Electronic Frontier Finland – Effi r.y.
www.effi.org
Helsingissä 30.1.2011
LAUSUNTO
sähköisen viestinnän tietosuojalain 13 a-k §:n seurantaryhmän väliraporttiin 2010
Kiitämme mahdollisuudesta esittää lausuntomme yllä mainittuun raporttiin.
Seurantaryhmän asettaminen kyseisen lainsäädännön sääntelyn toimivuuden
seurantaan ja arvioimiseen on tähdellistä. Haluamme kuitenkin esittää kritiikkiä
seurantaryhmän koostumuksesta – tämä laki syntyi hyvin poikkeuksellisten
olosuhteiden vallitessa ja se herätti lainsäädännön yhteydessä voimakasta
vastustusta sekä lainoppineiden että kansalaisten piirissä. Tätä taustaa vastaan hyvä
hallintokulttuuri olisi edellyttänyt myös lakiin kielteisesti suhtautuvien tahojen
kutsumista mukaan seurantaryhmään. Seurantaryhmän nykyisessä kokoonpanossa
ovat kaikki lainsäädäntöhanketta ajaneet korporaatiot edustettuina, mutta lakiin
epäilevästi suhtautuneet tahot loistavat poissaolollaan. Seurantaryhmän kokouksissa
mainittuja tahoja ei ole myöskään kuultu.
1. Yleistä
Lex Nokiaksi kutsutun lakiesityksen yhteydessä käydyssä julkisessa keskustelussa
sekä Effi että tietosuojavaltuutettu esittivät että koko lakiuudistus on turha, sillä
lain suomia oikeuksia ei tarvittaisi, jos yritykset toteuttaisivat jo olemassa olevia
laillisia menetelmiä. Lakiuudistusta ajavat tahot osaltaan katsoivat jopa että laki
on välttämätön jos maassamme halutaan turvata vientiteollisuutemme
tulevaisuus. Yleisellä tasolla voitaneen katsoa että lakia vastustavat tahot olivat
kohtalaisen oikeassa näkökannoissaan. Selkeä viittaus tähän tosiasiaan on se,
ettei tähän päivään mennessä yksikään suomalainen yritys tai yhteisötilaaja ole
tarttunut lakiuudistuksen suomiin mahdollisuuksiin.
Lakiuudistuksen lainsäädäntömenettelyyn, jossa Eduskunnan
perustuslakivaliokunnan kuulemat oikeustieteen asiantuntijat pitävät hallituksen
esitystä sähköisen viestinnän tietosuojalain muuttamiseksi perustuslain
vastaisena, ei ole tässä yhteydessä tarpeen kommentoida.
Sen sijaan katsomme, että vallitsevassa tilanteessa, jossa on säädetty ilmeisen
tarpeeton ja lainopillisesti kyseenalainen laki, tulisi vakavasti harkita koko
kyseisen lakiuudistuksen kumoamista tai peruuttamista. Tarpeettoman lain
säätäminen tai ylläpitäminen ei ole hyvän lainsäädäntötavan mukaista.
Emme yhdy työryhmän näkemykseen, että tarkasteltavat lain säännökset ovat
raporttia kirjoitettaessa olleet sen verran lyhyen ajan voimassa ettei kyseisen
lain tarpeellisuutta voisi tarkastella. Laki on nyt jo ollut voimassa 20 kuukauden
ajan, eikä yksikään yritys tai yhteisötilaaja ole tarttunut lain sallimiin keinoihin
yrityssalaisuuksien turvaamiseksi.
2. Sääntelyn toimivuus
Seurantaryhmä on pitänyt olennaisena selvittää, mikseivät yhteisötilaajat ole
ottaneet säännösten mukaisia uusia menetelmiä käyttöön. Yhdymme tähän
näkökohtaan, mutta pidämme selvitystä tältä osin puutteellisena.
Seurantaryhmä arvioi, ettei ole olemassa yksittäistä muita selvempää syytä
siihen, ettei tunnistamistietojen käsittelyyn lain 13 a – k §:ien mahdollistamalla
tavalla ole ryhdytty. Seurantaryhmä tosin viittaa tarkastelunsa loppupuolella
siihen, että ”lain edellyttämien huolehtimisvelvoitteiden hoitaminen aiheuttaa
yhteisötilaajalle kustannuksia”. Raportin yhteenvedossa viitataan
”tunnistamistietojen käsittelyyn liittyviin kustannuksiin”, vaikka tunnistetietojen
käsittely tuskin vaatii mainittavia resursseja, mutta laiminlyöty
huolehtimisvelvollisuus kylläkin.
Koko lainuudistuksen lähtökohtana on tämä huolehtimisvelvollisuus
väärinkäytöstapauksissa, eli ennen tunnistamistietojen käsittelyn aloittamista on
”ryhdyttävä muihin toimenpiteisiin viestintäverkkonsa ja viestintäpalvelunsa
käytön suojaamiseksi asianmukaisin tietoturvallisuustoimenpitein”. Tästä
koituvat kustannukset lienee yrityssalaisuuksiaan varjelevien yritysten kuitenkin
suoritettava. Ajatus siitä, että tunnistamistietojen urkkimiseen voisi ryhtyä
vaikka esim. muistitikkujen käyttöä ei estetä tai valvota, sallimalla sosiaalisten
medioiden käyttämistä työajalla ja ulkopuolisten sähköpostipalvelujen käyttöä,
yms. on häkellyttävä. Tällainen olisi räikeässä ristiriidassa lain tarkoituksen
kansa ja tekisi tunnistamistietojen käsittelystä täysin turhan toimenpiteen
yrityssalaisuuksien varjelemisen kannalta.
Lainsäädäntöä edelsivät samankaltaiset ja samojen tahojen tekemät
mielipidetiedustelut, joihin seurantaryhmä nyt nojautuu pohtiessaan sääntelyn
toimivuutta. Näihin samankaltaisiin tiedusteluihin viitattiin hallituksen
esityksessä ja julkisessa keskustelussa lainuudistuksen yhteydessä. Rohkenemme
väittää, että tehdyt mielipidetiedustelut ennen lainsäädäntöä olivat
harhaanjohtavia, eikä löydy perusteltua syytä luottaa niihin tässäkään
yhteydessä.
3. Internetin ja sähköpostin käytön valvonnan kartoitus
Raportin mukaan Liikenne- ja viestintäministeriö toteutti syksyllä 2010
yhteisötilaajille suunnatun kyselyn Internetin ja sähköpostin käytön valvonnasta.
Tässä kyselyssä ilmeisesti ei yksikään vastaaja viitannut vastauksessaan
huolehtimisvelvollisuusedellytykseen? Voidaan myös epäillä tämän tutkimuksen
validiteettia ja reliabiliteettia kun vastaajista 41,7 % piti uusia säännöksiä
tarpeellisina. Reaalimaailmassa yksikään suomalainen yhteisötilaaja ei ole
katsonut uusia säännöksiä sen verran tarpeellisiksi, että olisi ottanut uudet
menetelmät käyttöönsä.
4. Valvontamaksut ja tarkastustoiminta
Raportissa viitataan tietosuojavaltuutetun valvonta- ja ohjaustehtäviin
lakiuudistuksen myötä. Maksuja ilmeisesti ei ole lainkaan peritty tämän tehtävän
suorittamisesta. Olisi suotavaa, että seurantaryhmä kuitenkin tarkastelisi
lakiuudistuksen yhteiskunnallisia kustannuksia.
Lakiuudistuksen lainsäännön yhteydessä arvioitiin lakiuudistuksen tuovan
tietosuojavaltuutetun toimistolle vuosittain kustannuksia noin 260 000 euroa, ja
lain johdosta kerrottiin julkisuudessa että toimiston henkilökuntaa onkin lisätty
tämän takia kahdella henkilöllä. Mitkä ovat kokonaiskustannukset nyt, kun on
osoittautunut ettei valvontatoimen tulopuolella ole yhtäkään maksua?
5. Lakiuudistuksen lieveilmiöitä
Liikenne- ja viestintäministeriön kyselyn vastaajista neljä, eli lähes 10 %
vastaajista, ilmoitti ottaneensa väärinkäytösten selvittämiseen liittyvät uudet
säännökset käyttöön.
Tämä kiinnittää huomion lakiuudistuksen lieveilmiöön. Olisi suotavaa tutkia sitä,
kuinka paljon tunnistamistietoja käsitellään yhteisötilaajien keskuudessa, ja
onko käyttö laajentunut lakiuudistuksen myötä. On mahdollista ja peräti
otaksuttavaa, että käyttö on lisääntynyt – perustuslain säädöksen rikkominen on
luultavasti ollut korkeampi kynnys ylittää kuin vain ilmoitusvelvollisuuden
laiminlyönti? Seurantaryhmän jatkotyöskentelyssä toivomme, että myös tätä
asiaa tutkitaan.
Electronic Frontier Finland – EFFI r.y.
psta
Mikael Storsjö
hallituksen jäsen