Tämä on osa Europa-sivustoa
Euroopan unionin oikeus ulottuvillasi
Komission kertomus neuvostolle Tietojärjestelmiin kohdistuvista hyökkäyksistä 24 päivänä helmikuuta 2005 tehdyn neuvoston puitepäätöksen 12 artiklan perusteella
/* KOM/2008/0448 lopull. */
| BG | ES | CS | DA | DE | ET | EL | EN | FR | GA | IT | LV | LT | HU | MT | NL | PL | PT | RO | SK | SL | FI | SV |
| html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | |
| doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc |
| Kaksikielinen näyttö: BG CS DA DE EL EN ES ET FI FR HU IT LT LV MT NL PL PT RO SK SL SV |
[pic] | EUROOPAN YHTEISÖJEN KOMISSIO |
Bryssel 14.7.2008
KOM(2008) 448 lopullinen
KOMISSION KERTOMUS NEUVOSTOLLE
Tietojärjestelmiin kohdistuvista hyökkäyksistä 24 päivänä helmikuuta 2005 tehdyn neuvoston puitepäätöksen 12 artiklan perusteella
1. JOHDANTO
1.1. Tausta
Tässä kertomuksessa arvioidaan, ovatko jäsenvaltiot saattaneet tietojärjestelmiin kohdistuvista hyökkäyksistä tehdyn neuvoston puitepäätöksen 2005/222/YOS[1], jäljempänä ’puitepäätös’, osaksi kansallista lainsäädäntöään asianmukaisella tavalla.
Puitepäätöksen päätavoitteena[2] on parantaa jäsenvaltioiden oikeusviranomaisten ja muiden toimivaltaisten viranomaisten, kuten poliisin ja muiden erikoistuneiden lainvalvontayksikköjen, välistä yhteistyötä lähentämällä tietojärjestelmiin kohdistuvia hyökkäyksiä koskevia jäsenvaltioiden rikosoikeuden säännöksiä. Tähän tavoitteeseen pyritään siten, että puitepäätöksellä täydennetään ja tuetaan muita EU:n säädöksiä ja kansainvälisiä sopimuksia (joista mainittakoon mm. tietoverkkorikollisuutta koskeva Euroopan neuvoston yleissopimus[3]).
Puitepäätöksen tekemisen jälkeen on tapahtunut useita tietojärjestelmiin kohdistuvia hyökkäyksiä, mikä on toistuvasti korostanut tarvetta tiivistää Euroopan tasolla tehtävää yhteistyötä tällaisten hyökkäysten torjumiseksi. Viron tietojärjestelmiä vastaan toukokuussa 2007 tehty laajamittainen palvelunestohyökkäys oli vakava muistutus siitä, miten tuhoisia tällaiset iskut voivat olla.
Sen vuoksi on entistä tärkeämpää, että kaikki jäsenvaltiot saattavat puitepäätöksen osaksi kansallista lainsäädäntöään kokonaan ja täsmällisesti. Tämän kertomuksen ajankohtaisuutta korostaa myös se, että marraskuussa 2007 pidetyn oikeus- ja sisäasiain neuvoston kokouksen päätelmissä[4] mainitaan erikseen tietoverkkorikollisuuden torjunta. Päätelmissä neuvosto toteaa, että se odottaa saavansa komissiolta kertomuksen puitepäätöksen täytäntöönpanosta.
1.2. Ilmoitukset ja vastaukset
Puitepäätöksen 12 artiklassa jäsenvaltiot velvoitetaan toimittamaan komissiolle viimeistään 16. maaliskuuta 2007 kirjallisina säännökset, joilla ne ovat saattaneet puitepäätöksestä aiheutuvat velvoitteet osaksi kansallista lainsäädäntöään. Määräaikaan mennessä kuitenkin vain yksi valtio (Ruotsi) oli toimittanut komissiolle kansalliset säännöksensä, ja tässäkin ilmoituksessa oli puutteita. Sen vuoksi komissio lähetti jäsenvaltioille muistutuksen, jossa se pyysi niitä lähettämään tiedoksi kaikki puitepäätöksen täytäntöönpanoa koskevat kansalliset säännökset sekä muut sen täytäntöönpanoa koskevat, tarpeellisiksi katsomansa tiedot.
Komissio saikin 1. kesäkuuta 2008 mennessä ilmoitukset tai vastaukset muistutukseen 23 jäsenvaltiolta. Espanja, Malta, Puola[5] ja Slovakia eivät ole vastanneet vieläkään. Irlannin , Kreikan ja Yhdistyneen kuningaskunnan hallitukset myöntävät vastauksissaan, että niiden perusteella ei ole mahdollista arvioida puitepäätöksen täytäntöönpanoa näissä valtioissa, koska täytäntöönpano on viivästynyt.
Edellä mainitut seitsemän jäsenvaltiota eivät siis ole täyttäneet puitepäätöksen 12 artiklan 2 kohdan mukaista ilmoitusvelvollisuuttaan. Siksi tässä kertomuksessa arvioidaan ainoastaan niiden 20 jäsenvaltion lainsäädäntöä, jotka ovat täyttäneet ilmoitusvelvollisuutensa.
1.3. Arviointimenetelmä ja -kriteerit
Kertomus perustuu jäsenvaltioiden toimittamiin tietoihin. Komissio ei kuitenkaan ole saanut kaikkia tarvittavia tietoja, minkä vuoksi arviointi ja siihen pohjautuvat päätelmät jäävät osin puutteellisiksi.
Euroopan unionista tehdyn sopimuksen 34 artiklan 2 kohdan b alakohdan mukaan puitepäätökset velvoittavat jäsenvaltioita saavutettavaan tulokseen nähden, mutta jättävät kansallisten viranomaisten valittavaksi muodon ja keinot. Jotta voitaisiin arvioida puolueettomasti, onko tietty jäsenvaltio saattanut puitepäätöksen kokonaan osaksi kansallista lainsäädäntöään, voidaan soveltuvin osin soveltaa niitä yleisiä kriteerejä, jotka on kehitetty direktiivien täytäntöönpanon arviointia varten. Puitepäätöksen täytäntöönpanosäännösten on oltava sellaisia, että niiden avulla voidaan saavuttaa puitepäätöksen tavoitteet. Niiden on täytettävä selkeyttä ja oikeusvarmuutta koskevat vaatimukset, ja puitepäätöstä on voitava soveltaa niiden perusteella kaikilta osin riittävän selkeästi ja yksityiskohtaisesti. Lisäksi säännökset on pantava täytäntöön annetussa määräajassa.
Tässä kertomuksessa käsitellään ensisijaisesti rikoslakia koskevien puitepäätöksen säännösten muodollista täytäntöönpanoastetta. Sen sijaan kertomuksessa ei voida käsitellä säännösten varsinaista soveltamista .
2. ARVIOINTI
2.1. Yleistä
Puitepäätös on pantu täytäntöön tämän kertomuksen kattamissa 20 jäsenvaltiossa hyvin eri tavoin. Useimmissa niistä kansallisen säädöksen sanamuoto on lähellä puitepäätöksen muotoilua. Eräissä jäsenvaltioissa on kuitenkin sovellettu epäsuorempaa ja yleisluonteisempaa täytäntöönpanomenettelyä. Monissa tapauksissa tämä tarkoittaa sitä, että käytettyjä oikeudellisia käsitteitä ja ilmaisuja ei ole helppo vertailla keskenään. Tässä kertomuksessa otetaan mahdollisuuksien mukaan huomioon jäsenvaltioiden yleinen rikosoikeus ja mainitaan erikseen tästä aiheutuvat erityiset hankaluudet.
2.2. Määritelmät (1 artikla)
Yksikään 20 jäsenvaltiosta ei ole toimittanut selkeitä ja kattavia tietoja siitä, miten puitepäätöksessä käytettyjä määritelmiä on sovellettu niiden kansallisessa lainsäädännössä. Muiden tietojen perusteella käy kuitenkin selkeästi ilmi, että kansalliseen lainsäädäntöön sisältyvät määritelmät vastaavat puitepäätöksessä käytettyjä määritelmiä hyvin.
2.3. Laiton tunkeutuminen tietojärjestelmään (2 artikla)
Komissio katsoo, että kaikki 20 jäsenvaltiota ovat sisällyttäneet lainsäädäntöönsä puitepäätöksen päätavoitteen eli varmistaneet, että tahallinen oikeudeton tunkeutuminen tietojärjestelmään tai sen osaan on rikosoikeudellisesti rangaistava teko.
Puitepäätöksen 2 artiklan ensimmäisen kohdan viimeisessä virkkeessä annetaan jäsenvaltioille mahdollisuus säätää tällainen teko rangaistavaksi ”ainakin jos kyse ei ole vähäisestä tapauksesta”. Seuraavat jäsenvaltiot ovat enemmän tai vähemmän selkeästi käyttäneet tätä valinnan mahdollisuutta. Tämä on pääteltävissä siitä, että seuraavissa rangaistaviksi säädetyissä tapauksissa teot eivät ole ”vähäisiä”:
- Itävallassa rikosoikeudellisen vastuun oikeudellinen kriteeri täyttyy, kun teon tarkoituksena on tietojen vakoilu ja näin saatujen tietojen käyttö hyödyn saamista tai vahingon aiheuttamista varten;
- Tšekissä laiton tunkeutuminen tietojärjestelmään on säädetty rangaistavaksi teoksi ainoastaan siinä tapauksessa, että tietoja myöhemmin käytetään väärin tai vahingoitetaan;
- Suomessa rikosoikeudellisen vastuun edellytyksenä on ”vaaran aiheuttaminen tietojenkäsittelylle”;
- Latviassa laiton tunkeutuminen tietojärjestelmään on rangaistava teko vain jos ”sillä aiheutetaan merkittävää vahinkoa”.
Jotta voidaan arvioida, ovatko menettelyt puitepäätöksen säännösten mukaisia, on tulkittava ilmaisua ’jos kyse ei ole vähäisestä tapauksesta’. Tulkintaa tarvitaan sen selvittämiseksi, ovatko jäsenvaltiot säätäneet lainsäädännössään rangaistavaksi puitepäätöksessä tarkoitetun keskeisen tunnusmerkistön vähintään täyttävät teot. Puitepäätöksen 2 artiklan tarkoituksena on suojata tietojärjestelmien luottamuksellisuutta. Tällä perusteella komissio on sitä mieltä, että ’vähäisen tapauksen’ täytyy tarkoittaa sitä, että laiton tunkeutuminen tietojärjestelmään on ollut merkitykseltään vähäinen tai että tietojärjestelmän luottamuksellisuutta on loukattu vain vähäisessä määrin. Edellä mainituissa, kyseistä artiklaa vastaavissa Itävallan, Latvian , Suomen ja Tšekin säännöksissä mainitaan kuitenkin sellaisia seikkoja (esimerkiksi teon tietty rikollinen tarkoitus tai tietty riski tai vahingon toteutuminen), joita ei voida pitää yhdenmukaisina tämän tulkinnan kanssa. Siksi komissio suhtautuu hyvin varauksellisesti siihen, ovatko nämä Itävallan, Latvian, Suomen ja Tšekin säännökset yhdenmukaisia puitepäätöksen kyseisen ilmauksen kanssa.
Yleensäkin on todettava, että eri jäsenvaltiot ovat tulkinneet ja soveltaneet hyvin eri tavoin mahdollisuutta olla kriminalisoimatta tiettyjä tekoja. Tämä saattaa vakavasti vaarantaa puitepäätöksen tavoitteen saavuttamisen eli tietojärjestelmiin kohdistuvia hyökkäyksiä koskevien jäsenvaltioiden rikosoikeudellisten säännösten lähentämisen.
Tällä perusteella komissio katsoo, että 20 jäsenvaltiosta vain 16 on osoittanut saattaneensa puitepäätöksen 2 artiklan osaksi kansallista lainsäädäntöään asianmukaisella tavalla.
Puitepäätöksen 2 artiklan 2 kohdan mukaan kukin jäsenvaltio voi päättää, että 1 kohdassa tarkoitettu menettely on rangaistava teko vain, jos teko on tehty murtamalla turvajärjestelyt. Tätä vaihtoehtoa on soveltanut 20 jäsenvaltiosta seitsemän ( Italia, Itävalta, Latvia, Liettua, Saksa, Suomi ja Unkari ).
2.4. Laiton järjestelmän häirintä (3 artikla)
Komissio katsoo, että kaikki 20 jäsenvaltiota ovat täyttäneet keskeisen velvoitteen eli varmistaneet, että tietojärjestelmän toiminnan tahallinen törkeä estäminen tai keskeyttäminen dataa syöttämällä, siirtämällä, vahingoittamalla, tuhoamalla, turmelemalla, muuttamalla tai poistamalla tai saattamalla data käyttökelvottomaksi on rikosoikeudellisesti rangaistava teko.
Arvion vahvistamiseksi saattaa kuitenkin olla tarpeen analysoida perusteellisemmin käytäntöjä niissä jäsenvaltioissa, jotka ovat panneet tämän varsin yksityiskohtaisen artiklan täytäntöön suhteellisen yleisellä tasolla. Tämä koskee muun muassa Tanskaa , jonka mukaan hyvin yleisluontoinen säännös minkä tahansa omaisuuden tuhoamisesta, vahingoittamisesta tai poistamisesta kattaa puitepäätöksessä luetellut kriteerit. Vaikka tällainen menettelytapa on periaatteessa hyväksyttävä, voidaan kysyä, miten tällaista säännöstä voidaan soveltaa tietojärjestelmän käyttöoikeuksia koskeviin hyökkäyksiin erityisesti silloin kun on kyse vain väliaikaisista vahingoista[6].
Puitepäätöksen 3 artiklan viimeisessä virkkeessä annetaan jäsenvaltioille mahdollisuus säätää tällainen teko rangaistavaksi ainoastaan ”jos kyse ei ole vähäisestä tapauksesta”. Tätä mahdollisuutta on käyttänyt kuusi jäsenvaltiota, jotka ovat enemmän tai vähemmän suoraan väittäneet, että tämä edellytys täyttyy seuraavissa tapauksissa:
- Itävallan lainsäädännön mukaan järjestelmän häirintä on rangaistava teko ainoastaan ”vakavissa” tapauksissa;
- Tšekin lainsäädäntö edellyttää, että teon tarkoituksena on ollut tahallinen vahingon tai menetyksen aiheuttaminen[7];
- Saksan lainsäädännössä edellytetään, että häirinnän kohteena olevalla tietojärjestelmällä on ”huomattava merkitys jollekin kolmannelle osapuolelle”;
- Viron lainsäädännössä rikosoikeudellisen vastuun syntymisen edellytyksenä on, että teko ”aiheuttaa huomattavaa vahinkoa”;
- Liettuan lainsäädännössä on säädetty rangaistavaksi ainoastaan tapaukset, jotka ”…aiheuttavat vahinkoa”;
- Latvian lainsäädännön mukaan järjestelmän häirintä on rangaistava teko ainoastaan silloin ”kun suojajärjestelmiä vahingoitetaan tai tuhotaan tai aiheutetaan laajamittaisia menetyksiä”.
Jälleen olisi määriteltävä tarkemmin ilmaisu ’jos kyse ei ole vähäisestä tapauksesta’, ennen kuin voidaan arvioida, ovatko edellä mainitut tapaukset puitepäätöksen säännösten mukaisia. Tätä kysymystä käsiteltiin edellä 2 artiklan osalta kohdassa 2.3.
Puitepäätöksen 3 artiklan tarkoituksena on suojata tietojärjestelmien koskemattomuutta. Tämän vuoksi komissio katsoo, että ”vähäisen tapauksen” täytyy tarkoittaa sitä, että järjestelmän häirintä on ollut merkitykseltään vähäistä tai että tietojärjestelmän koskemattomuutta on loukattu vain vähäisessä määrin. Edellä mainitut Itävallan, Liettuan, Tšekin ja Viron kansalliset säännöt näyttäisivät tarkoittavan juuri tällaisia olosuhteita. Niiden on siis katsottava täyttävän vaatimuksen, jonka mukaan rangaistavuuden ulkopuolelle voidaan jättää ainoastaan vähäiset häirintätapaukset.
Vastaavassa Saksan säännöksessä sen sijaan mainitaan järjestelmän merkitys kolmannelle osapuolelle ja Latvian säännöksessä suojajärjestelmille aiheutuneet vahingot tai laajamittaiset menetykset. Komission näkemyksen mukaan näiden säännösten yhteys tietojärjestelmien koskemattomuuteen ei ole niin selkeä, että sen perusteella voitaisiin arvioida, ovatko nämä säännökset yhdenmukaisia sen puitepäätöksessä vahvistetun mahdollisuuden kanssa, jonka mukaan ns. vähäiset tapaukset voidaan jättää rangaistavuuden ulkopuolelle. Komissio ei myöskään katso tämän vastaavan puitepäätöksen tavoitetta, joka on tietojärjestelmiin kohdistuvia hyökkäyksiä koskevien jäsenvaltioiden rikosoikeudellisten säännösten lähentäminen.
Yleensäkin on todettava, että eri jäsenvaltiot ovat tulkinneet ja soveltaneet hyvin eri tavoin mahdollisuutta olla kriminalisoimatta tiettyjä tekoja. Tämä saattaa vakavasti vaarantaa puitepäätöksen tavoitteen saavuttamisen eli tietojärjestelmiin kohdistuvia hyökkäyksiä koskevien jäsenvaltioiden rikosoikeudellisten säännösten lähentämisen.
Tällä perusteella komissio katsoo, että 20 jäsenvaltiosta vain 18 on osoittanut saattaneensa puitepäätöksen 3 artiklan osaksi kansallista lainsäädäntöään asianmukaisella tavalla.
2.5. Laiton datan vahingoittaminen (4 artikla)
Komissio katsoo, että kaikki 20 jäsenvaltiota ovat sisällyttäneet lainsäädäntöönsä puitepäätöksen päätavoitteen, joka on sen varmistaminen, että tietojärjestelmässä olevan datan tahallinen tuhoaminen, vahingoittaminen, turmeleminen, muuttaminen, poistaminen tai saattaminen käyttökelvottomaksi on rikosoikeudellisesti rangaistava teko. Monet jäsenvaltiot ovat saattaneet puitepäätöksen 3 ja 4 artiklan osaksi kansallista lainsäädäntöään samalla kansallisella säännöksellä. Komissio ei edelleenkään ole vakuuttunut siitä, että Tanskan varsin yleisluonteinen säännös, joka koskee minkä tahansa omaisuuden tuhoamista, vahingoittamista tai poistamista, kattaa myös artiklassa luetellut tietojärjestelmässä olevaan dataan kohdistuvat teot. Tätä näkökohtaa sivuttiin hieman tarkemmin 3 artiklan osalta 2.4 kohdassa.
Artiklan viimeisessä virkkeessä annetaan jäsenvaltioille mahdollisuus säätää tällainen teko rangaistavaksi ”ainakin jos kyse ei ole vähäisestä tapauksesta”. Tätä mahdollisuutta on käyttänyt kolme jäsenvaltiota, jotka ovat enemmän tai vähemmän suoraan väittäneet, että tämä edellytys täyttyy seuraavissa tapauksissa:
- Tšekin lainsäädäntö edellyttää, että teon tarkoituksena on ollut tahallinen vahingon tai menetyksen aiheuttaminen[8];
- Viron lainsäädännössä edellytetään, että teko ”aiheuttaa huomattavaa vahinkoa”;
- Latvian lainsäädännössä (rikoslain 243 §) sovellettavan kriteerin mukaan teko on rangaistava, ”kun suojajärjestelmiä vahingoitetaan tai tuhotaan tai aiheutetaan laajamittaisia menetyksiä”.
Kuten edellä 2.4 kohdassa todettiin 3 artiklan täytäntöönpanoa koskevien vastaavien säännösten yhteydessä, komissio katsoo, että Tšekin lainsäädäntö on tältä osin puitepäätöksen vaatimusten mukainen. Lisäksi se katsoo, että myös Viron lainsäädännön on oletettava täyttävän nämä vaatimukset. Samoin kuin edellä, Latvian ei voida katsoa täyttäneen puitepäätöksen mukaisia velvollisuuksiaan tältä osin.
Komissio katsoo, että 20 jäsenvaltiosta 19 on osoittanut saattaneensa puitepäätöksen 4 artiklan osaksi kansallista lainsäädäntöään asianmukaisella tavalla.
2.6. Yllytys, avunanto ja yritys (5 artikla)
Komissio katsoo, että 20 jäsenvaltiosta 18 on periaatteessa täyttänyt velvoitteista tärkeimmän eli sen varmistamisen, että yllytys tai avunanto rikokseen tai rikoksen yritys on rangaistava teko. Suomen ja Portugalin toimittamat kansalliset säännökset koskevat ainoastaan rikoksen yritystä. Nämä maat eivät siis ole osoittaneet, miten rikokseen yllyttämistä tai avunantoa koskevat velvoitteet on saatettu osaksi niiden kansallista lainsäädäntöä. Ruotsi ei ole säätänyt rangaistusta rikokseen yllyttämisestä ja avunannosta tai rikoksen yrityksestä silloin kun kyseessä on vähäinen tapaus. Tämä menettely ei ole puitepäätöksen vaatimusten mukainen.
Jäsenvaltiot voivat päättää olla soveltamatta velvoitetta varmistaa, että yritys tunkeutua tietojärjestelmään laittomasti on säädetty rangaistavaksi teoksi. Saksa ja Slovenia ovat ilmoittaneet käyttävänsä tätä mahdollisuutta.
Näin ollen komissio katsoo, että 20 jäsenvaltiosta 17 on saattanut puitepäätöksen 5 artiklan osaksi kansallista lainsäädäntöään asianmukaisella tavalla.
2.7. Seuraamukset ja raskauttavat olosuhteet (6 ja 7 artikla)
Komissio katsoo, että kaikki tässä kertomuksessa käsitellyt 20 jäsenvaltiota ovat varmistaneet, että puitepäätöksen 2–5 artiklassa tarkoitetuista teoista voidaan määrätä tehokkaita, oikeasuhteisia ja varoittavia rikosoikeudellisia seuraamuksia[9]. Laittomasta tietojärjestelmään tunkeutumisesta ja laittomasta datan vahingoittamisesta määrättävät seuraamukset täyttävät myös puitepäätöksen 6 artiklan 2 kohdassa säädetyt erityisvaatimukset.
Jos sen sijaan tarkastellaan velvoitetta ottaa huomioon raskauttavat olosuhteet, kun rikos on tehty rikollisjärjestön puitteissa (7 artikla), täytäntöönpanotilanne on vaihtelevampi.
- On selvää, että Itävallan toimittamat säännökset eivät täytä tätä puitepäätöksen velvoitetta;
- Tanskan lainsäädännössä ei suoranaisesti mainita rikollisjärjestöjä;
- asiaa koskevassa Suomen lainsäädännössä ei mainita rikollisjärjestöjä;
- Portugalin on mukautettava lainsäädäntöään, jotta se olisi täysin puitepäätöksen mukainen.
Muut jäsenvaltiot ( Bulgaria, Italia, Latvia ja Ruotsi ) eivät mainitse komissiolle tiedoksi antamissaan säännöksissä rikollisjärjestöä koskevaa kriteeriä. Itse säädösteksteistä käy kuitenkin ilmi, että velvollisuus soveltaa ankarampia rangaistuksia silloin kun rikos on tehty rikollisjärjestön puitteissa, on jo katettu kaikilta osin (joskin epäsuorasti) Bulgarian, Italian ja Latvian lainsäädännössä. Näiden jäsenvaltioiden voimassa olevissa säännöksissä säädetään kaikkien näiden rikosten osalta puitepäätöksen 7 artiklassa tarkoitetut ankarammat vähimmäisrangaistukset. Ruotsin viranomaisten mukaan Ruotsin lainsäädännössä raskauttavaksi olosuhteeksi määritelty ”vakava rikos” kattaa rikollisjärjestön puitteissa tehdyt rikokset. Ne ovat toimittaneet asiasta seikkaperäisen selostuksen.
Tämän perusteella komissio katsoo, että puitepäätöksen 6 artikla on saatettu asianmukaisella tavalla osaksi kansallista lainsäädäntöä kaikissa 20 jäsenvaltiossa ja että 16 jäsenvaltiota täyttää puitepäätöksen 7 artiklassa säädetyt velvoitteet.
2.8. Oikeushenkilöiden vastuu ja oikeushenkilöihin kohdistettavat seuraamukset (8 ja 9 artikla)
Komissio katsoo, että 20 jäsenvaltiosta 16 on selkeästi toteuttanut tarvittavat toimenpiteet sen varmistamiseksi, että oikeushenkilö voidaan saattaa vastuuseen 2, 3, 4 ja 5 artiklassa tarkoitetuista teoista 8 artiklan 1 kohdassa kuvatuissa olosuhteissa.
Latvia, Luxemburg[10] ja Tšekki[11] eivät ole täyttäneet velvollisuuttaan antaa komissiolle tiedoksi tätä koskevat säännöt.
Viro on ilmoittanut, että sen siviilioikeudellista vastuuta koskevat säännöt kattavat kaikki puitepäätöksen 8 artiklan 1 kohdassa kuvatut tapaukset. Se ei kuitenkaan ole toimittanut tarkempaa selvitystä näistä säännöistä. Puitepäätöksessä ei määritellä tarkemmin oikeushenkilön vastuun luonnetta, joten teoriassa voitaisiin hyväksyä sekä hallinnollista että siviilioikeudellista vastuuta koskevat kansalliset säännökset, kunhan ne ovat puitepäätöksen 8 artiklan mukaiset. Viro ei kuitenkaan ole selittänyt, millä tavoin sen siviilioikeudellista vastuuta koskevat säännökset kattavat täysimääräisesti puitepäätöksestä johtuvat velvoitteet.
Puitepäätöksen 8 artiklan 2 kohdan mukaan jäsenvaltioiden on varmistettava, että oikeushenkilö voidaan saattaa vastuuseen, jos 1 kohdassa tarkoitetun henkilön harjoittaman ohjauksen tai valvonnan puutteellisuus on mahdollistanut sen, että oikeushenkilön alaisena toimiva henkilö on voinut tehdä rikoksen kyseisen oikeushenkilön hyväksi. Komissio katsoo, että 20 jäsenvaltiosta kymmenen on täyttänyt tämän vaatimuksen. Latvian, Luxemburgin, Tšekin ja Viron osalta voidaan esittää samat päätelmät sekä 8 artiklan 1 kohdan että 8 artiklan 2 kohdan osalta. Myöskään Portugali, Ranska, Suomi ja Tanska eivät ole toimittaneet komissiolle oikeushenkilöiden vastuuta koskevia sääntöjä. Ranska on ilmoittanut, että tällainen vastuu voidaan johtaa siviilioikeudellista vastuuta koskevista säännöistä, mutta ei ole toimittanut selitystä vastuun tarkemmasta sisällöstä.
Puitepäätöksen 9 artiklan mukaan jäsenvaltioiden on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että 8 artiklan 1 ja 2 kohdan mukaisesti vastuussa olevalle oikeushenkilölle voidaan määrätä tehokkaita, oikeasuhteisia ja varoittavia seuraamuksia. Kaikki ne 14 jäsenvaltiota, jotka ovat panneet 8 artiklan 1 kohdan täytäntöön asianmukaisella tavalla, ja ne 10 jäsenvaltiota, jotka ovat noudattaneet 8 artiklan 2 kohdan mukaisia velvoitteitaan, ovat täyttäneet myös nämä velvoitteet.
Tällä perusteella komissio katsoo, että 20 jäsenvaltiosta vain 12 on osoittanut saattaneensa puitepäätöksen 8 ja 9 artiklan täysimääräisesti osaksi kansallista lainsäädäntöään.
2.9. Lainkäyttövalta (10 artikla)
Komissio katsoo, että 20 jäsenvaltiosta 17 on täyttänyt velvollisuutensa ulottamalla lainkäyttövaltansa koskemaan puitepäätöksen 2, 3, 4 ja 5 artiklassa tarkoitettuja tekoja (10 artiklassa esitettyjen nimenomaisten kriteerien perusteella). Lainkäyttövaltaa koskevien säännösten vertailu jäsenvaltioiden kesken on hankalaa, koska lainkäyttövaltaa on säännelty eri menetelmiä käyttäen, mutta komissio on kuitenkin sitä mieltä, että tämä artikla on pantu täytäntöön hyvin. Latvia ja Portugali eivät ole noudattaneet velvoitettaan antaa komissiolle tiedoksi puitepäätöksen 10 artiklan täytäntöönpanoa koskevat kansalliset sääntönsä.
Artiklan 5 kohdassa säädetään, että jäsenvaltiot voivat päättää olla soveltamatta 1 kohdan b ja c alakohdassa asetettuja lainkäyttövaltaa koskevia sääntöjä tai soveltaa niitä vain erityistapauksissa tai -tilanteissa. Tätä mahdollisuutta ovat ilmoituksensa mukaan käyttäneet Ranska (1 kohdan b alakohdan osalta) sekä Itävalta, Liettua, Saksa, Suomi ja Unkari (1 kohdan c alakohdan osalta). Myös Italia näyttää käyttäneen tätä mahdollisuutta 1 kohdan b ja c alakohdan osalta ja Romania ja Viro 1 kohdan c alakohdan osalta, vaikka ne eivät olekaan erikseen ilmoittaneet siitä. Itävalta on ilmoittanut komissiolle, että se harkitsee vielä, jatkaako se tämän mahdollisuuden soveltamista.
Tällä perusteella komissio katsoo, että 20 jäsenvaltiosta 17 on saattanut puitepäätöksen 10 artiklan osaksi kansallista lainsäädäntöä asianmukaisella tavalla.
2.10. Tietojenvaihto (11 artikla)
Jäsenvaltioiden on varmistettava, että ne hyödyntävät nykyistä kaikkina viikonpäivinä ympärivuorokautisesti toimivien yhteyspisteiden verkostoa. Komissio ei ole saanut tietoja, joiden perusteella se voisi arvioida tämän vaatimuksen täyttymistä Alankomaissa, Belgiassa, Italiassa, Portugalissa, Saksassa, Sloveniassa ja Tšekissä .
Jäsenvaltioiden on 11 artiklan 2 kohdan nojalla myös ilmoitettava neuvoston pääsihteeristölle ja komissiolle nimeämänsä yhteyspisteen yhteystiedot. Bulgaria, Italia, Itävalta ja Portugali eivät kuitenkaan ole toimittaneet tätä koskevaa selkeää ilmoitusta.
Tällä perusteella komissio katsoo, että 20 jäsenvaltiosta vain 11 on osoittanut saattaneensa kaikki puitepäätöksen 11 artiklan velvoitteet täysimääräisesti osaksi kansallista lainsäädäntöään.
3. PÄÄTELMÄT
3.1. Täytäntöönpanon taso
Tässä kertomuksessa selvitetään ensimmäistä kertaa, miten jäsenvaltiot ovat saattaneet tämän puitepäätöksen osaksi kansallista lainsäädäntöään. Kertomus vahvistaa käsityksen, jonka mukaan jäsenvaltiot ovat tehneet tämän hyvin monenlaisten rikosoikeudellisten säännösten avulla. Sen vuoksi kansallisia säädöksiä on vaikea arvioida kaikilta osin ilman tietoa siitä, miten niitä sovelletaan käytännössä.
Komissio toteaa, että puitepäätöksen täytäntöönpano on monissa jäsenvaltioissa edelleen kesken. Merkittävää edistymistä on kuitenkin tapahtunut lähes kaikissa niissä 20 jäsenvaltiossa, joita tämä kertomus koskee. Täytäntöönpanon tasoa voidaan näissä jäsenvaltioissa pitää suhteellisen hyvänä.
On selvää, että komission ensisijainen huolenaihe ovat ne seitsemän jäsenvaltiota, jotka eivät tähän mennessä ole ilmoittaneet mistään täytäntöönpanotoimista. Komissio kehottaakin näitä jäsenvaltioita korjaamaan tilanteen mahdollisimman pian. Komissio myös kehottaa jäsenvaltioita tarkastelemaan kansallista lainsäädäntöään huolellisesti sitä silmällä pitäen, miten ne voisivat tehostaa toimia tietojärjestelmiin kohdistuvien hyökkäysten torjumiseksi.
3.2. Tuleva kehitys
Puitepäätöksen tekemisen jälkeen on noussut esiin uusia uhkakuvia eri puolilla Eurooppaa tehtyjen hyökkäysten myötä. Näitä uusia uhkia ovat erityisesti tietojärjestelmiin kohdistuvat yhtäaikaiset, laajamittaiset hyökkäykset ja niin kutsuttujen bottiverkkojen[12] rikollisen käytön lisääntyminen. Puitepäätöksessä ei ole otettu huomioon tällaisia hyökkäyksiä. Tämän kehityksen myötä komissio pohtii, millaisin toimenpitein bottiverkkoihin liittyvä uhka voitaisiin torjua tehokkaammin. Voitaisiin esimerkiksi kriminalisoida tietyt teot, jotka helpottavat bottiverkkojen käyttämistä rikollisiin tarkoituksiin, sekä määrätä ankarampia rangaistuksia sellaisista tietojärjestelmiin kohdistuvista teoista, jotka on toteutettu laajamittaisten ja erityisen vaarallisten hyökkäysten muodossa.
Komissio pohtii myös toimenpiteitä, joiden avulla voitaisiin tehostaa 11 artiklassa tarkoitetun ympärivuorokautisen yhteyspisteiden verkoston oikea-aikaista käyttöä. Vuoden 2007 vakavat tapaukset osoittivat, että tietojärjestelmiin kohdistuvien laajamittaisten hyökkäysten torjunta edellyttää kansainvälisellä tasolla toteutettavia nopeita ja yhdenmukaisia toimia, joissa usein on mukana myös yksityisiä operaattoreita. Jotta tällaisten torjuntajärjestelmien koordinointia ja johdonmukaisuutta voitaisiin parantaa, jäsenvaltioiden olisi edelleen pohdittava, voitaisiinko tätä varten käyttää samoja yhteyspisteitä kuin Euroopan neuvoston / G 8 -maiden verkostoissa[13]. Komissio harkitsee mm. EU:n suuntaviivojen laatimista erilaisten kansainvälisten verkostojen käytöstä huipputeknologiaa käyttävän rikollisuuden torjunnassa.
[1] EUVL L 69, 16.3.2005, s. 67.
[2] Johdanto-osan 1 kappale.
[3] http://conventions.coe.int/Treaty/en/Treaties/Html/185.htm.
[4] 8. ja 9. marraskuuta 2007, ks. http://www.consilium.europa.eu/ueDocs/cms_Data/docs/pressdata/en/jha/97023.pdf.
[5] Puola toimitti ilmoituksensa myöhässä eli 1. heinäkuuta 2008. Ilmoitusta ei voitu ottaa tässä kertomuksessa huomioon tiukkojen julkaisuaikataulujen takia, mutta sitä on tarkoitus arvioida kertomuksen julkaisemisen jälkeen toteutettavien toimien yhteydessä.
[6] Eräs toinen jäsenvaltio on korostanut tätä näkökohtaa komissiolle toimittamassaan ilmoituksessa.
[7] Tšekin viranomaiset ovat ilmoittaneet, että vaatimus poistuu, kun uusi rikoslaki annetaan.
[8] Tšekin viranomaiset ovat ilmoittaneet, että vaatimus poistuu, kun uusi rikoslaki annetaan.
[9] Itävalta näyttää tosin olevan epävarma siitä, ovatko laittomasta tietojärjestelmään tunkeutumisesta määrättävät kansalliset seuraamukset kyllin varoittavia.
[10] Tätä velvoitetta koskeva säädösehdotus esitettiin Luxemburgin parlamentille vuonna 2007, mutta komissio ei ole saanut tietoa siitä, onko ehdotus hyväksytty.
[11] Tšekin viranomaiset ovat ilmoittaneet, että maan lainsäädännössä on tiettyjä sääntöjä, jotka koskevat oikeushenkilön siviilioikeudellista vastuuta. Ne eivät kuitenkaan ole toimittaneet komissiolle näitä sääntöjä eivätkä myöskään kuvailleet niiden sisältöä.
[12] Bottiverkolla ( botnet ) tarkoitetaan useiden kaapattujen tietokoneiden verkkoa, joka voidaan yhdellä komennolla ohjata suorittamaan tiettyjä ohjelmia.
[13] Yleissopimuksen 35 artikla.
| Alkuun |