Hallintovaliokunnalle

Samankaltaiset tiedostot
Sähköisen viestinnän tietosuojalain muutos

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari Jaakko Lindgren

Laki. sähköisen viestinnän tietosuojalain muuttamisesta

Varmaa ja vaivatonta

TYÖNTEKIJÖIDEN SÄHKÖPOSTIEN TUNNISTAMISTIETOJEN KÄSITTELYOIKEUS, KUN EPÄILLÄÄN YRITYSSALAISUUKSIEN VUOTAMISTA

LAUSUNTO TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2815/03/13. Oikeusministeriö

Tutkittavan informointi ja suostumus

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

Kansallinen tietosuojalaki

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

TIETOSUOJAVALTUUTETUN TOIMISTO

Työelämän tietosuojalaki Johanna Ylitepsa

TIETOYHTEISKUNTAKAARI

REKISTERINPITÄJÄN YLEINEN INFORMOINTIVELVOLLISUUS

VIESTINTÄVIRASTON SUOSITUS TUNNISTAMISTIETOJEN KÄSITTELYÄ KOSKEVIEN TIETOJEN TALLENTAMISESTA

MITÄ TIETOSUOJA TARKOITTAA?

Varmaa ja vaivatonta viestintää

Tiemaksut ja maksajan oikeusturva. Mirva Lohiniva-Kerkelä Dosentti, yliopistonlehtori Lapin Yliopisto

Laki yksityisyyden suojasta työelämässä

Ajankohtaista työelämän tietosuojasta Johanna Ylitepsa

Työ- ja tasa-arvoasiainvaliokunta on antanut asiasta mietinnön (TyVM 3/2001 vp). Nyt koolla oleva eduskunta on hyväksynyt seuraavat

TIETOSUOJA SÄÄDÖKSISSÄ

1. Nykytila. julkisuutta koskevalla lailla. Laki on tarkoitettu tulemaan voimaan samanaikaisesti. kuin laki viranomaisten toiminnan

LAUSUNTO Dnro 5935/96/2018

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3835/03/ Lausuntopyyntönne , STM/3551/2017, STM090:00/2017

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

HE 250/2016 vp Hallituksen esitys eduskunnalle laiksi kuntalain muuttamisesta

AHVENANMAAN ITSEHALLINNON KEHITTÄMINEN AHVENANMAA-KOMITEAN 2013 LOPPUMIETINTÖ

Abuse-seminaari

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1163/031/2018

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1277/031/2018

ASIAA TIETOSUOJASTA 4/ HENKILÖTIETOLAKI HENKILÖTIETOJEN KÄSITTELYN OHJAAJANA

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Laki vammaisuuden perusteella järjestettävistä esityispalveluista

Liikenne- ja viestintävaliokunnalle

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

LAUSUNTO TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 1919/03/2013. Liikenne- ja viestintäministeriö

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

Avoin data ja tietosuoja. Kuntien avoin data hyötykäyttöön Ida Sulin, lakimies

LAUSUNTO TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 497/03/2014. Liikenne- ja viestintäministeriö

Lausunto sähköisen viestinnän tietosuojalain muutosehdotuksesta

Tanja Jaatinen VN/3618/2018 VN/3618/2018-OM-2

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3922/03/ Lausuntopyyntönne , STM/4070/2017, STM100:00/2017

YHTEISTOIMINTA-ASIAMIEHEN OHJE PAIKANTAMISTA JA HENKILÖTIETOJEN KERÄÄMISEN PERIAATTEITA JA KÄYTÄNTÖJÄ KOSKEVASTA YHTEISTOIMINTA- MENETTELYSTÄ

Valokuva ja yksityisyyden suoja henkilötietolain kannalta

Lausuntopyyntö Euroopan unionin verkko- ja tietoturvadirektiivin täytäntöönpanoon liittyvien lakien muuttamisesta annetuista laeista

Itsemääräämisoikeus ja yksityisyydensuoja

Tietosuoja Copyright (c) 2005 ACE LAW Offices

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

7 Poliisin henkilötietolaki 50

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

1. Arvionne lukuun 1 Johdanto

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

Suurelle valiokunnalle

LAUSUNTO OM 198/43/2015

Yksityisyyden suoja työsuhteessa

Rikosoikeuden professori Sakari Melander Helsingin yliopisto Oikeustieteellinen tiedekunta Eduskunnan perustuslakivaliokunnalle

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2135/03/2016 ' Opetus- ja kulttuuriministeriö

EU:n satamapalveluasetuksen valvonta ja muutoksenhaku

Case: Työnantaja hakee esille tai avaa työntekijän sähköpostin JASMINA HEINONEN

Pyydettynä lisäselvityksenä esitän kunnioittavasti seuraavan.

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

SÄHKÖPOSTIN KÄYTÖSTÄ SOSIAALIHUOLLOSSA

Hallituksen esitys eduskunnalle vesilainsäädännön käyttöoikeussääntelyn uudistamiseksi (HE 262/2016 vp)

HE 47/2018 vp. Hallituksen esitys eduskunnalle laiksi Energiavirastosta annetun lain 1 :n muuttamisesta

PERUSTUSLAKIVALIOKUNNAN MIETINTÖ 11/2012 vp

Valtiollisten tehtävien jaosta ja ylimpien laillisuusvalvojien rooleista

Työryhmän ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

Määräys TUNNISTAMISTIETOJEN TALLENNUSVELVOLLISUUDESTA. Annettu Helsingissä 24 päivänä toukokuuta 2011

Lausunto eduskunnan perustuslakivaliokunnalle hallituksen esityksestä eduskunnalle laiksi työttömyysturvalain muuttamisesta (HE 5/2015 vp)

Sähköisen viestinnän tietosuojalaki yhteisötilaajan näkökulmasta. Antti Järvinen

Haminan tietosuojapolitiikka

Maa- ja metsätalousministeriö

Salassapito- ja tietosuojakysymykset moniammatillisessa yhteistyössä Kalle Tervo. Keskeiset lait

HE 190/2005 vp. Esityksessä ehdotetaan muutettavaksi sosiaali- yhdellä vuodella siten, että laki olisi voimassa 31 päivään joulukuuta 2006.

HE 305/2010 vp. Hallituksen esitys Eduskunnalle laeiksi sosiaaliturvan muutoksenhakulautakunnasta annetun lain 17 :n ja vakuutusoikeuslain

Roolit henkilötietojen käsittelyssä LOTTA YLÄ-SULKAVA

Sosiaali- ja terveysvaliokunnalle

Lokitietojen käsittelystä

Tiedollinen itsemääräämisoikeus ja MyData

Tietosuojauudistus lyhyesti. Antti Ketola, lakimies,

Eläketurvakeskuksen asema eläkelaitosten yhteistyöelimenä

Datan vapaa liikkuvuus EU:ssa komission asetusehdotus

Abuse-toiminnan ajankohtaiset ilmiöt

Laki. julkisen hallinnon yhteispalvelusta annetun lain muuttamisesta

REKISTERISELOSTE Henkilötietolaki (523/99) 10

PÄÄASIALLINEN SISÄLTÖ

Olli Mäenpää Perustuslakivaliokunnalle

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Lausunto Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 ).

Webinaarin sisällöt

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ PERUSTELUT

TIETOSUOJAVALTUUTETUN TOIMISTO

TIETOSUOJASELOSTE. Yleistä. Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? Mitä henkilötietoja minusta kerätään ja mistä lähteistä?

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

HE 27/2006 vp. Ehdotetuin säännöksin pantaisiin täytäntöön

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton sidosryhmärekisterissä

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Transkriptio:

JOHTAVA TOIMINNANTARKASTAJA (FM, HTL) TOMI VOUTILAINEN Muistio Hallintovaliokunnalle 7.10.2008 ASIANTUNTIJAKUULEMINEN 8.10.2008: HALLITUKSEN ESITYKSESTÄ EDUSKUNNALLE SÄHKÖISEN VIESTINNÄN TIETOSUOJALAIN JA ERÄIDEN SIIHEN LIITTYVIEN LAKIEN MUUTTAMISESTA, 48/2008 vp Yleistä Liikenne- ja viestintäministeriön johdolla valmistellussa hallituksen esityksessä ehdotetaan selkeytettäväksi yhteisötilaajien oikeuksia käsitellä tunnistamistietoja eräissä tilanteissa sekä yhteisötilaajien, teleyritysten ja lisäarvopalveluiden tarjoajien oikeutta käsitellä tunnistamistietoja tilastollisia analyysejä ja tietoturvasta huolehtimista varten. Hallituksen esitys sisältää myös ehdotuksen tietosuojavaltuutetulle säädettävistä uusista tehtävistä. Suhde perusoikeuksiin sekä muuhun sääntelyyn Sähköisen viestinnän tietosuojalaissa säädetään muun ohella viestintätietojen luottamuksellisuudesta ja tunnistamistietojen käsittelystä. Ehdotettu sääntely koskee Suomen perustuslain (731/1999) 10.1 :ssä säädettyä henkilötietojen suojaa sekä 10.2 :ssä säädettyä luottamuksellisen viestinnän suojaa ja toisaalta perustuslain 15 :ssä säädettyä omaisuuden suojaa sekä jossain määrin 18 :ssä säädettyä elinkeinovapautta. Tunnistamistietojen käsittelyä koskevilla säännöksillä on vahva sidos henkilötietojen suojan lakisääteisyysvaatimukseen, jolloin henkilötietojen käsittelyn perusteista on säädettävä lailla. Hallintovaliokunta ja perustuslakivaliokunta ovat toistuvasti (HaVL 19/1998 vp, s. 7 ja PeVL 14/2002 vp, s. 2) todenneet, että henkilötietojen käsittelyn kannalta katsottuna tärkeitä sääntelykohteita ovat henkilötietojen käsittelyn tavoite, rekisteröitävien henkilötietojen sisältö, niiden sallitut käyttötarkoitukset mukaan lueteltuina tietojen luovutettavuus ja tietojen säilytysaika henkilörekisterissä sekä rekisteröityjen oikeusturva samoin kuin näiden seikkojen sääntelemisen kattavuus ja yksityiskohtaisuus lain tasolla. Hallituksen esityksessä (48/2008 vp) ei käy selkeästi ilmi, miten henkilötietojen käsittelyn sääntelyä koskevat vaatimukset on otettu huomioon säännösehdotuksia valmisteltaessa. Henkilötietojen käsittelyä voidaan pitää suurimmassa osassa tunnistamistietojen käsittelytilanteita erottamattomana osana tietojen kokonaiskäsittelyä, jolloin viestintätietojen ja tunnistamistietojen käsittelyä koskevan sääntelyn lisäksi pitää ottaa huomioon myös henkilötietojen suojalle asetettavat vaatimukset. Hallituksen esityksessä todetaan (s. 23), että tunnistamistietojen käsittely ei kaikissa tapauksissa ole henkilötietojen käsittelyä. Tällaiset tilanteet ovat poikkeuk- Postiosoite: PL 1119, 00101 Helsinki Käyntiosoite: Antinkatu 1, 00100 HELSINKI

2 (7) sellisia, kun otetaan huomioon sääntelyn ja tunnistamistietojen käsittelytarkoitukset. Myös luottamuksellisen viestinnän suojaan puuttuvalle sääntelylle tulee asettaa vähintään samat vaatimukset kuin henkilötietojen käsittelyllekin. Näiltä osin ehdotettua sääntelyä voidaan pitää varsin avoimena erityisesti tilastollista käsittelyä ja yrityssalaisuuden loukkausta koskevien säännöksien osalta. Säännöksien ja niiden perustelujen sanamuodot jättävät tulkinnan varaa muun muassa siitä, milloin palvelujen kehittämisen kannalta on tärkeää käsitellä tunnistamistietoja erityisesti ilman tietojen anonymisointia. Hallituksen esitys koskee oikeusjärjestyksen alaa, jota säännellään paitsi sähköisen viestinnän tietosuojalailla (516/2004) myös yksityisyyden suojasta työelämässä annetulla lailla (579/2004) ja henkilötietolailla (523/1999). Nyt käsittelyssä olevia muutoksia on punnittu suhteessa yksityisyyden suojasta työelämässä annettuun lakiin nähden jonkin verran sähköpostien käsittelyä koskevien kysymysten osalta. Tältä osin säädösten säännöksien välillä on havaittavissa päällekkäisyyksiä, koska yksityisyyden suojasta työelämässä annetun lain säännökset sähköpostiviestien käsittelyn osalta koskevat ensisijaisesti sähköpostin tunnistamistietoja. Myös tunnistamistiedot ovat tietoverkossa syntyviä lokitietoja, joiden käsittelyyn sovelletaan henkilötietojen käsittelyn yleislakina henkilötietolakia. Hallituksen esityksessä ei käsitellä sääntelyn vaikutuksia yleisesti lokitietojen käsittelyä koskevaan sääntelyyn, vaikkakin hallituksen esityksessä (s. 26) viitataan väärinkäytöstapausten tiedonantovelvollisuuden yhteydessä tietosuojavaltuutetun antamaan ohjeeseen lokitietojen käsittelystä. Tarkennusta kaipaa esimerkiksi se seikka, supistaako vai laajentaako ehdotetut säännökset nyt voimassa olevaa lokitietojen käsittelyn sääntelyä sekä millä perusteilla. Ehdotettu sääntelymalli on myös ongelmallinen julkisen hallinnon toiminnan kannalta. Hallituksen esityksessä viitataan toistuvasti tietoyhteiskunnan palvelujen tai maksullisten tietoyhteiskunnan palveluiden käsitteisiin. Tietoyhteiskunnan palveluiden tarjoamisesta annetussa laissa (458/2002) ja viestintämarkkinalaissa (393/2004) tietoyhteiskunnan palvelulla tarkoitetaan nimenomaisesti palvelua, jolla on kaupallinen luonne, vaikka palvelun käyttö olisi maksutonta. Sääntely ja tietoyhteiskunnan palvelun käsite perustuvat muun muassa sähköistä kaupankäyntiä sisämarkkinoilla koskevista tietyistä oikeudellisista näkökohdista annettuun Euroopan parlamentin ja neuvoston direktiiviin (2000/31/EY) eli direktiiviin sähköisestä kaupankäynnistä, jossa nimenomaan korostetaan sitä, että tietoyhteiskunnan palvelulla pitää olla kaupallinen luonne, jotta sääntelyä sovellettaisiin tietoverkossa tarjottavaan palveluun. Tältä osin julkisen hallinnon tarjoamat sähköiset asiointipalvelut eivät kuulu tietoyhteiskunnan palvelun käsitteen alaan eikä sääntelyn piiriin ellei niillä ole selkeää kaupallista luonnetta. Hallituksen esityksessä ei käy selkeästi ilmi, milloin sääntely koskee myös julkisen hallinnon sähköisten asiointipalveluiden käytöstä syntyviä tunnistamistietoja, joita voidaan käyttää asiointipalveluiden teknistä kehittämistä tai teknisen vian ja virheen selvittämistä taikka tilastollista analyysiä varten.

3 (7) Tunnistamistietojen käsittely Hallituksen esityksessä (s. 19) ainoastaan todetaan, että Viestintäviraston määräyksenantovaltuutus tunnistamistietojen käsittelystä ei koskisi valtionhallinnon tarjoamia tietoyhteiskunnan palveluita. Toisin kuin hallituksen esityksessä (s. 42) esitetään uudet säännökset tulevat puuttumaan luottamuksellisen viestinnän ydinalueeseen erityisesti silloin, kun tunnistamistietoja käsitellään palveluiden kehittämisen ja muun vastaavan toiminnan yhteydessä. Lisäksi sääntely vaikuttaa myös henkilötietojen suojaa koskevaan sääntelyyn, jota vasten ehdotettuja säännöksiä olisi ollut syytä punnita syvemmin. Lähtökohtana sekä teknisen kehittämisen, tilastollisen analyysin että teknisen vian tai virheen selvittämisessä tulisi olla, että tunnistamistietoja käsitellään anonymisoituina. Hallituksen esityksessä ehdotetussa 12.1 a :n 2 kohdassa mainitaan, että tilastollisen analyysin ehtona on se, että analyysistä ei voida tunnistaa yksittäistä luonnollista henkilöä. Toisaalta tällaisessa analyysissä käsitellään tietoja, joiden analyysin perusteena ovat yksittäisen luonnollisen henkilön tiedot. Säännös ei anna samanlaista suojaa oikeushenkilöille analyysin anonyymistä lopputuloksesta. Tämä mahdollistaisi muun muassa teleyrityksille tai yhteisötilaajille sellaisen analyysin lopputuloksen, josta ilmenee mistä yrityksistä, virastoista tai muista yhteisöistä kyseisen palveluntarjoajan www-sivuilla on vierailtu. Hallituksen esityksen 12 a ei sisällä säännöstä tilastollisen analyysin aineiston säilytysajasta ja tavasta, joihin mitä ilmeisimmin sovelletaan henkilötietolain säännöksiä. Valtiontalouden tarkastusvirasto on todennut liikenne- ja viestintäministeriölle antamassaan sähköisen viestinnän tietosuojalain muutoksia koskevassa lausunnossaan (281/31/07), että "yrityssalaisuuksien suojan ja viestintäturvallisuuden varmistamisen kannalta ensisijainen keino on asianmukaisesta tietoturvallisuudesta huolehtiminen osana kunkin organisaation yleistä johtamista, riskienhallintaa ja sisäistä valvontaa. Ehdotuksen keskeistä lähtökohtaa, että viestintäverkon ja viestintäpalveluiden käyttö ja yrityssalaisuuksien suoja järjestetään ensisijaisesti huolehtimalla hyvän tiedonhallintatavan ja hyvän tietojenkäsittelytavan toteuttamisesta sekä hyvästä tietoturvallisuudesta, tulisi tarkastusviraston käsityksen mukaan korostaa esityksen perusteluissa luonnosta voimakkaammin." Tällaista muutosta nyt hallituksen esityksen muodossa olevassa versiossa ei ole edelleenkään selkeästi havaittavissa. Tältä osin voidaan mainita hallituksen esityksessä (s. 12) oleva epäselvä ilmaus, jonka mukaan "sekä viestintäverkon tai viestintäpalvelun ohjeen vastaisen luvattoman käytön että yrityssalaisuuksien osalta edellytettäisiin, että viestintäverkon ja viestintäpalveluiden suunniteltu käyttö sekä yrityssalaisuuksien suoja on järjestetty asianmukaisin tietoturva- ja käyttäjähallintotoimenpitein." Kyseisestä vaatimuksesta asianmukaisten tietoturva- ja käyttäjähallintotoimenpiteiden suorittamisesta ei käy ilmi, miten ja kuka järjestelyjen asianmukaisuuden arvioi ja minkälaisiin kriteereihin nähden. Tarkastusviraston näkemyksen mukaan oikeus tunnistamistietojen käsittelyyn tulisi antaa ainoastaan sellaisille yhteisöti-

4 (7) laajille, jotka ovat sertifioineet oman tietoturva- ja käyttäjähallintonsa. Muiden yhteisötilaajien tuli kääntyä ensisijaisesti viranomaisten puoleen väärinkäytösten selvittämiseksi. Hallituksen esityksessä asetetaan verrattain usein toiminnan asianmukaisuus tunnistamistietojen käsittelyn ehdoksi tai vaatimukseksi. Tällaista väljää sääntelyä ei voitane pitää perusteluna, kun kyse on yksilön perusoikeuksiin puuttumisesta. Ehdotetut säännökset perusteluineen tulisikin tarkentaa, jotta niistä ilmenee, mitä asianmukaisuudella tarkoitetaan kussakin tilanteessa tai millaisia menettelyjä kussakin tilanteessa voidaan pitää asianmukaisina, taikka mikä taho asianmukaisuuden määrittelee tarkemmalla tasolla. Viimeksi mainittu vaihtoehto voi olla ongelmallinen sääntelyä koskevan valtuutuksen kannalta katsottuna, jos asianmukaisuuden määrittely koskee muitakin kuin teknisiä seikkoja (PeVL (20/1997) vp, s. 2 ja PeVL (3/2008), s. 3). Säännösehdotuksissa annetaan Viestintävirastolle oikeus antaa teknisiä määräyksiä, jotka koskevat teleyrityksiä ja lisäarvopalvelujen tarjoajia. Sääntelyn katvealueelle jää kuitenkin yhteisötilaajat, joille mitä ilmeisimmin on tarkoitus antaa ohjeistusta tunnistamistietojen käsittelystä. Jos tällaista ohjeistusta annetaan, tulisikin selvittää, minkälainen paino tällaisilla ohjeilla on ja ovatko tällaiset ohjeet tosiasiallisesti rinnastettavissa määräyksiin, joiden noudattamatta jättämisestä voi seurata sanktio. Tällaiseen sääntelydelegointiin lienee syytä suhtautua pidättyväisesti. Hallituksen esityksessä (s. 12 13 sekä erityisesti ehdotettu 13.3 d ) on myös ongelmallisesti muotoiltu yhteisötilaajan oikeus tunnistamistietojen käsittelyyn siten, että yhteisötilaaja voisi käsitellä tietyin edellytyksin tunnistamistietoja, kun kyse olisi elinkeinotoiminnan kannalta keskeisten yrityssalaisuuksien oikeudettomasta paljastamisesta. Ehdotetun säännöksen sanamuoto jää tältäkin osin väljäksi, josta ei käy ilmi, millaisissa tilanteissa on kyse keskeisestä tai merkittävästä yrityssalaisuudesta. Ottaen huomioon henkilötietojen suojan ja viestinnän luottamuksellisuutta koskeva perusoikeudellinen sääntely, tulisi säännös olla muotoilultaan tyhjentävä erityisesti, kun yrityssalaisuuden merkittävyys on suhteellista ja se jää sääntelyn perusteella yhteisötilaajan eli yrityksen itsensä määriteltäväksi, jota ei voida pitää perusoikeuksien turvaamisen kannalta riittävänä. Hallituksen esityksessä (s. 11) todetaan, että nykyisin voimassa oleva sähköisen viestinnän tietosuojalaki asettaa esteitä yhteisötilaajien mahdollisuuksille selvittää ja saattaa esitutkintaan viestintäverkkoihin kohdistuneita sähköisen viestinnän avulla tapahtuvia väärinkäytöksiä. Tästä syystä on nähty tarpeelliseksi laajentaa yhteisötilaajan oikeuksia tunnistamistietojen käsittelyyn. Säännösehdotus mahdollistaisi osittaisen rikostutkinnan yrityksille, jota voidaan pitää erittäin poikkeuksellisena menettelynä. Jos yrityksellä on syytä epäillä yrityssalaisuuksien vuotamista, tulee tällaisessa tilanteessa kääntyä rikostutkintaa suorittavien viranomaisten puoleen. Sääntely mahdollistaa yrityksen sisäisen sanktioinnin ilman rikosoikeudellisia menettelyitä, koska useissa tilanteissa yrityssalaisuuden vuotaminen ja sen vieminen rikostutkintaan voivat olla yrityk-

5 (7) sen julkisuuskuvalle kiusallisia, jolloin halu hoitaa tietovuodot yrityksen sisäisinä toimenpiteinä lienee vähintäänkin todennäköistä. Vaikka ehdotetussa sääntelyssä on säännökset yhteisötilaajan tiedonantovelvollisuudesta, ei se poista edellä mainittua ongelmaa. Voimassa olevan sähköisen viestinnän tietosuojalain 15 :n säännöstä voidaan pitää tunnistamistietojen käsittelyn kannalta ongelmallisena. Säännöksen mukaan ainoastaan teleyritys velvoitetaan tallentamaan ja säilyttämään tunnistamistietojen käsittelyä koskevat tapahtumatiedot kahden vuoden ajan. Tähän sääntelyyn ei ole ehdotettu muutosta, vaikka sääntelyllä ehdotetaan laajennettavaksi yhteisötilaajan oikeuksia tunnistamistietojen käsittelemiseksi. Tallennusvelvollisuudesta on ehdotettu säädettäväksi ainoastaan 13 f :ssä väärinkäytöstapausten yhteydessä. Vaikka tunnistamistietojen käsittelyn tapahtumatiedot tuleekin tallentaa henkilötietolain nojalla, lienee tarpeellista, että yhteisötilaajien velvollisuudesta tapahtumatietojen tallentamiseen ja säilyttämiseen säädetään myös sähköisen viestinnän tietosuojalaissa selkeästi ja kattavasti. Hallituksen esityksen 12 :ssä todetaan, että yhteisötilaajan tulisi tiedottaa tarjoamiensa sähköisten palveluiden tunnistamistietojen käsittelystä palvelujen käyttäjille. Voimassa olevan sähköisen viestinnän tietosuojalain 7 :ssä on säädetty palvelun käyttöä kuvaavien tietojen tallentamisesta käyttäjän päätelaitteelle ja näiden tietojen käytöstä. Kyseisessä säännöksessä velvoitetaan palveluntarjoajia informoimaan muun muassa nk. evästeiden käytöstä wwwpalveluissa. Käytännössä kuitenkin harvoin tällaista informointia annetaan palveluiden käyttäjille ja säännös onkin jäänyt vaille tosiasiallista tehoa. Nyt ehdotettavan säännöksen toimeenpanon osalta on odotettavissa samanlaisia ongelmia informointivelvollisuuden toteutuksessa. Sinällään yhteisötilaajat ovat palveluiden tarjoajina jo nyt velvollisia informoimaan tunnistamistietojen käsittelystä henkilötietolain 24 :n nojalla, kun tunnistamistiedoista ilmenee henkilötietoja. Tältäkin osin sähköisen viestinnän tietosuojalain ja henkilötietolain suhdetta voidaan arvostella päällekkäisenä ja osin epäselvänä. Lisäksi on syytä kiinnittää huomiota 13.3 g :ssä ehdotettuun vaitiolovelvollisuuden ajalliseen kestoon. Säännösehdotuksen mukaan tiedot yrityssalaisuuden loukkausepäillystä ja yrityssalaisuuksien loukkauksesta ovat salassa pidettäviä. Vaitiolovelvollisuus on ehdotettu sidottavaksi työsuhteen voimassaoloajan kestoon. Säännösehdotusta voidaan pitää poikkeuksellisena muihin vaitiolovelvollisuutta koskeviin säännöksiin nähden sekä ongelmallisena, jos vaitiolovelvollisuus ei koske henkilöä enää työsuhteen päättymisen jälkeen. Tällaiselle voimassaolon rajaukselle ei ole esitetty säännöksen perusteluissa perusteita. Tältä osin voidaankin ehdottaa, että vaitiolovelvollisuus on voimassa työsuhteen jälkeenkin, kuten yleensä muissakin vaitiolovelvollisuutta koskevissa säännöksissä. Vaitiolovelvollisuuden rajaus voi olla ongelmallinen yksityisyyden suojan kannalta katsottuna.

6 (7) Viranomaisten toiminnan organisointi ja taloudelliset vaikutukset Hallituksen esityksessä ilmenevää valvontaviranomaisten välistä organisointia voidaan pitää monin osin ongelmallisena sekä toiminnallisesti että taloudellisesti. Sähköisen viestinnän tietosuojalain mukaan Viestintäviraston tehtävänä on valvoa tunnistamistietojen käsittelyä. Tarkastusvirasto pitää erittäin ongelmallisena sitä, että hallituksen esityksessä esitetään tietosuojavaltuutetulle uusia tehtäviä. Tietosuojavaltuutetun tehtävät ovat lisääntyneet viime vuosien lainsäädäntöuudistusten ja alan kansainvälistymisen vuoksi. Lainsäädännössä annettavat tehtävät koskevat tietosuojavaltuutettua, joka on toimivaltainen viranomainen tehtäviä suoritettaessa. Tietosuojavaltuutetun toimisto ainoastaan avustaa tietosuojavaltuutettua hänen suorittaessaan tehtäviään. Tarkastusvirasto ehdottaa, että tunnistamistietojen käsittelyn selkeän ja tehokkaan valvonnan kannalta valvontaviranomaisena toimisi tämän toimintokokonaisuuden osalta vain Viestintävirasto, jolla on paremmat toiminnalliset edellytykset ja resurssit hoitaa valvontatehtäviä ja joka valvoo jo voimassa olevan lain mukaan tunnistamistietojen käsittelyä. Usealle viranomaiselle annettua saman toimintokokonaisuuden valvontaa ei voida pitää tarkoituksenmukaisena hallinnon ohjauksena eikä asiakaslähtöisenä hallinnon kehittämisenä. Hallituksen esityksen taloudellisissa vaikutuksissa ei ole esitetty tietosuojavaltuutetun toimistolle uusia resursseja, mutta sen sijaan lisäresurssien tarvetta on käsitelty viranomaisten toimintaa koskevien vaikutusten arvioinnissa (s. 13 14). Vaikutusten arvioinnissa ei selvitetä, millaisia henkilöstövaikutuksia tehtävien hoitaminen Viestintävirastolle aiheuttaisi vai aiheutuisiko muutoksia lainkaan. Hallituksen esityksessä mainitut kahden erityisasiantuntijan ja yhden toimistohenkilön virkojen perustaminen uuden tehtävän suorittamista varten voidaan pitää huomattavana ja liioiteltunakin, kun otetaan huomioon muut tietosuojavaltuutetun tehtävät ja tietosuojavaltuutetun toimiston henkilöstön määrän suhde. Lisäksi valtionhallinnon tuottavuuden toimenpideohjelman asettamat vaatimukset muun muassa henkilöstön osalta, eivät puolla tehtävien jakamista kahden viranomaisen välille ja siitä syystä henkilöstön määrän tarpeetonta kasvattamista ei voida pitää perusteltuna erityisesti, kun Viestintävirastolla on jo ennestään asiantuntumusta tunnistamistietojen käsittelyä koskevista kysymyksistä. Viestintävirastolla oleva kokonaisvaltainen tunnistamistietojen käsittelyn valvontatehtävä ei sinällään rajoita tietosuojavaltuutetun tehtävää toimia ylimpänä henkilötietojen käsittelyn valvontaviranomaisena ja ohjaamaan tunnistamistietojen käsittelyn kysymyksiä henkilötietojen käsittelyn näkökulmasta. Hallituksen esityksen mukaan valvontatehtävät on tarkoitus hoitaa maksullisina toimenpiteinä. Tällöin valvontaviranomaisen tehtävien hoito olisi riippuvaa niistä taloudellisista edellytyksistä, joita valvontakohteilta kerätyt maksut tuottavat. Tarkastusvirasto on pitänyt valvontamaksujen perusteiden määräytymistä

7 (7) ja maksujen kertymisen kohdentamista ongelmallisena tunnistuspalveluiden kehittämistä ja käyttöä koskevassa tarkastuksessaan 161/2008, jossa tarkastusvirasto edellytti liikenne- ja viestintäministeriön ryhtyvän toimenpiteisiin varmennepalveluiden valvonnasta syntyvien kustannusten ja maksujen selventämiseksi. Tarkastusvirasto on kiinnittänyt tietosuojavaltuutetun toiminnan organisoinnin ongelmiin huomiota toiminnantarkastuksessaan 161/2008, jossa todettiin, että tietosuojavaltuutetun tehtävien lukuisuuden ja tehtävien sidonnaisuuden tietosuojavaltuutettuun ovat johtaneen asioiden käsittelyn viipymiseen. Tarkastusvirasto on nostanut eri yhteyksissä esiin tarpeen selvittää mahdollisuutta apulaistietosuojavaltuutetun viran perustamisesta, jotta tietosuojaa koskevat asiat saadaan hoidetuksi hyvän hallinnon edellyttämällä tavalla. Yleisesti voidaan myös todeta hallituksen esityksen taloudellisten vaikutusten arvioinnin olevan varsin niukkaa ja sisältävän yleisluonteisia arvioita taloudellisista vaikutuksista, joita ei pystytä jälkikäteen arvioimaan. Johtopäätöksiä Johtopäätöksinä edellä olevasta voidaan todeta, että: Hallituksen esitys on ongelmallinen perusoikeuksina turvattujen henkilötietojen suojan ja luottamuksellisen viestinnän suojan kannalta katsottuna; Hallituksen esitys pitää sisällään useita tulkinnanvaraisia säännöksiä, mikä johtuu osittain perusteluista käytetystä epäselvästä ja väljästä terminologiasta. Koska sääntely koskee tiedollisten perusoikeuksien suojan ydinaluetta, tulisi sääntelyn ja sen tulkinnan olla yksiselitteistä ja tyhjentävää; Hallituksen esityksessä ei ole arvioitu riittävästi sääntelyn vaikutuksia henkilötietojen suojaan eikä sääntelyssä ole mitä ilmeisimmin huomioitu hallintovaliokunnan ja perustuslakivaliokunnan kannanottoja henkilötietojen sääntelyn reunaehdoista kokonaisuudessaan. Tunnistamistietojen käsittelyn valvonnan jakaminen kahdelle eri viranomaiselle ei ole toiminnallisesti ja taloudellisesti tarkoituksenmukaista erityisesti kun valvontatehtäviä on jo vuosien ajan suorittanut Viestintävirasto. Viranomaisten selkeät vastuunjaot, hallinnon toiminnan tehokkuus ja hallinnon asiakkaiden oikeusturva puoltavat, että valvontatehtävät ovat yhden viranomaisen vastuulla.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute