torstai 12. helmikuuta 2009

Urkintasoppa kiehuu yli

Urkintalaista käytävä väittely on nousemassa niin korkeisiin sfääreihin, että alan olla Heidi Hautalan kanssa samaa mieltä (eikä ole ensimmäinen kerta): nyt tarvitaan aikalisä.

Eilen Keskusrikospoliisin apulaispäällikkö Tero Kurenmaa "tyrmäsi" lain, koska se antaisi yrityksille valtuuksia, "jotka ovat olleet poliisille herkkiä ja erittäin valvottuja". En edelleenkään näe, että yritykselle oltaisiin antamassa poliisia suurempia valtuuksia. Yrityksen oikeudet rajoittuvat työsuhteeseen ja yrityksen omaisuuteen, mutta poliisin oikeudet koskevat kaikkia yrityksiä ja kaikkia kansalaisia. Siksi niiden laajentamisessa on syytäkin olla erittäin pidättyväinen.

Tähän asti poliisin oikeuksia televalvontaan ja telekuunteluun on koko ajan lisätty, mikä on herättänyt myös kritiikkiä. Nyt on nähty sellainenkin ihme, että ensi kertaa kansalaiset haluavat laajentaa poliisin televalvontaoikeuksia!

Yrityksillä tuskin on mitään sitä vastaan, että poliisi valvoisi sähköpostia heidän puolestaan ja havaitessaan mahdollisia vuotoja käynnistäisi niistä oma-aloitteisesti esitutkinnan. Päinvastoin, näin yrityksen resursseja säästyisi tuottavampaan työhön. Ulkoistaminen on muutenkin päivän sana.

Tämän päivän Helsingin Sanomat siteeraa valtiontalouden tarkastusviraston toiminnantarkastaja Tomi Voutilaista. Lyhyessä jutussa on ainakin kolme asiavirhettä. No, tämän aiheen jutuissa se on keskimääräistä vähemmän.

Ensimmäinen väite on, ettei urkintalaki määrittele millainen yrityssalaisuuden pitää olla. Että jopa toimitusjohtajan talon sisäisessä blogissa julkaisema kirjoitus voisi olla yrityssalaisuus, jos sen sisältö aiheuttaisi julki tullessaan taloudellista vahinkoa.

Urkintalaki ei määrittele yrityssalaisuutta, mutta määritelmä löytyy rikoslaista. Yrityssalaisuuden luvaton käyttö on kriminalisoitu jo paljon ennen urkintalakia. Oikeus on joutunut ennenkin pohtimaan, mikä on yrityssalaisuutta ja mikä ei. Tietojen luvaton käyttö on kiellettyä, vietiinpä ne sitten paperilla tai levykkeillä -- tai sähköpostilla.

Urkintalaissa rikoslain määritelmää on vielä kiristetty "keskeinen" lisämääreellä. Ei siis riitä, että kyse on tavallisesta yrityssalaisuudesta, pitää olla "keskeinen yrityssalaisuus". Lisäksi urkintalaki velvoittaa suojaamaan tiedon kaikin mahdollisin tavoin ja tunnistetietoja voi käyttää vain viimeisenä keinona.

Jos johtaja julkaisee blogikirjoituksen talon intranetissä, se ei mitenkään voi olla urkintalaissa määritelty keskeinen yrityssalaisuus.

Toinen kummallisuus on haastateltavan lause "Koskeeko se vain tekijänoikeuksiin liittyviä seikkoja vai mitä tahansa tietoa, jonka yrittäjä katsoo taloudellisesti vahingolliseksi?". Yrityssalaisuudet eivät ole tekijänoikeuksia, vaan kuuluvat immateriaalioikeuksiin.

Kolmas väite: "Nykyisen lain mukaan verkkopalvelun pitäisi informoida käyttäjää evästeistä, mutta tällaisia ilmoituksia en ole nähnyt missään – en edes liikenne- ja viestintäministeriön omilla sivuilla."

Vuoden 2004 laki sanoo näin (7 §): "Viestintäverkkojen avulla toteutettu evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö on sallittua palvelun tarjoajalle, jos palvelun tarjoaja antaa käyttäjälle ymmärrettävät ja kattavat tiedot tallentamisen tai käytön tarkoituksesta."

mutta kannattaa lukea pykälä loppuun, sillä teksti jatkuu vielä:

"Edellä 1 momentissa säädetty palvelun tarjoajan tietojen antamisvelvollisuus ja käyttäjän kielto-oikeus ei koske tietojen sellaista tallentamista tai käyttöä, jonka ainoana tarkoituksena on toteuttaa tai helpottaa viestin välittämistä viestintäverkoissa tai joka on välttämätöntä sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt."

Muistan, että kun tätä kohtaa 2000-luvun alkupuolella sorvattiin, EU:ssa pelättiin yritysten ja mainostajien alkavan kerätä evästeiden avulla salaa tietoja käyttäjistä. Pelko ei toteutunut, mutta varmuuden vuoksi lakiin otettiin määräys, jonka tarkoituksena oli estää salainen urkinta. Oletan, että LVM:n sivulla evästeitä käytetään vain itse pyydetyn palvelun tekniseen toteuttamiseen (kuten esim. verkkopankeissa). Näin ollen mitään ilmoitusta ei tarvita. Myöskään mainosten näyttämistä kontrolloivat evästeet eivät ole ilmoitusvelvollisuuden piirissä.

Ylilyöntejä tehdään toisellakin puolella. Aamulehden mukaan ministeri Lindénin väittää, että yritys voisi vaatia työntekijän riisuuntumaan alasti tietosuojasyistä. Tällaista oikeutta yrityksellä ei totisesti ole.


Aikalisä olisi paikallaan tunteiden rauhoittamiseksi. Pahitteeksi ei olisi sekään, että sähköisen viestinnän tietosuojalaki rakennettaisiin alusta uudelleen ja koko yhteisötilaajan käsite otettaisiin uuteen harkintaan.

Olisi selkeintä, jos työpaikan valvonnasta säädettäisiin sille omistetussa laissa (nykyinen laki yksityisyyden suojasta työelämässä, joka säätelee myös kameravalvontaa, huumetestejä, sähköpostin lukuoikeutta jne) ja muusta verkkokäytöstä sähköisen viestinnän tietosuojalaissa. Kahden eri asian (yrityssalaisuudet ja verkkokäytön valvonta) sääntely samassa laissa ja vieläpä rinnakkain samoissa pykälissä on nyt aiheuttanut loputtomasti väärinkäsityksiä.

1 kommentti:

Anonyymi kirjoitti...

Blogin kirjoittaja ei näytä tuntevan lainsäädännön taustoja, vaan kommentoi asioita maallikkona, harmi. Huvittavaa on, että kirjoittaja toteaa tekijänoikeuden ja immateriaalioikeuden eri asioiksi. Itseasiassa tekijänoikeus ja sen lähioikeudet ovat immateriaalioikeuksia. Mitä puolestaan tulee evästeiden käyttöön LVM:n sivuilla, ei taida evästeiden käyttötarkoitus olla tunnistetun henkilön istunnon hallinta, kuten pankkipalveluissa. Lisäksi lakien pykälät on laadittu siten, että pääsääntö sisältyy pykälän ensimmäiseen momenttiin ja poikkeukset sen jälkeisiin. Viisastetullakin pitäisi olla rajansa, vaikka on kuinka tietokirjailija.

Website Security Test