torstaina, huhtikuuta 24, 2008

Äärikeino

Hallitus esittää lisää muutoksia tietosuojalainsäädäntöön. Aiemmin on yksittäisen henkilön tietosuojaa murennettu poliisin ja EU:n toiveista johtuen. Nyt vuorossa elinkeinoelämä ja taas otetaan tietosuojasta paloja pois. Kolmikantaisesti näköjään tällä kertaa.

Hallitus siis esittää sähköisen viestinnän tietosuojalain täydentämistä siten, että työnantajille halutaan antaa tietyissä, tarkoin rajatuissa tapauksissa mahdollisuus käsitellä yrityksen koneelta lähetettyjen sähköpostien sekä verkkoliikenteen tunnistamistietoja. Tietoja voisi käyttää, kun on syytä vakavasti epäillä keskeisten yrityssalaisuuksien vuotamista tai merkittävän haitan aiheuttamista yritykselle.

Tällaisissa tiedotteissa on aina omat muotoilulliset tasapainottelunsa ja niin on myös lain tulevissa tulkinnoissakin. Silloin tällaiset "tai merkittävän haitan aiheuttamista" joutuvat suurennuslasin alle ja saavat pahimmassa tapauksessa merkityksiä, joita kukaan ei ole aikaisemmin edes ajatellut.

Tiedotteen otsikointi on aika mielenkiintoinen: "Tunnistamistiedoista äärikeino suojautua tietovuodoilta".

Miten niin äärikeino? Niitä jos tunnistamistietoja tarvitaan, niin tietovuoto on jo tapahtunut. Sanokaa se suoraan eli tunnistamistiedoilla halutaan selvittää syylliset ja pistää potentiaalisille tietovuotajille jokin pelote. Yhtään tietovuotoa tämä ei estä, jos sellaisia on tapahtuakseen.

Tiedotteen mukaan "muutosten valmistelussa on kiinnitetty erityistä huomiota perusoikeuksien tasapainoiseen toteutumiseen. Keskeisinä elementteinä ovat olleet säännösten tarkkarajaisuus, hyväksyttävyys ja suhteellisuus."

Toivottavasti tällä kertaa eduskunnassa asia otetaan perusteelliseen tarkasteluun aiempien sössimisten opettamana ja koko asia viedään perustuslakivaliokuntaan.

Edelleen tiedote kertoo, että "yritysten tulisi pyrkiä suojaamaan viestintäverkkonsa ja -palvelunsa sekä yrityssalaisuutensa ensisijaisesti tietoturvan keinoin ja käyttäjille annettavilla ohjeilla. Tunnistamistietojen käsittely olisi vasta viimesijainen keino."

No hyvä, tunnistamistiedot ovat siis viimesijainen keino mihin? Yrityssalaisuuksien suojelemiseen? Ne eivät voi toimia mitenkään muuten kuin pelotteena ollakseen suojelukeino. Yhtään tunnistautumistietoa kun ei ole olemassa ennen kuin se tietovuoto on tapahtunut tai sitten yrityksessä tunnistautumistietoja seurataan ennen varsinaisen vuodon tapahtumista. Ja se taas ei olisi enää mitään viimesijaista, vaan isovelimeininkiä.

Asiassa on puolensa, kun immateriaalisista asioista on tullut ja tulossa yritystoiminnalle yhä arvokkaampaa. Yrityksillä pitää luonnollisesti olla menettelynsä sille, että se voi suojata omaisuuttaan. On kuitenkin myös niin, että yksityisyyden suojalla on merkitystä ja se on taas yksilölle arvokasta. Eikä sitä saa hiljalleen romuttaa eri nurkista.

Parasta tietovuotojen tukkimista firmoille on työntekijöiden reilu ja rehellinen kohtelu.

EDIT: Kun sitten tuon tiedotteen liitteitä tarkemmin lukee, niin lainmuutoksen tarkoituksena on myös antaa työantajalle mahdollisuus käsitellä automaattisesti tunnistetietoja valvontamielessä. Kun on ensin täyttänyt asiaan liittyvät määrittelemiseen ja tiedottamiseen yms. ehdot ehdot ja raportoi jne. tapahtumista. Pyrkimys on löytää esimerkiksi yrityksen verkkoon pystytetys omat verkkokaupat tms. Käsittelyoikeus olisi vain väärinkäytösten kannalta välttämättömiin tietoihin. Viestien sisältöä tämän lain puitteissa ei saisi tonkia, mutta sitä varten on jo olemassa laki yksityisyyden suojasta työelämässä, joka määrittelee viestien avaamisen ehdot.

Isoveli on siis jälleen lihomassa ja kun eri lakien suomia oikeuksia yhdistellään, niin aika paljon valvontaa saa tehdä. Samoin on oletettavissa, että arviot esimerkiksi valvontaa käyttöön ottavien yritysten määrästä tulevat pettämään. Samoin se miten hyvin tähän liittyvää valvontatoiminnan seurantaa voidaan tehdä. Nyt ilmoitukset etukäteen ja jälkikäteen lähetetään tietosuojavaltuutetulle. Tietosuojavaltuutetun toimistossa on tällä hetkellä tietotekniikan erityisasiantuntijatehtävissä 2 ylitarkastajaa.

Kuka luulee, että näillä resursseilla oikeasti voidaan yksityisyyden suojaa työelämässä valvoa tai suojella?

Ei kommentteja: