web commit by terotil
[.git] / lexnokiafaq.mdwn
1 ## Ohjeita
2
3 Huomaa, että tähän dokumenttiin kirjoitettu voidaan julkaista [Public Domain -lisenssillä](http://creativecommons.org/licenses/publicdomain/).
4 Versio tästä dokumentista on julkaistu osoitteessa
5 <http://www.effi.org/lexnokia-faq.html>
6
7 # Lex Nokia -FAQ
8
9 Tämä dokumentti on [Public Domainia](http://creativecommons.org/licenses/publicdomain/).
10
11 Lakiesitys *[HE 48/2008 vp](http://www.eduskunta.fi/valtiopaivaasiat/HE+48/2008) sähköisen viestinnän tietosuojalain ja 
12 eräiden siihen liittyvien lakien muuttamisesta*, joka tunnetaan myös 
13 nimillä urkintalaki ja Lex Nokia, hyväksyttiin eduskunnassa 4.3.2009.  Tähän dokumenttiin on koottu
14 olennaisia näkökulmia lakia koskien.
15
16
17 Luettavaa:
18
19 * [Presidentin syytä selvittää urkintalain perustuslainmukaisuus](http://www.effi.org/julkaisut/tiedotteet/lexnokia-20090304.html) (Effi 4.3.2009)
20 * [Yleinen urkkimislaki vs. Lex Nokia](http://www.effi.org/blog/2008-11-19-Ville-Oksanen.html) (Effin blogi/Ville Oksanen 19.11.2008)
21 * [Effin lausunto liikenne- ja viestintävaliokunnalle](http://www.effi.org/system/files?file=EFFI-FI-Urkintalaki181108.doc) (Ville Oksanen 19.11.2008)
22 * [Suvi Lindénin vastaus avoimeen kirjeeseen urkintalaista](http://www.effi.org/uutiset/081206-suvi-lindenin-vastaus.html) (Effi 6.12.2008) - Lex Nokiasta vastaava ministeri kertoo urkintalaista ja mm. selventää, mikä on yhteisötilaaja.
23 * [Urkintalaki.fi](http://www.urkintalaki.fi/)
24 * [Urkintalaki "Lex Nokia" viipaloituna](http://www.effi.org/blog/kai-2006-08-17.html) (Effin blogi/Kai Puolamäki 17.8.2006 päivityksineen) - kirjoitus Lex Nokian aikaisemmasta inkarnaatiosta, joka tyrmättiin.
25 * [Vanha lakiteksti ja esitetty uusi lakiteksti](http://www.effi.org/lexnokia-faq-lakiteksti.html)
26
27 ## Tavallisia väittämiä ja niiden vastaväittämät
28
29 Lex Nokiaa koskevissa keskusteluissa samat argumentit tahtovat toistua.
30 Tähän on koottu usein toistuvia väittämiä vastauksineen.
31
32 ### "Eihän rehellisellä ole mitään salattavaa."
33
34 Miksi sinulla sitten on vessan ovessa lukko, ikkunoissa verhot ja miksi et kerro todellista mielipidettäsi anopin uudesta hatusta?
35
36 Olemme niin tottuneita sekä antamaan muille että olettamaan itsellemme tietyn yksityisyyden, että emme edes huomaa sitä.  Emme ennen kuin se puuttuu.
37
38
39 ### "Mutta tämähän koskee vain meilejä."
40
41 Laki *ei* koskisi pelkästään sähköpostia vaan *ihan kaikkea IP-pohjaista* liikennettä (webbiselailu, Internet-puhelut jne.).
42
43 ### "Mutta tämähän koskee vain työasioita."
44
45 Jos muutos olisi haluttu kohdistaa pelkästään työntekijöihin, 
46 se olisi tehty [lakiin yksityisyyden suojasta työelämästä](http://www.finlex.fi/fi/laki/ajantasa/2004/20040759). Esitetty laki
47 antaisi *kaikille yhteisötilaajille* (taloyhtiöt jotka hallinnoivat omaa viestintäverkkoaan, kirjastot, yliopistot, eduskunta jne.) oikeuden valvoa käyttäjiä.
48
49 ### "Mutta tämähän koskee vain yrityssalaisuuksia."
50
51 Seurannan aloittaminen ei edellytä yrityssalaisuutta, vaan siihen riittää  epäily käyttösääntöjen vastaisesta käytöstä. Eli käytännössä mikä tahansa syy jonka organisaatio haluaa päteväksi katsoa. Joitakin esimerkkejä:
52
53 * Teleoperaattori S:n toiminnasta on vuotanut inhottavia yksityiskohtia tiedotusvälineille. Yhtiön verkkokäyttösopimus päivitetään kieltämään yhteydenotot tiedotusvälineisiin ja automaattinen hakutoiminto asetetaan valvomaan kieltoa. Tarvittava merkittävä haitta syntyy vuotojen seurauksena laskeneesta yhtiön pörssikurssista.
54 * Lukio X:n opetukselle kriittinen videosarja on alkanut ilmestyä YouTubessa. Rehtori päivittää verkkokäyttösopimuksen kieltämään videopalveluiden käytön koulusta ja asettaa automaattisen hakutoiminnon valvomaan kieltoa. Tarvittava merkittävä haitta syntyy luonnollisesti kohonneesta verkonkäytöstä ja koulun heikentyneestä maineesta, joka on vähentämässä oppilasmääriä.
55
56 Esimerkkejä voisi helposti keksiä lisää.
57 25.2.2009 esimerkiksi [paljastui](http://kyrohonka.blogit.uusisuomi.fi/2009/02/25/lex-nokian-oikea-tarkoitus-paljastui/), että Lex Nokiaa voitaisiin käyttää tunnistamistietojen seurantaan, jos halutaan tarkkailla tekijänoikeuden suojaaman materiaalin epäiltyä luvatonta kopiointia, ja että tämä oli väitetysti ollut myös yksi EK:n keskeisistä tavoitteista. Tekijänoikeuksista ei kuitenkaan ollut [sanaakaan](http://kemppinen.blogspot.com/2009/02/se-siita-sanoi-linden.html) hallituksen esityksessä(!). Tekijänoikeuskysymykset olivat kuitenkin luultavasti alusta alkaen olleet liikenne- ja viestintäministeriönkin asialistalla: toinen laista vastannut virkamies oli nimittäin neuvotteleva virkamies Jussi Mäkinen, jonka [vastuulle](http://www.lvm.fi/web/fi/henkilohakemisto/person/view/144931) ministeriössä kuuluvat televisio- ja radiotoiminta ja tekijänoikeuskysymykset. Mäkinen on entinen [Tekijänoikeuden tiedotus- ja valvontakeskus ry](http://www.antipiracy.fi/):n (tekijänoikeudenhaltijoiden edunvalvontajärjestö) "internet-tarkastaja".
58
59 Ilmeisesti yrityssalaisuusargumentin katsottiin olevan helpompi myydä. Myös perustuslakivaliokunta [keskittyi](http://www.eduskunta.fi/valtiopaivaasiakirjat/pevl+29/2008) lähinnä vain yrityssalaisuuksiin arvioidessaan lain perustuslainmukaisuutta ja tunnistamistietojen seurannan muissa tapauksissa oikeuttava blanko-valtuutus ("viestintäverkon ohjeiden vastainen käyttö") jäi vähemmälle huomiolle.  
60
61
62
63
64 ### "Yritys saa tarkkailla omaa tietoverkkoaan miten tahtoo."
65
66 Laki ei koske vain työpaikkoja, vaan kaikkia yhteisötilaajia, eduskunta mukaanlukien.
67
68 Lakia on kuitenkin perusteltu yrityssalaisuuksien suojaamisella, ei esimerkiksi työaikojen seurannalla.
69 Epäilemättä jokin työnantaja voisi Lex Nokiaa kuitenkin työaikaseurantaankin käyttää.
70
71 Ihmisillä on tietty oikeus yksityisyyteen, jopa silloin kun viestinnän toinen osapuoli - esimerkiksi sähköpostin lähettäjä tai vastaanottaja - on töissä. Työnantajan lailliset keinot eivät saisi ylittää direktio-oikeutta (työnantajan oikeutta antaa määräyksiä työntekijöille). Jokainen ymmärtää, että jossain kulkee raja: työnantaja ei saa esimerkiksi pyytää työntekijää riisuuntumaan alasti USB-muistitikkujen löytämiseksi. Jos esimerkiksi yritys antaa työntekijälleen pääsyn Internettiin ja henkilökohtaisen viestintämahdollisuuden, niin työterveydenhuoltoon, ammattiyhdistyksen lakimieheen ja jopa kilpailevassa yrityksessä työskentelevään kaveriin pitää voida saada olla yhteydessä ilman pelkoa siitä, että viestintätiedot urkitaan. 
72
73 Tietoverkkonsa väärinkäyttöä pelkäävän työnantajan ei ole pakko antaa työntekijöille pääsyä nettiin tai henkilökohtaista viestintämahdollisuutta.  Työnantaja voi myös halutessaan esimerkiksi estää tiettyjen verkkosivujen käytön.
74
75
76 ### "Ette ole tutustuneet lakiin."
77
78 Esitetty [lakiteksti valiokuntien esittämine muutoksineen](http://www.effi.org/lexnokia-faq-lakiteksti.html) löytyy Effin sivuilta.
79
80
81 ## Oikeammat vastaukset Liikenne- ja viestintäministeriön FAQ-kysymyksiin
82
83 Liikenne- ja viestintäministeriö (LVM) on julkaissut [Lex Nokia -FAQ:n](http://www.lvm.fi/web/fi/245) (LVM:kin käyttää laista nimeä "Lex Nokia"!). 
84 Alla on esitetty LVM:n kysymyksiin oikeammat vastaukset.
85
86 ### 1. Mitä hyötyä laista on? Miksi lakia tarvitaan?
87
88 Voimassa oleva, vuodelta 2004 peräisin oleva, laki rajaa yhteisötilaajien mahdollisuudet käyttäjien viesteihin puuttumiseen virusten, roskapostin ja vastaavien uhkien ja väärinkäytösten torjumiseen. Uusi laki lisää listaan yrityssalaisuudet ja jopa viestintäpalvelujen ohjeiden vastaisen käytön, jotka jäävät lopulta yrityksen itsensä määriteltäviksi. Tämä huonontaa kaikkien oikeusturvaa. Laki kaivaa maata Suomessa perinteisesti tarkasti varjellun kirjesalaisuuden ja viestinnän luottamuksellisuuden alta.
89
90 On kansalaisten etu, että laissa on tarkat pykälät siitä, mitä vaikkapa työnantaja saa tehdä ja mitä ei. Uudessa laissa ei näin ole.
91
92 ### 2. Kuka on yhteisötilaaja?
93
94 Yhteisötilaajia ovat organisaatiot, jotka itse huolehtivat viestintäverkkonsa käyttäjien sähköisten viestintäpalvelujen välittämisestä. Esim. yritykset, virastot, koulut, kirjastot ja taloyhtiöt, joilla on oma sähköpostipalvelin tai verkkoliikenteen reititin, ovat yhteisötilaajia.
95
96 ### 3. Onko taloyhtiö yhteisötilaaja, jolle kuuluu väärinkäytösten selvittäminen?
97
98 Taloyhtiö on yhteisötilaaja, mikäli se hoitaa asukkaiden verkkoliikennettä keskitetysti. Mikäli verkkoliittymä on taloyhtiön nimissä tai keskitetysti
99 hallittu, on taloyhtiöllä edellytykset verkkoliikenteen seurantaan. Tietohallinnon järjestelyt taloyhtiöissä on tavallisesti hyvin epämuodolliset.
100
101 ### 4. Miten laki muuttaa nykyistä tilannetta?
102
103 Tunnistamistietojen käyttömahdollisuutta laajennetaan, ja lain piirissä on kaikki verkkoliikenne. Sähköpostin lisäksi tähän kuuluvat mm. pikaviestimet, internet-puhelut ja tiedonsiirtopalvelut. Erityisesti työntekijöiden oikeusturva heikkenee, koska laki jättää valtavasti tulkinnanvaraa niin sen suhteen mitä yhteisötilaaja voi seurata, kuin senkin suhteen mitä toimia seurannan aloittaminen edellyttää.
104
105 ### 5. Milloin seuranta voidaan käynnistää?
106
107 Sitä laki ei selvästi kerro, mutta listaa lukuisia epämääräisiä toimenpiteitä joita edellytetään. Tiukin mahdollinen tulkinta tekisi valvonnasta mahdollista
108 vain äärimmäisen harvoisssa organisaatioissa ja tiukasti rajatuissa ympäristöissä, jolloin laki olisi miltei kaikille yrityksillekin hyödytön. Väljällä tulkinnalla taas voisi mahdollistaa seurannan esimerkiksi edellyttämällä taloyhtiön verkkoa käyttäviltä asukkailta sopimuksen allekirjoittamista, ja toimittamalla valmiin lomakkeen tietosuojavaltuutetulle. Perustelujen riittävyys on puhtaasti tulkintakysymys.
109
110 ### 6. Millainen yrityssalaisuuden on oltava, jotta seuranta voidaan käynnistää?
111
112 Seurannan aloittaminen ei edellytä yrityssalaisuutta, vaan siihen riittää  epäily käyttösääntöjen vastaisesta käytöstä. Eli käytännössä mikä tahansa syy jonka organisaatio haluaa päteväksi katsoa. 
113
114 Yrityssalaisuus määritellään rikoslaissa, ja sillä tarkoitetaan liike- tai ammattisalaisuutta, jonka vuotaminen olisi omiaan aiheuttamaan taloudellista vahinkoa joko kyseiselle yritykselle tai toiselle yritykselle. Käytännössä organisaatio sanelee itse mitkä seikat voidaan katsoa organisaatiolle haittaa tuottaviksi.
115
116 ### 7. Mitä ovat tunnistamistiedot, joita lain myötä voidaan erikoistapauksissa tutkia?
117
118 Tunnistamistietoja ovat tiedot viestin lähettäjästä ja vastaanottajasta, yhteyden kestosta, reitityksestä, ajankohdasta sekä siirretyn tiedon määrästä. Tunnistamistiedot ovat kuin kirjekuoren osoitetiedot, mutta niihin ei sovelleta samaa luottamuksellisuutta kuin osoitetietoihin. Tämän lisäksi tunnistetietoja ovat kaiken verkkoliikenteen lähetysajat ja kohteet. Lisäksi sähköisen liikenteen urkinta mahdollistaa tehokkaat automaattiset analyysimenetelmät, toisin kuin perinteisen kirjepostin tapauksessa. Näin organisaatio voi tarkkoja malleja siitä miten käyttäjät verkossa toimivat, vaikka viestien täsmällinen sisältö jäisikin lukematta.
119
120 ### 8. Mitkä oikeudet työnantajalla on tällä hetkellä estää yrityssalaisuuksien vuotaminen?
121
122 Mikään laki ei kiellä yrityksiä huolehtimasta tietoturvastaan ja yrityssalaisuuksien vuotamisen estämisestä, mutta käyttäjien viestintää ja yksityisyyttä laki suojaa. Yritykset voivat jo nyt estää usb-muistitikkujen käytön tai rajata pääsyn tunnettuihin webmail-osoitteisiin (Gmail, suomi24.fi tai Hotmail) työtekijöiltä. Yritykset voivat myös rajoittaa oman sähköpostinsa käyttöä parhaaksi katsomallaan tavalla, ja estää haitallisiin osoitteisiin lähettämisen. Yritykset voivat myös järjestää kulunvalvonnan ja käyttää salassapitosopimuksia tietojen suojaamiseen. Uusi laki mahdollistaa lisäksi käyttäjien yksityisyyden loukkaamisen kaikessa verkkoliikenteessä.
123
124 ### 9. Mitkä ovat seuraukset, jos työntekijä jää kiinni luvattomasta käytöstä tai yrityssalaisuuksien vuotamisesta?
125
126 Yritykset ja yhteisötilaajat päättävät, miten haluavat edetä. Ne voivat tehdä asiasta tutkintapyynnön poliisille, jos katsovat jonkin rikoksen tunnusmerkistön täyttyvän. Jo aiemmat oikeustapaukset ovat kuitenkin osoittaneet viestien tunnistetietojen riittämättömyyden todistusaineistona, mikä asettaa lain perustelut hyvin outoon valoon.
127
128 Epäselväksi jää, mitkä ovat seuraukset jos yrityksen tietoturvaosasto on väärin perustein tutkinut työntekijöiden viestintätietoja. 
129
130 ### 10. Annetaanko yrityksille suuremmat valtuudet kuin poliisilla on?
131
132 Kyllä annetaan, sillä kyseessä on aivan erilaiset valtuudet. Vaikka yritys ja yhteisötilaaja hallinnoi viestintäjärjestelmiään samalla tavalla kuin kiinteistöään ja huonetilojaan, antaa uusi laki mahdollisuuden puuttua käyttäjän yksityisyyteen. Kulunvalvonnan laajentaminen vastaavalla tavalla voisi tarkoittaa jo ministeritasollakin mainostettua riisuutumista turvatarkastuksissa. Yksityisen viestinnän tietoihin ei edes poliisilla ole pääsyä ilman yhteisötilaajan suostumusta tai tuomioistuimen päätöstä, kun taas organisaatioille se halutaan sallia ilmoitusluontoisella toimenpiteellä.
133
134 ### 11. Mitä tapahtuu, jos lakiesitystä ei hyväksytä?
135
136 Olemassa olevan lain epäkohdat jäävät voimaan, mutta perusoikeudet säilyvät. Hallituksen esityksellä on haluttu lisätä yhteisötilaajien valvontakeinoja laajentamalla tunnistamistietojen seurantamahdollisuuksia. Nämä tavoitteet jäävät toteutumatta vaikka lakiehdotus hyväksyttäisiin, sillä tunnistetiedot ovat täysin tehoton keino yrityssalaisuuksien vuotamisen estämiseksi. Lain hyväksyminen johtaisi siis vain perusoikeuksien heikkenemiseen.
137
138 Toisaalta, jos lakiesitystä ei hyväksytä, voimme jatkossakin luottaa siihen, että sähköpostiviestintää kohdellaan yhtä luottamuksellisesti kuin perinteistä kirje- ja puhelinviestintääkin, eikä rehellisen kansalaisen tarvitse olla huolissaan siitä että hänen viestintäänsä jatkuvasti kohdistetaan urkintaa, niin kotona, koulussa kuin
139 työpaikallakin. 
140
141 ## Hyviä kysymyksiä vailla vastauksia
142
143 * Perustuslakivaliokunta ei käsitellyt yhteisötilaajia käytännössä lainkaan [lausunnossaan](http://www.eduskunta.fi/valtiopaivaasiakirjat/pevl+29/2008) työnantajien viedessä kaiken huomion. (vrt: <http://web.eduskunta.fi/Resource.phx/pubman/templates/1.htx?id=1971>) Eikö lain perustulainmukaisuus ole tältä osin siis edelleen avoin?
144 * Miksi valvontavastuu ollaan siirtämässä viestintävirastolta tietosuojavaltuutetulle, jonka toimisto ei edes annetuille lisäresursseilla mitenkään pysty valvomaan lain toteutumista? Miksei valtiontalouden tarkastusviraston vastustusta huomioitu mitenkään?
145 * Miksi laki sallii tilastollisen verkkoliikenteen seurannan niissäkin tilanteissa, joissa käyttäjien vähäisen määrän vuoksi kerätty aineisto on tosiasiallisesti yhdistettävissä tiettyihin käyttäjiin?
146 * Perustuslakivaliokunnan mukaan laki voidaan säätää normaalissa järjestyksessä, koska "työnantaja ei ole viranomainen". Entä sitten ne tilanteet, joissa viranomainen valvoo joko kansalaisia (yhteisötilaajana) tai sitten työntekijöitään?
147 * Kaikki poliittiset nuorisojärjestöt vastustavat lainsäädäntöhanketta. Eikö nuoriso siis ymmärrä, miten Internet toimii..?
148 * Huomioiden kuinka paljon erilaisia tulkintoja laista on onnistuttu saamaan aikaiseksi, eikö sen sisältö ole joka tapauksessa aivan liian epäselvä, jotta se voitaisiin hyväksyä nykymuodossaan?
149 * EK & LVM väittävät, että laki vain parantaa työntekijöiden asemaa. Jos tästä olisi oikeasti kyse, miksi moinen hätä ajaa lakia läpi?
150 * Jos kerran kaikki ovat liikuttavan yksimielisiä siitä, että tässä nyt parannetaan yrityssalaisuuksien suojaa ja lain halutaan koskevan vain suuria yrityksiä, miksi pykäliä ei ole säädetty työelämän tietosuojalakiin ja/tai rajattu koskemaan YT-menettelyn piirissä olevia yrityksiä?
151 * Miksi lakia halutaan ajaa kuin käärmettä pyssyn piippuun ([lain aikaisempi inkarnaatiokin](http://www.effi.org/blog/kai-2006-08-17.html) tyrmättiin)?
152
153