Tunnistamistiedoista äärikeino suojautua tietovuodoilta

Työnantajille halutaan antaa tietyissä, tarkoin rajatuissa tapauksissa mahdollisuus käsitellä yrityksen koneelta lähetettyjen sähköpostien sekä verkkoliikenteen tunnistamistietoja. Tietoja voisi käyttää, kun on syytä vakavasti epäillä keskeisten yrityssalaisuuksien vuotamista tai merkittävän haitan aiheuttamista yritykselle.

Hallitus esitti sähköisen viestinnän tietosuojalain täydentämistä torstaina 24. huhtikuuta. Lakimuutos tukee hallituksen tavoitetta edistää yritysten luottamusta arjen tietoyhteiskunnan palveluihin. Lainsäädännöllä halutaan varmistaa yritysten toimintaedellytykset kaikissa oloissa mm. kehittämällä yrityssalaisuuksien suojaa

Nyt annettu esitys täsmentää syyskuussa 2004 voimaan tullutta tietosuojalakia, jossa viestinnän luottamuksellisuutta koskevat velvoitteet ulotettiin koskemaan myös tavallisia yrityksiä. Lain seurannassa on havaittu ongelmia väärinkäytössäännöksen käytännön soveltamisessa.

Muutosten valmistelussa on kiinnitetty erityistä huomiota perusoikeuksien tasapainoiseen toteutumiseen. Keskeisinä elementteinä ovat olleet säännösten tarkkarajaisuus, hyväksyttävyys ja suhteellisuus. Myös oikeusturvakeinojen on oltava kattavat ja toteuttamiskelpoiset.

Lakiesityksen mukaan yritysten tulisi pyrkiä suojaamaan viestintäverkkonsa ja -palvelunsa sekä yrityssalaisuutensa ensisijaisesti tietoturvan keinoin ja käyttäjille annettavilla ohjeilla. Tunnistamistietojen käsittely olisi vasta viimesijainen keino.

Tunnistamistietoja ovat esimerkiksi tieto viestin lähettäjästä ja vastaanottajasta, yhteyden kestosta, reitityksestä, ajankohdasta ja siirretyn tiedon määrästä.

Näiden tietojen käsitteleminen olisi sallittua, jos viestintäverkkojen luvaton tai viestintäpalveluiden ohjeiden vastainen käyttö aiheuttaa työnantajalle merkittävää haittaa tai vahinkoa, tai paljastaa ulkopuolisille elinkeinotoiminnan kannalta keskeisiä yrityssalaisuuksia. Työnantajalla ei kuitenkaan olisi oikeutta avata viestejä.

Tunnistamistietojen käsittelyn perusteita tulisi ehdotuksen mukaan käsitellä avoimesti työpaikoilla ja niistä pitäisi tiedottaa työntekijöille yhteistoimintamenettelyssä. Käyttäjälle, jonka tietoja on käsitelty, tulisi aina ilmoittaa käsittelystä ja sen perusteista. Toimintaa valvoisi tietosuojavaltuutettu.

Viestintäministeri Suvi Lindén korostaa, että tunnistamistietojen käsittely on lakiesityksessä rajattu tiukasti.

- Kyseessä on äärimmäinen keino, johon kuitenkin on annettava mahdollisuus merkittävien liiketoiminnan tappioiden ehkäisemiseksi. Säännöksen soveltamisen kynnys on nostettu tarkoituksella hyvin korkealle. Toimintaa myös valvottaisiin tarkasti, Lindén selvittää.

Yritykset voivat jo nyt käyttää ja käyttävät järjestelmiä, jotka muun muassa pitävät kirjaa siitä, kuka on muokannut, tallentanut, tulostanut ja siirtänyt mitäkin tietoa. Esimerkiksi muistitikulle kopioidusta tiedostosta saadaan tietää kopion tekijä ja ajankohta.

Sen sijaan sähköisen viestinnän avulla tehtyjä tietovuotoja ei yrityksillä ole nykyisellään mahdollisuutta selvittää. Yrityksistä voidaan siirtää sähköpostitse suuria tietomääriä vaivatta ja huomiota herättämättä.

Lakiesitykseen sisältyy myös muita tietoturvallisuutta koskevia muutoksia, joilla parannettaisiin mahdollisuutta huolehtia viestintäverkkojen ja -palvelujen tietoturvasta. Voimassa olevan lain tietoturvasäännökset eivät vastaa nykyisiä tarpeita roskapostin ja haitallisten viestien automaattiseksi suodattamiseksi eivätkä hyökkäysten ja muiden uhkien selvittämiseksi ja torjumiseksi.

Liikenne- ja viestintäministeriö on valmistellut sähköisen viestinnän tietosuojalain muutosesitystä laajapohjaisessa yhteistyössä oikeusministeriön, työ- ja elinkeinoministeriön, sisäasiainministeriön, valtiovarainministeriön sekä työmarkkinakeskusjärjestöjen kanssa. Esitystä tukevat kaikki työmarkkinakeskusjärjestöt.

Lisätietoja:

viestintäministerin erityisavustaja Aleksi Randell, puh. (09) 160 28324, 0400 500 822
viestintäneuvos Juhapekka Ristola, puh. (09) 160 28348,
0400 788 530
neuvotteleva virkamies Sanna Helopuro, puh. (09) 160 28464, 0400 515 548