Tulostettava versio

Sähköisen viestinnän tietosuojalakia täydennetään. Paljon porua aiheuttanut, Lex Nokianakin tunnettu lain muutos tulee voimaan kesäkuun alussa.

Sähköisen viestinnän tietosuojalain uudistus on herättänyt voimakkaita tunteita sen valmistelusta lähtien.

Lakimuutoksen on muun muassa nähty kaventavan yksityisen henkilön perustuslaillista yksityisyyden suojaa ja antavan työnantajille jopa viranomaisia laajemmat toimivaltuudet. Liikenne- ja viestintäministeriön mukaan lakimuutoksella tunnistamistietojen käyttömahdollisuutta kuitenkin jopa rajataan ja tiukennetaan entiseen verrattuna.

Ainakin osa lakiin liittyvistä peloista on ylimitoitettuja tai jopa turhia.

Laki ei yleisestä harhaluulosta huolimatta anna työnantajalle tai yliopistolle oikeutta tarkkailla yksittäisen käyttäjän verkkoliikennettä, eikä esimerkiksi eri nettisivustoilla vietettyä aikaa. Työnantaja ei lakiuudistuksen jälkeenkään saa mennä avaamaan työntekijän sähköpostiviestejä omin päin.

Lain muutoksen tärkein tarkoitus on yrityssalaisuuksien suojan vahvistaminen. Lisäksi muutoksella pyritään estämään tietoverkon luvaton ja ohjeen vastainen käyttö sekä parantamaan tietoturvaa.

Yrityssalaisuuden paljastaminen

Lain tultua voimaan yhteisötilaaja saa käsitellä tunnistamistietoja omissa järjestelmissään selvittääkseen, paljastaako joku elinkeinotoiminnan kannalta keskeisiä yrityssalaisuuksia.

Keskeisiä yrityssalaisuuksia voivat olla muun muassa yrityksen toiminnan kannalta merkittävät teknologisen kehittämistoiminnan tulokset. Valvonnan kohteena voivat olla vain sähköpostiviestien tunnistamistiedot, eivät esimerkiksi matkapuhelinverkon puhelinpalvelujen tunnistamistiedot.

Ongelmallista on, miten määritellä keskeiset yrityssalaisuudet ja miten voidaan päätellä kyseisen tiedon paljastuminen. Esimerkiksi liitetiedoston koko ei kerro välttämättä mitään paljastetun tiedon luonteesta, sillä elinkeinotoiminnan kannalta merkittävä yrityssalaisuus voi olla kooltaan pieni.

Lakimuutosta on kritisoitu myös siitä, ettei se olennaisesti paranna yrityssalaisuuden suojaa: harva yritysvakoilija on niin yksinkertainen ja hölmö, että lähettää yrityssalaisuuksia omasta työsähköpostistaan suoraan työnantajan kilpailijalle.

Jos työntekijä sen sijaan lähettää sähköpostia omaan kotiosoitteeseensa, ei siitä vielä voida päätellä yrityssalaisuuden paljastamista, sillä paljastaminen edellyttää rikoslain mukaan tiedon ilmaisemista jollekin toiselle.

Luvaton tai ohjeen vastainen käyttö

Tietoverkon luvatonta tai ohjeiden vastaista käyttöä on muun muassa verkkoon oikeudetta asetettu laite tai palvelu, verkon käyttö muuhun kuin yhteisötilaajan tarkoituksiin sekä maksullisiin palveluihin pääsyn avaaminen muille kuin siihen oikeutetuille.

Esimerkiksi elokuvien laiton jakaminen tai oman palvelun ylläpitäminen toisen verkossa on luvatonta käyttöä. Lisäksi aina edellytetään merkittävän vahingon tai haitan aiheutumista, eikä pelkkä vahingon aiheutumisen mahdollisuus vielä oikeuta tietojen käsittelyä.

Ennen tunnistamistietojen käsittelyä

Tunnistamistietojen käsittely on ylipäätään mahdollista vain, jos tietoturvasta on muilta osin asianmukaisesti huolehdittu.

Ennen tietojen käsittelyn aloittamista yhteisötilaajan on ensisijaisesti suojattava viestintäverkkonsa sekä yrityssalaisuutensa tietoturvatoimenpitein ja käyttäjille annettavilla ohjeilla. Ohjeissa tulisi muun muassa mainita, millaisia viestejä verkon kautta saa hakea ja välittää sekä miten yrityssalaisuuksia saa verkossa siirtää tai muutoin käsitellä.

Tunnistamistietojen käsittelyn perusteita tulee käsitellä avoimesti ja niistä pitää tiedottaa käyttäjille. Työpaikoilla asiaa on käsiteltävä yhteistoimintamenettelyssä. Lisäksi on määriteltävä, millaisissa tehtävissä toimivat henkilöt voivat tunnistamistietoja käsitellä.

Tunnistamistietojen käsittely

Tunnistamistietoja käsitellään ensisijaisesti automaattisella hakutoiminnolla, jolla voi valvoa viestien kokoa, tyyppiä, määrää, yhteystapaa tai kohdeosoitteita. Automaattisessa seurannassa tunnistamistiedot eivät tule kenenkään henkilön nähtäväksi.

Tunnistamistietojen manuaalinen käsittelyoikeus on vain väärinkäytösten selvittämisen kannalta välttämättömiin tietoihin. Oikeus voi syntyä vain silloin, kun
• automaattisessa hakutoiminnossa on poikkeama
• kustannukset ovat nousseet epätavallisen korkeiksi
• havaitaan oikeudetta asennettu laite tms.
• yrityssalaisuus julkaistaan
• tai on muu edellä mainittuihin syihin rinnastuva syy epäillä väärinkäyttöä.

Mikäli väärinkäytös ilmenee tunnistamistietojen käsittelyn jälkeen, yhteisötilaaja voi tehdä asiasta tutkintapyynnön poliisille. Vain poliisilla on tarvittaessa oikeus viestien sisällön selvittämiseen.

Mikäli tietoja on käsitelty manuaalisesti, siitä pitää aina ilmoittaa kirjallisesti käyttäjälle. Lisäksi tulee mainita käsittelyn peruste.

Työnantajan on vuosittain annettava manuaalisista käsittelyistä selvitykset myös henkilöstön edustajille sekä tietosuojavaltuutetulle.

Yhteisötilaaja on yritys tai yhteisö, jolla on oma sähköpostipalvelin.

Tunnistamistiedot ovat tietoja viestin lähettäjästä ja vastaanottajasta sekä siirrettävän tiedon määrästä. Ne rinnastetaan usein perinteisen kirjeen osoite- ja postileimatietoihin.