keskiviikko 14. lokakuuta 2009

Lex Nokia 4 kk myöhemmin

Lex Nokia on ollut voimassa runsaan neljän kuukauden ajan. Yleisradio uutisoi tänään "Yritykset väistelevät Lex Nokiaa" ja pohtii lain vaikutuksia.

Ensinnäkin on huomattava, että sähköisen viestinnän tietosuojalain uudistuksessa oli useita kohtia. Pykälät, jotka antavat yritykselle oikeuden esimerkiksi roskapostin suodattamiseen, on otettu tyytyväisinä vastaan ja sovellettu käytäntöön. Tältä osin laki on vaikuttanut kuten pitikin.

Sen sijaan lain 13. pykälä, jossa säädetään yhteisötilaajan oikeudesta selvittää verkon väärinkäyttöä ja yrityksen oikeudesta tutkia sähköpostin tunnistetietoja yrityssalaisuuksien vuotamista epäillessään (se varsinainen Lex Nokia -osuus), on jäänyt kuolleeksi kirjaimeksi. Vielä yksikään yhteisötilaaja ei ole tehnyt lain edellyttämää ilmoitusta tietosuojavaltuutetun toimistoon, eikä siten ottanut uusia valvontaoikeuksia käyttöön.

Lainvalmistelu oli poikkeuksellisen pitkä ja mutkikas. Monen kompromissin tuloksena syntyi vaikeaselkoisia ja mutkikkaita pykäliä. Valtaosa yrityksistä kokee laissa kuvatun menettelyn niin raskaaksi ja mutkikkaaksi, ettei niiden soveltaminen maksa vaivaa.

Vähän samanlainen ilmiö on työelämän tietosuojalaissa. Siellä kuvataan menettely, jolla työantaja voi hätätapauksessa avata työntekijän sähköpostissa odottavan työviestin. Prosessi on raskas ja sisältää niin paljon ennakkoehtoja, ettei sitä ole tietääkseni kertaakaan sovellettu, vaikka laki on ollut voimassa jo viisi vuotta.

Lisäksi kaikki muistavat Lex Nokiasta talvella nousseen kohun. Vaikka se perustui pitkälti väärinkäsityksiin, mikään organisaatio ei nyt halua joutua asiassa silmätikuksi olemalla ensimmäinen. Edes Nokia, jonka väitettiin jopa uhanneen maasta lähdöllä, ei ole ottanut käyttöön Lex Nokiaa.

Voi kysyä, kenen etua tällainen lainsäätäminen palvelee. Kun laeista tulee liian mutkikkaita, koko lainsäädäntötyöltä putoaa pohja pois. Yrityksillä olisi epäilemättä tarve selvitellä tietovuotoja (päätellen oikeustapauksista, joita tälläkin viikolla on mediassa näkynyt), mutta uuden lain sijaan jatketaan mieluummin entiseen tapaan - vaikka se kulkisi laittomuuden rajamailla.

Ministeriön puolustukseksi on sanottava, että jostain syystä asia herättää Suomessa voimakkaita intohimoja. Näissä olosuhteissa yksinkertaisen ja selkeän lain kirjoittaminen on yksinkertaisesti mahdotonta. Ehkä on vain parasta jäädä odottamaan alan kansainvälistä kehitystä ja mahdollista EU-direktiiviä. Jotain oppia voisi saada myös norjalaisilta, joille paljon sallivampi laki ei ole ollut mikään ongelma.

3 kommenttia:

Anonyymi kirjoitti...

Eihän tota tule kukaan käyttämään ennen kuin juttu tarvii viedä oikeuteen. Totta kai yritykset seuraa mitä työntekijät netissä tekevät nyt jo, mutta ei ne tuota kellekään ilmoittele. Ilmotus lähtee vasta sitten, kun havaitaan jonkun puuhailevan rikollisia juttuja ja tarvitaan näyttöä oikeuteen.

Petteri Järvinen kirjoitti...

Ei se niin mene. Ilmoitus on tehtävä etukäteen - eikä pelkkä ilmoitus, vaan myös täytettävä muut velvoitteet (kuten tietoturvan kuntoonlaitto). Tätä Reijo Aarnio itse piti eilen radiohaastattelussa syynä siihen, miksi yritykset eivät ole ottaneet lakia käyttöön: ne eivät halua tai pysty laittamaan tietoturvaa kuntoon. Toisin kuin talvella väitettiin, laki on hyvin vaativa ja sen tarkoitus on pikemminkin suojata työntekijää kuin mahdollistaa hänen urkkimisensa.

Anonyymi kirjoitti...

Ainahan laisäädännön esimainonnassa on ollut kysymys siitä, että uusi laki tulee myydä yhdellä pointilla julkisuuden välittämänä kansalle, ja sitten jättää kertomatta, miltä muilta osin laki tulee vaikuttamaan kansalaisten oikeuksiin tai velvollisuuksiin.

Website Security Test