuihin tarkoituksiin, että niistä on laissa todettu vain se, mitä ne eivät ole. Minusta lisäarvopalvelu pitäisi jo lakitekstissä määritellä tarkemmin, jos siihen kytkeytyen halutaan antaa valtuuksia esim. juuri paikkatietojen käsittelyyn. Säännöksen 3 momentissa käytetään rajoittavaa varausta "yksityisyyden suojaa tarpeettomasti vaarantamatta". Tässäkin voisi sanontaa luullakseni hyvin kehittää vähän samansuuntaisesti kuin edellä on todettu 8 :n kohdalla. 18. Säännös koskee paikannettavan palvelukohtaista suostumusta. Säännöksen 2 momentin mukaan paikannettavalla on oltava mahdollisuus peruuttaa 1 momentissa tarkoitettu suostumus. Säätely tässäkin säännöksessä koskee selvästi yksilön oikeusasemaa. Tähän nähden olisi paikallaan, että jo lakiteksti osoittaisi, että ei pelkästään (kokonaan) peruuttaminen, vaan myöskin (lyhytaikainen) keskeyttäminen on tällä tavoin mahdollista. Nyt asia tulee esille vain perusteluissa. 19. Säännös koskee velvollisuutta huolehtia tietoturvasta. Säännös on tavoitteiltaan ja sisällöltään varmaan asiallinen. Pieni ongelma voi kuitenkin liittyä siihen, että säännös on ehdotuksen 43,2 :n mukaisesti myös rangaistavuuden määrittelevä säännös. Sellaiseksi säännös on huomattavan väljä. 20. Säännös koskee toimenpiteitä tietoturvan toteuttamiseksi. Säännös merkitsee mahdollisuuksia puuttua luottamuksellisten viestien suojaan ja voi merkitä myös rajoitusta sananvapauden käyttämiseen. Ainakin sen suuntaisten valtuuksien kehittämiseen, joita säännöksessä ehdotetaan, voidaan kuitenkin katsoa olevan painavia syitä. Perusteluissa kuitenkin hieman häiritsee se, että niissä (s ) kyllä puhutaan joistakin vakuuttavista esimerkkitilanteista kuten virusten torjunnasta tai siitä, että perusoikeussuojaa ei ole tarkoitettu kattamaan viestin käyttämistä rikoksentekovälineenä, mutta ei paljonkaan

18 tarkastella ko. valtuuksien ulottumista paljon rikosepäilystilanteiden ulkopuolelle ja niiden pysyttämistä mahdollisimman rajattuina. Kaiken kaikkiaan ei ko. valtuuksien muotoilu mielestäni kuitenkaan anna aihetta mihinkään painaviin huomautuksiin. Säännöstekstin muotoilun kannalta voidaan pitää ainakin hieman erikoisena sitä, että 1 momentissa annetaan valtuus "ryhtyä välttämättömiin toimiin" mm. "toteuttamalla muut välttämättömät toimenpiteet". Voidaan myös epäillä, onko riittäviä syitä tyytyä niin avoimeen listaa täydentävään yleisvaltuutukseen kuin "muut välttämättömät toimenpiteet", ja kysyä eikö tällainen "varmuuden vuoksi" annettu valtuuskin pitäisi sitoa johonkin sisällölliseen yleiseen kriteeriin. Säännöksen 2 momentin vain- sanojen käyttö ei ehkä ole selkein mahdollinen sen suhteen, tarkoitetaanko momentin 1 virkkeessä ("saa ryhtyä vain jos") ja 2 virkkeessä ("Lisäksi...saa puuttua vain jos") kahta erillistä, yksinään riittävää kriteeriä, vai mahdollisesti yhtaikaa vaadittuja edellytyksiä. Momentissa käytetty kriteeri "vastaanottajan viestintämahdollisuuksien turvaamiseksi" jättää melko avoimeksi sen, kuinka vähäisten häiriöiden torjumiseksi ko. valtuudet voidaan jo ottaa käyttöön. Minusta voisi tässä ainakin harkita sitä, pitäisikö säännökseen kirjoittaa jotain sen suuntaista kuin "vastaanottajan viestintämahdollisuuksien turvaamiseksi merkittäviltä häiriöiltä" taikka todeta säännöstekstissä, että viestinnän suojaan puuttuvien toimenpiteiden tulee olla suhteessa torjuttavan häiriön merkitykseen. Säännöksen 3 momentissa annetaan viestintävirastolle valtuus antaa tarkempia määräyksiä 1 momentissa tarkoirettujen tietoturvaloukkausten teknisestä torjumisesta ja tietoturvaan kohdistuvien häiriöiden poistamisesta. Tämän suuntainen säännös on varmaan tarpeen. Torjuntakeinot lienevät myös paljolti sillä tavoin teknisten mahdollisuuksien ja tietojen varassa, että ohjaus edellyttää erityisviranomaisen osallistumista. Tästä huolimatta voidaan momenttia pitää PL 80 :n valossa liian väljänä. Perusteluissa puhutaan tässä kohden (s. 73 ) tarkempien teknisten määräysten antamisesta. Itse säännöksessä ei kuitenkaan puhuta mitään itse määräysten teknisestä luonteesta, vaan ainoastaan tekninen- sana liitetään vain torjumiseen ("teknisestä torjumisesta"). Kun kyse on perusoikeusturvaan vaikuttavasta sääntelystä, ei mielestnni voida laissa antaa asetuksen antajien piirin ulkopuolelle valtaa antaa "tarkempia määräyksiä" "tietoturvaan kohdistuvien häiriöiden poistamisesta" - semminkään kun se lain tasoinen säätely, josta näin annettaisiin "tarkempia" määräyksiä, ei ole mitenkään yksityiskohtainen ja konkreettinen. (Vertailuksi voidaan todeta, että 22 :n viimeisessä momentissa annetaan viestintävirastolle valta antaa "teknisiä määräyksiä" kokonaisuudesta, joka jo sinänsä on 20 :ssä tarkoitettua suppeampi ja konkreettisempi.)

19 2 7. lakiehdotus Ehdotus koskee poliisilain 36 :n muuttamista. En tunne tässä kuvattujen valtuuksien käytännön sisältöjä riittävästi voidakseni kunnolla arvioida ehdotusta. Joitakin huomioita voin kuitenkin esittää. Sen valossa, mitä ehdotuksen perusteluissa esitetään (s ) ja myös mitä 1. lakiehdotuksen 4 :n perusteluissa esitetään mm. prepaid- liittymistä (s. 51), näyttää minusta selvältä, että ehdotettu valtuus merkitsee jonkimääräistä mahdollisuutta päästä yksityisyyden suojan piiriin kuuluviin tietoihin. Poliisilain kohta, jota nyt täydennetään on aikoinaan säädetty vähää ennen vuoden 1995 perusoikeusuudistusta ja siis myös ennen yksityisyyden suojaa koskevan säännöksen sisällyttämistä perustuslakiin. Poliisilain ko. nykyisen säännöksen nojalla ei sen vuoksi tässä voida juuri tehdä päätelmiä. Nyt ehdotettu valtuus ei ole mitenkään rajoitettu poliisin tehtäviin rikostutkinnassa tai rikosten torjunnassa, vaan on käytettävissä, jos ko. tietoja tarvitaan "poliisille kuuluvan tehtävän " suorittamiseksi. Se, että "rikolliset käyttävät" tietynlaisia teleliittymiä, kuten ehdotuksen perusteluissa (s. 103) esitetään, ei siten voi riittää perusteeksi näin väljästi muotoillulle valtuudelle.

20 ?a l/p ó^/smó 1 ^fjb HE 125/2003 lausunnon antaja: professori Timo Konstari Eduskunnan perustuslakivaliokunnalle Eduskunnan käsiteltävänä olevassa hallituksen esityksessä (HE 125/2003) ehdotetaan säädettäväksi sähköisen viestinnän tietosuojalaki, jolla kumottaisiin yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta annettu laki ja sen nojalla annetut asetukset. Lisäksi ehdotetaan muutoksia eräisiin muihin lakeihin kuten esim. viestintämarkkinalakiin ja poliisilain 36 :ään. Sähköisen viestinnän tietosuojalailla on tarkoitus panna täytäntöön henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla annettu Euroopan parlamentin ja neuvoston direktiivi sekä kuluttajille tarkoitettujen rahoituspalvelujen etämyynnistä annetun Euroopan parlamentin ja neuvoston direktiivin 10 artikla. Lakiehdotuksessa on lukuisia valtiosääntöoikeudelliselta kannalta huomion arvoisia kohtia, jotka liittyvät perusoikeussuojaan. Erityisesti nousevat esille perustuslain 10 :ään otetut säännökset yksityiselämän ja luottamuksellisen viestin suojasta sekä perustuslain 12 :ään otetut säännökset sananvapaudesta. Lakiehdotuksen 2 :ään on otettu joukko lain ymmärtämisen ja soveltamisen kannalta tärkeitä - suorastaan välttämättömiä - määritelmiä. Vaikka määritelmät ovat hiottuja ja viimeisteltyjä, ei lakia voi parhaalla tahdollakaan pitää helppolukuisena ja "käyttäjäystävällisenä". Informaatiooikeudellinen sääntely verkkoyhteiskunnassa on väistämättä mutkikasta. Tuskin on liioiteltua

21 väittää, että käsillä olevan lakiehdotuksenkin sisältö käsitemäärittelyistä huolimatta on vain harvojen hallittavissa. Jo pelkästään lakiehdotuksen 3 :ään otetut säännökset lain soveltamisalasta antavat käytännössä varmasti pohtimisen aihetta. Periaatteessa tärkeä rajaus on se, että lakia ei sovellettaisi (4 ja 5 :ää lukuun ottamatta) sisäisiin ja muihin rajoitetuille käyttäjäpiireille tarkoitettuihin viestintäverkkoihin. Tärkeä on myös se rajaus, että henkilötietojen käsittelyyn sovellettaisiin, mitä henkilötietolaissa (533/1999) säädetään, jollei sähköisen viestinnän tietosuojalaista muuta johdu. Lakiehdotuksen perusteluista (s. 49) olisi ollut miellyttävää saada lukea, mitä muuta säädettävästä laista henkilötietolain soveltuvuuden kannalta kaiken kaikkiaan johtuu. Henkilötietolaki on sentään yleislaki. Välistä vaikuttaa siltä, että informaatiooikeudellisten säädösten keskinäissuhteet ovat karkaamassa lainvalmisteluorganisaation käsistä. Lakiehdotuksen 4 :n 1 momentin mukaan viesti, tunnistamistiedot ja paikkatiedot ovat luottamuksellisia, jollei sähköisen viestinnän tietosuojalaissa tai muussa laissa toisin säädetä. Tämä koskee 3 momentin mukaisesti myös verkkosivustojen selaamisesta kertyviä tunnistamistietoja. Lakiehdotuksen 4 :n 2 momentti sen sijaan on luottamuksellisuuden suojan kannalta ongelmallinen. Sanotun lainkohdan mukaan viesti ja siihen liittyvät tunnistamistiedot eivät ole luottamuksellisia, jos viesti on saatettu yleisesti vastaanotettavaksi. Ehdotettu säännös merkitsisi sitä, että saattaessaan viestin yleisesti vastaanotettavaksi julkiseen keskusteluun verkossa osallistuva henkilö ei voisi olla vakuuttunut siitä, että hänen tunnistamistietonsa pysyvät luottamuksellisina. Hallituksen esityksen perusteluissa (s. 51) ei ole esitetty sellaisia näkökohtia, jotka tekevät tunnistamistietojen luottamuksellisuudesta luopumisen 2 momentissa tarkoitetuissa tilanteissa välttämättömäksi. Lakiehdotuksen 7 :ään on otettu säännöksiä erittäin mutkikkaasta ja työläästi ratkaistavasta sääntelyongelmasta. Kysymys on palvelun käyttöä kuvaavien tietojen erityisesti ns. evästeiden - tallentamisesta käyttäjän päätelaitteelle sekä näiden tietojen käytöstä. Ongelmana sääntelyssä on mm. se, että evästeiden tms. tietojen tallentaminen ja käyttö voi vaarantaa käyttäjän yksityisyyden suojaa. Toisaalta ne voivat olla käytännössä tietyn palvelun saamiseksi välttämättömiä. Lakiehdotuksen 7 on säädettävissä tavallisessa lainsäädäntöjärjestyksessä, kun otetaan huomioon pykälässä palvelun käyttäjälle annettu kielto-oikeus ja se, että palvelun tarjoajalla on velvollisuus antaa käyttäjälle ymmärrettävät ja kattavat tiedot tallentamisen tai

22 käytön tarkoituksesta. - Pykälän 3 momentin mukaan siinä tarkoitettujen tietojen tallentaminen ja käyttö on sallittua ainoastaan palvelun vaatimassa laajuudessa ja se on toteutettava yksityisyyden suojaa tarpeettomasti vaarantamatta. Eräissä muissakin lakiehdotuksen kohdissa käytetään vastaavaa ilmaisutapaa, joka on omiaan johtamaan sellaiseen ajatukseen, että tarpeellistakin vaarantamista saattaa esiintyä. Lakiehdotuksen 16 :ssä säädetään paikkatietojen käsittelystä ja luovutuksesta. Ehdotuksen 2 :ään otetun määritelmän mukaisesti tietojen luovutuskin on tietojen käsittelyä lakiehdotuksen tarkoittamassa mielessä, joten pykälän otsikko ei ole aivan johdonmukainen. Ehdotuksen 16 :n 4 momentti tarjoaa huoltajalle mahdollisuuden alle 15-vuotiaan lapsen olinpaikan seurantaan matkapuhelimen paikannustietojen välityksellä. Tämä mahdollisuus ei kuitenkaan hallituksen esityksen yksityiskohtaisten perustelujen valossa ole katsottavissa sellaiseksi perustuslain 10 :ssä tarkoitetun yksityiselämän suojan rajoitukseksi, josta säätäminen edellyttäisi muun kuin tavallisen lainsäätämisjärjestyksen käyttämistä. Lakiehdotuksen 20 :ssä säädetään toimenpiteistä tietoturvan toteuttamiseksi. Pykälän 1 momentin mukaan tietoturvaloukkausten torjumiseksi ja tietoturvaan kohdistuvien häiriöiden poistamiseksi teleyrityksellä, lisäarvopalvelun tarjoajalla tai yhteisötilaa-jalla ja näiden lukuun toimivalla on oikeus ryhtyä välttämättömiin toimiin 19 :ssä tarkoitetun tietoturvan varmistamiseksi estämällä sähköpostiviestien, tekstiviestien ja muiden vastaavien viestien vastaanottaminen, poistamalla haittaohjelmat viesteistä sekä toteuttamalla muut välttämättömät toimenpiteet. Ehdotettu säännös selvästi rajoittaa perustuslain 12 :n 1 momentissa turvattua sananvapautta. Ehdotuksen 20 :n 2 momenttiin onkin otettu säännöksiä, jotka rajaavat toimenpiteisiin ryhtymisoikeuden tilanteisiin, joissa toimet ovat välttämättömiä verkkopalvelujen tai viestintäpalvelujen taikka viestin vastaanottajan viestintämahdollisuuksien turvaamiseksi. Tästä näkökulmasta katsoen kysymys onkin tällöin itse asiassa sananvapauden turvaamiseksi säädettävästä sananvapauden rajoituksesta. Viestin sisältöön 2 momentin mukaan saisi puuttua vain, jos on todennäköisiä syitä epäillä viestin sisältävän sellaisen tietokoneohjelman tai ohjelmakäskyjen saijan, jota tarkoitetaan rikoslain 34 luvun 9 a :n 1 kohdassa tai jos viestiä käytetään rikoslain 38 luvun 5 :ssä säädettyyn tietoliikenteen häirintään. Tämä rajaus on hyväksyttävästi perusteltavissa sillä, että perustuslain 10 :ssä ei ole tarkoitus ulottaa luottamuksellisen viestin suojaa tilanteisiin, joissa on kysymys viestin käyttämisestä rikoksentekovälineenä (HE s. 72).

23 Lakiehdotuksen 26 :ssä on säännöksiä suoramarkkinoinnista luonnolliselle henkilölle. Lähtökohtana pykälässä on suoramarkkinointikielto. Suoramarkkinointi on 1 momentin mukaan kohdistettavissa vain sellaisiin luonnollisiin henkilöihin, jotka ovat antaneet siihen ennalta suostumuksensa. Tämä lähtökohta on sopusoinnussa yksityisyyden suojan ja itsemääräämisoikeutta koskevien periaatteitten kanssa. Toisaalta on kuitenkin samalla kysymys myös perustuslain 12 :ssä turvatusta sananvapaudesta. Eduskunnan perustuslakivaliokunta on praksiksessaan katsonut, että mainonta kuuluu lähtökohtaisesti sananvapauden suojan piiriin, mutta mainontaan voidaan kohdistaa pidemmälle meneviä rajoituksia kuin sananvapauden sisällöllisellä ydinalueella olisi mahdollista (ks. esim. Pe VL 19/2002 vp). Lakiehdotuksen 29 :ään on otettu säännökset suoramarkkinoinnin vastaanottamisen estämisestä. Pykälän mukaan ehdotuksen :ssä tarkoitetun suoramarkkinoinnin vastaanottamisen estäminen tulisi kysymykseen vain käyttäjän pyynnöstä. Ehdotuksen perusteluista käy kuitenkin ilmi, että suodatuskriteerit tulisi sisällyttää yhteisön sähköpostin käyttöoikeusehtoihin taikka vastaaviin sääntöihin, jotka hyväksymällä käyttäjän voitaisiin katsoa antaneen ehdotetussa pykälässä tarkoitetun suostumuksen. Perustelujen mukaan käyttäjälle tulisi myös antaa mahdollisimman tarkat ja kattavat tiedot suodatustavasta ja siitä, mitä riskejä suodattamiseen sisältyy. Sanotut näkökohdat tulisi kinata myös lakitekstiin. Lakiehdotuksen 33 :ssä säädetään ohjaus- ja valvontaviranomaisten tiedonsaantioikeudesta. Ehdotetut säännökset vaikuttavat riittävän yksityiskohtaisilta ja täsmälliseltä. Pykälän 3 momentin 4 kohdasta puuttuu sana "vahingonteko". Helsingissä 12 päivänä marraskuuta 2003 Timo Konstari hallinto-oikeuden Helsingin yliopisto professori

24 Te. l/f ^/^ooa -vjje Perustuslakivaliokunnalle Asia: Lausunto hallituksen esityksestä eduskunnalle HE 125/2003 vp sähköisen viestinnän tietosuojalaiksi ja eräiksi siihen liittyviksi laeiksi. Lailla toteutetaan yksityisyyden suojelusta henkilötietojen käsittelyssä ja yksityisyyden suojasta sähköisen viestinnän alalla (2002/58/EY) direktiivin velvoitteet. Lailla kumotaan aikaisempi asiaa säädellyt yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvaa koskeva laki (565/1999). Lain keskeinen tavoite on yksityisyyden ja luottamuksellisen viestinnän suojan toteuttaminen sähköisessä viestinnässä. Täten PL 10 1 momentin yksityiselämän suoja ja 10 3 momentin luottamuksellisen viestinnän suoja ovat lain kannalta keskeisiä perusoikeuksia. Laki sivuaa myös PL 12 :n sananvapautta. Tietoturvamaksuja koskeva sääntely liittyy PL 81 :n verojen ja maksujen jaotteluun. PL 12 :n sananvapaus Lakiesityksen 4 :n 2 momentissa esitetään, että viestiin liittyvät tunnistamistiedot eivät ole luottamuksellisia, jos viesti on saatettu yleisesti vastaanotettavaksi. Tämä säännös on ristiriidassa sananvapauslain (460/2003) 17 :n verkkoviestin tunnistamistietojen luovuttamista koskevan sääntelyn ja menettelyn kanssa. Mikäli lain 4 2 momentti toteutuisi sellaisenaan, sananvapauslain 17 :n menettely kävisi tarpeettomaksi. PL 12 :n sananvapauden kattamat oikeudet sisältävät oikeuden lähdesuojaan ja anonyymiin viestintään. Sananvapauslakia koskevassa HE 54/2002 vp on perusteltu, että nimettömän verkkoviestin julkaisijaa suojattaisiin tunnistamistietojen luovuttamista koskevilla menettelysäännöksillä. Lähdesuoja ja oikeus anonyymiin ilmaisuun koskee kaikkia joukkoviestinnän muotoja ja on siten välineneutraali. 1 'HE 54/2002 vp. s. 76.

25 Lähdesuoja on tärkeä keino sananvapauden kattamien oikeuksien käytössä ja toteuttamisessa. Sananvapauslakiesityksen perustelujen mukaan anonyymiin ilmaisun ja tietolähteen suojaan liittyvät oikeudet kuuluvat osaltaan julkisen keskustelun, vapaan tiedonvälityksen ja vallankäytön julkisen arvostelun takeisiin. Yksilön sosiaaliset, taloudelliset tai muut riippuvuussuhteet saattaisivat käytännössä estää häntä osallistumasta julkiseen keskusteluun, jos oikeutta esiintyä nimettömästi tai nimimerkin suojassa ei olisi. Yksilön oikeus välittää tietoja julkaistavaksi saattaisi myös vaarantua, mikäli hänen olisi kaikissa tilanteissa paljastettava henkilöllisyytensä. 2 Lakiesityksen 32 s. on esitetty väite, että luottamuksellisen viestin suojan osalta sananvapauslaissa olisi omaksuttu lähtökohta, että yleisesti vastaanotettavaksi tarkoitettuun viestiin liittyvät tunnistamistiedot ei kuuluisi luottamuksellisen viestinnän suojan piiriin. Tässä kommentissa on jätetty huomioimatta, että tunnistamistiedot kuuluvat sananvapauden kattamaan lähdesuojaan ja anonyymin viestinnän suojaan. Sananvapauslaissa tunnistamistietoja on käsitelty sananvapauteen kuuluvaan lähdesuojaan ja anonyymiin viestintään kuuluvina oikeuksina. Tämän lakiesityksen 4 :n 2 momentissa ei ole otettu lainkaan huomioon sananvapauslain valmistelussa ja käsittelyssä lähdesuojasta ja anonyymin viestinnän suojasta esitettyjä käsityksiä. Euroopan ihmisoikeustuomioistuimen ratkaisukäytännössä lähdesuojaa on pidetty sananvapauteen keskeisesti kuuluvana oikeutena ja valtion harkintamarginaali on lähdesuojan osalta katsottu erittäin kapeaksi. Merkittävin lähdesuojaa koskeva Euroopan ihmisoikeustuomioistuimen ratkaisu on Goodvvin vs. Britannia tapaus Ratkaisussa Euroopan ihmisoikeustuomioistuin haki tasapainoa journalistisen lähdesuojan ja loukkauksen kohteeksi joutuneen yrityksen oikeuden saada hyvitystä luottamuksellisen tiedon levittämisestä. Päätöksen keskeiset perustelut ovat seuraavat: "Protection of journalistic sources is one of the basic conditions for press freedom... Without such protection, sources may be deterred from assisting the press in informing the on matters of public interest. As a result the vital public-watchdog role of press may be undermined and ability of the press provide accurate and reliable information may be adversely affected. Having regard to the importance of the protection of journalistic sources for press freedom in a democratic society and the potential chilling effect an order of source disclosure has on the exercise of that freedom, such a measure cannot be compatible with Article 10 of the Convention unless it is justified by an overriding requirement in the public interest." 2 HE 54/2002 vp. s.34.

26 "On the facts of the present case, the Court cannot find that Tetra's interests in eliminating, by proceedings against the source, the residual threat of damage through dissemination of the confidential information otherwise than by the press, in obtaining compensation and in unmasking a disloyal employee or collaborator were, even if considered cumulatively, sufficient to outweigh the vital public interest in the protection of the applicant journalist's source. The Court does not therefor consider that the further purposes served disclosure order, when measured against the standards imposed by the Convention, amount to an overriding requirement in the public interest." Vapaasti käännettynä Suomeksi tämä voisi tarkoittaa seuraavaa: Journalistinen lähdesuoja on sananvapauden keskeinen edellytys. Ilman sellaista suojaa tietolähteet voisivat jättäytyä avustamasta lehdistöä yleisesti kiinnostavien asioiden tiedottamisessa. Ilman lähdesuojaa lehdistön rooli julkisena vahtikoirana voisi heikentyä ja lehdistön mahdollisuudet tarjota tarkkaa ja luotettavaa tietoa olisivat päinvastaiset. Huomioon ottaen lähdesuojan tärkeyden lehdistön vapaudelle ja lähteen paljastamista koskevan määräyksen tämän vapauden käyttöä heikentävän vaikutuksen, sellainen toimenpide ei voi olla yhteensopiva EIS 10 artiklan kanssa jollei se perustu painavaan yleisen edun vaatimukseen. Esillä olevan tapauksen faktoista EIT arvioi, että Tetran pyrkimykset lähteen paljastamista koskevilla oikeustoimilla eliminoida ylimääräisen vahingon uhka muun kuin lehdistön kautta tapahtuvan tiedon levittämisen estämiseksi, vahingonkorvausvaatimus ja epälojaalin työntekijän tai vehkeilijän paljastaminen, eivät yhteenlaskettunakaan olleet riittäviä ylittämään lähdesuojan tärkeän yleisen edun vaatimuksia. EIT ei katsonut, että tietolähteen paljastamisen määräystä koskevat tavoitteet olisivat olleet EIS:n yleisten vaatimusten mukaan riittäviä täyttämään painavan yleisen edun vaatimuksia. Asiaa koskevia muita päätöksiä ovat mm. Roemen ja Schmit v. Luxembourg ja Fressoz and Roire v. France [GC], no /95, ECHR Kun sananvapauslain 17 :ssä tunnistamistietojen luovuttamisen edellytyksenä on, että yleisön saataville saatettu viesti on sisällöltään rangaistava, tämän lain 4 2 momentissa tunnistamistietojen julkisuudelle ei asetettaisi mitään ehtoja tai edellytyksiä. HE 125/2003 vp esityksen perusteluissa ei ole arvioitu, johtaisiko tunnistamistietojen julkisuus siihen, että kuka tahansa voisi pyytää tai vaatia tietoja niistä. Vaikka perusteluissa on mainittu, että sivujen tai laitteen ylläpitäjä voisi pitää tunnistamistiedot myös luottamuksellisina, ylläpitäjä ei ilmeisesti voisi torjua tunnistamistietoihin kohdistuvaa vaatimusta, oli sille perusteita tai ei. Tämä johtaisi siihen, että sananvapauteen kuuluva lähdesuoja ja anonyymiin viestinnän suoja ei toteutuisi sähköisessä viestinnässä. Lakiesityksen 4 :n 2 momentti on poistettava, jotta laki täyttäisi PL 12 :n sananvapauden vaatimukset. Aikaisemmassa televiestinnän tietosuojaa koskevassa laissa (565/1999) ei ollut tällaista säännöstä. Mikäli 4 :n 2 momentti poistetaan, sananvapauslain 17 sääntelee tunnistamistietojen luovutusta. Vaikka 4 2 momentti poistetaankin, sivujen tai palvelun ylläpitäjän on mahdollista sopia tunnistamistietojen näkymisestä tai salassapidosta.

27 Lähdesuojastakin voi nimenomaisesti sopia julkaisijan ja tietolähteen kesken. Mikäli 4 :n 2 momentti poistetaan, tunnistamistiedot ovat pääsääntöisesti luottamuksellisia, mikäli yksittäistapauksessa ei ole sovittu niiden julkisuudesta. Lakiesityksen 4 2 momentti ei täyttäisi PL 12 :n sananvapauteen kuuluvan lähdesuojan ja anonyymin viestinnän suojan vaatimuksia, joten se olisi säädettävä poikkeuksena PL 12 :n sananvapauteen. Lakiesityksessä ei ole esitetty minkäänlaisia perusoikeuksien yleisiin rajoitusedellytyksiin liittyviä hyväksyttäviä perusteita, minkä takia sananvapauteen kuuluvista oikeuksista olisi poikettava. Sananvapauslain käsittelyn yhteydessä PeVM 14/2002 vp valiokunta katsoi, että verkkoviestin tunnistamistietojen tallentaminen on tarkoituksenmukaisinta toteuttaa sähköisen viestinnän tietosuojaa koskevalla lainsäädännöllä. Lakiesityksessä asiaa on säännelty 3 luvun viestien ja tunnistamistietojen käsittelyä koskevilla säännöksillä. 3 lukuun ei kuitenkaan sisälly erityistä julkaistavaksi tarkoitettuja viestejä koskevaa tallentamisvelvollisuutta. Käytännössä julkaistua viestiä koskeva tunnistamistieto löytyisi yleensä lain 10 :n sääntelemässä käsittelyssä laskutusta varten. Lakiesityksestä ei kuitenkaan käy ilmi, onkoteleoperaattorin yleinen laskutusta koskevien tunnistamistietojen käsittely yhdistettävissä esim. yksittäiselle keskustelupalstalle jätettyyn viestiin. Yksittäisiä palveluja ja viestejä koskeva tunnistamistietojen tallentaminen ja käsittely perustuisi pitkälti palvelun tekniseen toteutukseen. Silloin kun julkaistavaksi tarkoitettujen verkkoviestien tunnistamistietoihin ei kohdistu nimenomaista tallennusvelvollisuutta, sisällöltään rangaistavan verkkoviestin lähettäjän selvittäminen jää riippumaan ylläpitäjän muista käytettävissä olevista tiedoista. Sananvapauslain 17 :n mukaisesti teleoperaattori tai muu palvelimen ylläpitäjä on velvollinen luovuttamaan verkkoviestin lähettäjän selvittämiseksi tarpeelliset tunnistamistiedot. Kun luovutusvelvollisuus käsittää kaikki tarpeelliset tunnistamistiedot, voidaan olettaa, että sisällöltään rangaistavaan viestiin liittyvä rikostutkinnan intressi voidaan toteuttaa ilman tunnistamistietoihin kohdistuvaa nimenomaista tallentamisvelvollisuutta. PL 10 :n 1 momentin yksityiselämä ja henkilötietojen suojasta säätäminen lailla. Erityisesti 4 luvun paikkatietojen käsittely ja niitä koskevat 9 luvun tiedonsaantioikeudet liittyvät PL 10 1 momentin turvaamaan yksityiselämään

28 ja henkilötietojen suojasta lailla säätämiseen sekä 10 3 momentin turvaamaan luottamukselliseen viestintään. Silloin kun paikkatiedot liittyvät henkilötietojen käsittelyyn siten, että tieto on yhdistettävissä yksittäiseen henkilöön, paikkatietojen käsittelyyn sovelletaan henkilötietolakia (523/1999) lakiesityksen 3 :n 4 momentin mukaisesti. Tämä tarkoittaa, että henkilötietolain käsittelyn tarpeellisuutta, tarkkarajaisuutta, käyttötarkoitussidonnaisuutta ja muita velvoitteita koskevat yleiset perusteet tulevat sovellettaviksi paikkatietoja koskevien palvelujen tarjonnassa. OECD:n tietosuojasuosituksessa on esitetty suosituksia kansallisella tasolla sovellettavista tietosuojaperiaatteista. Nämä ovat sittemmin siirtyneet tietosuojadirektiivin ja henkilötietolain säännöksiin, ja periaatteille löytyy vastaava säädöspohja. 3 1 ) Tietoja tulisi kerätä asianmukaisesti ja laillisesti (fair collection principle) Direktiivin 6 (a) artikla ja lain 5. 2) Kerättävän henkilötiedon määrän pitäisi rajoittua vähäisimpään mahdolliseen henkilötietojen käsittelyn tarkoituksen saavuttamiseksi (minimality principle, minimaalisuusperiaate) Direktiivin 6 (c) artikla ja lain 6 3) henkilötietoja pitäisi kerätä määriteltyyn ja lailliseen käyttötarkoitukseen eikä niitä saa käsitellä tavalla joka on yhteensopimaton käyttötarkoituksen kanssa (purpose specification principle, käyttötarkoituksen sidonnaisuuden periaate). Direktiivin 6 (b) artikla ja lain 7. 4) henkilötietojen käyttö muuhun kuin määriteltyyn tarkoitukseen voisi tapahtua vain rekisteröidyn suostumuksella tai laissa määrätyllä perusteella (use limitation principle, käytön rajoittamisperiaate). Direktiivin 6 (a), 7 (a) ja (c) artikla ja lain 6, 7 (1),(4)-kohdat. 5) Henkilötietojen pitää olla täsmällisiä, täydellisiä ja ajan tasalla suhteessa niiden käyttötarkoitukseen (data quality principle, tiedon laatua koskeva periaate) Direktiivin 6 (c) artikla ja lain 9. 6) Henkilötiedot on suojattava riittävin turvatoimenpitein tahattomilta tai luvattomilta luovutuksilta, muutoksilta tai hävittämisiltä (security principle, tietoturvaperiaate) Direktiivin 17 artikla ja lain 32. 7) Yksilöllä on oltava oikeus tietää, onko häntä koskevia tietoja käsitelty ja saatava tiedot 3 Bygrave, Lee: Data Protection Pursuant to the Right to Privacy in Human Rights Treaties. Nämä periaatteet vastaavat paljolti OECD tietosuojasuosituksen periaatteita (Recommendation of the Council concerning Guidelines governing the Protection of Privacy

29 käsittelystä, ja oltava oikeus korjata epätäsmälliset ja virheelliset tiedot (individual participation principle, yksilön osallistumisperiaate). Direktiivin 12 artikla ja lain 26, 27 ja 29. 8) Rekisterinpitäjän on oltava vastuussa yllämainittujen periaatteiden noudattamisesta (accountability principle, vastuuperiaate). Direktiivin 23 artikla ja lain luvun paikkatietojen käsittelyä koskevissa säännöksissä täsmennetään and Transborder Flows of Personal Data ). Periaatteita on käsitellyt myös Konstan, Timo: Henkilörekisterilaki, näitä yleisiä velvoitteita. Kun lakiehdotuksen 32 :n mukaan tietosuojavaltuutettu valvoo 4 luvun paikkatietojen käsittelyä, valvonnassa voidaan soveltaa henkilötietolain tietojen käsittelyä koskevia velvoitteita ja periaatteita. Henkilötietojen käsittelyssä ratkaisutoiminta on periaatteisiin pohjautuvaa arviointia, vaikka periaatteet on vahvistettu säännöstasolla lain säännöksissä. 4 luvussa on paikkatietojen käsittelylle otettu lähtökohdaksi kaksiportainen suostumus 17 :n yleiseen paikkatietojen käsittelyyn ja 18 :n palvelukohtaiseen käsittelyyn. 17 :n yleinen suostumus on lähtökohta, ennen kuin yksittäisiä palveluja voidaan toteuttaa ja 18 :n palvelukohtainen suostumus voidaan antaa. Lakiesityksen perusteluista ei kuitenkaan käy ilmi, johtaisiko nimenomainen kielto siihen, että paikkatiedot olisi lain 16 3 momentin mukaan hävitettävä. Hävittäminen johtaisi siihen, että käyttäjän 37 :n mukainen erityinen tiedonsaantioikeus ei tulisi enää kyseeseen. Myös pakkokeinolain sijaintia koskevien televalvontatietojen luovutus ei tulisi kyseeseen taannehtivasti, mikäli tilaaja on kieltänyt paikkatietojen käsittelyn ja tiedot on 16 :n 3 momentin mukaisesti hävitetty. 17 :n kiellon suhdetta 16 3 momentin hävittämisvelvollisuuteen ei ole laissa määritelty. Velvoitteiden lailla säätämisen ja täsmällisyyden vuoksi olisi hyvä täsmentää säännöksiä tältä osin. 17 :ssä asetettu yleinen kielto-oikeus ja suostumus paikkatietojen käsittelyyn on legitiimi peruste käsitellä paikkatietoja. Lain siirtymäsäännöksen 44 :n perusteella passiivisuus voisi johtaa paikkatietojen käsittelyyn, mikäli tilaaja ei kolmen kuukauden kuluessa kiellä paikkatietojen käsittelyä. Voidaan kuitenkin arvioida, olisiko nimenomainen suostumus vanhojenkin tilaajien osalta perusteltua, jottei kukaan joutuisi vahingossa ja tietämättään paikkatietojen käsittelyn piiriin.

30 18 :n mukainen palvelukohtainen suostumus paikkatietojen käsittelyyn on yksityiselämän suojan kannalta ongelmallisempi. Palvelukohtaista paikkatietojen käsittelyä ei voi aloittaa, ennen kuin tilaajalta on saatu nimenomainen suostumus. Vaikka tämä on asianmukainen lähtökohta, suostumukseen voi liittyä henkilön tahdonmuodostusta ja itsemääräämistä koskevia ongelmia. PL 10 1 momentin yksityiselämään sisältyy yksityiselämän suojan horisontaalinen ulottuvuus. Yksityiselämän horisontaalinen suoja sisältää sen, etteivät yksityiset tahot keskenään puutu aiheettomasti toistensa yksityiselämään. Yksilö on viime kädessä yksityiselämän suojan subjekti, vaikka perhe yksikkönä voi saada yksityiselämään kuuluvaa perhe-elämän suojaa. 18 :n palvelukohtaisen suostumuksen taustalla voi olla sellainen tilanne, että sopimussuhteessa tai sosiaalisessa asemassa vahvempi osapuoli voi saada heikomman osapuolen suostumuksen paikkatietojen käsittelyyn. Tähän voi liittyä mahdollisuus, että heikomman osapuolen liikkumista koskevia paikkatietoja käsitellään tarpeettomasti ja yksityiselämää loukataan. Paikkatietojen käsittelyssä kyseeseen tulevia sovellusalueita voivat olla vanhusten ja vammaisten hoito, työelämä sekä nuorten ja lasten liikkumisen seuranta. Näihin tilanteisiin voi liittyä sekä perusteltua paikkatietojen käsittelyä että yksityiselämään puuttumista. Lisäarvopalvelun tarjoajalle voisi olla vaikea määritellä laissa sellaista selvitysvelvollisuutta, että suostumus paikkatietojen käsittelyyn perustuisi aina yksittäistapauksessa hyväksyttävään tarkoitusperään. Toisaalta lisäarvopalvelujen tarjoaja on velvollinen noudattamaan henkilötietolain velvoitteita palveluja suunnitellessaan ja tarjotessaan. Lakiesityksen 32 :n mukaan paikkatietoihin perustuva lisäarvopalvelujen tarjonta on tietosuojavaltuutetun valvonnan alaista. Täten tietosuojavaltuutettu voi tarkistaa palvelujen ehtoja ja neuvotella käytännesäännöistä alan yritysten kanssa. Kun suostumukseen liittyy henkilötietolain velvoitteet ja tietosuojavaltuutetun valvonta, voidaan arvioida, onko tämä riittävää estämään aiheettoman heikomman osapuolen yksityiselämään kohdistuvan puuttumisen. Työelämässä palvelukohtaiseen paikannustietojen käsittelyyn voi vaikuttaa työmarkkinajärjestöjen kollektiivisopimukset ja yritysten yhteistoimintamenettely. 18 :n mukainen paikannettavan palvelukohtaisen suostumuksen pitää perustua aina yksilökohtaiseen

31 sopimukseen. Kollektiivisopimuksessa voidaan ehkä sopia perusteista ja menettelytavoista suostumukselle, mutta 18 :n mukaisen suostumuksen pitää olla viime kädessä yksilön itsensä antama eikä yleisissä sopimusehdoissa päätetty. Lakiesityksen 16 4 momentin sääntely vanhempien oikeudesta päättää paikkatietojen käsittelyn kieltämisestä ja palvelukohtaisesta suostumuksesta alle 15 vuotiaiden lasten osalta tarkoittaa, että vanhemmat voisivat seurata lastensa liikkumista. Yli 15-vuotias nuori päättää itse palvelukohtaisesta suostumuksesta, mutta nuoren taloudellinen riippuvuus vanhemmista voisi johtaa siihen, että suostumus olisi annettava, jotta vanhemmat edelleenkin maksaisivat puhelinlaskut. Laitoshoidossa olevan tai muun vajaavaltaisen puolesta paikkatietojen käsittelystä päättäisi edunvalvoja, mikäli henkilölle on määrätty edunvalvoja. Mikäli laitoshoidossa olevalle henkilölle ei ole määrätty edunvalvojaa, hänen itse olisi annettava suostumus paikkatietojen käsittelyyn. Vaikka nämä ovat asianmukaisia lähtökohtia, laitoshoidossa ja muissa hoitojärjestelyissä paikkatietojen käsittelyn ei tarvitse olla ensimmäinen ja ainoa lähtökohta hoidon ja huolenpidon turvaamiseksi. Hoitoteknologian kehittämisessä on otettava huomioon henkilötietolain velvoitteet ja pyrittävä kehittämään sellaisia teknisiä ratkaisuja, joilla henkilön yksityiselämään ja luottamukselliseen viestintään puuttuminen minimoidaan. Paikkatietojen käsittelyyn liittyy lakiesityksen 37 :n käyttäjän erityinen tiedonsaantioikeus koskien päätelaitteen sijainnin paljastavia tunnistamistietoja. Tässä tilanteessa paikkatietoja pyydetään taannehtivasti ilman että paikkatietojen käsittelystä olisi ollut tietoa tai suostumusta niiden tapahtumahetkellä. Vaikka tieto perustuu käyttäjän omaan pyyntöön, antaa se mahdollisuuden selvittää toisen henkilön liikkumista, mikäli päätelaite on tilapäisesti tai jatkuvasti oilut muun kuin käyttäjän käytössä. Joku ulkopuolinen voi myös painostaa tai vaatia käyttäjää selvittämään sijaintinsa tiettynä aikana. Paikkatietojen taannehtivalla selvittämisellä on mahdollista vaatia jälkikäteen tietoa käyttäjän liikkumisesta ja tätä kautta puuttua käyttäjän yksityiselämään. Kun 37 :n tiedonsaantioikeudella on mahdollista taannehtivasti saada tietoa myös käyttäjän yksityiselämästä, asiaa on arvioitava yksityiselämään kohdistuvan puuttumisen ja rajoitusten kannalta.

32 PL 10 1 momentin yksityiselämään puuttumiselle ei ole asetettu kvalifioituja lakivarauksia mutta sitä koskee perusoikeuksien yleiset rajoitusedellytykset. Onko käyttäjän omien liikkeiden jälkikäteiselle selvittämiselle sellaisia hyväksyttäviä ja painavia perusteita, että se voitaisiin yleisellä tasolla myöntää. Kun oikeutta voitaisiin käyttää myös siihen tarkoitukseen, että käyttäjä on velvollinen selvittämään liikkeensä, sitä voidaan käyttää myös yksityiselämää loukkaaviin vääriin tarkoitusperiin. Mikäli pakkokeinolain televalvontatietojen luovutuksen edellytykset eivät teon rangaistusasteikon osalta täyty, lakiesityksen 24 :n 3 momentin telelaskun yksityiskohtaista erittelyä ja 37 :n paikkatietoja voitaisiin käyttää korvaamaan televalvontatietojen luovutusedellytysten puuttuminen. Tietoja voitaisiin käyttää todisteena myös muussa oikeudenkäynnissä. Tietoja voitaisiin käyttää myös erilaisiin yksityisiin tarkoituksiin selvittämään käyttäjän yhteyksiä ja liikkeitä. Kun vakavien rikosepäilyjen yhteydessä televalvontatiedot on mahdollista joka tapauksessa saada pakkokeinolain mukaisesti, vastaako 37 :n tiedonsaantioikeus perusoikeuksien yleisiä rajoitusedellytyksiä? Lakiesityksen 24 3 momentin mukaan käyttäjällä olisi mahdollista saada taannehtivasti pyynnön perusteella laskun yksityiskohtainen erittely, josta näkyisi kaikki viestinnän osapuolen liittymä- ja tunnistetiedot. Mikäli liittymää olisi käyttäjän lisäksi käyttänyt joku muu henkilö, olisi mahdollista saada tietoa myös muun käyttäjän luottamuksellisesta viestinnästä. Markkinoilla olevat laitteet tallentavat rajoitetusti kyseisiä tietoja viimeisten numerojen osalta. Tietojen jälkikäteinen hankkiminen teleoperaattorilta voi merkitä taannehtivaa puuttumista luottamukselliseen viestintään. Tietoja voidaan myös vaatia esitettäväksi todistelutarkoituksessa esim. esitutkinnan yhteydessä tai oikeudenkäynnissä, vaikka televalvonnan edellytykset eivät täyttyisi. Lakiesityksen 24 3 momentin mukainen erittely ja 37 :n erityinen tiedonsaantioikeus voivat antaa mahdollisuuden jälkikäteen tietoja yksityiselämästä ja luottamuksellisesta viestinnästä, jolloin tapahtumahetkellä ei ollut tietoa tiedonsaantimahdollisuudesta. 37 :n tiedonsaantioikeus merkitsee vakavampaa puuttumista yksityiselämään kuin 18 :n palvelukohtainen suostumus. 18 :n suostumuksen tilanteessa henkilöllä on tiedossa paikkatietojen käsittelyjä hän voi yksittäistapauksessa poistaa sen. 37 :n tilanteessa henkilö ei ole voinut varautua paikkatietojen käsittelyyn eikä hän ole voinut

33 yksittäistapauksessa sitä poistaa. Vertailun vuoksi voidaan todeta, että henkilö ei saa omasta pyynnöstäkään tietoa omasta rikosrekisteristään juuri se takia, että sitä voitaisiin vaatia esitettäväksi joissakin tilanteissa. Lakiesityksen perusteluissa ei ole 24 :n 3 momentin ja 37 :n osalta esitetty minkäänlaisia perusoikeuksien yleisiin rajoitusperusteisiin liittyviä perusteita, minkä takia olisi hyväksyttävää, välttämätöntä tai painavan yhteiskunnallisen perusteen vaatimaa puuttua taannehtivasti edes henkilön suostumuksella hänen ja muiden henkilöiden yksityiselämään ja luottamukselliseen viestintään. PL 10 3 momentin luottamuksellinen viestintä Lakiesityksen 33 :n ohjaus- ja valvontaviranomaisten tiedonsaantioikeutta ei ole arvioitu ja suhteutettu poliisiin pakkokeinolain mukaisiin telepakkokeinojen käyttöön. Erityisesti herättää huomiota, että viestintävirastolla ja tietosuojavaltuutetulla olisi oikeus omalla päätöksellään saada yksittäisiä viestinnän osapuolia koskevat tunnistamistiedot ja paikkatiedot 33 :n 3 momentin mukaisesti, vaikka poliisi tarvitsisi vastaavia rikosepäilyjä koskeviin tunnistamistietoihin pakkokeinolain 3 :n televalvontaa koskevan tuomioistuimen luvan. Perusteluista tulee esille, että viestintäviraston ja tietosuojavaltuutetun tutkintavaltuudet kohdistuvat yleiseen säännösten noudattamisen valvontaan tai tietoturvaloukkausten selvittämiseen. Kun valvonnan ja tutkinnan kohteet on määritelty paljon yleisemmällä tasolla, olisiko silti oikeus viranomaisen omalla päätöksellä vaatia teleoperaattoria luovuttamaan luottamuksellisen viestinnän osapuolia koskevaa paikka- ja tunnistamistietoa ilman että asiaa tarvitsisi saattaa edes tuomioistuimen käsiteltäväksi. PeVL 36/2002 vp lausunnossa on katsottu, että "perusoikeuksien kannalta on tärkeää, että näistä pakkokeinoista päättää pääsäännön mukaan tuomioistuin." Asiaa on arvioitava PL 10 3 momentin luottamukselliseen viestintään puuttumisen edellytysten pohjalta. Lakiesityksen 33 2 momentin tunnistamistiedot vikatilanteiden, häiriötilanteiden tai laskutukseen liittyvien epäselvyyksien selvittämiseksi voidaan nähdä verkkojen toimintaan liittyvinä välttämättöminä puuttumisena luottamuksellisen viestinnän osapuolia koskeviin tietoihin. Kun puuttumista luottamukselliseen viestintään on käsitelty poliisin

34 toimivaltuuksien ja pakkokeinolain yhteydessä, valiokunta on edellyttänyt huomattavasti tarkkarajaisempaa ja täsmällisempää sääntelyä kuin lakiesityksen 33 3 momentissa on esitetty. Esim. 5)-kohdassa mainitun RL 38:1 :n salassapitorikoksen ja muidenkin rikosnimikkeiden osalta poliisi ei voisi rangaistusasteikon osalta edes vaatia televalvontatietoja, mikäli kyse ei olisi 5 a luvun 3 :n 2)-kohdassa tarkoitetusta tilanteesta. Kun viestintävirasto tai tietosuojavaltuutettu ei tarvitsisi tuomioistuimen lupaa 33 3 momentin perusteella tapahtuneeseen tietojen luovutukseen, kukaan ei myöskään lakiesityksen mukaan valvo tätä toimintaa. Pakkokeinolain 5 a 15 :n mukaan sisäasiainministeriö valvoo telepakkokeinojen käyttöä ja antaa siitä vuosittain kertomuksen eduskunnan oikeusasiamiehelle. Viestintäviraston ja tietosuojavaltuutetun samantyyppiseen toimivaltuuteen ei tarvittaisi kenenkään lupaa eikä siihen kohdistuisi minkäänlaista jälkikäteistä valvontaa. Lakiesityksen 33 :n mukaisten toimivaltuuksien osalta ei ole käyty rajanvetoa, mitkä olisivat viestintäviraston ja tietosuojavaltuutetun toimivaltuudet suhteessa poliisin toimivaltuuksiin epäiltyjen tietoturvaloukkausten ja rikosten tutkinnassa. Lakiesityksessä ei ole myöskään mainittu, voiko viestintävirasto tai tietosuojavaltuutettu luovuttaa 33 :n 3 momentin perusteella hankitut tunnistamistiedot poliisille esitutkinnan aloittamisen yhteydessä vai pitääkö poliisin hakea samojen tietojen saamiseksi tuomioistuimelta televalvontalupa. Lakiesityksessä ei ylipäätään ole arvioitu, onko perusteltua syytä laajentaa televalvontaa vastaavien telepakkokeinojen käyttöä muille viranomaisille kuin poliisille. Lakiesityksessä ei ole arvioitu, onko viestintäviraston ja poliisin toimivaltuudet tietoturvaloukkausten ja uhkien selvittämiseksi rinnakkaiset, ja missä vaiheessa rikosepäilyä koskeva tutkinta pitäisi siirtää poliisille. Lakiesityksen 33 :n 3 momentin tunnistamis-ja paikkatietoja koskevat tiedonsaantioikeudet eivät vastaa PeVL 8/1994 vp ja PeVL 36/2002 vp telepakkokeinojen käytölle asetettuja kriteereitä. 33 :n 3 momentin mukaisia tietoja voisi saada viestintäviraston ja tietosuojavaltuutetun yleisen valvontavelvollisuuden toteuttamiseksi ilman että asiaan liittyisi edes rikosepäilyä. Kun vastaavien televalvontatietojen käsittelyssä riippumattoman tuomioistuimen lupaa on pidetty keskeisenä oikeusturvakeinoina, 33 3 momentin tiedonsaantioikeuteen ei liittyisi minkäänlaista oikeusturvamenettelyäja ulkopuolista jälkikäteistä

35 valvontaa. 33 :n 4 momentin vaatimus tietojen käsittelystä ainoastaan tässä laissa säädettyjen tehtävien hoitamiseksi ei toteuta oikeusturvaa ja valvontaa koskevia vaatimuksia. Lakiesityksen 33 3 momentti ja muut 33 :n viittaukset siihen pitäisi poistaa, jotta laki voitaisiin käsitellä tavallisessa lainsäätämisjärjestyksessä. Kysymys viestintäviraston ja tietosuojavaltuutetun oikeudesta saada tunnistamis- ja paikkatietoja tietoturvaloukkausten ja rikosten selvittämiseksi ja torjumiseksi vaatisi perusteellisempaa yhteensovittamista poliisin vastaavien toimivaltuuksien kanssa sekä oikeusturvan ja valvonnan järjestämistä. Viestinnän tietoturvaa koskevassa 5 luvun velvollisuuksissa ja toimenpiteissä puututaan viestintään. 20 :n sähköpostiviestien, tekstiviestien ja muiden viestien vastaanottamisen estäminen, haittaohjelmien poistaminen ja muiden välttämättömien toimenpiteiden toteuttaminen perustuu tietoturvaloukkausten torjuntaan ja häiriöiden poistamiseen. Vaikka toimenpiteet voivat johtaa yksittäistapauksessa toivottujenkin viestien vastaanottamatta jäämiseen, verkkopalvelujen ja viestintäjärjestelmien toimivuus voi edellyttää roskapostin ja virusohjelmien poistamista. Kun viestin sisältöön saa puuttua vain, jos on todennäköisiä syitä epäillä viestin sisältävän haittaohjelman, on viestintään puutumiselle ja rajoitukselle hyväksyttävät perusteet. 5 luvun viestinnän tietoturvaa koskevissa säännöksissä ei suoranaisesti puututa luottamukselliseen viestintään, vaan toimenpiteillä pyritään torjumaan tietoliikenteen haittoja ja häiriöitä. 7 luvun suoramarkkinointia koskevassa sääntelyssä on 26 :ssä lähtökohta, että suoramarkkinointi luonnolliselle henkilölle edellyttää nimenomaista suostumusta. Suoramarkkinointi yhteisöille 27 :n tilanteissa on lähtökohtaisesti sallittua, jollei yhteisö ole sitä kieltänyt. Päätös siitä, haluaako vastaanottaa suoramarkkinointia, sisältyy sananvapauteen kuuluvaan itsemääräämiseen, ja kuuluu sananvapauden kattamiin oikeuksiin. 8 luvun ohjausta ja valvontaa koskevan luvun 31 :ssä viestintäviraston tehtäväksi asetetaan tietojen kerääminen ja selvittäminen verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvista tietoturva loukkauksista, uhista, vika- ja häiriötilanteista. Tällainen valvontatehtävä on sinänsä perusteltu ja tarpeellinen. Mikäli ruvetaan arvioimaan valvonnan ulottuvuutta ja verrataan sitä 33 :n 3 momentissa

36 esitettyihin toimivaltuuksiin, onko tarpeen toteuttaa valvontaa siten, että viestintävirasto saisi teleoperaattoreilta yksittäisiä tunnistamis- ja paikkatietoja. Lakiesityksessä ei ole arvioitu, olisiko valvonta mahdollista toteuttaa siten, että viestintäviraston ei tarvitsisi käsitellä yksittäisiä tunnistamis- ja paikkatietoja. Mikäli valvonnassa tulee esille, että on syytä epäillä rikosta, onko perusteltua, että viestintävirasto jatkaa asian tutkintaa vai olisiko tutkinta syytä siirtää poliisille. 34 :n 3 momentin mukaan viestintävirasto voisi luovuttaa epäiltyjä rikoksia koskevia tunnistamistietoja potentiaalisille asianomistajille. Kaikkia tämä tapahtuisi ilman oikeusturvakeinoja ja ulkopuolista valvontaa. Kun viestintäviraston 33 3 momentin tunnistamis- ja paikkatietojen käsittelyyn ja niiden luovutukseen asianomistajille pitäisi olla oikeusturvakeinot ja ulkopuolinen valvonta, olisi syytä perusteellisemmin arvioida valvontaan liittyvien toimivaltuuksien ulottuvuutta. Yhteenveto: Lakiesityksen 4 :n 2 momentissa puututaan sananvapauteen sisältyvään lähdesuojaan ja anonyymin viestinnän suojaan tavalla, että lain käsitteleminen tavallisessa lainsäädäntöjärjestyksessä ei olisi mahdollista. Säännös olisi myös ristiriidassa sananvapauslain 17 :ssä säädetyn menettelyn kanssa. Lakiesityksen 33 3 momentissa ja 34 :n 3 momentissa puututaan luottamuksellisen viestinnän suojaan ilman että puuttumiselle olisi järjestetty minkäänlaisia oikeusturvakeinoja ja valvontaa. Lakiesityksessä ei myöskään ole esitetty, mikä esitettyjen toimivaltuuksien suhde olisi vastaaviin poliisin toimivaltuuksiin, ja minkä takia viestintäviraston puuttumiselle luottamukselliseen viestintään voitaisiin asettaa eri perusteet kuin poliisin vastaaville toimivaltuuksille. Lakiesityksen 33 3 momentin ja 34 3 momentin ja näihin liittyvien viittaussäännösten käsitteleminen tavallisessa lainsäädäntöjärjestyksessä ei ole mahdollista. Lakiesityksen 24 :n 3 momentin eritelty lasku käyttäjän pyynnöstä ja 37 :n käyttäjän erityinen paikkatietoja koskeva tiedonsaantioikeus eivät täytä yksityiselämään puuttumisen osalta ainakaan perusoikeuksien yleisiä rajoitusedellytyksiä. Lakiesityksessä ainoaksi perusteeksi

37 "37" säännöksille on esitetty käyttäjän oma pyyntö ilman että niitä olisi arvioitu yksityiselämään ja luottamukselliseen viestintään kohdistuvien rajoitusten ja perusoikeuksien yleisten rajoitusperusteiden kannalta. Muilta osin lakiesitys voidaan käsitellä tavallisessa lainsäädäntöjärjestyksessä. Helsingissä 13. marraskuuta 2003 Riitta Ollila OTT, VT, KTM I nformaatio- ja viestintäoikeuden dosentti, Turun yliopisto Villentie 1 A Oulu Puh ja Sähköposti: riitta.ollila@pp.inet.fi

38 /Tuomas Ojanen Pe(/P "67^00 3^/A Eduskunnan perustuslakivaliokunnalle HE 125/2003vp hallituksen esitys Eduskunnalle sähköisen viestinnän tietosuojalaiksi ja eräiksi siihen liittyviksi laeiksi Valtiosääntöoikeudellisen arvioinnin lähtökohtia Kuten hallituksen esityksestäkin ilmenee (s ), esityksen valtiosääntöoikeudellisessa arvioinnissa saavat merkitystä yhtäältä yksityiselämän ja henkilötietojen suojaa (PL 10 ) sekä toisaalta sananvapautta (PL 12 ) koskevat määräykset. Esityksen paikkatietojen käsittelyä koskevat säännökset sisältävät myös liityntöjä perustuslain liittymisvapautta koskevaan sääntelyyn, minkä lisäksi esityksen norminanto valtuuksia on arvioita perustuslain 80 :n kannalta. Äsken mainittuja perusoikeuksia vastaavia oikeuksia suojaa myös Euroopan ihmisoikeussopimus, joka muodostaa vähimmäistason yksityiselämän, sananvapauden ja liikkumisvapauden suojalle Suomen perustuslaissa. Yhtenä esityksen arvioinnin lähtökohtana myös on, että tietosuojalailla pantaisiin valtionsisäisesti toimeen henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla annettu direktiivi sekä kuluttajille tarkoitettujen rahoituspalvelujen etämyynnistä annetun direktiivin 10 artikla. Asiassa olisi siten kysymys sellaisesta EU:n perusoikeuskirjan 51 artiklan 1 kohdassa tarkoitetusta tilanteesta, jossa jäsenvaltio "soveltaa unionin oikeutta" ja jossa se siten on sidottu EU:n perusoikeuksiin. - EU:n perusoikeuskirjassa on tunnustettu perusoikeuksina samat perusoikeudet, jotka Suomen valtiosäännön tasolta saavat merkitystä lakiesityksen arvioinnissa. Kokonaisarvio lakiesityksestä lailla säätämisen vaatimuksen kannalta Lakiesityksellä säädettäisiin monista sellaisista asioista, jotka ovat mitä suurimmassa määrin merkityksellisiä kansalaisten aivan arkipäiväisten asioiden kannalta. Viittaan yleisesti esimerkiksi esityksen säännöksiin paikkatiedoista ja niiden käsittelystä ja luovutuksesta (16-18 ) sekä säännöksiin, jotka rajoittaisivat viestinnän luottamuksellisuutta (erit. 20 toimenpiteistä tietoturvan toteuttamiseksi) ja joilla on siten ilmeisen vahvoja kytkentöjä edellä selostettuihin perusoikeuksiin. Perustuslain keskeisempiin vaatimuksiin kuuluu, että yksilön oikeuksien ja velvollisuuksien perusteista on säädettävä lailla. Lailla säätämisen vaatimukseen kohdistuu myös vaatimuksia sääntelyn täsmällisyydestä ja tarkkarajaisuudesta. Nähdäkseni yksi näihin vaatimuksiin sisältyvä peruslähtökohta on, että yksilöiden oikeuksia ja varsinkin perusoikeuksia koskeva sääntely on ymmärrettävää. Yksityiselämän suojaa koskevan perustuslain 10 :n mukaan "henkilötietojen suojasta säädetään tarkemmin lailla, [kursivointi - TO]". Säännös edellyttää lainsäätäjän säätävän tästä oikeudesta, mutta se jättää sääntelyn yksityiskohdat lainsäätäjän harkintaan.. Tällaisen perusoikeussäännöksen nojalla annettavaa sääntelyä koskevat kuitenkin perusvaatimukset sääntelyn täsmällisyydestä ja tarkkarajaisuudesta (ks. esim. PeVL 2001 vp). Nähdäkseni lakiesityksen perusongelmana on, että sen kieliasuja terminologia ovat lähes kauttaaltaan hyvin vaikeaselkoisia ja että sen määritelmät ovat osin epäselviä ja osin puutteellisia. Osittain - mutta toisaalta vain osittain -vaikeaselkoisuuden perusteena on se, että sääntelyyn liittyy runsaasti sähköisen viestinnän tietoteknisiä yms. erityispiirteitä.

39 "39" Vaikka lakiesityksen 2 sisältää jopa 14 määritelmää, sieltä silti puuttuvat muun muassa sellaiset yksilöiden kannalta keskeisten käsitteiden kuin "evästin" (7 ) ja "paikannettava" (18 ) määritelmät. Yhden konkreettisen esimerkin lakiesityksen pulmallisuudesta tarkkarajaisuuden ja täsmällisyyden kannalta tarjoavat 3 ja 4 luvut, jossa on tavalla tai toisella kysymys viestien ja tunnistamistietojen käsittelystä (3 luku) ja paikkatietojen käsittelystä (4 luku) jo yksistään siltä osin kuin luvuissa tukeudutaan termiin käsittely sääntelyn lähtökohtana ja perusteena. Palaan käsittely - termin ongelmiin jäljempänä (ks. kohta yksityiskohtaisia huomautuksia). Täsmällisyyden ja tarkkarajaisuuden sekä viime kädessä ymmärrettävyyden kannalta kenties ongelmallisin on kuitenkin lakiesityksen soveltamisala. Lakiesityksen soveltamisalasäännös (3 ) sisältää jo yksistään kahdeksan momenttia, mikä jo sinänsä tuo paljon mutkikkuutta ja vaikeaselkoisuutta lakiesityksen soveltamisalan hahmottamiseen. Sääntelyn selkeys nähdäkseni vaarantuu merkittävästi, kun lakiehdotusta jouduttaisiin soveltamaan rinnan monen muun lain kanssa ja kun eri lakien keskinäissuhde saattaa kuitenkin käytännössä osoittautua varsin ongelmalliseksi. Entisestään lakiehdotuksen soveltamisalan selvittämistä hankaloittaa se, että hyvin moni muu säännös tai yksittäinen momentti muualla lakiesityksessä päättyy varaukseen, "ellei laissa toisin säädetä" ja "jollei tässä tai muussa laissa toisin säädetä." Kaiken kaikkiaan olisi mielestäni vakavasti harkittava sitä, pitäisikö lakiesitys palauttaa jatkovalmisteluun, jossa koetettaisiin erityisesti selkiyttää lakiesityksen soveltamisalaa sekä yleisesti vähentämään sääntelyn vaikeaselkoisuutta. Nähdäkseni tällaisen työn sopiva paikka ei ole eduskunnassa, eikä varsinkaan perustuslakivaliokunnassa, vaan valtioneuvostossa, jonka suuntaan olisi korkea aika lähettää selkeä signaali lainvalmistelun kelvottomasta tilasta. Tässä yhteydessä on myös korostettava, että lakiesityksen luonne direktiivin toimeenpanolakina ei ole sinänsä hyväksyttävä syy alkaa tinkiä yksilöiden perusoikeuksia koskevan sääntelyn täsmällisyydestä ja tarkkarajaisuudesta sekä näihin vaatimuksiin palautuvasta ymmärrettävyyden peruslähtökohdasta. Direktiivit ovat päinvastoin juuri niitä EY:n oikeuden säädöksiä, jotka jo nimenomaisesti jättävät kansallisille viranomaisille valittavaksi direktiivien toimeenpanon "muodon ja keinot" EY:n perustamissopimuksen 249 artiklan 3 kohdan mukaisesti. Yksityiskohtaisia huomautuksia 4 :n2 momentti Lakiesityksen 4 :ssä säädettäisiin viestin, tunnistamistietojen ja paikkatietojen luottamuksellisuudesta. 1 momentin mukaan "viesti, tunnistamistiedot ja paikkatiedot ovat luottamuksellisia, jollei tässä laissa tai muussa laissa toisin säädetä." 2 momentissa kuitenkin säädettäisiin, että "viesti ja siihen liittyvät tunnistamistiedot eivät ole luottamuksellisia, jos viesti on saatettu yleisesti vastaanotettavaksi." Nähdäkseni 2 momentti on ongelmallinen sananvapauden piiriin kuuluvan lähdesuojan kannalta, koska sananvapauden piiriin kuuluvat lähdesuoja ja anonyymi viestintä. Momenttia pitäisi muuttaa nämä seikat huomioon ottaen. 3 ja 4 luku Näissä luvuissa on ongelmia täsmällisyyden ja tarkkarajaisuuden kannalta yksinomaan jo siitä syystä, että lakiehdotus rakentuu näissä luvuissa hyvin monimerkityksellisen termin "käsittely" varaan. Termi "käsittely" on määritelty lakiehdotuksen 2 :n 14 kohdassa, jonka valossa sillä olisi kaksitoista sinänsä jo osin tulkinnanvaraista merkitysyhteyttä. Lisäksi "käsittely" pitäisi sisällään näitä kahtatoista - ei välttämättä aivan yksiselitteistä - merkitysyhteyttä vastaavia "muita vastaavia toimenpiteitä". Käsittely -termin ympärille rakentuvan 3 luvun sääntelyn ongelmallisuutta lisäävät luvun yksittäisten säännösten kieliasun avoimuudet. Esimerkiksi 13 :n mukaan "teleyritys, lisäarvopalvelun tarjoaja ja yhteisötilaaja voi käsitellä tunnistamistietoja, jos on tarpeen"

40 väärinkäytösten havaitsemiseksi, estämiseksi ja selvittämiseksi sekä esitutkintaan saattamiseksi, 14 :n mukaan taas samat tahot voivat "käsitellä tunnistamistietoja, jos se on tarpeen viestinnän välittämisessä tapahtuneen teknisen vian tai virheen havaitsemiseksi". Jne. Nähdäkseni tässä yhteydessä on jäljempänä paikkatietojen käsittelyyn liittyvien yksityiskohtien ohella yleisesti syytä kysyä, täyttyykö 3 ja 4 luvun sääntelyssä perusoikeuksia koskevalta sääntelyltä edellytettävät vaatimukset täsmällisyydestä ja tarkkarajaisuudesta, ymmärrettävyyden perusvaatimus mukaan lukien. Jos valtiosääntöoikeudellisen arvioinnin vastaus olisi, täyttyy, täsmällisyyden ja tarkkarajaisuuden vaatimukset joutavat nähdäkseni jatkossa valtiosääntöiseen "romukoppaan" Paikkatietojen käsittely ja luovutus 4 luvun sääntelyssä on otsikon mukaan kysymys paikkatietojen käsittelystä ja luovutuksesta. Ongelmana luvussa jo ensinnäkin on lakisystemaattinen: luvussa esiintyy termi luovutus erikseen termistä käsittely, vaikka lakiehdotuksen 2 :n 14 kohdan mukaan termiin käsittely sisältyy yhtenä merkitysyhteytenä luovutus. Käytetäänkö 4 luvussa termiä käsittely eri merkityksessä kuin muualla lakiehdotuksessa? Ja jos käytetään, mikä ero luovutuksella olisi käsittely -termiin sisältyvään luovutukseen nähden? Valtiosääntöoikeudellisesti merkityksellisin seikka on kuitenkin paikkatietojen "käsittely", joka on merkityksellinen, paitsi perustuslain 10 :n, myös perustuslain 9 :n kannalta (ks. esim. Pe VL 36/2002vp). Tältä osin lakiehdotus rakentuu ymmärtääkseni ajatukselle, jonka mukaan tilaajan oikeus kieltää paikkatietojen käsittelyjä velvollisuus pyytää paikannettavalta suostumus ennen paikkatietojen käsittelyn aloittamista poistaisivat paikkatietojen käsittelyn ja luovutuksen ongelmallisuuden perustuslain 10 :n ja - koska paikkatietojen "käsittely" on merkityksellinen myös liikkumisvapauden kannalta - perustuslain 9 :n kannalta. Nähdäkseni lakiehdotukseen liittyy kuitenkin edelleen ongelmia perustuslain näkökulmasta ainakin seuraavista syistä. Ensinnäkin yksi ongelma perustuslain kannalta liittyy suostumuksen merkitykseen. Perusoikeusrajoituksen kohteeksi joutuvan henkilön suostumuksella on sinänsä merkitystä valtiosääntöoikeudellisessa arvioinnissa, mutta perusoikeussuoja ei voi oikeudellisena kysymyksenä menettää aina merkitystään pelkästään siksi, että laissa säädetään jonkin toimenpiteen vaativan kohdehenkilön suostumuksen (ks. esim. PeVL 27/1998vp). Oleellinen kysymys on, mitä voidaan pitää oikeudellisesti relevanttina suostumuksena tietyssä tilanteessa. Ehdotukseen kytkeytyviä periaatteellisia ongelmia valaisee esimerkiksi se, että paikkatietojen käsittelystä kieltäytyminen saattaisi kenties heikentää työnsaanti- tai työssäolomahdollisuuksia. Yhtenä ongelmana myös on, että lakiesityksen 18 :n 1 momentin mukaan nimenomaista suostumusta ei aina tarvitsisi saada, jos suostumus "yksiselitteisesti" ilmenee "asiayhteydestä" tai jos laissa ei "toisin säädetä". Mielestäni suostumus olisi aina annettava nimenomaisesti, eikä avata mahdollisuutta tulkinnanvaraisuutta sisältävään asiayhteydestä ilmenevään suostumukseen. Toiseksi lakiehdotus ei nähdäkseni kykene täysin varmistamaan sitä, että suostumus paikkatietojen käsittelyn aloittamiseen saadaan nimenomaan paikannettavalta, koska matkapuhelinliittymän omistaja tai haltija eivät välttämättä ole yhtä kuin puhelimen käyttäjä, jonka paikkatietoja paikannus koskisi. Yksi tapa varmistaa paremmin sitä, että paikannettava on tietoinen paikkatietojen käsittelyn aloittamisesta, voisi olla, että matkapuhelimeen tulisi tekstiviesti tai muu ilmoitus paikkatietojen käsittelyn aloittamisesta. Kolmanneksi paikkatietojen käsittelyä ei pidä tarkastella vain paikannettavan yksityisyyden suojan kannalta, vaan asia voi olla merkityksellinen myös jonkin toisen yksilön yksityiselämän suojan kannalta, jos paikkatietojen tarkkuus olisi sitä luokkaa, että ne kykenevät paikantamaan paikannettavan johonkin tiettyyn taloon, tms. (En tosin tiedä, voiko paikkatietojen perusteella nähdä tämmöisiä asioita.) 33 Ohjaus- ja valvontaviranomaisen tiedonsaantioikeus

41 "41" Lakiehdotuksen 33 :n mukaiset valvontaviranomaisten tiedonsaantioikeudet rinnastuvat (ks. 3 momentti) pitkälti pakkokeinolain 5 a luvun 3-3a :n mukaisiin toimivaltuuksiin. Erotuksena kuitenkin olisi, että siinä missä esitutkintaviranomaisen televalvonta olisi luvanvaraista, nyt käsillä olevan lakiehdotuksen mukainen valvontaviranomaisten tiedonsaantioikeus ei lupaa vaatisi. Lisäksi esitutkintaviranomaisten toimivaltuuksia hankkia matkaviestimien sijaintitietoja koskee ehto, jonka mukaan "tietojen saamisella voidaan olettaa olevan erittäin tärkeä merkitys rikoksen selvittämiselle" (pakkokeinolain 5 a luvun 3 a ). Lakiehdotuksen mukaisten valvontaviranomaisten esitutkintaviranomaisiin nähden "helpommalle" tiedonsaantioikeudelle ei esitetä perusteluja, mistä syystä perusteiden valtiosääntöoikeudellinen arvio ei ole mahdollista. Helsingissä 18. päivänä marraskuuta 2003 Tuomas Ojanen julkisen eurooppaoikeuden professori Helsingin yliopisto PERUSTUSLAKIVALIOKUNNALLE Esitän kunnioittaen seuraavan lausunnon, joka koskee hallituksen esitystä sähköisen viestinnän tietosuojalaiksi ja eräiksi siihen liittyviksi laeiksi (HE 125/2003 vp). 1. Yleistä Lakiehdotus on kielellis-terminologisesti ja osittain myös systematiikaltaan huomattavan vaikeaselkoinen. Sen normatiivisen sisällön hahmottaminen on vaikeaa myös oikeudellisen koulutuksen saaneelle, niin sanotusta tavallisesta kansalaisesta puhumattakaan. Tämä on ongelma jo sen vuoksi, että ehdotus sääntelee asioita, joilla merkitystä lähes tulkoon kaikille. Vaikeaselkoisuutta selittää - mutta ei tee ainakaan täysin oikeutetuksi - kaksi seikkaa. Yhtäältä sähköisen viestinnän suomenkielinen terminologia on uutta, eikä se ole kaikilta osin levinnyt yleiskieleen. Silloin kun käytetään uutta terminologiaa, olisi tärkeää, että termeille annettaisiin yleiset määritelmät. Lakiehdotuksen 2 sisältääkin ehdotuksessa käytettyjen käsitteiden

42 määritelmiä. Kaikkia termejä ei ole kuitenkaan määritelty laissa vaan johdatusta joutuu hakemaan esityksen perusteluista. Tällaisiin termeihin kuuluu esimerkiksi "eväste" (7 ). Sinänsä on hyvä, että englanninkielisille termeille etsitään suomenkieliset vastineet. Jotkin termit edustavat kuitenkin miltei eufemismeja. Viittaan esimerkiksi "tietoyhteiskunnan palveluihin", joka ei terminä kerro yhtään mitään sisällöllisestä alastaan. Toinen, jo aiemmassa lainsäädännössä (henkilötietolaki) myös omaksuttu termi, joka antaa vain niukasti viitteitä käsitteellisestä sisällöstään, on tietojen "käsittely". "Käsittely" kattaa erilaisia toimintoja tietojen keräämisestä niiden luovuttamiseen ja hävittämiseen (ks. 2 :n 14 kohta). Toinen taustatekijä on siinä, että lakiehdotus on osaltaan tarkoitettu EY-direktiivin implementoinniksi. Direktiivien implementoinnissa voidaan todeta kaksi yleistä ongelmaa. Yhtäältä implementoinnissa on joskus tyydytty vain yleiseen viittaukseen direktiivin määräyksiin. Toisaalta implementoinnissa direktiiviä on saatettu kääntää artikla artiklalta sopeuttamatta määräyksiä oman oikeusjärjestyksemme systematiikkaan tai kansallisiin lakitekstien muotoilua ja systematiikkaa koskeviin traditioihin. Kuitenkin direktiivit mahdollistavat - ja itse asiassa tämän EY-säädösten muodon yhtenä tarkoituksenakin on mahdollistaa kansallisten oikeusjärjestysten erityispiirteiden huomioon ottaminen, kun niiden normatiivinen sisältö siirretään osaksi jäsenvaltioiden oikeutta. - Voi epäillä, että nyt käsiteltävän lakiehdotuksen ymmärrettävyysongelmat ovat osaksi seurausta liian orjallisesta pitäytymisestä direktiivin muotoiluihin ja systematiikkaan. Viittauksillani lakiehdotukseen liittyviin systemaattisiin pulmiin tarkoitan esimerkiksi toistuvia "ellei laissa toisin säädetä" -tyyppisiä varauksia. Lakiehdotuksen laatijoilta näyttää myös unohtuneen se lainvalmistelussa aikoinaan tähdennetty peukalosääntö, jonka mukaan pykälässä ei yleensä tulisi olla enempää kuin kolme momenttia. Nyt esimerkiksi soveltamisalaa koskevaan 3 :ään on mahdutettu kahdeksan momenttia. Erityisesti silloin kun lakiehdotus koskee perusoikeuskysymyksiä, kieliasuun, systematiikkaan ja ymmärrettävyyteen liittyvillä kysymyksillä on myös valtiosääntöoikeudellista merkitystä. Nyt käsiteltävä lakiehdotus sisältää säännöksiä, jotka koskettavat sellaisia perustuslain 10 :ssä turvattu perusoikeuksia kuin yksityiselämän suoja ja siihen sisältyvä henkilötietojen suoja sekä luottamuksellisen viestin salaisuus. Perusoikeuksia voidaan rajoittaa vain täsmällisten ja tarkkarajaisten lainsäännösten nojalla (PeVM 25/1994 vp). Tätä vaatimusta voi täsmentää siten, että yhtäältä niiden, jotka tulevat käyttämään perusoikeuksien rajoitusta merkitseviä valtuuksia, on pystyttävä toteamaan valtuuksiensa ulottuvuus laista ja että toisaalta myös perusoikeuksien

43 subjektien on pystyttävä hahmottamaan oikeudellinen asemansa lainsäännösten perusteella. Esillä olevassa sääntelyssä lakitekstin selkeyden vaatimusta korostaa vielä se, että käyttäjien ja tilaajien perusoikeuksia koskettavia säännöksiä soveltavat yleensä yksityisoikeudelliset subjektit kuten teleyritykset. Lakiehdotukseen liittyvässä perusoikeusproblematiikassa on paljolti kysymys yksityisten välisistä suhteista, perusoikeuksien niin sanotusta horisontaali- eli Dn'frw'rÄ:wttgvaikutuksesta. Perusoikeuksiin kiinnittyvässä arvioinnissa lakiehdotusta voi lähestyä kahdesta eri näkökulmasta. Ensinnäkin lakiehdotus täyttää osaltaan perustuslain 22 :ssä julkiselle vallalle säädettyä velvollisuutta turvata perusoikeuksien ja ihmisoikeuksien toteutuminen. Tämä velvollisuus koskee, kuten hallituksen perusoikeusuudistusta koskevassa esityksessä (HE 309/1993 vp) korostettiin, myös perusoikeuksien horisontaalivaikutusta. Julkisen vallan turvaamisvelvollisuutta täyttävätkin esimerkiksi 4 ja 5 :n säännökset viestin, tunnistamistietojen ja paikkatietojen luottamuksellisuudesta sekä vaitiolovelvollisuudesta ja hyväksikäyttökiellosta samoin kuin 19 :n säännökset velvollisuudesta huolehtia tietoturvasta. Keskityn kuitenkin seuraavassa toiseen perusoikeuksiin kiinnittyvään näkökulmaan ja tarkastelen lakiehdotusten säännöksiä perusoikeuksien rajoittamisen kannalta. 2. Yksityiselämän ja henkilötietojen suojan sekä luottamuksellisen viestin salaisuuden rajoittamisesta yksityisten välisissä suhteissa Lakiehdotuksen kannalta merkityksellisiä perusoikeuksia ovat ennen muuta perustuslain 10 :n 1 momentissa säädetty yksityiselämän ja sen osana henkilötietojen suoja sekä saman pykälän 2 momentissa säädetty luottamuksellisen viestin salaisuuden loukkaamattomuus. Niinpä esimerkiksi paikkatietojen käsittely koskettaa yksityiselämän suojaa osaksi myös liikkumisvapautta (PeVL 36/2002 vp). Tunnistamistietojen käsittely samoin kuin eräät tietoturvan toteuttamista tarkoittavat toimenpiteet puolestaan koskettavat luottamuksellisen viestin salaisuutta. Perustuslain 10 :n 3 momentissa on niin sanottu kvalifioitu lakivaraus, jossa on erikseen säädetty edellytyksistä, joita vaaditaan luottamuksellisen viestin salaisuuden rajoittamiseksi. Säännöksen mukaan "lailla voidaan säätää... välttämättömistä rajoituksista viestin salaisuuteen yksilön tai yhteiskunnan turvallisuutta taikka kotirauhaa vaarantavien rikosten tutkinnassa, oikeudenkäynnissä ja turvallisuustarkastuksessa sekä vapaudenmenetyksen aikana". Kun perusoikeuden rajoitusedellytyksistä on erikseen säädetty, sääntely on tarkoitettu sikäli tyhjentäväksi, että

44 rajoituksia ei voida erityisten edellytysten jäädessä täyttymättä perustella yleisiin rajoitusedellytyksiin viittaamalla. Toisaalta silloinkin, kun lakiehdotus täyttää kvalifioidun lakivarauksen määrittelemät erityisedellytykset, sen valtiosääntöoikeudellinen moitteettomuus vaatii myös yleisten rajoitusedellytysten täyttymistä. Ongelmaksi voidaan asettaa, koskevatko kvalifioidut lakivaraukset, kuten edellä lainaamani PL 10.3 :n 2 momentti, myös yksityisten välisissä suhteissa toteutuvia perusoikeusrajoituksia vai tyhjentyykö niiden vaikutus pelkästään julkisen vallan ja yksityisten välisiin suhteisiin. Lausunnossaan 47/1996 telemarkkinalakia koskevasta ehdotuksesta perustuslakivaliokunta omaksui jälkimmäisen kannan. Valiokunta arvioi ehdotusta, jonka mukaan teleliittymän tilaajalla olisi ollut oikeus saada teleyritykseltä telelaskunsa yksityiskohtaista erittelyä varten myös erittely liittymästä otettujen teleyhteyksien numeroista tai muista tunnisteista. Valiokunnan mielestä ehdotusta ei tullut näiltä osin arvioida luottamuksellisen viestin salaisuuden erikseen säädettyjen rajoitusperusteiden kannalta, koska nämä koskevat ainakin ensisijaisesti julkisen vallan taholta tulevaa puuttumista. Valiokunnan mukaan käsillä oli "perusoikeussuojan kannalta pikemminkin tilanne, jossa taloudellisesti velvoitetulle yksityiselle saatetaan antaa luottamuksellisen viestin suojan piiriin kuuluvia tunnistamistietoja myös toisen yksityisen ja kolmannen tahon välisestä televiestinnästä". Tällainen tilannehan voi aktualisoitua esimerkiksi silloin, kun tilaajana ja maksuvelvollisena on työnantaja ja liittymää käyttää työntekijä. Perustuslakivaliokunta arvioi sen sijaan tilannetta perusoikeusrajoitusten yleisten edellytysten kuten perusteen hyväksyttävyyden ja rajoituksen tarkkarajaisuuden kannalta. Tätä linjaa seurattaessa myös nyt tarkasteltavan lakiehdotuksen säännöksiä, jotka koskevat luottamuksellisen viestin salaisuutta yksityisten välisissä suhteissa, on arvioitava perusoikeuksien yleisten rajoitusedellytysten mutta ei sen sijaan PL 10.3 :n kvalifioidun lakivarauksen kannalta. Yleiset rajoitusedellytykset ovat merkityksellisiä myös silloin, kun lakiehdotus koskettaa sellaisten perusoikeuksien horisontaalisuhteissa nauttimaa suojaa, joiden varalta ei ole säädetty rajoituksia koskevia erityissäännöksiä.

45 3. Tunnistamistietojen käsittely väärinkäyttötapauksissa sekä teknisen vian tai virheen havaitsemiseksi (13-14 ) Perustuslakivaliokunta on useassakin lausunnossaan todennut, että tunnistamistiedot nauttivat luottamuksille viesteille PL 10.2 :ssä säädettyä suojaa, vaikka eivät olekaan tämän suojan keskiössä (esim. PeVL 26/1998 vp). Lakiehdotuksen :ää onkin tarkasteltava perusoikeusrajoituksina, joihin yllä esittämäni mukaisesti sovelletaan perusoikeuksien yleisiä rajoitusedellytyksiä (PeVM 25/1994 vp). Molemmat säännösehdotukset on muotoiltu lakitasoisen sääntelyn täsmällisyys- ja tarkkarajaisuusvaatimuksen kannalta arveluttavan väljiksi. Käsite "käsittely" kattaa myös tunnistamistietojen luovutuksen. Ehdotuksessa ei ole nimenomaisesti rajoitettu niitä tahoja, joille tietoja voitaisiin luovuttaa. Perustelujen (s ) luovutus voisi suuntautua vain tahoille, joilla on kyseisessä tilanteessa oikeus käsitellä tunnistamistietoja. Tällainen rajoitus ei kuitenkaan ilmene lakitekstistä. Säännösehdotusten väljyyttä lisää myös ilmaus "jos se on tarpeen". On kyseenalaista, ovatko ehdotukset näiltä osin sopusoinnussa yleisiin rajoitusedellytyksiin kuuluvan suhteellisuuden ja sen sisältämän välttämättömyysvaatimuksen kanssa. 4. Toimenpiteet tietoturvan toteuttamiseksi (20 ) Myös lakiehdotuksen 20 :ssä ehdotetut valtuudet koskevat yksityisten välisiä horisontaalisuhteita. Valtuuksia on tarkasteltava paitsi luottamuksellisen viestin salaisuuden myös perustuslain 12 :ssä turvatun sananvapauden kannalta. Niiltä osin kuin valtuuksilla voidaan puuttua perusoikeuksiin, säännösten on täytettävä perusoikeuksien yleiset raj oitusedellytykset. Nyt tarkasteltavat säännösehdotukset ovat :ää täsmällisemmät. Niinpä niissä on omaksuttu välttämättömyysedellytys. Pykäläehdotuksen 2 momentissa on erityinen säännös viestin sisältöön puuttumisesta. Ilmausta voidaan pitää sikäli epätäsmällisenä, että ei ole selvää, kuuluuko pelkkä viestin avaaminen ja lukeminen sen piiriin. Kun luottamuksellisen viestin salaisuuden kannalta on olennaista juuri viestin sisällön pysyminen luottamuksellisena, säännöstä tulisi tässä suhteessa täsmentää. 5. Alaikäisten yksityiselämän suoja (24.3 ja 37.2 )

46 Ehdotuksen 24 :n 3 momenttia ja 37 :n 2 momenttia on tarkasteltava alaikäisten yksityiselämän suojan kannalta. Edellinen säännös antaa huoltajalle oikeuden saada yhteyskohtainen erittely alle 15-vuotiaan lapsensa telelaskusta, ja jälkimmäisen säännöksen mukaan taas huoltajalla olisi oikeus saada alle 15-vuotiaan lapsensa hallinnassa olevasta päätelaitteesta tunnistamistiedot, jotka ilmaisevat liittymän tai päätelaitteen sijainnin tietyllä hetkellä. Myös alaikäiset nauttivat perusoikeussuojaa, ja perusoikeuksien horisontaalivaikutus saattaa olla merkityksellinen myös alaikäisten suhteessa huoltajiinsa. Eräiltä osin perusoikeuksia koskevaa puhevaltaa käyttävät huoltajat lastensa puolesta. Sitä, milloin lasten voidaan katsoa voivan itse käyttää perusoikeuttaan koskevaa puhevaltaa ja milloin perusoikeuksien horisontaalivaikutus lasten ja heidän huoltajiensa välisissä suhteissa alkaa, ei nähdäkseni voida yksioikoisesti sitoa tavallisessa lainsäädännössä alaikäisten puhevallan käyttämisestä annettuihin säännöksiin. Lähtökohdaksi on nähdäkseni asetettava, että ainakin joissakin tilanteissa, esimerkiksi kun on kyse vuotiaista, ehdotuksen 24 :n 3 momenttia ja 37 :n 2 momenttia on tarkasteltava alaikäisten lasten perusoikeusrajoituksina, joille on voitava esittää hyväksyttävät perusteet ja joiden on täytettävä myös muut perusoikeuksien yleiset rajoitusedellytykset, kuten suhteellisuusvaatimus. Edellisen säännöksen kohdalla voi kysyä, onko mahdollisuus vaatia yhteyskohtaista erittelyä välttämätön hyväksyttävän tarkoituksen saavuttamiseksi, vai riittäisikö tässäkin tilanteessa sen kaltainen palvelutyypeittäinen erittely, jota pykälän 4 momentissa tarkoitetaan. Jälkimmäisen säännöksen kohdalla taas saattaisi olla valtiosääntöoikeudellisista syistä perusteltua asettaa huoltajan oikeudelle saada lastaan koskevia tietoja joitakin lisäedellytyksiä. Perusteluissa (s. 93) viitataan näiltä osin tilanteeseen, jossa lapsi on päihtyneenä kateissa. 6. Ohjaus- ja valvontaviranomaisten tiedonsaantioikeus (33 ) Ohjaus- ja valvontaviranomaisten tiedonsaantioikeutta koskeva 33 on kirjoitettu huomattavan sekavasti. Niinpä eri momenttien keskinäissuhteet eivät ole selvät. Ehdotus jättää epäselväksi, mikä on 1 momentin itsenäinen sisältö. Pykälän 2 momentissa on Viestintäviraston ja 3 momentissa Viestintäviraston ja tietosuojavaltuutetun oikeus saada salassa pidettäviä tietoja tunnistamis- ja paikantamistietoja sidottu tiettyihin edellytyksiin. Mutta onko tarkoituksena, että

47 näillä viranomaisilla on jo 1 momentin nojalla oikeus saada tällaisia tietoja? Jos näin on, mikä merkitys 2 ja 3 momentin säännöksille jää? Siltä osin kuin ohjaus- ja valvontaviranomaisten tiedonsaantioikeus koskettaa luottamuksellisen viestin salaisuutta, kuten asianlaita on tunnistamistietojen ja 20 :n 2 momentissa tarkoitettujen viestien kohdalla, 33 :n säännöksiä on arvioitava PL 10 :n 3 momentin kvalifioidun lakivarauksen kannalta; nyt on kyse julkisen vallan ja yksityisten välisistä suhteista. Näyttää ilmeiseltä, että 1 ja 2 momentti ulottavat tietojen saantioikeuden laajemmalle kuin PL 10.3 sallii. Pykäläehdotuksen 3 momentin valtiosääntöoikeudellinen arviointi taas riippuu siitä, voidaanko siinä lueteltujen rikosten katsoa vaarantavan yksilön tai yhteiskunnan turvallisuutta kyseisessä perustuslainkohdassa tarkoitetulla tavalla. PL 10 :n 3 momentin kvalifioidun lakivarauksen kannalta on oudoksuttavaa, että 3 momentin nojalla saatujen tietojen hävittämisvelvollisuus sidotaan 5 momentissa paitsi rikos-, myös riita- ja hallintoasian käsittelyyn. Perustuslain 10 :n 3 momentti mahdollistaa vain "välttämättömän" puuttumisen luottamuksellisen viestin salaisuuteen, ja välttämättömyysvaatimus sisältyy myös perusoikeuksien yleisiin rajoitusedellytyksiin kuuluvaan suhteellisuuteen. Ehdotuksen kolmessa ensimmäisessä momentissa käytetyt ilmaukset "tarpeelliset tiedot" tai "on tarpeen" ovat tämän vaatimuksen kannalta liian väljiä. 7. Valvontaviranomaisten vaitiolovelvollisuus ja tietojen luovuttaminen (34 9 Perustuslain 10 :n 3 momentin kvalifioitu lakivaraus on merkityksellinen myös arvioitaessa ehdotuksen 34 :ssä Viestintävirastolle ehdotettua oikeutta luovuttaa tunnistamistietoja yksityisille subjekteille. Pykäläehdotuksen 4 momentin mukaan tunnistamistietoja saadaan luovuttaa siinä laajuudessa kuin se on tarpeen tietoturvaloukkausten ehkäisemiseksi ja selvittämiseksi. Näiltäkin osin luottamuksellisen viestin salaisuuteen puuttuminen näyttäisi ylittävän kvalifioidun lakivarauksen asettamat rajat. 8. Eräitä muita valtiosääntöoikeudellisia näkökohtia

48 Viestintävirastolle ehdotettua norminantovaltaa on arvioitava perustuslain 80 :n 2 momentin sekä sitä koskevien esitöiden selvennysten ja perustuslakivaliokunnan lausuntokäytännön valossa. Viestintäviraston kaltaiselle viranomaiselle voidaan antaa normin asettamisvaltaa lähinnä teknisluonteisissa kysymyksissä, joihin ei liity poliittista harkintaa. Lakiehdotuksen 15.2, 20.3, 22.3 tai 24.6 :n valtuutussäännöksistä minulla ei ole valtiosääntöoikeudellista huomautettavaa. Sen sijaan 19 :n 3 momentin muotoilu antaa mahdollisuuden tulkintaan, jonka mukaan Viestintäviraston siinä tarkoitettu toimivalta ylittäisi perustuslain 80.2 :n salliman teknisluonteisen norminannon rajat. Niinpä valtuutussäännöksessä ei ole samanlaista rajausta teknisiin määräyksiin kuin esimerkiksi 22.3 :ssä. Säännöksen väljyys antaa myös aihetta arvosteluun valtuutuksen täsmällisyyden ja tarkkarajaisuuden kannalta. Tietoturvamaksua koskevat säännökset vastaavat niitä perustusvaliokunnan kannanottoja, joita se on edellisillä ja kuluvilla valtiopäivillä esitti vastaavanlaisista, valtiosääntöoikeudellisesti veroiksi luokiteltavista suorituksista (ks. viimeksi PeVL 3/2003 vp). Porthaniassa Tuori Kaarlo Tuori

49 ?n i/ P &ö^062-y/a Sf Viestinnän Keskusliitto ry Valtteri Niiranen EDUSKUNNAN LIIKENNE- JA VIESTINTÄ VALIOKUNNALLE Hallituksen esitys (HE 125/2003 vp) laiksi sähköisen viestinnän tietosuojalaiksi Lakiehdotuksen 7 luku 29 ; Lainsäädännön tavoite ei-toivotun suoramarkkinoinnin torjumiseksi suhde sananvapauden ydinsisältöön sekä kaupalliseen sananvapauteen. Yhteenveto esitetyistä muutosehdotuksista (lisäykset alleviivattu) 29 Suoramarkkinoinnin vastaanottamisen estäminen Käyttäjän nimenomaisesta ja yksilöidystä kirjallisesta pyynnöstä teleyrityksellä ja yhteisötilaajalla on oikeus estää :n vastaisen suoramarkkinoinnin vastaanottaminen. Toimenpiteet on toteutettava huolellisesti sekä sananvapauden, luottamuksellisen viestin ja yksityisyyden suojaa tarpeettomasti vaarantamatta. I Johdanto Sähköpostipalvelinten laajamittaisten tukkeutumisten ja muiden vastaavien valitettavien tapahtumien johdosta Suomeen suunnatun ei-toivotun suoramarkkinoinnin vastaanottamisen estämisen merkitys on nousemassa käytännölliseltä kannalta merkittäväksi. Yksittäistapausten ei pitäisi antaa vaikuttaa lainsäädännön sisältöön siten, että kansallisella tasolla Suomessa tehdään ratkaisuja, joilla todellisuudessa ei vaikuteta muuhun kuin kotimaisten toimijoiden asianmukaisen liiketoiminnan - kuten tiedonvälityksen - harjoittamiseen. Tehdyt kansalliset ratkaisut vaikuttaisivat todennäköisesti liiketoimintaa haittaavalla tavalla. Liiton edustaman joukkoviestinnän kannalta sananvapauden toteutumisella on erityisen suuri merkitys. Toimialan yritykset harjoittavat tuotteidensa ja palveluidensa suoramarkkinointia ehdotuksen 7 luvus sa tarkoitetuille käyttäjille ja tilaajille. Alan yritykset voivat toimia ehdotuksen 2 :n tarkoittamana teleyrityksenä tai yhteisötilaajana ja/tai lisäarvopalvelun tarjoajana. 49(6)

50 Toimialan kiinnostus 7 luvun 29 :n säätämisen oikeutukseen johtuu siitä, että joukkoviestinnän näkökulmasta katsoen kutakin lakihanketta tarkastellaan erityisesti sitä silmällä pitäen, liittyykö lakihankkeeseen sellaisia piirteitä, että ne voisivat johtaa viestin levittämisen ennakolta tapahtuvaan estämiseen. Jos näin on, voidaan perustellusti kysyä, onko viestin levittämisen estämisestä säätäminen vastoin perustuslain 12 :n sananvapaussäännöstä. Perustuslain 12 suojaa myös kaupallista viestintää, jota tarkoitetaan lakiehdotuksen 29 :ssä. Liikenne- ja viestintä valiokunnan onkin pohdittava perustuslakivaliokunnan avustuksella, onko ehdotettu 7 luvun 29 säätäminen tarpeellista yllä mainittuun tavoitteeseen pääsemiseksi. Asiaa voidaan tarkastella ainakin kahdelta kannalta. Ei-toivotun suoramarkkinoinnin eli ulkomailta tulevan roskapostin ja haittaohjelmien leviämisen estämiseen ja torjumiseen voidaan pyrkiä sekä lainsäädännöllisin että teknisin niin kuin myös käytännöllisin keinoin. Voidaan ajatella, että ensisijaisena keinona pyrittäisiin hoitamaan asia teknisin ja/tai käytännöllisin keinoin. Teleyritys voisi tehdä esimerkiksi sähköpostipalvelun käyttäjän kanssa sopimuksen siitä, että teleyrityksellä on oikeus poistaa eitoivottuja haittaohjelmia ja roskaposti viestejä tai että teleyrityksellä on oikeus estää käyttäjän pääsy tietyille verkkosivuille. Perustuslaissa turvatun sananvapauden näkökulmasta ongelmallisin tilanne olisi se, että teleyritys tai yhteisötilaaja voisi ilman lainsäädännön tukea tai ilman käyttäjän nimenomaista suostumusta poistaa sähköpostista erilaisia viestejä tai muita tietoliikennettä haittaavia ohjelmia. Sananvapauden näkökulmasta sääntely on siten lähtökohtaisesti tarpeellista. Käyttäjän näkökulmasta ongelmallisin tilanne olisi se, jossa teleyrityksellä olisi oikeus poistaa sellaisiakin ohjelmia tai viestejä, jotka ovat muita kuin ulkomailta tulevia ei-toivottuja roskapostiviestejä tai haittaohjelmia. Esimerkiksi, jos sähköpostin lähettäjä on sijoittanut viestin vastaanottajiksi 30 tai 100 tai 500 tai 1000 henkilön ryhmän, voi teleyrityksen suodatusohjelma estää tällaisen aivan asiallisen kotimaisen viestin välittämisen vastaanottajien sähköpostiosoitteisiin. Tällöin kyse olisi vakavasta puuttumisesta viestin lähettäjän oikeuteen lähettää viestejä sellaisille vastaanottajille, jotka ovat hyväksyneet sen vastaanottamisen. Yksityiskohtaisissa perusteluissa tulee tehdä selväksi, että normaalien uutiskirjeiden tai minkä tahansa muiden vastaavien palvelujen tarjoaminen ei voi olla 29 :n tarkoittamaa ei-toivottua suoramarkkinointia, koska sitä lähetetään vastaanottajien suostumuksella eikä myöskään ainoastaan siitä syystä, että lähettäjä on valinnut vastaanottajajoukoksi suuren määrän henkilöitä. Valiokunnan on huolellisesti arvioitava, onko sääntely tällaisissa tilanteissa tarpeellista. Alla esitettävän perusteella vaikuttaa siltä, että sääntely on paikallaan tietyin edellytyksin ja tarkennuksin. 50(6)

51 II Yksityiskohtaiset kommentit 29 :ää Seuraavassa kiinnitetään huomiota sekä 29 :n ehdotettuun sisältöön että säännösehdotuksen perusteluihin. Hallituksen esityksessä ehdotetun säännöksen sanamuoto: 29 Suoramarkkinoinnin vastaanottamisen estäminen Käyttäjän pyynnöstä teleyrityksellä ja yhteisötilaajalla on oikeus estää :ssä tarkoitetun suoramarkkinoinnin vastaanottaminen. Toimenpiteet on toteutettava huolellisesti sekä luottamuksellisen viestin ja yksityisyyden suojaa tarpeettomasti vaarantamatta. 1) Sallittua suoramarkkinointia ei pidä estää Ehdotettu säännös sisältää virheellisen ajatuksen siitä, että teleyrityksellä tai yhteisötilaajalla olisi oikeus käyttäjän pyynnöstä estää sallittu suoramarkkinointi eli se suoramarkkinointi, jota ehdotuksen :ssä tarkoitetaan. Sallittuun ja toivottuun suoramarkkinointiinhan luonnollinen henkilö antaa suostumuksen 26 :n perusteella. Oikeushenkilöllä on puolestaan oltava oikeus kieltää suoramarkkinointi 27 :n perusteella. Ehdotukseen kirjatun 29 :n kautta sallitusta suoramarkkinoinnista (26-28 ) ei tule tehdä käytännössä ei-sallittua. Teleyrityksellä tai yhteisötilaajalla tulisi olla oikeus ainoastaan ei-toivotun ja :n vastaisen suoramarkkinoinnin vastaanottamisen estämiseen, edellyttäen että käyttäjä on esittänyt tätä koskevan pyynnön. On nähtävissä, että ehdotuksen läpimeno esitetyssä muodossa toisi mukanaan paljon käytännöllisiä ongelmia. Jos käyttäjä antaisi suostumuksen suoramarkkinoinnin vastaanottamiseen 26 :n perusteella esimerkiksi uutiskirjepalvelun tuottajalle, mutta sitten hän pyytäisikin 29 :n perusteella teleyritystä estämään ei-toivotun suoramarkkinoinnin, osoittautuisi säännösten välinen toimivuus sekä uutispalvelun tarjoajan että teleyrityksen kannalta mahdottomaksi. Ehdotuksen perusteluissa (sivu 82) mainitaan 29 :n tarkoitukseksi nimenomaan ei-toivotun sähköpostin suodattamisen ja välittämisen estäminen. Mikäli ehdotettua säädöstekstiä (29 ) ei muuteta, eivät perustelut vastaa säädöksen tarkoitusta. 29 :ää olisi muutettava siten, että siihen lisätään maininta :n vastaisesta suoramainonnasta. Ehdotus 1 (poistettavaksi ehdotettu teksti yliviivattu, lisäys alleviivattu): 51(6)

52 29 Suoramarkkinoinnin vastaanottamisen estäminen Käyttäjän pyynnöstä teleyrityksellä ja yhteisötilaajalla on oikeus estää :n tarkoitetun vastaisen suoramarkkinoinnin vastaanottaminen. Toimenpiteet on toteutettava huolellisesti sekä luottamuksellisen viestin ja yksityisyyden suojaa tarpeettomasti vaarantamatta. Yksityiskohtaisissa perusteluissa on myös määriteltävä, mitä tarkoitetaan säädösehdotuksen sanalla "huolellisesti". Hallituksen esityksen perusteluissa asiaan ei ole kiinnitetty huomiota. 2) Käyttäjän pyyntö Ehdotetun 7 luvun 29 :n perusteella viestin ja ohjelmien levittämisen estäminen olisi riippuvainen käyttäjän esittämästä pyynnöstä. Ehdotuksen yksityiskohtaisissa perusteluissa ei ole selvitetty, mitä tarkoitetaan käyttäjän pyynnöllä. Tavanomaisen kielenkäytön mukaan pyynnöllä tarkoitetaan aktiivista toimenpidettä. Perustuslaissa turvatun sananvapauden - myös kaupallisen sananvapauden kannalta - asiaa tarkasteltaessa voidaan kysyä, onko käyttäjän esittämä yksilöimätön tai hyvin yleinen pyyntö riittävä sen seikan varmistamiseksi, ettei ehdotetulla 29 :llä loukata henkilön oikeutta viestien vastaanottamiseen. Vai tarvitaanko lainsäädännön tasolla vielä tarkempia määräyksiä pyynnön sisällöstä? Ilmiselvästi tarvitaan. Käyttäjän tulisi yksilöidä pyyntönsä tarkasti ja tietoisena pyyntönsä vaikutuksista, jotta hän voisi olla varma siitä, että teleyrityksen tai yhteisötilaajan suodatinohjelmat eivät poista sellaisia viestejä, joiden tosiasiallisena sisältönä on muuta kuin ei-toivottuja haittaohjelmia tai roskapostiviestejä. Jäisikö sisällön leviämisen estäminen teleyrityksen tai yhteisötilaajan tietojärjestelmien eli suodattamien vastuulle? Näin ei pidä olla. Voiko teleyritys tai yhteisötilaaja päättää siitä, mitä viestejä asiakkailla tai työntekijöillä on mahdollisuus vastaanottaa? Ei missään nimessä. Teleyrityksellä tai yhteisötilaajalla ei saa olla valvonta- tai puuttumisoikeutta kaiken sisällön osalta silloin kun käyttäjä on esittänyt pyyntönsä vain tiettyjen ei-toivottujen viestien vastaanottamiseen. Avointa valtakirjaa kaiken viestinnän suodattamisen osalta käyttäjältä ei tule voida edes vaatia. Ehdotuksen yksityiskohtaisten perustelujen (sivu 83) lausuma siitä, että "Selvää on, että käytettäessä suodattimia saattaa osa myös luottamukselliseksi katsotuista toivotuista viesteistä jäädä saapumatta vastaanottajalle" on kovin ongelmallinen sananvapauden näkökulmasta. Käyttäjän pyynnön sisältöön ja yksityiskohtaisuuteen tulee siksi kiinnittää erityistä huomiota. 52(6)

53 Käyttäjän pyynnön sisältöön ja yksityiskohtaisuuteen pitää liittää tiettyjä selkeyttäviä ja osittain myös tiukentavia elementtejä sekä suoraan 29 :n säädöstekstiin että sen perusteluihin. 29 :ää olisi muutettava seuraavasti: Ehdotus 2 (lisäys alleviivattu): 29 Suoramarkkinoinnin vastaanottamisen estäminen Käyttäjän nimenomaisesta ja yksilöidystä kirjallisesta pyynnöstä teleyrityksellä ja yhteisötilaajalla on oikeus estää :ssä tarkoitetun suoramarkkinoinnin vastaanottaminen. Toimenpiteet on toteutettava huolellisesti sekä luottamuksellisen viestin ja yksityisyyden suojaa tarpeettomasti vaarantamatta. 3) Sananvapauden merkityksen korostaminen Tämän lausunnon alussa on tuotu esille sananvapauteen liittyviä yksityiskohtia. Kun kyse on sananvapaudesta, tulee sen rajoitusten olla mahdollisimman tarkkarajaisia, selkeitä ja yksilöityjä. Myös ehdotetun 29 :n tulisi vastata perustuslakivahokunnan lausuntokäytäntöä tältä osin. Säädöstasolla tämä voisi tarkoittaisi tässä tapauksessa sitä, että sananvapaus mainittaisiin nimenomaan yhtenä perusoikeutena ehdotetussa 29 :ssä mainittujen perusoikeuksien eli yksityisyyden suojan ja luottamuksellisen viestin suojan lisäksi. Lisäys olisi omiaan korostamaan sekä käyttäjälle että teleyritykselle ja yhteisötilaajalle sitä, että myös sananvapauden toteutuminen tulee ottaa huomioon harkittaessa tarvittavia toimenpiteitä. Ehdotus 3 (lisäys alleviivattu): 29 Suoramarkkinoinnin vastaanottamisen estäminen Käyttäjän pyynnöstä teleyrityksellä ja yhteisötilaajalla on oikeus estää :ssä tarkoitetun suoramarkkinoinnin vastaanottaminen. Toimenpiteet on toteutettava huolellisesti sekä sananvapauden, luottamuksellisen viestin ja yksityisyyden suojaa tarpeettomasti vaarantamatta. 4) Ehdotusten 1-3 mukainen sanamuoto uudeksi 29 :ksi Edellä mainittujen ehdotusten perusteella 7 luvun 29 olisi hyväksyttävissä seuraavassa muodossa: 29 Suoramarkkinoinnin vastaanottamisen estäminen Käyttäjän nimenomaisesta ja yksilöidystä kirjallisesta pyynnöstä teleyrityksellä ja yhteisötilaajalla on oikeus estää :n vastaisen suoramarkkinoinnin vastaanottaminen. Toimenpiteet on toteutettava huolellisesti sekä sananvapauden, luottamuksellisen viestin ja yksityisyyden suojaa tarpeettomasti vaarantamatta. 53(6)

54 Valtteri Niiranen Johtaja, varatuomari v ICOLIIUICUI JxcöJS-usiunu ry Viestinnän Keskusliitto ry Viestinnän Keskusliiton tarkoituksena on edistää joukkoviestintäalan yritysten yleisiä ja erityisiä toimintaedellytyksiä. Edunvalvonta ja vaikuttaminen, mukaan lukien lainsäädäntöasiat, on alan yhteisten asioiden osalta keskitetty alla olevilta jäsenliitoilta Viestinnän Keskusliitolle. Viestinnän Keskusliiton jäsenliittoja ovat Aikakauslehtien Liitto, Graafinen Teollisuus, Sanomalehtien Liitto, Suomen Kaupallisten Televisioiden Liitto, Suomen Kustannusyhdistys, Suomen Radioiden Liitto sekä Viestintätyönantajat VTA Eduskunnan liikennevaliokunnalle Asia: HE 125/2003 vp sähköisen viestinnän tietosuojalaiksi ja eräiden lakien muuttamisesta 54(6)

55 Suomen Suoramarkkinointiliitto ry (SSML) lausuu asiassa kunnioittavasti seuraavaa. Yleistä HE:n soveltamisalan piiri erittäin monimutkainen ja monitahoinen kokonaisuus, jossa sääntelyn tarkkarajaisuudelle asetetaan erityisen suuret vaatimukset. Esitys vaikuttaa tosiasiallisesti kaikkien viestintävälineiden käyttäjien arkeen, sekä yritysten että kansalaisten. Luonnosta hallituksen esitykseksi on muutettu useasti ja merkittäviltä osin valmistelun kuluessa. Esittelevä ministeriö on valmistellut esitystä ansiokkaan avoimesti. Monikanavaisen toimintaympäristön toimivuuden ja joustavuuden kannalta on olennaisen tärkeää, että eri palveluita ja kanavia kohdellaan lähtökohtaisesti samalla tavoin, tekniikka- ja kanavaneutraalisti. Yritykset käsittelevät palveluidensa tarjoamiseksi asiakkaiden tietoja asiakkuuden elinkaaren eri vaiheissa. Tähän toimintaan liittyvää asiakkaiden tietojen käsittelyä sääntelee henkilötietolaki yleislakina. Esityksen myötä tulisi syntyä oikeustila, jossa yritys voisi saumattomasti ja joustavasti käsitellä viestintäpalveluiden käyttöön liittyviä tietoja erityislain nojalla henkilötietolain vakiintuneessa tulkintakehyksessä. Olisi toivottavaa, että valiokunta korostaisi mietinnössään henkilötietolain asemaa ja merkitystä ehdotetun lain tulkintaa ohjaavana kehyksenä erityisesti asiakassuhteen ja suoramarkkinoinnin osalta. Yhteisötilaajan käsitteen myötä lakiehdotus koskee käytännössä kaikkia suomalaisia yrityksiä ja elinkeinonharjoittajia. Lain soveltamisen vaikutuksia yritysten toimintaan ei ole kaikin osin esityksessä onnistuttu tuomaan selkeästi esiin. Erityissäännösten suhde muuhun lainsäädäntöön tulisi tältä osin kuvata paremmin. Tämä tulisi myös huomioida lain soveltamiseen liittyvässä viranomaisten tulevassa valvonta-ja ohjaustyössä. Yhteisötilaajaan kohdistuva sääntely vaikuttaa kokonaisuudessaan ylimitoitetulta. Esitys sisältää tärkeitä säännöksiä, joiden nojalla yritykset tietoturva- tai muista syistä voivat eräissä tapauksissa estää viestin välittämisen tai puuttua sen sisältöön. Esityksessä tulisi tältä osin paremmin ja tarkemmin huomioida normaalin ja asianmukaisen viestinnän perille saattamisen tärkeys. Epätarkka sääntely voi osaltaan aiheuttaa asiakasviestinnän, viranomaisviestinnän ja jopa henkilöiden välisen viestinnän häviämisen tavalla, jota ei voida hyväksyttävänä. Käsitteet, 2 Tärkeän tunnistamistiedon määritelmä on rajattu viestintäverkoissa käsiteltäviin tietoihin. Esityksessä ei ole juuri millään tavoin määritelty konkreettisia rajapintoja viestintäverkolle suhteessa viestintäpalveluihin, sisäverkkoihin tai eri päätelaitteisiin. Avoimet viittaukset muihin määritelmiin tai toisiin lakeihin eivät anna riittävän tarkkaa kuvaa tunnistamistiedon määritelmän rajoista ja kattavaudesta. Esimerkiksi "tarjolla pitämiseen" liittyvistä tunnistamistiedoista on vaikea saada minkäänlaista kuvaa. Tunnistamistiedon jatkokäsittelyn- tai jalostamisen merkitystä suhteessa henkilötietolain henkilötiedon käsitteeseen ei ole riittävästi tarkennettu. Mahdollisissa tulkintatapauksissa joudutaan aina palaamaan lain määritelmiin. Niiden tulisi olla riittävän tarkkarajaiset. Soveltamisala, 3 - Luottamuksellisuus, 4

56 Lain soveltamisalan ulkopuolelle jäisivät 4 :n myötä sellaiset viestit, jotka lähettäjä olisi tarkoittanut yleisesti vastaanotettavaksi. Tästä sinänsä oikea perusperiaate on sellaisenaan selkeä ja johdonmukainen. Tällaisten viestien lähettämisestä jää aina tunnistamistietoja, esimerkiksi lähetettäessä anonyymi kansalaismielipide yleiseen keskusteluryhmään kuten valtiovarainministeriön ota kantaa.fi -palstalle. Näiden tunnistamistietojen ja niihin liittyvien viestien asemaa ei ole esityksessä käsitelty riittävästi. Viranomaisten tiedonsaantioikeudet ja palveluntarjoajien tunnistamistietojen käsittely vaatisivat tältä osin tarkennusta. On huomattava, että välittäjän tai edes teknisen lähettäjän roolissa oleva palveluntarjoaja ei voi viestiin kajoamatta tietää viestin lähettäjän tarkoitusta yleisestä vastaanottamisesta. Yleisesti vastaanotettavaksi tarkoitettujen viestien erityisasema ei saa haitata yritysten tietoturvallista ja johdonmukaista tunnistamistietojen käsittelyä. Olisiko viranomaisella tai kenellä tahansa säännöksistä riippumaton oikeus anonyyminä yleiselle keskustelupalstalle lähetyn viestin tunnistamistietoihin? Sananvapauden tärkeän osa-alueen eli anonyymin viestinnän toimivuus ja sen tarvitsema luottamuksellisuus tulisi taata myös tunnistamistietojen osalta. Ehdotetun 4 :n 3 momentin säännös verkkosivustojen selaamisesta on tarpeeton. Säännös on tietyn viestintäinfrastruktuuriin tiettyyn protokollaan sidotun osan erityistapaus, jonka 1 momentin yleissäännös kattaa. "Selaaminen" aina viestin lähettämistä tai vastaanottamista muodossa tai toisessa. Asiaa koskeva perustelulausuma olisi riittävä. Tunnistamistietojen käsittely palveluiden tarjoamista ja laskutusta varten, 8-10 Esityksen itsensä mukaan se luo paremmat edellytykset "..sähköiselle kaupankäynnille ja asioinnille." (s. 37). Tämä tarkoittaa jo peruslähtökohdaltaan sitä, että suomalaiset yritykset voivat jatkaa viestintäpalveluiden tehokasta ja joustavaa käyttöä ja hyödyntämistä nykyisessä palvelutarjonnassaan. Ehdotetun 8 :n mukaan on selvää, että viestinnän osapuoli saa käsitellä omia tunnistamistietojaan. Pykälän perusteluiden mukaan viestejä ja tunnistamistietoja voi käsitellä "...sopimusten tai muiden oikeustoimien syntymisen varmentamiseksi". Ehdotetun 9 :n perusteluiden mukaan "..yritykset ja muut yhteisöt voivat siten käsitellä tunnistamistietoja sekä viestintäpalvelua hyödyntävässä toiminnassaan että yrityksen omien viestintäpalveluiden käytössä. Edellä mainitut kohdat antavat hyvän kehyksen ns. normaalikäytölle ja sen jatkumiselle. Ehdotetun 10 :n 2 momentin mukaan yhteisötilaaja eli tavallinen suomalainen yritys voi kuitenkin käsitellä vain "sisäistä laskutusta varten välttämättömiä tunnistamistietoja". Yrityksillä ei juurikaan ole sisäistä laskutusta, jossa tunnistamistietoja tarvittaisiin, mutta sen sijaan lukuisten tavallisten ja suosittujen verkkopalveluiden tarjoamisessa on tarpeellista käsitellä tunnistamistietoja mm. tilauksen tapahtuma-aikaa. Säännöksen tulisi kattaa yrityksen oikeus käsitellä tunnistamistietoja kaikenlaista laskutustaan varten. Ehdotetun 10 :n 3 momentissa säädettäisiin oikeudesta käsitellä tunnistamistietoja eräissä erityistapauksissa. 3 momentissa annettaisiin oikeus ns. sähkökauppalain tarkoittamalle palveluntarjoajalle oikeus käsitellä tunnistamistietoja sähköisten tuotteiden ja palveluiden laskutuksessa. Edellytyksenä olisi lisäksi tilaajan tai käyttäjän erityinen suostumus käsittelylle. Momentin tarkoituksena on antaa käsittelyoikeus 10 :n 4 momentin tilanteita varten. Ottamatta kantaa 10 :n 4 momentin velvollisuuteen luovuttaa tunnistamistietoja laskutusta varten SSML haluaa voimakkaasti tuoda esiin, että 10 :n 3 momentti on nyt muotoiltu siten, että se t aiheuttaisi merkittävää häiriötä etämyyntiin ja sähköiseen kaupankäyntiin Suomessa.

57 Epäonnistuneen säännöksen myötä vain sähköisiä tuotteita verkon välityksellä myyvät palveluntarjoajat saisivat jatkossa käsitellä asiakkaidensa tunnistamistietoja palveluidensa tarjoamiseksi ja hekin vain asiakkaan erillisellä suostumuksella. Tämä tarkoittaisi sitä, että - muut kuin sähköisiä tuotteita tarjoavat eivät saisi lainkaan käsitellä tunnistamistietoja nykyisen kaltaisessa palvelutarjonnassaan (esim. tekstiviestitilaukset kotitaloustuotteiden postimyynnissä) eii monikanavainen palvelutarjonta loppuisi tai vaikeutuisi huomattavasti. sähköisiä tuotteita tarjoavat joutuisivat hankkimaan itsensä ja käyttäjän kannalta turhan suostumuksen toimintansa jatkamiseksi eli normaaliin palvelutarjontaan tulisi turha häiriö. SSMLn näkemyksen mukaan ehdotusta tulisi tältä osin ehdottomasti muuttaa siten, että verkon välityksellä tarjottavien sisältöpalveluiden ja muiden kuin sähköisten tuotteiden ja palveluiden tarjonta eri vaiheineen voisi jatkua esteettä. Tavanomainen toiminta kuten esim. sähköisten matkalippujen osto, jossa tapahtuma-aikaa käsitellään tunnistamistietona, ei saa vaikeutua. Mainittakoon lisäksi, että lähes minkä tahansa palvelun tai tavaran tilaus puhelimitse tai sähköpostitse tällä hetkellä edellyttää käytetyn yhteystavan vuoksi tunnistamistiedon käsittelyä (esim. puhelinnumero, sähköpostiosoite ja yhteydenottoaika) eikä tällaisen tiedon tavanomaiselle ja normaalille käytölle tulisi asettaa mitään esteitä tai erityisedellytyksiä. Ehdotettu 10 :n 3 momentti tulisi muuttaa etämyynnin, postimyynnin ja sähköisen kaupankäynnin nykyiset palvelut mahdollistavaksi joko kyseisen säännöksen muuttamisella sekä 8 ja 9 :n normaalia palvelutarjontaa koskevalla täsmentämisellä. Tunnistamistietoja käsittelyä koskevien tietojen tallentaminen, 15 Säännöksen velvoitteen avulla pyritään erityisesti vaikuttamaan mahdollisten väärinkäytösten selvittämiseen. SSML katsoo, että kyseinen velvoite ei ole tarkoituksenmukainen yleisen tarkoituksenmukaisuus- ja suhteellisuusperiaatteen kannalta. Väheksymättä lainkaan yksittäisiä väärinkäytöstapauksia tai niihin liittyviä oikeudenloukkauksia SSML katsoo, että ehdotettu velvoite ei sellaisenaan ehkäise väärinkäytöksiä eikä merkittävästi edistä niiden selvittämistä mutta aiheuttaa palveluntarjoajille merkittäviä kustannuksia. Tämäntapainen ennakkovalvonnan raskasta yleisinfrastruuktuuria luova lainsäädäntörakenne ei ole toivottava kehityssuunta yksityisyyden suojan sääntelyn alueella. Laajalla yhteistyöllä, ajantasaisella ohjeistuksella ja asioiden oikealla painotuksella ja priorisoinnilla voidaan saada asiassa paljon aikaan ilman raskaita tallennusvelvoitteitta, jotka ovat vieraita suomalaiselle oikeusjärjestelmälle. Paikkatiedot, Paikkatietoja ja paikannuspalvelulta koskevat säännökset ovat tasapainoisesti valmisteltuja. Käyttäjän mahdollisuus palvelukohtaisen suostumuksen ohella kieltää 17 :n 2 momentin mukaisesti paikkatietojen käsittely tarjoaa turvallisen kehyksenpaikannuspalveluiden käytölle. Paikannettavan mahdollisuus 18 :n 2 momentissa tarkoitetulla tavalla peruuttaa suostumuksensa paikannuksen ei saisi haitata elinkeinonharjoittajan turvallisuuden ja omaisuuden valvomisen tarkoituksessa käyttämää paikannuspalvelua kuten jakeluautojen ajoreittien seurantaa. Tähän tulisi eduskuntakäsittelyssä kiinnittää huomiota. Toimenpiteet tietoturvan toteuttamiseksi, 20

58 Viime aikoina erilaiset haittaohjelmat kuten virukset ja kotikäyttäjien päätelaitteita roskapostin väiityskoneiksi muuntavat iaittomat ohjelmat ovat vaikuttaneet asiaviestinnän palvelutasoon ja viestintäpalveluiden käytettävyyteen niitä alentavasti. Ehdotettu säännös on tärkeä lisä välineistöön, jolla viestintäverkkoja ja -palveluita koskevia tietoturvaloukkauksia ja viestinnän laittomia käyttötarkoituksia voidaan ehkäistä. Pykälässä oikeutettaisiin erilaisiin merkittäviin viestintään puuttumisiin kuten vastaanoton estämiseen ja ohjelmien poistamiseen sekä muihin tarpeellisiin toimenpiteisiin. Ehdotettu 20 on vaikeaselkoinen ja monitasoinen ("...torjumiseksi...ja häiriöiden poistamiseksi...oikeus ryhtyä toimiin...tietoturvan varmistamiseksi...). Ehdotetussa 2 momentissa lisäedellytyksenä "viestin sisältöön puuttumiselle" on määritelty epäily kahden rikoslain tunnusmerkistön toteutumisesta (virus ja tietoliikenteen häirintä). Säännöksessä eikä sen perusteluissa tehdä selkeää jakoa viestinnän estämisen, sen sisältöön puuttumisen tai sisällön selvittämisen tai muunlaisen puuttumisen välillä. Selkoa ei myöskään tehdä näiden eri käsitteiden suhteesta viestinnän luottamuksellisuuteen. Säännös oikeuttaa syvään ja merkittävään puuttumiseen viestintään ja säännöksen merkitys on tärkeä. Ehdotetun 20 :n sanamuotoa tulisi erilaisten viestintään puuttumisten osalta selventää riittävän oikeusvarmuuden saavuttamiseksi. Yhteisötilaajan osalta ehdotettu 20 antaa vaikutelman, että yhteisötilaajan eli tavallisen yrityksen nykyisin käytössä olevat keinot toimia sitä uhkaavia tietoturvaloukkauksia vastaan kaventuisivat nykyisestä. Tavallisten yritysten palvelimia kohtaan tehdään jatkuvasti erilaisia hyökkäyksiä ja on tärkeää, että yritysten tämänhetkisiä toimintamahdollisuuksia ei kavenneta eikä anneta kaventumisen vaikutelmaa ja että yritysten toimintamahdollisuudet tietoturvauhkien osalta on kokonaisuudessaan kuvattu selkeästi. Säännöksen yhteydessä sekä viranomaisten tulevassa ohjeistuksessa tulisikin selkeyttää yrityksen mahdollisuus eri perusteisiin perustuvat mahdollisuudet ryhtyä toimenpiteisiin tietoturvauhan aktualisoituessa. Ehdotetun 20 :n 2 momentissa annettaisiin Viestintävirastolle toimivalta antaa tarkempia määräyksiä. Ehdotuksessa ei ole esitetty minkäänlaisia perusteluita miksi Viestintäviraston toimivalta tulisi ulottaa tältä osin myös tavallisiin yrityksiin eli yhteisötilaajiin. Eri yritysten tietotekniset ratkaisut ja tietoturvajärjestelmät eroavat suuresti toisistaan eikä näin ollen ole tarpeellista eikä perusteltua antaa lainkaan yhteisötilaajia koskevia Viestintäviraston määräyksiä. Tietoturvavelvoitteita koskevassa 19 :ssä Viestintäviraston määräysten soveltamisala on myös rajattu vain teleyrityksiin. Ehdotetun 20 :n 2 momentin Viestintäviraston määräystenantovalta tulisi rajoittaa vain teleyrityksiin ja mahdollisesti lisäarvopalvelun tarjoajiin. Yhteisötilaaja tulisi poistaa momentista. Luettelot, 25 Ehdotetun säännöksen perusteluiden mukaan pykälä ei koskisi etukäteen maksettuja ns. pre paid -liittymiä. Tämä tarkoittaisi, että luettelopalveluntarjoajalla ei lähtökohtaisesti olisi mahdollisuutta sisällyttää käyttäjien pre paid -liittymien numeroita luetteloihin samalla tavoin kuin muiden liittymien numeroita. Pre paid -liittymän erityinen piirre on, että sen voi saada käyttöönsä myös vakuuden puuttuessa. Nykyisin lukuisten pre paid -käyttäjien numerot ovat luettelo- ja hakemistopalveluissa. Pre paid - liittymien käyttäjät tulisi luettelopalveluiden osalta saattaa samaa asemaan muiden liittymien kanssa. Liittymän maksutapa tai rekisteröintimenettely ei ole peruste asettaa jonkun liittymätyypin luettelotietoa tietosuojallisesti eri asemaan. Valiokunnan mietintöön tulisi sisällyttää lausuma siitä, että pre paid - liittymät ovat 25 :n tietojen käsittelyoikeuden osalta vastaavassa asemassa kuin muutkin liittymät.

59 Suoramarkkinointi, Suoramarkkinointia koskevat säädökset ovat luonnosteltu hyvin tarkkaan direktiivin sanamuotoja seuraten. Käyttäjän tiedollista itsemääräämisoikeutta kunnioittava markkinointiviestintä on asiakasviestinnän ja palvelutarjonnan tärkeä osa-alue. Valmistelussa olisi voinut eräiden muiden EU:n jäsenvaltioiden tavoin yrittää tehdä kieltosaannoksien "ympäröimille" viestinnän osapuolille joustavampia säännöksiä asiakassuhdeviestintään, kuten määritellä 26 :n 3 momentin asiakassuhteessa tapahtuvan markkinoinnin rajoja asiakaslähtöisemmin. Säännös ei tue esimerkiksi etämyynnin sähköisen kanta-asiakkuuden joustavaa ja asiakaslähtöistä viestintää esim. postimyyntityyppisessä asiakassuhteessa (esim. Hobby Hall), jossa asiakas ei ole jonkun yksittäisen tuoteryhmän vaan koko yrityksen ja sen tuotekirjon asiakas. Joustavan kansallisen asiakassuhdeviestintäympäristön luomiseksi tulisi mainitusta 3 momentista poistaa sanat "samaan tuoteryhmään kuuluvien tai muuten vastaavien". Mietinnössä olisi lisäksi hyvä korostaa, että 26 :n 3 momentin yhteystiedon käytön rajat tulisi tulkita asiakassuhteen kokonaisluonteen lähtökohdista käsin. Suoramarkkinoinnin vastaanottamisen estäminen, 29 Ehdotettu säännös on tehty ns. roskapostin vuoksi. Roskaposti on eri asia kuin kuluttajan suostumus-ja kielto-oikeuksia kunnioittava markkinointi. Roskapostiongelman Suomessa muodostavat ulkomailta lähetetyt viestit. Vaikuttaa siltä, että säännös on valmisteltu, mahdollisesti viimeaikaisten tapahtumien johdosta, tavalla, joka antaa aiheen kysyä koko säännöksen toimivuutta ja tarpeellisuutta. Ehdotettu säännös on nurinkurinen. Säännös on suunnattu roskapostia vastaan, mutta sen sanamuoto otsikkoa myöten viittaa laillisen markkinoinnin, mukaan lukien tilatun markkinoinnin, estämiseen. Se, että käyttäjä pyytäisi tilaamansa viestinnän estämistä, ei varmasti ole ollut säännöksen tarkoitus, mikä ilmenee myös perusteluista. Säännöksen sisältämän viittauksen asiallinen sisältö tulisi olla "26-28 :n vastaisen", ei "26-28 :ssä tarkoitetun". Säännöksen perusteluissa lausutaan, että "Selvää on, että käytettäessä suodattimia saattaa osa luottamuksellisista viesteistä jäädä saapumatta vastaanottajalle". Ottaen huomioon sananvapauden sisältämän oikeuden lähettää ja vastaanottaa viestintää ja viestinnän luottamuksellisuuden ei missään tapauksessa tulisi olla "selvää", että eri tallojen asiaviestintä jäisi saapumatta vastaanottajalle. Huonosti suunnitellut tai konfiguroidut suodattimet poistavat käyttäjän toivomia viestejä mm. asiakasviestintää, viranomaisviestintää, palvelusisältöjä, sopimuksia jne. Palveluntarjoaja ei edes sisältöä analysoimalla voi tietää, onko kyseessä suostumukseen perustuva markkinointiviesti vai ei. USA:ssa ns. kunnon viestinnän häviäminen on jo todellinen ongelma. Suomessa ei tulisi luoda lainsäädäntöä, joka tukee luottamuksellisten viestien saapumatta jäämistä tai häviämistä eli sananvapauden ja viestinnän luottamuksellisuuden loukkauksia. On korostettava, että normaali sopimusoikeus antaa viestintäpalveluiden käyttäjille ja palveluntarjoajille riittävät mahdollisuudet ns. roskapostin hallintapalveluihin. SSML katsoo, että ehdotettu 29 tulisi poistaa harhaanjohtavana, vahinaollisena ia tameettomana. Sooimusvaoaus tarioaa ei-toivntun T _ ^ j r y viestinnän poistamiseen riittävän kehyksen. Roskapostin lähettämistä edistävien haittaohjelmien levittämisen estämiseen taas riittää ehdotettu 20 edellä selostetuin tarkennuksin. =...

60 Mainittakoon, että ehdotettu 29 ei lainkaan kata ns. nigerialaiskirjeitä tai vastaavia viestejä, jotka eivät ole lainkaan suoramarkkinointia, edes laitonta sellaista. Ne ovat laittomassa tarkoituksessa, petostarkoituksessa käyttäjille lähetettyjä viestejä, joihin 29 :n säännös ei lainkaan vaikuttaisi, mutta edellä mainitun sopimusvapauden puitteissa tarjotut palvelut sen sijaan tehokkaasti vaikuttaisivat. Tämäkin seikka tukee 29 :n poistamista ja asian jättämistä yleisen sopimusvapauden ja siihen perustuvien kaupallisten palveluiden piiriin. Poliisilaki, 36 Ehdotettu säännös olisi merkittävä poikkeus viranomaisten tiedonsaantioikeuksia koskevien säännösten joukossa. Säännöstä on perusteltu ns. dynaamisten IPosoitteiden saamisen tärkeydellä. Ehdotettu säännös on aivan liian avoin yleisen tarkkarajaisuusvaatimuksen huomioon ottaen. Kuten perusteluistakin ilmenee, säännöksessä tarkoitetun tiedon antaminen vaatisi tunnistamistietojen käsittelyä. Ehdotetun säännöksen nojalla poliisi voisi muotoilla tietopyynnön siten, että tapaus tosiasiallisesti vastaisi televalvontatietojen antamista. Säännöksen sanamuoto "...telepäätelaitteen tai liittymän yksilöivät muut tiedot" on aivan liian avoin. Väljyyttä lisää edelleen säännöksen lopun määre "poliisille kuuluvien tehtävien suorittamiseksi". Poliisi voisi siis lähes minkä tahansa tehtävän yhteydessä pyytää teleyritystä kajoamaan asiakkaidensa luottamuksellisiin tunnistamistietoihin ja yhdistämään sieltä saatua tietoa muihin tietoihin ja luovuttamaan tiedon poliisille. Pyyntö voisi käytännössä jopa tarkoittaa liittymän haltijan liikkeiden jatkuvaa seurantaa, tällaisia pyyntöjä on esitetty jo voimassa olevan 36 :n aikana. Säännöksen muotoilua ja rajauksia ei voida pitää perusteltuna ottaen huomioon tunnistamistietojen käsittelyä ja luovutusta koskevat säännökset, televalvontaa koskeva voimassa oleva sääntely sekä sääntelyn tarkkarajaisuusvaatimus. Kustannusten korvaus tulisi suorittaa pakkokeinolain vakiintuneen linjauksen mukaisesti. Säännös koskisi myös yhteisötilaajia. Säännöksen perusteluissa ei ole millään tavoin perustella poliisin oikeutta minkä tahansa tehtävänsä yhteydessä saada yhteisötilaajalta "...telepäätelaitteen tai liittymän yksilöiviä muita tietoja". Ehdotettua säännöstä tulisi muotoilla uudelleen siten, että siinä mahdollistettaisiin dynaamisten IP-osoitteiden saanti kuitenkin siten, että säännös ei samalla oikeuttaisi liian laajoihin tai tosiasiallisesti televalvontaa toteuttaviin pyyntöihin. Säännökseen tulisi ehdottomasti lisätä viittaus pakkokeinolain 5 a luvun kustannusten korvauspykälään. Yhteisötilaaja tulisi poistaa säännöksestä. SUOMEN SUORAMARKKINOINTILIITTO RY J a

61 ri P e r k o t o i m it u s j o h t a j a Suomen Suoramarkkinointiliitto ry, SSML on monikanavaisuuden, suoramarkkinoinnin, etämyynnin, sähkökaupan, asiakasviestinnän, suoramyynnin ja kanta-asiakkuuden toimialajärjestö, jossa on jäsenenä n. 240 eri alojen yritystä. Jäseninä on mm. kustantajia ja kirjakerhoja, postimyynti- ja sähkökauppayrityksiä, pankkeja ja vakuutusyhtiöitä, telemarkkinointiyrityksiä, palvelu- ja painotaloja, teleyrityksiä, mainostoimistoja ja suoramyyjiä. / Posti Saapunut posti: Sähköisen viestinnän tietosuojalaista Tervehdys, Työstäessänne sähköisen viestinnän tietosuojalakia haluaisin saattaa valiokunnan tietoon oheiset seikat lakiehdotuksesta ja korostaa perustuslakivaliokunnan arvioinnin tärkeyttä niissä. Ohessa myös SSML:n lausunto liikenne- ja viestintävaliokunnalle käyttöönne. Lausunnossa on lausuttu muun ohella tarkemmin myös alla mainituista asioista.