13.8.2007
Hallituksen esitys Eduskunnalle laiksi sähköisen viestinnän
tietosuojalain muuttamisesta
Yleistä
Nykyinen sähköisen viestinnän tietosuojalaki (516/2004) toi
mukanaan uusia sähköisessä viestinnän tietosuojan toteuttamisessa
huomioon otettavia seikkoja. Muutokset ovat vaikuttaneet useimpien
organisaatioiden informaatioteknologian käyttöön ja
tietoturvahenkilöstön toimintatapoihin ja edellyttäneet uudenlaista
ohjeistusta.
Kuten lausunnolla olevasta esityksestä havaitaan, puuttuu
voimassa olevasta laista kuitenkin useita keskeisiä asioita
samalla, kun sähköisen viestinnän tietoturvauhat ovat muuttuneet jo
lain lyhyen voimassaolon aikana. Käsillä oleva esitys sekä paikkaa
sääntelyn aukkoja että sisältää kaivattuja tarkennuksia
toimintatapoihin.
Lakiesitykseen keskeinen sisältö koskee yhteisötilaajien
toiminnassa tapahtuvaan tunnistamistietojen käsittelyyn liittyvien
säännösten tarkentamista teknistä kehittämistä, luvattoman käytön
havaitsemista ja lopettamista sekä yrityssalaisuuden paljastamisen
selvittämistä varten. Tilastollista analyysiä ja tietoturvasta
huolehtimista käsittelevät säännökset koskevat myös teleyrityksiä
ja lisäarvopalvelujen tarjoajia. Koska Sosiaali- ja terveysalan
tutkimus- ja kehittämiskeskus Stakes kuuluu yhteisötilaajiin,
lausunto tarkastelee esitystä lähinnä yhteisötilaajan
näkökulmasta.
Esityksen mukaan tunnistamistietojen käsittelyn edellytykset
riippuvat siitä, mitä tarkoitusta varten tietoja on tarpeen
käsitellä. Käsiteltäessä tunnistamistietoja teknisen kehittämisen
yhteydessä, tietojen käyttäjälle on tehtävä ilmoitus tietojen
käsittelemisestä (12 §). Luvattoman käytön havaitsemiseksi ja
lopettamiseksi automaattisen hakutoiminnon avulla toteutettavan
tunnistamistietojen käsittelyn edellytyksenä ovat verkon tai
palvelun käyttäjälle annetut ohjeet (13 a §).
Myös yrityssalaisuuksien paljastamisen selvittämiseksi tapahtuva
tunnistamistietojen käsittely edellyttää käyttäjille annettuja
ohjeita siitä, miten yrityssalaisuuden piiriin kuuluvia tietoja on
käsiteltävä (13 b §). Sekä 13 a että b §:n nojalla
tunnistamistietoja käsiteltäessä manuaalisesta tietojen
käsittelystä on laadittava siihen osallistuneiden henkilöiden
antama selvitys, joka tulee antaa tiedoksi käyttäjälle.
Ennen 13 a ja b pykäliin perustuvan käsittelyn aloittamista
tulee antaa tietosuojavaltuutetulle selvitys siinä noudatettavien
menettelyjen perusteista. Jos tunnistamistietoja käsitellään
manuaalisesti, siitä tulee antaa vuosittain selvitys samoin
tietosuojavaltuutetulle.
Stakes kiinnittää huomiota siihen, että esitys sisältää suuren
määrän tunnistamistietojen käsittelyn ja sen valvonnan
edellytyksenä olevia ilmoituksia, ohjeita ja selvityksiä, jotka
velvoittavat yhteisötilaajaa. Kun hallinnolliset tehtävät eivät
yleensä kuulu tunnistamistietojen käsittelyä suorittavalle
tietotekniikan henkilöstölle, organisaation tietoturvallisuus voi
jopa heikentyä sen takia, että menettelytavat koetaan hankalaksi ja
työmäärää lisääväksi.
Lainsäädäntö sisältää aina myös erilaisia
tulkintamahdollisuuksia. Stakes katsookin, että muutosten
toteutumiseksi säännösten soveltamisesta tulee antaa ohjeet
yhtenäisten käytäntöjen ja toimintamallien saavuttamiseksi.
Yksittäisinä kysymyksinä yhtenäisten ohjeiden tarve koskee
esimerkiksi www-sivujen suodattamista sillä perusteella, että
sivustoilta löytyy merkittävä määrä haittaohjelmia, mistä
tyypillinen esimerkki ovat aikuisviihdesivustot. Julkishallinnon
yhteisötilaajan palveluksessa olevat voivat kuitenkin käyttää tai
olla velvoitettuja käyttämään asianomaisia sivuja esimerkiksi
niille säädetyn valvonta-, kehittämis- tai tutkimustehtävän
vuoksi.
Ohjeissa tulisi niiden yleisyydestä huolimatta ottaa selkeästi
kantaa siihen, mikä on luvatonta käyttöä ja minkälaisin perustein
esimerkiksi poikkeukset ovat sallittuja. Kun esimerkiksi
manuaalisen käsittelyn tarve on yleensä aina akuutti, ohjeessa
tulisi korostaa menettelytapojen etukäteistä läpikäyntiä. Myös
työnantaja-asemassa olevia yhteisötilaajia velvoittavista
yhteistoimintamenettelyyn vietävien asioiden käsittelyn
ajankohdasta tulisi antaa tarkempia ohjeita. Muun muassa 13 c §:n
perusteluissa puhutaan massamuotoisesta manuaalisesta tietojen
käsittelystä. Ottaen huomioon manuaalisen käsittelyn tavanomainen
sisältö, ohjeessa tulisi avata sitä, mitä käsitteellä tässä
yhteydessä tarkoitetaan.
Ottaen huomioon, että esityksessä vahvistetaan
tietosuojavaltuutetun asemaa valvovana organisaationa, ohjeiden
antaminen tulisi toteuttaa yhteistyössä tietosuojavaltuutetun
toimiston ja Valtionhallinnon tietoturvallisuuden johtoryhmän
(VAHTI) kanssa.
Stakes kannattaa esitykseen sisältyvää ehdotusta seurantaryhmän
asettamisesta. Yhteisötilaajiin kuuluvat myös valtionhallinnon
laitokset. Seurantaryhmää asetettaessa tulisi ottaa huomioon, että
yksityissektorin ja julkishallinnon yhteisötilaajien tehtävät
saattavat poiketa merkittävästi ja että myös julkishallinnon
sisällä toiminta voi olla luonteeltaan hyvin erilaista. Sekä
yhteisötilaajien edustajien määrä että erilaisten tehtävien kautta
nousevat erityiset kysymykset tulee huomioida ryhmän kokoonpanosta
päätettäessä ja edustajia ryhmään asetettaessa.
Esityksessä käytetyistä termeistä
Esityksessä käytetään termiä viestintä (esim. s. 19, 13 §:n
perustelut). Vaikka www-selaimella tapahtuva http/https- viestit
ilmeisesti on tarkoitettu sisältyväksi sähköisen viestinnän
tietosuojalain 2 §:n viestin määritelmiin, esityksessä yleensä
puhutaan sähköposti-, puhe- ja matkaviestinnästä. Kun
http/https-viestintää koskevat edellisten kanssa samat ongelmat,
terminologiaa tulisi tältä osin täsmentää.
Esityksen 13 a §:n 3 mom. mukaan automaattisella hakutoiminnolla
tarkoitetaan toimintoa, jossa hakua ei tapauskohtaisesti kohdisteta
ihmistyövoimin, vaan jossa hakukone hakee viestintäverkosta
automaattisesti poikkeamia tietyin ennalta määritellyin kriteerein.
Terminologisesti "automaattinen hakutoiminto" voitaisiin korvata
esimerkiksi termillä "tietoliikenteen automaattinen valvonta".
Muita huomioita
Esitys antaisi kuolinpesän hallinnolle oikeuden saada vainajan
viestit ja niihin liittyvät tunnistamistiedot, mitä on pidettävä
hyvänä. Koska viestit voivat olla myös yhteydessä kuolleen henkilön
talouteen ja sen hoitoon ja koska varallisuuteen puuttumisesta
seuraa vastuu pesän veloista, tulisi puuttumisajankohdasta säätää
laissa.
Esityksen 13 b §:n 2 momentin mukaan yhteisötilaaja voi
käsitellä vain sellaisten henkilöiden tunnistamistietoja, joille
yhteisötilaaja on antanut pääsyn tai joilla muutoin on
yhteisötilaajan
hyväksymällä tavalla pääsy yrityssalaisuuksiin. Murtautuminen
voidaan kuitenkin suorittaa antamalla jollekin muulle käyttäjälle
tarvittavat käyttöoikeudet kohteeseen. Valvonnan toteuttaminen
siten, että valvotaan vain niitä, joille on annettu kohteen
tarvittavat käyttöoikeudet, ei välttämättä turvaa
yrityssalaisuuksien säilymistä. Tyypillisesti joudutaan valvomaan
kaikkea kohteeseen tai kohteesta suuntautuvaa tietoliikennettä.
Helsingissä, 13.8.2007
pääjohtaja
Vappu Taipale
tietohallinto- ja tietoturvapäällikkö
Kimmo Rousku
lakimies
Marja Pajukoski |