Tietosuojavaltuutettu jyrähti: Lex Nokia -valvontaa tulee varmuudella
0
Oikeusministeri Tuija Brax ja tietosuojavaltuutettu Reijo Aarnio (taustalla oikealla) ilmoittivat, miten uuden tietosuojalain noudattamista valvotaan.
Oikeusministeri Tuija Brax (vihr) on vahvistanut asetuksen, joka määrittelee Lex Nokiana tunnettu Sähköisen viestinnän tietosuojalain maksut. Laki ja sen maksuasetus tulevat voimaan ensi viikon alusta lukien. Tietosuojavaltuutettu Reijo Aarnio painotti ministeriön tilaisuudessa, että tarkastuksista yrityksiin pidetään kiinni.
Asetus velvoittaa yhteisötilaajat maksamaan viranomaisille kiinteää vuosittaista maksua sekä erillismaksua kustakin ilmoituksesta. Ja mikäli ilmoituksista seuraa tarkastuskäyntejä, näistä tulee maksaa kustakin työtunnista.
Ilmoituksista jopa tuhansien eurojen vuosikulut
Ilmoituksien maksut vaihtelevat yhteisötilaajien koon mukaan. Vuosiyhteenvedosta tulee maksaa runsaasta 500 eurosta 854 euroon. Ennakkoilmoitukset taas ovat hinnoiltaan runsaasta 600 eurosta liki kahteen tunteen euroon ilmoitusta kohti.
Tarkastusten edellyttämän työn hinta on 104 euroa per tunti ja tämä tulee auditoinnin kohteeksi joutuvan yrityksen tai yhteisön maksettavaksi. Kokonaiskustannukset yhdestä tapauksesta ovat näin yli tuhat euroa vuodessa.
Ministeri Braxin mukaan maksujen pohjana on maksuperustelaki, eikä ministeriöllä ole ollut asiassa harkintavaltaa.
Ministeriössä korostetaan ilmoitusten vastaanoton olevan aktiivista toimintaa. Esimerkiksi toimialasta riippuen ilmoitukseen liitettävä yrityksen tietoturvapolitiikka voi olla niin laaja, että sen läpikäynti vie yhden työpäivän verran. Oikeusministeriö kieltäytyy toimimasta vain "postikonttorina".
Aarnio: "varmuudella tarkastuksia"
Sähköisen viestinnän tietosuojalain on arvioitu tuovan tietosuojavaltuutetun toimistolle vuosittain kustannuksia noin 260 000 euroa. Toimiston henkilökuntaa onkin lisätty tämän takia kahdella henkilöllä.
Tietosuojavaltuutettu Reijo Aarnio ei osannut vielä torstaina arvioida tulevien ilmoitusten määrää, mutta uskaltaa ennustaa että jo nyt voimaan tulevan asetuksen voimassaoloaikana tullaan "varmasti" tekemään tarkastuskäyntejä.
"Jos yritys on organisoinut toimintansa siten, että sen toiminta auditoinnin johdosta pysähtyy, se on varmaan syytäkin auditoida", Aarnio kommentoi tarkastuskäyntien vaikutuksista liiketoiminnan mahdollisiin häiriöihin.
Aarnio näkee taannoisen toimivaltakeskustelun perusteltuna ja on tyytyväinen lopputulokseen. Hänen mukaansa uuden lain myötä tuleva verkkoylläpidon kehittyminen ammattimaisempaan suuntaan on tervetullutta kehitystä.
Samoin lain myötä seuraava firmojen ja yhdistysten johdon sitoutuminen tietoturvallisuustyöhön on Aarnion mielestä erinomainen asia. Jatkossa tietoturva-asioita ei voi enää nähdä pelkästään it-osaston asiana.
Tulkintaohjeet jo perjantaina
Uusi tietosuojalaki ei kuitenkaan tarkoita, että jokaisesta teknisestä ylläpitotoimenpiteestä tulee tehdä erikseen maksullinen ilmoitus
tietosuojavaltuutetulle. Esimerkkinä verkkoliikenteen analysointi yhteisötilaajan verkon tukkeuduttua elokuvien lataamisesta laittomista vertaisverkoista tai luvattomasta palvelimen pitämisestä ei tuo ylläpitäjille ilmoitusvelvollisuutta.
Brax ja Aarnio viittasivat useaan otteeseen myös siihen, että yhteisötilaajien on halutessaan mahdollista jättää lain kattamat toimenpiteet ja tästä aiheutuvat ilmoitusvelvollisuudet tekemättä. Toistaiseksi ainoastaan yliopistot ovat selkeästi ilmoittaneet ottavansa lain suomat mahdollisuudet käyttöönsä.
Tietosuojavaltuutettu julkaisee lähiaikoina käytännön ohjeet, joiden mukaan yhteisöverkkojen ylläpitäjien on jatkossa toimittava.
