Urkintalaki "Lex Nokia" viipaloituna

Kirjoittaja: Kai Puolamäki, Elokuu 19, 2006 - 11:00.

[Alkuperäinen versio julkaistu 17.8.2006; muokattu 5.10.2006]

Ohessa on joitakin taustatietoja Effin tiedotteeseen 16.8.2006 Ei yksityisviestien urkinnalle.

[Päivitys 25.2.2009: Tässä artikkelissa kuvattu urkintalaki nousi vaalien jälkeen haudastaan hallituksen esityksenä 48/2008 vp ja se on tätä kirjoittaessa eduskunnan käsiteltävänä. Lisätietoja urkintalain uudesta versiosta Lex Nokia -FAQista.]

[Päivitys 28.9.2006: Sähköisen viestinnän tietosuojalain muutosehdotusta ei anneta eduskunnalle tällä vaalikaudella oikeuskanslerin tyrmättyä lakiesityksen. (Lähde: LVM 28.9.2006)]

Ehdotettu urkintapykälä

Liikenne- ja viestintäministeri Susanna Huovinen (sd) ehdottaa sähköisen viestinnän tietosuojalakia muutettavaksi siten, että yhteisötilaajilla - kuten yrityksillä - olisi oikeus seurata ihmisten - kuten työntekijöidensä - viestiliikennettä muun muassa "luvattoman käytön" ja "yritysvakoilun" havaitsemiseksi. Tarkalleen ottaen urkintaoikeus koskisi tunnistamistietoja, eli muun muassa sitä, kuka on soittanut tai lähettänyt sähköpostia, kenelle ja koska.

Seuraavassa on kohun aiheuttanut ehdotettu uusi sähköisen viestinnän tietosuojalain 13 a pykälä (elokuun 2006 versio):

13 a § Yhteisötilaajan käsittelyoikeus väärinkäytöstapauksissa

Yhteisötilaaja voi käsitellä tunnistamistietoja viestintäverkkojensa ja palvelujensa rikoslain (39/1889) 28 luvun 7 ja 8 §:ssa tarkoitetun luvattoman käytön ja käytöstä aiheutuvien kustannusten havaitsemiseksi, estämiseksi ja selvittämiseksi sekä esitutkintaan saattamiseksi.

Yhteisötilaaja voi käsitellä tunnistamistietoja rikoslain 12 luvun 59 §:ssa tarkoitetun vakoilun, turvallisuussalaisuuden paljastamisen ja luvattoman tiedustelutoiminnan sekä rikoslain 30 luvun 46 §:ssa tarkoitetun yritysvakoilun, yrityssalaisuuden rikkomisen ja yrityssalaisuuden väärinkäytön havaitsemiseksi, estämiseksi ja selvittämiseksi sekä esitutkintaan saattamiseksi, jos mainitut rikokset saattavat vahingoittaa Suomen sisäistä tai ulkoista turvallisuutta, maanpuolustusta tai poikkeusoloihin varautumista, Suomen suhteita toiseen valtioon tai kansainväliseen järjestöön, julkista taloutta taikka yksityisen huomattavan arvokasta liike- tai ammattisalaisuutta tai muuta tähän rinnastettavaa erittäin merkittävää yksityistä taloudellista etua.

Yhteisötilaajan tulee tehdä kirjallinen ilmoitus tietosuojavaltuutetulle ennen 2 momentissa tarkoitetun tunnistamistietojen käsittelyn aloittamista. Ilmoituksessa tulee yksilöidä mahdollisimman tarkasti tunnistamistietojen käsittelyn tarkoitus ja käsittelyn tarkoituksen toteutumisen kannalta välttämättömät toimenpiteet. Lisäksi yhteisötilaajan on laadittava kirjallinen ohje, jossa määritellään ne perusteet, joiden nojalla tunnistamistietoja 2 momentin perusteella voidaan käsitellä.

Tunnistamistietoja saavat käsitellä 1 ja 2 momentissa mainituilla perusteilla vain ne yhteisötilaajan viestintäverkon ylläpidosta ja tietoturvasta sekä yhteisötilaajan turvallisuudesta huolehtivat henkilöt, joiden tehtäviin tunnistamistietojen käsittely asiallisesti ja perustellusti kuuluu. Yhteisötilaajan on nimettävä nämä henkilöt tai määriteltävä edella mainitut tehtävät. Tunnistamistietoja käsittelevat henkilöt eivät saa ilmaista näitä tietoja sivullisille.

Jos yksittäisen käyttäjän tunnistamistietoja on käsitelty 1 ja 2 momentissa tarkoitetuilla perusteilla ja jos käsittelyn perusteella on tarkoitus ryhtyä hänen oikeusasemaansa vaikuttaviin toimiin, tunnistamistietojen käsittelystä on tiedotettava hänelle heti, kun se voi tapahtua käsittelyn tarkoitusta vaarantamatta. Tunnistamistietojen käsittely ja ohje sekä niistä tiedottaminen kuuluvat työnantajan ja työntekijoiden välisen yhteistoiminnan ja tiedottamisen piiriin siten, kuin siitä säädetään yksityisyyden suojasta työelämässä annetun lain (759/2004) 21 §:ssa.

Yllä lainattu 13 a § ei ollut mukana esitysluonnoksessa, joka oli lausuntokierroksella, vaan se lisättiin lakiehdotukseen lausuntojen pyytämisen jälkeen. Lausuntokokoelmasta voi lukea 45 lausuntoa, jotka liikenne- ja viestintäministeriö oli pyytänyt ja saanut hallituksen esitysluonnoksen aikaisemmasta versiosta, joka ei sisältänyt 13 a pykälää yllä lainatussa muodossaan.

Liikenne- ja viestintäministeriö ei pyytänyt pykälästä lausuntoa edes yrityssalaisuusrikoksia selvittäviltä viranomaisilta. Ministeriön olisi kannattanut pyytää lausuntoa, koska keskusrikospoliisi ja Helsingin Sanomien haastattelema asiantuntija eivät tiedä yhtään tapausta, jossa työntekijä olisi todettu syylliseksi yritysvakoiluun sähköpostin avulla. KRP:n talousrikosyksikön päällikkö Tapio Kalliokosken mukaan "ei ole edes todennäköistä, että kukaan lähettää yrityssalaisuuksia sähköpostilla, koska siitä voi jäädä kiinni". Järkevämpää olisi käyttää esimerkiksi paperia, levykettä tai muistitikkua. (Lähde: Helsingin Sanomat 19.8.2006)

Oikeusministeriön mukaan (s. 1-2) urkintapykälä on yritysvakoilun ja -salaisuuksien osalta tiettävästi syntynyt työmarkkinaosapuolten toimesta. Ylen tietojen mukaan erityisesti Nokia on ollut lain valmistelussa mukana. On tosin epäselvää, mikä on todellinen peruste tunnistamistietojen tarpeelle, koska lakia ajaneissa yrityksissäkin varmasti ymmärretään KRP:n talousrikososaston päällikön tavoin yritysten ajaman lakimuutoksen tehottomuus yrityssalaisuuden rikkomisen estämisessä tai havaitsemisessa.

Lakia ajaneiden yritysten todellinen motiivi on ainakin tälle blogikirjoittajalle arvoitus. Motiivista on esitetty julkisuudessa erilaisia arvauksia. Yksi arvaus motiiviksi on aivovuodon estäminen: työpaikan vaihdosta kilpailevan yrityksen kanssa sähköpostitse keskusteleva työntekijä voidaan ottaa puhutteluun epäillyn yrityssalaisuuden rikkomisen perusteella. Toinen on mahdollisten "whistleblowerien" pelottelu - esimerkiksi Soneran teleurkintajutussa oli kyse osin siitä, että yhtiö yritti jäljittää henkilöä, joka oli vuotanut tietoja Helsingin Sanomille. On myös arveltu, että jotkut yritykset eivät pysty irtautumaan 1990-luvun ja 2000-luvun alun traditiosta, jossa työntekijöiden sähköposteja seurattiin monessa yrityksessä laittomasti (ITviikko 21.8.2006). Lakia voidaan myös ajaa, vanhaa neuvostoaikaista lausahdusta mukaillen, "luottamus hyvä, valvonta paras" -mentaliteetilla: ajatellaan, että kontrollia ei koskaan voi olla liikaa. Lain lobbaus liikenne- ja viestintäministeriössä voi myös kertoa karulla tavalla luottamuspulasta lakia ajaneiden yritysten henkilöstön ja johdon välillä.

Maininta muun muassa vakoilusta ja luvattomasta tiedustelutoiminnasta on lisätty ilmeisesti suojelupoliisin pyynnöstä.

Urkintapykälän merkitys

Poliisi voi suorittaa televalvontaa tuomioistuimen luvalla vain, jos on olemassa yksilöity, henkilöön kohdistuva, vakava rikosepäily ja epäiltyyn kohdistuvalla televalvonnalla voidaan olettaa olevan erittäin tärkeä merkitys rikoksen selvittämiselle. Poliisin suorittama televalvonta ei voi olla jatkuvaa, ja oikeusturvaa varmistavat valvontaa koskevat kirjaamis- ja ilmoitusvelvoitteet.

Lakiehdotus antaisi yritysten ja yhteisöjen turvallisuusosastoille poliisia laajemmat valtuudet - edellisessä kappaleessa korostetut oikeusturvaa suojaavat velvoitteet eivät yhteisötilaajia koskisi! (Ks. oikeusministeriön lainvalmisteluosaston lausunto, s. 5-6)

Lakiehdotuksen mukaan teleurkintaa voisi siis harrastaa varmuuden vuoksi, ei-toivotun toiminnan havaitsemiseksi. Mitään epäilyjä ei tarvittaisi.

Ilmeisesti "luvaton käyttö" voisi olla melkein mitä tahansa viestintäjärjestelmän käyttöä, joka on jossain työnantajan allekirjoituttamassa sopimuksessa kielletty.

On myöskin epäselvää, miten "luvallinen käyttö" erotellaan "väärinkäytöksestä", kun yrityksen turvallisuusosasto havainnoi sähköposti- ja puhelinliikennettä epäilyttävien henkilöiden löytämiseksi. Epäiltyjen erittäin harvinaisten väärinkäytösten seulominen viestimassojen joukosta tarkoittaisi käytännössä myös täysin syyttömiin ja sivullisiin henkilöihin kohdistuvaa urkintaa - riippumatta siitä, millaista toimintaa seulonnalla on "virallisesti" tarkoitus löytää.

Suoritettua urkintaa ei tarvitsisi mitenkään dokumentoida. Urkinnasta ei tarvitsisi jälkikäteen ilmoittaa urkinnan kohteelle tai millekään viranomaiselle, ellei urkinta johtaisi konkreettisiin toimenpiteisiin, kuten potkuihin.

Lakiesityksessä ei tarkemmin määritellä, kenen viestintää saisi urkkia.

Näiden oikeusturvaa suojaavien velvoitteiden puuttuminen mahdollistaa myös sen, että urkintaa voi aina jälkikäteen perustella esimerkiksi yrityssalaisuuden rikkomisen estämisellä, olipa urkinnan todellinen syy ollut mikä tahansa.

Ministerin selitykset

Kohun yllättämä ministeri Huovinen ilmoitti 17.8.2006 julkaisemassaan tiedotteessa pyytävänsä myös oikeuskanslerin mielipiteen. Tiedotteessa sanotaan lopuksi:

Liikenne- ja viestintäministeriö on valmistellut sähköisen viestinnän tietosuojalakiin muutosta, jolla mm. mahdollistettaisiin se, että eräät yhteisötilaajat eli esimerkiksi huippututkimuksesta riippuvaiset yritykset voisivat tietyin tiukoin ehdoin käsitellä yrityksen koneelta lähetettyjen sähköpostien tunnistamistietoja.

Ministeri Huovinen, missä kohtaa lakitekstiä sen soveltamisala rajoitetaan "eräisiin yhteisötilaajiin" eli "huippututkimuksesta riippuviin yrityksiin"? Oikeusministeriön tulkinnan mukaan (s. 3-5) lakia voisi yhtä hyvin soveltaa myös esimerkiksi eduskunnan tai minkä tahansa muun julkisen tai yksityisen yhteisön viestiliikenteen seurantaan.

(Yksi valmistelun surkeudesta kertova yksityiskohta on ehdotetun 13 a pykälän viimeinen lause, jossa todetaan, että pykälässä säädetty kuuluu työnantajan ja työntekijän välisen yhteistoiminnan piiriin - vaikka pykälä koskee kaikkia yhteisötilaajia, eikä pelkästään yrityksiä!)

Ministeri Huovinen, entä missä kohtaa lakitekstissä kerrotaan mainitsemasi "tiukat ehdot"?

Entä missä kohtaa urkintaoikeus rajataan sähköpostiin? Urkintaoikeus koskee yhtälailla myös esimerkiksi yhteisötilaajan välittämää puhelinliikennettä, eli esimerkiksi tapauksia, jossa yrityksellä tai yhteisöllä on oma puhelinvaihde.

Muistutan ministeriä vielä siitä, että Suomessa tuomioistuimet noudattavat kirjoitettua lakia. Hallituksen esityksen perustelut tai ministerin lehdistötiedotteet eivät sido päätöksentekoa.

Liikenne- ja viestintäministeriön edellä lainatun kaltainen tiedotus maalaa lakitekstistä eri kuvan kuin itse lakiteksti.

Oikeusministeriön tyrmäys

Oikeusministeriön lainvalmisteluosasto tyrmäsi lakiehdotuksen 13 a § lausunnossaan, jonka tiivistelmä kuuluu kokonaisuudessaan:

Käsiteltävänä oleva ehdotus on erittäin ongelmallinen. Se ei täytä Suomea sitovien kansainvälisten velvoitteiden eikä perusoikeuksien rajoittamista koskevia vaatimuksia sääntelyn hyväksyttävyydestä, tarkkarajaisuudesta ja oikeasuhtaisuudesta sekä oikeusturvatakeista. Ehdotettu sääntely ei täytä oikeusjärjestyksen johdonmukaisuudelle asetettuja vaatimuksia ja säännösten suhdetta muuhun lainsäädäntöön ei ole toteutettu asianmukaisesti. Sääntelyn sijoituspaikka on väärä, jos tarkoituksena on lisätä työnantajan oikeuksia.

Ehdotettuja säännöksiä ei tulisi sisällyttää kevään aikana annettavaan esitykseen. Asia vaatii yksiselitteisen selvästi jatkovalmistelua, jossa tulisi noudattaa yleisiä lainvalmisteluperiaatteita.

Tässä yhteydessä ei voi olla kiinnittämättä huomiota tarpeeseen valtioneuvoston tasolla vakavasti miettiä, miten kolmas kanta, ts. valtio ja valtioneuvoston taso, ovat mukana kolmikantavalmistelussa vastaamassa siitä, että annettavat esitykset täyttävät laadukkaan lainvalmistelun vaatimukset, mitä sekä valtioneuvosto että eduskunta ovat toistuvasti korostaneet.

Lopuksi

On hyvä myös muistaa, mistä tässä ei ole kysymys. Tässä ei ole kysymys esimerkiksi siitä, että työnantaja ei saisi missään tapauksissa lukea työntekijälle lähetettyjä työsähköposteja tai niiden tunnistamistietoja.

Työnantajalla on esimerkiksi tietyissä pakottavissa tapauksissa oikeus lukea työntekijälle lähetettyjä työsähköposteja, jos työntekijä sairastuu tai on lomalla, lain yksityisyyden suojasta työelämässä (6 luku, 18-20 §) säätämällä tavalla. Pääperiaate on, että menettelytavat suunnitellaan alunpitäen järkeviksi ja niistä sovitaan yhdessä työntekijöiden kanssa. Lain 21 §:ssä säädetään työnantajalle velvollisuus käydä työntekijöiden kanssa läpi teknisin menetelmin toteutetun valvonnan ja tietoverkon käytön järjestäminen, suorittaa valvonnan käyttötarkoituksen määrittely ja tiedottaa henkilöstöä valvonnasta sekä sähköpostin ja tietoverkon käyttämisestä.

Ehdotettu urkintapykälä 13 a kuuluu roskakoriin. Jos se jostain syystä haluttaisiin johonkin lakiin kuitenkin sisällyttää, niin oikea paikka työnantajan oikeuksia lisäävälle sääntelylle olisi edellä mainittu tuore laki yksityisyyden suojasta työelämässä.

Tässä on kyse siitä, että ihmisillä on tietty oikeus yksityisyyteen, myös silloin kun viestinnän toinen osapuoli - esimerkiksi sähköpostin lähettäjä tai vastaanottaja - on töissä. Työnantajan määräysvallalla työsuhteessa on rajansa.

Tässä on kyse siitä, että yhteisötilaajalle halutaan antaa oikeus seurata salaa ihmisten henkilökohtaista viestintää.

Jos yritys antaa työntekijälleen henkilökohtaisen viestintämahdollisuuden, niin työterveydenhuoltoon, ammattiyhdistyksen lakimieheen ja jopa kilpailevassa yrityksessä työskentelevään kaveriin pitää voida saada olla yhteydessä ilman pelkoa siitä, että viestintätiedot urkitaan käyttäen verukkeena erilaisia kuviteltuja uhkakuvia.

Ministeri Huovinen on äskettäin niittänyt mainetta myös lapsipornosuodatusaloitteellaan (HE 99/2006 vp) ja roskapostifarssin yhteydessä.

Linkkejä


Tämä dokumentti on Public Domainia.