3 Huomaa, että tähän dokumenttiin kirjoitettu voidaan julkaista [Public Domain -lisenssillä](http://creativecommons.org/licenses/publicdomain/).
4 Versio tästä dokumentista on julkaistu osoitteessa
5 <http://www.effi.org/lexnokia-faq.html>
9 Tämä dokumentti on [Public Domainia](http://creativecommons.org/licenses/publicdomain/).
11 Lakiesityksen *[HE 48/2008 vp](http://www.eduskunta.fi/valtiopaivaasiat/HE+48/2008) sähköisen viestinnän tietosuojalain ja
12 eräiden siihen liittyvien lakien muuttamisesta*, joka tunnetaan myös
13 nimillä urkintalaki ja Lex Nokia, käsittely on
14 kriittisessä vaiheessa eduskunnassa. Tähän dokumenttiin on koottu
15 olennaisia näkökulmia lakiesitystä koskien.
17 Tämä dokumentti ei ole vielä ihan valmis, mutta toisaalta ei ole Lex Nokiakaan. Tähän dokumenttiin on odotettavissa päivityksiä.
21 * [Yleinen urkkimislaki vs. Lex Nokia](http://www.effi.org/blog/2008-11-19-Ville-Oksanen.html) (Effin blogi/Ville Oksanen 19.11.2008)
22 * [Suvi Lindénin vastaus avoimeen kirjeeseen urkintalaista](http://www.effi.org/uutiset/081206-suvi-lindenin-vastaus.html) (Effi 6.12.2008) - Lex Nokiasta vastaava ministeri kertoo urkintalaista ja mm. selventää, mikä on yhteisötilaaja.
23 * [Urkintalaki.fi](http://www.urkintalaki.fi/)
24 * [Urkintalaki "Lex Nokia" viipaloituna](http://www.effi.org/blog/kai-2006-08-17.html) (Effin blogi/Kai Puolamäki 17.8.2006 päivityksineen) - kirjoitus Lex Nokian aikaisemmasta inkarnaatiosta, joka tyrmättiin.
26 ## Tavallisia väittämiä ja niiden vastaväittämät
28 Lex Nokiaa koskevissa keskusteluissa samat argumentit tahtovat toistua.
29 Tähän on koottu usein toistuvia väittämiä vastauksineen.
31 ### "Eihän rehellisellä ole mitään salattavaa."
33 Miksi sinulla sitten on vessan ovessa lukko, ikkunoissa verhot ja miksi et kerro todellista mielipidettäsi anopin uudesta hatusta?
35 Olemme niin tottuneita sekä antamaan muille että olettamaan itsellemme tietyn yksityisyyden, että emme edes huomaa sitä. Emme ennen kuin se puuttuu.
38 ### "Mutta tämähän koskee vain meilejä."
40 Laki *ei* koskisi pelkästään sähköpostia vaan *ihan kaikkea IP-pohjaista* liikennettä (webbiselailu, Internet-puhelut jne.).
42 ### "Mutta tämähän koskee vain työasioita."
44 Jos muutos olisi haluttu kohdistaa pelkästään työntekijöihin,
45 se olisi tehty [lakiin yksityisyyden suojasta työelämästä](http://www.finlex.fi/fi/laki/ajantasa/2004/20040759). Esitetty laki
46 antaisi *kaikille yhteisötilaajille* (taloyhtiöt jotka hallinnoivat omaa viestintäverkkoaan, kirjastot, yliopistot, eduskunta jne.) oikeuden valvoa käyttäjiä.
48 ### "Tietoverkko on yrityksen omaisuutta eikä yrityksen omaisuutta saa käyttää omien asioitten hoitoon"
50 Laki ei koske vain työpaikkoja, vaan kaikkia yhteisötilaajia, eduskunta mukaanlukien.
52 Lakia on kuitenkin perusteltu yrityssalaisuuksien suojaamisella, ei esimerkiksi työaikojen seurannalla.
53 Epäilemättä jokin työnantaja voisi Lex Nokiaa kuitenkin työaikaseurantaankin käyttää.
55 Ihmisillä on tietty oikeus yksityisyyteen, jopa silloin kun viestinnän toinen osapuoli - esimerkiksi sähköpostin lähettäjä tai vastaanottaja - on töissä. Työnantajan lailliset keinot eivät saisi ylittää direktio-oikeutta (työnantajan oikeutta antaa määräyksiä työntekijöille). Jokainen ymmärtää, että jossain kulkee raja: työnantaja ei saa esimerkiksi pyytää työntekijää riisuuntumaan alasti USB-muistitikkujen löytämiseksi. Jos esimerkiksi yritys antaa työntekijälleen pääsyn Internettiin ja henkilökohtaisen viestintämahdollisuuden, niin työterveydenhuoltoon, ammattiyhdistyksen lakimieheen ja jopa kilpailevassa yrityksessä työskentelevään kaveriin pitää voida saada olla yhteydessä ilman pelkoa siitä, että viestintätiedot urkitaan. Työnantajan ei ole nykyäänkään antaa työntekijöille pääsyä nettiin tai henkilökohtaista viestintämahdollisuutta, ja lisäksi työntekijä voi halutessaan esimerkiksi estää haluttujen verkkosivujen käytön.
58 ### "Ette ole tutustuneet lakiin."
60 Ehdotetun lakitekstin voi lukea [hallituksen esityksestä 48/2008 vp](http://www.eduskunta.fi/valtiopaivaasiat/HE+48/2008). Esitetty [lakiteksti valiokuntien esittämine muutoksineen](http://www.effi.org/lexnokia-faq-lakiteksti.html) löytyy Effin sivuilta.
63 ## Oikeammat vastaukset Liikenne- ja viestintäministeriön FAQ-kysymyksiin
65 Liikenne- ja viestintäministeriö (LVM) on julkaissut [Lex Nokia -FAQ:n](http://www.lvm.fi/web/fi/245) (LVM:kin käyttää laista nimeä "Lex Nokia"!).
66 Alla on esitetty LVM:n kysymyksiin oikeammat vastaukset.
68 ### 1. Mitä hyötyä laista on? Miksi lakia tarvitaan?
70 Voimassa oleva, vuodelta 2004 peräisin oleva, laki rajaa yhteisötilaajien mahdollisuudet käyttäjien viesteihin puuttumiseen virusten, roskapostin ja vastaavien uhkien ja väärinkäytösten torjumiseen. Uusi laki lisää listaan yrityssalaisuudet ja jopa viestintäpalvelujen ohjeiden vastaisen käytön, jotka jäävät lopulta yrityksen itsensä määriteltäviksi. Tämä huonontaa kaikkien oikeusturvaa. Laki kaivaa maata Suomessa perinteisesti tarkasti varjellun kirjesalaisuuden ja viestinnän luottamuksellisuuden alta.
72 On kansalaisten etu, että laissa on tarkat pykälät siitä, mitä vaikkapa työnantaja saa tehdä ja mitä ei. Uudessa laissa ei näin ole.
74 ### 2. Kuka on yhteisötilaaja?
76 Yhteisötilaajia ovat organisaatiot, jotka itse huolehtivat viestintäverkkonsa käyttäjien sähköisten viestintäpalvelujen välittämisestä. Esim. yritykset, virastot, koulut, kirjastot ja taloyhtiöt, joilla on oma sähköpostipalvelin tai verkkoliikenteen reititin, ovat yhteisötilaajia.
78 ### 3. Onko taloyhtiö yhteisötilaaja, jolle kuuluu väärinkäytösten selvittäminen?
80 Taloyhtiö on yhteisötilaaja, mikäli se hoitaa asukkaiden verkkoliikennettä keskitetysti. Mikäli verkkoliittymä on taloyhtiön nimissä tai keskitetysti
81 hallittu, on taloyhtiöllä edellytykset verkkoliikenteen seurantaan. Tietohallinnon järjestelyt taloyhtiöissä on tavallisesti hyvin epämuodolliset.
83 ### 4. Miten laki muuttaa nykyistä tilannetta?
85 Tunnistamistietojen käyttömahdollisuutta laajennetaan, ja lain piirissä on kaikki verkkoliikenne. Sähköpostin lisäksi tähän kuuluvat mm. pikaviestimet, internet-puhelut ja tiedonsiirtopalvelut. Erityisesti työntekijöiden oikeusturva heikkenee, koska laki jättää valtavasti tulkinnanvaraa niin sen suhteen mitä yhteisötilaaja voi seurata, kuin senkin suhteen mitä toimia seurannan aloittaminen edellyttää.
87 ### 5. Milloin seuranta voidaan käynnistää?
89 Sitä laki ei selvästi kerro, mutta listaa lukuisia epämääräisiä toimenpiteitä joita edellytetään. Tiukin mahdollinen tulkinta tekisi valvonnasta mahdollista
90 vain äärimmäisen harvoisssa organisaatioissa ja tiukasti rajatuissa ympäristöissä, jolloin laki olisi miltei kaikille yrityksillekin hyödytön. Väljällä tulkinnalla taas voisi mahdollistaa seurannan esimerkiksi edellyttämällä taloyhtiön verkkoa käyttäviltä asukkailta sopimuksen allekirjoittamista, ja toimittamalla valmiin lomakkeen tietosuojavaltuutetulle. Perustelujen riittävyys on puhtaasti tulkintakysymys.
92 ### 6. Millainen yrityssalaisuuden on oltava, jotta seuranta voidaan käynnistää?
94 Seurannan aloittaminen ei edellytä yrityssalaisuutta, vaan siihen riittää epäily käyttösääntöjen vastaisesta käytöstä. Eli käytännössä mikä tahansa syy jonka organisaatio haluaa päteväksi katsoa.
96 Yrityssalaisuus määritellään rikoslaissa, ja sillä tarkoitetaan liike- tai ammattisalaisuutta, jonka vuotaminen olisi omiaan aiheuttamaan taloudellista vahinkoa joko kyseiselle yritykselle tai toiselle yritykselle. Käytännössä organisaatio sanelee itse mitkä seikat voidaan katsoa organisaatiolle haittaa tuottaviksi.
98 ### 7. Mitä ovat tunnistamistiedot, joita lain myötä voidaan erikoistapauksissa tutkia?
100 Tunnistamistietoja ovat tiedot viestin lähettäjästä ja vastaanottajasta, yhteyden kestosta, reitityksestä, ajankohdasta sekä siirretyn tiedon määrästä. Tunnistamistiedot ovat kuin kirjekuoren osoitetiedot, mutta niihin ei sovelleta samaa luottamuksellisuutta kuin osoitetietoihin. Tämän lisäksi tunnistetietoja ovat kaiken verkkoliikenteen lähetysajat ja kohteet. Lisäksi sähköisen liikenteen urkinta mahdollistaa tehokkaat automaattiset analyysimenetelmät, toisin kuin perinteisen kirjepostin tapauksessa. Näin organisaatio voi tarkkoja malleja siitä miten käyttäjät verkossa toimivat, vaikka viestien täsmällinen sisältö jäisikin lukematta.
102 ### 8. Mitkä oikeudet työnantajalla on tällä hetkellä estää yrityssalaisuuksien vuotaminen?
104 Mikään laki ei kiellä yrityksiä huolehtimasta tietoturvastaan ja yrityssalaisuuksien vuotamisen estämisestä, mutta käyttäjien viestintää ja yksityisyyttä laki suojaa. Yritykset voivat jo nyt estää usb-muistitikkujen käytön tai rajata pääsyn tunnettuihin webmail-osoitteisiin (Gmail, suomi24.fi tai Hotmail) työtekijöiltä. Yritykset voivat myös rajoittaa oman sähköpostinsa käyttöä parhaaksi katsomallaan tavalla, ja estää haitallisiin osoitteisiin lähettämisen. Yritykset voivat myös järjestää kulunvalvonnan ja käyttää salassapitosopimuksia tietojen suojaamiseen. Uusi laki mahdollistaa lisäksi käyttäjien yksityisyyden loukkaamisen kaikessa verkkoliikenteessä.
106 ### 9. Mitkä ovat seuraukset, jos työntekijä jää kiinni luvattomasta käytöstä tai yrityssalaisuuksien vuotamisesta?
108 Yritykset ja yhteisötilaajat päättävät, miten haluavat edetä. Ne voivat tehdä asiasta tutkintapyynnön poliisille, jos katsovat jonkin rikoksen tunnusmerkistön täyttyvän. Jo aiemmat oikeustapaukset ovat kuitenkin osoittaneet viestien tunnistetietojen riittämättömyyden todistusaineistona, mikä asettaa lain perustelut hyvin outoon valoon.
110 Epäselväksi jää, mitkä ovat seuraukset jos yrityksen tietoturvaosasto on väärin perustein tutkinut työntekijöiden viestintätietoja.
112 ### 10. Annetaanko yrityksille suuremmat valtuudet kuin poliisilla on?
114 Kyllä annetaan, sillä kyseessä on aivan erilaiset valtuudet. Vaikka yritys ja yhteisötilaaja hallinnoi viestintäjärjestelmiään samalla tavalla kuin kiinteistöään ja huonetilojaan, antaa uusi laki mahdollisuuden puuttua käyttäjän yksityisyyteen. Kulunvalvonnan laajentaminen vastaavalla tavalla voisi tarkoittaa jo ministeritasollakin mainostettua riisuutumista turvatarkastuksissa. Yksityisen viestinnän tietoihin ei edes poliisilla ole pääsyä ilman yhteisötilaajan suostumusta tai tuomioistuimen päätöstä, kun taas organisaatioille se halutaan sallia ilmoitusluontoisella toimenpiteellä.
116 ### 11. Mitä tapahtuu, jos lakiesitystä ei hyväksytä?
118 Olemassa olevan lain epäkohdat jäävät voimaan, mutta perusoikeudet säilyvät. Hallituksen esityksellä on haluttu lisätä yhteisötilaajien valvontakeinoja laajentamalla tunnistamistietojen seurantamahdollisuuksia. Nämä tavoitteet jäävät toteutumatta vaikka lakiehdotus hyväksyttäisiin, sillä tunnistetiedot ovat täysin tehoton keino yrityssalaisuuksien vuotamisen estämiseksi. Lain hyväksyminen johtaisi siis vain perusoikeuksien heikkenemiseen.
120 Toisaalta, jos lakiesitystä ei hyväksytä, voimme jatkossakin luottaa siihen, että sähköpostiviestintää kohdellaan yhtä luottamuksellisesti kuin perinteistä kirje- ja puhelinviestintääkin, eikä rehellisen kansalaisen tarvitse olla huolissaan siitä että hänen viestintäänsä jatkuvasti kohdistetaan urkintaa, niin kotona, koulussa kuin
123 ## Hyviä kysymyksiä vailla vastauksia
125 * Perustuslakivaliokunta ei käsitellyt yhteisötilaajia käytännössä lainkaan [lausunnossaan](http://www.eduskunta.fi/valtiopaivaasiakirjat/pevl+29/2008) työnantajien viedessä kaiken huomion. (vrt: <http://web.eduskunta.fi/Resource.phx/pubman/templates/1.htx?id=1971>) Eikö lain perustulainmukaisuus ole tältä osin siis edelleen avoin?
126 * Miksi valvontavastuu ollaan siirtämässä viestintävirastolta tietosuojavaltuutetulle, jonka toimisto ei edes annetuille lisäresursseilla mitenkään pysty valvomaan lain toteutumista? Miksei valtiontalouden tarkastusviraston vastustusta huomioitu mitenkään?
127 * Miksi laki sallii tilastollisen verkkoliikenteen seurannan niissäkin tilanteissa, joissa käyttäjien vähäisen määrän vuoksi kerätty aineisto on tosiasiallisesti yhdistettävissä tiettyihin käyttäjiin?
128 * Perustuslakivaliokunnan mukaan laki voidaan säätää normaalissa järjestyksessä, koska "työnantaja ei ole viranomainen". Entä sitten ne tilanteet, joissa viranomainen valvoo joko kansalaisia (yhteisötilaajana) tai sitten työntekijöitään?
129 * Kaikki poliittiset nuorisojärjestöt vastustavat lainsäädäntöhanketta. Eikö nuoriso siis ymmärrä, miten Internet toimii..?
130 * Huomioiden kuinka paljon erilaisia tulkintoja laista on onnistuttu saamaan aikaiseksi, eikö sen sisältö ole joka tapauksessa aivan liian epäselvä, jotta se voitaisiin hyväksyä nykymuodossaan?
131 * EK & LVM väittävät, että laki vain parantaa työntekijöiden asemaa. Jos tästä olisi oikeasti kyse, miksi moinen hätä ajaa lakia läpi?
132 * Jos kerran kaikki ovat liikuttavan yksimielisiä siitä, että tässä nyt parannetaan yrityssalaisuuksien suojaa ja lain halutaan koskevan vain suuria yrityksiä, miksi pykäliä ei ole säädetty työelämän tietosuojalakiin ja/tai rajattu koskemaan YT-menettelyn piirissä olevia yrityksiä?
133 * Miksi lakia halutaan ajaa kuin käärmettä pyssyn piippuun ([lain aikaisempi inkarnaatiokin](http://www.effi.org/blog/kai-2006-08-17.html) tyrmättiin)?
137 ## Esitetty sähköisen viestinnän tietosuojalain 13 - 13k §
139 Alla on [hallituksen esityksessä 48/2008 vp](http://www.eduskunta.fi/valtiopaivaasiat/HE+48/2008) esitetyt 13-13k pykälät liikenne- ja viestintävaliokunnan mietinnössä [LiVM 19/2008](http://www.eduskunta.fi/valtiopaivaasiakirjat/livm+19/2008) esitetyin muutoksin. Valiokunnan poistamaksi tai muutettavaksi esittämä hallituksen esityksen kohta on merkitty *[HE: hakasulkeissa]*. Jos *[HE: hakasulkeissa olevan]* poistaisi, jäisivät siis jäljelle liikenne- ja viestintävaliokunnan esittämät pykälät.
141 Valiokunnan mietinnössä esitetään uutta pykälää 13 e sekä muutoksia melkein kaikkin(!) pykäliin. Se, että kaikkea pitää korjata, osoittaa jotain aluperäisestä hallituksen esityksestä.
143 Lisätietoja [Lex Nokia -FAQista](http://www.effi.org/lexnokia-faq.html).
145 ### 13 § Teleyrityksen ja lisäarvopalvelun tarjoajan käsittelyoikeus väärinkäytöstapauksissa
147 Teleyritys ja lisäarvopalvelun tarjoaja voi käsitellä tunnistamistietoja verkkopalvelun, viestintäpalvelun tai lisäarvopalvelun maksullisen palvelun käyttöä maksutta tai muiden siihen rinnastuvien käyttöä koskevien väärinkäytösten havaitsemiseksi, estämiseksi ja selvittämiseksi.
149 Viestintävirasto voi antaa tarkempia määräyksiä 1 momentissa tarkoitetun tunnistamistietojen käsittelyn teknisestä toteuttamisesta.
151 ### 13 a § Yhteisötilaajan käsittelyoikeus väärinkäytöstapauksissa
153 Yhteisötilaajalla on oikeus käsitellä tunnistamistietoja maksullisen tietoyhteiskunnan palvelun, viestintäverkon tai viestintäpalvelun luvattoman käytön taikka rikoslain (39/1889) 30 luvun 11 §:n tarkoittaman yrityssalaisuuksien paljastamisen ehkäisemiseksi ja selvittämiseksi siten kuin 13 b-13 k §:ssä säädetään.
155 *[HE: Yhteisötilaajalla on oikeus käsitellä tunnistamistietoja maksullisen tietoyhteiskunnan palvelun tai viestintäverkon luvattoman käytön, viestintäpalvelun ohjeen vastaisen käytön taikka yrityssalaisuuksien paljastamisen selvittämiseksi siten kuin 13 b-13 j §:ssä säädetään.]*
157 Viestintäverkon tai viestintäpalvelun luvatonta käyttöä voi olla laitteen, ohjelman tai palvelun asentaminen yhteisötilaajan viestintäverkkoon, sivulliselle oikeudettomasti pääsyn avaaminen yhteisötilaajan viestintäverkkoon tai viestintäpalveluun taikka muu näihin rinnastuva viestintäverkon tai viestintäpalvelun käyttö, jos se on käytöstä laadittujen 13 b §:n 3 momentissa tarkoitettujen ohjeiden vastaista.
160 *[HE: Viestintäverkon luvatonta käyttöä tai viestintäpalvelun ohjeen vastaista käyttöä on laitteen, ohjelman tai palvelun asentaminen yhteisötilaajan viestintäverkkoon taikka muu näihin rinnastuva viestintäverkon tai viestintäpalvelun käyttö, jos se on käytöstä laadittujen 13 b §:n 3 momentissa tarkoitettujen ohjeiden vastaista.]*
162 Edellä 1 momentissa tarkoitettu oikeus ei koske kiinteän tai matkapuhelinverkon puhelinpalvelujen tunnistamistietoja.
164 ### 13 b § Yhteisötilaajan huolehtimisvelvollisuus väärinkäytöstapauksissa
166 Yhteisötilaajan on ennen tunnistamistietojen käsittelyn aloittamista maksullisen tietoyhteiskunnan palvelun, viestintäverkon tai viestintäpalvelun luvattoman käytön ehkäisemiseksi:
168 *[HE: Yhteisötilaajan on ennen tunnistamistietojen käsittelyn aloittamista maksullisen tietoyhteiskunnan palvelun tai viestintäverkon luvattoman käytön taikka viestintäpalvelun ohjeen vastaisen käytön ehkäisemiseksi:]*
170 1. rajoitettava pääsyä viestintäverkkoonsa ja viestintäpalveluunsa ja niiden käyttöön sekä ryhdyttävä muihin toimenpiteisiin viestintäverkkonsa ja viestintäpalvelunsa käytön suojaamiseksi asianmukaisin tietoturvallisuustoimenpitein; ja
171 2. määriteltävä, minkälaisia viestejä sen viestintäverkon kautta saa välittää ja hakea, sekä miten sen viestintäverkkoa ja viestintäpalvelua saa muutoin käyttää ja minkälaisiin kohdeosoitteisiin viestintää ei saa harjoittaa.
173 Yhteisötilaajan on ennen tunnistamistietojen käsittelyn aloittamista yrityssalaisuuksien paljastamisen ehkäisemiseksi:
175 1. rajoitettava pääsyä yrityssalaisuuksiin ja ryhdyttävä muihin toimenpiteisiin viestintäverkkonsa ja viestintäpalvelunsa käytön ja tietojen suojaamiseksi asianmukaisin tietoturvallisuustoimenpitein *[HE: rajoitettava pääsyä yrityssalaisuuksiin ja ryhdyttävä muihin toimenpiteisiin tietojen asianmukaiseksi suojaamiseksi]*; ja
176 2. määriteltävä, miten yrityssalaisuuksia saa viestintäverkossa siirtää, luovuttaa tai muutoin käsitellä ja minkälaisiin kohdeosoitteisiin yrityssalaisuuksia käsittelemään oikeutetut henkilöt eivät ole oikeutettuja lähettämään viestejä.
178 Yhteisötilaajan on 1 ja 2 momentissa tarkoitettujen väärinkäytösten ehkäisemiseksi annettava kirjalliset ohjeet viestintäverkon tai viestintäpalvelun käyttäjälle.
180 ### 13 c § Yhteisötilaajan suunnittelu- ja yhteistoimintavelvoite väärinkäytöstapauksissa
182 Yhteisötilaajan on ennen 13 a §:n 1 momentissa tarkoitetun tunnistamistietojen käsittelyn aloittamista nimettävä ne henkilöt, joiden tehtäviin tunnistamistietojen käsittely kuuluu tai määriteltävä mainitut tehtävät. Tunnistamistietoja voivat käsitellä vain yhteisötilaajan viestintäverkon ja viestintäpalvelun ylläpidosta ja tietoturvasta sekä turvallisuudesta huolehtivat henkilöt.
184 Jos yhteisötilaaja on yhteistoimintalainsäädännön piiriin kuuluva työnantaja, on hänen:
186 1. käsiteltävä 13 a-13 k §:ssä tarkoitetussa tunnistamistietojen käsittelyssä noudatettavien menettelyjen perusteet ja käytännöt yhteistoiminnasta yrityksissä annetun lain (334/2007 ) 4 luvussa, yhteistoiminnasta valtion virastoissa ja laitoksissa annetussa laissa (651/1988 ) ja työnantajan ja henkilöstön välisestä yhteistoiminnasta kunnissa annetussa laissa (449/2007 ) tarkoitetussa yhteistoimintamenettelyssä *[HE: käsiteltävä 13 a-13 j §:ssä tarkoitetussa tunnistamistietojen käsittelyssä noudatettavien menettelyjen perusteet ja käytännöt yhteistoiminnasta yrityksissä annetun lain (334/2007) 4 luvussa, yhteistoiminnasta valtion virastoissa ja laitoksissa annetussa laissa (651/1988) ja työnantajan ja henkilöstön välisestä yhteistoiminnasta kunnissa annetussa laissa (449/2007) tarkoitetussa yhteistoimintamenettelyssä]*; ja
187 2. tiedotettava tunnistamistietojen käsittelystä tekemänsä päätökset työntekijöille tai heidän edustajilleen siten kuin yksityisyyden suojasta työelämässä annetun lain (759/2004) 21 §:n 2 momentissa säädetään.
189 Jos yhteisötilaaja on työnantaja, joka ei kuulu yhteistoimintalainsäädännön piiriin, on hänen kuultava työntekijöitä 2 momentin 1 kohdassa tarkoitetuista seikoista ja tiedotettava niistä työntekijöille siten kuin yksityisyyden suojasta työelämässä annetun lain 21 §:n 1 ja 2 momentissa säädetään.
191 Jos yhteisötilaaja ei ole työnantaja, on yhteisötilaajan tiedotettava käyttäjille 13 a-13 k §:ssä tarkoitetussa tunnistamistietojen käsittelyssä noudatettavista menettelyistä ja käytännöistä
193 *[HE: Jos yhteisötilaaja ei ole työnantaja, on yhteisötilaajan tiedotettava käyttäjille 13 a-13 j §:ssä tarkoitetussa tunnistamistietojen käsittelyssä noudatettavista menettelyistä ja käytännöistä.]*
195 ### 13 d § Yhteisötilaajan käsittelyoikeus maksullisen tietoyhteiskunnan palvelun, viestintäverkon tai viestintäpalvelun luvattoman käytön selvittämiseksi
197 *[HE: 13 d § Yhteisötilaajan käsittelyoikeuden edellytykset väärinkäytöstapauksissa]*
199 Yhteisötilaaja saa käsitellä tunnistamistietoja automaattisen hakutoiminnon avulla, joka voi perustua viestien kokoon, yhteenlaskettuun kokoon, tyyppiin, määrään, yhteystapaan tai kohdeosoitteisiin.
201 Yhteisötilaaja saa käsitellä tunnistamistietoja manuaalisesti, jos on perusteltu syy epäillä, että viestintäverkkoa, viestintäpalvelua tai maksullista tietoyhteiskunnan palvelua käytetään 13 b §:n 3 momentissa tarkoitettujen ohjeiden vastaisesti (poist.) ja jos:
203 *[HE: Yhteisötilaaja saa käsitellä tunnistamistietoja manuaalisesti, jos on perusteltu syy epäillä, että viestintäverkkoa, viestintäpalvelua tai maksullista tietoyhteiskunnan palvelua käytetään 13 b §:n 3 momentissa tarkoitettujen ohjeiden vastaisesti tai että yrityssalaisuus on luvattomasti annettu ulkopuoliselle ja jos:]*
205 1. automaattisen hakutoiminnon avulla on havaittu viestinnässä poikkeama;
206 2. maksullisen tietoyhteiskunnan palvelun käytön kustannukset ovat nousseet epätavallisen korkeiksi;
207 3. viestintäverkossa havaitaan sinne oikeudetta asennettu laite, ohjelma tai palvelu;
208 4. (poist.) *[HE: yrityssalaisuus julkaistaan tai sitä käytetään luvatta]*; taikka
209 4. (poist.) yksittäistapauksessa muusta 1-3 kohtaan rinnastuvasta, yleisesti havaittavissa olevasta seikasta voidaan päätellä, että viestintäverkkoa, viestintäpalvelua tai maksullista tietoyhteiskunnan palvelua käytetään 13 b §:n 3 momentissa tarkoitettujen ohjeiden vastaisesti (poist.). *[HE: yhteisötilaajalla on yksittäistapauksessa muun 1-4 kohtaan rinnastuvan, yleisesti havaittavissa olevan seikan perusteella syy epäillä, että viestintäverkkoa, viestintäpalvelua tai maksullista tietoyhteiskunnan palvelua käytetään 13 b §:n 3 momentissa tarkoitettujen ohjeiden vastaisesti tai että yrityssalaisuus on luvattomasti annettu ulkopuoliselle.]*
211 Edellä 1 ja 2 momentissa tarkoitetun käsittelyn edellytyksenä on, että (poist.) tapahtuma tai teko todennäköisesti aiheuttaa yhteisötilaajalle merkittävää haittaa tai vahinkoa (poist.)
213 *[HE: Edellä 1 ja 2 momentissa tarkoitetun käsittelyn edellytyksenä on, että:*
215 1. *tapahtuma tai teko todennäköisesti aiheuttaa yhteisötilaajalle merkittävää haittaa tai vahinkoa; taikka*
216 2. *epäilty yrityssalaisuuden paljastaminen kohdistuu yhteisötilaajan tai sen yhteistyökumppanin elinkeinotoiminnan kannalta keskeisiin yrityssalaisuuksiin taikka teknologisen tai muun kehittämistyön tuloksiin, jotka todennäköisesti ovat merkittäviä elinkeinotoiminnan käynnistämisen tai sen harjoittamisen kannalta.]*
218 Edellä 2 momentissa tarkoitetun käsittelyn edellytyksenä on lisäksi, että tiedot ovat välttämättömiä luvattoman käytön ja siitä vastuussa olevien selvittämiseksi sekä luvattoman (poist.) käytön lopettamiseksi.
220 *[HE: Edellä 2 momentissa tarkoitetun käsittelyn edellytyksenä on lisäksi, että tiedot ovat välttämättömiä väärinkäytöksen ja siitä vastuussa olevien selvittämiseksi sekä luvattoman tai ohjeen vastaisen käytön lopettamiseksi.]*
222 ### 13 e § (Uusi) Yhteisötilaajan käsittelyoikeus yrityssalaisuuksien paljastamisen selvittämiseksi
224 Yhteisötilaaja saa käsitellä tunnistamistietoja automaattisen hakutoiminnon avulla, joka voi perustua viestien kokoon, yhteenlaskettuun kokoon, tyyppiin, määrään, yhteystapaan tai kohdeosoitteisiin.
226 Yhteisötilaaja saa käsitellä tunnistamistietoja manuaalisesti, jos on perusteltu syy epäillä, että yrityssalaisuus on viestintäverkkoa tai viestintäpalvelua käyttämällä luvattomasti annettu ulkopuoliselle, ja jos:
228 1. automaattisen hakutoiminnon avulla on havaittu viestinnässä poikkeama;
229 2. yrityssalaisuus julkaistaan tai sitä käytetään luvatta; taikka
230 3. yksittäistapauksessa muusta 1 tai 2 kohtaan rinnastuvasta, yleisesti havaittavissa olevasta seikasta voidaan päätellä, että yrityssalaisuus on luvattomasti annettu ulkopuoliselle.
232 Edellä 1 ja 2 momentissa tarkoitetun käsittelyn edellytyksenä on, että epäilty yrityssalaisuuden paljastaminen kohdistuu yhteisötilaajan tai sen yhteistyökumppanin elinkeinotoiminnan kannalta keskeisiin yrityssalaisuuksiin taikka teknologisen tai muun kehittämistyön tuloksiin, jotka todennäköisesti ovat merkittäviä elinkeinotoiminnan käynnistämisen tai sen harjoittamisen kannalta.
234 Edellä 2 momentissa tarkoitetun käsittelyn edellytyksenä on lisäksi, että tiedot ovat välttämättömiä yrityssalaisuuden paljastamisen ja siitä vastuussa olevien selvittämiseksi.
236 ### 13 f *[HE: e]* § Käsittelyoikeuden erityiset rajoitukset väärinkäytöstapauksissa
238 Automaattista hakua ei saa kohdistaa eikä tunnistamistietoja saa hakea esille eikä ottaa manuaalisesti käsiteltäviksi oikeudenkäymiskaaren 17 luvun 24 §:n 2 ja 3 momentissa tarkoitettujen tietojen selville saamiseksi.
240 Yrityssalaisuuksien paljastamisen selvittämiseksi työnantajana oleva yhteisötilaaja voi käsitellä vain sellaisten käyttäjiensä tunnistamistietoja, joille yhteisötilaaja on antanut tai joilla muutoin on yhteisötilaajan hyväksymällä tavalla pääsy yrityssalaisuuksiin.
242 ### 13 g *[HE: f]* § Yhteisötilaajan tiedonantovelvollisuus käyttäjälle väärinkäytöstapauksissa
244 Yhteisötilaajan on laadittava 13 d §:n (poist.) 2 momentissa ja 13 e §:n 2 momentissa tarkoitetusta manuaalisesta tunnistamistietojen käsittelystä selvitys, josta käy ilmi:
246 *[HE: Yhteisötilaajan on laadittava 13 d §:n 1 ja 2 momentissa tarkoitetusta manuaalisesta tunnistamistietojen käsittelystä selvitys, josta käy ilmi:]*
248 1. käsittelyn peruste, ajankohta ja kesto;
249 2. syy, minkä vuoksi tunnistamistietojen manuaaliseen käsittelyyn on ryhdytty;
250 3. käsittelijät; sekä
251 4. käsittelystä päättänyt henkilö.
253 Käsittelyyn osallistuneiden henkilöiden on allekirjoitettava selvitys. Selvitys on säilytettävä vähintään kaksi vuotta 13 d §:ssä tai 13 e §:ssä tarkoitetun käsittelyn päättymisestä.
255 *[HE: Käsittelyyn osallistuneiden henkilöiden on allekirjoitettava selvitys. Selvitys on säilytettävä vähintään kaksi vuotta 13 d §:ssä tarkoitetun käsittelyn päättymisestä.]*
257 Edellä 1 momentissa tarkoitettu selvitys on annettava tiedoksi käsittelyn kohteena olevan viestintäverkon tai viestintäpalvelun käyttäjälle heti, kun se voi tapahtua käsittelyn tarkoitusta vaarantamatta. Selvitystä ei kuitenkaan tarvitse antaa niille käyttäjille, joiden tunnistamistietoja on käsitelty massamuotoisesti siten, että käyttäjien tunnistamistiedot eivät ole tulleet käsittelijän tietoon. Käyttäjällä on oikeus lakiin tai sopimukseen perustuvan salassapitovelvollisuuden estämättä luovuttaa selvitys ja sen yhteydessä saamansa tiedot etujaan tai oikeuksiaan koskevan asian käsittelyä varten.
259 ### 13 h *[HE: g]* § Yhteisötilaajan tiedonantovelvollisuus työntekijöiden edustajalle väärinkäytöstapauksissa
261 Jos yhteisötilaaja on työnantaja, sen on annettava työntekijöiden edustajalle vuosittain 13 d §:n 2 momentissa ja 13 e §:n 2 momentissa tarkoitetusta tunnistamistietojen manuaalisesta käsittelystä selvitys, josta on käytävä ilmi, millä perusteella ja kuinka monta kertaa tunnistamistietoja on vuoden aikana käsitelty.
263 *[HE: Jos yhteisötilaaja on työnantaja, sen on annettava työntekijöiden edustajalle vuosittain 13 d §:n 2 momentissa tarkoitetusta tunnistamistietojen manuaalisesta käsittelystä selvitys, josta on käytävä ilmi, millä perusteella ja kuinka monta kertaa tunnistamistietoja on vuoden aikana käsitelty.]*
265 Edellä 1 momentissa tarkoitettu selvitys on annettava työ- tai virkaehtosopimuksen perusteella valitulle luottamusmiehelle tai, jos tällaista ei ole valittu, työsopimuslain (55/2001) 13 luvun 3 §:ssä tarkoitetulle luottamusvaltuutetulle. Jos jonkin henkilöstöryhmän työntekijät eivät ole valinneet luottamusmiestä tai luottamusvaltuutettua, on selvitys annettava yhteistoiminnasta yrityksissä annetun lain 8 §:ssä tai työnantajan ja henkilöstön välisestä yhteistoiminasta kunnissa annetun lain 3 §:ssä tarkoitetulle yhteistoimintaedustajalle taikka yhteistoiminnasta valtion virastoissa ja laitoksissa annetun lain 6 §:n 2 momentissa tarkoitetulle edustajalle. Jos näitäkään ei ole valittu, selvitys on annettava kaikille tähän henkilöstöryhmään kuuluville työntekijöille.
267 Työntekijöiden edustajien ja 2 momentissa tarkoitettujen työntekijöiden on pidettävä salassa tietoonsa saamat yrityssalaisuuden loukkaukset ja epäilyt yrityssalaisuuden loukkaamisesta koko työsuhteen voimassaoloajan. Virkamiehen ja muun viranomaisen palveluksessa toimivan salassapitovelvollisuudesta on voimassa, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) ja muualla laissa säädetään. Mitä edellä säädetään, ei estä tietojen luovuttamista valvontaviranomaiselle.
269 ### 13 i *[HE: h]* § Ennakkoilmoitus ja vuosittainen selvitys tietosuojavaltuutetulle väärinkäytöstapauksissa
272 Yhteisötilaajan on ilmoitettava ennalta tietosuojavaltuutetulle tunnistamistietojen käsittelyn aloittamisesta. Ennakkoilmoituksesta on käytävä ilmi:
274 1. 13 d ja 13 e §:ssä tarkoitetussa tunnistamistietojen käsittelyssä noudatettavien menettelyjen perusteet ja käytännöt *[HE: 13 d §:ssä tarkoitetussa tunnistamistietojen käsittelyssä noudatettavien menettelyjen perusteet ja käytännöt]*;
275 2. 13 c §:n 1 momentissa tarkoitetut tehtävät; ja
276 3. miten yhteisötilaaja on järjestänyt 13 c §:n 2 momentin 2 kohdassa tai 3 momentissa tarkoitetun käsittelyä edeltävän tiedottamisvelvollisuutensa.
278 Yhteisötilaajan on annettava tietosuojavaltuutetulle vuosittain jälkikäteen selvitys tunnistamistietojen manuaalisesta käsittelystä. Selvityksestä on käytävä ilmi, millä perusteella ja kuinka monta kertaa tunnistamistietoja on vuoden aikana käsitelty.
280 ### 13 j *[HE: i]* § Yhteisötilaajan oikeus säilyttää tunnistamistietoja väärinkäytöstapauksissa
282 Mitä edellä 13 a-13 i §:ssä säädetään, ei oikeuta yhteisötilaajaa säilyttämään tunnistamistietoja rekisterissä kauempaa kuin lain mukaan muutoin on sallittua.
284 *[HE: Mitä 13 a-13 h §:ssä säädetään, ei oikeuta yhteisötilaajaa säilyttämään tunnistamistietoja rekisterissä kauempaa kuin lain mukaan muutoin on sallittua.]*
286 ### 13 k *[HE: j]* § Yhteisötilaajan oikeus tietojen luovuttamiseen väärinkäytöstapauksissa
288 Sen estämättä, mitä 8 §:n 3 momentissa säädetään, yhteisötilaajalla on oikeus luovuttaa asianomistajana tekemänsä rikosilmoituksen tai tutkintapyynnön yhteydessä poliisille käsiteltäviksi 13 a-13 j §:n mukaisesti saamansa yhteisötilaajan viestintäverkon tai viestintäpalvelun käyttäjän viestejä koskevat tunnistamistiedot.
290 *[HE: Sen estämättä, mitä 8 §:n 3 momentissa säädetään, yhteisötilaajalla on oikeus luovuttaa asianomistajana tekemänsä rikosilmoituksen tai tutkintapyynnön yhteydessä poliisille käsiteltäviksi 13 a-13 i §:n mukaisesti saamansa yhteisötilaajan viestintäverkon tai viestintäpalvelun käyttäjän viestejä koskevat tunnistamistiedot.]*
projects / .git / blob