Yritykset viranomaisten apuna kansallisen turvallisuuden ylläpitämisessä

Viranomaisten sekä yritysten ja muiden yhteisöjen yhteistyöllä turvallisuuden ylläpitämisessä on meillä pitkät perinteet. Yhteistyötä on harjoitettu aluksi kokonaismaanpuolustusajattelun ja nyttemmin vielä laajemman kokonaisturvallisuusajattelun puitteissa.

Huoltovarmuusyhteistyö

Viranomaisten ja yritysten huoltovarmuusyhteistyö poikkeusoloihin varautumiseksi on organisoitu vapaaehtoisuuteen perustuviksi toimialakohtaisiksi sektoreiksi ja pooleiksi.

Kansallisen turvallisuuden suojaamisen kannalta erityisen merkityksellinen toimiala on puolustusteollisuus. Puolustustarvikkeiden vientiä on rajoitettu Suomen sekä Euroopan unionin yhteisten ulko- ja turvallisuuspoliittisten linjausten lisäksi Suomen kansalliseen turvallisuuteen liittyvillä perusteilla. Puolustustarvikkeisiin luetaan aseiden ohella muun muassa erityisesti sotilaskäyttöön suunniteltuja elektronisia laitteita. Puolustustarvikkeiden viennin lisäksi on rajoitettu kaksikäyttötuotteiden vientiä. Kaksikäyttötuotteet ovat tuotteita, joita voidaan käyttää sekä siviili- että sotilastarkoituksiin. Sotatarvikkeiden ja kaksikäyttötuotteiden suunnittelu, valmistaminen, levittäminen ja käyttö kuuluvat sotilas- ja siviilitiedustelun kohteisiin.

Huoltovarmuuteen voi vaikuttaa myös yrityksen omistuspohja. Omistuspohjaan liittyviä riskejä voidaan pienentää valtion omistuksella ja ulkomaisia yritysostoja rajoittamalla. Ulkomaisten yritysostojen rajoittaminen voi liittyä muun muassa puolustusteollisuusyrityksiin ja maanpuolustuksen turvaamiseen. Pääsäännöstä poiketen puolustusteollisuusyritysten osalta ulkomaisena omistajana pidetään myös sellaista tahoa, jolla on kotipaikka Euroopan talousalueella.

Yhteiskunnan elintärkeisiin toimintoihin liittyville yrityksille on säädetty erityisiä velvollisuuksia varautua normaaliolojen häiriötilanteisiin ja poikkeusoloihin. Tällaisia velvollisuuksia on säädetty muun muassa teleyrityksille ja televisio- ja radiotoiminnan harjoittajille sekä energiahuoltoalan yrityksille.

Poikkeusoloissa sovellettavissa olevat valmiuslaki ja puolustustilalaki mahdollistavat yritysten toiminnan muunkinlaisen ohjaamisen. Valmiuslaissa säädetään liiketoiminnan säännöstelystä ja puolustustilalaissa valtakunnan puolustuksen kannalta välttämättömään hyödyketuotantoon liittyvien tuotantovelvoitteiden asettamisesta.

Yritykset turvallisuusuhkien torjujina

Välitön yhteys turvallisuusuhkien torjuntaan on tietoturvayrityksillä ja yksityisellä turvallisuusalalla.

Tietoturvayritykset tukevat asiakkainaan olevien tietojärjestelmien omistajien ja käyttäjien tietoturvallisuutta. Tietoturvayrityksillä voi olla henkilö-, yritys- ja viranomaisasiakkaita.

Henkilöt, yritykset ja viranomaiset voivat hankkia palveluita myös yksityisen turvallisuusalan yrityksiltä. Palveluissa voi olla kyse vartioimisliike-, järjestyksenvalvoja- tai turvasuojaustoiminnasta. Aikoinaan oli voimassa myös yksityisetsivätoimintaa koskevaa sääntelyä, mutta nykyään osa tuosta toiminnasta eli vartioimiskohteeseen tai toimeksiantajaan kohdistuneen rikoksen paljastaminen luetaan vartioimisliiketoimintaan kuuluvaksi ja muu osa toiminnasta on erikseen sääntelemätöntä. Maailmalla toimii myös yksityisiä tiedusteluyrityksiä ja yksityisiä sotilasalan yrityksiä.

Yritykset julkisten tehtävien hoitajina

Meillä viranomaisten hoidettaviksi lähtökohtaisesti kuuluvia julkisia hallintotehtäviä voidaan antaa muulle kuin viranomaiselle vain lailla tai lain nojalla. Merkittävää julkisen vallan käyttöä sisältäviä tehtäviä voidaan antaa vain viranomaiselle.

Tietoliikennetiedusteluun liittyvä kytkennän suorittajan lakisääteinen tuomioistuimen lupien täytäntöönpanotehtävä on julkinen hallintotehtävä. Tehtävä on annettu tiedustelulaeissa valtion kokonaan omistamalle Suomen Erillisverkot Oy:lle tai sen kokonaan omistamalle tytäryhtiölle. Yritykselle, esimerkiksi teleyritykselle, laissa säädetty oman liiketoimintansa harjoittamiseen liittyvä velvollisuus antaa tietoja viranomaiselle tai avustaa viranomaista ei sen sijaan tee sinällään yrityksestä julkisen hallintotehtävän hoitajaa.

Julkista valtaa käytettäessä puututaan yksilöiden oikeuksiin tai velvollisuuksiin.
Merkittävänä julkisen vallan käyttönä pidetään esimerkiksi itsenäiseen harkintaan perustuvaa oikeutta käyttää voimakeinoja. Turvallisuusalan elinkeinoluvan haltijan palveluksessa oleville vartijoille sekä järjestyksenvalvojille on tosin annettu tosiasiallisesti varsinaiset itsenäiset voimankäyttöoikeudet.

Julkisen hallintotehtävän käsitteen lisäksi lainsäädännössä, myös tiedustelulainsäädännössä, tunnetaan sitä laaja-alaisemman julkisen tehtävän käsite. Tiedusteluvalvontavaltuutetun tiedonsaantioikeudet, oikeus saada selvitys ja tarkastusoikeus ulottuvat viranomaisiin ja julkisia hallintotehtäviä hoitaviin. Eduskunnan tiedusteluvalvontavaliokunnan tiedonsaantioikeudet ja oikeus saada selvitys kattavat viranomaiset ja julkisia tehtäviä hoitavat. Julkisten hallintotehtävien piiri on paikoin tulkinnanvarainen ja julkisten tehtävien piiri vielä sitäkin tulkinnanvaraisempi.

Viranomaisten toimeksiannot yrityksille

Viranomaiset voivat hankkia yrityksiltä tietoturva-, vartioimis-, järjestyksenvalvoja- ja turvasuojauspalveluja oman toimintansa suojaamiseksi. Yritykset voivat myös osallistua turvatarkastusten suorittamiseen viranomaisen toimitiloissa.

Viranomainen voi teettää yrityksellä julkisen hallintotehtävänsä suorittamiseen liittyvän yksittäisen tosiasiallisen toimen tai tosiasiallisten tointen kokonaisuuden.

Tiedusteluviranomainen voi hankkia yksityiseltä taholta sellaisia selvityksiä, joiden laatiminen ei edellytä viranomaistoimivaltuuksien käyttöä. Selvitysten laatimisessa voi olla kyse toiminnasta, jota tiedusteluviranomaisen itsensä harjoittamana kutsuttaisiin avointen lähteiden tiedusteluksi.

Viranomaiselle sallitun toiminnan rajat määräytyvät oikeusvaltioperiaatteen mukaisesti toimivaltuussäännösten perusteella. Yksityiselle taholle sallitun toiminnan rajat määräytyvät puolestaan viime kädessä rangaistussäännösten perusteella. Sääntely ei ole symmetristä: viranomainen voi tarvita toimivaltuuden toimintaan, joka ei ole yksityiselle rangaistavaa, ja toiminta, johon viranomaisella on toimivaltuus, voi olla yksityiselle rangaistavaa. Tiedustelutoiminta voisi yksityisen harjoittamana täyttää esimerkiksi kotirauhan tai julkisrauhan rikkomisen, salakuuntelun tai salakatselun, viestintäsalaisuuden loukkauksen taikka tietomurron rikostunnusmerkistön. 

Viranomainen ei voi antaa pakko- ja voimakeinojen käytön kaltaista kohteen toimintaan vaikuttavaa julkisen vallan käyttöä yksityisen tahon itsenäisesti hoidettavaksi. Poliisilaissa säädetään poliisimiestä yksittäisen virkatehtävän suorittamisessa avustavan henkilön oikeudesta suorittaa poliisimiehen ohjauksessa yleisen järjestyksen tai turvallisuuden ylläpitämiseen liittyviä toimenpiteitä ja käyttää voimakeinoja. Turvallisuusalan elinkeinoluvan haltijan palveluksessa olevan vartijan sekä järjestyksenvalvojan alueelle pääsyn estämis-, alueelta poistamis- ja kiinniotto-oikeudesta sekä voimakeinojen käytöstä säädetään yksityisistä turvallisuuspalveluista annetussa laissa. Yleisestä verekseltä tai pakenemasta tavatun rikoksesta epäillyn taikka viranomaisen antaman etsintäkuulutuksen mukaan pidätettävän tai vangittavan henkilön kiinniotto-oikeudesta säädetään pakkokeinolaissa.

Suomen lailla ei voida luoda suomalaisille viranomaisille varsinaisia toimivaltuuksia ulkomailla toimimiseen, mutta toiminta voidaan määrittää Suomen lain kannalta sallituksi. Meillä on mahdollistettu siviili- ja sotilastiedustelutoiminta ulkomailla muutenkin kuin yhteistyössä asianomaisen aluevaltion kanssa. Sen sijaan suomalaisten viranomaisten harjoittamaa vastaavaa rikostiedustelutoimintaa tai pakko- ja voimakeinojen käytön kaltaista kohteeseen vaikuttamista ulkomailla ei ole määritetty Suomen lain kannalta sallituksi ainakaan normaalioloissa. Valtion lukuun, puolesta tai suostumuksella toimivan yksityisen tahon (niin kutsuttu proxy-toimija) toiminta ulkomailla rinnastuu asianomaisen aluevaltion alueellisen suvereenitentin näkökulmasta toimeksiannon antaneen valtion omaan toimintaan.

Tiedusteluviranomaisten oikeus saada tietoja yrityksiltä

Tiedustelulaeissa säädetään tiedusteluviranomaisten oikeudesta saada yksittäisiä tietoja yrityksiltä. Tiedusteluviranomaisten henkilötietojen käsittelyä koskevissa laeissa säädetään tiedusteluviranomaisten oikeudesta saada tietoja yritysten rekistereistä ja tietojärjestelmistä myös teknisen käyttöyhteyden avulla tai tietojoukkona.

Tietojen hankkiminen telekuuntelun sijasta, takautuva televalvonta ja takautuva tukiasematietojen hankkiminen ovat luonteeltaan tietojen saantia teleyritykseltä. Tiedustelulakien mukaan tiedusteluviranomaisilla on myös oikeus saada yksityiseltä yhteisöltä yritys-, pankki- tai vakuutussalaisuuden estämättä tiedustelun kohteena olevan henkilön tunnistamis-, yhteys- ja liikkumistietoja sekä tietoja kohdehenkilön taloudellisesta toiminnasta.

Tiedusteluviranomaisten henkilötietojen käsittelyä koskevien lakien mukaan tiedusteluviranomaisilla on oikeus saada matkustajatietoja majoitustoiminnan harjoittajilta sekä tietoja matkustajaa ja kulkuneuvon henkilökuntaa koskevista rekistereistä. Oikeudesta saada tietoja lentoliikenteen matkustajarekisteristä säädetään erillisessä laissa, jolla on pantu kansallisesti täytäntöön Euroopan unionin matkustajarekisteridirektiivi.

Yritysten velvollisuus avustaa tiedusteluviranomaisia

Sähköisen viestinnän palveluista annetussa laissa säädetään teleyritysten velvollisuudesta säilyttää sähköisen viestinnän välitystietoja viranomaisten rikostorjunnallisia tarpeita varten. Tiedustelulakien mukaan tällä perusteella säilytettyjä tietoja saadaan käyttää myös siviili- ja sotilastiedustelussa.

Teleyrityksen on tehtävä viestintäverkkoon telekuuntelun ja televalvonnan edellyttämät kytkennät sekä annettava viranomaisen käyttöön telekuuntelun toimeenpanoa varten tarpeelliset tiedot, välineet ja henkilöstö.

Tietoliikennetiedusteluun liittyvällä tiedonsiirtäjällä eli viestintäverkon omistajalla tai haltijalla on velvollisuus myötävaikuttaa tietoliikennetiedustelun edellyttämän liityntäpisteen rakentamiseen ja ylläpitämiseen. Tiedonsiirtäjän on myös annettava hallussaan olevat tietoliikennetiedustelua koskevassa lupa-asiassa tarvittavat tekniset tiedot viestintäverkon rakenteesta ja siinä kulkevan tietoliikenteen reitittymisestä.

Henkilötietojen käsittelyä koskeva Euroopan unionin lainsäädäntö

Henkilötietojen käsittelyn sääntely voidaan jakaa henkilötietojen käsittelyn yleiseen sääntelyyn, viranomaisten rikostorjunnallisessa tarkoituksessa tapahtuvan henkilötietojen käsittelyn sääntelyyn ja viranomaisten kansallisen turvallisuuden ylläpitämisen yhteydessä tapahtuvan henkilötietojen käsittelyn sääntelyyn. Euroopan unionissa on annettu yleinen tietosuoja-asetus, jota on meillä täsmennetty ja täydennetty kansallisella tietosuojalailla. Unionissa on annettu myös rikosasioiden tietosuojadirektiivi, joka on pantu meillä täytäntöön kansallisella rikosasioiden tietosuojalailla. Kansallinen turvallisuus ei kuulu unionin sääntelytoimivaltaan, mutta meillä kansallista rikosasioiden tietosuojalakia sovelletaan kuitenkin myös kansallisen turvallisuuden ylläpitämisen yhteydessä tapahtuvaan henkilötietojen käsittelyyn. 

Oma kysymyksensä on, kuuluuko unionin säännellyillä sisämarkkinoilla toimivien yritysten, esimerkiksi teleyritysten, velvollisuus avustaa jäsenvaltion tiedusteluviranomaista unionin sääntelytoimivaltaan. Unionin tuomioistuimessa on parhaillaan vireillä asioita, joiden yhteydessä sivutaan tätä kysymystä.

Unionissa on annettu direktiivit teleyritysten velvollisuudesta säilyttää sähköisen viestinnän välitystietoja ja lentoliikenteen harjoittajien velvollisuudesta luovuttaa matkustajarekisteritietoja terrorismirikosten ja muiden vakavien rikosten torjuntaa varten. Unionin tuomioistuin julisti sähköisen viestinnän välitystietojen säilytysvelvollisuutta koskevan direktiivin pätemättömäksi sillä perusteella, että direktiiviä annettaessa oli ylitetty ne unionin peruskirjan mukaiset rajat, joita suhteellisuusperiaatteen noudattaminen edellyttää yksityis- ja perhe-elämän kunnioittamisen ja henkilötietojen suojan kannalta. Unionin tuomioistuimessa on parhaillaan vireillä asioita, jotka koskevat matkustajarekisteritietojen luovuttamisvelvollisuutta koskevan direktiivin pätevyyttä sekä jäsenvaltioiden sähköisen viestinnän välitystietojen säilytysvelvollisuutta ja matkustajarekisteritietojen luovuttamisvelvollisuutta koskevien kansallisten säännösten unionin oikeuden mukaisuutta.  

Euroopan unionin ja Yhdysvaltojen välisen Privacy Shield -järjestelyn yhteydessä luotiin oikeusasiamiesmekanismi oikeussuojakeinoksi tilanteisiin, joissa yrityksen unionista Yhdysvaltioihin siirtämiä henkilötietoja luovutetaan Yhdysvalloissa tiedusteluelinten käyttöön. Unionin tuomioistuin on vastikään todennut, ettei Privacy Shield -järjestelyn tarjoama tietosuojan taso ole riittävä.

Lakisääteisistä velvoitteista yrityksille aiheutuvat kustannukset

Yrityksille säädetyt varautumisvelvoitteet ja velvollisuudet avustaa viranomaisia voivat rasittaa niiden kilpailukykyä.

Teleyrityksellä sekä televisio- ja radiotoiminnan harjoittajalla on oikeus saada huomattavista normaaliolojen häiriötilanteisiin ja poikkeusoloihin varautumisesta aiheutuneista kustannuksista korvaus huoltovarmuusrahastosta.

Teleyrityksen on luovutettava viranomaiselle korvauksetta sellainen hallussaan oleva tieto, jonka saamiseen viranomaisella on oikeus. Yksittäisten tietojen viranomaisen tiedonsaantioikeuteen perustuva saaminen on yleensäkin maksutonta. Tietojoukkojen rekistereistä ja tietojärjestelmistä saaminen on maksutonta tai tietojen olennaisiin irrottamiskustannuksiin perustuvaa vastiketta vastaan tapahtuvaa.

Teleyrityksen on tehtävä korvauksetta viranomaisen telekuunteluoikeuden mahdollistava toimenpide. Teleyrityksellä on oikeus saada valtion varoista korvaus yksinomaan viranomaisen avustamiseksi hankittujen järjestelmien, laitteistojen ja ohjelmistojen investoinneista ja ylläpidosta aiheutuneista välittömistä kustannuksista. Kyse voi olla järjestelmistä, laitteistoista ja ohjelmistoista, jotka mahdollistavat telekuuntelun ja televalvonnan edellyttämien kytkentöjen viestintäverkkoon tekemisen tai sähköisen viestinnän välitystietojen säilyttämisen viranomaistarpeita varten. Teleyrityksellä on oikeus saada valtion varoista korvaus myös telekuuntelun toimeenpanoa varten tarpeellisten tietojen viranomaisen käyttöön antamisesta aiheutuneista välittömistä kustannuksista. Tiedonsiirtäjällä on oikeus saada valtion varoista korvaus tietoliikennetiedustelun edellyttämän liityntäpisteen rakentamiseen ja ylläpitämiseen myötävaikuttamisesta sekä tietoliikennetiedustelua koskevassa lupa-asiassa tarvittavien teknisten tietojen antamisesta aiheutuneista välittömistä kustannuksista.

Velvoitteiden määritystavan vaikutus yritysten kilpailukykyyn

Asiakkaiden yritystä kohtaan tuntema luottamus on edellytys yrityksen liiketoiminnan menestyksellisyydelle. Kyse voi olla esimerkiksi luottamuksesta henkilöasiakkaiden henkilötietojen suojan tai yritysasiakkaiden yrityssalaisuuksien suojan säilymiseen.

Tiedustelulakien valmistelun yhteydessä oli yrityskentän näkökulmasta keskeistä se, ettei yrityksille aseteta laaja-alaisia ja väljästi määriteltyjä velvollisuuksia avustaa tiedusteluviranomaisia, esimerkiksi velvoitetta myötävaikuttaa asiakkaidensa tietojärjestelmien turvajärjestelyjen tai sähköisen viestinnän suojauksen murtamiseen niin kutsuttuja takaportteja asentamalla tai salausavaimia luovuttamalla. Tiedusteluviranomaisten toimivaltuuksien sääntelyn tuli olla täsmällistä ja tarkkarajaista sekä toimivaltuuksien käytön valvonnan tehokasta.

Suomalaiset kansainvälisesti vertailtuna tiukka viranomaisten toimivaltuuksista lailla säätämisen vaatimus sekä varsin legalistinen virkamiesperinne muodostanevat tältä osin hyvän lähtökohdan Suomen lainkäyttöpiirissä toimivien yritysten kilpailukyvylle.

Kimmo Hakonen
Tiedusteluvalvontavaltuutettu