Lex Nokiasta tuli totta
Petteri Järvinen
Lex Nokiasta tuli totta
Kovasta kritiikistä huolimatta eduskunta hyväksyi sähköisen viestinnän tietosuojalain uudistuksen, joka tulee voimaan kesäkuun alusssa. ”Lex Nokia” ei tee kuitenkaan urkinnasta niin sallittua kuin sen kriitikot väittävät.
Sähköisen viestinnän tietosuojalain ensimmäinen lempinimi oli Lex Sonera. Nimen taustalla oli syksyllä 2002 paljastanut Soneran teleurkintajupakka, jonka vuoksi uusi laki haluttiin säätää. Oli nimittäin käynyt ilmi, että Sonera oli tietovuotajaa etsiessään seurannut työntekijöidensä sähköposteja ja urkkinut jopa toimittajien puhelutietoja.
Uudella lailla haluttiin turvata viestinnän tunnistetietojen käsittely, mutta samalla antaa yritykselle oikeus esimerkiksi roskapostien ja virusviestien poistamiseen sähköpostipalvelimeltaan. Samassa yhteydessä viestinnän paikkatiedot ja nettisurffailun lokitiedot määriteltiin ensi kertaa luottamuksellisiksi.
Laissa otettiin käyttöön myös yhteisötilaajan käsite. Yritys, taloyhtiö, kirjasto tai muu taho, jolla on oma viestintäverkko ja joka käsittelee siinä luottamuksellisia sähköpostin ja nettisurffailun tunnistetietoja, on käyttäjilleen eräänlainen mini-operaattori, jolla on samankaltaiset vastuut ja velvollisuudet kuin oikealla teleoperaattorillakin.
Yhteisötilaajan määrittelemisellä haluttiin siirtää vastuuta tietosuojasta alaspäin sinne, missä tiedot todellisuudessa syntyvät ja missä niitä käsitellään. Näin viestinnän luottamuksellisuus paranisi.
Lex Sonera tuli voimaan syksyllä 2004, eikä se herättänyt mitään julkista keskustelua.
Vanhaa lakia paikkaamassa
Pian uuden lain voimaantulon jälkeen kävi kuitenkin ilmi, että laissa oli ongelmia. Verkon vika- ja väärinkäyttötilanteisiin liittyvä pykälä 13 sisälsi vain yhden lauseen, jonka tulkintaa kukaan ei halunnut lähteä testaamaan oikeuteen.
Liikenne- ja viestintäministeriö esitti lain muuttamista elokuussa 2006 siten, että siihen lisättäisiin teknologiayritysten toivoma oikeus valvoa yrityssalaisuuksiensa vuotamista sähköpostin tunnistetietojen perusteella.
Ehdotuksesta nousi iso kohu, minkä jälkeen silloinen liikenne- ja viestintäministeri Susanna Huovinen pyysi oikeuskanslerilta lausunnon asiasta. Lausunnossa katsottiin, että lainmuutos huomioisi liikaa yritysten etuja luottamuksellisen viestinnän perusoikeuden kustannuksella.
Laki palautui takaisin ministeriöön, jonka työryhmä julkisti uuden version kesällä 2007. Siitä pyydettiin lausuntoja eri tahoilta ja lopullinen hallituksen esitys lain muuttamisesta valmistui keväällä 2008.
Eduskunnan perustuslakivaliokunta kuuli alan professoreita, joiden mielestä laki kavensi kansalaisten perusoikeuksia. Valiokunta esitti korjauksia lakiin, mutta päätti silti yksimielisesti, että se voidaan hyväksyä tavallisessa lainsäätämisjärjestyksessä.
Myös viestintävaliokunta kuuli asiantuntijoita, joiden lausuntojen pohjalta se tarkensi eräitä lain pykäliä. Viestintävaliokunta ei kuitenkaan enää ollut yksimielinen: pöytäkirjaan merkittiin sosiaalidemokraattien, vihreiden ja vasemmistoliiton edustajien vastalauseet.
Media oli alusta lähtien kritisoinut uutta lakia, eikä mikään yritys halunnut puolustaa sitä julkisesti. Yritysten kanta tuli esille käytännössä vain Elinkeinoelämän keskusliiton, EK:n kautta.
Pian netissä alkoi liikkua tietoja, joiden mukaan laki antaisi yhteisötilaajille oikeuden lukea sähköposteja ja seurata muutakin viestintää epäillessään hallinnoimansa verkon ohjeiden vastaista käyttöä. Syntyi jopa ”Pysäyttäkää Lex Nokia” -kansanliike, joka tuotti talkootyönä kolme lakia vastustavaa tv-mainosta.
Todellinen mediamyrsky nousi, kun Helsingin Sanomat kertoi 1.2.2009 nimettömiin lähteisiin viitaten, että lakimuutoksen takana oli Nokia. Lehden mukaan yhtiö oli uhannut lähteä Suomesta, ellei lakia saataisi aikaan.
Mitään todisteita painostuksesta ei koskaan esitetty.
Muutos 1: yrityssalaisuudet
Lex Nokia tuo aiempaan sähköisen viestinnän tietosuojalakiin kaksi keskeistä muutosta. Muutokset käsitellään lain 13. pykälässä, jota on laajennettu peräti 10 alakohdaksi.
Ensimmäinen muutos sallii työantajan rakentaa järjestelmän, joka seuraa automaattisesti omasta postipalvelimesta ulos lähtevien sähköpostien tunnistetietoja. Jos tunnistetiedoissa havaitaan ”poikkeamia”, tiedot voidaan ottaa manuaaliseen tarkasteluun.
Jos manuaalisen tarkastelun perusteella on syytä epäillä keskeisten yrityssalaisuuksien vuotamista, yritys voi halutessaan tehdä asiasta tutkintapyynnön poliisille ja luovuttaa siihen mennessä keräämänsä tunnistetiedot esitutkinnan tueksi.
Työnantaja ei saa missään olosuhteissa lukea viestien sisältöä, ja web-sähköpostit, kuten Gmail ja Hotmail, ovat edelleen kaiken työnantajan seurannan ulkopuolella.
Tunnistetietojen seurannan aloittaminen edellyttää etukäteisilmoitusta tietosuojavaltuutetun toimistolle. Lisäksi edellytetään, että tietoturva on ensin varmistettu muilla tavoilla. Seuranta on vasta viimeinen keino.
Asia on myös käsiteltävä työpaikalla yt-menettelyn mukaisesti. Työntekijälle, jonka tunnistetietoja tutkitaan, on ilmoitettava asiasta jälkikäteen.
Tämä lainkohta herätti eniten kritiikkiä, koska siinä ensi kertaa lievennetään sähköpostin luottamuksellisuuden suojaa. Taustalla on ajatus, että tunnistetiedot eivät ole salaisuuden ydinaluetta – ovathan perinteisen kirjepostinkin lähettäjä- ja vastaanottajatiedot työpaikalla kaikkien nähtävillä. Vain kirjeiden sisältö on suojattu.
Muutos 2: väärinkäytösvalvonta
Lex Nokian myötä tuleva toinen iso muutos selventää toimintaa tilanteissa, joissa verkossa havaitaan haittaohjelmia, luvatta asennettuja palvelimia tai muuta verkon omistajan ohjeiden vastaista käyttöä.
Lakimuutos antaa yhteisötilaajan edustajalle tällaisissa tapauksissa oikeuden selvittää, mistä esimerkiksi haittaohjelman lähettämä roskapostivyöry tai työasemaan perustettu www-palvelin on peräisin.
Oikeuden käyttäminen edellyttää, että ylläpito on etukäteen laatinut selkeät ohjeet siitä, miten verkkoa saa käyttää. Tällöinkään tunnistetietoja ei saa tutkia kuin vasta viimeisenä selvityskeinona, ja myös tästä toiminnasta on tehtävä etukäteisilmoitus tietosuojavaltuutetun toimistoon.
Mikä tahansa kiellon rikkominen ei anna oikeutta selvitysten tekemiseen. Teon on oltava sellainen, joka aiheuttaa todennäköisesti ”merkittävää haittaa”. Esimerkiksi laiton kopiointi ei täytä tätä ehtoa.
Toisaalta jos esimerkiksi kopiointitoiminta on niin laajaa, että se tukkii koko verkon ja haittaa kaikkia muita käyttäjiä, tunnistetietojen tutkimisen kynnys voi ylittyä.
Tietosuojavaltuutetulle tehtävien ilmoitusten hinnat selviävät kesään mennessä. Julkisuudessa esiintyneet arviot yli tuhannesta eurosta ovat kuitenkin liioiteltuja. Käytännössä maksujen on oltava kustannusvastaavia.
Verkon väärinkäytösvalvonta on tarkoitettu ensi sijassa yrityksille, mutta se soveltuu myös kouluille. Sitä voidaan todennäköisesti soveltaa myös joukolle taloyhtiöitä, joilla on itse rakennettu ja omin voimin ylläpidetty laajakaistaverkko.
Lehdistön lähdesuoja säilyy
Uudessa sähköisen viestinnän tietosuojalaissa on lisäksi koko joukko pienempiä muutoksia. Esimerkiksi viestiliikenteestä saa kerätä tilastoja, joita voi hyödyntää operaattoreita kilpailutettaessa. Tilastojen on oltava sellaisia, ettei niistä voi yksilöidä henkilöitä.
Merkittävä asia on myös lain 20. pykälän uudistaminen. Se sallii jatkossa roskapostisuodatuksen ilman käyttäjiltä saatua suostumusta, sekä epäiltyjen tietojen kalastelujen selvittelyn.
Toimittajien lähdesuoja on erikseen rajattu lain ulkopuolelle. Vaikka yrityssalaisuuksia vuodettaisiin lehdistölle, siihen ei saa tämän lain nojalla puuttua. Toisaalta kaikenkokoisten yrityssalaisuuksien vuotaminen on jo kielletty rikoslaissa.
Kuka valvoo valvojia?
Tietotekniikkaa on vaikea säädellä lailla. Joka tapauksessa pykälien on oltava riittävän väljiä, jotta ne eivät kaadu tai muutu merkityksettömiksi liian nopeasti tekniikan kehittyessä.
Moni nettikäyttäjä on lukenut Lex Nokian tekstiä turhankin kirjaimellisesti ja ollut huolissaan sen väljistä sanamuodoista. Suomalaisessa oikeusistuimessa lakeja ei kuitenkaan tulkita yksittäisten sanojen vaan kokonaisuuden varassa.
Suurin kysymysmerkki liittyy toimijoiden omaan moraaliin. Helposti syntyy tilanteita, joissa haluttaisiin katsoa enemmän kuin laki sallii. Myös ”todennäköisesti merkittävän haitan” määrittely tulee varmasti olemaan hankalaa ja tulkinnanvaraista.
Tunnistetiedot ovat joka tapauksessa olemassa. Mikään laki ei voi niiden urkkimista estää, eikä urkinnasta yleensä jää edes jälkiä. Laki tehoaa vain niihin, jotka haluavat noudattaa sitä.
Lex Nokian lyhyt historia
1.9.2004 Sähköisen viestinnän tietosuojalaki (”Lex Sonera”) tulee voimaan.
15.8.2006 Tiedot valmisteilla olevasta sähköisen viestinnän tietosuojalain muutoksesta vuotavat julkisuuteen ja niistä käynnistyy vilkas julkinen keskustelu.
21.9.2006 Oikeuskansleri pitää lakia puutteellisesti valmisteltuna ja ongelmallisena yksityisyyden kannalta. Laki palautetaan uuteen valmisteluun.
5.6.2007 Työryhmä jättää uuden ehdotuksen ministeri Suvi Lindénille. Siitä pyydetään lausuntoja, joiden perusteella ehdotusta täsmennetään.
25.4.2008 Lopullinen hallituksen esitys (HE 48/2008) annetaan eduskunnan käsiteltäväksi. Laki saa lempinimen Lex Nokia.
1.2.2009 Helsingin Sanomat kertoo, että Nokia on uhannut lähteä maasta, ellei lakia saada aikaan.
2.–4.2.2009 Urkintalain vastaiset tv-mainokset esitetään MTV3-kanavalla.
24.2.2009 Eduskunta keskustelee laista televisioidussa lähetyksessä.
25.2.2009 Lain sisältö lyödään lukkoon, muutosehdotukset kaatuvat äänestyksissä.
4.3.2009 Lex Nokia hyväksytään äänin 96-56. Kaksi hallituspuolue Vihreiden edustajaa äänestää lakia vastaan.
13.3.2009 Presidentti Tarja Halonen allekirjoittaa lain viime hetken kukkamyrsky-kampanjasta huolimatta.
1.6.2009 Sähköisen viestinnän tietosuojalain muutos astuu voimaan.
