## Ohjeita Huomaa, että tähän dokumenttiin kirjoitettu voidaan julkaista [Public Domain -lisenssillä](http://creativecommons.org/licenses/publicdomain/). Versio tästä dokumentista on julkaistu osoitteessa # Lex Nokia -FAQ Tämä dokumentti on [Public Domainia](http://creativecommons.org/licenses/publicdomain/). Lakiesityksen *[HE 48/2008 vp](http://www.eduskunta.fi/valtiopaivaasiat/HE+48/2008) sähköisen viestinnän tietosuojalain ja eräiden siihen liittyvien lakien muuttamisesta*, joka tunnetaan myös nimillä Urkintalaki ja Lex Nokia, käsittely on kriittisessä vaiheessa eduskunnassa. Tähän dokumenttiin on koottu olennaisia näkökulmia lakiesitystä koskien. ## Tavallisia väittämiä ja niiden vastaväittämät Lex Nokiaa koskevissa keskusteluissa samat argumentit tahtovat toistua. Tähän on koottu usein toistuvia väittämiä vastauksineen. ### "Eihän rehellisellä ole mitään salattavaa." Miksi sinulla sitten on vessan ovessa lukko, ikkunoissa verhot ja miksi et kerro todellista mielipidettäsi anopin uudesta hatusta? Olemme niin tottuneita sekä antamaan muille että olettamaan tietyn yksityisyyden, ettemme edes huomaa sitä. Emme ennen kuin se puuttuu. ### Mutta tämähän koskee vain meilejä. Laki *ei* koskisi pelkästä sähköpostia vaan *ihan kaikkea IP-pohjaista* liikennettä (webbiselailu, Internet-puhelut jne.). ### Mutta tämähän koskee vain työasioita. Jos muutos olisi haluttu kohdistaa pelkästään työntekijöihin, se olisi tehty lakiin yksityisyyden suojasta työelämästä. Laki antaisi *kaikille yhteisötilaajille* (taloyhtiöt jotka hallinnoivat omaa viestintäverkkoaan, kirjastot, yliopistot, eduskunta jne.) oikeuden valvoa käyttäjiä. ### Tietoverkko on työntekijän omaisuutta eikä yrityksen tietoverkkoa saa käyttää omien asioitten hoitoon Laki ei koske vain työpaikkoja, vaan kaikkia yhteisötilaajia, eduskunta mukaanlukien. Lakia on perusteltu yrityssalaisuuksien suojaamisella, ei työaikojen seurannalla. Epäilemättä joku työnantaja voisi Lex Nokiaa kuitenkin työaikaseurantaankin käyttää. Ihmisillä on tietty oikeus yksityisyyteen, jopa silloin kun viestinnän toinen osapuoli - esimerkiksi sähköpostin lähettäjä tai vastaanottaja - on töissä. Työnantajan lailliset keinot eivät saisi ylittää direktio-oikeutta (työnantajan oikeutta antaa määräyksiä työntekijöille). Jokainen ymmärtää, että jossain kulkee raja: työnantaja ei saa esimerkiksi pyytää työntekijää riisuuntumaan alasti USB-muistitikkujen löytämiseksi. Jos esimerkiksi yritys antaa työntekijälleen pääsyn Internettiin ja henkilökohtaisen viestintämahdollisuuden (mitä työnantajan ei ole pakko tehdä), niin työterveydenhuoltoon, ammattiyhdistyksen lakimieheen ja jopa kilpailevassa yrityksessä työskentelevään kaveriin pitää voida saada olla yhteydessä ilman pelkoa siitä, että viestintätiedot urkitaa. ## Oikeammat vastaukset Liikenne- ja viestintäministeriön FAQ-kysymyksiin ### 1. Mitä hyötyä laista on? Miksi lakia tarvitaan? Voimassa oleva, vuodelta 2004 peräisin oleva, laki rajaa yhteisötilaajien mahdollisuudet käyttäjien viesteihin puuttumiseen virusten, roskapostin ja vastaavien uhkien ja väärinkäytösten torjumiseen. Uusi laki lisää listaan yrityssalaisuudet ja jopa viestintäpalvelujen ohjeiden vastaisen käytön, jotka jäävät lopulta yrityksen itsensä määriteltäviksi. Tämä huonontaa kaikkien oikeusturvaa. Laki kaivaa maata Suomessa perinteisesti tarkasti varjellun kirjesalaisuuden ja viestinnän luottamuksellisuuden alta. On kansalaisten etu, että laissa on tarkat pykälät siitä, mitä vaikkapa työnantaja saa tehdä ja mitä ei. Uudessa laissa ei näin ole. ### 2. Kuka on yhteisötilaaja? Yhteisötilaajia ovat organisaatiot, jotka itse huolehtivat viestintäverkkonsa käyttäjien sähköisten viestintäpalvelujen välittämisestä. Esim. yritykset, virastot, koulut, kirjastot ja taloyhtiöt, joilla on oma sähköpostipalvelin tai verkkoliikenteen reititin, ovat yhteisötilaajia. ### 3. Onko taloyhtiö yhteisötilaaja, jolle kuuluu väärinkäytösten selvittäminen? Taloyhtiö on yhteisötilaaja, mikäli se hoitaa asukkaiden verkkoliikennettä keskitetysti. Mikäli verkkoliittymä on taloyhtiön nimissä tai keskitetysti hallittu, on taloyhtiöllä edellytykset verkkoliikenteen seurantaan. Tietohallinnon järjestelyt taloyhtiöissä on tavallisesti hyvin epämuodolliset. ### 4. Miten laki muuttaa nykyistä tilannetta? Tunnistamistietojen käyttömahdollisuutta laajennetaan, ja lain piirissä on kaikki verkkoliikenne. Sähköpostin lisäksi tähän kuuluvat mm. pikaviestimet, internet-puhelut ja tiedonsiirtopalvelut. Erityisesti työntekijöiden oikeusturva heikkenee, koska laki jättää valtavasti tulkinnanvaraa niin sen suhteen mitä yhteisötilaaja voi seurata, kuin senkin suhteen mitä toimia seurannan aloittaminen edellyttää. ### 5. Milloin seuranta voidaan käynnistää? Sitä laki ei selvästi kerro, mutta listaa lukuisia epämääräisiä toimenpiteitä joita edellytetään. Tiukin mahdollinen tulkinta tekisi valvonnasta mahdollista vain äärimmäisen harvoisssa organisaatioissa ja tiukasti rajatuissa ympäristöissä, jolloin laki olisi miltei kaikille yrityksillekin hyödytön. Väljällä tulkinnalla taas voisi mahdollistaa seurannan esimerkiksi edellyttämällä taloyhtiön verkkoa käyttäviltä asukkailta sopimuksen allekirjoittamista, ja toimittamalla valmiin lomakkeen tietosuojavaltuutetulle. Perustelujen riittävyys on puhtaasti tulkintakysymys. ### 6. Millainen yrityssalaisuuden on oltava, jotta seuranta voidaan käynnistää? Seurannan aloittaminen ei edellytä yrityssalaisuutta, vaan siihen riittää epäily käyttösääntöjen vastaisesta käytöstä. Eli käytännössä mikä tahansa syy jonka organisaatio haluaa päteväksi katsoa. Yrityssalaisuus määritellään rikoslaissa, ja sillä tarkoitetaan liike- tai ammattisalaisuutta, jonka vuotaminen olisi omiaan aiheuttamaan taloudellista vahinkoa joko kyseiselle yritykselle tai toiselle yritykselle. Käytännössä organisaatio sanelee itse mitkä seikat voidaan katsoa organisaatiolle haittaa tuottaviksi. ### 7. Mitä ovat tunnistamistiedot, joita lain myötä voidaan erikoistapauksissa tutkia? Tunnistamistietoja ovat tiedot viestin lähettäjästä ja vastaanottajasta, yhteyden kestosta, reitityksestä, ajankohdasta sekä siirretyn tiedon määrästä. Tunnistamistiedot ovat kuin kirjekuoren osoitetiedot, mutta niihin ei sovelleta samaa luottamuksellisuutta kuin osoitetietoihin. Tämän lisäksi tunnistetietoja ovat kaiken verkkoliikenteen lähetysajat ja kohteet. Lisäksi sähköisen liikenteen urkinta mahdollistaa tehokkaat automaattiset analyysimenetelmät, toisin kuin perinteisen kirjepostin tapauksessa. Näin organisaatio voi tarkkoja malleja siitä miten käyttäjät verkossa toimivat, vaikka viestien täsmällinen sisältö jäisikin lukematta. ### 8. Mitkä oikeudet työnantajalla on tällä hetkellä estää yrityssalaisuuksien vuotaminen? Mikään laki ei kiellä yrityksiä huolehtimasta tietoturvastaan ja yrityssalaisuuksien vuotamisen estämisestä, mutta käyttäjien viestintää ja yksityisyyttä laki suojaa. Yritykset voivat jo nyt estää usb-muistitikkujen käytön tai rajata pääsyn tunnettuihin webmail-osoitteisiin (Gmail, suomi24.fi tai Hotmail) työtekijöiltä. Yritykset voivat myös rajoittaa oman sähköpostinsa käyttöä parhaaksi katsomallaan tavalla, ja estää haitallisiin osoitteisiin lähettämisen. Yritykset voivat myös järjestää kulunvalvonnan ja käyttää salassapitosopimuksia tietojen suojaamiseen. Uusi laki mahdollistaa lisäksi käyttäjien yksityisyyden loukkaamisen kaikessa verkkoliikenteessä. ### 9. Mitkä ovat seuraukset, jos työntekijä jää kiinni luvattomasta käytöstä tai yrityssalaisuuksien vuotamisesta? Yritykset ja yhteisötilaajat päättävät, miten haluavat edetä. Ne voivat tehdä asiasta tutkintapyynnön poliisille, jos katsovat jonkin rikoksen tunnusmerkistön täyttyvän. Jo aiemmat oikeustapaukset ovat kuitenkin osoittaneet viestien tunnistetietojen riittämättömyyden todistusaineistona, mikä asettaa lain perustelut hyvin outoon valoon. Epäselväksi jää, mitkä ovat seuraukset jos yrityksen tietoturvaosasto on väärin perustein tutkinut työntekijöiden viestintätietoja. ### 10. Annetaanko yrityksille suuremmat valtuudet kuin poliisilla on? Kyllä annetaan, sillä kyseessä on aivan erilaiset valtuudet. Vaikka yritys ja yhteisötilaaja hallinnoi viestintäjärjestelmiään samalla tavalla kuin kiinteistöään ja huonetilojaan, antaa uusi laki mahdollisuuden puuttua käyttäjän yksityisyyteen. Kulunvalvonnan laajentaminen vastaavalla tavalla voisi tarkoittaa jo ministeritasollakin mainostettua riisuutumista turvatarkastuksissa. Yksityisen viestinnän tietoihin ei edes poliisilla ole pääsyä ilman yhteisötilaajan suostumusta tai tuomioistuimen päätöstä, kun taas organisaatioille se halutaan sallia ilmoitusluontoisella toimenpiteellä. ### 11. Mitä tapahtuu, jos lakiesitystä ei hyväksytä? Olemassa olevan lain epäkohdat jäävät voimaan, mutta perusoikeudet säilyvät. Hallituksen esityksellä on haluttu lisätä yhteisötilaajien valvontakeinoja laajentamalla tunnistamistietojen seurantamahdollisuuksia. Nämä tavoitteet jäävät toteutumatta vaikka lakiehdotus hyväksyttäisiin, sillä tunnistetiedot ovat täysin tehoton keino yrityssalaisuuksien vuotamisen estämiseksi. Lain hyväksyminen johtaisi siis vain perusoikeuksien heikkenemiseen. Toisaalta, jos lakiesitystä ei hyväksytä, voimme jatkossakin luottaa siihen, että sähköpostiviestintää kohdellaan yhtä luottamuksellisesti kuin perinteistä kirje- ja puhelinviestintääkin, eikä rehellisen kansalaisen tarvitse olla huolissaan siitä että hänen viestintäänsä jatkuvasti kohdistetaan urkintaa, niin kotona, koulussa kuin työpaikallakin. ## Hyviä kysymyksiä vailla vastauksia * Perustuslakivaliokunta ei käsitellyt yhteisötilaajia käytännössä lainkaan lausunnossaan työnantajien viedessä kaiken huomion. (vrt: http://web.eduskunta.fi/Resource.phx/pubman/templates/1.htx?id=1971) Eikö lain perustulainmukaisuus ole tältä osin siis edelleen avoin? * Miksi valvontavastuu ollaan siirtämässä viestintävirastolta tietosuojavaltuutetulle, jonka toimisto ei edes annetuille lisäresursseilla mitenkään pysty valvomaan lain toteutumista? Miksei valtiontalouden tarkastusviraston vastustusta huomioitu mitenkään? * Miksi laki sallii tilastollisen verkkoliikenteen seurannan niissäkin tilanteissa, joissa käyttäjien vähäisen määrän vuoksi kerätty aineisto on tosiasiallisesti yhdistettävissä tiettyihin käyttäjiin? * Perustuslakivaliokunnan mukaan laki voidaan säätää normaalissa järjestyksessä, koska "työnantaja ei ole viranomainen". Entä sitten ne tilanteet, joissa viranomainen valvoo joko kansalaisia (yhteisötilaajana) tai sitten työntekijöitään? * Kaikki poliittiset nuorisojärjestöt vastustavat lainsäädäntöhanketta. Eikö nuoriso siis ymmärrä, miten Internet toimii..? * Huomioiden kuinka paljon erilaisia tulkintoja laista on onnistuttu saamaan aikaiseksi, eikö sen sisältö ole joka tapauksessa aivan liian epäselvä, jotta se voitaisiin hyväksyä nykymuodossaan? * EK & LVM väittävät, että laki vain parantaa työntekijöiden asemaa. Jos tästä olisi oikeasti kyse, miksi moinen hätä ajaa lakia läpi? * Jos kerran kaikki ovat liikuttavan yksimielisiä siitä, että tässä nyt parannetaan yrityssalaisuuksien suojaa ja lain halutaan koskevan vain suuria yrityksiä, miksi pykäliä ei ole säädetty työelämän tietosuojalakiin ja/tai rajattu koskemaan YT-menettelyn piirissä olevia yrityksiä?