Esityksessä ehdotetaan säädettäväksi uusi sähköisen viestinnän tietosuojalaki sekä muutettavaksi eräitä muita lakeja. Ehdotetulla lailla kumottaisiin yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta annettu laki ja sen nojalla annetut asetukset. Ehdotetulla lailla pantaisiin täytäntöön henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla annettu Euroopan parlamentin ja neuvoston direktiivi sekä kuluttajille tarkoitettujen rahoituspalvelujen etämyynnistä annetun Euroopan parlamentin ja neuvoston direktiivin 10 artikla.

Esityksellä toteutettaisiin yksityisyyden suojan sääntelyn kokonaistarkistus sähköisessä viestinnässä. Esityksen tavoitteena on turvata sähköisen viestinnän luottamuksellisuuden ja yksityisyyden suojan toteutuminen sekä edistää sähköisen viestinnän tietoturvaa ja monipuolisten sähköisen viestinnän palvelujen tasapainoista kehittymistä.

Esityksellä pyrittäisiin täsmentämään ja selkeyttämään tunnistamistietojen käsittelyä koskevia säännöksiä voimassa olevan televiestinnän tietosuojalain keskeiset periaatteet säilyttäen. Esityksessä ehdotetaan, että tunnistamistietojen käsittelyoikeudet ja velvollisuudet koskisivat myös viestinnän osapuolten kannalta sivullista yhteisötilaajaa, jolla tarkoitetaan viestintäpalvelun tai lisäarvopalvelun tilaajana olevaa yhteisöä, joka käsittelee viestintäverkossaan käyttäjien luottamuksellisia viestejä, tunnistamistietoja tai paikkatietoja. Yhteisötilaajan aseman täsmentämisellä ei vähennetä oikeushenkilöille viestinnän osapuolina kuuluvia oikeuksia. Lisäksi ehdotetaan, että teleyrityksen olisi tallennettava tunnistamistietojen käsittelyä koskevat yksityiskohtaiset tapahtumatiedot kahden vuoden ajaksi.

Esityksessä ehdotetaan uusia säännöksiä evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentamisesta käyttäjän päätelaitteelle ja näiden tietojen käytöstä.

Esityksessä ehdotetaan uusia paikkatietojen käsittelyä koskevia säännöksiä. Esityksen mukaan tilaajaan tai käyttäjään yhdistettävissä oleviin paikkatietoihin perustuvan palvelun toteuttamiseksi tilaajalla tulisi olla mahdollisuus kieltää paikkatietojen käsittely ja paikannettavalta tulisi hankkia palvelukohtainen suostumus paikkatietojen käsittelyyn.

Teleyrityksellä, lisäarvopalvelun tarjoajalla tai yhteisötilaajalla olisi esityksen mukaan oikeus tietyin edellytyksin ryhtyä tietoturvaloukkausten torjumiseksi ja tietoturvaan kohdistuvien häiriöiden poistamiseksi välttämättömiin toimiin estämällä sähköpostiviestien, tekstiviestien ja muiden vastaavien viestien vastaanottaminen, poistamalla haittaohjelmat viesteistä sekä toteuttamalla muut välttämättömät toimenpiteet.

Teleyrityksen olisi esityksen mukaan annettava käyttäjän sitä pyytäessä täydellinen laskun yhteyskohtainen erittely.

Esityksessä ehdotetaan täsmennettäväksi useita suoramarkkinointia koskevia säännöksiä. Samalla ehdotetaan, että teleyrityksellä ja yhteisötilaajalla olisi käyttäjän suostumuksella oikeus estää ei-toivotun suoramarkkinoinnin vastaanottaminen.

Käyttäjälle ehdotetaan säädettäväksi oikeus saada teleyritykseltä käyttäjän liittymän tai päätelaitteen tunnistamistiedot, jotka ilmaisevat liittymän tai päätelaitteen sijainnin tietyllä hetkellä.

Esityksessä ehdotetaan, että ilmoituksenvaraista tai toimiluvanvaraista toimintaa harjoittava teleyritys olisi velvollinen suorittamaan Viestintävirastolle vuotuisen tietoturvamaksun.

Esityksessä ehdotetaan, että tietoyhteiskunnan palvelun tarjoaja voisi käsitellä teleyrityksen hallinnoiman viestintäverkon välityksellä tarjottavien kuvatallenteiden, äänitallenteiden ja muiden maksullisten palvelujensa laskutusta varten välttämättömiä tunnistamistietoja ja muita laskutuksen kannalta välttämättömiä tietoja, jos tilaaja tai käyttäjä, jota tiedot koskevat, on antanut siihen suostumuksensa. Ehdotetun säännöksen mukaan tietoyhteiskunnan palvelun tarjoajalla on oikeus saada teleyritykseltä edellä tarkoitetut tiedot. Tietojen käsittelyyn sovellettaisiin lisäarvopalveluntarjoajaa koskevia säännöksiä.

Poliisilain tiedonsaantia koskevaa pykälää ehdotetaan täydennettäväksi siten, että salaisten puhelinnumeroiden lisäksi poliisi saisi teleyrityksiltä ja yhteisötilaajilta telepäätelaitteiden tai liittymien yksilöivät tiedot, jos näitä tietoja yksittäistapauksissa tarvittaisiin poliisille kuuluvien tehtävien suorittamiseksi.

Esityksessä ehdotetaan tehtäväksi ehdotetun lain nimen mukaiset säädöstekniset muutokset rikoslakiin, viestintämarkkinalakiin, hätäkeskuslakiin, viestintähallinnosta annettuun lakiin, meripelastuslakiin ja henkilötietojen käsittelystä poliisitoimessa annettuun lakiin.

Ehdotetut lait on tarkoitettu tulemaan voimaan mahdollisimman pian sen jälkeen, kun ne on hyväksytty ja vahvistettu. Sähköisen viestinnän tietosuojadirektiivi tulisi panna täytäntöön 31 päivänä lokakuuta 2003.

Lain tarkoituksena on turvata sähköisen viestinnän luottamuksellisuuden ja yksityisyyden suojan toteutuminen sekä edistää sähköisen viestinnän tietoturvaa ja monipuolisten sähköisen viestinnän palvelujen tasapainoista kehittymistä.

Voimassa olevalla ja nyt kumottavaksi esitetyllä yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta annetulla lailla (565/1999, jäljempänä televiestinnän tietosuojalaki) säädetään luottamuksellisen viestinnän ja yksityisyyden suojasta teletoiminnassa perustuslain ja vanhan henkilötietojen käsittelystä ja yksityisyyden suojasta televiestinnän alalla annetun Euroopan parlamentin ja neuvoston direktiivin (97/66/EY, jäljempänä televiestinnän tietosuojadirektiivi) edellyttämällä tavalla. Lakia sovelletaan yleisessä teletoiminnassa ja yleisiä telepalveluja käyttäen harjoitetussa televiestinnässä sekä tilaajaluetteloiden tarjoamisessa. Lisäksi henkilötietojen käsittelyyn teletoiminnassa sovelletaan henkilötietolakia. Televiestinnän tietosuojalain soveltamisala ulottuu yleisen televerkon ohella myös muihin kuin yleisiin televerkkoihin. Lakia ei sovelleta televisio- ja radiotoimintaan.

Perustuslain, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisenviestinnän alalta annetun direktiivin (2002/58/EY, jäljempänä sähköisen viestinnän tietosuojadirektiivin) ja voimassa olevan televiestinnän tietosuojalain keskeisin lähtökohta on, että jokaisella on oikeus luottamukselliseen viestintään ja yksityisyyden suojaan myös sähköisessä viestinnässä. Yksityiselämän suoja ei kuitenkaan estä tunnistamistietojen käsittelyä, jos sille on laissa säädetty peruste tai käsittelijällä on käsiteltävien tietojen kohteen suostumus. On huomattava, että sähköisen viestinnän toteuttaminen ei ole mahdollista, jos palvelun tarjoaja ei voi käyttää tunnistamistietoja muun muassa viestien reititykseen, vikatilanteiden selvittämiseen ja laskutukseen tai sijainnin ilmaisevia tunnistamistietoja viestien perille välittämiseksi.

Sähköisen viestinnän eri osa-alueiden turvallisuudella on suuri vaikutus yksityiselämän suojan toteutumiseen. Nykyaikaisen tietoyhteiskunnan perustoiminnot ovat riippuvaisia sähköisen viestinnän häiriöttömästä toiminnasta, minkä vuoksi sen turvallisuuden perusedellytyksistä tulee säätää laissa. Esimerkiksi laajamittainen ei-toivottu viestintä ja haittaohjelmat voivat haitata tai jopa estää normaalin sähköisen viestinnän. Muun muassa tästä syystä lailla tulee rajoittaa ei-toivottua viestintää ja mahdollistaa haittaohjelmien torjuminen.

Esityksellä toteutetaan yksityiselämän suojan sääntelyn kokonaistarkistus sähköisessä viestinnässä siten, että nykyinen sääntely säilytetään siltä osin kuin sen muuttamiseen ei ole erityistä syytä. Muilta osin sääntely muutetaan vastaamaan uuden sähköisen viestinnän tietosuojadirektiivin ja rahoituspalvelujen etämyyntidirektiivin (2002/65/EY) vaatimuksia ja samalla toteutetaan eräitä kansallisista tarpeista nousevia uudistuksia.

2.1. Lainsäädäntö ja käytäntö

Yksityiselämän suoja

Yksityiselämän eli yksityisyyden suojasta säädetään perustuslain 10 §:ssä. Yksityisyyden suojan piiriin kuuluu muun muassa kotirauha, luottamuksellisen viestin ja henkilötietojen suoja. Sähköisen viestinnän alueella yksityisyyden suojaan kuuluvista osa-alueista merkittäviä ovat erityisesti henkilötietojen suoja ja henkilön oikeus luottamukselliseen viestintään. Näiden lisäksi sähköiseen viestintään liittyy yksityisyyden suojan tarvetta muun muassa kotirauhan piiriin kuuluvilla alueilla. Yksityisyyden suoja koskee sähköisessä viestinnässä luottamuksellisen viestin sisällön suojan lisäksi myös niitä tunnistamistietoja, joita syntyy yleisessä teletoiminnassa tai tietoyhteiskunnan palvelujen taikka viestintäverkkojen käyttämisessä ja joista voidaan tunnistaa luonnollinen henkilö. Voimassa olevan televiestinnän tietosuojalain mukaan myös oikeushenkilöihin yhdistettävissä olevat tunnistamistiedot ovat luottamuksellisia.

Tällä hetkellä voimassaolevan ja tällä lakiehdotuksella kumottavaksi ehdotettavan televiestinnän tietosuojalain tarkoituksena on edistää tilaajien ja käyttäjien yksityisyyden suojaa televiestinnässä ja tämän tavoitteen saavuttamiseksi edistää yleisen teletoiminnan tietoturvaa. Lailla saatettiin voimaan sittemmin sähköisen viestinnän tietosuojadirektiivillä korvattu televiestinnän tietosuojadirektiivi. Televiestinnän tietosuojalakia sovelletaan pääsääntöisesti kaikkeen televiestintään ja kaikenlaiseen yleiseen teletoimintaan. Soveltamisalaan kuuluu myös erillisverkkojen välillä tapahtuva televiestintä, jos erillisverkot on liitetty yleisen televerkon osaksi ja viestintä erillisverkkojen välillä tapahtuu yleisen televerkon välityksellä. Lain televiestinnän luottamuksellisuutta käsittelevä 4 § ja televiestinnän suojausta koskeva 5 § koskevat kuitenkin kaikkea televiestintää. Laissa käytetyt teleyrityksen ja televiestinnän määritelmät ovat varsin laajoja ja ne kattavat muuan muassa Internet-palvelun tarjoajat ja sähköpostiviestinnän.

Avoimet tietoverkot ja erityisesti Internet saattavat muuttaa lähitulevaisuudessa olennaisesti sähköisen viestinnän markkinoiden perinteisiä rakenteita ja toimintamalleja tarjoamalla käytettäväksi yhteisen ja maailmanlaajuisen infrastruktuurin, jonka avulla voidaan tarjota laajaa valikoimaa sähköisiä viestintäpalveluja. Avoimissa tietoverkoissa yleisesti saatavilla olevat sähköiset viestintäpalvelut avaavat käyttäjille uusia mahdollisuuksia, mutta saattavat samalla lisätä yksityisyyden suojaan liittyviä riskejä. Uudet teknologiat mahdollistavat myös tilaajia ja käyttäjiä koskevien tietojen tehokkaamman automaattisen käsittelyn ja tallentamisen, mikä saattaa lisätä tilaajien ja käyttäjien oikeussuojan tarvetta. Uusien viestintäpalvelujen ja tietoyhteiskunnan palvelujen menestyminen ja yleistyminen riippuu osittain myös siitä, että käyttäjät voivat luottaa siihen, ettei heidän yksityisyyttään vaaranneta.

Internetin välityksellä toteutetun puheensiirron tekninen kehitys on ollut nopeaa ja se yltää parhaimmillaan laadultaan jo käytännössä perinteisen puhelintoiminnan tasolle. Tällä hetkellä on vaikeaa arvioida tarkkaan, millä aikataululla niin sanotuista IP-puheluista tulee kiinteässä puhelinverkossa tarjottujen puheensiirtopalvelujen todellinen kilpailija. Myös muut sähköiset viestintämuodot, kuten tekstiviestit, sähköposti, irc-kanavilla (Internet relay chat) käytävät keskustelut ja digitalisoidun television ja mahdollisesti myös radiotoiminnan oheen rakennettavat vuorovaikutteiset viestintämahdollisuudet lisäävät huomattavasti lähitulevaisuudessa sähköisen viestinnän ulottuvuuksia. Tätä toimintakenttää koskevat perussäännökset tulee antaa lain tasolla.

Sähköisten viestintäpalvelujen käytössä on edelleen yksityisyyden suojan piiriin kuuluvia ongelmia. Näitä ongelmia ei välttämättä ole mahdollista täysin poistaa lainsäädäntöteitse, mutta niiden haitallisia vaikutuksia voidaan pyrkiä ainakin rajoittamaan. Tällaisena ongelmana voidaan pitää esimerkiksi viestintäpalvelujen käyttämistä ei-toivottuun suoramarkkinointiin. Erityisen ongelman on aiheuttanut ei-toivottu suoramarkkinointi sähköpostin avulla. Suoramarkkinointi sähköpostitse on varsin edullista markkinoijille ja se tekee mahdolliseksi lähettää vaikkapa tuhansia viestejä samanaikaisesti hyvin yksinkertaisella tavalla ja nopeasti. Laajamittaisena se voi kuitenkin aiheuttaa vastaanottajalle haittaa ja häiritä sekä viestintäverkon toimintaa että toivottavien viestien vastaanottamista tai viestinnän käyttämistä muihin toivottaviin tarkoituksiin.

Viestinnässä käytettävien kannettavien päätelaitteiden sijainti voidaan tarvittaessa paikantaa erittäin tarkasti. Tietyntasoinen paikantaminen on välttämätöntä jo viestinnän välittämiseksi langattomissa viestintäverkoissa. Paikantamiseen liittyviä tietoja voidaan käyttää viestinnän välittämisen lisäksi myös erilaisten lisäarvopalvelujen toteuttamiseen. Päätelaitteen käyttäjän paikantaminen on kuitenkin niin vahva puuttuminen käyttäjän yksityisyyden suojaan, että paikkatietojen käyttäminen lisäarvopalvelujen tuottamiseen tai esimerkiksi markkinointiin vaatii välttämättä oikeudellista sääntelyä, jolla varmistetaan käyttäjän yksityisyyden ja itsemääräämisoikeuden kunnioittaminen. Uudet paikkatietoihin perustuvat palvelut tarvitsevat selkeitä pelisääntöjä, mutta tällä sääntelyllä ei tule kohtuuttomasti vaikeuttaa uusien palvelujen toteuttamista ja kehittämistä.

Sähköisten viestintäpalvelujen markkinoiden toimintamallien ja tekniikan kehityksen myötä myös voimassaolevaa lainsäädäntöä on tarpeen mukauttaa, jotta yleisesti saatavilla olevien sähköisten viestintäpalvelujen käyttäjille voitaisiin turvata yksityisyyden suojan yhdenmukainen taso käytetystä tekniikasta ja sovelluksista riippumatta. Tavoitteena on, että lainsäädännöllä turvataan käyttäjien yksityisyyden suojan, viestinnän luottamuksellisuuden sekä tietoturvan osalta riittävä perustaso. Tavoite pyritään kuitenkin toteuttamaan siten, ettei se aiheuta viestintäpalvelun ja lisäarvopalvelun tarjoajille ja epäsuorasti tätä kautta myös palvelujen käyttäjille kohtuuttomia kustannuksia. Lainsäädännöllä pyritään luomaan toimintaedellytyksiä rajoittaen samalla mahdollisimman vähän uusien viestintäpalvelujen, tietoyhteiskunnan palvelujen ja lisäarvopalvelujen kehittämistä. Sääntely pyritään siten rajoittamaan ainoastaan siihen, mitä on pidettävä välttämättömänä edellä mainittujen intressien suojaamiseksi.

Luottamuksellisen viestin suoja

Luottamuksellisen viestin suoja tarkoittaa sitä, että kukaan muu kuin viestin lähettäjän tarkoittama oikea vastaanottaja ei saa ottaa viestin sisällöstä selvää tai muuten puuttua viestin sisältöön tai viestiin liittyviin tunnistamistietoihin, eikä myöskään puuttua viestin perille menemiseen. Jollei viestiä ole tarkoitettu yleisesti vastaanotettavaksi, viestintätapahtuman näkökulmasta ulkopuoliset tahot eivät saa käsitellä tai tallentaa viestiä, eikä sitä saa myöskään luovuttaa kenellekään ulkopuoliselle.

Luottamuksellisen viestin suoja on perustuslain 10 §:n 2 momentin nojalla kansalaisille kuuluva perusoikeus. Kyseisen momentin mukaan kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton. Kysymys on pohjimmiltaan jokaiselle kansalaiselle kuuluvan itsemääräämisoikeuden suojaamisesta. Perustuslain 10 §:n 3 momentin mukaan lailla voidaan säätää perusoikeuksien turvaamiseksi tai rikosten selvittämiseksi välttämättömistä kotirauhan piiriin ulottuvista toimenpiteistä. Lailla voidaan säätää lisäksi välttämättömistä rajoituksista viestin salaisuuteen yksilön tai yhteiskunnan turvallisuutta taikka kotirauhaa vaarantavien rikosten tutkinnassa, oikeudenkäynnissä ja turvallisuustarkastuksessa sekä vapaudenmenetyksen aikana. Luottamuksellisen viestin suojan ydinaluetta on erityisesti viestin sisältö, mutta myös viestiin liittyvät tunnistamistiedot kuuluvat luottamuksellisuuden piiriin.

Suomessa tavallisen lain tasolla luottamuksellisen viestin suojasta säädetään tällä hetkellä televiestinnän tietosuojalain 4 §:ssä, jonka mukaan televiestintä on luottamuksellista, jollei sitä ole tarkoitettu yleisesti vastaanotettavaksi. Se, joka on ottanut vastaan tai muutoin saanut tiedon luottamuksellisesta televiestistä, jota ei ole hänelle tarkoitettu, ei saa oikeudettomasti ilmaista tietoa televiestin sisällöstä tai käyttää hyväksi tietoa televiestin sisällöstä tai sen olemassaolosta. Lisäksi televiestinnän tietosuojalain 7 §:n mukaan teleyrityksen palveluksessa olevalla tai olleella on vaitiolovelvollisuus, siitä mitä hän on saanut tietää tehtävässään viestinnän sisällöstä, tunnistamistiedoista tai sijaintitiedoista.

Luottamuksellisen viestin suojaa on pyritty suojaamaan kriminalisoimalla luottamukselliseen viestintään kohdistuvat loukkaukset. Rikoslain (39/1889) 38 luvun 3 ja 4 §:ssä säädetään viestintäsalaisuuden loukkaus rangaistavaksi teoksi. Rikoslain 38 luvun 3 §:ssä säädetään rangaistus sille, joka oikeudettomasti avaa toiselle osoitetun kirjeen tai muun suljetun viestin taikka suojauksen murtaen hankkii tiedon sähköisesti tai muulla vastaavalla teknisellä keinolla tallennetusta, ulkopuoliselta suojatusta viestistä tai hankkii tiedon televerkossa välitettävänä olevan puhelun, sähkeen, tekstin-, kuvan- tai datasiirron taikka muun vastaavan televiestin sisällöstä taikka tällaisen viestin lähettämisestä tai vastaanottamisesta. Säännös on rikoslain muuttamista koskevan hallituksen esityksen (HE 184/1999) perusteluiden mukaan tarkoitettu suojaamaan myös sähköpostiviestintää.

Luottamuksellisen viestin suoja taataan myös ihmisoikeuksia koskevien kansainvälisten sopimusten, erityisesti ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn eurooppalaisen yleissopimuksen sekä Euroopan unionin perusoikeuskirjassa vahvistettujen oikeuksien mukaisesti. Euroopan neuvoston ihmisoikeussopimuksen 8 artikla koskee yksityisyyden ja perhe-elämän kunnioittamista, mihin sisältyy myös kirjeenvaihdon yksityisyyden kunnioittaminen. Euroopan unionin perusoikeuskirjan 7 artikla koskee yksityisyyden ja perhe-elämän suojaa ja 8 artikla henkilötietojen suojaa.

Käyttäjän kannalta täsmälleen samanlaisia viestintäpalveluja on nykyisin mahdollista tarjota hyvin erilaisissa viestintäverkoissa ja erilaisilla teknisillä välineillä. Tästä johtuen myös sääntelyn tulee olla viestinnän luottamuksellisuuden kannalta yhtenäistä ja viestinnän teknisestä toteuttamistavasta riippumatonta. Käyttäjän oikeusturvan kannalta on tärkeää, että viestinnän tavasta tai välineestä riippumatta viestintä saa yksiselitteisesti luottamuksellisen viestin suojan, jos sitä ei ole tarkoitettu yleisesti vastaanotettavaksi.

Viestinnän luottamuksellisuutta voidaan pyrkiä edistämään tietoturvaa koskevilla velvoitteilla tai erilaisilla teknisillä määräyksillä. Sitä voidaan pyrkiä suojaamaan myös erilaisten viestinnän suojaustekniikoiden tai salaustekniikoiden käyttämisellä. Euroopan unionin jäsenvaltioissa ei enää tällä hetkellä ole voimassa merkittäviä salausmenetelmien käyttöä koskevia rajoituksia. Voimassaolevan televiestinnän tietosuojalain 5 §:ssä on nimenomaisesti todettu, että käyttäjällä tai tilaajalla on oikeus suojata televiestinsä haluamallaan tavalla käyttäen hyväksi sitä varten tarjolla olevia teknisiä mahdollisuuksia. Tämä antaa käyttäjälle mahdollisuuden määrätä myös itse oman viestintänsä salassa pysymisestä ja siten myös viestintänsä luottamuksellisuuden toteutumisesta. Markkinoilla on vapaasti saatavilla myös vahvoihin salausalgoritmeihin perustuvia salausmenetelmiä, mutta niiden käyttö ei ole vielä kovin yleistä. OECD on laatinut tiedonsiirron salauspolitiikkaa koskevan yleisohjeen (OECD:n suositus tiedonsiirron salauspolitiikan yleisohjeiksi 27 päivänä maaliskuuta 1997). Suomessa hallitus hyväksyi 7 päivänä lokakuuta 1998 salauspolitiikassa noudatettavat periaatteet.

Tietosuoja sähköisessä viestinnässä

Tietosuojalla tarkoitetaan henkilön yksityisyyden suojaamista henkilöön yhdistettävissä olevien tietojen käsittelyssä. Tätä tarkoitusta varten henkilötiedot on suojattava oikeudettomalta tai jollakin tavoin henkilöä vahingoittavalta käytöltä.

Voimassa olevan televiestinnän tietosuojalain lisäksi henkilötietolaki (523/1999) henkilötietojen käsittelyn yleislakina koskee soveltuvin osin myös sähköisen viestinnän tietosuojaa. Henkilötietolaissa säädetään henkilötietojen käsittelyn ja luovuttamisen edellytyksistä. Lainvalinta henkilötietolain ja televiestinnän tietosuojalain välillä määräytyy muun muassa henkilötietojen ja tunnistamistietojen käsitteiden kautta. Televiestinnän tietosuojalain 3 §:n 7 kohdan mukaan tunnistamistiedoilla tarkoitetaan tilaajan ja käyttäjän liittymän numeroa tai teleyhteyden toteuttamisessa syntynyttä tai tallentunutta muuta tietoa. Tunnistamistietojen henkilötiedoista erottavana tekijänä on tietojen liittyminen sähköiseen viestintään tai viestintäverkkojen käyttämiseen. Jos tieto on yhdistettävissä luonnolliseen henkilöön, mutta se ei liity sähköiseen viestintään tai viestintäverkkojen käyttämiseen, kysymyksessä on henkilötieto, jonka käsittelyyn sovelletaan henkilötietolakia. Rajanveto ei kaikissa tilanteissa ole kuitenkaan helppoa. Kyseisellä erottelulla on merkitystä myös valvontaviranomaisten toimivallanjaon kannalta, koska teleyrityksissä tapahtuvaa tunnistamistietojen käsittelyä valvoo Viestintävirasto, henkilötietojen käsittelyä puolestaan tietosuojavaltuutettu.

Koska yksityiselämän suoja ja siihen kuuluva henkilötietojen suoja ovat perustuslaissa turvattuja kansalaisen perusoikeuksia, sähköisen viestinnän ominaispiirteistä johtuen on ollut tarkoituksenmukaista säätää erikseen kansalaisten tietosuojan turvaamisesta sähköisiä viestintäpalveluja käytettäessä. Tietosuojan turvaamiseen pyritään oikeudellisella sääntelyllä muun muassa tietoturvasta huolehtimista koskevilla velvoitteilla ja rajoittamalla tunnistamistietojen käsittely vain tiettyihin käyttötarkoituksiin.

Viestintäverkoissa viestintää harjoittavia henkilöitä koskevia tietoja käsittelevät erityisesti teleyritykset, joihin kuuluvat myös Internet-palvelujen tarjoajat. Televiestinnän tietosuojalaissa säädetään teleyritysten oikeudesta käsitellä tunnistamistietoja. Lain 3 luvussa säädetään siitä, mihin tarkoituksiin teleyritys saa käsitellä tunnistamistietoja ja kenelle niitä voidaan luovuttaa. Tunnistamistiedot on pääsääntöisesti hävitettävä tai muutettava anonyymeiksi sen jälkeen kun teleyhteys on päättynyt. Teleyrityksessä voidaan kuitenkin käsitellä tunnistamistietoja myös laskutusta, markkinointia, televerkon ja telepalvelujen ylläpitoa ja kehittämistä sekä tiettyjen väärinkäytösten ehkäisyä ja havaitsemista varten.

Televiestinnän tietosuojalain 23 §:n mukaan Viestintävirasto valvoo, että teleyritykset käsittelevät tunnistamistietoja televiestinnän tietosuojalain mukaisesti. Myös viestintäverkkojen kautta tietoyhteiskunnan palveluja ja erilaisia tuotteita tarjoaville yrityksille kertyy tietoverkoissa asioivista henkilöistä tietoja. Esimerkiksi verkkokaupassa on usein rekisteröidyttävä palvelun käyttäjäksi, jolloin asiakasta pyydetään antamaan henkilötietoja palveluntarjoajalle. Tällä tavoin kerättyjen henkilötietojen käsittelyä valvoo tietosuojavaltuutettu.

Tietoyhteiskunnan palvelujen tarjoajien ja viestintäverkkojen tietojärjestelmiin voi kuitenkin tallentua tietoja automaattisestikin. Tietoja saattaa tallentua esimerkiksi niin sanottujen evästeiden (cookies) avulla. Jos evästeen avulla saatuja tietoja yhdistettäisiin esimerkiksi palvelun käyttäjäksi rekisteröitymisen yhteydessä annettuihin tietoihin, tämä mahdollistaisi käyttäjien profiloimisen. Henkilötietoja sisältävien rekisterien yhdistämistä ja uusien rekisterien perustamista sääntelee kuitenkin henkilötietolaki. Palvelujen käyttäjät voivat vaikuttaa parhaiten itse evästeiden tallentumiseen päätelaitteelleen selainohjelmansa asetuksia muuttamalla. Monet nykyiset palvelut on tosin toteutettu siten, että ne eivät käytännössä toimi ilman evästeitä.

Sähköisen viestinnän tietoturva

Tietoturvalla tarkoitetaan kaikkia niitä hallinnollisia ja teknisiä toimenpiteitä, joilla varmistetaan tiedon luottamuksellisuus ja eheys sekä järjestelmien käytettävyys. Tietoturvatoimenpiteillä voidaan pyrkiä suojaamaan sekä viestinnän luottamuksellisuutta että yleisemminkin kansalaisten yksityisyyden suojaa.

Kiinteän puhelinverkon tietoturvan taso on suhteellisen korkea, eikä siinä välitettyjä viestejä ole käytännössä mahdollista kuunnella ilman erityisiä teknisiä välineitä ja teknistä asiantuntemusta. Digitaalisissa matkaviestinverkoissa viesti välitetään salatussa muodossa päätelaitteen ja tukiaseman välillä. Tukiasemien välillä salaamattomana kulkevan viestin sieppaaminen on periaatteessa mahdollista esimerkiksi tietyillä taajuuksilla toimivien radiovastaanottimien, niin sanottujen skannerien, avulla. Digitaalisten matkaviestinverkkojen tietoturvan taso on kuitenkin yleensä katsottu riittäväksi, koska käytetyn salauksen reaaliaikaiseen purkamiseen tarvittavia laitteita ja ohjelmia ei ole yleisesti saatavilla ja niiden hallussapito on televiestinnän tietosuojalain 5 §:n mukaan kielletty. Salauksen purkavan laitteen oikeudeton käyttäminen on lisäksi rikoslain mukaan rangaistavaa viestintäsalaisuuden loukkauksena.

Internetissä toteutettavan viestinnän tietoturvan taso on edellä mainittuja verkkoja heikompi. Avoimissa tietoverkoissa välitetty viesti saattaa kulkea kymmenien eri palvelimien kautta, eikä käyttäjällä voi olla tietoa kaikkien näiden palvelimien tietoturvaratkaisuista. Erityisesti Internetin selkeästi valtioiden rajat ylittävän luonteen takia yhden maan tai edes kaikkien Euroopan unionin jäsenvaltioiden yhteisellä lainsäädännöllä ei välttämättä ole mahdollista luoda täysin toimivaa sääntelyä tällaiselle hajautetulle verkolle. Kansallisella lainsäädännöllä voidaan kuitenkin osaltaan pyrkiä vaikuttamaan myös tällaisessa verkossa tapahtuvan viestinnän luottamuksellisuuden ja tietoturvan toteutumiseen.

Tietoturvaa koskevia säännöksiä sisältyy tällä hetkellä useampiin voimassa oleviin lakeihin ja asetuksiin. Sähköisen viestinnän tietoturvaa koskee ensinnäkin televiestinnän tietosuojalaki, jonka 6 §:ssä on säädetty teleyritysten yleisistä tietoturvaa koskevista velvollisuuksista. Teleyrityksen tulee huolehtia harjoittamansa teletoiminnan tietoturvasta. Teleyritysten tulee toteuttaa tarvittaessa yhteistyössä muiden teleyritysten kanssa turvataso, joka on tekniseen kehitykseen nähden riittävä ja kustannuksiltaan kohtuullinen. Teleyrityksen on tiedotettava tilaajilleen telepalvelujensa turvallisuuteen liittyvistä erityisistä riskeistä sekä mahdollisuuksista niiden poistamiseen ja tähän liittyvien toimenpiteiden kustannuksista. Pykälän mukaan teleyrityksen on ilmoitettava Viestintävirastolle televerkkojen ja telepalvelujen merkittävistä tietoturvaloukkauksista ja sellaisista televerkkoihin ja telepalveluihin kohdistuvista tietoturvauhkista, joista teleyritys on tietoinen, sekä merkittävistä vikatilanteista ja häiriötilanteista televerkoissa ja telepalveluissa samoin kuin toimenpiteistä, joilla tällaisten tietoturvaloukkausten ja niiden uhkien sekä vikatilanteiden ja häiriötilanteiden toistuminen pyritään estämään. Teleyritysten on ilmoitettava merkittävistä vikatilanteista ja häiriötilanteista myös hätäkeskukselle, poliisin hälytyskeskukselle sekä meripelastuskeskukselle ja meripelastuslohkokeskukselle.

Viestintävirasto antaa televiestinnän tietosuojalain 6 §:n mukaan tarkempia määräyksiä televerkkojen ja telepalvelujen tietoturvaloukkauksista sekä vikatilanteissa ja häiriötilanteissa Viestintävirastolle tehtävistä ilmoituksista. Viestintäviraston CERT (Computer Emergency Response Team) -toiminnalla tarkoitetaan tietoturvaloukkausten ennaltaehkäisyä ja havainnointia sekä loukkauksista tiedottamista. Tätä toimintaa koskeva televiestinnän tietosuojalain 23 §:n muutos tuli voimaan 1 päivänä syyskuuta 2002. Myös Viestintämarkkinalain (393/2003) 128 § (viestintäverkon ja viestintäpalvelun laatuvaatimukset) sisältää teleyrityksiin kohdistuvia yleisiä tietoturvaa koskevia vaatimuksia. Viestintämarkkinalain 129 §:n perusteella Viestintävirasto voi antaa näitä vaatimuksia koskevia määräyksiä.

Televiestinnän tietosuojalain nojalla on annettu myös muutamia tietoturvaa koskevia säännöksiä ja määräyksiä. Televiestinnän tietosuojalain perusteella on annettu liikenne- ja viestintäministeriön asetus (723/1999) ja päätös (760/1999). Televiestinnän tietosuojalain 23 §:n 2 momentin 2 kohdan mukaan Viestintäviraston tehtävänä on antaa tarvittaessa teknisiä määräyksiä teleyritysten toiminnasta sekä telelaitteiden, televerkkojen ja telepalvelujen varustamisesta lain edellyttämällä tavalla. Viestintävirasto on antanut seuraavat tietoturvaa koskevat määräykset ja suositukset: Viestintäviraston määräys televerkkojen ja -palvelujen tietoturvaloukkausten sekä vika- ja häiriötilanteiden ilmoittamisvelvollisuudesta (9/2002 M) ja sitä koskeva suositus (SMS 9/2002), määräys teleyritysten tietoturvasta (THK 47/1999 M) ja sitä koskeva suositus (SMS 47) sekä määräys teleyritysten tilojen ja televerkkojen fyysisestä suojaamisesta (THK 48/1999 M) ja sitä koskeva suositus (SMS 48).

Voimassa olevan televiestinnän tietosuojalain 8 §:n mukaan teleyrityksen tulee varmistaa teletoimintansa tietoturva myös poikkeusoloissa osallistumalla valmiussuunnitteluun ja valmistelemalla etukäteen poikkeusoloissa tapahtuvaa toimintaa sekä muilla toimenpiteillä. Jos varautuminen edellyttää sellaisia toimenpiteitä, jotka poikkeavat selvästi tavanomaisena pidettävästä teleyrityksen toiminnasta ja joista aiheutuu olennaisia lisäkustannuksia, tällaiset kustannukset voidaan korvata valtion varoista, jollei toimenpiteen tilaaja suorita teleyritykselle siitä aiheutuvia kustannuksia.

Viranomaisten toiminnan julkisuudesta annetun lain (621/1999) mukaan viranomaisten tulee noudattaa hyvää tiedonhallintatapaa. Hyvään tiedonhallintatapaan sisältyy kyseisen lain 18 §:n mukaan myös tietoturvaa koskevia vaatimuksia. Viranomaisen tulee hyvän tiedonhallintatavan mukaan huolehtia muun muassa asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä tietojen eheyden säilymisestä. Viranomaisen tulee suunnitella ja toteuttaa muun muassa ylläpitämänsä tietojärjestelmät ja tietojenkäsittelyt niin, että asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen suoja, eheys ja laatu turvataan asianmukaisin tietoturvajärjestelyin ottaen huomioon tietojen merkitys ja käyttötarkoitus sekä asiakirjoihin ja tietojärjestelmiin kohdistuvat uhkatekijät ja tietoturvatoimenpiteistä aiheutuvat kustannukset. Viranomaisen tulee huolehtia siitä, että sen palveluksessa olevilla on tarvittava tietämys tietojen antamisessa ja käsittelyssä sekä tietojärjestelmien suojaamisessa noudatettavista menettelyistä, tietoturvajärjestelyistä ja asianmukaisesta tehtävänjaosta.

Tietoturvaan liittyvistä rikoksista on säännöksiä muun muassa rikoslain 34 luvun 9 a §:ssä, jossa säädetään vaaran aiheuttamisesta tietojenkäsittelylle. Säännös koskee niin sanottujen haittaohjelmien valmistamista tai saataville asettamista. Rikoslain 38 luvun 8 §:ssä on säädetty tietomurto rangaistavaksi teoksi. Rikoslain 38 luvun 5 – 7 § taas koskee tietoliikenteen häirintää.

Yleinen tietoturvan normaaliajan ohjaus ja kehittäminen kuuluu lähinnä liikenne- ja viestintäministeriön, liikenne- ja viestintäministeriön alaisen Viestintäviraston sekä kauppa- ja teollisuusministeriön toimialaan. Liikenne- ja viestintäministeriön toimivaltaan kuuluu valtioneuvoston ohjesäännön (262/2003) mukaan viestintäpalvelujen tietoturvallisuus. Liikenne- ja viestintäministeriön tehtävänä on myös teletoiminnan ohjaus ja kehittäminen viestintämarkkinalain 119 §:n ja televiestinnän tietosuojalain 23 §:n mukaisesti. Viestintäviraston tehtävänä on toimia kansallisena tietoturvaviranomaisena, joka televiestinnän tietosuojalain 21 §:n mukaan harjoittaa CERT–toimintaa ja valvoo sekä televiestinnän tietosuojalain, että viestintämarkkinalain noudattamista. Viestintävirasto harjoittaa myös tietoliikenneturvallisuuden valvontaa (COMSEC, communications security) ja se voi antaa teknisiä määräyksiä televiestinnän tietosuojalain ja viestintämarkkinalain tietoturvaa koskevien säännösten noudattamisesta. Viestintäviraston tehtäviin kuuluu myös televiestinnän ja siihen liittyvän tietoturvan standardoinnin koordinointi ja kehittäminen. Kauppa- ja teollisuusministeriön tehtävänä on valtioneuvoston ohjesäännön mukaan teknologiapolitiikka ja tekninen turvallisuus.

Julkishallinnon osalta tietoturvan ohjauksesta ja kehittämisestä on säädetty erikseen. Julkishallinnon tietoturvan kehittäminen kuuluu lähinnä sisäasiainministeriön, valtioneuvoston kanslian, valtiovarainministeriön sekä liikenne- ja viestintäministeriön toimialaan. Valtioneuvoston ohjesäännön mukaan sisäasiainministeriön toimivaltaan kuuluu valtion ja kuntien välinen verkkoasiointi ja tietohallinto. Valtioneuvoston ohjesäännön mukaan valtiovarainministeriön toimialaan kuuluu valtion tietohallinnon, tietojenkäsittelyn ja tietoturvan yleiset perusteet, hallinnon sähköinen asiointi ja valtioneuvoston yhteinen tietohallinto. Valtiovarainministeriön tehtävänä on myös sähköisestä asioinnista viranomaistoiminnassa annetun lain (13/2003) 22 §:n mukaisesti antaa tarkempia ohjeita hallinnon sähköisen asioinnin tietoturvan järjestämisestä. Valtioneuvoston kanslian toimialaan kuuluu valtioneuvoston ohjesäännön mukaan valtioneuvoston yleisten toimintaedellytysten ja palvelujen järjestäminen. Liikenne- ja viestintäministeriö vastaa valtioneuvoston ohjesäännön perusteella viestintäpalvelujen tietoturvasta.

Tietosuojaviranomaisten tehtävänä on valvoa henkilötietolain tietoturvasäännösten noudattamista ja edistää hyvää tiedonhallintatapaa, mihin sisältyy myös tietoturvaa koskevia vaatimuksia. Arkistolaitoksen tehtävät tietoturvan alalla keskittyvät arkistolain (831/1994) perusteella pysyvästi säilytettävien asiakirjojen säilyvyyden turvaamiseen ja sen tehtävänä on sähköisestä asioinnista viranomaistoiminnassa annetun lain 22 §:n mukaan antaa tarkempia määräyksiä hallinnon sähköisen asioinnin kirjaamisesta ja rekisteröimisestä. Muita keskeisiä ja aktiivisia toimijoita tietoturvan alalla ovat poliisin hallinnosta annetun lain (110/1992) perusteella keskusrikospoliisi, suojelupoliisi ja muut poliisiviranomaiset sekä muun muassa Funet CERT ja Tietoyhteiskunnan kehittämiskeskus ry (Tieke). Lisäksi yksityisten yritysten itsesääntelyllä samoin kuin erilaisilla yritysten käytännön tietoturvatoimenpiteillä on keskeinen merkitys tietoturvan kehittämisen ja toteutumisen kannalta.

Tietoturva-alan yhteistyötä tehdään muun muassa Yritysturvallisuuden neuvottelukunnassa, joka on Teollisuuden ja Työantajain Keskusliiton, Palvelutyönantajat ry:n sekä näiden jäsenyritysten yhteistyöorganisaatio. Julkisen hallinnon tietohallinnon neuvottelukunta (JUHTA) on valtion ja kuntien tietohallinnon yhteisten hankkeiden kehittämisfoorumi. JUHTA pyrkii yhteensovittamaan valtion ja kuntien tietotekniikan, tietohallinnon ja sähköisten asiointipalvelujen kehittämistä ja laatii toimialaansa liittyviä, myöskin tietoturvaa koskevia, suosituksia ja ohjeita. Valtiovarainministeriön alainen valtionhallinnon tietoturvallisuuden johtoryhmä (VAHTI) antaa valtionhallinnon tietoturvaa koskevia ohjeita.

Poikkeusoloihin varautumista koskevien säännösten perusteella tehtävällä tietoturvatyöllä on keskeinen merkitys myös rauhanajan tietoturvan kehittymisen ja toteutumisen kannalta. Varautumistoimien ylin johto kuuluu kauppa- ja teollisuusministeriölle, jonka hallinnonalaan kuuluu puolustustaloudellinen suunnittelukunta (PTS). Puolustustaloudellisen suunnittelukunnan tietojärjestelmäjaoston tehtäviin kuuluu edistää yhteiskunnan, erityisesti elinkeinoelämän tietoturvaa. Lisäksi varautumista koskevia erityistehtäviä on muun muassa lääninhallituksilla ja niitä avustavilla sähköisen viestinnän valmiusryhmillä.

2.1.1. Yleisen teletoiminnan harjoittajat ja tietoyhteiskunnan palvelun tarjoajat

Viestintämarkkinalain mukaan teletoiminnalla tarkoitetaan verkkopalvelua tai viestintäpalvelua. Teletoiminta jakautuu siten verkkopalvelun ja viestintäpalvelun tarjontaan. Teleyritys on viestintämarkkinalaissa yläkäsite, jolla viitataan sekä verkkoyritykseen että palveluyritykseen. Verkkoyritykset tarjoavat verkkopalvelua rakentamalla tai ylläpitämällä joko kiinteitä verkkoja, matkapuhelinverkkoja, digitaalisia televisioverkkoja tai radioverkkoja. Palveluyritykset eivät omista omaa televerkkoa, vaan ne vuokraavat televerkon kapasiteettia verkkoyrityksiltä. Teleyritys voi toimia sekä verkkoyrityksenä että palveluyrityksenä, mutta se voi myös tarjota vain joko verkkopalvelua tai viestintäpalvelua. Useimmat suomalaiset teleyritykset toimivat kuitenkin kaksoisroolissa eli sekä verkkoyrityksinä että palveluyrityksinä. Televiestinnän tietosuojalain teletoiminnan ja teleyritysten määritelmät ovat yhtenäiset viestintämarkkinalain määritelmien kanssa.

Suomen niin sanotun perinteisen teletoiminnan kolme valtakunnallista yritysryhmittymää ovat Elisa-ryhmä, Finnet-ryhmä ja TeliaSonera. Ryhmittymiin kuuluvat teleyritykset toimivat sekä verkkoyrityksinä että palveluyrityksinä. Oma ryhmänsä verkkoyritysten joukossa ovat kaapeliverkoissa toimivat yhtiöt.

Keskeisiä viestintämarkkinoiden toimijoita ovat teleyritysten ja verkkoyritysten lisäksi myös tietoyhteiskunnan palvelujen tarjoajat, jotka tuottavat tietoyhteiskunnan palveluja erilaisiin viestintäverkkoihin, kuten matkaviestinverkkoihin ja Internetiin. Viestintäpalvelujen välityksellä tarjottavien erilaisten tietoyhteiskunnan palvelujen ja lisäarvopalvelujen tarjonta tulee todennäköisesti lähitulevaisuudessa lisääntymään olennaisesti.

2.1.2. Viranomaisten tiedonsaantioikeudet

Tällä hetkellä viranomaisten oikeudesta saada viestintään liittyviä tunnistamistietoja säädetään televiestinnän tietosuojalain 18 §:ssä. Poliisilla on oikeus asianomistajan ja liittymän haltijan suostumuksella saada tunnistamistietoja tiettyjen rikosten selvittämiseksi. Näitä rikoksia ovat muun muassa soittamalla tapahtuva lähestymiskiellon rikkominen, yhteisöön kohdistuva puhelinilkivalta ja kotirauhan häirintä sekä tilaajan suostumuksella rikokset, joiden johdosta matkaviestin tai siinä käytetty liittymä on oikeudettomasti toisen hallussa. Myös hätäilmoituksia vastaanottavat viranomaiset voivat saada tunnistamistietoja ja sijaintitietoja hädässä olevien auttamiseksi televiestinnän tietosuojalain 18 §:n perusteella. Poliisilain (493/1995) 36 §:n 2 momentin mukaan poliisilla on oikeus saada teleyritykseltä yhteystiedot sellaisesta teleliittymästä, jota ei mainita julkisessa luettelossa, jos tietoja yksittäistapauksessa tarvitaan poliisille kuuluvan tehtävän suorittamiseksi. Vallitsevan tulkinnan mukaan poliisilla on ollut oikeus saada poliisilain 36 §:n nojalla henkilötietoina myös kiinteiden IP-osoitteiden haltijatiedot.

Lisäksi viranomaisten oikeuksista tietojen saamiseen esitutkinnassa säädetään erikseen pakkokeinolain (450/1987) 5 a luvussa sekä rikosten estämiseksi poliisilain 31 c §:ssä. Telekuuntelusta ja televalvonnasta säädetään pakkokeinolain 5 a luvussa. Telekuuntelulla tarkoitetaan yleisen tai muun teletoimintalain soveltamisalaan kuuluvan televerkon kautta liittymään tulevan tai siitä lähtevän viestin kuuntelua tai tallentamista viestin sisällön selvittämiseksi. Telekuuntelun mahdollistavat rikokset on lueteltu tyhjentävästi pakkokeinolaissa. Kyseessä ovat vakavat rikokset, kuten muun muassa valtiopetos, tappo, törkeä ryöstö, törkeä huumausainerikos ja tällaisten rikosten rangaistava yritys. Näiden rikosten esitutkintaa toimittavalle viranomaiselle voidaan antaa lupa kuunnella ja tallentaa epäillyn televiestintää, jos kuuntelulla saatavilla tiedoilla voidaan olettaa olevan erittäin tärkeä merkitys rikoksen selvittämiselle.

Televalvonnalla tarkoitetaan salassa pidettävien tunnistamistietojen hankkimista televiesteistä, jotka on lähetetty edellä mainittuun televerkkoon kytketystä liittymästä tai vastaanotettu tällaiseen liittymään sekä tällaisen liittymän tilapäistä sulkemista. Televalvonnassa teleyritykset keräävät teleyhteyksien tunnistetietoja viranomaisten toimeksiannosta. Esitutkintaviranomaiselle voidaan antaa lupa televalvontaan, kun on syytä epäillä jotakuta rikoksesta, josta ei ole säädetty lievempää rangaistusta kuin neljä kuukautta vankeutta, automaattisen tietojenkäsittelyjärjestelmään kohdistuneesta rikoksesta, joka on tehty telepäätelaitetta käyttäen tai huumausainerikoksesta taikka näiden rikosten rangaistavasta yrityksestä.

Viestintämarkkinalain 95 §:n mukaan teleyrityksen tulee varustaa televerkkonsa ja telepalvelunsa siten, että pakkokeinolaissa tarkoitettu telekuuntelu ja televalvonta on mahdollista toteuttaa viestintäverkoissa ja viestintäpalveluissa.

2.1.3. Puhelupalvelut

Kutsuvan yhteyden tunnistuksella tarkoitetaan teknistä toimintoa, joka tekee puhelupalvelun käyttäjälle mahdolliseksi tunnistaa, mistä liittymästä teleyhteys on otettu eli kutsuvan käyttäjän (soittajan) numeron välittymistä viestinnän vastaanottavalle tilaajalle. Kytketyn yhteyden tunnistuksella tarkoitetaan teknistä toimintoa, joka tekee viestintäpalvelun käyttäjälle mahdolliseksi tunnistaa, mihin liittymään yhteys ohjautuu eli kutsuvalle käyttäjälle välittyy tieto sen liittymän numerosta, johon teleyhteys on kytketty vastaanottavan tilaajan päässä.

Viestintämarkkinalain 64 §:n mukaan puhelinverkossa toimiva teleyritys on velvollinen tarjoamaan käyttäjälle äänitaajuusvalintaa ja palvelua, jonka avulla puhelun vastaanottaja näkee soittajan numeron ennen puheluun vastaamista. Voimassa olevan televiestinnän tietosuojalain 14 ja 15 §:ssä on säädetty kiinteän puhelinverkon ja matkaviestinverkon liittymää tarjoaville teleyrityksille tiettyjä velvollisuuksia tunnistamispalvelujen toteuttamisessa. Teleyritysten tulee myös tiedottaa käyttäjille ja tilaajille näiden tunnistuspalvelujen tarjonnasta ja käytöstä. Teleyrityksen tulee esimerkiksi huolehtia siitä, että kutsuva käyttäjä voi yhteyskohtaisesti ja maksutta poistaa puhelinpalveluissa kutsuvan yhteyden tunnistuksen. Kutsuvan yhteyden tunnistus on voitava poistaa myös pysyvästi tilaajan niin halutessa. Teleyrityksen tulee huolehtia siitä, että televiestin vastaanottaja voi estää maksutta kutsuvan yhteyden tunnistamisen liittymässään. Televiestin vastaanottavan tilaajan taas tulee voida estää maksutta se, että kutsuva käyttäjä saa tietoonsa sen liittymän numeron, johon yhteys on kytketty. Kutsuvan ja kytketyn yhteyden tunnistuspalvelua on tällä hetkellä säännelty myös yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta annetussa liikenne- ja viestintäministeriön asetuksessa sekä päätöksessä yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta.

Digitaalisissa matkaviestinlaitteissa kutsuvan yhteyden tunnistus on käytännössä vakiotoiminto, ja sen poistaminen on yleensä mahdollista. Sen sijaan sellaisten puhelujen vastaanoton estoa eivät kaikki teleyritykset ole vielä verkkotasolla toteuttaneet, joista kutsuvan yhteyden tunnistus on poistettu.

Yleisesti käytössä olevat yhteyksien siirrot ovat puhelinverkossa välitön siirto sekä siirto silloin, kun liittymä on varattu, liittymään ei vastata tai matkaviestin on suljettu tai se on kuuluvuusalueen ulkopuolella. Televiestinnän tietosuojalain 16 §:n mukaan teleyrityksen tulee tarjota käyttäjälle myös mahdollisuus poistaa maksutta muiden tekemät automaattiset yhteydensiirrot käyttäjän liittymään.

2.1.4. Tilaajaluettelot

Viestintämarkkinalain 56, 57 ja 58 §:ssä säädetään teleyritysten velvollisuudesta huolehtia yleisen numerotiedostuspalvelun saatavilla olosta ja siitä, että tilaajan nimi, osoite ja puhelinnumero julkaistaan yleisesti saatavilla olevassa, kattavassa ja kohtuuhintaisessa puhelinluettelossa. Televiestinnän tietosuojalain 20 §:n mukaan tilaajaluettelossa saa julkaista vain sellaisia tietoja, jotka ovat välttämättömiä tilaajan tai käyttäjän tunnistamiseksi, jollei tietojen kohde ole selkeästi antanut suostumustaan myös muiden tietojen julkaisemiseen. Tilaajalla ja käyttäjällä on oikeus vaatia maksutta tietojensa poistamista tai korjaamista. Hänellä on myös oikeus vaatia, että hänen osoitetiedoistaan julkaistaan vain osa ja että tiedoista ei käy ilmi hänen sukupuoltaan, sekä kieltää henkilötietojen käyttö suoramarkkinointiin. Jos teleyritys on luovuttanut tilaajaluettelon tietoja edelleen, sen on tiedotettava luovutuksen saajia edellä mainituista vaatimuksista.

2.1.5. Laskun erittely

Viestintämarkkinalain 80 §:n mukaan teleyrityksen on maksutta, ja jos lasku on yli 50 euroa, ilman pyyntöä eriteltävä liittymän käytöstä aiheutunut lasku puhelutyyppi ja viestityyppikohtaisesti. Muista kuin viestintäpalvelun käytöstä aiheutuvat maksut on aina eriteltävä maksutta ja käyttäjällä on oikeus saada pyynnöstä erittelemätön lasku.

Televiestinnän tietosuojalain 13 §:n mukaan teleyritys ei saa luovuttaa erittelyä liittymästä otettujen teleyhteyksien numeroista tai muista tunnisteista kuin tietyissä pykälässä luetelluissa tilanteissa. Pykälässä säädetään, että jos tilaaja pyytää telelaskun yhteyskohtaista erittelyä, teleyrityksen on annettava erittely ilmaisematta teleyhteyksien tunnisteiden kolmea viimeistä numeroa. Teleyrityksen on kuitenkin tilaajan pyynnöstä eriteltävä kirjallisesti ja täydellisesti teleyhteyksien numerot, jos teleyhteydet on otettu liittymään, josta aiheutuu sellaisia telelaskun yhteydessä velottavia maksuja, jotka eivät ole telemaksuja, tai jos telelasku on yli kaksinkertainen edellisen vastaavan laskutuskauden laskuun verrattuna. Teleyritys saa kuitenkin antaa tämän erittelyn tilaajalle vain siltä ajalta, jonka liittymä on ollut tämän hallinnassa.

2.1.6. Viestinnän käyttö suoramarkkinointiin

Voimassa olevan televiestinnän tietosuojalain 21 §:n mukaan televiestintää ei saa käyttää suoramarkkinointiin ilman tilaajana olevan luonnollisen henkilön ennalta antamaa suostumusta, jos markkinointia harjoitetaan automaattisten järjestelmien tai faksin avulla. Muuta kuin automaattisten järjestelmien avulla toteutettua suoramarkkinointia luonnolliselle henkilölle saa harjoittaa televiestinnän avulla, jollei tilaaja ole sitä nimenomaisesti kieltänyt. Tilaajan on kuitenkin voitava halutessaan maksutta kieltää tällainen suoramarkkinointi. Pääsääntöisesti televiestintää saa käyttää oikeushenkilöihin kohdistuvaan suoramarkkinointiin myös automaattisten järjestelmien avulla, jos oikeushenkilö ei ole sitä kieltänyt. Jos suoramarkkinointia harjoitetaan sähköpostitse ilman vastaanottajan ennalta antamaa lupaa, viesti on voitava heti sitä vastaanottaessa tunnistaa selvästi ja yksiselitteisesti markkinoinniksi. Suoramarkkinoinnista kuluttajalle on lisäksi voimassa, mitä kuluttajansuojalaissa (38/1978) säädetään.

Suomen Suoramarkkinointiliitto ry:n jäsenkuntaan kuuluu hieman yli 220 suoramarkkinointia harjoittavaa yritystä. Liitto on laatinut sähköisen kuluttajakaupan käytännesäännöt suoramarkkinointia harjoittaville yrityksille.

2.1.7. Viestintäviraston ja tietosuojavaltuutetun tehtävät

Televiestinnän tietosuojalain 23 §:n mukaan Viestintävirasto valvoo kyseisen lain ja sen nojalla annettujen säännösten ja määräysten noudattamista. Viestintävirasto antaa tarvittaessa teknisiä määräyksiä teleyritysten toiminnasta sekä telelaitteiden, televerkkojen ja telepalvelujen varustamisesta televiestinnän tietosuojalaissa edellytetyllä tavalla. Televiestinnän tietosuojalain voimaan tulon myötä Viestintäviraston tehtävät lisääntyivät, kun televiestinnän osapuolten yksityisyyden suojaaminen ja teletoiminnan tietoturva saivat laajemman ja tarkemmin määritellyn sisällön lainsäädännössä.

Viestintävirasto hoitaa myös yleisten televerkkojen kautta tietojärjestelmiin ja televiestintään kohdistuviin tietoturvaloukkauksiin liittyvää tiedon keräämistä ja selvittämistä, sekä tiedottaa tietoturva-asioista. Viestintäviraston tietoturvaloukkauksiin ja niiden ennaltaehkäisyyn keskittyvä ryhmä on nimeltään CERT-FI (Computer Emergency Response Team Ficora). Ryhmä pyrkii toiminnassaan toteuttamaan yleisen CERT-toiminnan periaatteita sekä edistämään tietoyhteiskunnan turvallisuutta. CERT-FI toimii yhteistyössä kansallisten ja kansainvälisten CERT-toimijoiden sekä elinkeinoelämän ja julkishallinnon edustajien kanssa. Viestintävirasto koordinoi myös CERT-työryhmää, joka toimii alan toimijoiden yhteistyöelimenä tietoturvaloukkausten havainnoinnin ja niitä koskevien ratkaisujen löytämisen alueella. Työryhmän tehtävänä on myös seurata ja edistää alan yleistä kehitystä ja tietoisuutta. CERT-FI vastaanottaa teleyrityksiltä tulevia tietoturvaloukkauksia ja niiden uhkia koskevia ilmoituksia. Lisäksi CERT-FI seuraa jatkuvasti ja maailmanlaajuisesti tietoturvan ajankohtaisia tapahtumia, tietojärjestelmiin liittyviä tietoturvaongelmia ja tietoturvaloukkauksia sekä niiden ratkaisuja.

Viestintäviraston tehtävät tietoturvaloukkausten osalta keskittyvät ilmoitusten vastaanottamiseen ja yleisempään seurantaan. Tietoturvaloukkauksen tapahduttua se pyrkii tiedottamaan asiasta tehokkaasti ja mahdollisesti esittämään käytettävissä olevia suojautumiskeinoja tai korjauskeinoja. Viestintävirasto ei harjoita rikostutkintaa. Tietoturvarikosten selvittäminen kuuluu siten selkeästi poliisin toimivaltaan.

Tietosuojavaltuutetun tehtävänä on valvoa voimassa olevan televiestinnän tietosuojalain 20 ja 21 §:ssä säädetyn teleliittymän tilaajan kielto-oikeuden ja ennakkosuostumuksen noudattamista tilaajaluetteloiden julkaisemisessa ja televiestinnän välityksellä tapahtuvassa suoramarkkinoinnissa.

Viestintävirastolla ja tietosuojavaltuutetulla on televiestinnän tietosuojalain 24 §:n mukaan salassapitosäännösten estämättä oikeus saada valvontatehtävänsä hoitamiseksi valvonnan kohteilta tarpeelliset tiedot niiden harjoittamasta lain soveltamisalaan kuuluvasta toiminnasta. Viestintävirasto voi myös luovuttaa tiedonkeruussa ja selvittämisessä saatuja tunnistamistietoja niille teleyrityksille, joiden verkkoja tai palveluja on käytetty hyväksi tietoturvaloukkauksissa, siinä laajuudessa, kuin se on tarpeen näiden loukkausten ehkäisemiseksi.

Jos joku rikkoo televiestinnän tietosuojalakia tai sen nojalla annettuja säännöksiä tai määräyksiä, Viestintävirasto voi lain 25 §:n mukaan velvoittaa hänet korjaaman virheensä tai laiminlyöntinsä. Viestintävirasto voi asettaa velvoitteen noudattamisen tehosteeksi uhkasakon tai uhan, että toiminta keskeytetään osaksi tai kokonaan tai että tekemättä jätetty toimenpide teetetään asianomaisen kustannuksella. Viestintäviraston televiestinnän tietosuojalain nojalla antamaan päätökseen haetaan muutosta noudattaen, mitä hallintolainkäyttölaissa (586/1996) säädetään.

2.1.8. Muu sähköistä viestintää koskeva sääntely

Tietoyhteiskunnan palvelujen tarjoamisesta annettu laki (458/2002) tuli voimaan 1 päivänä heinäkuuta 2002. Lain tavoitteena on edistää sähköistä kaupankäyntiä ja varmistaa tietoyhteiskunnan palvelujen vapaa tarjonta Euroopan talousalueella. Lailla saatettiin voimaan tietoyhteiskunnan palveluja, erityisesti sähköistä kaupankäyntiä sisämarkkinoilla koskevista tietyistä oikeudellisista näkökohdista annettu Euroopan parlamentin ja neuvoston direktiivi (2000/31/EY).

Tietoyhteiskunnan palvelujen tarjoajien on tietoyhteiskunnan palvelujen tarjoamisesta annetun lain mukaan pidettävä palvelujen vastaanottajien saatavilla määrätyt tiedot itsestään ja toiminnastaan. Lisäksi palvelujen tarjoajien on ennen sähköisen tilauksen tekemistä annettava kuluttajille ohjeita ja tietoja sekä järjestettävä kuluttajien käyttöön menettelyt, joiden avulla mahdolliset virheet tilauksissa voidaan etukäteen havaita ja korjata. Palvelun tarjoajan on myös viivytyksettä ilmoitettava sähköisesti palvelun vastaanottajalle tilauksen vastaanottamisesta, jollei tilattua hyödykettä toimiteta viivytyksettä sähköisesti. Myös palvelun sopimusehdot on toimitettava palvelun vastaanottajan saataville siten, että palvelun vastaanottaja voi tallentaa ja toisintaa ne. Sopimuksissa, jotka tehdään käyttäen yksinomaan sähköpostia tai muuta henkilökohtaista viestintätapaa, palvelun tarjoajan tiedonantovelvollisuutta on hieman lievennetty.

Tietoyhteiskunnan palvelujen tarjoamisesta annetussa laissa säädetään myös sopimusta koskevien muotovaatimusten täyttämisestä sähköisesti sekä sähköisen tiedon välityspalveluja tai tallennuspalveluja tarjoavien palveluntarjoajien vastuusta välittämänsä tai tallentamansa tiedon lainvastaisesta sisällöstä. Vastuuvapauden perusedellytys on, että palveluntarjoajan toiminta on luonteeltaan teknistä eikä palveluntarjoaja itse osallistu lainvastaisen sisällön tuottamiseen. Säännökset kattavat kolme erityyppistä tilannetta: tiedonsiirtopalvelut ja verkkoyhteyspalvelut, välimuistikopioinnin eli niin sanotun caching-toiminnan sekä tallennuspalvelut eli niin sanotun hosting-toiminnan. Tiedonsiirtäjä ei ole vastuussa, jos hän ei ole siirron alkuunpanija, ei valitse vastaanottajia eikä valitse tai muuta siirrettäviä tietoja. Jos siirtopalvelun tarjoaja tallentaa tietoja välimuistiin, sen on vastuuvapauden saadakseen viipymättä ryhdyttävä toimiin tallentamansa tiedon poistamiseksi tai sen saannin estämiseksi saatuaan tosiasiallisesti tietoonsa sen, että tieto on poistettu alkuperäislähteestä tai että tuomioistuin on määrännyt poistamaan kyseisen tiedon tai estämään sen saannin. Kyseinen palvelun tarjoaja ei ole vastuussa, jos hän ei tosiasiallisesti tiedä laittomasta toiminnasta tai jos hän saatuaan näistä seikoista tiedon toimii viipymättä tietojen poistamiseksi tai niiden saannin estämiseksi.

Tallennuspalvelua koskevat säännökset mahdollistavat niin sanotut ilmoitusmenettelyt ja poistomenettelyt (notice and take down procedures), joiden avulla palvelun tarjoajalle voidaan ilmoittaa lainvastaisista tiedoista ja saada aikaan näiden tietojen poistaminen tai niihin pääsyn estäminen. Tallennuspalvelun tarjoajan, joka tosiasiallisesti tietää palvelimellaan olevan lainvastaista aineistoa, on vastuuvapauden saadakseen estettävä aineiston saanti. Jos palvelimelle tallennettu aineisto sisältää pornografisia kuvia lapsesta taikka väkivallasta tai eläimeen sekaantumisesta taikka kiihottamista kansanryhmää vastaan, palvelun tarjoaja ei ole vastuussa, jos hän estää tällaisen aineiston saannin omasta aloitteestaan heti saatuaan siitä tiedon. Palvelun tarjoajan on viipymättä ilmoitettava sisällön tuottajalle estoista. Tekijänoikeutta loukkaavan aineiston esto perustuu oikeuden haltijan tai hänen edustajansa palvelun tarjoajalle toimittamaan määrämuotoiseen ilmoitukseen. Tekijänoikeuden haltija voi vaatia oikeuttaan loukkaavan aineiston poistamista ja palvelun tarjoaja voi luottaa tätä koskevaan ilmoitukseen.

Yksityisyyden suojasta työelämässä annettu laki (477/2001) tuli voimaan 1 päivänä lokakuuta 2001. Laki koskee muun muassa teknisen valvonnan ja tietoverkkojen käytön järjestämisessä käytettäviä menettelytapoja. Yksityisyyden suojasta työelämässä annetun lain 9 §:n mukaan työntekijöihin kohdistuvan, työnantajan työnjohto-oikeuteen ja valvontaoikeuteen perustuvan teknisen valvonnan tarkoitus, käyttöönotto ja siinä käytettävät menetelmät sekä sähköpostin ja tietoverkon käyttö kuuluvat yhteistoiminnasta yrityksissä annetussa laissa (725/1978) sekä yhteistoiminnasta valtion virastoissa ja laitoksissa annetussa laissa (565/1988) tarkoitetun yhteistoimintamenettelyn piiriin. Muissa kuin yhteistoimintalainsäädännön piiriin kuuluvissa yrityksissä ja julkisoikeudellisissa yhteisöissä työnantajan on ennen päätöksentekoa varattava työntekijöille tai heidän edustajilleen tilaisuus tulla kuulluksi edellä mainituista asioista. Yhteistoiminta- tai kuulemismenettelyn jälkeen työnantajan on määriteltävä työntekijöihin kohdistuvan teknisen valvonnan käyttötarkoitus ja siinä käytettävät menetelmät sekä tiedotettava työntekijöille teknisen valvonnan tarkoituksesta, käyttöönotosta ja siinä käytettävistä menetelmistä sekä sähköpostin ja tietoverkon käytöstä. Työnantaja ei saa toimenpiteillään vaarantaa työntekijän yksityisluonteisten luottamuksellisten viestien suojaa sähköpostin ja tietoverkon käytössä. Työnantajan oikeus käyttää teknistä valvontaa ja valvoa sähköpostin ja tietoverkon käyttöä määräytyy muun muassa perustuslain, televiestinnän tietosuojalain, työsopimuslain (55/2001) ja rikoslain perusteella.

Työministeriö asetti 18 päivänä joulukuuta 2001 työryhmän, jonka tehtävänä on valmistella työelämän tietosuojalainsäädännön täydentämistä koskevat lainsäädäntöehdotukset. Työryhmän asettaminen perustuu alunperin eduskunnan lausumaan, jossa hallitusta edellytettiin yhteistyössä työmarkkinajärjestöjen kanssa valmistelemaan ehdotukset lainsäädännöksi, joka koskee alkoholi- ja huumetestien käyttöä sekä teknistä valvontaa ja sähköpostin käytön valvontaa työpaikoilla. Työryhmä luovutti esityksensä kesäkuussa 2003 työministerille.

Eduskunta hyväksyi sananvapauden käyttämisestä joukkoviestinnässä annetun lain 17 päivänä helmikuuta 2003. Perustuslakivaliokunta esitti mietinnössään (14/2002) lakiesitykseen sisältyneen verkkoviestin tunnistamistietojen tallentamista koskeneen 7 §:n poistamista. Ehdotetun pykälän mukaan lähettimen, palvelimen ja muun sellaisen laitteen ylläpitäjän velvollisuudesta tallentaa laitteen avulla yleisön saataville toimitetun verkkoviestin lähettäjän selvittämisessä tarpeelliset tunnistamistiedot. Sananvapauslakiesityksessä ehdotettu tallentamisvelvollisuus oli varsin laaja. Ehdotettu sääntely kohdistui monenlaisten laitteiden ylläpitäjiin, minkä lisäksi se olisi edellyttänyt käytännössä kaikkea laitteen avulla harjoitettua viestiliikennettä koskevien tunnistamistietojen tallentamista. Näistä syistä perustuslakivaliokunta katsoi, että ehdotettuun sääntelyyn liittyi riskejä henkilötietojen suojan kannalta. Lisäksi laaja tallentamisvelvollisuus olisi edellyttänyt laitteen ylläpitäjältä merkittäviä voimavaroja, mikä olisi voinut muodostua ongelmalliseksi esimerkiksi yksityisille henkilöille ja kansalaisjärjestöille.

Pakkokeinolain muuttamista koskeva laki (18/2003) tuli voimaan 1 päivänä helmikuuta 2003. Lain 5 a luvussa väljennetään telekuuntelun ja televalvonnan edellytyksiä. Myös niin sanottu tolppalupa tuli mahdolliseksi. Lain tavoitteena on tehostaa törkeiden, ammattimaiseen ja järjestäytyneeseen rikollisuuteen liittyvien rikosten selvittämistä ja rikoshyödyn jäljittämistä. Tässä esityksessä on otettu huomioon kyseisen lain 5 a luvun telekuuntelun, televalvonnan ja teknisen tarkkailun asettamat rajoitukset luottamuksellisen viestin ja tunnistamistietojen suojaan.

Laki sähköisistä allekirjoituksista (14/2003) sekä laki sähköisestä asioinnista viranomaistoiminnassa (13/2003) tulivat voimaan 1 päivänä helmikuuta 2003. Kyseiset lait pyrkivät edistämään sähköistä asiointia ja verkkoliiketoimintaa kohtaan tunnettavaa luottamusta. Laki sähköisistä allekirjoituksista sääntelee sähköisessä viestinnässä tahdonilmaisun antamisen, viestinnän osapuolten tunnistamisen ja viestinnän suojaamisen kannalta käyttökelpoisia sähköisiä allekirjoituksia ja varmennepalveluja. Laki sähköisestä asioinnista viranomaistoiminnassa määrittelee yleiset sähköisen asioinnin menettelysäännöt julkishallinnossa. Lakiin sisältyy myös sähköiseen viestintään liittyviä säännöksiä, muun muassa asioiden sähköisen vireillepanon osalta.

2.2. Euroopan yhteisöjen lainsäädäntö

2.2.1. Direktiivi yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (95/46/EY)

Euroopan parlamentin ja neuvoston direktiivi yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (jäljempänä henkilötietodirektiivi) annettiin 24 päivänä lokakuuta 1995. Direktiivin tavoitteena on turvata yksilöiden perusoikeudet ja yksityisyys henkilötietojen käsittelyssä. Direktiivillä pyritään turvaamaan henkilötietojen vapaa liikkuvuus Euroopan unionin jäsenvaltioiden välillä, mutta asetetaan edellytykseksi henkilötietojen luovuttamiselle kolmansiin maihin tietoja vastaanottavien maiden tietty tietosuojasääntelyn taso. Henkilötietodirektiivi on saatettu Suomessa kansallisesti voimaan henkilötietolailla.

2.2.2. Viestintädirektiivien kokonaisuus

Euroopan yhteisöjen komissio julkaisi 12 päivänä heinäkuuta 2000 viisi direktiiviehdotusta sekä yhden päätösehdotuksen viestintälainsäädännön kokonaisuudistukseksi. Lainsäädännön tarkoituksena oli korvata yhdeksän vanhaa televiestintädirektiiviä. Uusi lainsäädäntökokonaisuus hyväksyttiin Euroopan parlamentissa 12 päivänä joulukuuta 2002 ja neuvostossa 14 päivänä helmikuuta 2002. Kokonaisuuden tavoitteina ovat muun muassa yhtenäismarkkinoiden luominen, liberalisointi, konvergenssin ja tekniikan nopean kehityksen huomioon ottaminen, teknologianeutraalisuus, säädösympäristön selkeyttäminen ja käyttäjien muuttuvien tarpeiden ymmärtäminen.

Direktiivikokonaisuuteen sisältyy seuraavat säännökset: sähköisten viestintäverkkojen ja viestintäpalvelujen yhteisestä sääntelyjärjestelmästä annettu direktiivi (2002/21/EY, jäljempänä puitedirektiivi), viestintäverkkojen ja niiden liitännäistoimintojen käyttöoikeuksista ja yhteenliittämisestä annettu direktiivi (2002/19/EY, jäljempänä käyttöoikeusdirektiivi), sähköisen viestinnän verkkoja ja palveluja koskevista valtuutuksista annettu direktiivi (2002/20/EY, jäljempänä valtuutusdirektiivi), yleispalvelusta ja käyttäjien oikeuksista sähköisten viestintäverkkojen ja viestintäpalvelujen alalla annettu direktiivi (2002/22/EY, jäljempänä yleispalveludirektiivi) sekä sähköisen viestinnän tietosuojadirektiivi.

Direktiivikokonaisuuden kansallinen voimaan saattaminen Suomessa liittyy viestintälainsäädännön kokonaisuudistukseen, jonka ensimmäinen vaihe tuli voimaan 1 päivänä heinäkuuta 2002. Voimaansaattamisen ensimmäisessä vaiheessa sisällytettiin digitaaliset televisioverkot ja radioverkot lain soveltamisalaan. Voimaansaattamisen toinen vaihe sisältää direktiivien implementoinnin. Viestintämarkkinalaki II:sta annettiin hallituksen esitys (HE 112/2002) 13 päivänä syyskuussa 2002, eduskunta hyväksyi lain 7 päivänä helmikuuta 2003 ja se tuli voimaan 25 päivänä heinäkuuta 2003.

2.2.3. Direktiivi henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (2002/58/EY)

Sähköisen viestinnän tietosuojadirektiivi annettiin 12 päivänä heinäkuuta 2002. Direktiivillä kumottiin ja korvattiin Euroopan parlamentin ja neuvoston direktiivi henkilötietojen käsittelystä ja yksityisyyden suojasta televiestinnän alalla, joka on pantu täytäntöön Suomessa televiestinnän tietosuojalailla. Uusi direktiivi on tarkoitus panna kansallisesti täytäntöön tällä lakiehdotuksella.

Sähköisen viestinnän tietosuojadirektiivillä täydennetään yleisen henkilötietodirektiivin sääntelyä viestintäalan osalta. Sähköisen viestinnän tietosuojadirektiivillä pyritään suojaamaan luonnollisten henkilöiden yksityisyyden ja luottamuksellisen viestin suojaa, mutta myös oikeushenkilöiden asemaan on pyritty kiinnittämään huomiota. Uuden direktiivin tarkoituksena on toisaalta mahdollistaa uusien, nykyaikaiseen viestintäteknologiaan perustuvien monipuolisten palvelujen sujuva käyttöönotto ja toisaalta turvata perusoikeudet viestinnän luottamuksellisuuteen ja henkilökohtaiseen vapauteen.

Sähköisen viestinnän tietosuojadirektiivi tulee panna kansallisesti täytäntöön ennen 31 päivänä lokakuuta 2003. Seuraavassa on käyty läpi direktiivin pääasiallinen sisältö artikloittain.

1 artikla. Soveltamisala ja tavoite. Direktiivillä pyritään yhdenmukaistamaan jäsenvaltioiden perusoikeuksia ja perusvapauksia, erityisesti yksityisyyteen liittyviä oikeuksia sähköisen viestinnän alalla koskevia kansallisia säännöksiä. Lisäksi pyritään varmistamaan liikennetietojen, viestintälaitteiden ja viestintäpalvelujen vapaa liikkuvuus yhteisön alueella. Direktiivillä täsmennetään ja täydennetään henkilötietodirektiiviä sähköisen viestinnän alalla ja pyritään ottamaan huomioon myös tilaajina olevien oikeushenkilöiden oikeutettuja etuja.

2 artikla. Määritelmät. Artiklassa todetaan, että jollei toisin ole säädetty, sovelletaan henkilötietodirektiivin määritelmiä. Lisäksi artiklassa on kahdeksan kohtaa sisältävä määritelmäluettelo, jossa määritellään käyttäjä, liikennetieto, paikkatieto, viestintä, puhelu, suostumus, lisäarvopalvelu ja sähköposti. On huomattava, että sähköpostin määritelmä sisältää muun muassa tekstiviestit.

3 artikla. Palvelut. Direktiiviä sovelletaan henkilötietojen käsittelyyn, joka liittyy yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoamiseen yleisissä viestintäverkoissa. Direktiivin mukaisia yksityisyyden suojaa ja tietoturvaa koskevia säännöksiä sovelletaan kaikkeen televiestintään, jos se on teknisesti mahdollista.

4 artikla. Turvallisuus. Teleyrityksen on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen tarjoamiensa palvelujen turvallisuus, verkon turvallisuuden osalta tarvittaessa yhdessä toisen teleyrityksen kanssa. Toimenpiteillä on varmistettava riskin vakavuuteen suhteutettu turvallisuustaso ottaen huomioon uusin tekniikka ja toisaalta toimenpiteiden käyttöönottokustannukset. Teleyrityksen on ilmoitettava tilaajille, jos verkon turvallisuuteen kohdistuu erityinen riski, ja jos palvelujen tarjoaja ei itse voi vaikuttaa riskiin, sen on ilmoitettava tilaajille myös mahdollisista korjauskeinoista ja niiden vaatimista kustannuksista.

5 artikla. Viestinnän luottamuksellisuus. Jäsenvaltioiden on varmistettava viestintäpalvelujen välityksellä tapahtuvan viestinnän ja siihen liittyvien liikennetietojen luottamuksellisuus. Viestinnän luottamuksellisuus ei kuitenkaan estä teknistä tallentamista, joka on tarpeen viestinnän välittämiseksi. Viestintää ja liikennetietoja saa tallentaa myös, jos se tapahtuu tavanomaisen liiketoiminnan yhteydessä todisteeksi liiketapahtumasta tai muusta liiketoimintaan liittyvästä yhteydenpidosta. Artiklassa säädetään myös evästeiden tallentamisesta käyttäjän päätelaitteelle ja näiden tietojen käytöstä. Jäsenvaltioiden on varmistettava, että sähköisten viestintäverkkojen käyttö tietojen tallentamiseksi tai tilaajan tai käyttäjän päätelaitteelle tallennettujen tietojen käyttämiseen sallitaan vain sillä edellytyksellä, että tilaajalle tai käyttäjälle annetaan selkeät ja kattavat tiedot käsittelyn tarkoituksesta ja että hänelle annetaan oikeus kieltää tietojen käsittely. Kyseiset vaatimukset eivät koske sellaista teknistä tallentamista tai käyttöä, jonka ainoana tarkoituksena on toteuttaa viestinnän välittäminen tai helpottaa sitä tai joka on ehdottoman välttämätöntä sellaisen tietoyhteiskunnan palvelun tarjoamiseksi, jota tilaaja tai käyttäjä on erityisesti pyytänyt.

6 artikla. Liikennetiedot. Liikennetiedot on pääsääntöisesti poistettava tai tehtävä nimettömiksi, kun niitä ei enää tarvita viestinnän välittämiseen. Laskutusta ja yhteenliittämismaksuja varten tarvittavia liikennetietoja voidaan kuitenkin käsitellä sen ajanjakson loppuun asti, jona lasku voidaan laillisesti riitauttaa tai maksu periä. Teleyritys voi viestintäpalvelun markkinoimiseksi tai lisäarvopalvelun tarjoamiseksi käsitellä liikennetietoja tilaajan suostumuksella siinä määrin kuin tällainen palvelu tai markkinointi edellyttää. Käyttäjille tai tilaajille on annettava mahdollisuus perua liikennetietojen käsittelyä koskeva suostumuksensa. Palvelun tarjoajan on ilmoitettava tilaajalle tai käyttäjälle, minkä tyyppisiä liikennetietoja käsitellään ja kuinka kauan niiden käsittely kestää ja nämä tiedot on annettava ennen edellä mainittua suostumusta. Liikennetietojen käsittely on pääsääntöisesti rajoitettava teleyrityksen vastuulla toimiviin henkilöihin, ja sitä voidaan suorittaa ainoastaan kyseisten toimien vaatimassa laajuudessa.

7 artikla. Eritelty laskutus. Tilaajilla on oltava oikeus saada laskunsa erittelemättöminä. Jäsenvaltioiden on yhteensovitettava eriteltyjä laskuja saavien tilaajien oikeudet ja toisaalta soittavien käyttäjien ja vastaanottavien tilaajien oikeus yksityisyyteen.

8 artikla. Kutsuvan ja yhdistetyn tilaajan tunnistuksen tarjoaminen ja sen rajoittaminen. Jos kutsuvan tilaajan tunnistusta tarjotaan, palvelun tarjoajan on tarjottava tiettyjä artiklassa lueteltuja mahdollisuuksia. Palvelun tarjoajan on tarjottava soittavalle käyttäjälle mahdollisuus estää helposti ja veloituksetta kutsuvan tilaajan tunnistus puhelukohtaisesti. Soittavalla tilaajalla on oltava tämä mahdollisuus liittymäkohtaisesti. Vastaanottavalle tilaajalle on tarjottava mahdollisuus helposti ja tämän toiminnan kohtuullisen käytön osalta veloituksetta estää tulevien puhelujen tilaajan tunnistus. Jos kutsuvan tilaajan tunnistusta tarjotaan, ja jos kutsuvan tilaajan tunnistus näkyy näytössä ennen puhelun yhdistymistä, palvelun tarjoajan on tarjottava vastaanottavalle tilaajalle mahdollisuus helposti kieltäytyä vastaanottamasta tulevia puheluja, jos soittava käyttäjä tai tilaaja on estänyt kutsuvan tilaajan tunnistuksen. Jos yhdistetyn tilaajan tunnistusta tarjotaan, palvelun tarjoajan on tarjottava vastaanottavalle tilaajalle mahdollisuus helposti ja veloituksetta estää yhdistetyn tilaajan tunnistuksen näyttö soittajalle.

9 artikla. Muut paikkatiedot kuin liikennetiedot. Muita paikkatietoja kuin liikennetietoja saa pääsääntöisesti käsitellä vain silloin, kun ne on tehty nimettömiksi tai jos käyttäjät tai tilaajat ovat antaneet siihen suostumuksensa. Näitä tietoja saa käsitellä ainoastaan siinä määrin ja niin kauan kuin paikkatietoihin perustuvan palvelun tarjoaminen edellyttää. Ennen kuin käyttäjät tai tilaajat antavat käsittelyyn suostumuksensa, palvelun tarjoajan on ilmoitettava heille, minkä tyyppisiä paikkatietoja käsitellään, käsittelyn tarkoitus ja käsittelyn kesto sekä siirretäänkö tiedot kolmannelle osapuolelle lisäarvopalvelun tarjoamista varten. Käyttäjille tai tilaajille on annettava mahdollisuus myös, milloin tahansa, peruuttaa suostumuksensa muiden paikkatietojen käsittelyyn. Käyttäjällä tai tilaajalla on oltava suostumuksen antamisen jälkeen mahdollisuus helposti ja veloituksetta kieltää väliaikaisesti tällaisten tietojen käsittely kunkin verkkoyhteyden tai kunkin viestintätapahtuman osalta. Paikkatietojen käsittely on rajoitettava viestintäpalvelujen tarjoajan tai lisäarvopalvelun tarjoajan vastuulla toimiviin henkilöihin, ja sitä saa suorittaa ainoastaan lisäarvopalvelun tarjoamisen vaatimassa laajuudessa.

10 artikla. Poikkeukset. Jäsenvaltioiden on varmistettava, että käytössä on avoimia menettelyjä, joilla teleyritys voi ohittaa kutsuvan tilaajan tunnistuksen eston väliaikaisesti, jos tilaaja pyytää ilkivaltaisten puhelujen tai häirintäsoittojen jäljittämistä. Tällöin teleyrityksen on tallennettava soittavan tilaajan tunnistustiedot ja annettava nämä tiedot käytettäviksi kansallisen lainsäädännön mukaisesti. Jäsenvaltioiden on myös varmistettava, että käytössä on avoimia menettelyjä, joilla teleyritys voi ohittaa kutsuvan tilaajan tunnistuksen eston ja paikkatietojen käsittelyä koskevan tilaajan tai käyttäjän väliaikaisen kiellon tai suostumuksen puuttumisen hätäpuheluihin vastaamiseksi.

11 artikla. Automaattinen soitonsiirto. Jäsenvaltioiden on varmistettava, että tilaajat voivat helposti ja veloituksetta estää kolmannen suorittaman automaattisen soitonsiirron päätelaitteeseensa.

12 artikla. Tilaajaluettelot. Jäsenvaltioiden on varmistettava, että tilaajille ilmoitetaan veloituksetta ja ennen kuin heidän tietonsa kirjataan luetteloon, sellaisen yleisesti saatavilla olevan tai numerotiedotuspalvelujen kautta käytettävissä olevan painetun tai sähköisen tilaajaluettelon tarkoituksesta, jossa heidän henkilötietonsa voidaan mainita, sekä kaikista muista käyttömahdollisuuksista. Tilaajille on annettava mahdollisuus määritellä, mainitaanko heidän henkilötietonsa julkisessa luettelossa ja mitkä tiedot niissä mainitaan, sekä tarkistaa, korjata tai poistaa tällaisia tietoja. Näiden toimenpiteiden on oltava tilaajalle maksuttomia. Jäsenvaltiot voivat vaatia, että julkisen luettelon käyttöön muuhun tarkoitukseen kuin yhteystietojen etsimiseen on pyydettävä tilaajan lisäsuostumus. Jäsenvaltioiden on myös varmistettava, että oikeushenkilöiden oikeutettuja etuja suojellaan tilaajaluetteloiden osalta riittävästi.

13 artikla. Ei-toivottu viestintä. Ilman ihmisen työpanosta toimivien automatisoitujen soittojärjestelmien, faksien tai sähköpostin käyttö suoramarkkinointitarkoituksiin voidaan sallia ainoastaan, jos se kohdistuu tilaajiin, jotka ovat antaneet siihen ennalta suostumuksensa. Jos luonnollinen henkilö tai oikeushenkilö kuitenkin saa asiakkailtaan heidän sähköpostiinsa liittyviä yhteystietoja tuotteen tai palvelujen myynnin yhteydessä, sama luonnollinen henkilö tai oikeushenkilö voi käyttää näitä yhteystietoja omien vastaavien tuotteidensa ja palvelujensa suoramarkkinoinnissa, edellyttäen että asiakkaille annetaan selkeästi ja selvästi yhteystietojen ottamisen ja jokaisen viestin yhteydessä mahdollisuus maksutta ja helposti kieltää tällainen yhteystietojensa käyttö. Jäsenvaltioiden on toteutettava tarvittavat toimenpiteet varmistaakseen veloituksetta, että muissa kuin edellä mainituissa tapauksissa toteutettua suoramarkkinointiin tarkoitettua viestintää ei sallita, joko ilman kyseisten tilaajien suostumusta tai sellaisten tilaajien osalta, jotka eivät halua vastaanottaa tällaisia viestejä. Sellaisen sähköpostin lähettäminen suoramarkkinointitarkoituksessa, jossa peitetään tai salataan lähettäjän henkilöllisyys tai jossa ei ole voimassa olevaa osoitetta, johon vastaanottaja voi lähettää pyynnön siitä, että kyseinen viestintä lopetetaan, on oltava kiellettyä. Jäsenvaltioiden on myös varmistettava, että oikeushenkilöiden oikeutettuja etuja suojellaan riittävästi ei-toivotun viestinnän osalta.

14 artikla. Tekniset ominaisuudet ja standardointi. Jäsenvaltioiden on pannessaan direktiiviä täytäntöön varmistettava, ettei päätelaitteille tai muille sähköisille viestintälaitteille aseteta erityisiä teknisiä ominaisuuksia koskevia pakollisia vaatimuksia, jotka voisivat haitata laitteiden markkinoille saattamista ja tällaisten laitteiden vapaata liikkuvuutta jäsenvaltioiden sisällä ja niiden välillä. Jos direktiivin säännökset voidaan panna täytäntöön ainoastaan edellyttämällä tällaisia teknisiä ominaisuuksia, jäsenvaltioiden on ilmoitettava asiasta komissiolle teknisiä standardeja ja määräyksiä koskevien tietojen toimittamisessa noudatettavasta menettelystä annetussa direktiivissä (98/34/EY) säädettyä menettelyä noudattaen.

15 artikla. Henkilötietodirektiivin tiettyjen säännösten soveltaminen. Artiklan mukaan jäsenvaltiot voivat toteuttaa lainsäädännöllisiä toimenpiteitä, joilla rajoitetaan tiettyjä direktiivin 5, 6, 8 ja 9 artiklassa säädettyjen oikeuksien ja velvollisuuksien soveltamisalaa, jos tällaiset rajoitukset ovat välttämättömiä, asianmukaisia ja oikeasuhteisia demokraattisen yhteiskunnan toimenpiteitä kansallisen turvallisuuden sekä puolustuksen, yleisen turvallisuuden tai rikosten tai sähköisen viestintäjärjestelmän luvattoman käytön torjunnan, tutkinnan, selvittämisen ja syyteharkinnan varmistamiseksi henkilötietodirektiivin 13 artiklan 1 kohdan mukaisesti. Jäsenvaltiot voivat muun muassa hyväksyä lainsäädännöllisiä toimenpiteitä, joissa säädetään tietojen säilyttämisestä sellaiseksi rajoitetuksi ajaksi, joka on perusteltua tässä kohdassa säädetyistä syistä.

16 artikla. Siirtymäjärjestelyt. Artiklan 12 tilaajaluetteloja koskevaa sääntelyä ei sovelleta sellaisiin tilaajaluettelojen painoksiin, jotka on jo tuotettu tai saatettu markkinoille painetussa tai muussa kuin verkkokäyttöisessä sähköisessä muodossa ennen direktiivin mukaisesti annettujen kansallisten säännösten voimaantuloa. Jos yleisten kiinteiden tai matkapuhelinpalvelujen tilaajan henkilötiedot on merkitty julkiseen tilaajaluetteloon henkilötietodirektiivin ja televiestinnän tietosuojadirektiivin 11 artiklan säännösten mukaisesti ennen kuin sähköisen viestinnän tietosuojadirektiivin mukaisesti annetut kansalliset säännökset tulevat voimaan, kyseisten tilaajien henkilötiedot saavat jäädä julkiseen tilaajaluetteloon sen painetussa tai sähköisessä muodossa, käänteisiä hakutoimintoja sisältävät muodot mukaan lukien, jolleivät tilaajat ole toisin ilmoittaneet saatuaan 12 artiklan mukaisesti täydelliset tiedot tietojen tarkoituksesta ja heillä olevasta valinnanvarasta.

17 – 21 artiklat sisältävät tavanmukaiset direktiivin loppusäännökset.

2.2.4. Etämyyntidirektiivit

Kuluttajansuojasta etäsopimuksissa annettu Euroopan parlamentin ja neuvoston direktiivi (97/7/EY) annettiin 20 päivänä toukokuuta 1997. Direktiivi on niin sanottu vähimmäisdirektiivi, joten jäsenvaltiot voivat antaa ja pitää voimassa säännöksiä, jotka suojaavat kuluttajaa tehokkaammin kuin direktiivin säännökset. Etämyyntidirektiivin 10 artiklassa kielletään elinkeinonharjoittajaa käyttämästä ilman ihmisapua toimivaa automaattista kutsujärjestelmää tai telekopiolaitetta, jollei kuluttaja ole siihen ennakolta antanut suostumustaan. Muita etäviestintävälineitä, joilla on mahdollisuus yksilölliseen yhteydenpitoon, saa käyttää vain, jos kuluttaja ei ole niitä kieltänyt. Näistä mainitaan esimerkinomaisesti osoitteelliset tai osoitteettomat painotuotteet, vakiokirjeet, puhelin, sähköposti, radio ja televisio.

Rahoituspalvelujen etämyyntidirektiivi annettiin 23 päivänä syyskuuta 2002. Direktiivillä yhtenäistetään rahoituspalvelujen etämarkkinointia koskevaa säätelyä jäsenvaltioissa. Direktiivin soveltamisalaan kuuluvat paitsi rajat ylittävä, myöskin kunkin jäsenvaltion sisäinen etämyynti. Direktiivi koskee muun muassa talletuksia, luottoja, sijoituksia ja vakuutuksia, joita tarjotaan kuluttajalle jonkin viestimen, kuten postin, puhelimen tai tietoverkon välityksellä siten, että myös sopimus tehdään viestimellä osapuolten olematta yhtäaikaa läsnä. Direktiivin 10 artiklan mukaan kuluttajan ennakolta antama suostumus tarvitaan siihen, että palvelujen tarjoaja käyttää etäviestintävälineinä automaattisia soittojärjestelmiä, joissa ei tarvita ihmistä välittäjänä tai telekopiolaitteita. Jäsenvaltioiden on huolehdittava, että muut kuin edellä mainitut etäviestintävälineet, joilla voidaan ottaa kuluttajaan henkilökohtaisesti yhteyttä, eivät ole sallittuja, jos niiden käyttöön ei ole saatu kyseisten kuluttajien suostumusta tai ne ovat sallittuja ainoastaan, jos kuluttaja ei ole niitä nimenomaisesti kieltänyt. Kuluttajalle ei myöskään saa aiheutua kustannuksia edellä mainituista toimenpiteistä. Kyseinen 10 artikla pannaan kansallisesti täytäntöön tämän lakiehdotuksen suoramarkkinointia koskevilla säännöksillä.

2.3. Kansainvälinen kehitys ja ulkomainen lainsäädäntö

2.3.1. Ruotsi

Ruotsissa televiestinnän tietosuojadirektiivi on implementoitu suurimmalta osin muuttamalla televiestintälakia (Lag om ändring i telelagen (1993:597); SFS 1999:578) ja televiestintäasetusta (Förordning om ändring i teleförordningen (1997:399); SFS 1999:572). Muutokset tulivat voimaan 1 päivänä heinäkuuta 1999.

Ruotsissa ei ole säädetty teleyrityksille direktiivin 4.1 artiklan mukaista erillistä tietoturvasta huolehtimisvelvollisuutta, vaan direktiivin 4.1 artiklan katsotaan sisältyvän Ruotsin henkilötietolain 31 §:ään (Personuppgiftslag 1998:204), jossa säännellään käsiteltävien henkilötietojen suojaamista. Vaikka turvallisuusvelvollisuus onkin säännelty yleissäännöksenä henkilötietolain 31 §:ssä, löytyy televiestintälaista kuitenkin teknistä tietoturvaa edellyttävä säännös (Telelag 18§). Direktiivin 4.2 artiklaa vastaava erityisten verkon turvallisuuteen kohdistuvien riskien tiedottamista koskeva säännös on kuitenkin telelain 48 §:ssä.

Direktiivin ei-toivottuja soittoja koskeva 12 artikla on implementoitu muuttamalla markkinointilakia (lag om ändring i marknadsföringslagen (1995:450), SFS 2000:129 ja Lag om ändring i marknadsföringslagen (1995:450), SFS 2002:565). Säännöksen mukaan suoramarkkinointitarkoituksessa toteutettuun ei-toivottuun viestintään sovelletaan pääsääntöisesti niin sanottua opt-in menetelmää, eli markkinointiin on saatava lupa ennakolta. Säännös soveltuu laajasti telekopiolaitteisiin, automaattisiin soittojärjestelmiin ja vastaaviin henkilökohtaiseen viestintään käytettäviin automaattisiin järjestelmiin. Sähköpostiin sovelletaan niin sanottua opt-out järjestelmää, eli markkinointia saa lähettää, ellei sitä ole erikseen kielletty. Ruotsissa on vasta hiljattain siirrytty järjestelmään, jossa suoramarkkinoijilla on velvollisuus ennen sähköpostimarkkinoinnin lähettämistä tarkistaa niin sanottu kieltorekisteri. Kyseinen muutos on tehty markkinointilakiin vuonna 2002.

Telepalvelun tilaajasta on telelain 47 §:n mukaan pyynnöstä luovutettava tietoja viranomaisille tietyissä tilanteissa. Tietoja on luovutettava viranomaiselle esimerkiksi, jos se tarvitsee kyseisiä tietoja tiedoksiantamista varten henkilön piilotellessa, syyttäjälle, poliisille tai muulle viranomaiselle, jos epäillystä rikoksesta on rangaistuksena vankeutta; kruununvoudille täytäntöönpanoa varten, veroviranomaiselle verovalvontaa varten, poliisille onnettomuuksien ja kuolemantapausten yhteydessä tapahtuvaa tiedottamista, selvittämistä ja tunnistusta varten. Muusta tiettyä televiestiä koskevasta tiedosta kuin tilaajan henkilöllisyydestä ja viestin sisällöstä on annettava tieto syyttäjälle, poliisille tai muulle viranomaiselle, jos epäillystä rikoksesta on rangaistuksena vähintään 2 vuotta vankeutta sekä alueelliselle hälytyskeskukselle.

Teletoiminnassa kertyvät tiettyä televiestiä koskevat tiedot on pääsääntöisesti joko hävitettävä tai tehtävä tunnistamattomaksi puhelun loputtua tai kun viesti saavuttaa vastaanottajan. Tilaajalaskutusta tai yhteenliittämismaksujen suorittamista varten tarvittavia tietoja saa käsitellä, kunnes saatava on maksettu tai vanhentunut. Näitä tietoja saa käyttää palveluntarjoajan omien telepalvelujen markkinoinnissa, jos tilaaja on antanut siihen suostumuksensa. Hävittämistä ja tunnistamattomaksi tekemistä koskevasta pääsäännöstä on poikkeuksena telekuuntelu ja televalvonta, oikeudettoman televerkon käytön ehkäiseminen ja paljastaminen sekä tilanteet, joissa tilaaja pyytää häiritsevien televiestien tunnistamista varten saapuvien teleosoitteiden säilyttämistä tietyn ajan. Tilaajan pyytämät tiedot on pyydettäessä pidettävä hänen saatavillaan.

Paikkatietojen tai evästeiden käyttöä ei ole erikseen säännelty Ruotsissa. Tällaiset säännökset ollaan kuitenkin sisällyttämässä Ruotsin sähköisen viestinnän lainsäädännön uudistukseen (SOU 2002:60, Lag om elektronisk kommunikation, Delbetänkande från Utredningen om elektronisk kommunikation), jolla implementoidaan myös uusi sähköisen viestinnän tietosuojadirektiivi.

2.3.2. Tanska

Televiestinnän tietosuojadirektiivi on Tanskassa saatettu voimaan lailla kilpailusuhteista ja kuluttajasuhteista telemarkkinoilla (Lov om konkurrence- og forbrugerforhold på telemarkedet, Lov nr 418 af 31/05/2000, voimaan 1 päivänä heinäkuuta 2000), asetuksella numerotietokannoista (Bekendtgørelse om nummeroplysningsdatabaser, BEK nr 665 af 06/07/2000, voimaan 15.7.2000) ja asetuksella televerkkojen ja telepalvelujen hankkimisesta (Bekendtgørelse om udbud af telenet og teletjenester, BEK nr 1169 af 15/12/2000, voimaan 1 päivänä helmikuuta 2001).

Direktiivin ei-toivottuja soittoja koskeva 12 artikla on implementoitu säännöksen ”Bekendtgørelse af lov om markedsføring” (LBK nr 699 af 17/07/2000) pykälällä 6 a. Säännöksen mukaan suoramarkkinointitarkoituksessa tehtyyn ei-toivottuun viestintään sovelletaan niin sanottua opt-in menetelmää, eli suostumus on saatava ennakolta. Säännös soveltuu automaattisten soittojärjestelmien ja telekopiolaitteiden lisäksi myös sähköpostiin. Muiden suoramarkkinointimenetelmien osalta sovelletaan opt-out rekisteriin perustuvaa menetelmää.

Käyttäjää koskevat laskutustiedot ja tunnistamistiedot on pääsääntöisesti joko tehtävä tunnistamattomaksi tai poistettava puhelun loputtua. Laskutusta ja yhteenliittämismaksuja varten tiettyjä tietoja saa kuitenkin käsitellä ja tallettaa sen ajan, kun lasku voidaan laillisesti riitauttaa tai maksua vaatia. Samaa tietoa saa käsitellä myös palvelun tarjoajan omien telepalvelujen markkinoimiseksi, mikäli käyttäjä on antanut siihen suostumuksensa. Näistä säännöksistä huolimatta kansallisella televiranomaisella (Telestyrelsen), televiestinnän kuluttajalautakunnalla (Telebrugernævnet) sekä televiestinnän valituslautakunnalla (Teleklagenævnet) on oikeus saada laskutustietoja ja tunnistamistietoja käsitellessään yksittäisiä tapauksia tai niin sanottujen pistotarkastusten yhteydessä.

Kansallisella televiranomaisella ja eräillä valitusviranomaisilla (esimerkiksi Telebrugernævnet ja Teleklagenævnet) on oikeus saada kaikki tarpeelliseksi katsomansa tieto telelainsäädännön noudattamisen varmistamiseksi. Tuomioistuimen päätöksellä, ja tietyissä tilanteissa myös ilman sitä, kansallisella televiranomaisella sekä televiestinnän kuluttajalautakunnalla (Telebrugernævnet) on pääsy niin julkisiin kuin yksityisiinkin tiloihin tehdäkseen teknisiä tutkimuksia sekä tietojen saamiseksi käyttäjien oikeuksien valvontaa varten. Televiestinnän kuluttajalautakunnalla on oikeus pyynnöstä saada kaikki käsiteltävänä olevan asian ratkaisemiseksi tarvitsemansa tieto.

Uudella kesäkuussa 2002 annetulla prosessilain (retsplejelov) muutoksella (Lov om ændring af straffeloven, retsplejeloven, lov om konkurrence- og forbrugerforhold på telemarkedet, våbenloven, udleveringsloven samt lov om udlevering af lovovertrædere til Finland, Island, Norge og Sverige, Lov nr 378 af 06/06/2002) säädetään telepalvelun ja Internet-palvelun tarjoajille velvollisuus rekisteröidä ja tallettaa tunnistamistietoja vuoden ajaksi terrorismin torjumista varten. Samalla lainvalvontaviranomaisille annettiin valtuus tuomioistuimen päätöksen perusteella asentaa salaisia valvontaohjelmistoja määrätyistä vakavista rikoksista epäiltyjen tietojärjestelmiin. Säännökset löytyvät vastaavansisältöisinä myös uudistetusta prosessilaista (Bekendtgørelse af lov om rettens pleje, LBK nr 777 af 16/09/2002).

2.3.3. Norja

Norjassa televiestinnän tietosuojadirektiiviä ei ole sellaisenaan implementoitu. Keskeistä televiestinnän tietoturvaa ja tietosuojaa koskevaa sääntelyä löytyy muun muassa televiestintälaista (Lov om telekommunikasjon, Lov 1995-06-23 nr 39; voimaan 1 päivänä tammikuuta 1996) ja sitä täydentävistä asetuksista koskien yleisiä televerkkoja ja telepalveluja (Forskrift om offentlig telenett og offentlig teletjeneste ”offentlignettforskriften”, For 1997-12-05 nr 1259, voimaan 1 päivänä tammikuuta 1998) sekä yksityisiä televerkkoja (Forskrift om privat telenett, For 2001-02-14 nr 162, voimaan 14 päivänä helmikuuta 2001). Myös Norjan henkilötietolaista (Lov om behandling av personopplysninger ”personopplysningsloven”, Lov 2000-04-14 nr 31, voimaan 1 päivänä tammikuuta 2001) sekä sitä täydentävästä asetuksesta (Forskrift til personopplysningsloven ”personopplysningsforskriften”, For 2000-12-15-1265, voimaan 1 päivänä tammikuuta 2001) löytyy keskeistä alan sääntelyä.

Televerkon yleistä suojausvelvollisuutta koskevan säännöksen, televiestintälain 7 luvun 7 §:n mukaan televiranomainen voi määrätä turvatoimenpiteiden käyttöönoton televerkoissa ja telepalveluja välitettäessä kansallisen turvallisuuden, yksityisyyden suojan, salassapitovelvollisuuden tai muun tärkeän sosiaalisen intressin perusteella. Tämä koskee myös radiojärjestelmien omistajia sekä radiolaitteiden käyttäjiä ja asentajia. Säännöstä on tarkennettu yllämainituissa teleasetuksissa siten, että turvatoimenpiteitä on otettava käyttöön televerkon laitonta salakuuntelua, muuta laitonta informaatioon pääsyä sekä muita laittomia toimenpiteitä vastaan. Julkisen televerkon osalta toimenpiteiden on suojattava myös mahdollisuudelta saattaa joku muu maksamaan verkon käytöstä. Toimenpiteiden yhteydessä syntyvät kulut ja tappiot ovat niiden käyttöönottajan, televerkon ylläpitäjän, vastuulla. Lisäsäännöksiä voidaan antaa kriisin, valmiustilan ja sodan aikana. Lisäksi televiestintälain 3 luvun 6 §:ssä on säädetty televerkon- tai telepalveluntarjoajan velvollisuudesta rajoittaa julkisen televerkon tai telepalvelujen käyttöä vakavissa elämää, terveyttä, turvallisuutta tai yleistä järjestystä uhkaavissa hätätilanteissa sekä verkkoon tai sen palveluihin kohdistuvan sabotaasiriskin vuoksi. Televiranomainen voi määrätä käytölle lisärajoituksia valtion turvallisuuden, lupavelvollisuuksien täytäntöönpanon tai muun tärkeän yhteiskunnallisen intressin vuoksi. Erityistä velvollisuutta tiedottaa tietoturvariskeistä ei ole säädetty.

Salassapitovelvollisuudesta on säädetty televiestintälain 9 luvun 3 §:ssä, joka sisältää myös velvoitteen käyttää suojausmenetelmiä estämään luvaton pääsy luottamukselliseen viestintään. Salassapitovelvollisuus ei koske pelkästään viestinnän sisältöä, vaan sisältää myös televiestinnän käytön mukaan lukien tiedon teknisistä välineistä ja menetelmistä. Salassapitovelvollisuus koskee kaikkia televerkon tai telepalvelun tarjoajan palveluksessa olevia, asentajia sekä televiranomaisia ja se soveltuu myös työ- tai palvelussuhteen jälkeiseen aikaan. Säännös soveltuu myös yksityisiin televerkkoihin.

Yllä mainittua salassa pidettävää tietoa ei saa käyttää palvelun tai verkon tarjoajan omassakaan toiminnassa eikä muille tehtävässä työssä tai palvelussa, paitsi jos kysymys on täysin anonymisoidusta ja tilastollisesta verkon liikennöintitiedosta, joka ei paljasta tietoa laitteista tai teknisistä ratkaisuista. Henkilötietojen käsittely telepalvelujen tarjonnassa asiakastietojen hallintaa tai laskutusta varten sekä palvelun tarjoaminen tilaajan verkon käytöstä kerääntyvällä tiedolla, on henkilötietolain säännösten alaista ja luvanvaraista (personopplysningsforskriften). Viesti, joka sisältää henkilötietonumeron on lähetettävä sellaisella tavalla, että numero tulee vain vastaanottajan saataville.

Salassapitovelvollisuudesta huolimatta henkilön nimen, osoitteen, puhelinnumeron tai sähköisen osoitteen saa antaa lainvalvontaviranomaisille sekä esitettäväksi todisteena oikeudessa. Luovutus tapahtuu joko syyttäjäviranomaisen tai poliisin pyynnöstä, ja se on pakollista, elleivät erityiset olosuhteet tee siitä ei-suositeltavaa. Televerkon tai telepalvelun tarjoajalla on velvollisuus varmistaa lakiperusteinen pääsy loppukäyttäjiä koskevaan tietoon ja tunnistamistietoihin. Tarpeellisia tietoja voidaan luovuttaa myös muiden maiden televiranomaisille kansainvälisten sopimusvelvoitteiden täyttämiseksi.

Evästeitä koskevat säännökset henkilötietojen osalta sisältyvät henkilötietoasetuksen (personopplysningsforskriften) 7 luvun 11 §:ään. ATK-järjestelmän tapahtumalokin ja järjestelmän resurssien hallinnoimisen yhteydessä käsiteltävät henkilötiedot on vapautettu henkilötietolain (personopplysningsloven) 31 §:n mukaisesta ilmoitusvelvollisuudesta. Poikkeus koskee vain käsittelyä, jonka tarkoituksena on järjestelmän hallinta tai sen turvallisuuteen kohdistuvan rikoksen paljastaminen tai selvittäminen. Tällä tavoin kertyvää tietoa ei saa myöhemmin käyttää yksilön valvontaan tai kontrollointiin.

Ei-toivottu sähköinen viestintä suoramarkkinointitarkoituksessa edellyttää kuluttajan ennalta antamaa suostumusta (Lov om kontroll med markedsføring og avtalevilkår ”markedsføringsloven, Lov 1972-06-16-47, § 2b). Säännös soveltuu kaikkiin yksityisen viestinnän menetelmiin, joista esimerkkeinä säännöksessä on mainittu sähköposti, tekstiviesti, faksi ja puhelinvastaaja. Suullisesti puhelimen välityksellä kuluttajalle tapahtuva markkinointi ei edellytä etukäteissuostumusta. Tällaiseen mainontaan soveltuu opt-out-rekisteriä koskevat henkilötietolain (personopplysningsloven) 26 §:n säännökset. Säännöksen mukaan rekisteri tulee tarkistaa ensimmäistä kertaa suoramarkkinointia lähetettäessä ja vähintään neljä kertaa joka vuosi.

Hätäpuhelun paikallistamisen mahdollistaminen on säädetty velvollisuudeksi niin julkisen kuin yksityisenkin televerkon tarjoajalle ilman loppukäyttäjältä perittävää maksua. Paikantamisen on oltava mahdollista, vaikka loppukäyttäjän numero olisi salainen.

Norjassa on aloitettu alan konvergenssikehityksen vuoksi laaja telelainsäädännön uudistus (Utkast til lov om elektronisk kommunikasjon), jolla EU:n uudet sähköisen viestinnän direktiivit saatetaan osaksi kansallista lainsäädäntöä. Uudistuksessa ollaan muun muassa ottamassa lakiin velvoite tiedottaa erityisistä tietoturvaan kohdistuvista riskeistä.

2.3.4. Iso-Britannia

Iso-Britannia saattoi televiestinnän tietosuojadirektiivin osaksi kansallista lainsäädäntöä useammassa vaiheessa. Suurin osa säännöksistä on saatettu voimaan (mukaan lukien ei toivottu suoramarkkinointi puhelimen ja faksin välityksellä) vuoden 1999 televiestintäsäännöksellä (Statutory Instrument 1999 No. 2093, The Telecommunications (Data Protection and Privacy) Regulations 1999 sekä Statutory Instrument 2000 No. 157, The Telecommunications (Data Protection and Privacy) (Amendment) Regulations 2000), joka tuli kokonaisuudessaan voimaan 1 päivänä maaliskuuta 2000. Säännös kumoaa aikaisemman vuodelta 1998 olevan suoramarkkinointisäännöksen (Statutory Instrument 1998 No. 3170, The Telecommunications (Data Protection and Privacy) (Direct Marketing) Regulations 1998), jolla jo osa direktiivin säännöksistä implementoitiin.

Suoramarkkinointi käyttäen automaattisia soittojärjestelmiä vaatii etukäteisluvan niin luonnolliselta henkilöltä kuin oikeushenkilöltäkin. Suoramarkkinointia saa muutoin kohdistaa luonnollisiin henkilöihin ilman etukäteissuostumusta sekä sähköpostilla että puhelimella. Faksilla tapahtuvaan suoramarkkinointiin luonnollisille henkilöille on oltava etukäteen annettu lupa, mutta yritysasiakkailta etukäteissuostumusta ei tarvitse saada tämänkään suoramarkkinointitavan osalta. Opt-out rekisteri on käytössä faksien ja puheluiden osalta. Tosin rekisteri on puheluiden osalta rajoitettu vain luonnollisiin henkilöihin.

Pääsääntöisesti tunnistamistiedot on joko hävitettävä tai tehtävä tunnistamattomaksi puhelun päätyttyä. Laskutusta ja yhteenliittämismaksuja varten tietoja saa käsitellä vain sen ajan, kun lasku voidaan kyseenalaistaa tai maksua vaatia. Tunnistamistietojen ja laskutustietojen käsittely on sallittua vain tietyissä tarkoituksissa, kuten tietojenhallinta, asiakaskyselyt, petosten ehkäisy ja selvittäminen sekä operaattorin omien telepalvelujen mainonta, joka sekin edellyttää tilaajan lupaa. Lain mukaan tietoja saadaan kuitenkin toimittaa sille, joka on määrätty riidan ratkaisijaksi.

Valtion turvallisuuden suojaamiseksi lain säännöksistä saa poiketa varsin vapaasti myös tietojen käsittelyn osalta, mistä käy osoitukseksi ministerin (Minister of Crown) allekirjoittama todistus. Lain säännöksistä saadaan myös poiketa tai niiden noudattamisesta pidättäytyä myös tietojen käsittelyn osalta, mikäli säännösten noudattaminen olisi ristiriidassa minkä tahansa lain säännöksen tai tuomioistuimen ratkaisun kanssa, tai olisi haitallista rikosten ehkäisemiselle, selvittämiselle tai rikostentekijöiden vangitsemiselle taikka syyttämiselle. Lain säännöksistä saadaan myös poiketa, mikäli sitä vaaditaan mitä tahansa oikeudenkäyntiä varten tai siihen liittyen, jos se on tarpeen oikeudellisen neuvon saamiseksi tai on muuten tarpeen oikeuksien perustamiseksi, käyttämiseksi tai puolustamiseksi.

Viimeisessä implementointivaiheessa on saatettu voimaan direktiivin viestinnän luottamuksellisuutta koskeva 5 artikla kahdella eri säännöksellä (Regulation of Investigatory Powers (RIPA) Act 2000 sekä Statutory Instrument 2000 No. 2699, The Telecommunications (Lawful Business Practice) (Interception of Communications) Regulations 2000), jotka tulivat suurimmalta osin voimaan syksyllä 2000. Jälkimmäisessä säännöksessä poiketaan RIPA:n asettamasta viestinnän luottamuksellisuuden pääsäännöstä ja sallitaan yritysten puuttua viestintään ilman lupaa tiettyjä oikeutettuja tarpeita, kuten liiketoimen todistamista, varten.

Tietojen viranomaiselle luovuttamisen osalta RIPA sallii mille tahansa julkiselle viranomaiselle pääsyn viestintätietoihin (communications data; esimerkiksi paikannustieto, verkon selaustiedot) ministerin (Secretary of State) pitäessä sitä tarpeellisena laissa nimenomaisesti määrätyissä tilanteissa. Näitä tilanteita ovat esimerkiksi kansallisen turvallisuuden varmistaminen, rikosten ja epäjärjestyksen ehkäiseminen, maan taloudellisen hyvinvoinnin varmistaminen, yleisen turvallisuuden varmistaminen sekä valtiolle suoritettavien maksujen kerääminen. Lisäksi säännös antaa poliisille, sotilaspoliisille ja tullille oikeuden vaatia käyttäjiä luovuttamaan salakirjoitettu materiaali selkokielisenä ja tietyissä tilanteissa luovuttamaan myös salauksen purkuavaimet. Velvollisuutta tallentaa tietoja ei ole annettu tässä säännöksessä. Joulukuussa 2001 annetulla terrorismin vastaisella säännöksellä (Anti-terrorism, Crime and Security Act 2001) valtuutetaan ministeri (Secretary of State) antamaan käytännesääntöjä (code of practice) viestintää koskevan tiedon säilyttämisestä sekä postipalvelujen että televiestintäpalvelujen tarjoajien osalta.

2.3.5. Ranska

Ranskassa televiestinnän tietosuojadirektiivi on saatettu osaksi kansallista lainsäädäntöä monessa eri vaiheessa. Yleiseen henkilötietolakiin sisältyy tätä koskevia säännöksiä (Loi n° 78-17 du 6 janvier 1978, Loi relative à l'informatique, aux fichiers et aux libertés,). Posti- ja televiestintälaissa (code des postes et télécommunications), jota on muutettu useaan otteeseen (säännöksillä Loi n° 90-1170 du 29 décembre 1990 sur la réglementation des télécommunications ja Loi n° 96-659 du 26 juillet 1996 de réglementation des télécommunications) ja vakiosopimusehtoja koskevaan asetukseen (Décret n° 96-1175 du 27 décembre 1996 relatif aux clauses types des cahiers des charges associés aux autorisations attribuées en application des articles L.33-1 et L.34-1) sisältyy erityissäännöksiä. Uusi asetus tammikuulta 2002 (Décret n° 2002-36 du 8 janvier 2002 relatif à certaines clauses types des cahiers des charges annexés aux autorisations délivrées en application de l'article L. 33-1 du code des postes et télécommunications) saattoi direktiivin säännöksiä käyttäjien oikeuksien suojaamisesta (luottamuksellisuus, eritelty lasku, kutsuvan linjan tunnistus, puhelujen siirto, palvelun laatu) osaksi kansallista lainsäädäntöä muuttamalla edellä mainittua posti- ja televiestintälakia.

Ei-toivottuja soittoja koskevat direktiivin artiklat on implementoitu vuonna 2001 annetuilla säännöksillä (Ordonnance no 2001-670 du 25 juillet 2001 portant adaptation au droit communautaire du code de la propriété intellectuelle et du code des postes et télécommunications sekä Ordonnance no 2001-741 du 23 août 2001 portant transposition de directives communautaires et adaptation au droit communautaire en matière de droit de la consommation). Säännöksissä kielletään suoramarkkinointi automaattisen soittojärjestelmien ja faksien välityksellä tilanteissa, joissa tilaaja tai käyttäjä ei ole antanut etukäteistä suostumustaan. Muita viestintävälineitä voidaan käyttää suoramarkkinointiin, jollei kuluttaja sitä erikseen vastusta (mahdollisuus niin sanottuun opt-out-rekisteriin).

Pääsääntönä tunnistamistietojen käsittelyssä on tietojen poispyyhkiminen, kun niitä ei enää tarvita. Poikkeuksena ovat laskutuksen ja rikostutkinnan tarpeet. Kesällä 2001 Ranskan hallitus on esittänyt Internet-palvelun tarjoajille velvollisuutta säilyttää asiakkaidensa verkon käyttöä koskevaa tietoa vuoden ajan (Projet de loi sur la société de l’information, LSI). Ehdotuksen käsittely on kuitenkin viivästynyt. Vastaavat säännökset on kuitenkin saatettu voimaan 15 päivänä marraskuuta 2001 hyväksytyllä uudella päivittäistä turvallisuutta koskevalla lailla (Loi n° 2001-1062 du 15 novembre 2001, Loi relative à la sécurité quotidienne, LSQ), joka soveltuu sekä teleoperaattoreihin että Internet-palvelun tarjoajiin.

Lailla asetetaan velvoite rekisteröidä ja tallentaa viestintää koskevia tietoja tilaajista enimmillään vuoden ajaksi rikostutkinnallisiin tarkoituksiin. Se, mitä tietoja tulee nimenomaisesti säilyttää sekä säilytysaika, määritellään myöhemmin annettavalla voimaanpanoasetuksella. Säilytettävän tiedon tulee palvella vain käyttäjien ja viestinnän teknisten ominaisuuksien tunnistamista, eikä se saa paljastaa viestinnän sisältöä. LSQ sisältää myös säännökset julkisen syyttäjän tai tuomarin mahdollisuudesta pyytää ketä tahansa asiantuntijaa saattamaan salattu tieto selkokieliseksi sekä säännökset salauksen purkuavainten luovuttamisesta.

Ranskassa valmistellaan mittavaa sähköisen viestinnän sääntelyuudistusta, jossa myös uusi sähköisen viestinnän tietosuojadirektiivi on tarkoitus saattaa osaksi kansallista lainsäädäntöä.

2.3.6. Saksa

Saksassa televiestinnän tietosuojadirektiivi on saatettu osaksi kansallista lainsäädäntöä 26 päivänä heinäkuuta 1996 voimaan tulleella televiestintälailla (Telekommunikationsgesetz, TKG, Vom 25. Juli 1996, BGBl. I 1996, S. 1120) ja 19 päivänä joulukuuta 2000 voimaan tulleella televiestinnän tietosuoja asetuksella (Telekommunikations-Datenschutzverordnung, TDSV, Vom 18. Dezember 2000, BGBl. I S. 1740). Lisäksi sähköisen viestinnän tietosuojaa ja tietoturvaa käsittelee 1 päivänä elokuuta 1997 voimaan tullut telepalvelujen tietosuojalaki (Teledienstedatenschutzgesetz, TDDSG, ”Gesetz über den Datenschutz bei Telediensten”, BGBl. I 1997 S. 1871), joka soveltuu lähinnä televiestinnän välityksellä tarjottavaan sisältöön, kuten telepankkipalveluihin ja Internetiin pääsyn tarjontaan.

Saksan sopimattoman kilpailun vastaisen lain (Gesetz gegen unlauteren Wettbewerb, UWG, vom 16. April 1997, BGBl. I 1997, S. 821-929) 1 §:n mukaan ei-toivotun kaupallisen viestin lähettäminen on kielletty Saksassa. Säännöstä on tarkennettu oikeustapauksissa, joiden mukaan niin puhelimeen, faksiin, automaattisiin soittojärjestelmiin kuin sähköpostiinkin sovelletaan opt-in menetelmää.

Pääsääntöisesti tunnistamistiedot tulee hävittää heti yhteyden päätyttyä. Kaikilla teleoperaattoreilla on kuitenkin velvollisuus kerätä ja tallettaa tietoja tilaajistaan (numerot, nimet ja osoitteet tai muut tunnistamismenetelmät) lainvalvontatarkoituksiin. Tuomioistuimilla, julkisilla syyttäjillä, poliisilla vaaran ehkäisemiseksi, tullilla rikostutkinnallisiin tarkoituksiin sekä liittovaltion ja jäsenvaltioiden viranomaisilla perustuslain ja tiettyjen tiedusteluorganisaatioiden suojaamiseksi on pääsy tähän tietoon televiestinnän sääntelyviranomaisen välityksellä. Sääntelyviranomaiselle on taattava automaattinen (on-line) pääsy näihin tietoihin, ja sääntelyviranomainen siirtää yhteyden pyynnöstä sitä tarvitsevalle viranomaiselle.

Telepalvelujen tarjoajilla on velvollisuus luovuttaa toimivaltaisille osapuolille näiden pyynnöstä sopimussuhteistaan keräämiään henkilötietoja siinä määrin, kuin niitä vaaditaan rikossyyte tarkoituksiin, yleiseen turvallisuuteen kohdistuvan vaaran estämiseksi tai oikeudellisten toimenpiteiden suorittamiseksi perustuslain sekä tiettyjen tiedusteluviranomaisten ja tulliviranomaisten suojaamiseksi.

Telepalvelujen tietosuojalakiin sisältyy erityissäännöksiä evästeiden käyttämisestä viestintäverkkojen kautta. Käyttäjäprofiilit ovat sallittuja vain käytettäessä niin sanottuja pseudonyymejä. Tietyn yhden henkilön useiden telepalvelujen käyttämiseen liittyviä henkilötietoja tulee käsitellä erikseen, ja näiden tietojen yhdistäminen on sallittua vain, jos se on tarpeen tilinpitoa varten (TDDSG § 4.2 kohta 4 ja § 4.4). Evästeiden käytöstä tulee informoida etukäteen (TDDSG § 3.5).

2.3.7. Japani

Japanissa televiestinnän tietosuojan ja tietoturvan sääntely perustuu televiestintälakiin (Telecommunications Business Law, (TBL), Law No. 86 of December 25, 1984, voimaan 1 päivänä huhtikuuta 1985, viimeksi päivitetty lailla no. 62, 22 päivänä kesäkuuta 2001) ja posti- ja televiestintäministeriön (nykyinen Ministry of Public Management, Home Affairs, Posts and Telecommunications MPHPT) edistämään ja levittämään vuonna 1991 alun perin kehitettyyn ja 2 päivänä joulukuuta 1998 uudistettuun suositukseen henkilötietojen suojasta televiestinnässä (Guidelines on the Protection of Personal Data in Telecommunications Business).

Tietoturvasta huolehtimista koskevan velvollisuuden perussäännös sisältyy televiestintälain 41 artiklaan, jonka mukaan teleoperaattorit velvoitetaan ylläpitämään televiestintään käytettävää laitteistoa ministeriön (MPHPT) asettamien teknisten määräysten mukaisesti. Näiden teknisten määräysten tulee varmistaa olosuhteet, joissa muun muassa laitteiston vika tai niille tapahtunut vahinko ei merkittävästi vaikeuta telepalvelujen tarjoamista, telepalvelut ovat asianmukaisen laadukkaita ja joissa viestinnän luottamuksellisuutta ei loukata. Kyseisen teknisen säännöksen lisäksi laki antaa ministeriölle valtuutuksen määrätä operaattori noudattamaan antamiaan teknisiä määräyksiä (artikla 42), asettaa operaattorit velvollisiksi asettamaan hallinnollisia sääntöjä varmistamaan telepalvelujen luotettava ja kestävä toimittaminen sekä raportoimaan niistä ministeriölle (artikla 43). Kyseiset säännökset eivät kuitenkaan koske kaikkia teleoperaattoreita. Niin sanottuihin kakkostyypin operaattoreihin, joihin lukeutuvat yleisesti myös Internet-palveluntarjoajat, soveltuvat yllämainitun suosituksen säännökset velvollisuudesta ryhtyä tarvittaviin toimenpiteisiin tietoturvan ja henkilötietojen asianmukaisen käsittelyn varmistamiseksi (artikla 5, kohta 4).

Lisäksi laki kehittyneen informaatio- ja televiestintäverkkoyhteiskunnan muodostamisesta (Basic Law on the Formation of an Advanced Information and Telecommunications Network Society, voimaan 6 päivänä tammikuuta 2001) asettaa peruslähtökohdaksi informaatioyhteiskunnan muodostamiseksi tarvittavien toimenpiteiden laatimisessa kehittyneiden tietoverkkojen ja televiestintäverkkojen turvallisuuden ja luotettavuuden varmistamisen, henkilötietojen suojan sekä muut tarvittavat toimenpiteet mahdollistamaan verkkojen turvallinen käyttö (artikla 22).

Viestinnän luottamuksellisuuden perussäännös on televiestintälain 4 artikla, jossa säädetään myös vaitiolovelvollisuudesta. Vaitiolovelvollisuutta koskeva säännös ei sovellu muihin henkilötietoihin kuin niihin, jotka ovat tulleet esille viestinnän yhteydessä. Operaattoreiden työntekijöiden velvollisuus pitää salassa muut henkilötiedot, perustuu suositukseen henkilötietojen suojasta televiestinnässä (artikla 5, kohta 6).

Tunnistamistietojen käsittely perustuu suositukseen henkilötietojen suojasta televiestinnässä (erityisesti artikla 8). Tallentaminen on sallittua vain, kun tunnistamistietoja tarvitaan operaattorin toiminnassa esimerkiksi laskutusta, valitusten käsittelyä tai telepalvelujen laittoman käytön estämistä varten. Tietojen tallentamiselle tulee asettaa määräaika, ja ne tulee poistaa määräajan jälkeen tai kun tallennuksen tarkoitus on saavutettu. Tietoja saa tallentaa kuitenkin pidempäänkin, jos niiden kohde antaa luvan, laki määrää toisin tai on olemassa jokin muu erityinen syy, kuten esimerkiksi omien tai kolmannen oikeuksien suojaaminen hätätilanteessa.

Paikkatietojen käsittelyn osalta erityissäännöksenä kyseisessä suosituksessa (artikla 11) kielletään paikkatiedon ilmaiseminen. Paikkatiedon ilmaiseminen on kuitenkin sallittua, mikäli tietojen kohde antaa siihen suostumuksensa, tietoa vaaditaan tuomarin asettamalla määräyksellä, tietoa tarvitaan rangaistavien uhkailusoittojen tai hätäpuheluiden jäljittämiseksi ja uhri tai tutkiva viranomainen vaatii jäljittämistä, tai ilmaisemiselle on jokin muu laillinen peruste. Tarjottaessa palveluja, joissa paikkatieto annetaan tilaajalle tai tämän määräämälle henkilölle, tai paikkatieto ilmaistaan kolmannen osapuolen kautta, operaattorin tulee ryhtyä tarvittaviin toimenpiteisiin estääkseen päätelaitteen haltijan oikeuksien loukkauksen. Tällaisia toimenpiteitä voivat olla esimerkiksi paikkatiedon väärinkäytön ehkäiseminen tai paikkatiedon käsittelyn estäminen.

Ei-toivottua sähköpostimarkkinointia koskee kaksi uutta lakia (Law No. 26, 2002 on topics including the appropriateness of sending specified email messages sekä Law No. 28, 2002, for partial amendment to the specific commercial transaction law), jotka tulivat voimaan 1 päivänä heinäkuuta 2002. Lait ottavat käyttöön opt-out-menetelmän Internetin ja matkapuhelinten käyttäjien osalta, ja vaativat ei-toivotun suoramarkkinoinnin lähettäjiä identifioimaan selkeästi viestin tarkoituksen ja kertomaan, kuinka mainonnasta voi kieltäytyä. Lisäksi velvoitetaan teleoperaattorit tutkimaan ja kehittämään menetelmiä ehkäistä ei-toivottua suoramarkkinointia sekä julkaisemaan tietoja mahdollisista ehkäisemiseksi käytettävissä olevista menetelmistä.

Tunnistamistietojen luovutuksesta viranomaisille ei ole olemassa selkeää lainsäädäntöä. Henkilötietojen suojaa televiestinnässä koskeva suositus asettaa edellytykseksi tuomarin määräyksen tai muun oikeudellisen perusteen luovuttamiskiellosta poikkeamiselle. Myös hätäevakuointeja varten tietoja saa luovuttaa.

Yksityistä sektoria koskevaa henkilötietolakia on ehdotettu ja se on parhaillaan käsittelyssä valtiopäivillä. Myös lakia henkilötietojen suojasta televiestinnässä suunnitellaan.

2.3.8. Yhdysvallat

Yhdysvaltain televiestinnän tietosuojaa ja tietoturvaa koskeva sääntely keskittyy vuoden 1934 viestintälakiin (Communications Act of 1934, Public Law. No. 416, June 19, 1934 (47 U.S.C. 151 et seq.) ja sen muutoksiin, joista keskeisimpänä on vuoden 1996 televiestintälaki (Telecommunications Act of 1996, Pub. L. No. 104-104, (1996), (47 U.S.C. 151 et seq)) ja erityisesti sen pykälä 702, jolla lisätään lakiin uusi pykälä 222 (47 U.S.C. 222). Tietosuojan kannalta keskeinen muutos on myös Wireless Communications and Public Safety Act of 1999, Pub. L. No. 106-081, (1999).

Yhdysvalloissa ei ole yleistä teleyrityksiä koskevaa tietoturvasta huolehtimisvelvollisuutta koskevaa säännöstä. Teleoperaattoreilla on velvollisuus varmistaa, että viestinnän luottamuksellisuuteen voidaan puuttua vain tuomioistuimen luvalla tai muuten laillisella valtuutuksella sekä teleoperaattorin myötämielisellä asiaan puuttumisella (Sections 105 and 301 of the Communications Assistance for Law Enforcement Act (CALEA), Pub. L. No. 103-414, (1994), (47 U.S.C. 1004 sekä 47 U.S.C. 229). Viestinnän luottamuksellisuuden perussäännös löytyy edellä mainitusta pykälästä 222 (47 U.S.C. 222), joka velvoittaa teleoperaattorin (telecommunications carrier) suojaamaan tietyn informaation (proprietary information of, and relating to, other telecommunication carriers, equipment manufacturers, and customers, including telecommunication carriers reselling telecommunications services provided by a telecommunications carrier) luottamuksellisuuden. Vaitiolovelvollisuuden keskeiset säännökset ovat 47 U.S.C. 605 ja 18 U.S.C. 2511, joissa kielletään muun muassa viestinnän olemassaolon ja sisällön paljastaminen tai julkaiseminen.

Sama viestinnän luottamuksellisuuden perussäännös (47 U.S.C. 222) asettaa rajat myös tunnistamistietojen (Customer Proprietaty Network Information CPNI) käsittelylle säätäessään poikkeuksia yleiselle luottamuksellisuuden lähtökohdalle. Tietojen käytön edellytykset vaihtelevat tiedon tyypin mukaan (individually identifiable CPNI, aggregate customer information, subscriber list information). Tietoja saa kuitenkin käyttää aina laskutusta varten, teleoperaattorin oikeuksien ja omaisuuden suojelemiseksi, viestinnän vilpillisen ja laittoman käytön ehkäisemiseksi, välittömään suoramarkkinointiin ja hallinnollisten palvelujen tarjoamiseen puhelun keston ajan asiakkaan soittaessa ja antaessa hyväksyntänsä, sekä sijaintitiedon tarjoamiseksi hätäpuheluita varten, käyttäjän sijainnin ilmoittamiseksi hänen läheisilleen tietyissä hätätilanteissa ja muihin hätätilanteessa avustaviin datapalveluihin.

Paikkatietoja koskeva sääntely lisättiin pykälään 222 (47 U.S.C. 222) vuoden 1999 lailla langattomasta viestinnästä ja yleisestä turvallisuudesta (Wireless Communications and Public Safety Act of 1999, Pub. L. No. 106-081, (1999)). CPNI määritelmään lisättiin sijainti (location) ja puhelun sijaintitiedon käytölle kaupallisiin mobiilipalveluihin asetettiin lisäedellytykseksi asiakkaan antama selkeä etukäteinen valtuutus (express prior authorization), josta poikkeuksena on yllä mainitut sijaintitiedon käyttö hätätilanteissa. Näiden lisäksi Federal Communications Commission (FCC) on antanut määräykset langattomasta hätänumeropalvelusta (Wireless Enhanced 911), joissa vaaditaan kaikkia mobiilioperaattoreita ilmoittamaan hätänumeroon soittajan sijainti hätäpalvelun niin pyytäessä. Lisäksi alalla on itsesääntelyä, esimerkiksi Cellular Telecommunications and Internet Association Nov. 2000 location privacy principles, sekä Wireless Advertising Association Nov. 2000 voluntary guidelines for identifiable data.

Evästeiden käytöstä viestintäverkon kautta on olemassa FTC:n (Federal Trade Commission) tukema itsesääntely (Network Advertising Initiative). Salaisesta evästeiden käytöstä on meneillään myös monia oikeuskäsittelyjä.

Suoramarkkinointi käyttäen sähköisiä viestimiä on suurimmalta osin säännelty kahdessa laissa (Telephone Consumer Protection Act of 1991 (TCPA), Pub. L. No. 102-243, (1991), (47 U.S.C. 227)) sekä Telemarketing and Consumer Fraud Abuse Prevention Act, Pub. L. No. 103-297, (1994), (15 U.S.C. 6101 et seq.). Jälkimmäinen säännöksistä keskittyy puhelimella tapahtuvan suoramarkkinoinnin erityiskysymyksiin ja valtuuttaa FTC:n julkaisemaan erityisiä sääntöjä telemarkkinoinnista (Telemarketing Sales Rule TSR). TSR ei koske yritysten välisiä markkinointipuheluita, eikä pankkien, liittovaltion rahoitusinstituutioiden, tiettyjen puhelinyritysten ja lentoyhtiöiden (common carriers), vakuutusyhtiöiden tai ei-kaupallisten järjestöjen telemarkkinointia, joista on omaa sääntelyä. TCPA rajoittaa automaattisten soittojärjestelmien, keinotekoisten tai ennalta äänitettyjen viestien ja faksin käyttöä ei-toivottujen mainosten lähettämiseen. Puhelimen osalta sovelletaan pääsääntöisesti opt-out järjestelmää ja yrityskohtaista rekisteriä, jolloin kielto on tehtävä jokaiselle suoramarkkinointiyritykselle erikseen. Kansallista opt-out-rekisteriä on ehdotettu. Automaattisten soittojärjestelmien, ennalta äänitettyjen viestien sekä faksien osalta sovelletaan pääsääntöisesti opt-in-järjestelmää.

Suoramarkkinoinnista sähköpostin välityksellä ei ole olemassa liittovaltiotason sääntelyä. FTC ylläpitää erityistä sähköpostijärjestelmää, johon Internetin käyttäjät voivat välittää saamansa mainossähköpostin. Noin 25 jäsenvaltiolla on sääntelyä ei-toivotusta suoramarkkinoinnista. Yksikään jäsenvaltion säännöksistä ei kiellä ei-toivotun suoramarkkinoinnin lähettämistä kokonaan, vaan asettaa tiettyjä rajoitteita sen lähettämistavoille tai vaativat lähettäjiä identifioimaan itsensä ja lähettämänsä sähköpostin luonteen.

Tunnistamistietojen luovutus viranomaisille on suurimmalta osin säännelty sähköisen viestinnän yksityisyyslaissa (The Electronic Communications Privacy Act of 1986 (ECPA), Pub. L. No. 99-508, (1986), (18 U.S.C 2510 et seq, 2710 et seq.), jota muutettiin vuonna 2001 (USA PATRIOT Act of 2001, Pub. L. No. 107-56, (2001)). ECPA käsittelee lainvalvontaviranomaisten pääsyä palveluntarjoajien tallentamaan sähköiseen viestintään. Sähköistä viestintää koskevat tiedot saavat erilaista oikeudellista suojaa riippuen niiden merkityksestä yksityisyyden suojan kannalta. Lainvalvontaviranomaiset saavat joitain tietoja pelkän haasteen perusteella. Tietyt tiedot vaativat erityisen oikeuden määräyksen ja tietyt kotietsintäluvan. Yleisesti ottaen korkeamman yksityisyyden suojan intressin omaavien tietojen saamiseen on tiukemmat edellytykset.

Yhdysvalloissa ei edellytetä tunnistamistietojen tai paikkatietojen tuhoamista, eikä myöskään määrätä yleisestä velvollisuudesta kerätä ja tallentaa tätä tietoa. Yksityiset yritykset voivat tallentaa tai tuhota luomiaan rekistereitä perustuen yksilölliseen arviointiin resursseista, järjestelmän asettamista rajoitteista, turvallisuudesta ja muista liiketoiminnan tarpeista. ECPA sisältää säännökset vain tietojen säilyttämisestä (preservation), josta tulee erottaa tietojen tallentaminen (data retention). Yhdysvalloissa ei ole säännöksiä verkkopalvelun tarjoajien velvollisuudesta kerätä ja tallentaa (retain) yhteystietoja lainvalvontaviranomaisten tarpeisiin. ECPA sallii vain hallituksen määrätä palvelun tarjoajia säilyttämään jo olemassa olevia rekistereitä ja viestintää. Mikäli lainvalvontaviranomaiset haluavat operaattoreiden säilyttävän tietoja tulevasta sähköisestä viestinnästä, heidän täytyy noudattaa televalvontasäännöksiä (18 U.S.C. §§ 2510-2522, Title III of the Omnibus Crime Control and Safe Streets Act of 1968, jota ECPA täydentää, ja Pen Registers and Trap and Trace Devices chapter of Title 18 ("the Pen/Trap statute"), 18 U.S.C. §§ 3121-3127).

2.4. Nykytilan arviointi

Viestintäverkoissa toteutettujen viestintäpalvelujen tai lisäarvopalvelujen käyttäjät eivät ole aina tunteneet riittävästi luottamusta välitettävän viestinnän luottamuksellisuuden ja yksityisyyden suojan säilymiseen. Yksityisyyden suojasta sähköisessä viestinnässä on siten tarpeen antaa nykyistä tarkempia säännöksiä lain tasolla. Teknisen kehityksen myötä käyttäjille tarjotaan yhä monipuolisempia viestintään liittyviä tai sitä hyödyntäviä palveluja, jotka asettavat samalla kuitenkin myös haasteita yksityisyyden suojan toteutumiselle. Lainsäädännöllä voidaan lisätä käyttäjien luottamusta sähköiseen viestintään ja edistää siten uusien tietoyhteiskunnan palvelujen kehittämistä sekä sähköistä kaupankäyntiä ja sähköistä asiointia.

Yksityisyyden suojan ja tietoturvan osalta ei kuitenkaan ole tarkoituksenmukaista säännellä alan toimintaa yksityiskohtaisesti, koska tämä saattaisi tarpeettomasti hidastaa teknistä kehitystä ja palvelujen kehittämistä. Tietyn tasoinen perusturva on kuitenkin syytä säätää lailla. On kaikkien osapuolten etujen mukaista turvata kansalaisille yksityisyyden suojan sellainen perustaso, jonka myötä he välttyvät tekniikan mahdollisesti mukanaan tuomilta haitallisilta lieveilmiöiltä.

Ihmisten vuorovaikutuksen siirtyessä yhä lisääntyvässä määrin tietoverkkojen välityksellä tapahtuvaan viestintään, teleyritykset ovat keskeisessä asemassa käyttäjien kulutustottumuksia ja elämäntapoja koskevan tiedon käytön kannalta. Markkinoinnille käyttäjäprofiilien luominen voisi antaa houkuttelevia mahdollisuuksia, mutta yksityisyyden suojan kannalta näiden tietojen, ilman profiloidun suostumusta tapahtuvaa käyttöä ja luovuttamista, on syytä rajoittaa. Luottamuksellisen viestin suojan ja yksityisyyden turvaamiseksi tarvitaan voimassa olevaa sääntelyä kattavampia ja selkeämpiä säännöksiä siitä, miten sähköiseen viestintään liittyviä tietoja voidaan käsitellä ja luovuttaa. Tämä on edullista myös sääntelyn kohteiden kannalta, koska he tarvitsevat käytäntöä varten yksiselitteiset säännöt esimerkiksi tietojen luovuttamisen osalta.

Luottamuksellisen viestin suojan osalta sananvapauslaissa on omaksuttu lähtökohta, että yleisesti vastaanotettavaksi tarkoitettuun viestiin liittyvät tunnistamistiedot eivät nauti perustuslain luottamuksellisen viestin suojaa. Tätä lähtökohtaa on noudatettu myös tässä lakiesityksessä.

Viestintäalalla on ollut viimeaikoina laskusuhdanne, ja alan yrityksillä on edellisiin vuosiin verrattuna mennyt taloudellisesti varsin heikosti. Teleyritykset ovat lisääntyvässä määrin ulkoistaneet toimintojaan, mikä asettaa myös niiden toimintaa koskevalle sääntelylle muutospaineita. Voimassaolevan lain soveltamisala ei ole täysin kiistattomasti ulottunut niihin tahoihin, jotka ovat tosiasiallisesti hoitaneet aiemmin vain teleyrityksille kuuluvia viestintäpalveluihin liittyviä toimintoja. Sääntelyn tulisi kuitenkin erityisesti luottamuksellisen viestin ja kansalaisten yksityisyyden suojan kannalta olla yhtenäistä riippumatta siitä, onko toimija muodollisesti teleyritys vai ei.

Tätä lakiesitystä koskevista lausunnoista on käynyt selkeästi ilmi, että monet suuretkin alan toimijat eivät ole tunteneet voimassa olevan lain soveltamisalaa, erityisesti siltä osin kuin laki on koskenut viestintää sellaisissa erillisverkoissa, jotka on liitetty yleiseen viestintäverkkoon. Lisäksi voimassaolevan henkilötietolain soveltaminen erityisesti viestintäpalveluja hyödyntävien tahojen keskuudessa tuntuu olleen osin puutteellista.

Evästeiden tai muiden palvelujen käyttöä kuvaavien tietojen käyttäminen on tällä hetkellä täysin sääntelemätöntä. Sähköisen viestinnän tietosuojadirektiivi edellyttää kuitenkin tällaisen sääntelyn voimaansaattamista. Kyseisellä sääntelyllä mahdollistetaan varsin pitkälle sellaisten evästeiden tai muiden vastaavien tietojen käyttäminen, joka helpottaa viestinnän välittämistä tai on välttämätöntä käyttäjän pyytämän palvelun toteuttamiseksi.

Käytännössä on ilmennyt, että teleyrityksillä ei välttämättä ole tallessa kattavia tunnistamistietojen käsittelyä koskevia tietoja siitä, kuka tietoja on käsitellyt, milloin ja mitä tarkoitusta varten. Mahdollisten teleyrityksissä tapahtuvien väärinkäytösten selvittämisen mahdollistamiseksi, olisi tarkoituksenmukaista, että teleyrityksissä tallennettaisiin tunnistamistietojen käsittelyä koskevat tapahtumatiedot. Menettelyllä lisättäisiin myös luottamusta tunnistamistietojen käsittelyn asianmukaisuutta kohtaan.

Televiestinnän tietosuojalain tietoturvasta huolehtimista koskevat velvollisuudet ovat kohdistuneet ainoastaan teleyrityksiin. Muiden tunnistamistietoja käsittelevien tahojen tietoturvasta huolehtiminen on perustunut lähinnä henkilötietolain asettamiin hyvin yleisiin velvoitteisiin. Perustason tietoturvavelvoitteiden ulottamisella koskemaan myös yrityksiä ja yhteisöjä, jotka käsittelevät käyttäjien luottamuksellisia viestejä ja tunnistamistietoja yhteisötilaajien ominaisuudessa, näyttäisi olevan selkeä tarve.

Tietoturvaloukkausten ja tietoturvauhkien torjuminen edellyttää käytännössä erilaisia toimenpiteitä, joilla väistämättä puututaan myös luottamuksellisen viestin ja yksityisyyden suojaan. Tietoturvatehtäviä eri organisaatioissa hoitavilla tulee olla riittävästi liikkumavapautta, jotta he pystyvät hoitamaan tehtävänsä tehokkaasti. Käytännössä tällaisia toimenpiteitä on tähän asti jouduttu toteuttamaan kaikissa organisaatioissa ilman nimenomaisen sääntelyn tukea. Tietoturvasta huolehtimisen vaatimat välttämättömät toimenpiteet tulisi kuitenkin olla sallittu laintasoisilla nimenomaisilla säännöksillä.

Paikkatiedot liittyvät keskeisellä tavalla paikannettavien yksityiselämän suojaan. Tällä hetkellä paikkatietojen käsittelyyn sovelletaan samoja säännöksiä kuin tunnistamistietojen käsittelyyn. Paikkatietojen erityisen luonteen takia niihin perustuvat palvelut kaipaavat uutta erityissääntelyä sekä paikannettavien yksityisyyden suojan varmistamiseksi että näitä palveluja koskevan luottamuksen ja oikeusvarmuuden edistämiseksi.

Sähköinen viestintä on tehokas väline suoramarkkinoinnin toteuttamiseen. Suoramarkkinointi on oikeudellisen sääntelyn kannalta vaikea alue siinä mielessä, että sääntelyn tulisi mahdollistaa taloudellisen kehityksen ja yritysten kannalta välttämätön ja riittävän tehokas markkinointi, ottaen kuitenkin huomioon markkinoinnin kohteiden yksityisyyden suojaa koskevat näkökohdat. Näiden intressien välillä tulisi löytää sovelias tasapaino. Suoramarkkinoinnin sääntelyssä tulisi sallia myös tietynlainen asiakassuhteisiin kiinteästi liittyvä viestintä kategorisoimatta sitä ilman muuta markkinoinniksi. Oman ongelmansa muodostaa ei-toivottu suoramarkkinointi, jonka sääntely ja rajoittaminen olisi toivottavaa sekä asianmukaista suoramarkkinointia harjoittavien yritysten että markkinoinnin vastaanottajien kannalta. Suoramarkkinoinnin vastaanottamisen selkeämmälle ja kattavammalle sääntelylle näyttäisi olevan tarvetta.

Käytännössä on ilmennyt tilanteita, joissa käyttäjä olisi halunnut saada teleyritykseltä käyttämäänsä liittymää koskevia sijainnin ilmaisevia tunnistamistietoja, esimerkiksi voidakseen osoittaa olleensa jossain tietyssä paikassa tietyllä hetkellä. Teleyritykset eivät ole kuitenkaan katsoneet voivansa luovuttaa kyseisiä tietoja käyttäjälle tarvittavan oikeudellisen sääntelyn puuttuessa. Käyttäjän erityistä tiedonsaantioikeutta koskevalle sääntelylle näyttäisi siten olevan tarvetta.

Televiestinnän tietosuojalaissa nimenomaisesti määritelty tietosuojavaltuutetun ja Viestintäviraston välinen työnjako on ollut tarkoituksenmukainen, mutta muun muassa evästeitä ja paikkatietoja koskevan uuden sääntelyn takia valvontaviranomaisten tehtäviä on syytä täsmentää ja määritellä uudelleen. Koska paikkatiedot liittyvät luonteeltaan yksityisyyden suojaan, niiden käsittelyn valvonta kuuluu luontevasti tietosuojavaltuutetulle. Evästeitä koskevan sääntelyn valvonta puolestaan kuuluu teknisen ja viestintään liittyvän luonteensa vuoksi Viestintävirastolle.

Jos joku rikkoo televiestinnän tietosuojalakia tai sen nojalla annettuja säännöksiä tai määräyksiä, Viestintävirasto voi voimassa olevan lain mukaan velvoittaa hänet korjaamaan virheensä tai laiminlyöntinsä. Viestintävirasto voi asettaa velvoitteen noudattamisen tehosteeksi uhkasakon tai uhan, että toiminta keskeytetään osaksi tai kokonaan tai että tekemättä jätetty toimenpide teetetään asianomaisen kustannuksella. Myös tietosuojavaltuutetun valvontatehtävän hoitamisessa olisi tarvetta vastaavien hallintopakkokeinojen käyttömahdollisuudelle. Lisäksi voimassa olevan lain viranomaisten tiedonsaantioikeuksia ja tietojen käsittelyn edellytyksiä koskeva sääntely kaipaa tiettyjä tarkennuksia.

3.1. Tavoitteet ja keinot niiden saavuttamiseksi

Esityksessä ehdotetaan säädettäväksi sähköisen viestinnän tietosuojalaki. Ehdotetulla lailla kumotaan televiestinnän tietosuojalaki ja sen nojalla annetut asetukset ja pannaan täytäntöön sähköisen viestinnän tietosuojadirektiivi sekä rahoituspalvelujen etämyyntidirektiivin 10 artikla. Samalla ehdotetaan tehtäväksi tiettyjä teknisiä muutoksia eräisiin muihin lakeihin. Ehdotetut lait on tarkoitettu tulemaan voimaan mahdollisimman pian sen jälkeen, kun ne on hyväksytty ja vahvistettu.

Ehdotetun lain tarkoituksena on turvata perustuslaissa säädettyjen luottamuksellisen viestin ja yksityisyyden suojan toteutuminen sähköisessä viestinnässä sekä edistää sähköisen viestinnän tietoturvaa ja monipuolisten sähköisen viestinnän palvelujen tasapainoista kehittymistä.

Tavoitteena on, että sähköisen viestinnän tietosuojalailla toteutetaan yksityiselämän suojan sääntelyn kokonaistarkistus sähköisessä viestinnässä siten, että nykyinen sääntely säilytetään siltä osin kuin sen muuttamiseen ei ole erityistä syytä, muutetaan sääntely vastaamaan edellä mainittujen sähköisen viestinnän tietosuojadirektiivin ja rahoituspalvelujen etämyyntidirektiivin vaatimuksia sekä toteutetaan eräitä kansallisista tarpeista nousevia uudistuksia.

Tavoitteet pyritään toteuttamaan esityksessä ehdotetuilla sääntelyn muutoksilla ja varmistamalla Viestintäviraston mahdollisuudet tukea myönteistä kansallista tietoyhteiskuntakehitystä ja toimia kansallisena tietoturvaviranomaisena. Vastaavasti pyritään varmistamaan tietosuojavaltuutetulle riittävät toimintaedellytykset.

3.2. Keskeiset ehdotukset

Yksi lakiesityksen tärkeimmistä käsitteistä on viesti. Viestin määritelmä sisältää selkeästi myös viestintäverkossa vapaasti valikoituville vastaanottajille välitettävät sanomat, mikä tarkoittaa muun muassa verkkoselailusta kertyvien tunnistamistietojen kuulumista lain soveltamisalaan, jos nämä tiedot voidaan yhdistää tilaajaan tai käyttäjään.

Tunnistamistiedot ehdotetaan säädettäviksi luottamuksellisiksi, jos viestiä ei ole saatettu yleisesti vastaanotettavaksi. Tunnistamistietojen käsittelyoikeudesta eri käyttötarkoituksissa ehdotetaan säädettäväksi televiestinnän tietosuojalakia vastaavasti niin, että käsittelyoikeuksia tarkennetaan ja teleyrityksille asetetaan uusi lailla säädetty velvollisuus säilyttää tunnistamistietojen käsittelystä yksityiskohtaiset tapahtumatiedot. Voimassa olevan televiestinnän tietosuojalain tunnistamistietojen käsittelyä koskevista säännöksistä, väärinkäytösten ehkäisemistä ja tutkintaa koskevan sääntelyn tulkinnasta on käytännössä ilmennyt epäselvyyttä. Kyseistä sääntelyä pyritään selkeyttämään tällä lakiesityksellä muuttamatta kuitenkaan sääntelyn sisältöä.

Kuten nyt kumottavaksi esitettyä televiestinnän tietosuojalakia, myös ehdotettua lakia sovelletaan yritysten ja yhteisöjen sisäisiin viestintäverkkoihin, jos nämä verkot on liitetty yleiseen viestintäverkkoon. Yhteisötilaajalla tarkoitetaan viestintäpalvelun tai lisäarvopalvelun tilaajana olevaa yhteisöä, joka käsittelee viestintäverkossaan käyttäjien luottamuksellisia viestejä, tunnistamistietoja tai paikkatietoja. Luottamuksellisen viestin ja yksityisyyden suojan turvaamiseksi viestintäpalveluja käytettäessä on välttämätöntä määritellä tunnistamistietojen käsittelyoikeuksien sekä käsittelyvelvollisuuksien kohteiksi myös viestinnän osapuolten kannalta sivullinen yhteisötilaaja. Yhteisötilaajan aseman täsmentämisellä ei vähennetä oikeushenkilöille viestinnän osapuolina kuuluvia oikeuksia.

Yksityisyyden suojasta työelämässä annetussa laissa säädetään muun muassa menettelytavoista teknisen valvonnan ja tietoverkon käytön järjestämisessä. Esityksessä ehdotetaan, että työnantajan ja työntekijän välisessä suhteessa sovelletaan lisäksi yksityisyyden suojasta työelämässä annettua lakia.

Esityksen mukaan sähköisen viestinnän tietosuojalakia ei sovelleta viranomaistoimintaan viestintämarkkinalain tarkoittamassa viranomaisverkossa tai muussa yleiseen järjestykseen ja turvallisuuteen, maanpuolustukseen, pelastustehtäviin, väestönsuojeluun tai maaliikenteen, meriliikenteen, raideliikenteen taikka ilmaliikenteen turvallisuuteen liittyvien tarpeiden vuoksi rakennetussa viestintäverkossa.

Esityksessä ehdotetaan uusia säännöksiä viestintäverkkojen avulla toteutetusta evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentamisesta käyttäjän päätelaitteelle ja näiden tietojen käytöstä. Ehdotettuja evästeitä tai muita palvelun käyttöä kuvaavia tietoja koskevia säännöksiä sovelletaan myös tietoyhteiskunnan palvelun tarjoajiin.

Esityksessä ehdotetaan säännöksiä siitä, millä edellytyksillä teleyritys tai lisäarvopalvelun tarjoaja tai yhteisötilaaja saavat käsitellä paikkatietoja. Samalla ehdotetaan, että paikkatietojen käsittelyn kieltämisestä ja palvelukohtaisesta suostumuksesta päättää alle 15-vuotiaan puolesta hänen huoltajansa lapsen huollosta ja tapaamisoikeudesta annetun lain (361/1983) 4 §:n mukaisesti tai muun kuin alaikäisen vajaavaltaisen puolesta hänen edunvalvojansa siten kuin holhoustoimesta annetussa laissa (442/1999) säädetään, jollei tämä ole palvelun teknisen toteutuksen takia mahdotonta. Ehdotettu 15-vuoden ikäraja vastaa rikosoikeudellisen vastuun alaikärajaa ja ikärajaa, jonka jälkeen henkilö itse voi määrätä omalla työllään ansaitsemistaan varoista.

Tietoturvaloukkausten torjumiseksi ja tietoturvaan kohdistuvien häiriöiden poistamiseksi teleyrityksellä, lisäarvopalvelun tarjoajalla tai yhteisötilaajalla sekä näiden lukuun toimivalla, on esityksen mukaan oikeus ryhtyä välttämättömiin toimiin tietoturvan varmistamiseksi estämällä sähköpostiviestien, tekstiviestien ja muiden vastaavien viestien vastaanottaminen, poistamalla haittaohjelmat viesteistä sekä toteuttamalla muut välttämättömät toimenpiteet. Toimenpiteet on toteutettava huolellisesti ja luottamuksellisen viestin ja yksityisyyden suojaa tarpeettomasti vaarantamatta. Samalla ehdotetaan, että Viestintäviraston vuonna 1999 antaman tietoturvamääräyksen velvoitteet sisällytetään lakiin.

Teleyrityksen olisi esityksen mukaan annettava käyttäjän sitä pyytäessä, täydellinen laskun yhteyskohtainen erittely.

Esityksessä ehdotetaan täsmennettäväksi useita suoramarkkinointia koskevia säännöksiä. Samalla ehdotetaan, että käyttäjän suostumuksella teleyrityksellä ja yhteisötilaajalla on oikeus estää ei-toivotun suoramarkkinoinnin vastaanottaminen.

Esityksellä pyritään täsmentämään viranomaisten tiedonsaantioikeuksia ja saatujen tietojen käsittelyn edellytyksiä.

Esityksessä ehdotetaan käyttäjälle erityistä tiedonsaantioikeutta, joka koskee käyttäjän liittymän tai päätelaitteen sijainnin ilmaisevia tunnistamistietoja.

Ilmoituksenvaraista tai toimiluvanvaraista toimintaa harjoittava teleyritys on esityksen mukaan velvollinen suorittamaan Viestintävirastolle vuotuisen tietoturvamaksun.

Esityksessä ehdotetaan, että tietoyhteiskunnan palvelun tarjoaja voisi käsitellä teleyrityksen hallinnoiman viestintäverkon välityksellä tarjottavien kuvatallenteiden, äänitallenteiden ja muiden maksullisten palvelujensa laskutusta varten välttämättömiä tunnistamistietoja ja muita laskutuksen kannalta välttämättömiä tietoja, jos tilaaja tai käyttäjä, jota tiedot koskevat, on antanut siihen suostumuksensa. Ehdotetun säännöksen mukaan tietoyhteiskunnan palvelun tarjoajalla on oikeus saada teleyritykseltä edellä tarkoitetut tiedot. Tietojen käsittelyyn sovellettaisiin lisäarvopalveluntarjoajaa koskevia säännöksiä.

Viestintämarkkinalakiin tehtävällä muutoksella rajoitetaan teleyrityksen velvollisuutta ilmoittaa Viestintävirastolle vikatilanteista ja häiriötilanteista siten, että velvollisuus kohdistuisi ainoastaan merkittäviin vikoihin ja häiriöihin.

Poliisilain tiedonsaantia koskevaa pykälää ehdotetaan täydennettäväksi siten, että salaisten puhelinnumeroiden lisäksi poliisi saisi teleyrityksiltä ja yhteisötilaajilta telepäätelaitteiden tai liittymien yksilöivät tiedot, jos näitä tietoja yksittäistapauksissa tarvittaisiin poliisille kuuluvien tehtävien suorittamiseksi. Käytännön ongelmaksi on muodostunut se, että niin sanottujen dynaamisten eli yhteyskohtaisesti muodostettavien IP-osoitteiden tai niiden haltijoiden yhteystietoja ei poliisi ole teleyrityksiltä saanut, vaikka niin sanottujen staattisten eli pysyvien IP-osoitteiden haltijatiedot on poliisi voinut yksittäistapauksissa saada. Kuitenkin, riippumatta IP-osoitteen tyypistä, voidaan todeta, että kyse on samanlaisesta liittymän tai telepäätelaitteen haltijan yhteystiedosta kuin salaisen puhelinnumeron haltijan yhteystieto. Tällöin lainsäädännön olisi vastattava teknisen kehityksen mukanaan tuomaa tilaa ja näitä liittymien ja telepäätelaitteiden yhteystietoja olisi voitava käsitellä samojen säännösten mukaisesti samalla tavoin.

Esityksessä ehdotetaan tehtäväksi ehdotetun lain nimen mukaiset säädöstekniset muutokset rikoslakiin, viestintämarkkinalakiin, hätäkeskuslakiin, viestintähallinnosta annettuun lakiin, meripelastuslakiin ja henkilötietojen käsittelystä poliisitoimessa annettuun lakiin.

Hallituksen esitykseen (HE 54/2002 vp) laiksi sananvapauden käyttämisestä joukkoviestinnässä ja eräiksi siihen liittyviksi laeiksi antamassaan mietinnössä (PeVM 14/2002 vp) eduskunnan perustuslakivaliokunta katsoi, että esityksen 7 §:ään sisältyvä verkkoviestin tunnistamistietojen tallentamisvelvollisuus olisi ollut hyvin laaja. Sääntely olisi kohdistunut monenlaisten laitteiden ylläpitäjiin, minkä lisäksi se olisi edellyttänyt käytännössä kaikkea laitteen avulla harjoitettua viestiliikennettä koskevien tunnistamistietojen tallentamista. Näistä syistä ehdotettuun sääntelyyn liittyi riskejä henkilötietojen suojan kannalta. Laaja tallentamisvelvollisuus edellyttäisi laitteen ylläpitäjältä merkittäviä voimavaroja, mikä voisi muodostua ongelmalliseksi esimerkiksi yksityisille henkilöille ja kansalaisjärjestöille. Valiokunta lausui mietinnössään, että sääntely tunnistamistietojen tallentamisvelvollisuudesta on tarkoituksenmukaisinta toteuttaa yhtäläisin perustein sähköisen viestinnän tietosuojasta annettavalla lainsäädännöllä.

Tämän esityksen valmistelun yhteydessä on arvioitu verkkoviestin tunnistamistietojen tallentamisvelvollisuuden toteuttamista. Sananvapauden käyttämisestä joukkoviestinnässä koskeneen hallituksen esityksen mukaan tunnistamistiedoista olisi tallennettava ainakin se edellinen osoite, josta verkkoviesti on laitteelle tullut. Koska palvelimen ylläpitäjän on käytännössä mahdotonta erotella yleisön saataville toimitettavat verkkoviestit ja muut viestit, hallituksen esityksessä olikin lähdetty siitä, että tällöin olisi myös muut tunnistamistiedot tallennettava. Valmistelussa päädyttiin siihen, että tallennettavan tiedon määrä suhteessa sen hyödynnettävyyteen ei ole tarkoituksenmukainen, koska käytännössä vain pieni osa kaikista tallennettavista tiedoista sisältää esimerkiksi haitallista tai rikollista materiaalia. Myös viimeisen verkkoviestin tunnistamistiedon informatiivinen merkitys voidaan vaivatta ohittaa käyttämällä yleisessä käytössä olevia päätelaitteita tai niin sanottuja anonyymeja sähköpostiosoitteita. Lisäksi erityisen uhkan yksityiselämän suojalle muodostaa se, ettei sananvapauslakiesitys sisältänyt nimenomaisia tietoturvavelvoitteita, vaikka tunnistamistietoja olisivat esityksen mukaan tallentaneet hyvin moninaiset tahot. Esityksen valmistelun aikana ei kyetty löytämään tarkoituksen kannalta tehokasta, yksityiselämän suojan kannalta tasapainoista ja riittävän tietoturvan luomisen kannalta kustannuksiltaan kohtuullista tapaa toteuttaa aiottu tallentaminen. On kuitenkin huomattava, että poliisille ehdotettu oikeus saada tieto myös dynaamisista IP-osoitteista on välttämätön jo nyt sananvapauden käyttämisestä joukkoviestinnässä annetun lain 17 §:ään sisältyvän verkkoviestin tunnistamistietojen luovuttamisen toteuttamiseksi käytännössä.

4.1. Vaikutukset valtiontalouteen sekä yritysten asemaan ja talouteen

Ehdotus pitää sisällään kokonaan uuden lain, mutta kokonaisuutena kyse on voimassa olevan lainsäädännön päivittämisestä vastaamaan uuden sähköisen viestinnän tietosuojadirektiivin säännöksiä ja muuttunutta sähköisen viestinnän toimintaympäristöä. Voimassa olevan sääntelyn pääperiaatteet siirtyvät sellaisinaan sähköisen viestinnän tietosuojalakiin.

Keskeisin muutos on konvergenssin myötä tapahtunut teknologian rajojen osittainen häipyminen, täsmälleen samojen palvelujen välittäminen erilaisissa viestintäverkoissa ja tämän kehityksen vaatima sääntelyn teknologianeutraalisuus. Televiestintä on laajentunut sähköiseksi viestinnäksi, ja tietosuojasäännösten sekä tietoturvasäännösten on mukauduttava tähän kehitykseen suojaamalla palvelujen tilaajia ja käyttäjiä myös uusissa tilanteissa ja ympäristöissä. Kysymys on pitkälti uusien ja erilaisten palvelujen saattamisesta yhtäläiseen oikeudelliseen asemaan jo voimassa olevan lainsäädännön kattamien verkkojen ja palvelujen kanssa. Esityksen vaikutukset valtiontalouteen eivät merkittävästi muutu siitä, mitä niiden jo televiestinnän tietosuojalakia säädettäessä arvioitiin olevan. Tietoturvamaksu on valtiosääntöoikeudellisesti veronluonteinen ja kertymältään vuonna 2004 se olisi noin 540 000 euroa. Esityksellä ei katsota olevan muita merkittäviä välittömiä vaikutuksia valtion talousarvioon. Tiedonsaantioikeuksien laajentamista koskevalla poliisilain muutoksella ei arvioida olevan merkittäviä valtiontaloudellisia vaikutuksia.

Sähköisen viestinnän toimintakentän suuruudesta ja tämän toiminnan taloudellisesta merkittävyydestä kertoo se, että perinteistä teletoimintaa harjoittavien teleyritysten kokonaisliikevaihto vuonna 2001 oli 4 691,2 miljoonaa euroa. Tämän lakiesityksen soveltamisalan ulkopuolelle jäävän sähköisen joukkoviestinnän osuus edellä mainitusta kokonaisliikevaihdosta oli vuonna 2001 19,4 prosenttia.

Yhdessä muun muassa sähköisestä asioinnista viranomaistoiminnassa, sananvapauden käyttämisestä joukkoviestinnässä ja sähköisistä allekirjoituksista annetun lain kanssa tämä lakiesitys pyrkii parantamaan käyttäjien luottamusta sähköiseen viestintään, sähköiseen kaupankäyntiin ja sähköiseen asiointiin selkeyttämällä sähköisen viestinnän tietosuojan ja tietoturvan toteuttamista koskevia oikeuksia ja velvollisuuksia. Toteutuessaan sähköisen viestinnän tietosuojalaki luo paremmat edellytykset, ei pelkästään sähköisen viestinnän palvelujen käyttöönotolle, vaan myös sähköiselle kaupankäynnille ja asioinnille. Ehdotuksen arvioidaan edistävän sekä hallinnon sähköisten asiointipalvelujen että myös verkkoliiketoimintasektorin kasvua lisäämällä luottamusta viestintäverkkojen toimintaan. Ehdotuksen välilliset myönteiset taloudelliset vaikutukset ovat siten huomattavat sekä valtiontalouden että yritysten kannalta.

Asettamalla säännöt paikkatietojen käsittelylle, selkeytetään näitä tietoja hyödyntävien palvelujen tarjoamismahdollisuuksia ja edistetään uusien monipuolisten palvelujen tuottamista. Tämä parantaa alan toimijoiden toimintaedellytyksiä ja madaltaa kynnystä erityisesti uusien paikkatietoja hyödyntävien palvelujen käyttöönottamiseen vähentämällä epävarmuutta paikkatietojen käyttämisestä.

Lain soveltamisalan laajeneminen koskemaan myös lisäarvopalvelun tarjoajia tuo näitä palveluja tarjoaville yrityksille lisäkustannuksia. Laissa käytetty lisäarvopalvelun määritelmä on kuitenkin varsin suppea ja näille tahoille aiheutuvien kustannusten arvioiminen on vaikeaa kyseisten palvelujen ollessa vasta kehittymisvaiheessa. Kysymys on tällä hetkellä pääasiassa paikkatietoihin perustuvista palveluista.

Lakiesitys luo paremmat edellytykset palvelujen käyttöönoton yleistymisen kannalta olennaisen käyttäjien luottamuksen saavuttamiseksi. Perustason tietoturvavelvoitteiden ulottaminen koskemaan myös tässä lakiesityksessä tarkoitettuja lisäarvopalvelun tarjoajia ja yhteisötilaajia, ei aiheuta näille tahoille olennaisia kustannuksia, mikäli ne ovat jo tähän mennessä huolehtineet tietoturvastaan kohtuullisella tavalla. Sääntely mahdollistaa myös entistä selkeämmin erilaisten tietoturvaloukkausten ja häiriöiden torjumiseksi tarvittaviin toimenpiteisiin ryhtymisen, mikä lisää osaltaan palveluja kohtaan tunnettavaa luottamusta.

Tietoturvaa parannetaan myös teleyrityksen ja lisäarvopalvelun tarjoajan vastuun selkeällä määrittämisellä koskemaan myös sellaisen kolmannen osapuolen tietoturvaa, jonka avulla se kokonaan tai osittain toteuttaa palvelunsa. Sääntely osoittaa selkeämmin, että itse vastuuta ei voida ulkoistaa. Yritykset hyötyvät epäsuorasti myös lakiesityksen verkkopalvelujen ja viestintäpalvelujen tietoturvaa edistävästä vaikutuksesta mahdollisuutena käyttää näitä entistä tietoturvallisempia palveluja sähköisen kaupankäyntiin ja hallinnon sähköiseen asiointiin.

Tietoturvamaksua peritään ehdotuksen mukaan niiltä teleyrityksiltä, jotka harjoittavat toimiluvanvaraista tai ilmoituksenvaraista teletoimintaa. Maksuvelvollisuus ei koske lainkaan sellaisia vähäisen yleisen teletoiminnan harjoittajia, joiden ei tarvitse tehdä ilmoitusta. Ehdotetun sääntelyn mukainen maksurasite jakautuisi toimialan yritysten kesken tasapuolisesti, ja siinä otettaisiin huomioon myös erisuuruisten yritysten Viestintäviraston toiminnalle asettamat vaatimukset. Liikevaihdoltaan merkittävillä yrityksillä on tyypillisesti useampia toimintoja ja tällaiset yritykset harjoittavat toimintaa laajemmilla maantieteellisillä markkinoilla Suomessa kuin pienyritykset. Näiden yritysten toiminta asettaa näin ollen Viestintäviraston toiminnalle suurempia vaatimuksia kuin pienyritysten toiminta, mikä heijastuu maksurasitteen nousemisena liikevaihdon suhteessa. Nämä kokonaiskustannukset on tarkoitus kattaa tähän esitykseen sisältyvällä tietoturvamaksulla. Teleyrityksiin kohdistuva maksurasitus säilyisi suunnilleen nykyisen suuruisena. Ehdotettu tietoturvamaksu vastaa jo teletoiminnan tietosuojalakiin sisältyvää maksua. Tietoturvamaksujen kokonaiskertymä vuonna 2004 olisi noin 540 000 euroa.

Suoramarkkinoinnin sääntelyn käytännössä toimiviksi koettuja pääsääntöjä ei ehdoteta muutettavaksi. Ilman lähettäjän yksilöintitietoja tai ilman kyseisen viestinnän kieltämisen mahdollistavaa osoitetta olevien viestien luonnolliselle henkilölle lähettämisen kieltäminen ei aiheuta merkittäviä muutoksia käytäntöihin asianmukaista suoramarkkinointia harjoittavien yritysten keskuudessa, joten merkittäviä kustannuksia tästäkään sääntelystä ei aiheudu.

Ehdotetun tunnistamistietojen käsittelyä koskevien tapahtumatietojen tallentamisvelvollisuuden toteuttamisesta aiheutuu jonkin verran lisäkustannuksia teleyrityksille, vaikkakin ehdotetun sääntelyn mukaiset tiedot tallentuvat jo tällä hetkellä useimpiin tietojärjestelmiin. Kyseisellä sääntelyllä on merkitystä selvitettäessä teleyrityksiin kohdistuvia väärinkäytösepäilyjä, mutta sillä voidaan arvioida olevan myös teleyritysten toimintaa kohtaa tunnettavan luottamuksen kannalta myönteisiä vaikutuksia.

4.2. Organisaatiovaikutukset ja henkilöstövaikutukset

Ehdotetun lain merkitys viestintäpalveluita kohtaan tunnetun luottamuksen parantumiselle arvioidaan olevan suuri. Riittävä luottamus palveluita kohtaan on välttämätöntä, jotta toimintaa tehostavia sähköisiä asiointipalveluja voidaan ottaa täysimääräisesti käyttöön yksityisellä sektorilla ja julkishallinnossa. Eri palvelumuotojen ajallisen päällekkäisyyden minimoimisen lisäksi erityistä huomiota tulee kiinnittää henkilöstövoimavarojen oikeaan kohdentamiseen, laadulliseen mitoittamiseen ja henkilöstön osaamisen kehittämiseen. Sähköisen asioinnin laajentumisella on henkilöstövoimavarojen kasvua hillitsevää vaikutusta ja samalla se edistää organisaatioiden kykyä varautua ennakollisesti henkilöstövoimavaroihin kohdistuviin muutostarpeisiin. Koska muun muassa esityksessä tarkoitetut lisäarvopalvelut ovat vasta kehittymisvaiheessa, täsmällisten henkilöstövaikutusten arviointi on mahdotonta.

Suurimpien lisähenkilöstötarpeiden arvioidaan kohdistuvan Viestintävirastoon ja tietosuojavaltuutetun toimistoon. Kuitenkin näiden viranomaisten henkilöstövoimavarojen määrän tarkistamiseen tulee ottaa kantaa kehysprosessin ja asianomaisen talousarvioesityksen käsittelyn yhteydessä, mikäli asianomaisilla toimintamenomomenteilla ilmoitetaan henkilöstölisäyksiä tai esitetään muutoksia henkilöstömenoihin.

Muita välittömiä henkilöstövaikutuksia ehdotuksella ei arvioida olevan. Lisätessään sähköisten viestintäpalvelujen käyttöä ja edistäessään niin verkkoliiketoimintaa kuin hallinnon sähköistä asiointiakin laki tulee kuitenkin todennäköisesti ajan myötä välillisesti vaikuttamaan työllisyyteen kahdella tavalla. Ensinnäkin ehdotus parantaa toteutuessaan sähköiseen viestintään liittyvän ja sitä hyödyntävän yritystoiminnan tuottavuutta ja mahdollisuuksia sekä lisää monipuolisten palvelujen tarjontaa vaikuttaen siten välillisesti myös työllistämiseen alalla. Toiseksi viestintäpalvelujen käytön, verkkoliiketoiminnan ja sähköisen asioinnin kasvu tulee muuttamaan asiakaspalveluhenkilöstön ja toimistohenkilöstön tarvetta ja tehtäviä. Keskeisin muutos kohdistuu toimenkuvan vaihtumiseen perinteisistä asiakaspalvelutehtävistä sähköistä kaupankäyntiä ja sähköistä asiointia tukeviin tehtäviin. Sähköisen viestinnän ja asioinnin lisääntyminen saattaa siten joillain muilla aloilla hillitä henkilöstötarpeen kasvua. Tämä saattaa aiheuttaa sekä työttömyyttä että pätevän henkilökunnan puutettakin, mikäli asiaan ei riittävästi kiinnitetä huomiota jo ennakolta. Kyseinen muutos ei kuitenkaan johdu suoraan tai pelkästään kyseisestä ehdotuksesta, vaan toimintaympäristön muuttumisesta ja sen asettamista tarpeista, joihin myös tällä ehdotuksella pyritään reagoimaan.

Rakennemuutoksen työllisyysvaikutukset on kuitenkin syytä huomioida. Resurssien siirtämisellä perinteisemmistä asiakaspalvelutehtävistä uusiin tehtäviin sekä henkilöstön kouluttamisella on mahdollista hallita mahdollisia negatiivisia työllisyysvaikutuksia. Nämä työllisyysvaikutukset eivät tapahdu kerralla, vaan työvoiman tarpeen mahdollinen väheneminen joillain aloilla ja toisaalta tiettyjen uusien tehtävävaatimusten mukaisen henkilöstön tarpeen kasvu tapahtuu pitkän aikavälin kuluessa.

4.3. Vaikutukset kansalaisten asemaan

Ehdotetulla sääntelyllä pyritään varmistamaan, että viestintäpalvelujen ja lisäarvopalvelujen käyttäjien yksityisyyden suojaan liittyvät oikeudet eivät vaarannu sähköisessä viestinnässä. Tietoturvan kehittyessä ja tietosuojaan liittyvien oikeuksien ja velvollisuuksien selkiytyessä sähköisen viestinnän palvelujen käyttäjien asemaan tulee lisää varmuutta ja ennakoitavuutta. Palveluja kohtaan tunnettavan luottamuksen kasvun myötä palvelujen käyttäminen tulee houkuttelevammaksi ja palvelujen käytön lisääntymisen myötä palvelujen laatu paranee ja kansalaisten valinnan mahdollisuudet lisääntyvät.

Kansalaiset saavat sähköisen viestinnän palvelujen kehittymisen ja lisääntymisen kautta uusia välineitä lisääntyvien kulutusmahdollisuuksien ja toimintamahdollisuuksiensa hallintaan. Muun muassa sähköisesti välitetyn suoramarkkinoinnin vastaanottaminen hallitusti ja kohdistetusti, mutta kuluttajan niin halutessa aikaisempaa monipuolisempana, tulee paremmin mahdolliseksi. Palvelujen käyttäjän on entistä helpommin mahdollista kilpailuttaa eri palvelujen tarjoajia, mikä tulee pidemmän päälle kehittämään palvelujen laatua. Kuluttajan asema tulee tätä kautta paranemaan ja käytännössä yritykset ja tietoyhteiskunnan palvelujen tarjoajat joutuvat ottamaan kuluttajan tarpeita ja toiveita yhä useammin ja monipuolisemmin huomioon.

4.4. Ympäristövaikutukset

Esityksen paikkatietojen käsittelyä koskevat säännökset mahdollistavat erilaisten paikkatietoihin perustuvien palvelujen tarjoamisen. Esimerkiksi kuljetusyritykset voivat näiden lisäarvopalvelujen avulla määritellä entistä tarkemmin kuljetuksen sijainnin tietyllä hetkellä sekä järkiperäistää ja tehostaa tällä tavoin toimintojaan. Paikkatietoja koskevilla ehdotuksilla saattaa olla välillisiä positiivisia ympäristövaikutuksia esimerkiksi kuljetusliiketoiminnan tehostumisen ja polttoaineen kulutuksen vähenemisen kautta.

Esitys lisää viestintäpalvelujen ja tietoyhteiskunnan palvelujen käyttöä sekä edistää erilaisten sähköisten palvelujen kehittämistä. Näiden välineiden avulla on mahdollista toteuttaa ympäristöystävällisemmin monia sellaisia toimintoja, jotka nykyisin kuormittavat tarpeettomasti ympäristöä. Esityksellä saattaa olla esimerkiksi paperin käyttöä vähentäviä vaikutuksia, mikä voi olla pidemmän päälle positiivista ympäristön kannalta.

4.5. Tietoyhteiskuntavaikutukset

Sähköisten viestintäverkkojen kautta tuotetaan ja kulutetaan valtaosa tietoyhteiskunnan palveluista. Lakiehdotuksella pyritään luomaan sähköisen viestinnän yleiset tietosuoja- ja tietoturvakäytännöt sellaisiksi, että käyttäjät voisivat ottaa luottavaisin mielin käyttöön uusia viestintämuotoja ja asioida niiden avulla viestintäverkoissa. Lakiehdotuksella lisätään palvelujen käyttäjien luottamusta sähköisen viestinnän tietoturvaa ja yksityisyyden suojaa koskevan sääntelyn avulla. Luottamuksella tarkoitetaan luottamusta siihen, että sähköisessä viestinnässä tapahtuva tiedon hallinta ja välitys toimivat niin kuin niiden oletetaankin toimivan. Luottamus madaltaa kynnystä uusien palvelujen käyttöönottamiseen vähentämällä epävarmuutta yksityisyyden suojan toteutumisesta. Lakiehdotuksen voidaan arvioida lisäävän ja edistävän sekä sähköiseen viestintään liittyvien palvelujen tarjontaa että käyttöä. Ehdotuksen arvioidaan edistävän luottamuksen kasvun myötä myös verkkoliiketoiminnan kasvua. Käyttäjien luottamuksen kasvun myötä myös julkisen hallinnon voi olla mahdollista uudistaa palveluprosessejaan viestintäpalveluja ja tietoyhteiskunnan palveluja hyväksi käyttäen.

Tietoyhteiskunnan tarjoamilla välineillä, esimerkiksi viestintätekniikalla, on kilpailukykyä ja tuottavuutta ylläpitävänä voimana keskeinen rooli yhteiskunnan eri alueilla. Sähköisen viestinnän toimiala on kehitysvaiheessa, jossa sitä ohjaavat kasvavassa määrin yleinen kilpailunormisto ja kuluttajansuojanormisto. Samaan aikaan tietoyhteiskunnan uusien palvelujen alueella tarvitaan kuitenkin myös uutta sääntelyä, joilla luodaan yhtenäisiä menettelytapoja ja edistetään palvelujen leviämistä suojaten samalla palvelujen käyttäjille kuuluvien oikeuksien toteutumista. Viestinnän toimialojen lähentyminen heijastuu lakiehdotukseen siten, että kaikkiin sähköisiin viestintäverkkoihin sovelletaan samoja sääntöjä. Tällä varmistetaan yritysten tasapuoliset kilpailuolosuhteet markkinoilla.

Lakiehdotuksella pyritään luomaan hyvä toimintaympäristö myös tietoyhteiskunnan palvelujen tarjonnalle. Tietoyhteiskunnassa yhä enemmän sisältöjä sekä palveluja tarjotaan ja käytetään avoimien tietoverkkojen välityksellä. Kasvavassa määrin tietoverkkoihin on syntymässä sisältöjä, joita ei ole saatavissa muulla tavoin, ja jotka on jo alun perin suunniteltu tietoverkoissa käytettäviksi. Avointen tietoverkkojen ominaispiirteisiin liittyvän turvattomuuden vuoksi yhä keskeisemmäksi kysymykseksi nousee turvallisen viestintäympäristön luominen. Lakiehdotuksen tietoturvaa koskevilla säännöksillä edistetään tämän verkkoympäristön turvallisuutta.

Teknologian hyväksikäytön merkitys on keskeinen tuottavuuden kasvattamisessa sekä kilpailukyvyn ja tätä kautta hyvinvoinnin lisäämisessä. Lakiehdotus edistää osaltaan kilpailukyvyn ja tuottavuuden ylläpitämisessä tärkeän uuden viestintäteknologian ja viestintäpalvelujen leviämistä nykyisiltä soveltamisalueilta laajemmin koko yhteiskuntaan. Luomalla myös yksityisyyden suojan kannalta selkeät pelisäännöt viestintäpalvelujen ja tietoyhteiskunnan palvelujen toteuttamiselle, saadaan aikaan ennakoitavuutta ja selkeyttä palvelujen toteuttamiseen. Tätä kautta parannetaan ja helpotetaan viestintämarkkinoilla toimivien yritysten toimintaedellytyksiä, mikä edistää markkinoiden kehittymistä.

Nopea teknologinen kehitys ja verkottuneiden tietoteknisten välineiden laaja levinneisyys on kuitenkin tuonut mukanaan myös uusia riskejä ja mahdollisuuksia jopa lamauttaa yhteiskunnan keskeisiä toimintoja tietoverkkojen avulla. Tietoturva on elimellinen osa yhteiskunnan kaikkia toimintoja ja lakiehdotus tarjoaa välineitä myös näiden uhkien torjumiseen ja edistää siten järjestelmien käytettävyyttä, myös normaaliajan vakavissa häiriötilanteissa.

Edistämällä viestinnän luottamuksellisuuden ja yksityisyyden suojan toteutumista, lakiehdotus edistää myös kansalaisten tasa-arvoisuutta tietoyhteiskuntapalvelujen käyttäjinä turvaamalla näiden perusoikeuksien toteutumisen yhtäläisesti kaikille palvelujen käyttäjille. Kansalaisille kuuluvien perusoikeuksien turvaaminen sähköisessä viestinnässä edistää kansalaisten hyvinvointia ja taloudellista sekä yhteiskunnallista tasa-arvoa luomalla hyvän toimintaympäristön viestintäpalvelujen ja tietoyhteiskunnan palvelujen kysynnälle ja tarjonnalle.

Edellä kuvattujen tietoyhteiskuntavaikutusten arvioidaan mahdollistavan totuttua laajemmassa määrin tasapuolisen alueellisen kehityksen, koska palvelujen tarjonta, välittäminen ja käyttö ovat ajasta sekä paikasta riippumattomia.

5.1. Valmistelu

Tämä laki on osa viestintälainsäädännön kokonaisuudistusta, jonka valmistelu aloitettiin liikenne- ja viestintäministeriössä vuonna 2000. Uudistuksen ensimmäisessä vaiheessa toteutettiin konvergenssikehityksen vaatimat kiireellisimmät ja välttämättömimmät muutokset voimassa olevaan lainsäädäntöön, lähinnä viestintämarkkinalakiin tehdyillä osittaismuutoksilla. Viestintämarkkinalain toisen vaiheen hyvin mittavalla uudistuksella pantiin pääosin täytäntöön sähköisen viestinnän direktiivipaketti. Tällä lakiehdotuksella pannaan täytäntöön sähköisen viestinnän tietosuojadirektiivi ja rahoituspalvelujen etämyyntiä koskevan direktiivin 10 artikla.

Hallituksen esitys on valmisteltu virkamiestyönä liikenne- ja viestintäministeriön viestintämarkkinaosastolla. Koska kysymys on keskeisellä tavalla kansalaisten yksityisyyteen ja viestinnän luottamuksellisuuteen liittyvästä esityksestä, valmistelu on suoritettu korostetun avoimesti.

Valmistelu aloitettiin jo hieman ennen sähköisen viestinnän tietosuojadirektiivin voimaantuloa. Valmistelun alussa virkamiestyötä tukemaan perustettiin kolme työryhmää: seurantaryhmä, tunnistamistiedot-ryhmä ja paikannusryhmä. Ryhmissä olivat edustettuina liikenne- ja viestintäministeriön lisäksi Ficom ry, Kaapelitelevisioliitto ry, Keskuskauppakamari, Keskusrikospoliisi, oikeusministeriö, sisäasiainministeriö, Suojelupoliisi, Suomen Suoramarkkinointiliitto ry, tietosuojavaltuutetun toimisto, Viestintävirasto ja kaikki suurimmat teleyritykset.

Varhaisista pykäläluonnoksista pyydettiin ja saatiin kirjalliset kannanotot ryhmissä edustettuina olleiden yhteisöjen lisäksi mobiilimainossovelluksia tarjoavalta Add2Phones Oy:ltä, käyttäjäyhteisö Electronic Frontier Finland ry:ltä, tietosuojasovelluksia tarjoavalta Emidec Oy:ltä, paikannussovelluksia tarjoavalta Genimap Oy:ltä, Helsingin kihlakunnan poliisilaitokselta, Rajavartiolaitokselta sekä eräiltä yksityishenkilöiltä, jotka ovat aktiivisesti osallistuneet julkiseen keskusteluun yksityisyyden suojasta sähköisessä viestinnässä.

Pyyntö osallistua virkamiestyöryhmän ja eri tahojen välisiin kahdenkeskisiin keskusteluihin lähettiin edellä mainittujen toimijoiden lisäksi kaikille ministeriöille, Fortum Oyj:lle, F-Secure Oyj:lle, Fujitsu Invia Oyj:lle, Kuluttajavirastolle, Kuntaliitolle, Nokia Oyj:lle, Nordea Oyj:lle, Osuuspankkien Keskuspankki Oyj:lle, puolustusvoimille, SanomaWSOY:lle, SSH Communications Oyj:lle, Teknologian edistämiskeskukselle ja Tietoenator Oyj:lle sekä eräille yksityishenkilöille. Keskusteluja on käyty eri tahojen edustajien kanssa useita kymmeniä.

Hallituksen esityksen eri luonnosversiot ovat olleet koko ajan nähtävillä liikenne- ja viestintäministeriön kotisivuilla, osoitteessa http://www.mintc.fi.

Lisäksi valmistelun tuloksia on esitelty eri vaiheissa työministeriön yksityisyyden suojasta työelämässä annetun lain muutoksia valmistelevassa työryhmässä sekä lukuisissa erilaisissa asiantuntija- ja yleisötilaisuuksissa. Valmistelun avoimuutta on pyritty edistämään myös rohkaisemalla tiedotusvälineitä käsittelemään mahdollisuuksien mukaan tämän lakiesityksen piiriin kuuluvia asioita.

5.2. Lausunnot

Hallituksen esitystä koskevasta luonnoksesta pyydettiin lausunto vajaalta 300 julkishallinnon ja elinkeinoelämän yhteisöltä. Lisäksi yksityisille kansalaisille annettiin mahdollisuus ottaa kantaa luonnokseen perustamalla tätä tarkoitusta varten erillinen sähköpostiosoite. Lausunnoista on laadittu kooste, joka on saatavilla liikenne- ja viestintäministeriön kotisivuilta, osoitteesta http://www.mintc.fi.

Lausuntojen yleisin kritiikki kohdistui luonnoksen liian vaikeaan kieliasuun ja määritelmien epäselvyyteen. Samalla oli nähtävissä, että varsin moni lausunnonantaja ei ollut tuntenut voimassa olevan lain sääntelyn ulottumista yleisten viestintäverkkojen lisäksi myös erillisverkkoihin. Kaikki annetut lausunnot arvioitiin yksityiskohtaisesti ja luonnokseen tehtiin niiden perusteella merkittäviä muutoksia.

Näiden muutosten ja esityksen jatkovalmistelun jälkeen esitys lähetettiin vielä lyhyelle toiselle lausuntokierrokselle niille tahoille, jotka olivat antaneet esityksestä lausunnon ensimmäisellä lausuntokierroksella.

Saaduissa toisen lausuntokierroksen lausunnoissa oltiin yleisesti tyytyväisiä kieliasun selkeytymiseen, mutta pyydettiin kiinnittämään huomiota yhteisötilaajan aseman yhdenmukaistamiseen teleyritysten kanssa käsiteltäessä samankaltaisia luottamuksellisia tietoja. Lisäksi lausunnoissa otettiin kantaa suojauksen purkua koskevan sääntelyn selkeyttämistarpeeseen, tunnistamistietojen käsittelyä väärinkäytöstilanteissa koskevan sääntelyn selkeyttämistarpeeseen sekä liikenne- ja viestintäministeriön tarpeettoman laajaan tiedonsaantioikeuteen. Useat lausunnonantajat suhtautuivat erittäin kriittisesti yksityiskohtaisissa perusteluissa olleeseen mainintaan suostumuksen pyytämisestä suoramarkkinoinnin kohteelta. Erityisesti teleyritykset vastustivat tunnistamistietojen käsittelyä koskevien tietojen tallentamisvelvollisuutta, paikkatietojen käsittelyä koskevan suostumuksen kaksiportaisuutta ja tilaajan erityistä tiedonsaantioikeutta. Lausuntojen perusteella tehtiin lukuisia merkittäviä muutoksia.

6.1. Riippuvuus muista esityksistä

Euroopan neuvoston piirissä on valmisteltu tietoyhteiskunnan rikollisuutta koskeva sopimus, niin sanottu cyber crime –sopimus (Budapest, 23.11.2001). Sopimuksen aktiiviseen valmisteluun osallistui Suomen lisäksi parikymmentä muuta Euroopan neuvoston jäsenvaltiota ja lisäksi tarkkailijoina muun muassa USA, Kanada ja Japani.

Sopimus sisältää määräyksiä muun muassa jäsenvaltioiden velvoitteista ryhtyä lainsäädännöllisiin ja muihin toimenpiteisiin tietokonejärjestelmiä vastaan tehtyjen tai tietokoneen avulla tehtyjen rikosten torjumiseksi. Sopimuksessa on määräyksiä tällaisten rikosten tutkintaan vaadittavista toimenpiteistä ja kansainvälisestä yhteistyöstä. Sopimuksella pyritään myös tehostamaan kansainvälistä rikos- ja esitutkintayhteistyötä.

Työministeriö asetti 18 päivänä joulukuuta 2001 työryhmän, jonka tehtävänä on valmistella työelämän tietosuojalainsäädännön täydentämistä koskevat lainsäädäntöehdotukset. Työryhmän asettaminen perustuu alunperin eduskunnan lausumaan, jossa hallitusta edellytettiin yhteistyössä työmarkkinajärjestöjen kanssa valmistelemaan ehdotukset lainsäädännöksi, joka koskee alkoholi- ja huumetestien käyttöä sekä teknistä valvontaa ja sähköpostin käytön valvontaa työpaikoilla. Työryhmä luovutti esityksensä kesäkuussa 2003 työministerille. Oikeusministeriössä valmistellaan parhaillaan sopimuksen kansallista täytäntöönpanoa.

6.2. Riippuvuus kansainvälisistä sopimuksista ja velvoitteista

Oikeus nauttia yksityiselämän ja perhe-elämän kunnioitusta on turvattu jokaiselle kuuluvaksi oikeudeksi yleissopimuksessa ihmisoikeuksien ja perusvapauksien suojaamiseksi eli Euroopan ihmisoikeussopimuksessa (8 artikla), kansalaisoikeuksia ja poliittisia oikeuksia koskevassa kansainvälisessä yleissopimuksessa (17 artikla) ja yleissopimuksessa lapsen oikeuksista (16 artikla). Kyseisten sopimusten määräysten mukaan jokaisella on oikeus nauttia yksityiselämäänsä ja perhe-elämäänsä, kotiinsa ja kirjeenvaihtoonsa kohdistuvaa kunnioitusta. Tässä lakiesityksessä on otettu huomioon kyseiset eri sopimusten yksilöille takaamat oikeudet.

Euroopan neuvostossa on valmisteltu yleissopimus yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä (SopS n:o 36/1992, jäljempänä tietosuojasopimus). Sopimuksen tarkoituksena on turvata henkilötietojen automaattisessa tietojenkäsittelyssä jokaiselle hänen kansalaisuudestaan tai asuinpaikastaan riippumatta hänen oikeutensa ja perusvapautensa ja erityisesti hänen oikeutensa yksityisyyteen. Sopimusta sovelletaan automaattisesti käsiteltäviin henkilörekistereihin ja henkilötietojen automaattiseen tietojenkäsittelyyn julkisella ja yksityisellä sektorilla. Suomessa sopimuksen määräykset saatettiin voimaan huhtikuun 1992 alusta lukien. Tietosuojasopimuksen määräyksiä vastaavat säännökset sisältyvät nykyisin henkilötietolakiin. Tietosuojasopimuksen on ratifioinut 20 valtiota, joiden joukossa ovat kaikki Euroopan unionin jäsenmaat.

Euroopan neuvosto on antanut tietosuojasopimuksen perusteella kymmenen alakohtaista suositusta, joilla pyritään edistämään tietosuojan harmonisointikehitystä. Suositukset koskevat muun muassa suoramarkkinointia, poliisitoimen tietosuojaa, työelämää ja viranomaisten henkilötietojen luovuttamista. Kyseiset suositukset on otettu huomioon tämän lakiesityksen valmistelussa. Suomi on hyväksynyt muun muassa Euroopan neuvoston teletoiminnan tietosuojaa koskevan suosituksen R(95)4. Suosituksessa kehotetaan tarjoamaan telepalveluja, joissa otetaan huomioon käyttäjien yksityisyyden suoja ja viestinnän luottamuksellisuus. Televerkot olisi rakennettava näitä tarkoituksia silmällä pitäen. Telepalveluja tulisi olla mahdollista käyttää nimettömänä. Teleyrityksen palveluksessa olevilla henkilöillä tulisi olla vaitiolovelvollisuus työn suorittamisessa saamiensa viestien sisältöä koskevien tietojen osalta. Henkilötietoja saisi käsitellä lähinnä vain yhteyden muodostamista tai palvelun tarjoamista ja laskutusta varten sekä palvelun tai verkon moitteettoman toiminnan varmistamiseksi. Teleyrityksen tulisi varmistaa televerkon ja telepalvelujen turvallisuus sekä tiedottaa televerkon turvallisuusriskeistä ja mahdollisuuksista niiden vähentämiseen. Lisäksi suosituksessa käsitellään tietojen luovutusta, laskuerittelyä, kutsuvan yhteyden tunnistusta, kutsunsiirtoa ja tilaajaluetteloita koskevia periaatteita. Periaatteet ovat hyvin samansuuntaisia kuin sähköisen viestinnän tietosuojadirektiivissä.

6.3. Esityksen suhde Ahvenanmaan itsehallintoon

Esityksessä ehdotetaan säädettäväksi uusi sähköisen viestinnän tietosuojalaki ja muutettavan eräitä muita lakeja.

Lain soveltaminen Ahvenanmaan maakunnassa määräytyy Ahvenanmaan itsehallintolain (1144/1991, jäljempänä itsehallintolaki) perusteella. Valtakunnan lakia sovelletaan myös maakunnassa, jos laissa säädetään asioista, jotka itsehallintolain mukaan kuuluvat valtakunnan lainsäädäntövallan piiriin. Vastaavasti valtakunnan lakia ei sovelleta maakunnassa, jos lainsäädäntövalta valtakunnan lailla säänneltävässä asiassa kuuluu maakunnalle.

Maakunnan lainsäädäntövallan alaisuuteen ei itsehallintolain 18 §:n mukaan kuulu sähköisen viestinnän tietosuojaan ja tietoturvaan liittyviä tai muita tähän lakiesitykseen liittyviä asioita. Itsehallintolain 27 §:n 2 kohdan mukaan oikeudesta kirje- ja puhelinsalaisuuteen, 40 kohdan mukaan teletoiminnasta, 41 kohdan mukaan muusta kuin samaisessa pykälässä erityisesti mainitusta yksityisoikeudellisesta kysymyksestä sekä 42 kohdan mukaan muista itsehallintolain perusteiden mukaan valtakunnan lainsäädäntövaltaan kuuluviksi katsottavista asioista säätää valtakunta. Ehdotettua sähköisen viestinnän tietosuojalakia sovellettaisiin siten myös Ahvenanmaalla.

1.1. Sähköisen viestinnän tietosuojalaki

1 luku. Yleiset säännökset

1 §. Lain tarkoitus. Ehdotetun pykälän mukaan lain tarkoituksena on turvata sähköisen viestinnän luottamuksellisuuden ja yksityisyyden suojan toteutuminen sekä edistää sähköisen viestinnän tietoturvaa ja monipuolisten sähköisen viestinnän palvelujen tasapainoista kehittymistä.

Perustuslain 10 §:ssä säädetään yksityiselämän suojasta. Pykälän mukaan jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla. Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton. Lailla voidaan kuitenkin säätää perusoikeuksien turvaamiseksi tai rikosten selvittämiseksi välttämättömistä kotirauhan piiriin ulottuvista toimenpiteistä ja lisäksi välttämättömistä rajoituksista viestin salaisuuteen yksilön tai yhteiskunnan turvallisuutta taikka kotirauhaa vaarantavien rikosten tutkinnassa, oikeudenkäynnissä ja turvallisuustarkastuksessa sekä vapaudenmenetyksen aikana. Perustuslaissa säädetyn yksityiselämän suojan lähtökohtana on, että yksilöllä on oikeus elää omaa elämäänsä ilman viranomaisten tai muiden ulkopuolisten tahojen mielivaltaista tai aiheetonta puuttumista hänen yksityiselämäänsä. Yksityiselämän piiriin kuuluu muun muassa yksilön oikeus vapaasti solmia ja ylläpitää suhteita muihin ihmisiin, oikeus määrätä itsestään ja itseään koskevista tiedoista sekä perhe-elämän suoja. Yksityiselämän suojan takaamiseksi valtiolta on jo perinteisesti edellytetty, että se pidättäytyy loukkaamasta kansalaisten yksityiselämää. Sen lisäksi valtiolta edellytetään myös aktiivisia toimenpiteitä yksityiselämän suojaamiseksi muiden toteuttamia yksityiselämän suojan loukkauksia vastaan.

Perustuslain 10 §:n 2 momentin ensisijaisena tarkoituksena viestinnässä on suojata luottamukselliseksi tarkoitetun viestin sisältö ulkopuolisilta. Toisaalta perustuslain 10 § suojaa myös luottamukselliseen viestiin liittyviä tietoja, joilla voi olla merkitystä viestin säilymiselle luottamuksellisena. Tyypillisesti tällaisia tietoja ovat esimerkiksi puhelujen osapuolten tunnistamistiedot. Perustuslaki turvaa jokaiselle oikeuden luottamukselliseen viestintään ilman, että ulkopuoliset saavat oikeudettomasti tiedon hänen lähettämiensä tai hänelle osoitettujen luottamuksellisten viestien sisällöstä. Tämä merkitsee esimerkiksi suojaa kirjeiden tai muiden suljettujen viestien avaamista tai hävittämistä sekä puhelujen kuuntelemista tai nauhoittamista vastaan. Luottamuksellisen viestin suoja on molemmille viestinnän osapuolille kuuluva perusoikeus. Perustuslaki edellyttää lainsäätäjältä toimia, joilla käytännössä tehokkaasti turvataan luottamuksellista viestintää sekä viranomaisten että muiden ulkopuolisten loukkauksilta. Samalla perustuslaki kuitenkin mahdollistaa myös sen, että luottamuksellisen viestin suojaa voidaan edellä mainituin edellytyksin rajoittaa lailla. Tällöinkin puuttuminen on rajattava vain välttämättömään.

Sähköisen viestinnän tietosuojadirektiivissä todetaan, että yleisissä viestintäverkoissa ollaan parhaillaan ottamassa käyttöön uutta kehittynyttä teknologiaa, mikä asettaa käyttäjien henkilötietojen ja yksityisyyden suojaa koskevia erityisvaatimuksia sääntelylle. Uusien sähköisten viestintäpalvelujen ja lisäarvopalvelujen käyttöönotto on luonteenomaista tietoyhteiskunnan kehittymiselle. Suurella yleisöllä on nykyisin mahdollisuus ja varaa käyttää nykyaikaisia viestintäverkkoja. Uusilla verkoilla on suuri kapasiteetti ja mahdollisuudet henkilötietojen laajempaan käsittelyyn. Näiden palvelujen kehittämisen onnistuminen riippuu osittain siitä, että käyttäjät luottavat siihen, ettei heidän yksityisyytensä ole vaarassa. Internet mullistaa markkinoiden perinteisiä rakenteita tarjoamalla käyttöön yhteisen ja maailmanlaajuisen infrastruktuurin, jossa voidaan jakaa laajaa valikoimaa sähköisiä viestintäpalveluja. Internetissä yleisesti saatavilla olevat sähköiset palvelut avaavat käyttäjille uusia mahdollisuuksia, mutta aiheuttavat samalla heidän henkilötietoihinsa ja yksityisyyteensä kohdistuvia uusia riskejä. Direktiivin lähtökohtana on se, että kansalliset säännökset on mukautettava sähköisten viestintäpalvelujen markkinoiden ja tekniikan kehitykseen, jotta yleisesti saatavilla olevien sähköisten viestintäpalvelujen käyttäjille turvataan henkilötietojen ja yksityisyyden suojan yhdenmukainen taso käytetystä tekniikasta riippumatta. Direktiivin mukaan jäsenvaltioiden antamat henkilötietojen, yksityisyyden sekä oikeushenkilöiden oikeutettujen etujen suojaa sähköisen viestinnän alalla koskevat säännökset olisi välttämättömin osin yhdenmukaistettava, jotta voidaan välttää sähköisen viestinnän sisämarkkinoiden esteet.

Voimassa olevalla ja nyt kumottavaksi esitetyllä televiestinnän tietosuojalailla on säädetty perustuslain ja vanhan televiestinnän tietosuojadirektiivin edellyttämällä tavalla luottamuksellisen viestinnän ja yksityisyyden suojasta teletoiminnassa. Lakia on sovellettu yleisessä teletoiminnassa ja yleisiä telepalveluja käyttäen harjoitetussa televiestinnässä sekä tilaajaluetteloiden tarjoamisessa. Lisäksi henkilötietojen käsittelyyn teletoiminnassa on sovellettu henkilötietolakia. Lain soveltamisala on ulottunut yleisen televerkon ohella myös muihin kuin yleisiin televerkkoihin, kuten esimerkiksi yritysten sisäisiin puhelinverkkoihin. Lakia ei ole sovellettu televisiotoimintaan ja radiotoimintaan.

Perustuslain, sähköisen viestinnän tietosuojadirektiivin ja voimassa olevan lain lähtökohtana on, että jokaisella on oikeus luottamukselliseen viestintään ja yksityisyyden suojaan, myös sähköisessä viestinnässä. Sähköisen viestinnän toteuttamisen kannalta on samalla huomattava, että viestintäpalvelujen toteuttaminen ei ole käytännössä mahdollista, jos palvelun tarjoaja ei voi käsitellä tunnistamistietoja muun muassa viestien reititykseen, vikatilanteiden selvittämiseen ja laskutukseen tai sijainnin ilmaisevia tunnistamistietoja maantieteellisen sijainnin selvittämiseen. Yksityiselämän suoja ei estä tällaista tunnistamistietojen käyttöä, jos tietojen käsittelylle on laissa säädetty peruste tai käsittelyn kohteen suostumus. Sähköisen viestinnän eri osa-alueiden tietoturvalla on suuri vaikutus yksityiselämän suojan toteutumiseen, eikä tietoturva ole enää vain palvelun tarjoajan ja asiakkaan välinen asia. Nykyaikaisen yhteiskunnan perustoiminnot ovat riippuvaisia sähköisen viestinnän häiriöttömästä toiminnasta, minkä vuoksi sen tietoturvan perusedellytyksistä pitää säätää laissa. Esimerkiksi laajamittainen ei-toivottu viestintä ja haittaohjelmat voivat haitata tai jopa estää normaalin sähköisen viestinnän. Muun muassa siksi laissa pitää antaa oikeus ei-toivotun viestinnän ja haittaohjelmien torjuntaan.

Lailla toteutetaan yksityiselämän suojan sääntelyn kokonaistarkistus sähköisessä viestinnässä. Nykyinen sääntely säilytetään siltä osin kuin muuttamiseen ei ole erityistä syytä. Ehdotetulla lailla sääntely muutetaan vastaamaan sähköisen viestinnän tietosuojadirektiivin vaatimuksia ja toteutetaan eräitä kansallisista tarpeista nousevia uudistuksia.

2 §. Määritelmät. Ehdotetussa pykälässä on määritelty keskeiset laissa käytetyt käsitteet.

Viestillä tarkoitetaan viestintäverkossa osapuolten välillä tai vapaasti valikoituville vastaanottajille välitettävää puhelua, sähköpostiviestiä, tekstiviestiä, puheviestiä ja muuta vastaavaa sanomaa. Osapuolten välisiä viestejä tyypillisimmillään ovat puhelut sekä sähköpostiviestit, tekstiviestit, kuvaviestit ja puheviestit. Puheviesteillä tarkoitetaan esimerkiksi puhelinvastaajiin jätettyjä viestejä. Osapuolten välisten viestien lisäksi määritelmä kattaa sellaiset sisällölliset sanomat, jotka välitetään vapaasti valikoituville vastaanottajille. Viestin vastaanottajajoukkoa olisi pidettävä vapaasti valikoituvana, jos periaatteessa kuka tahansa voisi asettua viestin vastaanottajan asemaan. Ehdotetun lain viestin määritelmä sisältää laissa sananvapauden käyttämisestä joukkoviestinnässä tarkoitetun verkkoviestin, jolla tarkoitetaan teknisen järjestelyn avulla yleisön saataville toimitettua tietoa, mielipidettä tai muuta viestiä, kuten televisio-ohjelmia ja radio-ohjelmia sekä kaikkia sähköisen tietoverkon yleisölle avoimia sivuja ja tiedostoja.

Viestintäverkolla tarkoitetaan toisiinsa liitetyistä johtimista ja laitteista muodostuvaa järjestelmää, joka on tarkoitettu viestien siirtoon tai jakeluun johtimella, radioaalloilla, optisesti tai muulla sähkömagneettisella tavalla. Määritelmä kattaa yleiset viestintäverkot ja muut viestintäverkot. Määritelmä vastaa viestintämarkkinalain viestintäverkon määritelmää. Sitä käytetään muun muassa soveltamisalan rajauksessa erityisesti niin sanottujen erillisten sisäverkkojen osalta.

Yleisellä viestintäverkolla tarkoitetaan viestintäverkkoa, jota tarjotaan käyttäjäpiirille, jota ei ole etukäteen rajattu. Yleisiä viestintäverkkoja ovat matkaviestinverkot, kiinteät puhelinverkot ja joukkoviestintäverkot sekä Internet. Muita kuin yleisiä viestintäverkkoja ovat yritysten ja muiden yhteisöjen sisäiset rajoitetuille käyttäjäpiireille tarkoitetut viestintäverkot. Tällaiset niin sanotut sisäverkot on voitu liittää yleiseen viestintäverkkoon tai ne voivat olla täysin erillisiä.

Teleyrityksellä tarkoitetaan viestintämarkkinalain 2 §:n 17 kohdan mukaista verkkoyritystä tai 19 kohdan mukaista palveluyritystä. Verkkoyritys tarjoaa verkkopalveluja ja palveluyritys viestintäpalveluja. Ehdotetussa laissa määritelmää käytetään tarkoittamaan sellaisia verkkoyrityksiä ja palveluyrityksiä, jotka harjoittavat yleistä teletoimintaa eli tarjoavat palveluja etukäteen rajoittamattomalle joukolle.

Verkkopalvelulla tarkoitetaan teleyrityksen toteuttamaa viestintäverkon tarjoamista käytettäväksi viestien siirtoon, jakeluun tai tarjolla pitoon etukäteen rajoittamattomalle käyttäjäpiirille. Verkkopalveluun kuuluu tyypillisesti verkon hallinta, ylläpito ja kehittäminen. Verkkopalvelun tarjoajan asiakkaana on joko viestintäpalvelun tarjoaja tai toinen verkkopalvelun tarjoaja. Verkkopalvelun tarjoaja huolehtii viestintäverkkojen yhteen liittämisestä toisten verkkojen kanssa ja esimerkiksi matkaviestinverkkojen osalta se solmii kansainväliset verkkovierailusopimukset. Määritelmä on keskeinen erityisesti tietoturvasäännöksiin sisältyvien velvoitteiden kannalta.

Viestintäpalvelulla tarkoitetaan sellaista teleyrityksen toteuttamaa viestien siirtämistä, jakelemista tai tarjolla pitämistä viestintäverkossa, jota tarjotaan etukäteen rajoittamattomalle käyttäjäpiirille. Viestintäpalvelun tarjoaja huolehtii tyypillisesti liittymän antamisesta käyttäjälle, kuten myös liittymän avaamisesta ja sulkemisesta. Viestintäpalveluun esimerkiksi joukkoviestintäverkossa kuuluu kanavanipun ohjelmistoluvan haltijan harjoittama lähetystoiminta. Määritelmä vastaa sisällöllisesti viestintämarkkinalain viestintäpalvelun määritelmää ja on keskeinen useimpien tämän lain oikeuksien ja velvoitteiden kohdistamisen kannalta.

Lisäarvopalvelulla tarkoitetaan palvelua, joka perustuu tunnistamistietojen tai paikkatietojen käsittelyyn muuta tarkoitusta kuin verkkopalvelun tai viestintäpalvelun varten. On huomattava, että määritelmän mukainen lisäarvopalvelu on olennaisesti suppeampi kuin yleiskielen mukainen lisäarvopalvelu, mutta vastaa sähköisen viestinnän tietosuojadirektiivin määritelmää. Lisäarvopalvelut voivat olla esimerkiksi käyttäjän päätelaitteen sijaintiin perustuvaa mainontaa ja reittineuvontaa sekä liikennetiedotuksia, säätiedotuksia taikka matkailutietoa. Määritelmän mukaisia lisäarvopalveluja eivät ole esimerkiksi verkkopankkipalvelut, hallinnon sähköiset asiointipalvelut tai muut vastaavat palvelut, joissa palvelun sisältö ei pääosin perustu tunnistamistietojen tai paikkatietojen käsittelyyn. Nämä palvelut ovat tietoyhteiskunnan palvelujen tarjoamisesta annetun lain mukaisia tietoyhteiskunnan palveluja.

Tunnistamistiedolla tarkoitetaan tilaajaan tai käyttäjään yhdistettävissä olevaa tietoa, jota viestintäverkoissa käsitellään viestien siirtämiseksi, jakelemiseksi tai tarjolla pitämiseksi. Tunnistamistietoihin voi kuulua tietoja, jotka viittaavat muun muassa viestinnän reititykseen, kestoon, ajankohtaan tai siirrettävän tiedon määrään, käytettyyn protokollaan, lähettäjän tai vastaanottajan päätelaitteen sijaintiin tietyn tukiaseman alueella, lähettävään tai vastaanottavaan verkkoon ja yhteyden alkuun, loppuun tai kestoon. Tiedot voivat myös koskea muotoa, jossa viesti välitetään verkossa. Olennaista on, että näiden tietojen tulee olla yhdistettävissä tilaajaan tai käyttäjään. Tunnistamistiedon käsitteen kannalta on huomattava, että tilaaja, johon tunnistamistieto voidaan yhdistää, voi olla luonnollisen henkilön lisäksi myös oikeushenkilö.

Paikkatiedolla tarkoitetaan tietoa, joka ilmaisee liittymän tai päätelaitteen maantieteellisen sijainnin ja jota käytetään muuhun tarkoitukseen kuin verkkopalvelun tai viestintäpalvelun toteuttamiseen. Paikkatiedoilla voidaan ilmaista liittymän tai päätelaitteen leveysaste, pituusaste ja korkeus, matkan suunta, paikkatiedon tarkkuus, se osa verkkoa, jossa liittymä tai päätelaite paikannetaan tietyllä hetkellä, ja paikkatiedon tallentamisen ajankohta. Se, pidetäänkö sijainnin ilmaisevaa tietoa ehdotetussa laissa tunnistamistietona vai paikkatietona ratkeaa tiedon käyttötarkoituksen perusteella. Jos sijainnin ilmaisevaa tietoa käytetään viestintäpalvelun toteuttamisessa, kysymyksessä on tunnistamistieto. Esimerkiksi matkaviestinverkossa tieto siitä, minkä tukiaseman alueella päällä oleva matkaviestin on kulloisellakin hetkellä, on tunnistamistieto. Tällöin liittymän tai päätelaitteen sijainnin ilmaiseva tieto on välttämätön viestintäpalvelun toteuttamiseksi. Jos sijaintia ilmaisevaa tietoa käytetään muuhun tarkoitukseen kuin viestintäpalvelun toteuttamiseen, kyseessä on paikkatieto. On huomattava, että paikkatietoja voidaan käsitellä viestintäpalvelun käyttämiseen tarkoitettujen päätelaitteiden lisäksi myös sellaisilla päätelaitteilla, joita ei voida käyttää viestien lähettämiseen tai vastaanottamiseen. Jälkimmäisistä esimerkkinä ovat paikannusrannekkeet, joilla ei voi lähettää tai vastaanottaa viestejä, mutta joiden maantieteellinen sijainti voidaan selvittää esimerkiksi tukiasemapaikannuksen tai satelliittipaikannuksen menetelmin. Määritelmä on keskeinen erityisesti paikkatietoihin perustuvia palveluja koskevan 4 luvun kannalta.

Tilaajalla tarkoitetaan oikeushenkilöä tai luonnollista henkilöä, joka on tehnyt sopimuksen viestintäpalvelun tai lisäarvopalvelun toimittamisesta. Tilaajana voi olla esimerkiksi yksittäinen luonnollinen henkilö, joka hankkii puhelinliittymän omaan käyttöönsä tai perheen äiti, joka hankkii matkapuhelinliittymät lapsilleen. Olennaista määritelmän kannalta on, että tilaajan ja palvelun tarjoajan välillä on sopimussuhde. Sopimussuhde voi edellyttää säännöllistä tai kertaluonteista maksua tarjotusta tai tarjottavasta palvelusta. Sopimussuhde voi olla myös vastikkeeton. Ennalta maksetun liittymän (pre-paid-liittymät) hankkiminen katsotaan myös sopimukseksi. Tällaisten liittymien tilaajiksi voidaan rekisteröityä, mutta se ei ole välttämätöntä. Rekisteröityminen voi tapahtua ilman henkilöllisyyden tarkastamista, joten teleyritys ei voi välttämättä tietää, onko rekisteröityminen tapahtunut asianmukaisesti, vai onko rekisteriin merkitty väärä henkilö. Koska varmuutta tilaajaksi rekisteröityneestä henkilöstä ei voida saada, pre-paid-liittymän tilaajaksi katsotaan se, jonka hallussa kyseinen pre-paid-liittymä on. Tällaisesta liittymästä teleyrityksen asiakaspalveluun soittava henkilö voisi siten antaa tilaajan tahdonilmaisuja.

Yhteisötilaajalla tarkoitetaan viestintäpalvelun tai lisäarvopalvelun tilaajana olevaa yritystä tai yhteisöä, joka käsittelee viestintäverkossaan käyttäjien luottamuksellisia viestejä, tunnistamistietoja tai paikkatietoja. Yhteisötilaaja voi olla esimerkiksi elinkeinonharjoittaja, osuuskunta, osakeyhtiö, yhdistys, yliopisto tai valtion virasto. Yhteisötilaaja tilaa viestintäpalvelun tai lisäarvopalvelun käyttäjiensä, esimerkiksi työntekijöidensä käytettäväksi. Tätä tarkoitusta varten yhteisötilaaja hallinnoi samalla järjestelmää, jossa käsitellään käyttäjien luottamuksellisia tunnistamistietoja ja paikkatietoja erilaisin palvelimin ja päätelaittein. Yhteisötilaajalle kertyy teknisiin järjestelmiin käyttäjien luottamuksellisia tunnistamistietoja ja esimerkiksi sähköpostijärjestelmissä myös luottamuksellisia viestejä. Teleyrityksille kertyy viestintäpalveluja toteutettaessa samankaltaisia tietoja kuin yhteisötilaajalle viestintäpalveluja käytettäessä. Yhteisötilaajan toiminnan mahdollistamiseksi sekä yksityisyyden ja luottamuksellisen viestin suojan turvaamiseksi yhteisötilaajalle tulee asettaa teleyrityksiä vastaavat tietoturvavelvoitteet sekä tunnistamistietojen ja paikkatietojen käsittelysäännöt.

Käyttäjällä tarkoitetaan luonnollista henkilöä, joka käyttää viestintäpalvelua tai lisäarvopalvelua olematta välttämättä tämän palvelun tilaaja. Jos esimerkiksi luonnollinen henkilö on hankkinut liittymän omaan käyttöönsä, hän on sekä liittymän tilaaja että käyttäjä. Jos yritys on hankkinut liittymiä työntekijöidensä käyttöön, tilaajana on yritys ja käyttäjinä työntekijät. Olennaista käyttäjän määritelmän kannalta on se, että käyttäjä on aina luonnollinen henkilö. Tilaaja sen sijaan voi olla myös oikeushenkilö.

Tietoturvalla tarkoitetaan hallinnollisia ja teknisiä toimia, joilla varmistetaan se, että tiedot ovat vain niiden käyttöön oikeutettujen saatavilla, ettei tietoja voida muuttaa muiden kuin siihen oikeutettujen toimesta ja että tiedot ja tietojärjestelmät ovat niiden käyttöön oikeutettujen hyödynnettävissä. Määritelmä tarkoittaa tietojen luottamuksellisuuden, eheyden ja käytettävyyden varmistamista hallinnollisin ja teknisin toimin. Näitä tietoturvatoimia ovat esimerkiksi laitteille ja järjestelmiin pääsynvalvonta, tietojen ja järjestelmien luvattoman käytön esto, käsittelytapahtumien kirjaaminen, tietoliikenteen alkuperävalvonta ja reititysvalvonta, järjestelmien käyttöoikeuksien määrittely, ylläpitotoimien asianmukainen järjestäminen ja tietojen sekä järjestelmien suojaaminen tietoturvaa vaarantavilta teoilta tai tapahtumilta, kuten viruksilta ja muilta haittaohjelmilta. Lisäksi tietoturvatoimia ovat tietoliikenteen häirinnän valvonta ja sen estäminen.

Käsittelyllä tarkoitetaan keräämistä, tallentamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita vastaavia toimenpiteitä. Määritelmä vastaa sisällöllisesti henkilötietolain vastaavaa määritelmää.

3 §. Soveltamisala. Ehdotetun 1 momentin mukaan tätä lakia sovelletaan yleisissä viestintäverkoissa tarjottaviin verkkopalveluihin, viestintäpalveluihin, lisäarvopalveluihin ja palveluihin, joissa käsitellään palvelun käyttöä kuvaavia tietoja. Lisäksi lakia sovelletaan suoramarkkinointiin yleisissä viestintäverkoissa sekä tilaajaluettelopalveluihin ja numerotiedotuspalveluihin.

Ehdotetulla 1 momentilla ilmaistaan soveltamisalan pääsääntö, jonka mukaan soveltamisala rajoittuu yleisiin viestintäverkkoihin, joita tarjotaan etukäteen rajaamattomalle käyttäjäpiirille. Verkkopalvelulla ja viestintäpalvelulla tarkoitetaan samaa kuin vastaavilla käsitteillä viestintämarkkinalaissa. Ehdotetussa laissa tarkoitettuihin lisäarvopalveluihin kuuluvat pääasiassa paikkatietoihin perustuvat palvelut. Tältä osin soveltamisala vastaa sähköisen viestinnän tietosuojadirektiiviä.

Ehdotetun lain käsittelyä koskevia säännöksiä ei sovelleta jäljempänä kerrotuin poikkeuksin verkkopankkipalveluihin, hallinnon sähköisiin asiointipalveluihin tai muihin vastaaviin tietoyhteiskunnan palvelujen tarjoamisesta annetun lain mukaisiin tietoyhteiskunnan palveluihin, joissa palvelun sisältö ei pääosin perustu tunnistamistietojen tai paikkatietojen käsittelyyn. Tietoyhteiskunnan palvelulla tarkoitetaan palvelua, joka toimitetaan etäpalveluna eli ilman, että osapuolet ovat yhtä aikaa läsnä, sähköisesti eli lähettämällä ja vastaanottamalla palvelu tietoja sähköisesti käsittelevien laitteiden tai tietojen säilytyksen avulla ja siten, että palvelun lähettämiseen, siirtoon ja vastaanottamiseen käytetään yksinomaan johtimia, radioyhteyttä, optisia laitteita tai muita sähkömagneettisia laitteita, palvelun vastaanottajan henkilökohtaisesta pyynnöstä tapahtuvana tiedonsiirtona ja tavallisesti vastiketta vastaan. Lakia sovelletaan myös evästeitä käyttäviin, suoramarkkinointia harjoittaviin sekä tilaajaluettelopalveluja ja numerotiedotuspalveluja tarjoaviin. Tilaajaluettelopalveluja ja numerotiedotuspalveluja koskevaa 25 §:ää sovelletaan riippumatta siitä, tarjotaanko palveluja viestintäverkossa vai esimerkiksi painetussa muodossa. Ehdotettu momentti vastaa verkkopalvelun, viestintäpalvelun, tilaajaluettelopalvelujen ja numerotiedotuspalvelujen osalta televiestinnän tietosuojalain 2 §:n 1 momenttia. Televiestinnän tietosuojalain soveltamisalaan verrattuna ehdotetun lain soveltamisala laajenee siten, että lisäarvopalvelut ja evästeiden käyttö kuuluvat ehdotetun lain piiriin.

Ehdotetun 2 momentin mukaan lakia ei sovelleta sisäisiin ja muihin rajoitetuille käyttäjäpiireille tarkoitettuihin viestintäverkkoihin, ellei näitä verkkoja ole liitetty 1 momentissa tarkoitettuun yleiseen viestintäverkkoon.

Yleisiin viestintäverkkoihin liitetyissä sisäverkoissa on yksityisyyden ja luottamuksellisen viestin suojan turvaamiseksi välttämätöntä soveltaa vastaavia tietoturvaa koskevia perusvelvoitteita ja käsittelysääntöjä kuin teleyritysten toteuttamaan tunnistamistietojen sekä paikkatietojen käsittelyyn. Yleisiin viestintäverkkoihin liitetyissä sisäverkoissa yhteisötilaaja hallinnoi järjestelmää, jossa käsitellään käyttäjien luottamuksellisiin viesteihin liittyviä tunnistamistietoja ja paikkatietoja. Yhteisötilaajalle kertyy teknisiin järjestelmiin samankaltaisia käyttäjien luottamuksellisia tunnistamistietoja ja esimerkiksi sähköpostijärjestelmissä myös luottamuksellisia viestejä samoin kuin teleyrityksille. Lakia sovelletaan esimerkiksi tilanteissa, joissa sähköpostiviestejä luetaan yhteisötilaajan sisäisen viestintäverkon sähköpostipalvelimelta, josta on yhteys yleisiin viestintäverkkoihin, riippumatta siitä, kulkevatko viestit yleisen viestintäverkon kautta vai ainoastaan sisäisessä viestintäverkossa.

Ehdotetun 3 momentin mukaan lain 4 ja 5 §:ää sovelletaan kuitenkin myös sisäisiin ja muihin rajoitetuille käyttäjäpiireille tarkoitettuihin viestintäverkkoihin, vaikka näitä verkkoja ei ole liitetty 1 momentissa tarkoitettuun yleiseen viestintäverkkoon.

Perustuslain 10 § turvaa jokaiselle oikeuden luottamukselliseen viestintään ilman, että ulkopuoliset saavat oikeudettomasti tiedon hänen lähettämiensä tai hänelle osoitettujen luottamuksellisten viestien sisällöstä ja niihin liittyvistä tunnistamistiedoista. Luottamuksellisen viestin suoja koskee kaikkea niin sanottua kohdeviestintää riippumatta siitä, toteutetaanko viestintä yleisessä vai muussa viestintäverkossa. Tämä tarkoittaa esimerkiksi sitä, että myös yritysten ja muiden yhteisöjen sisäisissä viestintäverkoissa lähetetyt sähköpostiviestit ovat luottamuksellisia, vaikka näitä verkkoja ei ole liitetty yleiseen viestintäverkkoon, eivätkä viestit siten missään vaiheessa kulje yleisen viestintäverkon kautta.

Sähköisen viestinnän tietosuojadirektiivin ei voida katsoa välittömällä tavalla edellyttävän ehdotetun 3 momentin mukaista soveltamisalan ulottamista myös yleisiin viestintäverkkoihin liittymättömiin sisäverkkoihin, mutta ehdotettu momentti vastaa sisällöllisesti voimassa olevan televiestinnän tietosuojalain 2 §:n 3 momenttia. Ehdotettu säännös on sopusoinnussa sähköisen viestinnän tietosuojadirektiivin 5 artiklan 1 kohdan kanssa, jossa säädetään, että jäsenvaltioiden on kansallisella lainsäädännöllä varmistettava yleisen viestintäverkon ja yleisesti saatavilla olevien sähköisten viestintäpalvelujen välityksellä tapahtuvan viestinnän ja siihen liittyvien tunnistamistietojen luottamuksellisuus.

Ehdotetussa momentissa tarkoitetuissa sisäisissä viestintäverkoissa käsiteltäviin tunnistamistietoihin ei sovelleta ehdotetun lain tunnistamistietojen käsittelyä koskevia säännöksiä. Sellaisiin sisäisissä viestintäverkoissa käsiteltäviin viesteihin liittyviin tunnistamistietoihin, jotka on yhdistettävissä luonnolliseen henkilöön, sovelletaan henkilötietolain säännöksiä. Henkilötietolaissa säädetään muun muassa rekisterinpitäjän huolellisuusvelvollisuudesta, käyttötarkoitussidonnaisuudesta ja tietojen tarpeellisuusvaatimuksesta.

Ehdotetun 4 momentin mukaan henkilötietojen käsittelyyn sovelletaan, mitä henkilötietolaissa säädetään, jollei tästä laista muuta johdu. Sen lisäksi, mitä ehdotetussa sähköisen viestinnän tietosuojalaissa säädetään, lain soveltamisalaan kuuluvilla toimijoilla on ne velvollisuudet, jotka rekisterinpitäjälle säädetään henkilötietolaissa. Henkilötietolaki tulee sovellettavaksi erityisesti yleisistä viestintäverkoista erillään olevissa sisäisissä viestintäverkoissa, joihin ehdotettua lakia sovelletaan vain hyvin rajoitetusti. Ehdotettu momentti vastaa sisällöllisesti televiestinnän tietosuojalain 2 §:n 1 momentin säännöstä. Sähköisen viestinnän tietosuojadirektiivin 1 artiklassa säädetään, että direktiivin säännöksillä täsmennetään ja täydennetään henkilötietodirektiiviä perusoikeuksien ja perusvapauksien suojan varmistamiseksi henkilötietojen käsittelyssä sähköisen viestinnän alalla sekä tällaisten tietojen ja sähköisten viestintälaitteiden ja viestintäpalvelujen vapaan liikkuvuuden varmistamiseksi yhteisössä.

Ehdotetun 5 momentin mukaan työnantajan ja työntekijän välisessä suhteessa sovelletaan lisäksi, mitä säädetään yksityisyyden suojasta työelämässä annetussa laissa. Kyseistä lakia sovelletaan työsuhteessa sekä virkasuhteessa ja siihen verrattavassa julkisoikeudellisessa palvelussuhteessa. Lain 9 §:ssä säädetään menettelytavoista teknisen valvonnan ja tietoverkon käytön järjestämisessä. Yksityisyyden suojasta työelämässä annetun lain 9 §:n 3 momentissa säädetään, että työnantajan oikeudesta käyttää teknistä valvontaa ja valvoa sähköpostin ja tietoverkon käyttöä säädetään erikseen.

Ehdotetun 6 momentin mukaan tätä lakia ei sovelleta joukkoviestintäverkossa välitettävään viestiin, jos viestiä ei voi yksittäistapauksessa yhdistää sitä vastaanottavaan tilaajaan tai käyttäjään.

Ehdotetun 2 §:n 1 kohdan mukaan viestillä tarkoitetaan viestintäverkossa osapuolten välillä tai vapaasti valikoituville vastaanottajille välitettävää puhelua, sähköpostiviestiä, tekstiviestiä, puheviestiä ja muuta vastaavaa sanomaa. Viestejä ovat myös sellaiset sisällölliset sanomat, jotka välitetään vapaasti valikoituville vastaanottajille, kuten televisio-ohjelmat ja radio-ohjelmat sekä kaikki sähköisten viestintäverkkojen yleisölle avointen sivustojen avulla välitettävät tiedot. Verkkosivustojen selailu kuuluu lain soveltamisalaan, koska palvelinten yleisölle avoimia sivuja selailtaessa palvelimelle tai viestintäverkon kautta päätelaitteelle jää yleensä tietoja, joiden avulla viestit voidaan yhdistää ne vastaanottavaan henkilöön. Perinteisistä televisiolähetyksistä ja radiolähetyksistä tämä yhdistämismahdollisuus puuttuu, joten niihin tätä lakia ei sovelleta. Sähköisen viestinnän tietosuojadirektiivin 2 artiklan mukaan direktiivissä tarkoitettuun viestintään ei sisälly tieto, joka välitetään yleisradiotoiminnan yhteydessä yleisölle sähköisessä viestintäverkossa, paitsi siltä osin kuin tieto voidaan yhdistää tietoa vastaanottavaan tunnistettavissa olevaan tilaajaan tai käyttäjään.

Ehdotetun 7 momentin mukaan lakia ei sovelleta viranomaistoimintaan viestintämarkkinalaissa tarkoitetussa viranomaisverkossa tai muussa yleiseen järjestykseen ja turvallisuuteen, maanpuolustukseen, pelastustehtäviin, väestönsuojeluun tai maaliikenteen, meriliikenteen, raideliikenteen taikka ilmaliikenteen turvallisuuteen liittyvien tarpeiden vuoksi rakennetussa viestintäverkossa. Viestintämarkkinalaissa viranomaisverkolla tarkoitetaan yleiseen järjestykseen ja turvallisuuteen, pelastustehtäviin tai väestönsuojeluun liittyvien tarpeiden vuoksi rakennettua viestintäverkkoa, jonka liittymiä voidaan tarjota viranomaisten lisäksi myös muulle, edellä mainittujen tehtävien hoitamisen kannalta välttämättömälle käyttäjäryhmälle. Viestintämarkkinalain mukainen viranomaisverkko voi olla niin sanottu puhdas erillisverkko, tai se voi olla liitetty yleiseen viestintäverkkoon, jolloin viranomaisverkosta voidaan esimerkiksi soittaa yleiseen puhelinverkkoon. Esimerkkinä tällaisesta viranomaisverkosta voidaan mainita Suomen viranomaisradioverkko (VIRVE–verkko), jonka tarkoituksena on tehostaa viranomaisten yhteistyötä normaaliolosuhteissa ja poikkeusolosuhteissa ja jonka ensisijaisia käyttäjiä ovat valtion ja kuntien turvallisuusviranomaiset. Ehdotetussa laissa viranomaisverkolla tarkoitetaan myös puolustusvoimien ja eri liikenteen muotojen turvallisuuteen liittyvien tarpeiden vuoksi rakennettuja viestintäverkkoja. Olennaista on, että ehdotettua lakia ei sovelleta viranomaistoiminnassa harjoitettuun viestintään viranomaisverkoissa. Ehdotetussa laissa tarkoitettuja viranomaisia ovat valtion hallintoviranomaiset sekä kuntien ja kuntainliittojen viranomaiset. Ehdotettua lakia sovelletaan kuitenkin muuhun viranomaisverkoissa toteutettavaan viestintään, kuten yksityisiin puheluihin. Samoin lakia sovelletaan muiden kuin viranomaisten viestintään esimerkiksi silloin, kun viranomaisverkon liittymiä on myönnetty energian jakelusta vastaaville yhteisötilaajille ja näiden käyttäjille.

Sähköisen viestinnän tietosuojadirektiivin 1 artiklan mukaan direktiiviä ei sovelleta Euroopan yhteisön perustamissopimuksen soveltamisalan ulkopuolelle jääviin toimiin, eikä missään tapauksessa yleistä turvallisuutta, puolustusta ja valtion turvallisuutta koskeviin toimiin eikä valtion toimiin rikosoikeuden alalla. Direktiivin säännöksen on katsottu mahdollistavan sen, että ehdotetussa laissa tarkoitetulla tavalla viranomaistoiminta viranomaisverkoissa voidaan sulkea soveltamisalasta.

Ehdotetun 8 momentin mukaan tätä lakia ei sovelleta, jos rahanpesun estämisestä ja selvittämisestä annetusta laista (68/1998) muuta johtuu. Säännös on johdonmukainen sen lähtökohdan kanssa, että ehdotettua lakia ei ole tarkoitus soveltaa verkkopankkitoimintaan eikä sillä siten ole myöskään tarkoitus syrjäyttää tähän tai muuhun luottolaitostoimintaan liittyvien tietojen säilyttämisvelvollisuuksia.

2 luku. Yksityisyyden ja luottamuksellisen viestin suoja

4 §. Viestin, tunnistamistietojen ja paikkatietojen luottamuksellisuus. Ehdotetun 1 momentin mukaan viesti, tunnistamistiedot ja paikkatiedot ovat luottamuksellisia, jollei tässä tai muussa laissa toisin säädetä.

Ehdotettu momentti turvaa jokaiselle oikeuden luottamukselliseen viestintään ilman, että ulkopuoliset saavat tiedon hänen lähettämiensä tai hänelle osoitettujen luottamuksellisten viestien sisällöstä. Viesti nauttii luottamuksellisen viestin suojaa perustuslain 10 §:n 2 momentissa tarkoitetussa laajuudessa. Perustuslain hallituksen esityksen yksityiskohtaisten perustelujen mukaan perustuslain 10 §:n 2 momentin ensisijaisena tarkoituksena on suojata luottamukselliseksi tarkoitetun viestin sisältö ulkopuolisilta. Toisaalta perustuslain 10 §:n 2 momentti antaa turvaa muillekin tällaista viestiä koskeville tiedoille, joilla voi olla merkitystä viestin säilymiselle luottamuksellisena. Tyypillisesti tällaisia ovat esimerkiksi puhelujen tunnistamistiedot. Samoin Perustuslakivaliokunta on katsonut lausunnoissaan (PeVL 3/1992 vp ja PeVL 47/1996 vp), että myös tunnistamistiedot nauttivat tietyn asteista luottamuksellisuuden suojaa. Myös sähköisen viestinnän tietosuojadirektiivin 5 artiklan mukaan viesti ja siihen liittyvät liikennetiedot ovat luottamuksellisia.

Luottamuksellisuus tarkoittaa sitä, että viestejä, tunnistamistietoja ja paikkatietoja saa käsitellä vain erikseen laissa säädettyihin tarkoituksiin. Ehdotettu momentti antaa suojaa kaikille viesteille, jotka viestintäverkoissa liikkuvat. Luottamuksellisuutta ei ole rajattu tiettyjen osapuolten väliseen viestintään, joten myös koneiden välinen viestintä olisi ehdotetun pykälän mukaan luottamuksellista. Etukäteen maksettujen puheaikakorttien liittymät eli niin sanotut pre-paid–liittymät saisivat ehdotetun pykälän mukaan myös sekä viestin että tunnistamistietojen luottamuksellisuuden suojan. Vaikka pre-paid-liittymästä ei välttämättä voidakaan tunnistaa sen käyttäjää, on tällaisella liittymällä aina tilaaja, johon liittymä voidaan yhdistää.

Myös muut tunnistamistiedot kuin viestiin liittyvät tunnistamistiedot nauttisivat ehdotetun momentin mukaan luottamuksellisuuden suojaa. Tällaisia tunnistamistietoja ovat esimerkiksi matkapuhelimen tai liittymän sijainnin ilmaisevat tunnistamistiedot, jotka eivät ole paikkatietoja.

Paikkatiedot kertovat päätelaitteen tai liittymän sijainnin tietyllä hetkellä. Useimmiten päätelaite, kuten matkapuhelin, on tietyn luonnollisen henkilön hallussa. Tällöin paikkatiedot kuuluvat luonnollisen henkilön yksityiselämän piiriin. Kuten tunnistamistiedot on myös paikkatiedot tarpeen säätää luottamuksellisiksi.

Ehdotetun 2 momentin mukaan viesti ja siihen liittyvät tunnistamistiedot eivät ole luottamuksellisia, jos viesti on saatettu yleisesti vastaanotettavaksi.

Arvioitaessa viestin luottamuksellisuutta keskeistä olisi se, onko viestin lähettäjä saattanut viestin yleisesti vastaanotettavaksi, esimerkiksi keskustelupalstalle tai mielipidepalstalle. Jos lähettäjä ei ole saattanut viestiä yleisesti vastaanotettavaksi, viestin oletetaan olevan luottamuksellinen, ja samalla myös siihen liittyvät tunnistamistiedot ovat luottamuksellisia. Vastaanottajien lukumäärällä ei ole merkitystä tarkasteltaessa viestin luottamuksellisuutta. Esimerkiksi useammalle henkilölle lähetettyä sähköpostia voidaan pitää luottamuksellisena, jos sitä ei ole saatettu yleisesti vastaanotettavaksi. Esimerkiksi viesti, joka lähetetään Internetin uutisryhmiin, on saatettu kenen tahansa ulottuville. Erilaisten uutisryhmien ja keskustelupalstojen pitäjille jää mahdollisuus julkaista myös viestin tunnistamistiedot tai jättää ne julkaisematta, kuten perinteisessä muodossa lehtien keskustelupalstoilla tapahtuvassa joukkoviestinnässä. Sen sijaan esimerkiksi neuvottelupuhelut, videokonferenssit ja Internetissä käytävät kahdenkeskiset keskustelut ovat luottamuksellisia, jos viestintään osallistumista on rajoitettu.

Ehdotetun 3 momentin mukaan ehdotetussa 1 momentissa säädetty koskee myös verkkosivustojen selaamisesta kertyviä tunnistamistietoja.

Verkkosivustojen, kuten Internet-sivustojen, selailusta kertyvät tilaajien ja käyttäjien tunnistamistiedot ovat luottamuksellisia, koska yleisölle avoimia sivustoja selailtaessa palvelimelle jää tietoja, joiden avulla nämä viestit voidaan yhdistää ne vastaanottavaan henkilöön. Vastaavaa mahdollisuutta yhdistää viesti sen vastaanottajaan ei ole yleensä muussa joukkoviestinnässä.

Ehdotetulla pykälällä pannaan täytäntöön sähköisen viestinnän tietosuojadirektiivin 5 artiklan 1 kohdassa säädetty viestinnän luottamuksellisuus.

5 §. Vaitiolovelvollisuus ja hyväksikäyttökielto. Ehdotetun 1 momentin mukaan se, joka on ottanut vastaan tai muutoin saanut tiedon luottamuksellisesta viestistä tai tunnistamistiedosta, jota ei ole hänelle tarkoitettu, ei saa ilman viestinnän osapuolen suostumusta ilmaista tai käyttää hyväksi viestin sisältöä, tunnistamistietoa tai tietoa viestin olemassaolosta, ellei laissa toisin säädetä.

Ehdotetussa 1 momentissa suojataan ehdotetun 4 §:n 1 momentin tarkoittamaa luottamuksellista viestiä ja tunnistamistietoja viestin jouduttua jonkun muun kuin sen vastaanottajaksi tarkoitetun tietoon. Kyseessä on tilanne, jossa luottamuksellisen viestin on saanut muu kuin vastaanottajaksi tarkoitettu henkilö, mutta hän ei ole sitä itse aktiivisesti toimien saanut ja hänen tarkoituksenaan ei ole ollut hankkia tietoa viestistä, sen olemassaolosta tai siihen liittyvistä tunnistamistiedoista. Kyseessä voi siten olla esimerkiksi erehdyksissä saatu viesti. Tällöin viestin saaneelle syntyy vaitiolovelvollisuus viestistä ja tunnistamistiedoista.

Luottamuksellinen viesti voi päätyä muulle kuin vastaanottajaksi tarkoitetulle henkilölle muun muassa virheellisen osoitteen tai virheellisen reitityksen vuoksi. Sähköiseen viestintään käytettävissä olevat tekniikat ja palvelut tekevät helposti mahdolliseksi viestinnän ohjautumisen muulle kuin vastaanottajalle vähäisenkin teknisen vian tai virheen vuoksi. Esimerkiksi matkapuhelimen vastaajapalveluun virheellisen numeronvalinnan myötä yhdistyvässä puhelussa soittaja ei vastaajapalveluun kuuluvasta tiedotteesta välttämättä erota, kenen vastaaja on kyseessä. Tällöin soittaja saattaa erehdyksessä jättää viestin muun kuin vastaanottajaksi tarkoitetun henkilön vastaajaan. Samoin vähäinenkin virhe sähköpostiosoitteen kirjoittamisessa saattaa johtaa viestin päätymiseen muulle kuin vastaanottajaksi tarkoitetulle. Jos luottamukselliseen viestintään puututaan aktiivisin toimin, loukkaus ei kuulu tämän momentin soveltamisalaan, vaan se täyttää rikoslain 38 luvun 3 ja 4 §:n viestintäsalaisuuden loukkausta koskevan tunnusmerkistön.

Ehdotetun momentin tarkoituksena ei ole estää esimerkiksi sähköpostin jälleenlähettämistä oikealle vastaanottajalle, vaan kyseessä on nimenomaisesti kielto käyttää tällaista viestiä ja tunnistamistietoja hyötymistarkoituksessa. Ehdotettu momentti ei siten estä myöskään hallintomenettelylain (598/1982) 8 §:n mukaista väärälle viranomaiselle joutuneen asiakirjan siirtoa oikealle viranomaiselle.

Televiestinnän tietosuojalain 4 §:n 2 momentissa säädetään, ettei tietoa televiestin sisällöstä saa oikeudettomasti ilmaista tai ettei tietoa televiestin sisällöstä tai sen olemassaolosta saa käyttää hyväksi. Ehdotetun 1 momentin mukaan erehdyksessä saatua viestiä ja tunnistamistietoja saa hyödyntää viestinnän jommankumman osapuolen suostumuksella tai jos laissa on erikseen niin säädetty. Käytännössä suostumus tulisi yleensä pyydettäväksi viestin lähettäjältä, koska viestin vastaanottaja ei ole välttämättä viestiä saanut ja suostumuksen antaminen olisi tällöin mahdotonta. Laissa pyrittäisiin tällä tavoin antamaan sisältöä televiestinnän tietosuojalaissa tarkoitetun oikeudettomuuden käsitteelle. Viestinnän osapuolelle annettu oikeus antaa suostumuksensa on johdonmukainen ehdotetun 8 §:n 1 momentin kanssa, jossa luottamuksellisten viestien ja niihin liittyvien tunnistamistietojen käsittelyoikeus annettaisiin viestin lähettäjälle tai vastaanottajalle. Luottamuksellisen viestin ja tunnistamistietojen käsittelystä säädetään muutoin ehdotetussa 3 luvussa. Tämän lisäksi erityislaissa voidaan säätää erilaisista oikeuksista ja velvollisuuksista koskien luottamuksellisia viestejä ja tunnistamistietoja. Esimerkiksi viestin sisältö saattaa olla sellainen, että viestin vastaanottaja ei voi antaa suostumustaan kolmannelle osapuolelle viestin käsittelyyn. Tällaisia tietoja voivat olla esimerkiksi laissa potilaan asemasta ja oikeuksista (785/1992) salassa pidettäviksi määritellyt potilasasiakirjojen tiedot.

Ehdotetun 2 momentin mukaan säädetään vaitiolovelvollisuus sille, joka on ottanut vastaan tai muutoin saanut tiedon paikkatiedosta, jota ei ole hänelle tarkoitettu. Hän ei saa ilman paikannettavan suostumusta ilmaista tai käyttää hyväksi paikkatietoa tai tietoa sen olemassaolosta, ellei laissa toisin säädetä.

Ehdotetussa 2 momentissa säädetään tunnistamistietoja vastaavalla tavalla paikkatietojen luottamuksellisuudesta. Yksityisyyden suojan kannalta on tärkeää, että luonnollisen henkilön maantieteellisen sijainnin ilmaisevat paikkatiedot ovat yhtä luottamuksellisia kuin tunnistamistiedot.

Ehdotetun 3 momentin mukaan teleyrityksen, lisäarvopalvelun tarjoajan, yhteisötilaajan tai viestintämarkkinalain 137 §:ssä tarkoitetun teleurakoitsijan palveluksessa oleva tai ollut ei saa ilman viestinnän osapuolen tai paikannettavan suostumusta ilmaista, mitä hän on tehtävässään saanut tietää viesteistä, tunnistamistiedoista ja paikkatiedoista, ellei laissa toisin säädetä.

Ehdotetun momentin mukaan erityinen vaitiolovelvollisuus säädetään niille, jotka ovat teleyrityksen, lisäarvopalvelun tarjoajan, yhteisötilaajan tai viestintämarkkinalain 137 §:ssä tarkoitetun teleurakoitsijan palveluksessa tehtäviään hoitaessaan saaneet tietoja viesteistä ja tunnistamistiedoista sekä paikkatiedoista. Näiden toimijoiden katsotaan käsittelevän siinä määrin luottamuksellisia viestejä ja niihin liittyviä tunnistamistietoja sekä paikkatietoja, että on tarpeen säätää heidän palveluksessaan oleville, jotka käsittelevät näitä tietoja, erityinen vaitiolovelvollisuus. Vaitiolovelvollisuus laajenisi televiestinnän tietosuojalain 7 §:n vaitiolovelvollisuuden piiriin kuuluvista koskemaan myös lisäarvopalvelun tarjoajan ja yhteisötilaajan palveluksessa olevia. Lisäarvopalvelun tarjoajan palveluksessa olevat käsittelevät tunnistamistietoja ja paikkatietoja palvelujen toteuttamiseksi, joten on tarpeen säätää erityinen vaitiolovelvollisuus koskemaan myös heitä. Yhteisötilaajan palveluksessa olevat saattavat käsitellä suuriakin määriä viestejä ja tunnistamistietoja sekä paikkatietoja. On tarpeen, että myös ne henkilöt, jotka vastaavat esimerkiksi sähköpostiviestiliikenteestä yhteisöissä ovat erityisen vaitiolovelvollisuuden piirissä. Siten rikoslain 38 luvun vaitiolovelvollisuuden ja hyväksikäyttökiellon rikkomisesta säädetty tulisi koskemaan myös näitä henkilöitä.

Ehdotetussa 4 momentissa säädetään, että ehdotetussa 3 momentissa tarkoitettu vaitiolovelvollisuus on myös sillä, joka toimii tai on toiminut teleyrityksen, lisäarvopalvelun tarjoajan, yhteisötilaajan tai viestintämarkkinalain 137 §:ssä tarkoitetun teleurakoitsijan lukuun.

Ehdotetun momentin mukaan, jos teleyritys, lisäarvopalvelun tarjoaja, yhteisötilaaja tai viestintämarkkinalain 137 §:ssä tarkoitettu teleurakoitsija tekee esimerkiksi alihankintasopimuksen toisen yrityksen kanssa näiden palvelujen tarjoamisessa tai käyttämisessä tarvittavien tietojen käsittelystä, laajenisi vaitiolovelvollisuus myös näihin tahoihin.

Ehdotetulla pykälällä pannaan täytäntöön sähköisen viestinnän tietosuojadirektiivin 5 artiklan 1 kohdan vaatimukset. Sähköisen viestinnän tietosuojadirektiivin 5 artiklan 1 kohta edellyttää jäsenvaltioilta, että ne erityisesti kieltävät muiden henkilöiden kuin käyttäjien ilman käyttäjien nimenomaista suostumusta tapahtuvan viestien tai liikennetietojen kuuntelun, salakuuntelun, tallentamisen tai muulla tavoin tapahtuvan sieppauksen tai valvomisen.

6 §. Viestin ja tunnistamistietojen suojaaminen. Ehdotetun 1 momentin mukaan tilaajalla ja käyttäjällä on oikeus suojata viestinsä ja tunnistamistietonsa haluamallaan tavalla käyttäen hyväksi sitä varten tarjolla olevia teknisiä mahdollisuuksia, jollei laissa toisin säädetä. Suojauksen toteuttamisella ei saa häiritä verkkopalvelun ja viestintäpalvelun toteuttamista tai käyttämistä.

Ehdotetussa momentissa suojauksella tarkoitetaan käyttäjän oikeutta suojata viestinsä salaukseen perustuvilla tuotteilla tai muilla vastaavilla toimenpiteillä erityisesti viestin luottamuksellisuuden ja eheyden varmistamiseksi. Säännöksellä ei ole tarkoitus asettaa teleyrityksille tai lisäarvopalvelun tarjoajille velvollisuutta tarjota tilaajille ja käyttäjille sellaisia suojauspalveluita, jotka eivät sisälly ehdotetussa 19 §:ssä säädettyyn velvollisuuteen huolehtia palvelun tietoturvasta.

Tilaajan tai käyttäjän oikeus suojata viestinsä ei kuitenkaan ole ehdoton, vaan sitä voi rajoittaa muiden tahojen tarve häiriöttömään verkkopalvelun tai viestintäpalvelun toteuttamiseen tai käyttämiseen. Osa suojausmenetelmistä on sellaisia, että niistä saattaa aiheutua häiriöitä esimerkiksi yrityksen tai yhteisön palomuurien toiminnalle. Yrityksen tai yhteisön on tällöin voitava kieltää tai estää suojauksen käyttö. Ehdotettu momentti vastaa pääosin televiestinnän tietosuojalain 5 §:n 1 momenttia.

Ehdotetun 2 momentin mukaan sähköisen viestinnän teknisen suojauksen purkavan järjestelmän tai sen osan hallussapito, maahantuonti, valmistaminen ja levittäminen on kielletty, jos järjestelmän tai sen osan ensisijaisena käyttötarkoituksena on teknisen suojauksen oikeudeton purku. Sähköisellä viestinnällä tarkoitetaan ehdotetussa pykälässä sekä yksittäisten viestien ja tunnistamistietojen suojausta että yleisempää viestintäverkoissa tehtävää viestinnän suojausta. On huomattava, että ehdotetulla momentilla ei ole tarkoitus yleisesti ottaen kieltää suojauksen purkujärjestelmien valmistusta, maahantuontia, erilaisia levittämistapoja ja hallussa pitoa, vaan kielto tulee kyseeseen niissä tapauksissa, joissa suojauksen purkujärjestelmien ensisijaisena käyttötarkoituksena on teknisen suojauksen oikeudeton purku. Ensisijaisena käyttötarkoituksena tulee pitää sitä tarkoitusta, joka kaikki seikat ja olosuhteet huomioon ottaen objektiivisesti arvioiden näyttää ilmeisimmältä tarkoitukselta. Laitevalmistajat eivät vastaa siitä, jos joku esimerkiksi käyttää väärin toimijan valmistamaa oikeutettua suojauksen purkua varten tarkoitettua järjestelmää tai sen osaa.

Ehdotettua 2 momenttia vastaava säännös oli Suomen lainsäädännössä jo teletoimintalain (183/1987) 29 a §:ssä. Vastaava säännös on myös sisältynyt sekä telemarkkinalakiin (396/1997) että televiestinnän tietosuojalakiin. Viimeksi mainitun lain 5 §:n 2 momentissa kielletään televiestinnän teknisen suojauksen purkavan järjestelmän oikeudeton hallussapito. Kyseisen lain hallituksen esityksen (HE 146/2000 vp) perusteluissa oikeudettomalla hallussapidolla tarkoitetaan muun muassa oikeudetonta hallussapitoa myynti- ja maahantuontitarkoituksessa sekä käyttötarkoituksessa. Ehdotetulla pykälällä ei siten pyritä muuttamaan vallitsevaa oikeustilaa, vaan sillä on pyritty selkeyttämään sääntelyä.

Sähköisen viestinnän teknisen suojauksen purkavan järjestelmän oikeudeton käyttö on kielletty rikoslain 38 luvun 3 §:n, 4 §:n ja 8 §:n nojalla. Rikoslain 38 luvun 3 §:n mukaan viestintäsalaisuuden loukkaukseen syyllistyy muun muassa se, joka suojauksen murtaen hankkii tiedon sähköisesti tai muulla vastaavalla teknisellä keinolla tallennetusta, ulkopuoliselta suojatusta viestistä tai hankkii tiedon televerkossa välitettävänä olevan puhelun, sähkeen, tekstin-, kuvan- tai datasiirron taikka muun vastaavan televiestin sisällöstä taikka tällaisen viestin lähettämisestä tai vastaanottamisesta. Näin ollen esimerkiksi ehdotetussa 1 momentissa säädetty viestinnän osapuolten oikeus suojata viestinsä ja tunnistamistietonsa haluamallaan tavalla nauttii suojaa edellä mainitun rikoslain pykälän kautta. Törkeästä tekomuodosta on säädetty rikoslain 38 luvun 4 §:ssä. Koventamisperusteena toimii sanotun pykälän 1 momentin 2 kohdan mukaan muun muassa se, että rikoksentekijä käyttää rikoksen tekemistä varten suunniteltua tai muunnettua tietojenkäsittelyohjelmaa tai teknistä erikoislaitetta tai rikos muutoin tehdään erityisen suunnitelmallisesti.

Rikoslain 38 luvun 8 §:n mukaan tietomurtoon syyllistyy se, joka käyttämällä hänelle kuulumatonta käyttäjätunnusta taikka turvajärjestelyn muutoin murtamalla oikeudettomasti tunkeutuu tietojärjestelmään, jossa sähköisesti tai muulla vastaavalla teknisellä keinolla käsitellään, varastoidaan tai siirretään tietoja, taikka sellaisen järjestelmän erikseen suojattuun osaan. Säännöksen kautta suojaa saavat muun muassa operaattoreiden tekemät GSM-verkkojen tai dataverkkojen suojaukset.

Lisäksi maksullisten televisio- ja radiolähetysten sekä vastaanottajan henkilökohtaisesta pyynnöstä toteutettavien etäpalvelujen teknisen suojauksen oikeudettomasta purkamisesta on säädetty lailla eräiden suojauksen purkujärjestelmien kieltämisestä (1117/2001). Lain 3 §:ssä tarkoitetun kiellon rikkominen on säädetty rangaistavaksi lain 6 §:n 2 momentin mukaisena suojauksen purkujärjestelmärikkomuksena. Mikäli kyse on kuitenkin ansiotarkoituksessa harjoitetusta toiminnasta, sovellettavaksi tulee lain 6 §:n 1 momentin mukaisesti rikoslain 38 luvun 8 a §:ssä säädetty suojauksen purkujärjestelmärikos.

Ehdotetun 2 momentin rikkomisesta ehdotetaan säädettäväksi rangaistus 42 §:n 2 momentin 1 kohdassa. Vastaavasti televiestinnän tietosuojalain 5 §:n 2 momentissa tarkoitettu kielto on säädetty rangaistavaksi televiestinnän tietosuojalain 27 §:n 1 momentin 1 kohdan mukaisesti.

Edellä mainitun lainsäädännön lisäksi Suomessa on valmisteilla lainsäädäntöä, joka on seurausta Euroopan parlamentin ja neuvoston 22 päivänä toukokuuta 2001 antamasta direktiivistä 2001/29/EY, joka koskee tekijänoikeuksien ja lähioikeuksien tiettyjen piirteiden yhdenmukaistamista tietoyhteiskunnassa. Tämä lainsäädäntö tulee myös sisältämään säännöksiä, jotka liittyvät teknisen suojauksen purkamiseen.

Ehdotetun 3 momentin mukaan Viestintävirasto voi antaa hyväksyttävästä syystä luvan poiketa ehdotetussa 2 momentissa tarkoitetusta kiellosta. Säännös vastaa televiestinnän tietosuojalain 5 §:n 2 momentissa säädettyä. Käytännössä luvan antaminen voi tulla kyseeseen erittäin harvinaisissa tapauksissa, esimerkkinä tutkimus- tai tuotekehittelytarkoitukset. On huomattava, että tällöinkään Viestintävirasto ei voi antaa lupaa käyttää suojauksen purkujärjestelmää vastoin rikoslain edellä mainittuja pykäliä.

7 §. Palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö. Ehdotetun 1 momentin mukaan viestintäverkkojen avulla toteutettu evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö on sallittua, jos palvelun tarjoaja antaa käyttäjälle ymmärrettävät ja kattavat tiedot tallentamisen tai käytön tarkoituksesta. Samalla palvelun käyttäjälle on annettava mahdollisuus kieltää momentissa tarkoitettu tallentaminen tai käyttö.

Viestintäpalvelun tai tietoyhteiskunnan palvelujen tarjoamisesta annetun lain mukaisen tietoyhteiskunnan palvelun käytöstä voidaan kerätä tietoja monella eri tavalla. Esimerkkejä tällaisista menetelmistä ovat niin sanotut evästeet eli cookiet, joille ei vielä ole olemassa vakiintunutta suomenkielistä käännöstä.

Evästeellä tarkoitetaan tietoa, jonka palvelun tarjoajan palvelin lähettää käyttäjän selainohjelmalle pyytäen selainta tallentamaan tiedon käyttäjän päätelaitteelle, ja jota kyseinen palvelun tarjoajan palvelin voi myöhemmin pyytää takaisin. Yleensä kyse on pienestä tietomäärästä, esimerkiksi lyhyestä tekstirivistä. Evästeiden käytön tarkoituksena on yleensä helpottaa palvelun käyttöä muun muassa tilanteissa, joissa käyttäjä on antanut informaatiota esimerkiksi kiinnostuksensa kohteista tai sitä on muuten kertynyt palvelun käytön yhteydessä. Kun käyttäjä seuraavan kerran ottaa yhteyden saman palvelun tarjoajan palvelimeen, käyttäjän selainohjelma palauttaa evästeen takaisin palvelun tarjoajan palvelimelle. Evästeen voi lukea vain se palvelin, joka sen on lähettänytkin, eli eväste siirtää tietoa tietyn palvelimen eri käyttökertojen välillä. Evästeet eivät siten yleensä voi siirtää tietoja palvelimesta toiseen.

Käyttäjä voi itse selaimensa asetuksia muuttamalla määritellä, salliiko hän evästeiden tallentumisen päätelaitteelleen. Useat tietoyhteiskunnan palvelut on kuitenkin toteutettu siten, että ne eivät ole käytettävissä ilman jonkinlaista palvelun käyttöä kuvaavan tiedon tallentamista. Esimerkiksi tämän hetkiset verkkopankkipalvelut on toteutettu siten, että ne eivät käytännössä toimi ilman evästeitä. Käyttäjä voi myös poistaa päätelaitteelleen jo tallennetun evästeen joko selaimen sisäänrakennetulla toiminnolla, erillisellä poisto-ohjelmalla tai erikseen. Jos käyttäjä poistaa evästeen, palvelu ei tunnista käyttäjän päätelaitetta, kun käyttäjä vierailee sivustolla seuraavan kerran. Tällöin palvelu pyrkii tallentamaan käyttäjän päätelaitteelle uuden evästeen.

Käytetystä menetelmästä riippuen käyttäjistä tai palvelun käytöstä kerätty tieto voidaan teknisesti tallentaa esimerkiksi käyttäjän päätelaitteelle, erilaisiin tiedostoihin tai palvelun tarjoajan omalle palvelimelle. On huomattava, että ehdotetussa 1 momentissa rajoitetaan evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentamista ainoastaan käyttäjän päätelaitteelle. Ehdotettu 1 momentti ei siten koske tietojen keräämistä ja tallentamista, jollekin muulle alustalle kuin käyttäjän päätelaitteelle, esimerkiksi kävijämäärän mittausta varten. Tällaiseen toimintaan sovelletaan henkilötietolain henkilötietojen käsittelyä koskevia säännöksiä, mikäli tiedot ovat yhdistettävissä luonnolliseen henkilöön. Jos palvelun käyttöä kuvaavan tiedon tallentaminen tapahtuu viestintäverkkojen avulla ja käyttäjän päätelaitteelle, se edellyttää joko ehdotetussa 1 momentissa tarkoitettujen tietojen antamista ja kieltomahdollisuuden toteuttamista palvelun käyttäjälle tai ehdotetussa 2 momentissa tarkoitettujen edellytysten täyttymistä.

Ehdotetussa 1 momentissa tarkoitetaan palvelun tarjoajalla sitä tahoa, joka toteuttaa palvelun käyttöä kuvaavien tietojen tallentamisen käyttäjän päätelaitteelle tai käyttää näitä tietoja. Käytännössä momentissa tarkoitettu palvelun tarjoaja on useimmissa tapauksissa tietoyhteiskunnan palvelujen tarjoaja. Tietoyhteiskunnan palveluissa välitetään informaatiota tai muuta sisältöä viestintäverkkojen avulla. Tietoyhteiskunnan palvelut voidaan toteuttaa erilaisten verkkosivustojen kautta tai esimerkiksi tekstiviestien välityksellä. Tietoyhteiskunnan palveluja ovat esimerkiksi verkkopankkipalvelut, ääntä, kuvaa tai muuta vastaavaa sisältöä välittävät erilaiset viihdepalvelut, erilaiset tiedonhakupalvelut sekä uutispalvelut.

Ehdotetun 1 momentin tiedonantovelvollisuuden tarkoituksena on varmistaa, että käyttäjä on tietoinen päätelaitteelleen saapuvista häntä tai hänen toimintaansa koskevista tiedoista. Tallentamista koskeva tieto ja tallentamisen kieltomahdollisuus voidaan tarjota yhdellä kertaa useiden saman yhteyden aikana päätelaitteelle tallennettavien tietojen osalta. Nämä annettavat tiedot voivat koskea samalla tietojen mahdollista muuta käyttöä kuin tallentamista palvelun myöhempien käyttökertojen yhteydessä. Tietojen ja kieltomahdollisuuden antamiseksi toteutettavien menettelyjen tulisi olla mahdollisimman käyttäjäystävällisiä.

Käyttäjien päätelaitteet ja tällaisille päätelaitteille tallennetut tiedot kuuluvat käyttäjän yksityisyyden suojan piiriin. Koska kysymys on käyttäjän omaan päätelaitteeseen ja siihen tallennettuihin tietoihin tunkeutumisesta, ehdotetun 1 momentin perusteella käyttäjälle annettavien tietojen tulee olla selkeät ja kattavat, jotta hän osaa arvioida, tuleeko hänen käyttää kielto-oikeuttaan. Koska kysymyksessä on suhteellisen vaikeasti ymmärrettävä asia, annettujen tietojen tulisi olla lähtökohtaisesti käyttäjän äidinkielellä.

Ehdotetulla 1 momentilla ei velvoiteta palvelun tarjoajaa tallentamaan käyttäjän mahdollisesti ilmaisemaa tallentamiskieltoa myöhempää käyttöä varten. Palvelun tarjoaja ei siten ole velvollinen keräämään kieltorekisteriä palvelunsa käyttäjistä siten, että jos tallentamiskiellon antanut käyttäjä myöhemmin tulisi palvelun tarjoajan sivustolle, palvelussa ei enää pyrittäisi tallentamaan käyttäjän päätelaitteelle palvelun käyttöä kuvaavia tietoja. Kieltomahdollisuuden antamisella pyritään ainoastaan siihen, että käyttäjällä on oltava mahdollisuus kieltää tietojen tallentaminen omalle päätelaitteelleen yksittäisen palvelun käyttökerran yhteydessä.

Ehdotetun 2 momentin mukaan ehdotetussa 1 momentissa säädetty ei koske sellaista tietojen tallentamista tai käyttöä, jonka ainoana tarkoituksena on toteuttaa tai helpottaa viestinnän välittämistä viestintäverkoissa tai joka on välttämätöntä sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt.

Palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle on sallittua aina silloin, jos käyttäjä pyytää tiettyä palvelua ja kyseisten tietojen tallentaminen on välttämätöntä kyseisen palvelun tarjoamiseksi. Tällöin käyttäjälle ei tarvitse myöskään antaa ehdotetussa 1 momentissa tarkoitettuja tallentamisen tarkoitusta koskevia tietoja eikä toteuttaa kieltomahdollisuutta. Tilanne saattaa olla tällainen esimerkiksi verkkopankkipalvelujen käytön yhteydessä. Lähtökohtaisesti katsotaan, että ehdotetussa 1 momentissa tarkoitettu ei koske myöskään sellaista yhteisötilaajan toteuttamaa evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentamista tai käyttöä, jolla helpotetaan viestintäpalvelujen käyttämistä yhteisötilaajan omien käyttäjien piirissä tai jonka katsotaan olevan välttämätöntä yhteisötilaajan rajoitetulle käyttäjäpiirille toteuttaman toiminnan kannalta.

Ehdotetun 3 momentin mukaan ehdotetussa pykälässä tarkoitettu tallentaminen ja käyttö on sallittua ainoastaan palvelun vaatimassa laajuudessa ja se on toteutettava yksityisyyden suojaa tarpeettomasti vaarantamatta. Luvaton käyttö on säädetty rangaistavaksi rikoslain 28 luvun 7 ja 8 §:ssä.

Ehdotetulla pykälällä pannaan täytäntöön sähköisen viestinnän tietosuojadirektiivin 5 artiklan 3 kohta, jonka mukaan jäsenvaltioiden on varmistettava, että sähköisten viestintäverkkojen käyttö tietojen tallentamiseksi tai tilaajan tai käyttäjän päätelaitteelle tallennettujen tietojen käyttämiseen sallitaan ainoastaan sillä edellytyksellä, että kyseiselle tilaajalle tai käyttäjälle annetaan selkeät ja kattavat tiedot muun muassa käsittelyn tarkoituksesta henkilötietodirektiivin mukaisesti ja että hänelle annetaan oikeus kieltää tietojen käsittelystä vastaavaa tahoa suorittamasta tällaista käsittelyä. Tämä ei estä teknistä tallentamista tai käyttöä, jonka ainoana tarkoituksena on toteuttaa viestinnän välittäminen sähköisissä viestintäverkoissa tai helpottaa sitä tai joka on ehdottoman välttämätöntä sellaisen tietoyhteiskunnan palvelun tarjoamiseksi, jota tilaaja tai käyttäjä on erityisesti pyytänyt.

3 luku. Viestien ja tunnistamistietojen käsittely

8 §. Yleiset käsittelysäännöt. Ehdotetun 1 momentin mukaan viestin lähettäjä tai se, jolle viesti on tarkoitettu, voi käsitellä omia viestejään ja niihin liittyviä tunnistamistietoja, jollei jäljempänä tässä tai muussa laissa toisin säädetä.

Jokaisella on oikeus määrätä lähettämistään viesteistä ja niihin liittyvistä tunnistamistiedoista. Myös sillä, joka ottaa vastaan viestin ja jolle se on tarkoitettu, on oikeus käsitellä saamiansa viestejä ja niihin liittyviä tunnistamistietoja. Ehdotetun momentin on tarkoitus olla informatiivinen, jotta tavanomaisen käsittelyn suhteen ei olisi epäselvyyttä siitä, saako omia viestejään tai niihin liittyviä tunnistamistietoja käsitellä. Viestin osapuolen käsittelyoikeus ei edellytä mitään ehdotetussa laissa säädettyä erityistä käyttötarkoitusta. Ehdotettu momentti sallii siten esimerkiksi sähköpostiviestien tallentamisen omalle päätelaitteelle.

Ehdotetun pykälän mukaan tapauksesta riippuen osapuoli voi olla joko luonnollinen henkilö tai oikeushenkilö. Oikeushenkilö voi lähtökohtaisesti olla viestinnän osapuoli ainoastaan niissä tilanteissa, joissa viestit liittyvät yksiselitteisesti oikeushenkilön harjoittamaan toimintaan. Esimerkiksi jos luonnollinen henkilö lähettää energiayritykselle omakotitalonsa lämmitysöljytilauksen, viestin voitaneen arvioida tarkoitetun öljytoimituksen suorittavalle oikeushenkilölle, eikä öljytilauksia käsittelevälle yksittäiselle luonnolliselle henkilölle.

Viestejä ja niihin liittyviä tunnistamistietoja voidaan käsitellä esimerkiksi puheluiden, sähköpostiviestien tai tekstiviestien siirtämiseksi lähettäjältä vastaanottajalle tai sopimusten ja muiden oikeustoimien syntymisen varmentamiseksi. Tämä tarkoittaa esimerkiksi normaalin liiketoiminnan piirissä todisteeksi liiketapahtumasta tai muusta liiketoimintaan liittyvästä viestinnästä tapahtuvaa viestinnän nauhoittamista. Henkilörekisterin muodostumiseen liittyvistä tiedottamisvelvollisuuksista säädetään henkilötietolain 6 luvussa.

Osapuolelle annettu oikeus käsitellä viestejä saattaa olla tarpeen myös esimerkiksi turvallisuuden tai muun merkittävän syyn vuoksi. Esimerkiksi puhelimitse vastaanotettujen uhkausten selvittämiseksi puhelun tallentaminen voi olla tärkeää.

On huomattava, että muualla lainsäädännössä viestiin sisältyvät tiedot saattavat olla sellaisia, ettei myöskään viestin vastaanottajaksi tarkoitettu voi käsitellä viestiä aivan vapaasti. Tällaisia tietoja voivat olla esimerkiksi laissa potilaan asemasta ja oikeuksista (785/1992) salassa pidettäviksi määritellyt potilasasiakirjojen tiedot.

Ehdotetussa 2 momentissa annetaan oikeus käsitellä luottamuksellisia viestejä ja tunnistamistietoja viestin lähettäjän tai sen, jolle viesti on tarkoitettu suostumuksella tai jos laissa niin säädetään.

Ehdotetun 2 momentin mukaisesti vain viestin lähettäjä ja se, jolle viesti on tarkoitettu voivat antaa suostumuksen omien viestiensä ja tunnistamistietojensa käsittelyyn. Siten ehdotetun 5 §:n 1 momentin mukainen vaitiolovelvollisuus ja hyväksikäyttökielto kohdistuvat sellaiseen viestin vastaanottajaan, jolle viestiä ei ole tarkoitettu.

Ehdotetun 3 momentin mukaan jäljempänä 9 - 14 §:ssä tarkoitettu käsittely on sallittua ainoastaan käsittelyn tarkoituksen vaatimassa laajuudessa ja se on toteutettava luottamuksellisen viestin ja yksityisyyden suojaa tarpeettomasti vaarantamatta. Käsittelyn jälkeen viestit ja tunnistamistiedot on hävitettävä tai tehtävä sellaisiksi, ettei niitä voi yhdistää tilaajaan tai käyttäjään, ellei laissa toisin säädetä.

Ehdotetun momentin tarkoituksena on rajoittaa käyttötarkoitusta ja samalla informoida viesteihin liittyvien tunnistamistietojen käsittelijää siitä, että kaikissa tilanteissa, kun viesteihin liittyviä tunnistamistietoja käsitellään, on tarkoitus käsittelylle löydyttävä laista ja muuhun kuin kyseiseen tarkoitukseen ei käsittelyä saa suorittaa. Esimerkiksi käsittely laskutusta varten tai teknisen vian havaitsemiseksi on ehdotettujen pykälien mukaan mahdollista. Nämä ehdotetut säännökset mahdollistavat siten myös esimerkiksi laskutukseen ja teknisen vian etsimiseen suoritettavan asiakaspalvelun. Käsittely on myös suunniteltava ja toteutettava siten, ettei luottamuksellisen viestin tai yksityisyyden suoja tarpeettomasti vaarannu. Esimerkiksi tunnistamistietojen luovuttaminen tai tallentaminen tiettyyn tarkoitukseen on sallittua ainoastaan kyseisen käyttötarkoituksen sallimassa laajuudessa. Teleyritys ei voi luovuttaa tunnistamistietoja kolmannelle taholle, ellei se ole tarkoituksen kannalta välttämätöntä.

Tilaajiin ja käyttäjiin liittyvät tiedot, joita käsitellään sähköisissä viestintäverkoissa viestien siirtämiseksi, sisältävät tietoja luonnollisten henkilöiden yksityiselämästä ja koskevat heidän oikeuttaan yksityisyyden ja luottamuksellisen viestin suojaan sekä yritysten ja muiden yhteisöjen oikeutettuja etuja. Tällaisia tietoja voidaan siten käsitellä vain siinä määrin ja niin kauan, kuin se on käsittelyn kannalta välttämätöntä. Esimerkiksi puhelussa siirtäminen päättyy, kun toinen käyttäjistä katkaisee yhteyden. Tämän jälkeen viestit ja niihin liittyvät tunnistamistiedot on hävitettävä, ellei käsittelyn jatkamiselle ole muuta laissa säädettyä perustetta. Tunnistamistiedot voidaan myös tehdä sellaisiksi, ettei niitä voida yhdistää tilaajaan tai käyttäjään, jolloin käsittelyä voidaan jatkaa esimerkiksi tilastollisiin tarpeisiin. Käsittelytarkoituksista säädetään ehdotetuissa 9 – 14 §:ssä. Ehdotetulla pykälällä sekä 9 – 14 §:llä tehdään mahdolliseksi poiketa 4 §:ssä säädetystä luottamuksellisen viestin suojasta.

Ehdotetulla momentilla pannaan täytäntöön sähköisen viestinnän tietosuojadirektiivin 6 artiklan 1 kohta.

9 §. Tunnistamistietojen käsittely palvelujen toteuttamiseksi ja käyttämiseksi. Ehdotetun 1 momentin mukaan tunnistamistietoja saa käsitellä siinä määrin kuin se on tarpeen verkkopalvelun, viestintäpalvelun tai lisäarvopalvelun toteuttamiseksi ja käyttämiseksi sekä näiden tietoturvasta huolehtimiseksi.

Ehdotetun momentin mukaan tavanomainen tunnistamistietojen käsittely verkkopalvelun, viestintäpalvelun tai lisäarvopalvelun toteuttamiseksi ja käyttämiseksi on sallittua. Teleyritykset ja muut palvelun tarjoajat sekä yhteisötilaajat voivat käsitellä viesteihin liittyviä tunnistamistietoja esimerkiksi puheluiden, sähköpostiviestien tai tekstiviestien siirtämiseen lähettäjältä vastaanottajalle. Esimerkiksi yritykset ja muut yhteisöt voivat siten käsitellä tunnistamistietoja sekä viestintäpalvelua hyödyntävässä toiminnassaan että yrityksen omien viestintäpalvelujen käytössä.

Ehdotetussa momentissa annetaan myös yleinen käsittelyoikeus verkkopalvelun, viestintäpalvelun ja lisäarvopalvelun tietoturvasta huolehtimiseksi. Esimerkiksi lokitietojen säilyttämisen voidaan katsoa olevan välttämätöntä järjestelmän toiminnan varmistamiseksi sekä viestien eheyden että viestintätapahtumien jälkikäteiseksi todentamiseksi. Varsinaiset tietoturvaa koskevat säännökset on koottu ehdotetun lain 5 lukuun.

Käsittelyn määritelmään sisältyy myös tunnistamistietojen luovuttaminen. Näin ollen käsittelyyn oikeutetut voivat myös luovuttaa tunnistamistietoja toisilleen. On kuitenkin huomattava, että luovutus voi tapahtua ainoastaan niille tahoille, joilla on oikeus käsitellä tunnistamistietoja kyseisessä tilanteessa. Ehdotetun 8 §:n 3 momentissa rajataan käsittely ainoastaan käsittelyn käyttötarkoitukseen. Sitä laajemmalle menevä käsittely on kiellettyä.

Ehdotettu momentti vastaa televiestinnän tietosuojalain 12 §:n 1 momenttia, jonka mukaan teleyritys saa tietyn ajan itse käsitellä ja luovuttaa toiselle teleyritykselle tunnistamistietoja televerkon ja telepalveluiden ylläpitoon. Ehdotetulla momentilla pannaan täytäntöön sähköisen viestinnän tietosuojadirektiivin 5 artiklan 1 kohta.

Ehdotetussa 2 momentissa säädetään, että tunnistamistietoja saa käsitellä vain teleyrityksen, lisäarvopalvelun tarjoajan ja yhteisötilaajan palveluksessa oleva sekä näiden lukuun toimiva luonnollinen henkilö, jonka tehtävänä on käsitellä tietoja ehdotetussa 1 momentissa ja 10 - 14 §:ssä erikseen säädettyjen tarkoitusten toteuttamiseksi.

Sähköisissä viestintäverkoissa käsitellään tietoja, jotka liittyvät tilaajien ja käyttäjien yksityiselämään tai oikeushenkilöiden kohdalla heidän oikeutettuihin etuihinsa. Näin ollen on tarpeen rajata niiden luonnollisten henkilöiden piiriä, jotka käsittelevät tunnistamistietoja.

Ehdotetulla momentilla pannaan täytäntöön sähköisen viestinnän tietosuojadirektiivin 6 artiklan 5 kohta.

10 §. Käsittely laskutusta varten. Ehdotetun 1 momentin mukaan teleyritys ja lisäarvopalvelun tarjoaja voi käsitellä keskinäisten maksujensa määrittämistä ja laskutusta varten välttämättömiä tunnistamistietoja.

Laskutusta varten teleyritys ja lisäarvopalvelun tarjoaja voi käsitellä ehdotetussa 1 momentissa mainittuja tunnistamistietoja, jotka ovat välttämättömiä erilaisten palveluista perittävien maksujen määrittämiseksi ja laskujen perimiseksi. Voimassa olevan televiestinnän tietosuojalain 10 §:n mukaan tarvittavia tunnistamistietoja ovat telepäätelaitteen numero, tunniste tai tyyppi ja vastaanottavan liittymän numero tai muu tunniste sekä teleyhteyden alkamisajankohta että teleyhteyden muoto ja kesto, siirretty tietomäärä samoin kuin muut maksun määrittämiseksi tarpeelliset tunnistamistiedot. Viestintäpalvelujen nopea kehittyminen on kuitenkin vaikeasti ennakoitavissa ja erityyppisten tunnistamistietojen käyttö laskutuksen perustana saattaa tulla tarpeellisiksi palvelujen kehittyessä, mistä syystä luettelon sisällyttäminen ehdotettuun momenttiin ei ole perusteltua.

Ehdotetun 2 momentin mukaan yhteisötilaaja voi käsitellä sisäistä laskutustaan varten välttämättömiä tunnistamistietoja.

Yhteisötilaajalla voi olla käytössään esimerkiksi digitaalinen puhelinkeskus, josta on helposti saatavilla tiedot kaikista tietyn keskuksen kautta otetuista puheluista. Yhteisötilaaja voi käyttää näitä tunnistamistietoja laskuttaakseen käyttäjiä liittymiensä käytöstä. Samoin esimerkiksi sähköpostien lähettämisestä voidaan ehdotetun momentin mukaan laskuttaa. Laskutusta varten tarpeellisten tietojen käsittelyllä ei saa kuitenkaan vaarantaa viestinnän luottamuksellisuutta ja yksityisyyden suojaa. Tunnistamistietoja voidaan käsitellä yhteisötilaajan laskutuksessa ainoastaan siten, ettei viestinnän toista osapuolta voida tunnistaa. Laskun yhteyskohtaisesta erittelystä säädetään ehdotetussa 24 §:ssä.

Ehdotetun 3 momentin mukaan tietoyhteiskunnan palvelujen tarjoamisesta annetussa laissa (458/2002) tarkoitettu tietoyhteiskunnan palvelun tarjoaja voi käsitellä teleyrityksen hallinnoiman viestintäverkon välityksellä tarjottavien kuvatallenteiden, äänitallenteiden ja muiden maksullisten palvelujensa laskutusta varten välttämättömiä tunnistamistietoja ja muita laskutuksen kannalta välttämättömiä tietoja, jos tilaaja tai käyttäjä, jota tiedot koskevat, on antanut siihen suostumuksensa.

Ehdotetussa momentissa tarkoitettuja ja laskutuskäsittelyn oikeuttavia maksullisia tietoyhteiskunnan palveluja ovat esimerkiksi matkaviestimiin tai muihin viestintäverkkojen päätelaitteisiin käyttäjän erikseen pyytämät säätiedot, soittoäänet, musiikkikappaleet, videoelokuvat tai televisioidut urheilukilpailut. Ehdotetun momentin tarkoituksena on mahdollistaa tietoyhteiskunnan palvelun tarjoajalle sen omiin suoritteisiin liittyvän laskutuksen toteuttaminen. Tällä hetkellä kyseiset suoritteet laskutettaisiin teleyrityksen tilaajalle lähettämällä puhelinlaskulla, mitä menettelyä tietoyhteiskunnan palvelun tarjoajat pitävät keinotekoisena kilpailun rajoituksena ja ylimääräisiä kustannuksia aiheuttavana laskutuksen välivaiheena. Käytännössä ehdotetun momentin toteuttaminen edellyttää tietoyhteiskunnan palvelun tarjoajalta kykyä oman laskutusjärjestelmän luomiseen ja ylläpitoon ja asiakkaiden halua käyttää tällaiseen suoraan laskutukseen perustuvia palveluja. Olennaista on, että teleyritys ei saa luovuttaa ehdotetussa momentissa tarkoitettuja tietoja, jos tilaaja tai käyttäjä, jota tiedot koskevat, ei ole antanut siihen suostumustaan. Tietojen kohteen suostumukseen perustuvaa tunnistamistietojen luovuttamista ei ole pidettävä ongelmallisena yksityisyyden suojan kannalta.

Ehdotetun 4 momentin mukaan tietoyhteiskunnan palvelun tarjoajalla on oikeus saada teleyritykseltä 3 momentissa tarkoitetut tiedot. Luovutuksen saajaan sovelletaan, mitä tässä luvussa ja 2, 4 ja 5 luvussa on säädetään viestinnän luottamuksellisuudesta ja yksityisyyden suojasta, viestien ja tunnistamistietojen käsittelystä, paikkatietojen käsittelystä ja viestinnän tietoturvasta lisäarvopalvelun tarjoajan osalta.

Ehdotetussa momentissa annetaan tietoyhteiskunnan palvelujen tarjoajalle oikeus saada teleyritykseltä sellaiset tiedot, joiden luovuttamiseen tilaaja tai käyttäjät, jota tiedot koskevat, on antanut suostumuksensa. Teleyritys ei saa kieltäytyä tällaisten tietojen luovuttamisesta tietoyhteiskunnan palvelujen tarjoajalle. Teleyritys voi periä tietojen luovuttamisesta tietoyhteiskunnan palvelun tarjoajalta asianmukaisen maksun.

Laskun määräytymiseen liittyviä tietoja olisi säilytettävä ehdotetun 5 momentin mukaan vähintään kolme kuukautta laskun eräpäivästä tai tunnistamistiedon tallentumisesta riippuen siitä, kumpi näistä ajankohdista on myöhäisempi. Tietoja ei saa kuitenkaan säilyttää enää sen jälkeen, kun saatava on velan vanhentumisesta annetun lain (728/2003) mukaan vanhentunut. Laskua koskevan erimielisyyden synnyttyä laskua koskevat tiedot on kuitenkin säilytettävä siihen saakka, kunnes asia on sovittu tai ratkaistu.

Velan vanhentumisesta annetun lain 4 §:ssä säädetään yleisestä vanhentumisajasta siten, että velka vanhentuu kolmen vuoden kuluttua kyseisen lain 5, 6 ja 7 §:ssä tarkoitetusta ajankohdasta, jollei vanhentumista ole sitä ennen katkaistu. Ehdotetun säännöksen kannalta oletettavasti yleisin vanhentumisajan alkaminen määräytyy kyseisen lain 5 §:n mukaisesti laskuun merkitystä eräpäivästä.

Nykyisin teleyrityksellä on asetuksella yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta säädetty velvollisuus säilyttää tunnistamistiedot vähintään kolmen kuukauden ajan laskun eräpäivästä. Kyseinen asetuksen säännös ehdotetaan sisällytettäväksi ehdotettuun momenttiin.

Televiestinnän tietosuojalain 10 §:n 2 momentin mukaan teleyritys saa käsitellä telelaskun määräytymiseen liittyviä tunnistamistietoja enintään kolmen vuoden ajan siitä, kun telelasku on kokonaan maksettu, ei kuitenkaan kauemmin kuin telelasku voidaan periä, jollei muualla laissa toisin säädetä. Ehdotetun momentin nojalla tunnistamistietoja ei saa käsitellä sen jälkeen, kun laskua ei enää voitaisi periä esimerkiksi vanhentumisen vuoksi, mikä kuluttajasaamisten osalta vastaisi televiestinnän tietosuojalain sääntelyä.

Ehdotettu säännös ei siten muuttaisi vallitsevaa oikeustilaa eikä tietojen tosiasiallista säilyttämisaikaa, mikä on koettu asianmukaiseksi sekä kuluttajaviranomaisten että teleyritysten kannalta.

Käsittelyn määritelmään sisältyy myös tunnistamistietojen luovuttaminen. Näin ollen käsittelyyn oikeutetut voivat myös luovuttaa tunnistamistietoja toisilleen. On kuitenkin huomattava, että luovutus voi tapahtua ainoastaan niille tahoille, joilla on oikeus käsitellä tunnistamistietoja kyseisessä tilanteessa.

Ehdotetussa 4 momentissa säädetään teleyrityksen ja lisäarvopalvelun tarjoajan velvollisuudesta ilmoittaa tilaajalle tai käyttäjälle, millaisia tunnistamistietoja käsitellään ja kuinka kauan niiden käsittely kestää. Tällainen ilmoittaminen voi tapahtua esimerkiksi liittymäsopimuksen tekemisen yhteydessä sopimustekstissä tai Internetissä julkaistavissa sopimusehdoissa.

Ehdotetulla pykälällä pannaan täytäntöön sähköisen viestinnän tietosuojadirektiivin 6 artiklan 2 ja 4 kohta.

11 §. Käsittely markkinointia varten. Ehdotetun 1 momentin mukaan teleyritys voi viestintäpalvelujen tai lisäarvopalvelujen markkinoimiseksi käsitellä tunnistamistietoja siinä määrin ja niin kauan kuin tällainen markkinointi edellyttää, jos tilaaja tai käyttäjä, jota tiedot koskevat, on antanut siihen suostumuksensa.

Ehdotetun 1 momentin mukainen markkinointi eroaa ehdotetun 26 §:n mukaisesta suoramarkkinoinnista asiakkaalle siten, että ehdotetun 11 §:n mukaan teleyritys voi markkinoida viestintäpalveluja ja lisäarvopalveluja esimerkiksi ilman sidonnaisuutta tiettyyn tuoteryhmään ja muussa kuin sähköisessä muodossa. Tilaajalta tai käyttäjältä, jota tiedot koskevat on kuitenkin aina pyydettävä nimenomainen suostumus. On myös selvää, että tunnistamistiedot, joita käsitellään markkinointia varten, voivat olla vain suostumuksen antavan tilaajan tai käyttäjän tietoja. Siten esimerkiksi tilaajan tai käyttäjän lähettämien viestien vastaanottajaa koskevia tunnistamistietoja suostumus ei kata.

Teleyritys voi käyttää markkinoinnissaan esimerkiksi asiakasrekisteriään henkilötietolainsäädännön mukaisesti. Tilaaja tai käyttäjä, jota tiedot koskevat, voi antaa markkinointia koskevan suostumuksensa esimerkiksi liittymäsopimuksen tekemisen yhteydessä. Käyttäjällä ehdotetussa pykälässä tarkoitetaan teleyritykselle ilmoitettua käyttäjää.

Ehdotettu 1 momentti vastaa sisällöllisesti televiestinnän tietosuojalain 11 §:ää, jonka mukaan tilaajan suostumuksella teleyritys voi käsitellä tietyn ajan tunnistamistietoja markkinoidakseen telepalveluitaan tai niihin välittömästi liittyviä muita palveluitaan, joiden tuottamisen yhteydessä tunnistamistiedot ovat syntyneet. Ehdotetulla momentilla pannaan täytäntöön sähköisen viestinnän tietosuojadirektiivin 6 artiklan 3 kohta, jonka mukaan yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoaja voi sähköisten viestintäpalvelujen markkinoimiseksi tai lisäarvopalvelujen tarjoamiseksi käsitellä tilaajia ja käyttäjiä koskevia liikennetietoja, joita yleisen viestintäverkon tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoaja käsittelee ja tallentaa siinä määrin ja niin kauan kuin tällainen palvelu tai markkinointi edellyttää, jos tilaaja tai käyttäjä, jota tiedot koskevat, on antanut siihen suostumuksensa. Käyttäjille tai tilaajille on annettava mahdollisuus perua liikennetietojen käsittelyä koskeva suostumuksensa milloin tahansa.

Direktiivin säännöksen on arvioitu tarkoittavan esimerkiksi teleyrityksen suorittamaa markkinointia, joka perustuu sijainnin ilmaisevaan tietoon esimerkiksi käyttäjän saapuessa maasta toiseen.

Ehdotetun 2 momentin mukaan teleyrityksen on ilmoitettava tilaajalle tai käyttäjälle ennen kuin tämä antaa suostumuksensa, millaisia tunnistamistietoja käsitellään ja kuinka kauan niiden käsittely kestää.

Teleyrityksen on selkeästi ilmoitettava, millaisia tunnistamistietoja se tulee käsittelemään markkinoinnissaan ja kuinka kauan näitä tietoja käsitellään, jotta se, joka suostumustaan on antamassa, pystyy selvästi arvioimaan, mistä markkinoinnissa on kysymys. Esimerkiksi, jos teleyritys käyttää markkinointiin sijainnin ilmaisevaa tunnistamistietoa, on tilaajalle tai käyttäjälle ennen suostumuksen antamista kerrottava, että nimenomaan tällaista tietoa käytetään.

Käsittelyn määritelmään sisältyy myös tunnistamistietojen luovuttaminen. Näin ollen käsittelyyn oikeutetut voivat myös luovuttaa tunnistamistietoja toisilleen. On kuitenkin huomattava, että luovutus voi tapahtua ainoastaan niille tahoille, joilla on oikeus käsitellä tunnistamistietoja kyseisessä tilanteessa.

Ehdotetulla 2 momentilla pannaan täytäntöön sähköisen viestinnän tietosuojadirektiivin 6 artiklan 4 kohta.

Ehdotetun 3 momentin mukaan suostumuksen antajalla on oltava mahdollisuus perua tunnistamistietojen käsittelyä koskeva suostumuksensa. Ehdotetun momentin mukainen suostumus on voitava peruuttaa milloin tahansa.

Ehdotetulla momentilla pannaan täytäntöön sähköisen viestinnän tietosuojadirektiivin 6 artiklan 3 kohdan suostumuksen peruuttamista koskeva kohta.

12 §. Käsittely teknistä kehittämistä varten. Ehdotetussa 1 momentissa annetaan oikeus teleyritykselle ja lisäarvopalvelun tarjoajalle käsitellä tunnistamistietoja palvelujen teknistä kehittämistä varten.

Ehdotettu momentti on tarpeellinen, jotta sähköisen viestinnän jo olemassa olevia palveluja voidaan kehittää ja luoda uusia palveluja markkinoille. Teleyritykset ja lisäarvopalvelun tarjoajat voivat käsitellä tunnistamistietoja niin kauan kuin se on tarpeellista palvelun teknisen kehittämisen kannalta. Teknisellä kehittämisellä tarkoitetaan esimerkiksi teknisen suorituskyvyn parantamista tai käytettävyyden lisäämistä. Käsittely tätä tarkoitusta varten on sallittua kuitenkin vain toimien vaatimassa laajuudessa ja se on toteutettava luottamuksellisen viestin ja yksityisyyden suojaa tarpeettomasti vaarantamatta, kuten ehdotetussa 8 §:n 3 momentissa edellytetään.

Ehdotetun pykälän 2 momentissa edellytetään, että teleyrityksen ja lisäarvopalvelun tarjoajan on ennen 1 momentissa tarkoitetun käsittelyn aloittamista ilmoitettava tilaajalle tai käyttäjälle, millaisia tunnistamistietoja käsitellään ja kuinka kauan niiden käsittely kestää.

Ehdotetun momentin mukainen teleyrityksen tai lisäarvopalvelun tarjoajan ilmoitus voidaan antaa joko tilaajalle tai käyttäjälle. Ilmoitus voidaan antaa esimerkiksi liittymäsopimuksessa tai teleyrityksen tai lisäarvopalvelun tarjoajan kotisivuilla.

Ehdotetun pykälän 3 momentin mukaan yhteisötilaaja voi käsitellä tunnistamistietoja oman toimintansa teknistä kehittämistä varten.

On välttämätöntä, että myös yhteisötilaaja voi oman toimintansa teknistä kehittämistä varten käsitellä tunnistamistietoja, esimerkiksi omien viestintäverkkojensa välityskapasiteetin testaamiseksi tai muutoin viestintäpalvelujen käytettävyyden optimoimiseksi. Käsittely tätä tarkoitusta varten on sallittua kuitenkin vain toimien vaatimassa laajuudessa ja se on toteutettava luottamuksellisen viestin ja yksityisyyden suojaa tarpeettomasti vaarantamatta. Toiminnan teknisen suorituskyvyn kehittämiseksi tietoja ei saa käsitellä siten, että ehdotetun 24 §:n laskun yhteyskohtaista erittelyä koskeva sääntelyn tarkoitusta tarpeettomasti heikennetään.

Käsittelyn määritelmään sisältyy myös tunnistamistietojen luovuttaminen. Ehdotetun pykälän mukaan käsittelyyn oikeutetut voivat näin ollen myös luovuttaa tunnistamistietoja toisilleen. On kuitenkin huomattava, että luovutus voi tapahtua ainoastaan niille tahoille, joilla on oikeus käsitellä tunnistamistietoja kyseisessä tilanteessa.

Ehdotettu momentti vastaa televiestinnän tietosuojalain 12 §:n 1 momenttia, jonka mukaan teleyritys saa itse käsitellä ja luovuttaa toiselle teleyritykselle tunnistamistietoja televerkon ja -palveluiden kehitykseen.

13 §. Käsittely väärinkäytöstapauksissa. Ehdotetun pykälän mukaan teleyritys, lisäarvopalvelun tarjoaja ja yhteisötilaaja voi käsitellä tunnistamistietoja, jos se on tarpeen verkkopalvelun, viestintäpalvelun tai lisäarvopalvelun käyttöä koskevien väärinkäytösten havaitsemiseksi, estämiseksi ja selvittämiseksi sekä esitutkintaan saattamiseksi.

Ehdotetun pykälän mukaan teleyritykset, lisäarvopalvelun tarjoajat ja yhteisötilaajat voivat käsitellä tunnistamistietoja sellaisten väärinkäytösten takia, jotka kohdistuvat palvelujen käyttämiseen. Esimerkkinä tällaisesta väärinkäytöksestä voi olla yhteyden ottaminen maksulliseen palveluun oikeudettomasti hankitulla salasanalla tai sinänsä maksuttoman palvelun käyttäminen olennaisesti muuhun tarkoitukseen kuin palvelun tarjoajan kanssa on sovittu. Ehdotettu momentti oikeuttaa havainnoimaan ja estämään väärinkäytöksiä, mutta jättää rikoksen esitutkinnan yksinomaan esitutkintaviranomaisille.

Tunnistamistietojen luovutusoikeus on välttämätön, jotta väärinkäytöstapaukset pystyttäisiin käytännössä havaitsemaan, estämään ja selvittämään sekä saattamaan esitutkintaan. Kuten muissakin ehdotetuissa käsittelyä koskevissa säännöksissä, myös ehdotetussa pykälässä käsittely rajautuu vain pykälän sallimaan tarkoitukseen ja luovutuskin on siten sallittua vain tässä tarkoituksessa. Tietojen luovuttajan on varmistuttava siitä, ettei luovuttamisella tarpeettomasti vaaranneta luottamuksellisen viestin tai yksityisyyden suojaa, kuten ehdotetussa 8 §:n 3 momentissa edellytetään. Esimerkiksi tilanteissa, joissa väärinkäytökset koskevat usean palvelun tarjoajan palveluja ja viestintäverkkoja tai yhteisötilaajien sisäisiä verkkoja, palvelun tarjoajat ja yhteisötilaajat pystyvät käytännössä vastaamaan väärinkäytöksiin ainoastaan yhteisin toimin. On kuitenkin huomattava, että tunnistamistietojen luovutus voi näissä tilanteissa tapahtua ainoastaan niille tahoille, joilla on oikeus käsitellä tunnistamistietoja kyseisessä tilanteessa.

Ehdotettu momentti vastaa televiestinnän tietosuojalain 12 §:n 1 momenttia, jonka mukaan teleyritys saa itse käsitellä ja luovuttaa toiselle teleyritykselle tunnistamistietoja väärinkäytösten ehkäisyyn ja tutkintaan liittyvien tehtävien hoitamiseksi. Sähköisen viestinnän tietosuojadirektiivin 15 artiklan mukaan liikennetietojen käsittelyyn on oikeus väärinkäytöstapauksissa. Artiklan mukaan kaikki liikennetietoja koskevat artiklat voidaan sivuuttaa, jos se on välttämätöntä esimerkiksi rikosten tai sähköisen viestintäjärjestelmän luvattoman käytön torjunnan, tutkinnan, selvittämisen ja syyteharkinnan varmistamiseksi.

14 §. Käsittely teknisen vian tai virheen havaitsemiseksi. Ehdotetun pykälän mukaan teleyritys, lisäarvopalvelun tarjoaja ja yhteisötilaaja voi käsitellä tunnistamistietoja, jos se on tarpeen viestinnän välittämisessä tapahtuneen teknisen vian tai virheen havaitsemiseksi.

Ehdotetussa 9 §:ssä säädetään, että viesteihin liittyviä tunnistamistietoja saa käsitellä siinä määrin kuin se on tarpeen verkkopalvelun, viestintäpalvelun tai lisäarvopalvelun toteuttamiseksi ja käyttämiseksi sekä näiden tietoturvasta huolehtimiseksi, jonka jälkeen tunnistamistiedot on 8 §:n mukaan hävitettävä tai tehtävä ne sellaisiksi, ettei niitä voi yhdistää tilaajaan tai käyttäjään, ellei laissa toisin säädetä.

Ehdotettu 14 § täydentää ehdotetussa 9 §:ssä annettua yleistä käsittelyoikeutta palvelujen tarjoamiseksi ja hyödyntämiseksi. Ehdotetun pykälän nojalla voidaan käsitellä tunnistamistietoja esimerkiksi sen selvittämiseksi, aiheutuuko sähköpostiviestien reitittyminen väärille vastaanottajille reitittimessä olevasta teknisestä viasta vai reitittimen virheellisistä asetuksista. Käytännössä on osoittautunut välttämättömäksi, että laajemman teknisen vian tai virheen selvittämiseksi teleyritysten on voitava luovuttaa tietoja myös toisilleen. Myös ehdotetussa pykälässä säädettyä oikeutta käytettäessä käsittely on suunniteltava ja toteutettava siten, ettei luottamuksellisen viestin tai yksityisyyden suoja tarpeettomasti vaarannu.

Jotta käytännössä viat ja virheet pystytään havaitsemaan, estämään ja selvittämään, tunnistamistietojen käsittelyyn sisältyvä luovutusoikeus on tarpeen kaikille, joita asia koskee. Tilanteissa, joissa viat ja virheet kohdistuvat usean palvelun tarjoajan palveluihin ja viestintäverkkoihin, palvelun tarjoajat ja yhteisötilaajat pystyvät käytännössä korjaamaan viat ja virheet ainoastaan yhteisin toimin. Tietojen luovuttajan on varmistuttava siitä, ettei luovuttamisella tarpeettomasti vaaranneta luottamuksellisen viestin tai yksityisyyden suojaa. On kuitenkin huomattava, että tunnistamistietojen luovutus voi näissä tilanteissa tapahtua ainoastaan niille tahoille, joilla on oikeus käsitellä tunnistamistietoja kyseisessä tilanteessa.

Ehdotettu pykälä vastaa teleyritysten osalta sisällöllisesti televiestinnän tietosuojalain 12 §:n mukaista televerkon ja telepalvelujen ylläpidon kannalta tarpeellista käsittelyoikeutta.

Ehdotetulla pykälällä pannaan täytäntöön sähköisen viestinnän tietosuojadirektiivin 6 artiklan 5 kohta, jonka mukaan liikennetietojen käsittely on rajoitettava yleisten viestintäverkkojen ja yleisesti saatavilla olevien palvelujen tarjoajien vastuulla toimiviin henkilöihin, jotka käsittelevät tietoja muun muassa liikenteenhallintaa varten ja sitä voidaan suorittaa ainoastaan kyseisten toimien vaatimassa laajuudessa. Sähköisen viestinnän tietosuojadirektiivin perusteluosan 29 kohdan mukaan palvelun tarjoaja voi käsitellä tilaajiin tai käyttäjiin liittyviä liikennetietoja, jos se on tarpeen viestinnän välittämisessä tapahtuneen teknisen vian tai virheen havaitsemiseksi.

15 §. Käsittelyä koskevien tietojen tallentaminen. Ehdotetun 1 momentin mukaan teleyrityksen on tallennettava tunnistamistietojen käsittelystä yksityiskohtaiset tapahtumatiedot, joista käy ilmi käsittelyn ajankohta, kesto ja käsittelijä. Käsittelyä koskevat tapahtumatiedot on säilytettävä kaksi vuotta niiden tallentamisesta.

Viestintävirasto on antanut 19 päivänä toukokuuta 1999 televiestinnän tietosuojalain 23 §:n nojalla määräyksen teleyritysten tietoturvasta. Määräyksen 2 §:n 5 momentin mukaan teleyrityksen on pidettävä rekistereitä kunkin järjestelmänsä osalta siitä, kenellä on järjestelmän käyttäjätunnuksia ja mitä oikeuksia milläkin käyttäjätunnuksella on. Saman pykälän 6 momentin mukaan teleyrityksen on valvottava tietojensa, asiakirjojensa, televerkkojensa, laitteistojensa, palvelujensa ja tiedostojensa tietoturvaan vaikuttavia tapahtumia niin, että tietoturvan kannalta merkittävät tapahtumat havaitaan. Jälkikäteen on säädösten määräämän ajan pystyttävä tarvittaessa jäljittämään vianhallintaan, konfiguraation hallintaan, veloituksen hallintaan, suorituskyvyn hallintaan ja tietoturvan hallintaan liittyvät tapahtumat. Lisäksi Viestintävirasto on antanut yksityiskohtaisen suosituksen määräyksen soveltamisesta.

Tietosuojavaltuutetun toimisto on antanut 10 päivänä helmikuuta 2003 ohjeen käyttäjälokien tietojen käsittelystä henkilötietolain mukaan. Ohjeen mukaan lokitietojen tallennusaika on johdettava lokin käyttötarkoituksesta. Koska lokia pidetään rekisteröidyn hyväksi, voidaan lokiin tallentuvia tietoja säilyttää niin kauan kuin rekisteröity voi esittää rikosperusteisia vaatimuksia henkilötietojen käsittelijää tai sivullisia vastaan. Ohjeessa todetaan, että koska henkilötietojen lainvastainen käsittely ja rekisteriin tunkeutuminen ovat kriminalisoituja tekoja, joiden syyteoikeus vanhentuu kahdessa vuodessa, on lokia säilytettävä kahden vuoden ajan, ellei aiemmin ole voitu todeta säilyttämisen perusteen menettäneen merkityksensä. Tietosuojavaltuutetun antama ohje ei ole oikeudellisesti sitova.

Ehdotettu momentti vastaa pääosin aiemmin Viestintäviraston oikeudellisesti sitovaan määräykseen sisältynyttä ja teleyrityksiin kohdistunutta tallentamisvelvollisuutta ja kohdistuu vain sellaisiin tunnistamistietoihin, joilla voi välittömästi olla keskeistä merkitystä luottamuksellisen viestin ja yksityisyyden suojan kannalta. Ehdotettua kahden vuoden säilyttämisaikaa on pidetty välttämättömänä jälkikäteen ilmenevien väärinkäytösepäilyjen selvittämiseksi tai niiden aiheettomaksi osoittamiseksi.

Ehdotetun 1 momentin mukainen tallennusvelvoite on tarpeen erityisesti mahdollisten väärinkäytösten selvittämiseksi sellaisissa tapauksissa, joissa teleyrityksen palveluksessa olevien henkilöiden epäillään käsitelleen tilaajien tai käyttäjien keskinäiseen luottamukselliseen viestintään liittyviä tunnistamistietoja muussa kuin tässä laissa säädetyissä hyväksytyissä tarkoituksissa. Toisaalta tallennetuilla käsittelytiedoilla voidaan tarvittaessa osoittaa, ettei epäiltyihin väärinkäytöksiin ole syyllistetty, millä on myönteistä vaikutusta tietoja käsittelevien oikeusturvan kannalta. Ehdotetulla säännöksellä voidaan katsoa olevan suuri merkitys sähköisen viestinnän palveluja kohtaan tunnettavan yleisen luottamuksen kannalta.

Ehdotetun 2 momentin mukaan Viestintävirasto voi antaa tarkempia määräyksiä 1 momentissa tarkoitetun tallentamisen ja säilyttämisen teknisestä toteuttamisesta. Määräyksillä voidaan ottaa huomioon erilaisten järjestelmäympäristöjen ominaispiirteitä.

Sähköisen viestinnän tietosuojadirektiivin ei voida katsoa välittömällä tavalla edellyttävän ehdotetun 1 momentin mukaista tallentamisvelvollisuutta. Ehdotettu säännös on kuitenkin sopusoinnussa sähköisen viestinnän tietosuojadirektiivin 5 artiklan 1 kohdan kanssa, jossa säädetään, että jäsenvaltioiden on kansallisella lainsäädännöllä varmistettava yleisen viestintäverkon ja yleisesti saatavilla olevien sähköisten viestintäpalvelujen välityksellä tapahtuvan viestinnän ja siihen liittyvien tunnistamistietojen luottamuksellisuus. Niiden on erityisesti kiellettävä se, että muut henkilöt kuin käyttäjät ilman kyseisten käyttäjien nimenomaista suostumusta kuuntelevat, salakuuntelevat, tallentavat tai muulla tavalla sieppaavat tai valvovat viestintää ja siihen liittyviä tunnistamistietoja, jollei se ole laillisesti sallittua.

4 luku. Paikkatiedot

16 §. Paikkatietojen käsittely ja luovutus. Ehdotetun 1 momentin mukaan teleyritys, lisäarvopalvelun tarjoaja ja yhteisötilaaja sekä näiden lukuun toimivat henkilöt saavat käsitellä paikkatietoja tässä luvussa säädetyin edellytyksin lisäarvopalvelun tarjoamiseksi tai hyödyntämiseksi. Paikkatietoja saa käsitellä 16, 17 ja 18 §:ssä säädetyistä edellytyksistä riippumatta, jos paikkatiedot on tehty sellaisiksi, ettei niitä sellaisenaan tai muihin tietoihin liitettyinä voida yhdistää tilaajaan tai käyttäjään tai ellei laissa toisin säädetä.

Paikkatiedolla tarkoitetaan sellaista tietoa, joka ilmaisee liittymän tai päätelaitteen maantieteellisen sijainnin ja jota käytetään muuhun tarkoitukseen kuin verkkopalvelun tai viestintäpalvelun toteuttamiseen. Paikkatiedoilla voidaan ilmaista käyttäjän päätelaitteen leveysaste, pituusaste ja korkeus, matkan suunta, paikkatiedon tarkkuus, se osa verkkoa, jossa päätelaite paikannetaan tietyllä hetkellä sekä paikkatiedon tallentamisen ajankohta. Osa tiedoista, kuten matkaviestinverkossa tieto siitä, minkä tukiaseman alueella päällä oleva matkaviestin on tietyllä hetkellä, sisältyy tunnistamistietojen käsitteeseen, koska näitä tietoja käytetään viestien välittämiseen. Jos tukiasematietoja kuitenkin käytetään muuhun tarkoitukseen kuin viestien välittämiseen, ne eivät ole tässä laissa tarkoitettuja tunnistamistietoja vaan paikkatietoja.

Paikkatieto voi ilmaista esimerkiksi tukiasemapaikannuksen (cell-id) avulla GSM-puhelimen käyttäjän maantieteellisen sijainnin riippumatta siitä, puhuuko käyttäjä puhelimeen vai ei. Paikkatiedot voivat liittyä myös muihin välineisiin kuin viestintään käytettäviin päätelaitteisiin. Esimerkkinä voidaan mainita erilaiset paikannusrannekkeet, joilla ei voida lähettää tai vastaanottaa viestejä, mutta joiden maantieteellinen sijainti voidaan selvittää esimerkiksi tukiasemapaikannuksen ja satelliittipaikannuksen (GPS) keinoin. Paikantaminen antaa myös uusia mahdollisuuksia monenlaisen paikkatietoon perustuvan kaupallisen toiminnan ja muun muassa mainonnan toteuttamiseen. Paikkatietoihin perustuva lisäarvopalvelu voi olla esimerkiksi yrityksille tarjottava palvelu, jossa sovittujen matkapuhelimien sijainnin voi tarkistaa kartasta palvelun tarjoajan verkkosivuilta. Paikkatietoa hyödyntäviä lisäarvopalveluja voivat olla myös esimerkiksi GSM-puhelimeen tekstiviesteillä lähetetyt henkilön sijaintikoordinaatit tai paikannettavan lähiympäristöä koskevan kartan lähettäminen multimediaviestinä (MMS). Muita paikkatietoihin perustuvia palveluja voivat olla esimerkiksi opastukset paikannettavaa lähimpänä olevaan tiettyyn palveluun tai muuhun kohteeseen, kadulla kävelijän houkutteleminen lähellä olevaan kauppaan tai erilaisista tarjouksista tiedottaminen kauppakeskuksessa asioiville henkilöille.

Ehdotetussa 1 momentissa viitataan paikkatietojen käsittelyn edellytyksenä jäljempänä teleyritykselle ehdotetussa 17 §:ssä ja lisäarvopalvelun tarjoajalle sekä yhteisötilaajalle ehdotetussa 18 §:ssä säädettyihin paikkatietojen käsittelyä koskeviin edellytyksiin. Mikäli paikkatiedot on kuitenkin tehty anonyymeiksi siten, että ne eivät liity tilaajaan tai käyttäjään, ehdotetuissa 17 ja 18 §:ssä säädettyjä edellytyksiä ei sovelleta tällaisten paikkatietojen käsittelyyn. Anonyymejä paikkatietoja saa siten käsitellä vapaasti. Ehdotettu 1 momentti antaa samalla oikeuden tehdä paikkatiedot sellaisiksi, ettei niitä voida sellaisenaan tai muihin tietoihin liitettynä yhdistää tilaajaan tai käyttäjään. Anonyymien paikkatietojen käsittely saattaa olla tarpeen esimerkiksi erilaisia tilastollisia, tutkimuksellisia ja palvelun kehittämistä koskevia tarkoituksia varten.

Paikkatietoja ei voida pitää ehdotetussa 1 momentissa tarkoitetulla tavalla anonyymeinä, jos ne ovat helposti yhdistettävissä tilaajaan tai käyttäjään. Esimerkiksi paikkatietojen kerääminen moottoritien tietyltä osuudelta siten, että paikkatiedot yhdistettäisiin kameravalvontaan, jonka kautta myös paikkatiedot voitaisiin yhdistää tilaajaan tai käyttäjään, ei ole vapaasti sallittua. Toinen esimerkki voisi olla anonyymeihin paikkatietoihin perustuva tietyn rajatun henkilöpiirin valvonta, jos paikkatiedot tosiasiallisesti ovat yhdistettävissä tiettyihin tilaajiin tai käyttäjiin. Tämä voi olla mahdollista esimerkiksi näiden henkilöiden vähäisen lukumäärän tai heidän ennalta tiedossa olevan rajatun liikkumisalueensa perusteella. Myöskään anonyymien paikkatietojen luovuttaminen ei ole momentin mukaan vapaasti sallittua, jos paikkatietojen luovuttaja tietää, että luovutuksensaajan hallussa on sellaisia tietoja, joiden avulla luovutettavat anonyymit paikkatiedot voidaan yhdistää tilaajaan tai käyttäjään.

Olennaista on, että jos edellä kuvatuin teknisin menetelmin selvitetään yksinomaan tavarakontin, postipaketin tai muun vastaavan esineen, laitteen tai kuljetuksen kulloinenkin maantieteellinen sijainti, kysymys ei ole tässä laissa tarkoitettujen paikkatietojen käsittelystä.

Paikkatietoja saa käsitellä myös, jos laissa on tästä erikseen säädetty. Paikkatietojen käsittelyn edellytyksiä ei sovelleta esimerkiksi ehdotetun 33 §:n mukaista ohjaus- ja valvontaviranomaisten tiedonsaantioikeutta toteutettaessa tai luovutettaessa paikkatietoja hätäilmoituksia vastaanottaville viranomaisille ehdotetussa 35 §:n 1 momentissa tarkoitetulla tavalla. Ehdotetuissa 33 §:ssä ja 35 §:n 1 momentissa säädettyihin tarkoituksiin ja näissä pykälissä säädetyin edellytyksin paikkatietoja voidaan siten käsitellä riippumatta siitä, ovatko ne yhdistettävissä tilaajaan tai käyttäjään.

Kun paikkatiedot sisältyvät paikannettavalle tai käyttäjälle lähetettävään viestiin, viestin vastaanottaja saa käsitellä viestiä ehdotetun 8 §:n mukaisesti.

Ehdotetulla momentilla pannaan täytäntöön sähköisen viestinnän tietosuojadirektiivin 9 artiklan 1 kohta, jonka mukaan muita paikkatietoja kuin liikennetietoja saa käsitellä ainoastaan silloin, kun ne on tehty nimettömiksi tai jos käyttäjät tai tilaajat ovat antaneet siihen suostumuksensa. Käyttäjän tai tilaajan suostumuksen osalta direktiivin kyseinen säännös pannaan täytäntöön ehdotetuilla 17 ja 18 §:llä.

Ehdotetun 2 momentin mukaan paikkatietojen käsittely on rajoitettava teleyrityksen, lisäarvopalvelun tarjoajan tai yhteisötilaajan palveluksessa oleviin taikka näiden lukuun toimiviin henkilöihin, joiden tehtävänä on käsitellä paikkatietoja tässä luvussa tarkoitettujen toimien toteuttamiseksi.

Ehdotetun 2 momentin tarkoituksena on yksityisyyden suojaamiseksi rajoittaa paikkatietojen käsittelyä hoitavien henkilöiden piiriä siten, että paikkatietoja käsittelisivät ainoastaan ne henkilöt, joiden tehtävänä on paikkatietojen käsitteleminen tässä luvussa tarkoitettujen toimien toteuttamiseksi. Ehdotettu 2 momentti on tarpeen paikkatietojen yksityisyyden suojaan liittyvän luonteen takia.

Ehdotetun 3 momentin mukaan paikkatietojen käsittely on sallittua ainoastaan käsittelyn tarkoituksen vaatimassa laajuudessa ja se on toteutettava yksityisyyden suojaa tarpeettomasti vaarantamatta. Käsittelyn jälkeen paikkatiedot on hävitettävä tai tehtävä sellaisiksi, ettei niitä voi yhdistää tilaajaan tai käyttäjään, ellei laissa toisin säädetä.

Ehdotetun 1 momentin paikkatietojen käsittelyn käyttötarkoitussidonnaisuutta koskevan säännöksen mukaan paikkatietoja saa käsitellä lisäarvopalvelun tarjoamiseksi tai hyödyntämiseksi. Paikkatietoja saa siten pääsääntöisesti käsitellä ainoastaan siinä määrin kuin se on välttämätöntä näitä tarkoituksia varten. Lisäksi paikkatietojen käsittelyssä käytettävien välineiden, periaatteiden ja menettelyjen tulee olla sellaisia, ettei paikannettavien yksityisyyden suoja vaarannu tarpeettomasti.

Ehdotetulla 2 ja 3 momentilla saatetaan voimaan sähköisen viestinnän tietosuojadirektiivin 9 artiklan 3 kohta, jonka mukaan muiden paikkatietojen kuin tunnistamistietojen käsittely on rajoitettava yleisen sähköisen viestintäverkon tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajan tai lisäarvopalvelua tarjoavan kolmannen osapuolen vastuulla toimiviin henkilöihin ja sitä saa suorittaa ainoastaan lisäarvopalvelun tarjoamisen vaatimassa laajuudessa.

Ehdotetussa 4 momentissa säädetään, että tässä luvussa tarkoitetusta paikkatietojen käsittelyn kieltämisestä ja palvelukohtaisesta suostumuksesta päättää alle 15-vuotiaan puolesta hänen huoltajansa lapsen huollosta ja tapaamisoikeudesta annetun lain 4 §:n mukaisesti tai muun kuin alaikäisen vajaavaltaisen puolesta hänen edunvalvojansa siten kuin holhoustoimesta annetussa laissa säädetään, jollei tämä ole palvelun teknisen toteutuksen takia mahdotonta.

On oletettavaa, että uusien paikkatietojen käsittelyä koskevien säännösten käytännön soveltamisessa kohdataan alaikäisten osalta samankaltaisia ongelmia kuin laskun yhteyskohtaisessa erittelyssä. Teleyrityksille on tuottanut hankaluuksia soveltaa televiestinnän tietosuojalain 13 §:n laskun yhteyskohtaisen erittelyn säännöstä. Teleyritysten käytännöt ovat poikenneet toisistaan sen suhteen, hyväksyvätkö ne lapsen suostumusta laskun yhteyskohtaisesta erittelystä.

Alaikäiset, jotka ovat täyttäneet 15 vuotta tai tätä vanhemmat, mutta alle 18-vuotiaat käyttäisivät itsenäisesti puhevaltaansa.

Ehdotettu 15-vuoden ikäraja vastaa rikosoikeudellisen vastuun alaikärajaa ja ikärajaa, jonka jälkeen henkilö itse voi määrätä omalla työllään ansaitsemistaan varoista.

Ehdotettua 4 momenttia sovelletaan, jollei se ole palvelun teknisen toteutuksen takia mahdotonta. Palvelun teknisestä toteutuksesta johtuvalla mahdottomuudella tarkoitetaan sitä, että ehdotetun 18 §:n 1 momentissa tarkoitettu paikannettavan palvelukohtainen suostumus pyydetään palvelun luonteesta ja toteutustavasta johtuen usein mukana kannettavan päätelaitteen avulla, jolloin käytännössä vain päätelaitteen todellinen haltija voi antaa palvelukohtaisen suostumuksen.

Vaikka alaikäisten käyttäjien liittymäsopimukset ovat usein heidän huoltajiensa nimissä, päätelaite, jolla paikkatietoihin perustuvia palveluja käytetään, on käytännössä alaikäisen omassa hallinnassa. Jos palvelukohtaisen suostumuksen pyytäminen tapahtuu mukana kannettavan päätelaitteen kautta, paikkatietoihin perustuvan palvelun tarjoajan on käytännössä vaikeaa kontrolloida, kuka palvelukohtaisen suostumuksen todellisuudessa antaa. Alle 15-vuotiaan alaikäisen on siten voitava joissakin tilanteissa antaa itse palvelukohtainen suostumus paikantamiseen. Liittymän tilaaja voi kontrolloida paikkatietojen käsittelyä koskevan kielto-oikeutensa kautta, voidaanko liittymää lainkaan paikantaa, joten alaikäisten huoltajilla on mahdollisuus valita, käytetäänkö lapsen käytössä olevan liittymän kautta lainkaan paikkatietoihin perustuvia palveluja.

Myös alle 15-vuotiaan lapsen osalta on otettava huomioon, että lapsen huollosta ja tapaamisoikeudesta annetun lain 4 §:n mukaan lapsen huoltajalla on oikeus päättää lapsen hoidosta, kasvatuksesta, asuinpaikasta sekä muista henkilökohtaisista asioista turvatakseen lapsen kehityksen ja hyvinvoinnin. Ennen kuin huoltaja tekee päätöksen lapsen henkilökohtaisessa asiassa, hänen tulee keskustella asiasta lapsen kanssa, jos se lapsen ikään ja kehitystasoon sekä asian laatuun nähden on mahdollista. Päätöstä tehdessään hänen on kiinnitettävä huomiota lapsen mielipiteeseen ja toivomuksiin.

17 §. Tilaajan oikeus kieltää paikkatietojen käsittely. Ehdotetun 1 momentin mukaan teleyritys saa käsitellä paikkatietoja, jollei tilaaja ole sitä kieltänyt.

Teleyrityksille kertyy paikkatietoja muun muassa silloin, kun tukiasemat ottavat yhteyttä liittymiin, jotta puhelut voitaisiin välittää viestintäverkoissa. Useimmiten juuri teleyritykset luovuttavat paikkatietoja lisäarvopalvelun tarjoamiseksi. Teleyrityksen on niissä tapauksissa, joissa joku muu tarjoaa paikkatietoihin perustuvaa palvelua, käytännössä vaikeaa kontrolloida suostumusten hankkimista yksittäisissä tilanteissa varsinaisilta paikannettavilta. Tästä syystä on muun muassa paikannettavien yksityisyyden suojaamiseksi katsottu tarkoituksenmukaiseksi säätää teleyritykselle velvollisuus huolehtia, että tilaajalla on mahdollisuus kieltää paikkatietojen käsittely. Tilaajan mahdollisuus kieltää paikkatietojen käsittely antaa tilaajalle mahdollisuuden kontrolloida liittymänsä käyttöä. On oletettavaa, että suurin osa paikkatietoihin perustuvista palveluista tulee olemaan maksullisia. Tilaajalla tulee olla mahdollisuus päättää niiden liittymien osalta, joiden kustannuksista hän on vastuussa, ettei näitä liittymiä käytetä lainkaan paikannuspalveluihin. Tilaajana voi olla esimerkiksi työnantaja tilatessaan työntekijälleen liittymän tai alle 18-vuotiaan käyttäjän huoltaja. Tilaajan yleinen suostumus voitaisiin antaa esimerkiksi liittymäsopimusta tehtäessä tai niin sanottujen vanhojen asiakkaiden osalta ehdotetun 44 §:n 3 momentin siirtymäsäännöksen mukaisesti.

Ehdotetun 2 momentin mukaan teleyrityksen on huolehdittava, että tilaajalla on mahdollisuus helposti ja ilman erillistä maksua kieltää paikkatietojen käsittely, jollei laissa toisin säädetä.

Ehdotetussa 17 ja 18 §:ssä on kaksiportainen menettely, jossa teleyrityksen on ensin huolehdittava siitä, että tilaajalla on mahdollisuus kieltää paikkatietojen käsittely. Sen lisäksi lisäarvopalvelun tarjoajan tai yhteisötilaajan on pyydettävä palvelukohtainen suostumus jokaisen palvelun tilauksen yhteydessä erikseen ehdotetun 18 §:n 1 momentissa säädetyllä tavalla. Jos tilaaja on kieltänyt liittymäänsä koskevien paikkatietojen käsittelyyn, ehdotetun 17 §:n 1 momentissa säädetyllä tavalla, ei paikkatietoihin perustuvaa palvelua voida lainkaan toteuttaa. Esimerkiksi, jos lisäarvopalvelun käyttäjä, joka on samalla myös paikannettava pyytää tekstiviestillä lisäarvopalvelun tarjoajalta lähimmän apteekin yhteystietoja, kyseinen palvelu voidaan tarjota ellei tilaaja ole kieltänyt paikkatietojen käsittelyä. Jos tilaaja on kieltänyt paikkatietojen käsittelyn, ei teleyritys voi käsitellä paikkatietoja palvelun tarjoamiseksi. Teleyritys ei siten voi myöskään luovuttaa niitä kenellekään muulle paikkatietoihin perustuvan palvelun toteuttamiseksi, vaikka lisäarvopalvelun tarjoaja tai yhteisötilaaja olisikin hankkinut palvelun käyttäjältä ehdotetun 18 §:n 1 momentissa tarkoitetun palvelukohtaisen suostumuksen.

Teleyrityksen tulee huolehtia tilaajan kieltomahdollisuudesta siten, että tilaaja voi kieltää paikkatietojen sekä liittymäsopimusta tehtäessä että myös koska tahansa myöhemmin.

Erillisellä maksulla tarkoitetaan 2 momentissa nimenomaan peruuttamisesta perittävää maksua. Sen sijaan peruuttamistahdonilmaisun toimittamisesta esimerkiksi viestintäpalvelun välityksellä voidaan periä tavanmukainen maksu.

Ehdotettu paikkatietojen käsittelyä koskeva sääntely mahdollistaa myös tietojen luovuttamisen toiselle teleyritykselle verkkovierailutilanteissa. Tällöin lähtökohtaisesti vastuu tilaajan kieltomahdollisuuden toteuttamisesta on sillä teleyrityksellä, jonka asiakas tilaaja on.

Ehdotetun pykälän 3 momentissa velvoitettaisiin teleyritys huolehtimaan, että tilaajan saatavilla on helposti ja jatkuvasti tietoa käsiteltävien paikkatietojen tarkkuudesta ja käsittelyn tarkoituksesta sekä siitä, voidaanko paikkatiedot luovuttaa kolmannelle osapuolelle lisäarvopalvelun tarjoamista varten.

Ehdotetussa momentissa säädettäisiin teleyritykselle velvollisuus huolehtia tilaajan informoimisesta paikkatietojen käsittelyä koskevista seikoista. Teleyrityksen on huolehdittava myös jatkuvasta tilaajan ja käyttäjän informoimisesta. Teleyrityksen tulisi huolehtia siitä, että tilaajan saatavilla on jatkuvasti tietoa paikkatietojen käsittelystä. Tällainen jatkuva tiedottaminen voisi tapahtua esimerkiksi kohtuullisin väliajoin asiakaskirjeiden tai muiden vastaavien viestien avulla tai teleyrityksen verkkosivujen välityksellä.

Ehdotetun 4 momentin mukaan teleyrityksen tulee varmistua tarkoituksenmukaisella tavalla, että lisäarvopalvelun tarjoaminen perustuu ehdotetun 18 §:n 1 momentissa tarkoitettuun palvelukohtaiseen suostumukseen, ennen kuin se luovuttaa paikkatiedot lisäarvopalvelun tarjoajalle tai yhteisötilaajalle.

Ehdotetulla momentilla ei aseteta teleyritykselle velvollisuutta tarkistaa, onko lisäarvopalvelun tarjoajalla tai yhteisötilaajalla olemassa jokaisen yksittäisen paikannettavan suostumus. Säännöksellä pyritään siihen, että teleyritys varmistaisi lähinnä sopimusteitse lisäarvopalvelun tarjoajan tai yhteisötilaajan toimien asianmukaisuuden ja luotettavuuden. Teleyrityksen tulee tuntea tarjottava paikkatietoihin perustuva palvelu ja kyetä arvioimaan lisäarvopalvelun tarjoajan noudattamien menettelyjen asianmukaisuus paikannettavan palvelukohtaisen suostumuksen pyytämisen osalta.

Ehdotetulla 17 §:llä pannaan yhdessä ehdotettujen 16 ja 18 §:n kanssa täytäntöön sähköisen viestinnän tietosuojadirektiivin 9 artikla.

18 §. Paikannettavan palvelukohtainen suostumus. Ehdotetun 1 momentin mukaan lisäarvopalvelun tarjoajan tai yhteisötilaajan, on pyydettävä paikannettavalta palvelukohtainen suostumus ennen kuin se aloittaa paikkatietojen käsittelyn, jollei suostumus yksiselitteisesti ilmene asiayhteydestä tai jollei laissa toisin säädetä.

Ehdotetussa pykälässä paikannettavalla tarkoitetaan sitä luonnollista henkilöä, jolla on hallinnassaan paikannettava liittymä tai päätelaite. Paikannettavalta on pyydettävä palvelukohtainen suostumus ennen kuin häntä koskevia paikkatietoja aletaan käsitellä. Paikannettava on siten ehdotetussa 1 momentissa tarkoitetun suostumuksen osalta se henkilö, jonka hallinnassa olevaa liittymää tai päätelaitetta tullaan paikantamaan tiettyä paikkatietoihin perustuvaa palvelua tarjottaessa. Esimerkiksi aviovaimon ja aviomiehen välisessä suhteessa vaimo voi olla liittymän tilaaja, jolla on 17 §:n 1 ja 2 momentissa säädetyllä tavalla oikeus kieltää paikkatietojen käsittely. Aviomies voi olla paikkatietoihin perustuvan palvelun käyttäjä ja siten myös paikannettava, jolta palvelukohtainen suostumus esimerkkitilanteessa tulee pyytää. Paikkatietojen käsittelyssä on korostettu paikannettavan oikeutta päättää itse paikkatiedoistaan. Lähtökohtana on, ettei paikkatietoja käsitellä päätelaitetta tai liittymää käyttävän paikannettavan tietämättä tai tahdon vastaisesti.

Jos myös teleyrityksenä toimiva yhtiö käsittelee tietoja tarjotakseen itse sellaista palvelua, jossa sijainnin ilmaisevia tunnistamistietoja käsitellään ensisijaisesti muuhun tarkoitukseen kuin viestintäpalvelun toteuttamiseen, yhtiötä on siltä osin pidettävä lisäarvopalvelun tarjoajana. Tällöin yhtiö on teleyrityksen roolissa velvollinen huolehtimaan, että tilaajalla on mahdollisuus kieltää paikkatietojen käsittely 17 §:n 2 momentissa säädetyllä tavalla ja tämän lisäksi sen tulee lisäarvopalvelun tarjoajan roolissa hankkia paikannettavalta palvelukohtainen suostumus 18 §:n 1 momentissa säädetyllä tavalla voidakseen itse toteuttaa paikkatietoihin perustuvan palvelun.

Paikkatietojen käsittelyyn perustuva lisäarvopalvelu voi olla joko lisäarvopalvelun tarjoajan tarjoama palvelu tai palvelu voi olla toteutettu myös siten, että tilaaja hallinnoi itse paikkatietoja. Jos tilaaja hallinnoi itse paikkatietoja, se on ehdotetussa 1 momentissa tarkoitettu yhteisötilaaja, joka on velvollinen itse huolehtimaan siitä, että paikannettavalta hankitaan palvelukohtainen suostumus ennen paikkatietojen käsittelyn aloittamista.

Suostumuksen tulee olla yksiselitteinen ja annettu kyseistä yksittäistä palvelutapahtumaa varten. Jos kysymys on jatkuvakestoisesta paikkatietojen käsittelystä, riittää, että palvelukohtainen suostumus saadaan ennen paikkatietojen käsittelyn eli paikantamisen aloittamista. Jos taas kysymys on yksittäisestä tai lyhytkestoisesta paikantamisesta, suostumus tulee saada erikseen aina ennen paikantamisen aloittamista. Jos jatkuvakestoinen paikantaminen kytketään välillä pois päältä, suostumus tulee pyytää erikseen aina ennen kuin paikantaminen kytketään uudelleen päälle.

Palvelukohtaisen suostumuksen ei tarvitse olla nimenomainen, vaan se voi myös ilmetä asiayhteydestä. Asiayhteydestä ilmeneväksi suostumukseksi voidaan katsoa esimerkiksi tilanne, jossa paikannettava lähettää itse tekstiviestin lisäarvopalvelun tarjoajalle, ja pyytää tiettyä palvelua, jonka toteuttaminen selvästi edellyttää paikantamista. Tällöin paikannettavan esittämään pyyntöön voidaan katsoa sisältyvän selvästi myös palvelukohtainen suostumus paikkatietojen käsittelyyn.

Ehdotetussa 2 momentissa säädetään, että paikannettavalla on oltava mahdollisuus helposti ja ilman erillistä maksua peruuttaa 1 momentissa tarkoitettu suostumus, jollei laissa toisin säädetä. Paikannettavalle on ehdotetun momentin mukaan annettava mahdollisuus peruuttaa suostumuksensa paikkatietojen käsittelyyn, milloin tahansa. Esimerkiksi paikannettavana olevan työntekijän on voitava saada paikantaminen kytketyksi pois päältä, vaikkapa lounastuntien ajaksi. Sähköisen viestinnän tietosuojadirektiivin 9 artiklan mukaan käyttäjällä tai tilaajalla tulisi olla mahdollisuus kieltää paikkatietojensa käsittely väliaikaisesti sekä viestintäyhteys- ja palvelukohtaisesti. Ehdotetun 2 momentin suostumuksen peruuttamista koskevalla sääntelyllä mahdollistetaan käyttäjälle paikkatietojen käsittelystä määrääminen ja paikkatietojen käsittelyn keskeyttäminen myös väliaikaisesti. Erillisestä kielto-oikeudesta säätäminen ei siten ole tarkoituksenmukaista.

Ehdotetussa momentissa tarkoitetulla erillisellä maksulla tarkoitetaan nimenomaan suostumuksen peruuttamisesta perittävää maksua. Sen sijaan paikannettavan tahdonilmaisun toimittamisesta esimerkiksi viestintäpalvelun välityksellä voidaan periä tavanmukainen maksu.

Ehdotetun 3 momentin mukaan lisäarvopalvelun tarjoajan tai yhteisötilaajan on huolehdittava siitä, että paikannettavan saatavilla on helposti ja jatkuvasti tietoa käsiteltävien paikkatietojen tarkkuudesta, käsittelyn täsmällisestä tarkoituksesta ja tarkasta kestosta sekä siitä, voidaanko paikkatiedot luovuttaa kolmannelle osapuolelle lisäarvopalvelujen tarjoamista varten. Lisäarvopalvelun tarjoajan tai yhteisötilaajan on erityisesti huolehdittava siitä, että nämä tiedot ovat paikannettavan saatavilla ennen 18 §:n 1 momentissa tarkoitettua suostumusta.

Ehdotetussa momentissa säädetään erityinen tiedonantovelvollisuus lisäarvopalvelun tarjoajalle ja yhteisötilaajalle. Käsittelyn tarkoitusta ja kestoa koskevien tietojen tulee olla erityisen täsmällisiä. Ennen kuin paikannettava antaa suostumuksensa paikkatietojen käsittelylle, on hänelle annettava tässä momentissa tarkoitetut tiedot. Tällöin tiedot voitaisiin antaa esimerkiksi palvelun tilauksen yhteydessä, mikäli palvelusopimus tehdään kirjallisesti. Ehdotetun 3 momentin tarkoituksena on varmistaa, että paikannettavan käytettävissä olisi riittävästi informaatiota, jotta hän voisi antaa palvelukohtaisen suostumuksen ymmärtäen sen merkityksen.

Lisäarvopalvelun tarjoajan ja yhteisötilaajan on huolehdittava myös jatkuvasta paikannettavan informoimisesta erityisesti, jos paikkatietoihin perustuva palvelu on luonteeltaan pidempikestoinen. Paikannettavan antaman palvelukohtaisen suostumuksen antamisen jälkeenkin lisäarvopalvelun tarjoajan ja yhteisötilaajan tulee huolehtia siitä, että paikannettavalla on jatkuvasti tietoa paikkatietojen käsittelystä. Jatkuva tiedottaminen voisi tapahtua esimerkiksi kohtuullisin väliajoin asiakaskirjeiden tai muiden vastaavien viestien avulla tai lisäarvopalvelun tarjoajan verkkosivujen välityksellä.

Ehdotetulla 18 §:llä pannaan yhdessä ehdotettujen 16 ja 17 §:n kanssa täytäntöön sähköisen viestinnän tietosuojadirektiivin 9 artikla.

5 luku. Viestinnän tietoturva

19 §. Velvollisuus huolehtia tietoturvasta. Ehdotetun 1 momentin mukaan teleyrityksen ja lisäarvopalvelun tarjoajan on huolehdittava palvelujensa tietoturvasta. Yhteisötilaajan on huolehdittava käyttäjiensä tunnistamistietojen ja paikkatietojen käsittelyn tietoturvasta. Tietoturva on suhteutettava uhkien vakavuuteen, tekniseen kehitystasoon ja kustannuksiin.

Ehdotetussa laissa tietoturvalla tarkoitetaan hallinnollisia ja teknisiä toimia, joilla varmistetaan se, että tiedot ovat vain niiden käyttöön oikeutettujen saatavilla, ettei tietoja voida muuttaa muun kuin siihen oikeutetun toimesta ja että tiedot ja tietojärjestelmät ovat niihin oikeutettujen hyödynnettävissä.

Hallinnolliset ja tekniset toimet kohdistuvat toiminnan turvallisuuteen, tietoliikenneturvallisuuteen, laitteistoturvallisuuteen ja ohjelmistoturvallisuuteen sekä tietoaineistoturvallisuuteen.

Toiminnan turvallisuudella tarkoitetaan muun muassa sitä, että ylläpidetään kirjallisia ohjeita siitä, miten tietoturvavaatimukset toteutetaan, oman tietoturvan tasoa seurataan säännöllisesti, varmistetaan tietoturvavaatimusten toteutuminen käytettäessä alihankkijoita ja suojataan laitteet ja tiedostot luvatonta pääsyä ja käyttöä vastaan. Lisäksi toiminnan turvallisuudella tarkoitetaan sitä, että pidetään rekisteriä kunkin järjestelmän osalta siitä, kenellä on järjestelmän käyttäjätunnuksia ja mitä oikeuksia milläkin käyttäjätunnuksella on ja valvotaan tietojen, asiakirjojen, viestintäverkkojen, laitteistojen, palvelujen ja tiedostojen tietoturvaan vaikuttavia tapahtumia niin, että tietoturvan kannalta merkittävät tapahtumat havaitaan.

Tietoliikenneturvallisuudella tarkoitetaan muun muassa sitä, että viestintäverkkojen avulla välitettävät viestit ja tunnistamistiedot eivät paljastu asiaankuulumattomille ja asiaankuulumattomat eivät pääse muuttamaan tai tuhoamaan viestintäverkoissa välitettäviä viestejä. Lisäksi tietoliikenneturvallisuudella tarkoitetaan sitä, että viestintäverkoissa on toiminnan kannalta riittävät todentamismenettelyt, pääsynvalvontamenettelyt ja kiistämättömyysmenettelyt, ja että asiaankuulumattomat eivät pääse tunnistamistietoihin tai käsittelyä koskeviin tietoihin.

Laitteistoturvallisuudella ja ohjelmistoturvallisuudella tarkoitetaan muun muassa sitä, että käytetään sellaisia laitteistoja, tietojärjestelmiä ja ohjelmistoja, joista aiheutuva tietoturvauhka on vähäinen sekä järjestetään toiminnan kannalta tärkeiden ohjelmistojen varmuuskopiointi ja turvallinen säilytys.

Tietoaineistoturvallisuudella tarkoitetaan muun muassa sitä, että järjestetään tietoaineistojen turvallinen käsittely hyvän tietojenkäsittelytavan mukaisesti, järjestetään tietoaineistojen varmuuskopiointi ja turvallinen säilytys sekä suojataan tärkeät asiakirjat, tietovarastot ja yksittäiset tiedot.

Sellaiseen tietojenkäsittelyyn, johon tätä lakia ei sovelleta, kuten teleyrityksen asiakasrekistereissä olevien tietojen käsittelyyn, sovelletaan henkilötietolain 32 §:ää tietojen suojaamisesta. Pykälän mukaan rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. Toimenpiteiden toteuttamisessa on otettava huomioon käytettävissä olevat tekniset mahdollisuudet, toimenpiteiden aiheuttamat kustannukset, käsiteltävien tietojen laatu, määrä ja ikä sekä käsittelyn merkitys yksityisyyden suojan kannalta.

Ehdotetun 2 momentin mukaan teleyritys ja lisäarvopalvelun tarjoaja vastaa tilaajille ja käyttäjille 1 momentissa tarkoitetusta tietoturvasta myös sellaisen kolmannen osapuolen osalta, joka kokonaan tai osittain toteuttaa verkkopalvelun, viestintäpalvelun tai lisäarvopalvelun. Edellä tässä momentissa tarkoitettu koskee yhteisötilaajaa käyttäjien tunnistamistietojen ja paikkatietojen käsittelyn osalta.

Ehdotetun 2 momentin mukaisesti vastuu tietoturvasta ulottuu myös alihankintasuhteisiin ja toimintojen ulkoistamiseen. Vastuun laajuus on tarkoitettu samansisältöiseksi kuin silloin, jos toimet toteutetaan ilman kolmansia osapuolia.

Vallitsevan tulkinnan mukaan teleyrityksen vastuu kolmannen osapuolen teleyrityksen puolesta osaksi tai kokonaan toteuttaman palvelun tietoturvasta on perustunut voimassa olevan televiestinnän tietosuojalain 12 §:n 2 ja 3 momentteihin, joiden perusteella tunnistamistietoja saavat käsitellä vain sellaiset teleyrityksen palveluksessa olevat tai teleyritysten tähän tehtävään valtuuttamat henkilöt, jotka suorittavat laskutukseen tai televerkon ja telepalvelujen ylläpitoon ja kehitykseen, väärinkäytösten ehkäisyyn ja tutkintaan, asiakaspalveluun ja televiestinnän tietosuojalain 11 §:ssä tarkoitettuun markkinointiin liittyviä tehtäviä, ja vain siinä laajuudessa kuin se on näiden tehtävien hoitamiseksi tarpeellista. Televiestinnän tietosuojalain 12 §:n 3 momentin mukaan teleyrityksen valtuuttamiin henkilöihin sovelletaan, mitä tunnistamistietojen käsittelystä säädetään.

Ehdotetun 3 momentin mukaan Viestintävirasto voi antaa tarkempia määräyksiä 1 ja 2 momentissa tarkoitetusta palvelun tietoturvasta. Säännös on tarpeen, jotta erilaisten palvelujen tarjoajat kykenisivät huolehtimaan palvelujensa tietoturvasta asianmukaisella tavalla.

Perustuslaissa säädetyn luottamuksellisen viestin ja yksityisyyden suojan toteuttamiseksi tietoturvaa koskevat perusvelvoitteet on välttämätöntä kohdistaa myös ehdotetussa laissa tarkoitettuihin lisäarvopalvelun tarjoajiin ja yhteisötilaajiin, kun ne käsittelevät käyttäjiensä tunnistamistietoja.

Ehdotetulla pykälällä pannaan täytäntöön sähköisen viestinnän tietosuojadirektiivin 4 artiklan 1 kohta, jonka mukaan yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajan on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen tarjoamiensa palvelujen turvallisuuden, verkon turvallisuuden osalta tarvittaessa yhdessä yleisen viestintäverkon tarjoajan kanssa. Näillä toimenpiteillä on voitava varmistaa riskiin suhteutettu turvallisuustaso ottaen huomioon uusin tekniikka ja toimenpiteiden käyttöönottokustannukset.

20 §. Toimenpiteet tietoturvan toteuttamiseksi. Ehdotetun 1 momentin mukaan tietoturvaloukkausten torjumiseksi ja tietoturvaan kohdistuvien häiriöiden poistamiseksi teleyrityksellä tai lisäarvopalvelun tarjoajalla tai yhteisötilaajalla ja näiden lukuun toimivalla on oikeus ryhtyä välttämättömiin toimiin ehdotetussa 19 §:ssä tarkoitetun tietoturvan varmistamiseksi estämällä sähköpostiviestien, tekstiviestien ja muiden vastaavien viestien vastaanottaminen poistamalla haittaohjelmat viesteistä sekä toteuttamalla muut välttämättömät toimenpiteet.

Ehdotetun 1 momentin tarkoituksena on mahdollistaa toimet, jotka ovat välttämättömiä sähköisen viestinnän toimintakyvyn turvaamiseksi. Toimintakyvyn heikentymiseen voivat vaikuttaa tahalliset tietoturvaloukkaukset ja niihin vaikutuksiltaan rinnastuvat, teknisistä syistä tai tahattomista virheistä johtuvat häiriöt.

Ehdotetun 1 momentin soveltamistarpeen arvioidaan aiheutuvan pääosin tahallisesta haittaohjelmien laajasta levittämisestä ja käytöstä. Lisäksi kysymykseen tulevat ei-toivottujen suoramarkkinointiviestien tai muiden viestien käyttö tietoliikenteen tai tietojärjestelmien lamauttamiseksi tai toimintakyvyn kannalta muut hyvin vakavat toimet tai häiriöt. Vastaavia verkon käytettävyyteen liittyviä vakavia häiriöitä voi aiheutua myös niin sanotuissa vertaisverkkopalveluissa, joissa käyttäjät hakevat ja käyttävät tietoja toistensa päätelaitteilta.

Joissakin tapauksissa sinänsä tahaton toiminta tai laiminlyönti voi edellyttää ehdotetussa momentissa tarkoitettuja toimia. Jos esimerkiksi käyttäjä on vuosilomalle lähtiessään asettanut sähköpostiinsa automaattisen vastaustoiminnon ja toinen käyttäjä on toiminut samoin, keskinäisten automaattisten vastausten määrä voi nousta lyhyessäkin ajassa ennakoimattoman suureksi ja näin vaarantaa tietojärjestelmien toimintakyvyn.

Ehdotetun 1 momentin perusteella teleyritys, lisäarvopalvelun tarjoaja tai yhteisötilaaja voivat tarkastaa muun muassa sähköpostiviestit haittaohjelmien varalta ja poistaa automaattisesti havaitut haittaohjelmat, kuten virukset. Lisäksi näiden tahojen tulee voida estää suoramarkkinointiin tarkoitetun viestin välittäminen vastaanottajalle esimerkiksi tilanteessa, jossa yhteen sähköpostiosoitteeseen on automaattisesti lähetetty saman päivän aikana suuria määriä ei-toivottuja suoramarkkinointiviestejä. Jos edellä esimerkkeinä mainittuihin toimiin ei voitaisi ryhtyä myös ilman vastaanottajan suostumusta, sähköisen viestinnän välittäminen voisi menettää toimintakykynsä.

Ehdotetun 2 momentin mukaan 1 momentissa tarkoitettuihin toimiin saa ryhtyä vain, jos toimet ovat välttämättömiä verkkopalvelujen tai viestintäpalvelujen taikka viestin vastaanottajan viestintämahdollisuuksien turvaamiseksi. Lisäksi viestin sisältöön saa puuttua vain, jos on todennäköisiä syitä epäillä viestin sisältävän sellaisen tietokoneohjelman tai ohjelmakäskyjen sarjan, jota tarkoitetaan rikoslain (39/1889) 34 luvun 9 a §:n 1 kohdassa tai jos viestiä käytetään rikoslain 38 luvun 5 §:ssä säädettyyn tietoliikenteen häirintään. Toimenpiteet on toteutettava huolellisesti ja luottamuksellisen viestin ja yksityisyyden suojaa tarpeettomasti vaarantamatta.

Teleyrityksen ja lisäarvopalvelun tarjoajan sekä yhteisötilaajan on tiedostettava viestintään puuttumiseen sisältyvä uhka siitä, että toteutettavien toimien seurauksena myös toivottuja luottamuksellisia viestejä ja vastaanottajan pyytämää mainontaa voi jäädä saapumatta vastaanottajalle. Kysymys on sekä perustuslain 10 §:ssä säädetystä luottamuksellisen viestin suojasta että perustuslain 12 §:ssä säädetystä sananvapaudesta. Lähtökohta on, ettei perustuslaissa säädetty suoja ole tarkoitettu kattamaan tilannetta, jossa viestiä itseään käytetään rikoksentekovälineenä. Kaikki ehdotetussa 1 momentissa tarkoitetut toimet tulee toteuttaa hyvin huolellisesti ja käyttäjiä mahdollisuuksien mukaan informoiden. Ehdotetun 1 momentin mukaisista toimista on pidättäydyttävä, jollei voida varmistua siitä, että toimilla saavutettava hyöty on luottamuksellisen viestin suojalle ja sananvapaudelle aiheutuvaa haittaa olennaisesti suurempi.

Ehdotetussa momentissa viitataan rikoslain 34 luvun 9 a §:ssä säädettyyn vaaran aiheuttamiseen tietojenkäsittelylle. Säännöksen mukaan se joka, aiheuttaakseen haittaa tietojenkäsittelylle tai tietojärjestelmän tai telejärjestelmän toiminnalle, valmistaa tai asettaa saataville sellaisen tietokoneohjelman tai ohjelmakäskyjen sarjan, joka on suunniteltu vaarantamaan tietojenkäsittelyä tai tietojärjestelmän tai telejärjestelmän toimintaa taikka vahingoittamaan sellaisen järjestelmän sisältämiä tietoja tai ohjelmistoja, tai levittää sellaista tietokoneohjelmaa tai ohjelmakäskyjen sarjaa taikka asettaa saataville ohjeen 1 kohdassa tarkoitetun tietokoneohjelman tai ohjelmakäskyjen sarjan valmistamiseen tai levittää sellaista ohjetta, on tuomittava, jollei teosta muualla laissa säädetä ankarampaa tai yhtä ankaraa rangaistusta, vaaran aiheuttamisesta tietojenkäsittelylle sakkoon tai vankeuteen enintään kahdeksi vuodeksi.

Rikoslain 38 luvun 5 §:ssä säädetään, että joka puuttumalla postiliikenteessä taikka tele- tai radioviestinnässä käytettävän laitteen toimintaan, lähettämällä ilkivaltaisessa tarkoituksessa radiolaitteella tai televerkossa häiritseviä viestejä tai muulla vastaavalla tavalla oikeudettomasti estää tai häiritsee postiliikennettä taikka tele- tai radioviestintää, on tuomittava tietoliikenteen häirinnästä sakkoon tai vankeuteen enintään kahdeksi vuodeksi.

Ehdotettu momentti ei oikeuta teleyrityksiä, lisäarvopalvelun tarjoajia tai yhteisötilaajia taikka näiden lukuun toimivia tarkastamaan sähköpostiviestejä tai selvittämään viestinnän osapuolia laajemmin kuin on välttämätöntä säännöksessä tyhjentävästi ilmaistujen tarkoitusten toteuttamiseksi. Sellaisen ei-toivotun suoramarkkinoinnin vastaanottamisen estämiseen, joka on lähinnä häiritsevää tai kiusallista, mutta ei tietoliikenteen tai tietojärjestelmien toimintakykyä taikka vastaanottajan viestintämahdollisuuksia vaarantavaa, saa ryhtyä vain ehdotetun 29 §:n mukaisesti vastaanottajan suostumuksella.

Ehdotetulla momentilla pannaan täytäntöön sähköisen viestinnän tietosuojadirektiivin 4 artiklan 1 kohta ja 5 artiklan 1 kohdan perusvelvoitteet.

Sähköisen viestinnän tietosuojadirektiivin ei voida katsoa välittömällä tavalla edellyttävän, että tietoturvan varmistamiseksi annetaan oikeus estää sähköpostiviestien, tekstiviestien ja muiden vastaavien viestien vastaanottaminen ja poistaa haittaohjelmat viesteistä sekä toteuttaa muut välttämättömät toimenpiteet. Ehdotettu säännös on kuitenkin sopusoinnussa sähköisen viestinnän tietosuojadirektiivin 4 artiklan 1 kohdan kanssa, jossa säädetään, että yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajan on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen tarjoamiensa palvelujen turvallisuuden, verkon turvallisuuden osalta tarvittaessa yhdessä yleisen viestintäverkon tarjoajan kanssa. Näillä toimenpiteillä on voitava direktiivin mukaan varmistaa riskiin suhteutettu turvallisuustaso ottaen huomioon uusin tekniikka ja toimenpiteiden käyttöönottokustannukset.

Ehdotetun 2 momentin mukaan Viestintävirasto voi antaa teknisiä määräyksiä 1 momentissa tarkoitettujen tietoturvaloukkausten torjumisesta ja tietoturvaan kohdistuvien häiriöiden poistamisesta. Ehdotetussa pykälässä tarkoitetun toiminnan hyvin monimutkaisesta teknisestä luonteesta johtuen on välttämätöntä, että Viestintävirasto voi antaa asiasta tarkempia teknisiä määräyksiä.

21 §. Tietoturvailmoitukset. Ehdotetun 1 momentin mukaan, jos 19 §:ssä tarkoitetun palvelun tietoturvaan kohdistuu erityinen uhka, teleyrityksen ja lisäarvopalvelun tarjoajan on ilmoitettava uhkasta viipymättä tilaajalle ja kerrottava samalla tilaajan ja käyttäjän käytettävissä olevista toimenpiteistä uhkan torjumiseksi sekä niiden todennäköisistä kustannuksista.

Ehdotetun 1 momentin lähtökohtana on, että teleyritys ja lisäarvopalvelun tarjoaja vastaavat ehdotetussa 19 §:ssä tarkoitetulla tavalla palvelunsa tietoturvasta. Jos palveluun siitä huolimatta kohdistuu sellainen erityinen uhka, jota palvelujen tarjoajat eivät kykene välttämään omin toimin tai yhdessä muiden toimijoiden kanssa, niiden tulee ilmoittaa ilman viivytystä asiasta tilaajilleen. Samalla on kerrottava, millä tavoin tilaajat ja käyttäjät pystyvät vähentämään palvelun turvallisuuteen kohdistuvaa uhkaa ja mitä uhkan torjumisen voidaan arvioida tilaajille tai käyttäjille maksavan. On kuitenkin huomattava, että usein ilmenee tilanteita, joissa palvelun tietoturvassa havaitaan korjaamaton puute, jonka julkinen tiedottaminen olisi omiaan vaarantamaan viestinnän luottamuksellisuuden tai mahdollistaisi laajamittaisia taloudellisia väärinkäytöksiä. Tällöin on keskeistä ensin pyrkiä tietoturva-aukon korjaamiseen, jolloin vältytään myös tilaajille aiheutuvista lisävahingoista.

Ehdotettu momentti vastaa teleyrityksen osalta televiestinnän tietosuojalain 6 §:n 2 momenttia. Ehdotetulla 1 momentilla pannaan täytäntöön sähköisen viestinnän tietosuojadirektiivin 4 artiklan 2 kohta, jonka mukaan, jos verkon turvallisuuteen kohdistuu erityinen riski, on teleyrityksen ilmoitettava tilaajille tällaisesta riskistä, ja jos palvelujen tarjoaja ei voi vaikuttaa riskiin, mahdollisista korjauskeinoista mukaan lukien asiaan liittyvät todennäköiset kustannukset.

Ehdotetun 2 momentin mukaan teleyrityksen on ilmoitettava Viestintävirastolle verkkopalvelun ja viestintäpalvelun merkittävistä tietoturvaloukkauksista ja sellaisista niihin kohdistuvista tietoturvauhkista, joista teleyritys on tietoinen. Lisäksi teleyrityksen on ilmoitettava Viestintävirastolle palvelujen merkittävistä vikatilanteista ja häiriötilanteista. Samalla on ilmoitettava toimenpiteistä, joilla tällaisten tietoturvaloukkausten ja niiden uhkien sekä vika- ja häiriötilanteiden toistuminen pyritään estämään.

Ehdotetun 2 momentin tarkoituksena on mahdollistaa koottu, ajantasainen ja analysoitu tilannekuva kansallisesta sähköisen viestinnän ja sen palvelujen tietoturvatilanteesta ja edesauttaa oikeaan tietoon perustuvien vastatoimien suuntaamista ja painottamista sekä kansallisesti että toimijoittain. Tällä pyritään siihen, että Viestintävirasto voi tarjota toimijoille ja käyttäjille tietoturvaan liittyviä palveluja, joilla voidaan estää lisävahinkojen syntyminen.

Lisäksi ehdotetun pykälän tarkoituksena on lisätä eri toimijoiden perusteltua luottamusta sähköiseen viestintään ja sen uuteen palveluympäristöön. Ilmoitusvelvollisuus kohdistuu teleyrityksiin.

Viestintävirastolle tehtävässä ilmoituksessa on lisäksi kerrottava toimista, joihin on ryhdytty edellä tarkoitettujen tapausten johdosta ja joilla tapausten toistuminen pyritään estämään. Loukkauksen, sen uhan ja vian tai häiriön merkittävyyttä arvioitaessa on kiinnitettävä huomiota tilaajien ja käyttäjien oikeuksien suojaan, palvelun käytettävyyteen ja maantieteellisten vaikutusten laajuuteen. Ilmoitus on tehtävä välittömästi, kun asian merkittävyys on todettu. Ilmoituksesta on käytävä selkeästi ilmi, mihin toimiin asian johdosta on ryhdytty ja mahdollisuuksien mukaan myös se, miten ongelma voidaan tulevaisuudessa estää. Jos tulevaisuudessa toteutettavia toimia ei kyetä ilmoituksen yhteydessä kertomaan, ilmoitusta tulee täydentää ilman aiheetonta viivytystä.

Kansallisen tilannekuvan muodostamisen kannalta olisi hyvin hyödyllistä, jos tietoyhteiskunnan palvelujen tarjoajat vapaaehtoisesti ilmoittaisivat Viestintävirastolle ehdotetussa momentissa kuvatuista asioista.

Ehdotettu säännös vastaa teleyrityksen osalta televiestinnän tietosuojalain 6 §:n 3 ja 4 momenttia.

Ehdotetun 3 momentin mukaan Viestintävirasto voi antaa tarkempia määräyksiä 1 ja 2 momentissa tarkoitettujen ilmoitusten sisällöstä, muodosta ja Viestintävirastolle toimittamisesta. Viestintävirasto voi antaa määräyksen muun muassa ilmoituksen muodosta ja sähköisestä toimittamistavasta sekä tavasta merkitä liikesalaisuuksia koskevat ilmoituksen osat.

6 luku. Puhelupalvelut

22 §. Liittymän tunnistus. Ehdotetun 1 momentin mukaan liittymän tunnistusta tarjoavan teleyrityksen on annettava tilaajalle helppokäyttöinen mahdollisuus estää jokaisen liittymänsä tunnistus, tulevien puheluiden liittymän tunnistus, sellaisten tulevien puhelujen vastaanotto, joiden liittymän tunnistus on estetty, milloin se on teknisesti ja ilman kohtuuttomia kustannuksia mahdollista sekä sen liittymän tunnistus, johon liittymään tulevat puhelut on siirretty.

Ehdotetun pykälän liittymän tunnistus liittyy ainoastaan puhelupalveluihin, ei esimerkiksi tekstiviestipalveluihin, wap-palveluihin tai datansiirtopalveluihin.

Jos teleyritys tarjoaa puhelujen osalta liittymän tunnistusta, on yksityisyyden suojan kannalta tärkeää, että tilaajalle annetaan mahdollisuus poistaa liittymänsä tunnistus esimerkiksi silloin, kun hän ei halua vastaanottajan näkevän, kuka on soittaja. Teleyrityksen on toteutettava palvelunsa niin, että numeronäytön esto on tilaajalle mahdollista liittymän kaikista puheluista. Liittymän tilaajalla on siten mahdollisuus jo liittymäsopimuksessaan määritellä, että vastaanottajalle ei saa välittää liittymän tunnistusta.

Jos liittymän tunnistusta tarjotaan, on tilaajalle myös tarjottava palvelu, jolla hän voi kieltäytyä vastaanottamasta sellaisia puheluja, joiden liittymän tunnistus on estetty. Teleyrityksen on tarjottava tämä palvelu, jos se on teknisesti ja ilman kohtuuttomia kustannuksia mahdollista toteuttaa.

Yhdistetyn puhelun osalta on tarpeen turvata tilaajan oikeus estää sen liittymän tunnistus, johon soittaja on tosiasiallisesti yhdistetty, erityisesti soitonsiirtotapauksissa. Ehdotetun momentin 4 kohta edellyttää, että esimerkiksi soitonsiirtopalvelua puhelinverkossa käytettäessä se käyttäjä, jonka puhelimeen soitto on siirretty, voi estää numerotietojensa paljastumisen soittajalle.

Ehdotetun 2 momentin mukaan edellä 1 momentin 1, 2 ja 4 kohdassa tarkoitettujen palvelujen on oltava tilaajalle maksuttomia.

Ehdotetun 3 momentin mukaan liittymän tunnistusta tarjoavan teleyrityksen on annettava käyttäjälle helppokäyttöinen ja maksuton mahdollisuus estää jokaisen lähtevän puhelun osalta erikseen liittymänsä tunnistus.

Jos tilaaja ei ole sopinut, että liittymästä otettujen puhelujen tunnistus on estetty, on teleyrityksen tarjottava käyttäjälle mahdollisuus estää tunnistus puhelukohtaisesti erikseen. Tällöin, jos liittymäsopimuksessa ei ole kaikkien puhelujen tunnistuksen estosta sovittu, soittaja voi kunkin puhelun osalta erikseen määritellä, näkyykö liittymän numero puhelun vastaanottajalle vai ei. Teleyrityksen, joka tarjoaa liittymän tunnistusta, on tarjottava tällainen mahdollisuus niin, että palvelua on helppo käyttää ja sen on oltava maksuton.

Ehdotetun 4 momentin mukaan teleyrityksen on tiedotettava tilaajalle ja käyttäjälle ehdotetussa pykälässä tarkoitetuista palveluista.

Teleyrityksen on ilmoitettava tilaajalle ja käyttäjälle kaikista liittymään tarjottavista lähtevien ja tulevien puhelujen liittymän tunnistuksen estoista sekä saatavilla olevista vaihtoehdoista yksityisyyden turvaamiseksi. Käyttäjällä tarkoitetaan ehdotetussa pykälässä teleyritykselle ilmoitettua käyttäjää, koska teleyrityksen on käytännössä mahdotonta tietää, kenellä liittymä on tosiasiallisesti hallinnassa. Tiedotusvelvollisuuden kohdistuessa teleyritykseen, tilaajilla ja käyttäjillä on näin ollen mahdollisuus valita niiden yksityisyyden turvaamiskeinojen osalta, joita he haluavat käyttää. Yksityisyyden turvaamisen mahdollisuuksien, joita tarjotaan liittymäkohtaisesti, ei tarvitse välttämättä olla saatavilla automaattisena verkkopalveluna, vaan ne voivat olla saatavissa teleyritykselle esitetyn pyynnön perusteella.

Ehdotetun 5 momentin mukaan teleyrityksen on huolehdittava siitä, että ehdotetuissa 1 ja 3 momentissa tarkoitetut estot voidaan ohittaa luovutettaessa tietoja hätäilmoituksia vastaanottaville viranomaisille ehdotetun 35 §:n mukaisesti tai ehdotetussa 36 §:ssä säädetyn poliisin tiedonsaantioikeuden toteuttamiseksi.

Tietyissä tapauksissa on liittymän tunnistuksen estot voitava poistaa tai ohittaa. Eston ohittaminen on pystyttävä suorittamaan esimerkiksi hätäpuhelutapauksissa, jolloin teleyrityksen on voitava antaa hätäilmoituksia vastaanottaville viranomaisille sen liittymän tiedot, josta hätäilmoitus on tehty. Hätäilmoituksia vastaanottavien viranomaisten tiedonsaantioikeuksista säädetään ehdotetussa 35 §:ssä. Samoin poliisin tiedonsaantioikeuden toteuttamiseksi on estot voitava poistaa.

Ehdotetun 6 momentin mukaan Viestintävirasto voi antaa teknisiä määräyksiä 1, 3 ja 5 momentissa tarkoitetun tunnistuksen eston ohittamisesta.

Ehdotetulla pykälällä pannaan täytäntöön sähköisen viestinnän tietosuojadirektiivin 8 artiklan mukainen kutsuvan ja yhdistetyn tilaajan tunnistuksen tarjoaminen ja sen rajoittaminen.

23 §. Automaattinen soitonsiirto. Ehdotetun pykälän mukaan teleyrityksen on käyttäjän pyynnöstä maksutta poistettava kolmannen osapuolen tekemä automaattinen soitonsiirto käyttäjän liittymään.

Soitonsiirrolla puhelut voidaan ohjata liittymästä toiseen liittymään. Soitonsiirto koskee vain puhelupalveluja, joten esimerkiksi sähköpostien siirrettävyys jää ehdotetun pykälän soveltamisen ulkopuolelle.

Ehdotettu pykälä edellyttää, että teleyritykset järjestävät käyttäjälle mahdollisuuden poistaa liittymäänsä muiden tekemät soitonsiirrot. Soitonsiirron poistamiseen on velvollinen se teleyritys, jonka liittymästä soitonsiirto on tehty. Jos siirto on tehty toisen teleyrityksen liittymään, teleyrityksen on käyttäjän pyynnöstä pyydettävä siltä teleyritykseltä, jonka liittymästä siirto on tehty, siirron poistamista. Tällöin käyttäjän ei tarvitse pyytää soitonsiirron poistamista kuin siltä teleyritykseltä, jonka kanssa hänen käytössään olevan liittymän tilaaja on liittymäsopimuksen tehnyt. Teleyritys voi tarjota ehdotetussa momentissa tarkoitetun mahdollisuuden esimerkiksi maksuttoman palvelunumeron avulla. Ehdotettu pykälä koskee myös ulkomailta tulevia yhteyksiä.

Sähköisen viestinnän tietosuojadirektiivi edellyttää ehdotetussa pykälässä tarkoitetun oikeuden antamista tilaajalle, ei käyttäjälle. Voimassa olevan televiestinnän tietosuojalain 16 §:n mukaan tämä oikeus annetaan käyttäjälle. Tämä lähtökohta on omaksuttu ehdotetussa pykälässä.

Säännöksellä saatetaan voimaan sähköisen viestinnän tietosuojadirektiivin 11 artikla.

24 §. Laskun yhteyskohtainen erittely. Ehdotetun 1 momentin mukaan teleyritys ei saa luovuttaa laskun yhteyskohtaista erittelyä, ellei ehdotetussa pykälässä toisin säädetä.

Ehdotetulla momentilla pyritään turvaamaan käyttäjien yksityisyys silloin, kun palvelun käyttäjä ei itse ole liittymän tilaajana. Yhteyskohtaisesti erittelemättömän laskun saaminen on ehdotetun pykälän mukaan pääsääntö ja yhteyskohtaisesti eritellyn laskun saisi vain tietyin edellytyksin.

Yhteyskohtaisesti eritellyllä laskulla tarkoitetaan ehdotetussa pykälässä laskua, jossa on näkyvissä laskutuksen kannalta välttämättömät tiedot, esimerkiksi niiden liittymien puhelinnumerot, joihin yhteys on otettu tai käytettyjen palvelujen numerot ja nimet. Tämän lisäksi yhteyskohtainen erittely voi sisältää muitakin tunnistamistietoja, kuten palvelujen yhteysajat ja yhteyksien kestot. Yhteyskohtaisesti eritellyt laskut parantavat tilaajan mahdollisuuksia tarkistaa teleyrityksen ja lisäarvopalvelun tarjoajan laskuttamien maksujen oikeellisuus. Koska palvelun käyttäjänä saattaa olla eri henkilö kuin liittymän tilaajana, on varmistuttava siitä, ettei käyttäjän yksityisyyttä tarpeettomasti vaaranneta.

Ehdotetussa 2 momentissa viitataan viestintämarkkinalain 80 §:n mukaiseen tilaajan oikeuteen saada laskun erittely. Sen lisäksi ehdotetun momentin mukaan teleyrityksen on tilaajan sitä pyytäessä annettava laskun yhteyskohtainen erittely. Erittely on annettava tilaajalle siten, että puhelinnumeron kolme viimeistä numeroa on peitetty tai muutoin siten, ettei erittelystä voida tunnistaa viestinnän toista osapuolta.

Ehdotetun momentin viittaus viestintämarkkinalakiin on informatiivinen. Viestintämarkkinalain 80 § velvoittaa teleyritystä antamaan tilaajalle puhelinverkon liittymän käytöstä laskuerittelyn esimerkiksi paikallispuheluista, kaukopuheluista ja kansainvälisistä puheluista.

Tilaajalla tulee olla mahdollisuus saada tietoja viestintäpalveluista ja lisäarvopalveluista muodostuneen laskun oikeellisuuden varmistamiseksi. Koska etukäteen maksettuihin liittymiin eli niin sanottuihin pre-paid-liittymiin ei liity laskutusta ja varmuutta käyttäjäksi rekisteröityneestä henkilöstä ei voida saada, ei tämän pykälän säännökset koske kyseisiä liittymiä. Samoin kiinteään hinnoitteluun perustuviin liittymiin ei sovelleta ehdotetun pykälän säännöksiä. Tällaisia kiinteään hinnoitteluun perustuvia liittymiä ovat esimerkiksi kuukausihinnoitteluun perustuvat IP-puhelut.

Ehdotetun momentin mukainen yhteyskohtainen erittely annetaan tilaajalle silloin, kun tilaaja on sitä pyytänyt. Yhteyskohtaisesta erittelystä tilaaja voi sopia teleyrityksen kanssa siten, että se voidaan antaa ilman erillistä, yhteen laskuun kohdistuvaa pyyntöä. Toisaalta tilaajalla on mahdollisuus myös jälkikäteen pyytää laskun yhteyskohtaista erittelyä.

Pelkkä laskun maksamisvelvollisuus ei ole sellaisenaan riittävä peruste saada täydelliset tiedot liittymästä otettujen yhteyksien numeroista silloin, kun laite on luvallisesti toisen hallinnassa. Näin on esimerkiksi silloin, kun työnantaja antaa työntekijän käyttöön liittymän. Yhteyskohtainen erittely on ehdotetun momentin mukaan annettava tilaajalle siten, ettei siitä voida tunnistaa viestinnän toista osapuolta. Laskussa ei saa ilmaista liittymien tunnisteiden kolmea viimeistä numeroa tai jos tunniste ei ole pelkkä numerosarja, tunniste on tehtävä muutoin sellaiseksi, ettei siitä voida tunnistaa toista osapuolta.

Televiestinnän tietosuojalain 13 §:n 2 momentissa säädetään ainoastaan kolmen viimeisen numeron peittämisestä. Palvelujen kehittymisen myötä on tarpeellista jättää määrittelemättä, millä tavoin liittymästä otetun yhteyden tunniste voidaan tehdä tunnistamattomaksi. Esimerkiksi IP-puheluiden tunnisteissa ei ole tiettyä numerosarjaa tunnisteena, vaan se voi koostua myös kirjaimista, numero-kirjainyhdistelmistä ja muista vastaavista merkkijonoista. Tällöin tunniste on tehtävä muulla tavalla sellaiseksi, ettei siitä voida toista osapuolta tunnistaa.

Ehdotetun 3 momentin mukaan teleyrityksen on annettava käyttäjän sitä pyytäessä laskun yhteyskohtainen erittely, jossa on eritelty viestinnän osapuolten liittymien numerot tai viestintäpalvelun muut tunnistamistiedot täydellisesti.

Käyttäjällä tarkoitetaan ehdotetussa momentissa käyttäjää, jonka tilaaja on ilmoittanut teleyritykselle liittymän käyttäjäksi. Käyttäjä voi siten olla myös tilaaja. Käyttäjä voi olla myös sellainen käyttäjä, jota ei ole ilmoitettu teleyritykselle käyttäjäksi, mutta teleyritys voi varmistua käyttäjästä muulla tavoin. Esimerkiksi varmistaminen voi tapahtua soittamalla liittymän tilaajalle, joka varmistaa, että kyseinen käyttäjä käyttää liittymää. Teleyritys ei ole velvollinen luovuttamaan laskun täydellistä yhteyskohtaista erittelyä, jos se ei pysty varmistamaan, että käyttäjä on oikea. Täydellisellä yhteyskohtaisella erittelyllä tarkoitetaan laskun erittelemistä esimerkiksi siten, että laskusta ilmenee puhelun vastaanottajan liittymän numero tai muu tunniste kokonaisena. Erittelyä ei anneta vastaanotetuista puheluista, ellei kyse ole vastaanottajan maksamasta puhelusta. Käyttäjän pyyntö saada täydellinen erittely voi olla ainoastaan laskukohtainen ja se voi kohdistua vain kuluneeseen laskutuskauteen. Käyttäjän puhevaltaa käyttää alle 15-vuotiaan puolesta hänen huoltajansa lapsen huollosta ja tapaamisoikeudesta annetun lain 4 §:n mukaisesti tai muun kuin alaikäisen vajaavaltaisen puolesta hänen edunvalvojansa siten kuin holhoustoimesta annetussa laissa säädetään.

Teleyrityksille on tuottanut hankaluuksia soveltaa televiestinnän tietosuojalain 13 §:n laskun yhteyskohtaisen erittelyn säännöstä. Teleyritysten käytännöt ovat poikenneet toisistaan sen suhteen, hyväksyvätkö ne lapsen suostumusta laskun yhteyskohtaisesta erittelystä. Ehdotetussa säännöksessä onkin lähdetty siitä, että alle 15-vuotiaan puhevaltaa asiassa käyttää lapsen huoltaja. Alaikäiset, jotka ovat täyttäneet 15 vuotta tai tätä vanhemmat, mutta alle 18-vuotiaat käyttäisivät itsenäisesti puhevaltaansa.

Ehdotettu 15-vuoden ikäraja vastaa rikosoikeudellisen vastuun alaikärajaa ja ikärajaa, jonka jälkeen henkilö itse voi määrätä omalla työllään ansaitsemistaan varoista.

Myös alle 15-vuotiaan lapsen osalta on otettava huomioon, että lapsen huollosta ja tapaamisoikeudesta annetun lain 4 §:n mukaan lapsen huoltajalla on oikeus päättää lapsen hoidosta, kasvatuksesta, asuinpaikasta sekä muista henkilökohtaisista asioista turvatakseen lapsen kehityksen ja hyvinvoinnin. Ennen kuin huoltaja tekee päätöksen lapsen henkilökohtaisessa asiassa, hänen tulee keskustella asiasta lapsen kanssa, jos se lapsen ikään ja kehitystasoon sekä asian laatuun nähden on mahdollista. Päätöstä tehdessään hänen on kiinnitettävä huomiota lapsen mielipiteeseen ja toivomuksiin.

Ehdotetussa 4 momentissa säädetään, että sen estämättä mitä 2 momentissa säädetään, teleyrityksen on annettava tilaajalle erittely palvelutyypeittäin sellaisista yhteyksistä, joista aiheutuu tilaajalle muita kuin viestintäpalvelun käytöstä johtuvia maksuja. Palvelut ovat kehittyneet huomattavasti viimeisten vuosien aikana ja erilaisia maksullisia palveluja on tullut markkinoille entistä enemmän. Käyttäjä voi tilata GSM-puhelimellaan palveluja, jotka veloitetaan puhelinlaskussa. Esimerkiksi matkalippuja voi tilata puhelimella tai levyjä voi tilata levykaupasta tekstiviestillä. Etenkin silloin, kun liittymän tilaaja on eri kuin käyttäjä, on kohtuullista, että tilaaja pystyy laskusta näkemään ja kohdentamaan sekä mahdollisesti veloittamaan käyttäjältä sellaiset palvelut, jotka eivät kuulu liittymän tilaajan tarkoittamaan käyttöön. Ehdotettu momentti soveltuu myös sellaisiin matkaviestinverkon datayhteyksiin, joissa veloitus perustuu esimerkiksi ladatun tiedon määrään, kuten esimerkiksi maksullisten elokuvien tai musiikkitiedostojen kappaleiden määrään silloin, kun erittelyn antaminen on teknisesti mahdollista. Myös näiden palvelujen laskutuksen yhteydessä tulee huomioida käyttäjän yksityisyys etenkin silloin, kun laskun maksaja on eri kuin käyttäjä itse. Tästä syystä momentissa ehdotetaan tilaajan saavan palvelutyyppikohtaisen erittelyn käytetyistä palveluista. Ehdotuksen mukaisia palvelutyyppejä voisivat olla esimerkiksi paikannuspalvelut, elokuvaliput ja cd-levyt. Ostetuista matkoista voisi saada palvelutyyppikohtaisen erittelyn esimerkiksi junalipuista, raitiovaunulipuista ja linja-autolipuista. Palvelutyypin lisäksi laskussa voisi näkyä kappalemäärä ja –hinta. Palvelutyypistä voisi siten nähdä, mitä palveluja on ostettu, mutta esimerkiksi sitä, minkä cd-levyn ja mihin elokuvaan lippu on ostettu tai ketä on paikannettu, ei erittelyssä näkyisi.

Ehdotetun 5 momentin mukaan liittymän yhteyskohtainen erittely ei saa sisältää maksuttomien palvelujen tunnistamistietoja.

Koska maksamisvelvollisuutta ei maksuttomissa palveluissa ole, tilaajalla ei ole myöskään ehdotetun pykälän mukaista laskun maksamisvelvollisuuteen perustuvaa tarvetta saada yhteyskohtaisia erittelyjä näistä palveluista.

Viestintävirasto voi antaa ehdotetun pykälän 6 momentin mukaan tarkempia määräyksiä ehdotetussa pykälässä tarkoitetun erittelyn sisällöstä ja toteuttamistavasta.

Ehdotetulla pykälällä pannaan täytäntöön sähköisen viestinnän tietosuojadirektiivin 7 artikla, jonka mukaan tilaajilla on oikeus saada laskunsa erittelemättöminä. Direktiivi jättää jäsenvaltioiden oman kansallisen sääntelyn varaan muun eriteltyä laskua koskevan sääntelyn. Kuitenkin direktiivissä velvoitetaan ottamaan kansallisissa säännöksissä huomioon toisaalta eriteltyjä laskuja saavien tilaajien oikeudet ja toisaalta soittavien käyttäjien ja vastaanottavien tilaajien oikeus yksityisyyteen, esimerkiksi varmistamalla, että tällaisille käyttäjille ja tilaajille on olemassa riittävästi vaihtoehtoisia yksityisyyttä parantavia viestintätapoja ja maksutapoja.

25 §. Puhelinluettelot ja muut tilaajaluettelot sekä numerotiedotus. Ehdotetun pykälän 1 momentin mukaan puhelinluettelon, muun tilaajaluettelon ja numerotiedotuksen tarjoajalla on oikeus käsitellä henkilötietoja luettelopalvelun ja numerotiedotuksen muodostamiseksi sekä niiden tarjoamista varten.

Puhelinluetteloihin ja muihin tilaajaluetteloihin sekä numerotiedotukseen sovelletaan ehdotetun pykälän lisäksi myös soveltuvin osin henkilötietolakia.

Ehdotetussa pykälässä tilaajaluettelolla tarkoitetaan joko painettua luetteloa tai sähköistä luetteloa, joka voi olla käytettävissä esimerkiksi Internet-palveluna tai cd-rom-levyltä. Puhelinluettelolla tarkoitetaan sellaista tilaajaluetteloa, joka sisältää luonnollisten henkilöiden tai oikeushenkilöiden puhelinnumeron lisäksi esimerkiksi nimen, osoitteen tai muun henkilötiedon. Muulla tilaajaluettelolla tarkoitetaan esimerkiksi sähköpostiosoiteluetteloa. Numerotiedotuksella tarkoitetaan palvelua, jonka kautta painetun tai sähköisen luettelon tiedot ovat käytettävissä.

Ehdotettu pykälä ei koske etukäteen maksettuja liittymiä (pre-paid-liittymiä) koskevia tietoja. Tällaisten liittymien tilaajiksi tai käyttäjiksi voidaan rekisteröityä, mutta se ei ole välttämätöntä. Rekisteröityminen voi tapahtua ilman henkilöllisyyden tarkastamista, joten teleyritys ei voi välttämättä tietää, onko rekisteröityminen tapahtunut asianmukaisesti, vai onko rekisteriin merkitty väärä henkilö.

Ehdotetussa 1 momentissa annetaan tilaajaluetteloiden ja numerotiedotuksen tarjoajille henkilötietojen käsittelyoikeus, jotta ne voivat muodostaa tilaajaluetteloita tai numerotiedotusrekistereitä sekä tarjota näitä palveluja. On huomattava, että henkilötietoja ei henkilötietolain mukaan saa käsitellä laajemmin kuin on tarkoituksenmukaista tällaisten palvelujen tarjoamiseksi.

Ehdotetussa 2 momentissa viitataan informatiivisesti viestintämarkkinalain 57 §:ään, jossa säädetään tilaajan oikeudesta saada nimeään, osoitettaan ja puhelinnumeroaan koskevat yhteystietonsa puhelinluetteloon. Viestintämarkkinalain säännös on tarkoitettu koskemaan käyttäjän oikeutta. Viestintämarkkinalain käyttäjän määritelmä kuitenkin poikkeaa ehdotetussa laissa käytetystä määritelmästä, ja viestintämarkkinalain mukainen käyttäjä kattaa tämän ehdotuksen mukaisen käyttäjän ja tilaajan. Viestintämarkkinalaissa teleyritys velvoitetaan huolehtimaan siitä, että sen kanssa kiinteän puhelinverkon tai matkaviestinverkon liittymän kanssa sopimuksen tehneen käyttäjän nimeä, osoitetta ja puhelinnumeroa koskevat yhteystiedot kerätään ja julkaistaan yleisesti saatavilla olevassa kattavassa ja kohtuuhintaisessa puhelinluettelossa, joka päivitetään vähintään kerran vuodessa. Puhelinluettelopalvelua tarjoava yritys ei saa yhteystietoja käsitellessään suosia yhtä teleyritystä toisen teleyrityksen kustannuksella tai toimia muutoin syrjivällä tavalla.

Ehdotetussa 2 momentissa on viittaus myös viestintämarkkinalain 58 §:ään, jossa säädetään teleyrityksen velvollisuudesta luovuttaa yhteystietoja käyttökelpoisessa muodossa toisille palvelujen tarjoajille puhelinluettelon laatimista tai numerotiedotuspalvelun tarjoamista varten.

Ehdotetun 3 momentin mukaan teleyritys velvoitetaan ilmoittamaan tilaajana olevalle luonnolliselle henkilölle yleisesti saatavilla olevan tai luettelopalvelun kautta käytettävissä olevan puhelinluettelon tai muun tilaajaluettelon taikka numerotiedotuspalvelun tarkoituksesta ja käytöstä. Ilmoitus on annettava maksutta ennen kuin hänen tietonsa merkitään tilaajaluetteloon tai numerotiedotuspalveluun.

Sähköiset puhelinluettelot ja muut tilaajaluettelot ovat laajassa jakelussa ja julkisia. Velvollisuus ilmoittaa tilaajana olevalle luonnolliselle henkilölle niiden yleisesti saatavilla olevien luetteloiden käyttötarkoituksista, joihin heidän henkilötietonsa merkitään, on siten asetettava sille osapuolelle, joka kerää kyseisiä tietoja. Koska teleyrityksellä on viestintämarkkinalain mukainen velvollisuus luovuttaa yhteystiedot toisille luettelopalvelun tarjoajille, ilmoitus on tehtävä niistä luetteloista ja numerotiedotuspalveluista, jotka teleyrityksellä on tietoja kerätessään tiedossaan.

Teleyrityksen on ilmoitettava luonnolliselle henkilölle, mikä on luettelon tarkoitus ja mitä erityiskäyttöä yleisesti saatavilla olevien luettelojen sähköisillä versioilla voi olla. Erityisesti ilmoitus on annettava koskien ohjelmistoihin sulautettuja hakutoimintoja, kuten käänteiset hakutoiminnot, joiden avulla luettelon käyttäjät voivat selvittää tilaajan nimen ja osoitteen pelkän puhelinnumeron perusteella.

Teleyrityksen on ilmoitettava kaikki tiedossaan olevat käyttötarkoitukset, jos tiedot luovutetaan esimerkiksi Internet-pohjaiseen numeropalveluun, jonka jälkeen tietoja on helppo kerätä esimerkiksi erilaisiin kansainvälisiin tilaajaluetteloihin. Ilmoitus voidaan antaa esimerkiksi liittymäsopimusta tehtäessä.

Ehdotetun 4 momentin mukaan teleyrityksen on annettava tilaajana olevalle luonnolliselle henkilölle mahdollisuus maksutta kieltää tietojensa merkitseminen kokonaan tai osittain puhelinluetteloon, muuhun tilaajaluetteloon ja numerotiedotuspalveluun. Teleyrityksen sekä tilaajaluettelopalvelua ja numerotiedotuspalvelua tarjoavan yrityksen, joka on saanut yhteystiedot viestintämarkkinalain 58 §:n nojalla, on tilaajana olevan luonnollisen henkilön pyynnöstä maksutta poistettava ja korjattava virheelliset tiedot. Tarkastusoikeuden toteuttamisesta säädetään henkilötietolain 26 §:ssä.

Tilaajana olevien luonnollisten henkilöiden oikeus yksityisyyteen edellyttää, että he voivat itse määrittää, julkaistaanko heidän henkilötietonsa luettelossa ja mitkä niistä julkaistaan. Tilaajalla on myös aina oltava oikeus tarkistaa luetteloon tai palveluun merkityt häntä koskevat tiedot. Tilaajan pyynnöstä tiedot on myös poistettava tai virheelliset tiedot korjattava.

Koska tilaajana oleva luonnollinen henkilö ei välttämättä tiedä, mille tahoille hänen antamansa yhteystiedot on luovutettu, on teleyrityksellä, joka tiedot on hänestä kerännyt, velvollisuus ilmoittaa korjatut tiedot tai tietojen poisto edelleen niille tahoille, joille se on yhteystiedot luovuttanut. Toisaalta teleyrityksillä on viestintämarkkinalain 58 §:n mukaan velvollisuus pyynnöstä luovuttaa viestintämarkkinalain 57 §:ssä tarkoitetut yhteystiedot toiselle yritykselle puhelinluettelon laatimista tai numerotiedotuspalvelun tarjoamista varten käyttökelpoisessa muodossa. Näille tahoille on myös säädettävä velvollisuus korjata ja poistaa niiden tilaajaluetteloissa ja numerotiedotuspalveluissa esiintyvät tilaajana olevan luonnollisen henkilön henkilötiedot. Tilaajana olevan luonnollisen henkilön vaatimien tietojen korjaaminen ja poistaminen on aina maksutonta. Jos kyse on sähköisestä luettelopalvelusta tai numerotiedotuksesta on tiedot korjattava tai poistettava mahdollisimman nopeasti. Painetun luettelon osalta tiedot on korjattava seuraavaan uuteen luetteloon.

Henkilötietojen tarkastusoikeudesta on säädetty henkilötietolain 26 §:ssä, joten ehdotettuun momenttiin sisällytetään viittaus kyseiseen lakiin. Henkilötietolain mukaan, kun rekisteröity tarkastaa tietonsa rekisteristä tarkastusoikeuden toteuttamiseksi, rekisterinpitäjä saa periä tietojen antamisesta korvauksen vain, jos siitä kun rekisteröity edellisen kerran sai tarkastettavakseen tiedot, on kulunut vähemmän kuin yksi vuosi. Tarkastamisesta perittävän korvauksen tulee olla kohtuullinen eikä se saa ylittää tiedon antamisesta aiheutuvia välittömiä kustannuksia.

Voimassa olevan televiestinnän tietosuojalain 20 §:n 2 momentin mukaan tilaajalla ja käyttäjällä on oikeus maksutta: 1) vaatia, että hänen tilaajaluettelossa olevat henkilötietonsa poistetaan tai niitä korjataan; 2) kieltää tilaajaluettelossa olevien henkilötietojensa käyttö suoramarkkinointiin; sekä 3) vaatia, että käynti- tai postiosoitteesta julkaistaan vain osa tai että julkaistuista henkilötiedoista ei käy ilmi hänen sukupuoltaan. Televiestinnän tietosuojalain 20 §:n 3 momentin mukaan teleyrityksen on huolehdittava tilaajan tai käyttäjän 2 momentissa tarkoitettuja tietoja koskevien vaatimusten ja muutosten toimittamisesta edelleen niille, joille se on luovuttanut näitä tietoja tilaajaluetteloissa julkaisemista varten. Teleyrityksen ja sen, jolle teleyritys on edellä mainittuja tietoja luovuttanut, on sovittava tilaajan tai käyttäjän näitä tietoja koskevien vaatimusten toimittamisesta.

Ehdotetun 5 momentin mukaan tilaajana olevalla luonnollisella henkilöllä on oikeus maksutta kieltää ehdotetussa pykälässä tarkoitettujen yhteystietojensa edelleen luovuttaminen.

Tilaajana oleva luonnollinen henkilö voi aina kieltää yhteystietojensa edelleen luovuttamisen toisille palvelun tarjoajille tilaajaluettelopalveluja tai numerotiedotuspalvelua varten, vaikka ehdotetun 2 momentissa on viittaus viestintämarkkinalain 58 §:ään, jossa säädetään teleyrityksen velvollisuudesta luovuttaa yhteystiedot toisille palvelun tarjoajille. Jos tilaajana oleva luonnollinen henkilö kieltää tällaisen luovuttamisen, ei teleyritys voi missään tilanteessa luovuttaa yhteystietoja muille palvelun tarjoajille.

Ehdotetun 6 momentin mukaan teleyrityksen on annettava puhelinluetteloon, muuhun tilaajaluetteloon ja numerotiedotuspalveluun merkitylle yritykselle ja muulle yhteisölle oikeus saada tietonsa tarkistetuiksi ja poistetuiksi sekä virheelliset tiedot korjatuiksi.

Televiestinnän tietosuojalain 21 §:ssä ei ole annettu oikeushenkilölle oikeutta poistaa tietojaan tilaajaluetteloista. Sähköisen viestinnän tietosuojadirektiivin 12 artiklan mukaisesti oikeushenkilöiden oikeutetut edut kuitenkin edellyttävät, että myös tilaajana oleva yritys ja muu yhteisö voi tarkistaa, korjata tai poistaa tietonsa tilaajaluettelosta tai numerotiedotuksesta. Ehdotettu momentti tulisi siten muuttamaan nykyistä oikeustilaa. Yritykseltä ja muulta yhteisöltä voidaan periä näistä toimenpiteistä asianmukainen maksu.

Ehdotetulla pykälällä pannaan täytäntöön sähköisen viestinnän tietosuojadirektiivin 12 artikla.

7 luku. Suoramarkkinointi

26 §. Suoramarkkinointi luonnolliselle henkilölle. Ehdotetun 1 momentin mukaan automatisoitujen soittojärjestelmien sekä telekopiolaitteiden, sähköpostiviestien, tekstiviestien, puheviestien, ääniviestien ja kuvaviestien avulla toteutettua suoramarkkinointia saa kohdistaa vain sellaisiin luonnollisiin henkilöihin, jotka ovat antaneet siihen ennalta suostumuksensa.

Markkinoinnin käsite on määritelty kuluttajansuojalaissa. Kuluttajansuojalain 2 luvun 1 §:n mukaan markkinoinnissa ei saa käyttää hyvän tavan vastaista tai muutoin kuluttajien kannalta sopimatonta menettelyä.

Ehdotetun pykälän tarkoittamaa suoramarkkinointia ei ole yksittäisten luonnollisten henkilöiden välinen hyödykkeiden tarjoaminen myytäväksi, mielipiteenvaihto tai muu vastaava toiminta. Pykälän mukaisena suoramarkkinointina ei myöskään pidetä asiakasviestintää, jonka tarkoituksena on asiakassuhteen hoitamiseksi tarvittava yhteydenpito ja joka ei sisällä markkinointia. Asiakasviestintää on esimerkiksi sellainen viestintä, jossa asiakas saa tietoja valitsemansa palvelun tilanteesta, jatkuvuudesta tai muuttumisesta. Esimerkiksi, kun autokorjaamo ilmoittaa tekstiviestillä asiakkaalleen, että auto on noudettavissa huollon jälkeen, ei tällaista viestintää olisi pidettävä suoramarkkinointina. Samaan viestiin ei kuitenkaan saa sisällyttää esimerkiksi mainosta auton varaosista.

Automatisoidulla soittojärjestelmällä tarkoitetaan sellaista järjestelmää, joka ottaa yhteydet vastaanottajaan automaattisesti ilman, että luonnollinen henkilö suorittaa yhteydenottoa. Tällaisia automaattisia järjestelmiä, jotka monesti koetaan haitallisiksi, on mahdollista käyttää niin, että järjestelmä satunnaisesti valitsee tietyillä otantaperusteilla suuresta joukosta yhteystietoja ja lähettää näille suoramarkkinointia. Automatisoidut soittojärjestelmät ovat mahdollisia muun muassa puhelinjärjestelmissä. Momentin mukaan tällaista markkinointia ei saa suorittaa, ellei varsinainen markkinointityö tapahdu luonnollisen henkilön tekemänä. Ehdotettu momentti ei siten kiellä sellaisten esimerkiksi suoramarkkinointia helpottavien automaattisten järjestelmien käyttöä, joiden tarkoituksena on helpottaa markkinointityön aloittaminen. Tällöin kuitenkin itse markkinoinnin on tapahduttava luonnollisen henkilön suorittamana, joten esimerkiksi yhteydenotto puhelimitse voi tapahtua käyttämällä automaattista numerovalintaa, mutta markkinoinnin on puhelun vastaanoton jälkeen tapahduttava luonnollisen henkilön suorittamana, eikä automaatin välityksellä.

Suoramarkkinointi faksin, sähköpostiviestin, tekstiviestin, puheviestin, ääniviestin ja kuvaviestin muodossa sekä automaattisin soittojärjestelmin on helppoa lähettää, mutta se voi aiheuttaa rasitteita ja kustannuksia vastaanottajalle. Lisäksi myös viestien määrä saattaa joissain tapauksissa aiheuttaa ongelmia sähköisissä viestintäverkoissa ja päätelaitteissa. Tällaisten suoramarkkinointitarkoituksiin käytettävien viestintämuotojen osalta on perusteltua edellyttää, että vastaanottajana olevalta luonnolliselta henkilöltä saadaan ennakolta nimenomainen suostumus ennen kuin heille osoitetaan tällaista viestintää. Ehdotetussa 1 momentissa tarkoitettu suostumus on käytävä ilmi yksiselitteisesti.

Luonnolliselta henkilöltä tulee aina pyytää etukäteinen suostumus. Epäselvissä tapauksissa tulee asetettua velvoitetta etukäteisestä suostumuksesta pitää pääsääntönä. Jos esimerkiksi työnantaja on osoittanut työntekijälleen henkilökohtaisen sähköpostiosoitteen muodossa etunimi.sukunimi@yritys.fi, on lähtökohtaisesti osoitetta pidettävä luonnollisen henkilön osoitteena ja etukäteinen suostumus suoramarkkinointiin on saatava. Henkilön asemavaltuuden perusteella voidaan katsoa, että hän toimii yhteisössä tietyissä tehtävissä, joihin suoramarkkinoinnilla tarjottavat hyödykkeet ja palvelut olennaisesti liittyvät, ja tällöin osoitteen voidaan katsoa kuuluvan ehdotetun pykälän mukaisesti yritykselle tai muulle yhteisölle. Tällöin etukäteissuostumusta ei tarvita, vaan kyseisellä henkilöllä on ehdotetun 27 §:n mukainen kielto-oikeus.

Ehdotetussa 2 momentissa sallitaan muunlainen suoramarkkinointi luonnolliselle henkilölle, jollei tämä ole sitä nimenomaisesti kieltänyt. Luonnollisen henkilön on voitava helposti ja maksutta kieltää tällainen suoramarkkinointi.

Ehdotetussa momentissa tarkoitettua suoramarkkinointia on esimerkiksi tavallinen puhelinmarkkinointi. Tältä osin ei oltaisi muuttamassa vallitsevaa oikeustilaa. Luonnollinen henkilö voi puhelinmarkkinointia vastaanottaessaan kieltää suoramarkkinoinnin harjoittajaa käyttämästä yhteystietojaan tähän tarkoitukseen. Kielto on voitava antaa maksutta.

Ehdotetun 3 momentin mukaan, jos palvelun tarjoaja tai tuotteen myyjä saa asiakkaana olevalta luonnolliselta henkilöltä sähköpostiviestiin, tekstiviestiin, puheviestiin, ääniviestiin ja kuvaviestiin liittyvän yhteystiedon tuotteen tai palvelun myynnin yhteydessä, sama palvelun tarjoaja tai tuotteen myyjä voi sen estämättä, mitä 1 momentissa säädetään, käyttää tätä yhteystietoa omien samaan tuoteryhmään kuuluvien tai muuten vastaavien tuotteiden ja palvelujen suoramarkkinoinnissa. Palvelun tarjoajan tai tuotteen myyjän on annettava asiakkaana olevalle luonnolliselle henkilölle mahdollisuus ilman erillistä maksua ja helposti kieltää yhteystiedon käyttö tiedon keräämisen ja jokaisen sähköpostiviestin, tekstiviestin, puheviestin, ääniviestin ja kuvaviestin yhteydessä. Palvelun tarjoajan tai tuotteen myyjän on selkeästi tiedotettava kieltomahdollisuudesta.

Olemassa olevan asiakassuhteen yhteydessä on kohtuullista sallia sähköisten yhteystietojen käyttäminen samankaltaisten tuotteiden tai palvelujen tarjoamiseksi. Yhteystietoja saa kuitenkin käyttää vain se yritys, joka on yhteystiedot saanut. Yhteystietoja hankittaessa asiakkaalle on ilmoitettava selkeällä ja erottuvalla tavalla niiden edelleen käytöstä suoramarkkinointiin ja tälle on annettava mahdollisuus kieltää yhteystietojen käyttö tähän tarkoitukseen. Palvelun tarjoajaan ja tuotteen myyjään kohdistetaan velvollisuus toteuttaa sähköinen viestintäpalvelu siten, että jo tilatessaan tuotteen tai palvelun asiakas voi kieltää yhteystietojensa käytön suoramarkkinointiin. Tätä mahdollisuutta on edelleen tarjottava kunkin suoramarkkinointiviestin yhteydessä ilman erillistä maksua ja helposti. Kielto ilman erillistä maksua tarkoittaa, että kiellosta voidaan periä perusmaksu, joka tietyn välineen käyttämisestä syntyy, mutta erillistä lisämaksua kiellosta ei saa velottaa. Ennen tämän lain voimaantuloa kertyneiden sähköisen viestinnän yhteystietojen käyttö suoramarkkinointiin momentin tarkoittamassa laajuudessa voidaan sallia, koska asiakkaalla on jokaisen viestin yhteydessä mahdollisuus ilman erillistä maksua kieltää tällainen markkinointi.

Tuotteiden ja palvelujen moninaisen ja laajan kirjon vuoksi samankaltaisuuden arviointi ehdotetussa pykälässä tai sen perusteluissa on mahdotonta. Samankaltaisuuden arvioinnissa tulisikin ottaa huomioon kulloinkin kyseessä olevan liiketoiminta-alueen erityispiirteet ja vakiintuneet tulkinnat.

Erityislaissa voidaan säätää ehdotetusta pykälästä poikkeavasti, kuten esimerkiksi laissa luottolaitostoiminnasta, jonka 94 §:ssä säädetään asiakastietojen luovuttamisesta muun muassa markkinointia varten.

Ehdotetulla pykälällä pannaan täytäntöön sähköisen viestinnän tietosuojadirektiivin 13 artikla ja rahoituspalvelujen etämyyntidirektiivin 10 artikla. Rahoituspalvelujen etämyyntidirektiivin 10 artikla suojaa kuluttajia niiltä yhteydenotoilta, joita he eivät halua pankki-, luotto-, vakuutus-, yksilöllisiä eläkejärjestely-, sijoitus- tai maksupalvelua tarjoavilta palvelujen tarjoajilta. Direktiivin 10 artiklassa säädetään kuluttajalta tarvittavasta kuluttajan ennakolta antamasta suostumuksesta, kun palvelujen tarjoaja käyttää yhteydenotossaan automaattisia soittojärjestelmiä, telekopiolaitteita sekä muita etäviestintävälineitä.

27 §. Suoramarkkinointi yhteisölle. Ehdotetun 1 momentin mukaan suoramarkkinointia yhteisölle saa harjoittaa, jollei tämä ole sitä nimenomaisesti kieltänyt. Yhteisöltä ei ehdotetun 1 momentin mukaan tarvita etukäteissuostumusta suoramarkkinointiin, vaan niillä on oikeus kieltää heihin kohdistuva suoramarkkinointi. Kun 26 §:n mukaan pääsääntönä on, ettei suoramarkkinointia voi lähettää luonnolliselle henkilölle ilman tämän suostumusta, mutta viestejä voi kuitenkin lähettää, jos luonnollinen henkilö toimii yhteisön puolesta tietyssä tehtävässä, johon suoramarkkinoinnilla tarjottavat hyödykkeet ja palvelut olennaisesti liittyvät, on myös tällaisella henkilöllä ehdotetun 1 momentin mukaan oikeus kieltää suoramarkkinoinnin lähettäminen.

Ehdotetun 2 momentin mukaan yhteisölle on annettava mahdollisuus helposti ja ilman erillistä maksua kieltää yhteystietojensa käyttö jokaisen suoramarkkinointitarkoituksessa lähetetyn sähköpostiviestin, tekstiviestin, puheviestin, ääniviestin ja kuvaviestin yhteydessä. Suoramarkkinointia harjoittavan on selkeästi tiedotettava kieltomahdollisuudesta.

Ehdotetun momentin kieltomahdollisuus on annettava yhteisölle ilman erillistä maksua, joka tarkoittaa, että yhteisöltä ei käytettävän yhteyden perusmaksun lisäksi voida periä erillistä lisämaksua.

28 §. Suoramarkkinoinnin tunnistaminen. Ehdotetun 1 momentin mukaan, 26 ja 27 §:ssä säädettyyn suoramarkkinointiin tarkoitettu sähköpostiviesti, tekstiviesti, puheviesti, ääniviesti ja kuvaviesti on voitava sitä vastaanotettaessa selvästi ja yksiselitteisesti tunnistaa markkinoinniksi.

Tietyt viestintäjärjestelmät mahdollistavat, että viestin vastaanottaja näkee viestin lähettäjän ja viestin otsikon. Tällöin viesti voidaan poistaa tarvitsematta ladata koko viestin sisältöä tai liitteitä, ja siten voidaan alentaa kustannuksia, joita voisi syntyä ei-toivottujen viestien tai liitteiden lataamisesta. Ehdotetussa pykälässä velvoitettaisiinkin tekemään suoramarkkinointiviesti sellaiseksi, että se mahdollisimman varhaisessa vaiheessa voidaan tunnistaa suoramarkkinointiviestiksi. Sähköpostiviesteissä voitaisiin esimerkiksi otsikkokenttään kirjoittaa sana mainos tai jokin muu vastaava sana. Tekstiviestiin ei vielä tällä hetkellä voida liittää samankaltaista otsikkokenttää kuin esimerkiksi sähköpostiviestiin. Tekstiviestillä toteutettu suoramarkkinointi onkin voitava heti tunnistaa suoramarkkinoinniksi joko sen sisällön perusteella tai muulla tavalla.

Ehdotetun 2 momentin mukaan sellaisen suoramarkkinointiin tarkoitetun sähköpostiviestin, tekstiviestin, puheviestin, ääniviestin ja kuvaviestin lähettäminen on kiellettyä, jossa peitetään tai salataan sen lähettäjän henkilöllisyys, jonka puolesta viesti on lähetetty ja jossa ei ole voimassa olevaa osoitetta, johon vastaanottaja voi lähettää pyynnön siitä, että kyseinen viestintä lopetetaan.

Suoramarkkinointiin tarkoitetun viestinnän sääntöjen tosiasiallisen täytäntöönpanon helpottamiseksi on tarpeen kieltää väärien henkilöllisyyksien tai väärien vastausosoitteiden käyttö. Näihin tarkoituksiin lähetetyissä viesteissä tulee aina olla jonkinlainen osoite, johon luonnollinen henkilö tai oikeushenkilö voi lähettää kiellon suoramarkkinoinnin jatkumisesta.

Ehdotetun pykälän mukaan kiellettyä on siten lähettää sellainen suoramarkkinointiin tarkoitettu viesti, jossa molemmat ehdot täyttyvät samanaikaisesti. Viestin voi lähettää, jos vain toinen ehdoista toteutuu.

29 §. Suoramarkkinoinnin vastaanottamisen estäminen. Ehdotetun pykälän mukaan käyttäjän pyytäessä teleyrityksellä ja yhteisötilaajalla on oikeus estää 26 - 28 §:ssä tarkoitetun suoramarkkinoinnin vastaanottaminen. Toimenpiteet on toteutettava huolellisesti sekä luottamuksellisen viestin ja yksityisyyden suojaa tarpeettomasti vaarantamatta.

Huomattava on, että ehdotetussa 20 §:ssä säädetään ilman vastaanottajan suostumusta toteutettavasta viestin, muun muassa markkinointiin tarkoitetun sähköpostiviestin, vastaanottamisen estämisestä verkkopalvelujen tai viestintäpalvelujen taikka viestin vastaanottajan viestintämahdollisuuksien turvaamiseksi.

Ehdotetussa pykälässä selvennetään tilannetta, jossa käyttäjän pyytäessä teleyrityksellä ja yhteisötilaajalla on oikeus estää suoramarkkinointiviestien vastaanottaminen. Suurin osa ei-toivotusta suoramarkkinoinnista, tulee muualta kuin Suomesta tai Euroopan unionin jäsenmaista. On koettu tarpeelliseksi luoda sellaisia järjestelmiä, jotka estävät ei-toivotun viestinnän pääsyn käyttäjän päätelaitteelle. Jo nyt on markkinoille tullut sellaisia palveluja, joilla pyritään poistamaan haitallisia viestejä erilaisista järjestelmistä niin, ettei käyttäjä koskaan saa näitä viestejä. Ehdotetussa pykälässä luotaisiin oikeus teleyritykselle tai yhteisötilaajalle suodattaa pois tietyillä kriteereillä sellaiset viestit, joita käyttäjä ei halua päätelaitteelleen silloin, kun käyttäjä on sitä pyytänyt. Käytännössä saattaa kuitenkin olla mahdotonta, että tietyissä yhteisöissä joidenkin käyttäjien viestinnästä poistetaan tietyin kriteerein ei-toivottu viestintä, mutta joidenkin viestintään ne jätetään. Tällöin suodatuskriteerit tulisi sisällyttää yhteisön sähköpostin käyttöoikeusehtoihin taikka vastaaviin sääntöihin, jotka hyväksymällä käyttäjän voitaisiin katsoa antaneen ehdotetussa pykälässä tarkoitetun suostumuksen. Joka tapauksessa viestinnän suodattaminen on toteutettava aina huolellisesti sekä luottamuksellisen viestin ja yksityisyyden suojaa tarpeettomasti vaarantamatta. Selvää on, että käytettäessä suodattimia saattaa osa myös luottamuksellisiksi katsotuista toivotuista viesteistä jäädä saapumatta vastaanottajalle. Käyttäjälle tulisikin antaa mahdollisimman tarkat ja kattavat tiedot suodatustavasta ja siitä mitä riskejä suodattamiseen sisältyy.

8 luku. Ohjaus ja valvonta

30 §. Yleinen ohjaus ja kehittäminen. Ehdotetun pykälän mukaan yleinen ohjaus ja kehittäminen tämän lain tarkoituksen toteutumiseksi kuuluu liikenne- ja viestintäministeriölle.

Lain tarkoituksesta säädetään ehdotetussa 1 §:ssä, jonka mukaan lain tarkoituksena on turvata sähköisen viestinnän luottamuksellisuuden ja yksityisyyden suojan toteutuminen sekä edistää sähköisen viestinnän tietoturvaa ja monipuolisten sähköisen viestinnän palvelujen tasapainoista kehittymistä. Liikenne- ja viestintäministeriön yleinen ohjaus- ja kehittämisvastuu sähköisen viestinnän luottamuksellisuuden, yksityisyyden suojan, tietoturvan ja muiden tässä laissa yksilöityjen sähköisen viestinnän tavoitteiden osalta edellyttää kansallisesti kiinteää yhteistyötä muiden alan toimijoiden, erityisesti Viestintäviraston, tietosuoja-, kuluttaja- ja muiden keskeisten viranomaisten, teleyritysten ja lisäarvopalvelun tarjoajien, laitevalmistajien ja tilaajia sekä käyttäjiä edustavien yhteisöjen kanssa. Lisäksi tarvitaan kansainvälisesti aktiivista vaikuttamista, jotta kansallisesti asetetut tavoitteet saataisiin toteutumaan kansainvälisessä yhteistyössä. Liikenne- ja viestintäministeriön yleinen ohjaus- ja kehittämisvastuu lain soveltamisalalla koskee sekä normaaliaikoja että poikkeusoloihin varautumista ja poikkeusoloja.

Pykälä vastaa televiestinnän tietosuojalain 23 §:n 1 momentissa säädettyä, jonka mukaan teletoiminnan yleinen ohjaus ja kehittäminen kuuluu ministeriölle. Televiestinnän tietosuojalain 3 §:n 13 kohdan mukaan ministeriöllä tarkoitetaan liikenne- ja viestintäministeriötä, jollei valtioneuvoston asetuksella ole toisin säädetty.

31 §. Viestintäviraston tehtävät. Ehdotetun pykälän mukaan Viestintäviraston tehtävänä on 1) valvoa tämän lain ja sen nojalla annettujen säännösten ja määräysten noudattamista siltä osin kuin 32 §:stä ei muuta johdu, 2) kerätä tietoa verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvista tietoturvaloukkauksista ja niiden uhkista sekä näiden palvelujen merkittävistä vikatilanteista ja häiriötilanteista, 3) selvittää verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvia tietoturvaloukkauksia ja niiden uhkia sekä merkittäviä näiden palvelujen vikatilanteita ja häiriötilanteita, sekä 4) tiedottaa tietoturva-asioista.

Ehdotetun pykälän 1 kohdan mukaisesti Viestintävirasto on keskeisin ehdotetun lain soveltamista valvova viranomainen. Viestintäviraston valvontatoimivalta on ehdotetun lain soveltamisalan suhteen edelleen yleinen, mutta 32 §:n nojalla huomattavaa toimivaltaa on annettu myös tietosuojavaltuutetulle. Tietosuojavaltuutetun toimivaltaan kuuluu valvoa muun muassa paikkatietojen käsittelyä koskevia säännöksiä kokonaisuudessaan.

Ehdotetun pykälän 2-4 kohdat liittyvät tietoturvan toteuttamiseen. Viestintävirasto on kansallinen tietoturvaviranomainen, joka kerää tietoa verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvista tietoturvaloukkauksista, tietoturvauhkista sekä merkittävistä näihin palveluihin kohdistuvista vikatilanteista ja häiriötilanteista sekä vastaa tietoturvaloukkausten, tietoturvauhkien ja merkittävien vika- ja häiriötilanteiden kansallisesta selvittämisestä ja tietoturva-asioiden kansallisesta tiedottamisesta. Lisäksi Viestintävirasto vastaa näihin asioihin liittyvästä kansainvälisestä yhteistyöstä. Tietojen kerääminen käsittää sekä oma-aloitteisen tietojen keräämisen että annettujen ilmoitusten vastaanottamisen ja käsittelyn. Selvittäminen puolestaan voi pitää sisällään paitsi syiden ja seurausten etsimistä, myös asiakkaan neuvontaa ja ohjeistusta. Viestintävirasto on tarvittaessa yhteydessä palvelujen tarjoajiin. Kuten aiemmin televiestinnän tietosuojalain 23 §:n muuttamisen yhteydessä (681/2002) todettiin, CERT-FI:n tehtäväkenttään kuuluvat yleisten viestintäverkkojen kautta tietojärjestelmiin kohdistuvat tietoturvaloukkaukset tai tietoturvaongelmat.

Tietoturvan toteuttamiseksi Viestintävirasto valvoo ehdotetun 1 kohdan nojalla myös ehdotetun 19 §:n 1 momentin velvoitetta, jonka mukaan teleyrityksen ja lisäarvopalvelun tarjoajan on huolehdittava palvelujensa tietoturvasta, samoin kuin yhteisötilaajan on huolehdittava käyttäjiensä tunnistamistietojen ja paikkatietojen käsittelyn tietoturvasta. Viestintäviraston tulee toteuttaa tarkoituksenmukaiset toimenpiteet tehtäviensä riittävän tehokkaaksi hoitamiseksi. Jos olosuhteet niin vaativat, tehtävät tulee tarvittaessa myös voida asettaa tärkeysjärjestykseen. Tehtävien hoitaminen tapahtuu käytännössä ensisijaisesti muiden keinojen kuin varsinaisten valvottavien luona tapahtuvien käyntien avulla.

Viestintäviraston oikeudesta antaa tietoturvan toteuttamiseen liittyviä teknisiä määräyksiä säädetään ehdotetun 19 §:n 3 momentissa sekä ehdotetun 20 §:n 3 momentissa. Muusta Viestintäviraston toimivallasta antaa tarkempia tai teknisiä määräyksiä säädetään ehdotetun 15 §:n 2 momentissa, ehdotetun 21 §:n 3 momentissa ja ehdotetun 24 §:n 6 momentissa.

Voimassa oleva Viestintäviraston toimivaltaa koskeva sääntely pohjautuu televiestinnän tietosuojalain 23 §:n 2 momentin 1 - 3 kohtiin. Ehdotetussa 32 §:ssä tietosuojavaltuutetulle annetaan enemmän toimivaltaa kuin aikaisemmin. Televiestinnän tietosuojalain 23 §:n mukaan Viestintäviraston tehtävänä on 1) valvoa tämän lain sekä sen nojalla annettujen säännösten ja määräysten noudattamista siltä osin kuin 3 momentista ei muuta johdu, 2) antaa tarvittaessa teknisiä määräyksiä teleyritysten toiminnasta sekä telelaitteiden, televerkkojen ja telepalveluiden varustamisesta tässä laissa edellytetyllä tavalla ja 3) hoitaa yleisten televerkkojen kautta tietojärjestelmiin ja televiestintään kohdistuvien tietoturvaloukkausten tiedonkeruuta ja selvittämistä sekä tiedottaa tietoturva-asioista. Sanotun momentin 1 ja 3 kohdat vastaavat ehdotettua pykälää siten, että televiestinnän tietosuojalain 23 §:n 2 momentin 3 kohta on ehdotetussa pykälässä avattu laajemmin kohdiksi 2 - 4. Televiestinnän tietosuojalain 23 §:n 2 momentin 2 kohtaa vastaava sääntely puolestaan on uuden perustuslain vaatimusten mukaisesti pyritty tekemään tarkkarajaisemmaksi ja samalla kyseiset toimivaltasäännökset on sijoitettu asianomaisiin pykäliin.

32 §. Tietosuojavaltuutetun tehtävät. Ehdotetun pykälän mukaan tietosuojavaltuutetun tehtävänä on valvoa 1) edellä 4 luvussa tarkoitettua paikkatietojen käsittelyä, 2) edellä 25 §:ssä tarkoitettuja puhelinluetteloita ja muita tilaajaluetteloita sekä numerotiedotusta koskevien säännöksien noudattamista, 3) edellä 7 lukuun sisältyvien suoramarkkinointia koskevien säännöksien noudattamista, sekä 4) jäljempänä 9 lukuun sisältyvien tiedonsaantioikeuksien ja vaitiolovelvollisuutta koskevien säännösten noudattamista paikkatietojen osalta.

Säännöksellä pyritään selkeyttämään tietosuojavaltuutetun toimivaltaa ehdotetun lain soveltamisalueella. Samalla tämän lain mukainen viranomaisten toimivalta on säädelty tyhjentävästi.

Televiestinnän tietosuojalaissa tietosuojavaltuutetun tehtävistä on säädetty 23 §:n 3 momentissa. Sen mukaan tietosuojavaltuutetun tehtävänä on valvoa, että noudatetaan, mitä 20 ja 21 §:ssä säädetään tilaajan kielto-oikeudesta ja tilaajan ennakkosuostumuksesta. Ehdotetussa laissa tietosuojavaltuutetun tehtävät laajenevat. Ehdotettua toimivallan jakoa Viestintäviraston ja tietosuojavaltuutetun kesken on pidettävä tarkoituksenmukaisena. Paikkatiedot liittyvät yksityisyyden suojaan, minkä johdosta niiden valvonnan on syytä kuulua tietosuojavaltuutetun toimialaan. Toisaalta esimerkiksi evästeet ovat luonteeltaan teknisiä ja liittyvät selkeämmin viestintään, minkä johdosta niiden on katsottu kuuluvan luontevammin Viestintäviraston toimialaan. Puhelinluetteloiden, muiden tilaajaluetteloiden, numerotiedotuksen ja suoramarkkinoinnin osalta on puolestaan katsottu, että niitä koskevan sääntelyn noudattamisen valvonnan tulisi kokonaisuudessaan kuulua yhdelle viranomaiselle. Koska niiden osalta yhteys henkilötietoihin on varsin voimakas, on valvontatoimivallan katsottu luontevasti kuuluvan tietosuojavaltuutetulle.

9 luku. Tiedonsaantioikeus

33 §. Ohjaus- ja valvontaviranomaisten tiedonsaantioikeus. Ehdotetun 1 momentin mukaan liikenne- ja viestintäministeriöllä, Viestintävirastolla ja tietosuojavaltuutetulla on oikeus saada tässä laissa säädettyjen tehtäviensä hoitamiseksi tarpeelliset tiedot salassapitosäännösten tai muiden tietojen luovuttamista koskevien rajoitusten estämättä teleyritykseltä, lisäarvopalvelun tarjoajalta, yhteisötilaajalta, teleurakoitsijalta, palvelun tarjoajalta, joka käsittelee palvelun käyttöä kuvaavia tietoja, suoramarkkinoinnin harjoittajalta, tilaajaluettelopalvelun ja numerotiedotuspalvelun tarjoajalta sekä näiden lukuun toimivilta niiden harjoittamasta tässä laissa tarkoitetusta toiminnasta. Liikenne- ja viestintäministeriön tiedonsaantioikeus ei koske tietoja luottamuksellisista viesteistä, tunnistamistiedoista tai paikkatiedoista.

Ehdotetussa momentissa tarkoitetut tiedot on ymmärrettävä laajasti siten, että liikenne- ja viestintäministeriön ja Viestintäviraston sekä tietosuojavaltuutetun tiedonsaantioikeus voi koskea kaikkea ehdotetussa momentissa lueteltujen toimijoiden liike- ja muuta toimintaa myös yrityssalaisuuden piiriin kuuluvilta osin, jos tietojen saanti on tarpeen tässä laissa säädetyn tehtävän toteuttamiseksi. Paitsi luovutettavien tietojen laajuus, myös niiden tarkkuus rajautuu sillä, mikä on riittävää ehdotetussa laissa säädetyn tehtävän hoitamiseksi. Ehdotetussa momentissa luovutettavilla tiedoilla ei liikenne- ja viestintäministeriön osalta tarkoiteta tietoja luottamuksellisiksi tarkoitetuista viesteistä, tunnistamistiedoista eikä paikkatiedoista, koska tällaisten tietojen ei voida katsoa olevan tarpeen liikenne- ja viestintäministeriön tehtävien suorittamiseksi.

Viestintäviraston ja tietosuojavaltuutetun tiedonsaantioikeudet koskevat kaikkia lueteltujen toimijoiden tässä laissa säädettyyn toimintaan liittyviä tietoja myös yrityssalaisuuden piiriin kuuluvilta osin. Tiedonsaantioikeutta rajaa se, mikä on tarpeen kyseisten viranomaisten tässä laissa säädettyjen tehtävien toteuttamiseksi.

Ehdotetussa 2 momentissa säädetään, että sen estämättä, mitä 5 §:ssä säädetään, Viestintävirastolla on oikeus saada tarpeelliset tunnistamistiedot ja paikkatiedot verkkopalvelun, viestintäpalvelun ja lisäarvopalvelun vikatilanteiden tai häiriötilanteiden taikka laskutukseen liittyvien epäselvyyksien selvittämiseksi.

Ehdotetussa 3 momentissa säädetään, että Viestintävirastolla ja tietosuojavaltuutetulla on oikeus saada tässä laissa säädettyjen tehtävien hoitamiseksi tunnistamistiedot, paikkatiedot ja 20 §:n 2 momentissa tarkoitetut viestit, jos ne ovat tarpeen käsittelyä, 7 §:ssä tarkoitettujen tietojen käyttöä tai suoramarkkinointia koskevien säännösten noudattamisen valvomiseksi tai merkittävien tietoturvaloukkausten ja -uhkien selvittämiseksi, ja jos Viestintäviraston tai tietosuojavaltuutetun arvion mukaan on syytä epäillä, että jokin seuraavista tunnusmerkistöistä täyttyy: 1) 42 §:n 2 momentissa tarkoitettu sähköisen viestinnän tietosuojarikkomus, 2) rikoslain 28 luvun 7 §:ssä tarkoitettu luvaton käyttö, 3) rikoslain 34 luvun 9 a §:ssä tarkoitettu vaaran aiheuttaminen tietojenkäsittelylle, 4) rikoslain 35 luvun 1 §:n 2 momentissa tarkoitettu vahingonteko, 5) rikoslain 38 luvun 1 §:ssä tarkoitettu salassapitorikos, 6) rikoslain 38 luvun 3 §:ssä tarkoitettu viestintäsalaisuuden loukkaus, 7) rikoslain 38 luvun 5 §:ssä tarkoitettu tietoliikenteen häirintä, 8) rikoslain 38 luvun 8 §:ssä tarkoitettu tietomurto, 9) rikoslain 38 luvun 8 a §:ssä tarkoitettu suojauksen purkujärjestelmärikos, tai 10) rikoslain 38 luvun 9 §:ssä tarkoitettu henkilörekisteririkos.

Viestintäviraston ja tietosuojavaltuutetun osalta on ehdotetussa 2 momentissa säädetyn lisäksi katsottu, että niiden voi olla tarpeen tehtäviensä hoitamiseksi saada käsiteltäväkseen myös tietoja haittaohjelmia sisältävistä viesteistä, tunnistamistiedoista ja paikkatiedoista, muutoin niiden valvontavelvollisuuden täyttäminen saattaisi estyä.

Viestintävirastolle ehdotetaan nykyisenkaltaista oikeutta saada tiedot tunnistamistiedoista paikkatiedoista vikatilanteiden, häiriötilanteiden ja laskutusepäselvyyksien selvittämiseksi. Muiden tarkoitusten ja itse viestiä koskevin osin viranomaisten tiedonsaantioikeus on ehdotetussa momentissa erittäin tarkasti rajattu. Haittaohjelmia sisältäviä viestejä, tunnistamistietoja ja paikkatietoja koskeva Viestintäviraston ja tietosuojavaltuutetun tiedonsaantioikeus on ehdotetussa momentissa rajattu niihin tapauksiin, joissa kysymys on käsittelyä koskevien säännösten noudattamisen valvonnasta tai tietoturvaloukkausten selvittämisestä. Lisäksi tiedonsaantioikeus on rajoitettu tilanteisiin, jotka ovat vakavuudeltaan sellaisia, että niihin on syytä epäillä liittyvän yhden tai useamman ehdotetussa momentissa luetellun rikostunnusmerkistön täyttyvän.

Perustellun arvion tunnusmerkistöjen täyttymisestä tekevät itsenäisesti Viestintävirasto ja tietosuojavaltuutettu. Teleyritykset voivat luottaa viranomaisen tekemään arvioon. Ehdotetun 42 §:n 2 momentin mukaan sähköisen viestinnän tietosuojarikkomukseen syyllistyy se, joka tahallaan 1) rikkoo 6 §:n 2 momentissa säädettyä teknisen suojauksen purkavan järjestelmän maahantuontia, valmistamista, myyntiä, muuta levittämistä tai hallussapitoa koskevaa kieltoa, 2) laiminlyö 7 §:ssä säädetyt velvollisuudet, 3) laiminlyö 19 §:ssä säädetyn velvollisuuden huolehtia palvelujensa tai tunnistamistietojen ja paikkatietojen käsittelyn tietoturvasta, 4) laiminlyö 21 §:n 2 momentissa tai 35 §:n 4 momentissa säädetyn ilmoitusvelvollisuuden, 5) käsittelee tunnistamistietoja tai paikkatietoja 3 ja 4 luvussa säädetyn vastaisesti, 6) luovuttaa laskun yhteyskohtaisen erittelyn 24 §:ssä säädetyn vastaisesti, 7) laiminlyö, mitä 25 §:ssä säädetään puhelinluetteloihin ja muihin tilaajaluetteloihin sisältyvien henkilötietojen käsittelystä, tilaajalle luettelon tarkoituksesta ja käytöstä ilmoittamisesta, tietojen poistamisesta ja korjaamisesta, kielto-oikeuksista tai oikeushenkilöiden oikeuksista, tai 8) harjoittaa suoramarkkinointia 7 luvussa säädetyn vastaisesti.

Rikoslain 28 luvun 7 §:n mukaan luvattomaan käyttöön syyllistyy se, joka luvattomasti käyttää toisen irtainta omaisuutta taikka kiinteää konetta tai laitetta.

Rikoslain 34 luvun 9 a §:n mukaan se, joka aiheuttaakseen haittaa tietojenkäsittelylle tai tieto- tai telejärjestelmän toiminnalle 1) valmistaa tai asettaa saataville sellaisen tietokoneohjelman tai ohjelmakäskyjen sarjan, joka on suunniteltu vaarantamaan tietojenkäsittelyä tai tieto- tai telejärjestelmän toimintaa taikka vahingoittamaan sellaisen järjestelmän sisältämiä tietoja tai ohjelmistoja, tai levittää sellaista tietokoneohjelmaa tai ohjelmakäskyjen sarjaa taikka 2) asettaa saataville ohjeen 1 kohdassa tarkoitetun tietokoneohjelman tai ohjelmakäskyjen sarjan valmistamiseen tai levittää sellaista ohjetta, syyllistyy vaaran aiheuttamiseen tietojenkäsittelylle.

Rikoslain 35 luvun 1 §:n 2 momentin mukaan vahingontekoon syyllistyy se, joka toista vahingoittaakseen oikeudettomasti hävittää, turmelee, kätkee tai salaa tietovälineelle tallennetun tiedon tai muun tallennuksen.

Rikoslain 38 luvun 1 §:ssä tarkoitettuun salassapitorikokseen syyllistyy se, joka laissa tai asetuksessa säädetyn taikka viranomaisen lain nojalla erikseen määräämän salassapitovelvollisuuden vastaisesti 1) paljastaa salassa pidettävän seikan, josta hän on asemassaan, toimessaan tai tehtävää suorittaessaan saanut tiedon, taikka 2) käyttää tällaista salaisuutta omaksi tai toisen hyödyksi.

Rikoslain 38 luvun 3 §:n mukaan viestintäsalaisuuden loukkaukseen syyllistyy se, joka oikeudettomasti 1) avaa toiselle osoitetun kirjeen tai muun suljetun viestin taikka suojauksen murtaen hankkii tiedon sähköisesti tai muulla vastaavalla teknisellä keinolla tallennetusta, ulkopuoliselta suojatusta viestistä taikka 2) hankkii tiedon televerkossa välitettävänä olevan puhelun, sähkeen, tekstin-, kuvan- tai datasiirron taikka muun vastaavan televiestin sisällöstä taikka tällaisen viestin lähettämisestä tai vastaanottamisesta.

Rikoslain 38 luvun 5 §:n mukaiseen tietoliikenteen häirintään syyllistyy se, joka puuttumalla postiliikenteessä taikka tele- tai radioviestinnässä käytettävän laitteen toimintaan, lähettämällä ilkivaltaisessa tarkoituksessa radiolaitteella tai televerkossa häiritseviä viestejä tai muulla vastaavalla tavalla oikeudettomasti estää tai häiritsee postiliikennettä taikka tele- tai radioviestintää.

Tietomurto on rikoslain 8 §:n mukaan kyseessä silloin, kun joku käyttämällä hänelle kuulumatonta käyttäjätunnusta taikka turvajärjestelyn muuten murtamalla oikeudettomasti tunkeutuu tietojärjestelmään, jossa sähköisesti tai muulla vastaavalla teknisellä keinolla käsitellään, varastoidaan tai siirretään tietoja, taikka sellaisen järjestelmän erikseen suojattuun osaan. Lisäksi tietomurrosta on kyse silloin, kun joku tietojärjestelmään tai sen osaan tunkeutumatta teknisen erikoislaitteen avulla oikeudettomasti ottaa selon 1 momentissa tarkoitetussa tietojärjestelmässä olevasta tiedosta.

Rikoslain 8 a §:n mukainen suojauksen purkujärjestelmärikos puolestaan on kyseessä silloin, kun joku eräiden suojauksen purkujärjestelmien kieltämisestä annetun lain 3 §:ssä säädetyn kiellon vastaisesti ansiotarkoituksessa tai siten, että teko on omiaan aiheuttamaan huomattavaa haittaa tai vahinkoa suojatun palvelun tarjoajalle, valmistaa, tuo maahan, pitää kaupan, vuokraa tai levittää suojauksen purkujärjestelmää, mainostaa sitä taikka asentaa tai huoltaa sitä.

Edelleen rikoslain 38 luvun 9 §:n mukaiseen henkilörekisteririkokseen syyllistyy se, joka tahallaan tai törkeästä huolimattomuudesta 1) käsittelee henkilötietoja vastoin henkilötietolain käyttötarkoitussidonnaisuutta, käsittelyn yleisiä edellytyksiä, henkilötietojen tarpeellisuutta tai virheettömyyttä, arkaluonteisia tietoja, henkilötunnusta tai henkilötietojen käsittelyä erityisiä tarkoituksia varten koskevia säännöksiä taikka rikkoo henkilötietojen käsittelyä koskevia erityissäännöksiä, 2) antamalla rekisteröidylle väärän tai harhaanjohtavan tiedon estää tai yrittää estää rekisteröityä käyttämästä hänelle kuuluvaa tarkastusoikeutta tai 3) siirtää henkilötietoja Euroopan unionin tai Euroopan talousalueen ulkopuolisiin valtioihin henkilötietolain 5 luvun vastaisesti ja siten loukkaa rekisteröidyn yksityisyyden suojaa tai aiheuttaa hänelle muuta vahinkoa tai olennaista haittaa.

Ehdotetuilla 1, 2 ja 3 momenteilla on pyritty selkeästi yksilöimään, millaisia tietoja niiden perusteella voidaan eri viranomaisille luovuttaa.

Ehdotetun 4 momentin mukaan liikenne- ja viestintäministeriöllä, Viestintävirastolla ja tietosuojavaltuutetulla on oikeus käsitellä saamiaan tietoja ainoastaan tässä laissa säädettyjen tehtäviensä hoitamiseksi. Säännöksellä rajataan viranomaisten käsittelyoikeudet.

Ehdotetun 5 momentin mukaan Viestintäviraston ja tietosuojavaltuutetun on hävitettävä 2 ja 3 momentin nojalla saamansa tiedot luottamuksellisista viesteistä, tunnistamistiedoista ja paikkatiedoista, kun ne eivät enää ole tarpeen 2 ja 3 momentissa säädettyjen tehtävien tai niitä koskevan rikosasian, riita-asian tai hallintoasian käsittelemiseksi. Tiedot viesteistä, tunnistamistiedoista ja paikkatiedoista on hävitettävä viimeistään kahden vuoden tai, jos on kysymys tietoturvaloukkausten selvittämistä koskevista tiedoista, viimeistään kymmenen vuoden kuluttua sen kalenterivuoden päättymisestä, jonka aikana tiedot saatiin tai päätös taikka tuomio ehdotetussa momentissa tarkoitetuissa asioissa sai lainvoiman. Radiolain (1015/2001) 30 §:n 2 momentissa on tätä momenttia vastaava säännös. Liikennevaliokunta on radiolain kyseisen pykälän käsittelyn yhteydessä ottanut peruslähtökohdaksi korkeintaan kahden vuoden tietojen säilytysajan (LiVM 6/2001 vp – HE 80/2001 vp). Kymmenen vuoden säilytysaika säädettiin sellaisten tietojen osalta, joissa kyse oli turvallisuusradiotoiminnan häiriöttömyyden varmistamisesta.

Televiestinnän tietosuojalaissa viranomaisten tiedonsaantioikeuksista on säädetty 24 §:n 1 momentissa. Momentissa todetaan, että sen estämättä, mitä salassapidosta muualla laissa säädetään, ministeriöllä, Viestintävirastolla ja tietosuojavaltuutetulla on oikeus 23 §:ssä säädettyjen tehtäviensä suorittamiseksi saada teleyrityksiltä ja niiden yhteenliittymiltä, televerkkojen omistajilta ja haltijoilta, teleurakoitsijoilta, tilaajaluetteloiden julkaisijoilta ja suoramarkkinoinnin harjoittajilta tarpeelliset tiedot niiden harjoittamasta televiestinnän tietosuojalaissa tarkoitetusta toiminnasta. Voimassa olevan lain viranomaisten tiedonsaantioikeuksia koskeva sääntely on siten ollut ehdotettuun pykälään verrattuna huomattavasti yleisemmällä ja epämääräisemmällä tasolla. Voimassa olevaa säännöstä lienee tulkittava siten, että myös liikenne- ja viestintäministeriöllä olisi sen nojalla ollut oikeus saada tietoja luottamuksellisista viesteistä tai tunnistamistietoja. Koska ministeriön toimivaltaan kuitenkin kuuluu ehdotetun 30 §:n mukaisesti yleinen ohjaus ja kehittäminen lain tarkoituksen toteutumiseksi, ei sillä siten ole tarvetta näin yksityiskohtaisten tietojen saantiin. Myös Viestintäviraston ja tietosuojavaltuutetun tiedonsaantioikeudet on sidottu tiettyihin tunnusmerkistöihin ehdotetussa kolme momentissa säädetyin tavoin. Lisäksi ehdotetut 4 ja 5 momentit asettavat myös viranomaisille tietojen käsittelyä koskevia velvollisuuksia. Vastaavia säännöksiä ei ole televiestinnän tietosuojalaissa. Ehdotetussa pykälässä viranomaisten tiedonsaantioikeuksia koskeva sääntely pyritään saattamaan peruslain vaatimuksia vastaavalle tasolle.

Ehdotetun 6 momentin mukaan tässä pykälässä säädetty tiedonsaantioikeus ei koske luottolaitostoiminnasta annetun lain (1607/1993) 94 §:ssä tai oikeudenkäymiskaaren 17 luvun 24 §:n (571/1948) 2 ja 3 momentissa tarkoitettuja tietoja.

Luottolaitostoiminnasta annetun lain 94 §:ssä säädetään salassapitovelvollisuudesta. Säännöksessä todetaan, että joka luottolaitoksen tai sen kanssa samaan konsolidointiryhmään kuuluvan yrityksen, luottolaitosten yhteenliittymän taikka luottolaitoksen asiamiehen tai muun luottolaitoksen lukuun toimivan yrityksen toimielimen jäsenenä tai varajäsenenä tai niiden palveluksessa taikka niiden toimeksiannosta tehtävää suorittaessaan on saanut tietää luottolaitoksen tai sen kanssa samaan konsolidointiryhmään tai rahoitus- ja vakuutusryhmittymien valvonnasta annetussa laissa tarkoitettuun ryhmittymään kuuluvan yrityksen asiakkaan tai muun sen toimintaan liittyvän henkilön taloudellista asemaa tai yksityisen henkilökohtaisia oloja koskevan seikan taikka liike- tai ammattisalaisuuden, on velvollinen pitämään sen salassa, jollei se, jonka hyväksi vaitiolovelvollisuus on säädetty, anna suostumustaan sen ilmaisemiseen. Salassa pidettäviä tietoja ei saa antaa myöskään yhtiökokoukselle, isäntien kokoukselle, osuuskunnan kokoukselle tai edustajistolle taikka hypoteekkiyhdistyksen kokoukselle eikä kokoukseen osallistuvalle osakkeenomistajalle tai jäsenelle.

Oikeudenkäymiskaaren 17 luvun 24 §:n 2 ja 3 momentin mukaan aikakautisen painokirjoituksen julkaisija, päätoimittaja, kustantaja tai kirjanpainaja saa kieltäytyä vastaamasta kysymykseen, kuka on painokirjoitukseen otetun kirjoituksen tai tiedonannon laatija tahi kuka on antanut kirjoituksen taikka tiedonannon perusteena olevat tiedot, samoin kuin kysymykseen, johon ei voi vastata paljastamatta laatijaa tai tiedonantajaa. Sama koskee soveltuvin osin aikakautiseen painokirjoitukseen otetun kirjoituksen tai tiedonannon laatijaa sekä sitä, joka on saanut tiedon edellä mainituista seikoista ollessaan asianomaisen kustantajan, toimituksen tai kirjanpainajan palveluksessa. Milloin on kysymys radiovastuulaissa (219/71) tarkoitetussa yleisradiotoiminnassa lähetettyyn ohjelmaan sisältyneestä tiedonannosta, on vastaavaan ohjelmatoimittajaan ja muuhun yleisradiotoiminnan harjoittajan palveluksessa olevaan henkilöön sekä tiedonannon laatijaan vastaavasti sovellettava, mitä edellä on säädetty. Sama koskee kaapelilähetystoiminnasta annetussa laissa (307/87) tarkoitettua vastaavaa ohjelmatoimittajaa ja muuta mainitussa laissa tarkoitetun ohjelmatoiminnan harjoittajan palveluksessa olevaa henkilöä sekä lähetettyyn ohjelmaan sisältyneen tiedonannon laatijaa.

Tässä pykälässä säädettyjen tiedonsaantioikeuksien toteuttamiseksi tiedon luovuttajalla on oikeus käsitellä tunnistamistietoja siinä määrin kuin tiedonsaantioikeuden toteuttaminen edellyttää.

34 §. Valvontaviranomaisten vaitiolovelvollisuus ja tietojen luovuttaminen. Ehdotetussa 1 momentissa säädetään, että Viestintäviraston ja tietosuojavaltuutetun 33 §:n 2 ja 3 momentin nojalla saamat tiedot luottamuksellisista viesteistä ja tunnistamistiedoista sekä paikkatiedoista on pidettävä salassa. Ehdotetun momentin mukaisesti salassapitovelvollisuus on pääsääntö, josta voidaan poiketa ainoastaan jäljempänä ehdotetussa pykälässä säädetyissä tilanteissa.

Ehdotetun 2 momentin mukaan Viestintävirastolla ja tietosuojavaltuutetulla on muun kuin 1 momentissa tarkoitetun salassapitosäännöksen tai muun tietojen luovuttamista koskevan rajoituksen estämättä oikeus luovuttaa tässä laissa säädettyjä tehtäviä suorittaessaan saamiaan 33 §:n 1 momentissa tarkoitettuja tietoja liikenne- ja viestintäministeriölle.

Ehdotetun momentin mukainen tietojen luovutus ei voi olla laajempi kuin ehdotetun 33 §:n 1 momentissa tarkoitettu liikenne- ja viestintäministeriön oikeus tietojen saantiin. Myöskään ehdotetun momentin nojalla liikenne- ja viestintäministeriölle ei siten voida luovuttaa tietoja luottamuksellisista viesteistä ja tunnistamistiedoista tai paikkatiedoista. Tietojen on myös oltava tarpeen ministeriön tehtävien toteuttamiseksi, ja ehdotetun 33 §:n 4 momentti rajoittaa ministeriön oikeuden käsitellä tietoja siihen, mikä on tarpeen sen tehtävien toteuttamiseksi.

Ehdotetun 3 momentin mukaan Viestintävirastolla on 1 momentissa tarkoitetun salassapitosäännöksen tai muun tietojen luovuttamista koskevan rajoituksen estämättä oikeus luovuttaa tietoturvaloukkauksia koskevan tiedonkeruun ja selvittämisen yhteydessä saamiaan tunnistamistietoja niille teleyrityksille, lisäarvopalvelun tarjoajille ja yhteisötilaajille, joita on käytetty hyväksi tietoturvaloukkauksessa tai jotka ovat joutuneet tietoturvaloukkauksen kohteiksi, jos Viestintäviraston arvion mukaan on syytä epäillä, että yksi tai useampi edellä 33 §:n 3 momentin 1-10 kohdissa mainittu tunnusmerkistö täyttyy.

Ehdotettu 3 momentti vastaa teleyrityksen osalta televiestinnän tietosuojalain 24 §:n 2 momenttia. Kyseisen lainkohdan mukaan Viestintävirastolla on oikeus luovuttaa tietoturvaloukkausten tiedonkeruussa ja selvittämisessä saatuja tunnistamistietoja niille teleyrityksille, joiden verkkoja tai palveluita on käytetty hyväksi tietoturvaloukkauksissa. Tietoja on oikeus luovuttaa ainoastaan siinä laajuudessa kuin se on tarpeen tietoturvaloukkausten ehkäisemiseksi. Ehdotetussa momentissa luovutusedellytyksiä on kuitenkin täsmennetty siten, että luovutus voi tulla kyseeseen ainoastaan silloin, jos jokin ehdotetun 33 §:n 3 momentin 1-10 kohdassa mainitun tunnusmerkistön voidaan epäillä täyttyvän. Kyseessä tulisi siis olla joko sähköisen viestinnän tietosuojarikkomus, luvaton käyttö tai törkeä luvaton käyttö, vaaran aiheuttaminen tietojenkäsittelylle, vahingonteko tai törkeä vahingonteko, salassapitorikos, viestintäsalaisuuden loukkaus tai törkeä viestintäsalaisuuden loukkaus, tietoliikenteen häirintä tai sen törkeä tai lievä tekomuoto, tietomurto, suojauksen purkujärjestelmärikos taikka henkilörekisteririkos. Ehdotettu momentti vastaa käytännön tarpeita ja on välttämätön CERT-toiminnan kannalta. Esimerkiksi Viestintäviraston tietoon saattaa tulla IP-osoite, josta käsin sähköistä viestintää häiritään tahattomasti tai tahallisesti. Viestintävirasto voi tällaisessa tapauksessa ilmoittaa osoitteesta sille toimijalle, joka pystyy sen sulkemaan. Lisäksi ehdotetun momentin avulla voidaan saada yritykset paremmin tietoisiksi mahdollisista niiden tietoturvassa olleista aukoista, ja siten auttaa niitä varautumaan jatkossa vastaavankaltaisten tietoturvaloukkausten torjumiseen.

Ehdotetun 4 momentin mukaan Viestintävirastolla on oikeus luovuttaa 3 momentissa tarkoitettuja tunnistamistietoja ainoastaan siinä laajuudessa kuin se on tarpeen tietoturvaloukkausten ehkäisemiseksi ja selvittämiseksi. Ehdotetussa momentissa edellytetään siis sitä, että Viestintävirasto käyttää harkintaa sen suhteen, mitkä tiedot ovat tarpeen ehdotetun momentin tarkoituksen toteuttamiseksi. Tämäkin osa säännöstä vastaa edellisen momentin yhteydessä mainittua televiestinnän tietosuojalain 24 §:n 2 momentissa säädettyä. Kun luovutusoikeus on tässä momentissa mainituin tavoin rajoitettu, sen voidaan katsoa vastaavan julkisuuslainsäädännön vaatimuksia. Viranomaisen toiminnan julkisuudesta annetun lain 26 §:n nojalla viranomainen voi antaa tiedon salassa pidettävästä asiakirjasta, jos sen antamisesta on erikseen nimenomaisesti laissa säädetty.

Ehdotetun 5 momentin mukaan muilta osin valvontaviranomaisten hallussa olevien tietojen salassapidosta on voimassa, mitä viranomaisen toiminnan julkisuudesta annetussa laissa säädetään. Ehdotettu momentti on luonteeltaan informatiivinen.

Tässä pykälässä säädettyjen tiedonsaantioikeuksien toteuttamiseksi tiedon luovuttajalla on oikeus käsitellä tunnistamistietoja siinä määrin kuin tiedonsaantioikeuden toteuttaminen edellyttää.

35 §. Tietojen luovuttaminen hätäilmoituksia vastaanottaville viranomaisille. Ehdotetussa 1 momentissa säädetään, että teleyritys on velvollinen luovuttamaan hätäkeskukselle, meripelastuskeskukselle ja meripelastuslohkokeskukselle sekä poliisin hälytyskeskukselle käsiteltäväksi 1) sen liittymän ja päätelaitteen tunnistamistiedot ja paikkatiedot, josta hätäilmoitus on tehty ja tiedot liittymän tilaajasta, käyttäjästä ja asennusosoitteesta sekä 2) hätäilmoituksen kohteena olevan käyttäjän päätelaitteen ja liittymän sijainnin ilmaisevat tunnistamistiedot ja paikkatiedot, jos käyttäjä on hätäilmoituksen vastaanottaneen viranomaisen perustellun käsityksen mukaan ilmeisessä hädässä tai välittömässä vaarassa.

Tiedot voidaan saada teknisen käyttöyhteyden avulla silloin, kun sellainen on olemassa. Jos tekninen käyttöyhteys on olemassa, sen tarjoamia mahdollisuuksia tiedon nopeaan kulkuun tulee voida hyödyntää, eikä tietoa tarvitse tällöin erikseen pyytää teleyritykseltä. Ehdotetun momentin 2 kohdassa tarkoitetaan sellaisia tapauksia, joissa hätäilmoituksen tekijänä on eri henkilö kuin se, jonka liittymän tai päätelaitteen sijainti halutaan selvittää. Kyseessä ovat esimerkiksi tilanteet, joissa voidaan olettaa, että joku muu henkilö kuin ilmoituksen tekijä on eksynyt merelle tai maastoon. Kuten aiemminkin, ratkaisevaa tietojen pyytämiselle on hätäilmoitusta vastaanottaneen virkavastuulla toimivan virkamiehen arvio tilanteesta. Hätäkeskuslain (157/2000) 7 §:ssä säädetään niistä tiedoista, joita voidaan kerätä ja tallettaa hätäkeskustietojärjestelmään.

Ehdotetun momentin 1 kohdan nojalla voidaan saada ainoastaan liittymän tai päätelaitteen tunnistamistiedot ja paikkatiedot. Kun tietojen saanti on sidottu liittymään, ei tunnistamistietoihin voi sisältyä esimerkiksi tietoja viestinnän muista osapuolista. Ehdotetun momentin 2 kohdan nojalla voidaan luovuttaa lisäarvopalvelujen tarjoamiseksi kerättyjen paikkatietojen lisäksi ainoastaan sijainnin ilmaisevia tunnistamistietoja, mutta ei esimerkiksi tietoa viestinnän toisesta osapuolesta.

Ehdotettu momentti vastaa televiestinnän tietosuojalain 18 §:n 2 momentissa säädettyä. Sanotussa lainkohdassa todetaan, että sen estämättä, mitä 7 §:ssä säädetään tai mitä tilaaja on sopinut teleyrityksen kanssa tunnistamistietojen tai matkaviestimen sijaintitietojen pitämisestä salassa, teleyritys on velvollinen luovuttamaan hätäkeskukselle, poliisin hälytyskeskukselle sekä meripelastuskeskukselle ja -lohkokeskukselle: 1) sen liittymän tunnistamistiedot, josta hätäilmoitus on tehty ja jota se koskee, sekä tiedot liittymän tilaajasta, käyttäjästä ja asennusosoitteesta samoin kuin sen matkaviestimen tiedossa olevan sijainnin, josta hätäilmoitus on tehty, ja 2) hätäilmoituksen kohteena olevan matkaviestimen käyttäjän matkaviestimen tiedossa olevan sijainnin, jos liittymän käyttäjä on hätäilmoituksen vastaanottaneen viranomaisen perustellun käsityksen mukaan ilmeisessä hädässä tai välittömässä vaarassa.

Ehdotetun 2 momentin mukaan edellä 1 momentissa tarkoitetut tiedot on luovutettava ehdotetussa 5 §:ssä tarkoitetun vaitiolovelvollisuuden ja ehdotetussa 4 luvussa tarkoitettujen paikkatietojen käsittelyä koskevien edellytysten estämättä ja riippumatta siitä, mitä tilaaja tai käyttäjä on sopinut teleyrityksen kanssa tietojen pitämisestä salassa.

Myös ehdotettua 2 momenttia vastaava säännös on televiestinnän tietosuojalain 18 §:n 2 momentissa. viittauksella tunnistamistietojen salassapidosta sopimiseen tarkoitetaan 22 §:ssä tarkoitettuja tunnistuksen estoja siltä osin kuin on kysymys tilaajan tai käyttäjän oman liittymän tiedoista.

Ehdotetun 3 momentin mukaan lisäarvopalvelun tarjoajalla on oikeus luovuttaa 1 momentissa tarkoitetut tiedot hätäkeskukselle, meripelastuskeskukselle ja meripelastuslohkokeskukselle sekä poliisin hälytyskeskukselle. Ehdotetussa momentissa lisäarvopalvelun tarjoajalle ei aseteta tietojen luovutusvelvollisuutta, vaan ehdotetun momentin mukaisella tietojen luovutusoikeudella on tarkoitus täydentää 1 momentissa asetettua tietojen luovutusvelvollisuutta. Myöskään lisäarvopalvelun tarjoajalle ei tällöin syntyisi velvollisuutta erillisten teknisten järjestelmien luomiseksi.

Ehdotetun 4 momentin mukaan teleyrityksen on viipymättä ilmoitettava hätäkeskukselle, meripelastuskeskukselle, meripelastuslohkokeskukselle ja poliisin hälytyskeskukselle hätäpuheluiden välittämisen kannalta merkittävistä viestintäverkon, verkkopalvelun ja viestintäpalvelun vikatilanteista ja häiriötilanteista. Säännöstä vastaa televiestinnän tietosuojalain 6 §:n 4 momentti, jonka mukaan teleyrityksen on ilmoitettava hätäkeskukselle merkittävistä vika- ja häiriötilanteista televerkoissa ja -palveluissa. Ehdotetussa momentissa niitä tahoja, joille teleyrityksen on ilmoitus tehtävä, on laajennettu.

Ehdotetussa 5 momentissa todetaan, että edellä 1 momentissa säädettyjen velvollisuuksien toteuttamisesta aiheutuvien kustannusten korvaamisesta säädetään viestintämarkkinalain 98 §:ssä. Kyseisessä viestintämarkkinalain pykälässä on myös viittaus saman lain 97 §:n, jossa säädetään viranomaistoimintaan liittyvien tietojen luovutusvelvollisuuden maksuttomuudesta. Viestintämarkkinalain 98 §:ään säädetään, että viranomaisen tulee toteuttaa kustannuksellaan järjestelmä, jolla se voi vastaanottaa ja käsitellä viestintämarkkinalain 97 §:ssä tarkoitettuja tietoja. Viranomainen vastaa myös järjestelmän viestintäverkkoon liittämisestä aiheutuneista kustannuksista. Teleyrityksellä on oikeus saada valtion varoista korvaus yksinomaan viranomaisen ilmoittamien tarpeiden vuoksi hankittujen järjestelmien, laitteistojen tai ohjelmistojen investoinneista, käytöstä ja ylläpidosta aiheutuneista välittömistä kustannuksista. Teleyrityksellä on oikeus saada valtion varoista korvaus myös viranomaisen määräämästä toimenpiteestä aiheutuneista välittömistä kustannuksista. Kustannusten korvaamisesta päättää Viestintävirasto. Teleyritys ei saa käyttää viranomaisen kustantamia järjestelmiä, laitteistoja tai ohjelmistoja kaupalliseen toimintaansa. Viestintämarkkinalain 97 §:ssä säädetään, että teleyrityksen on luovutettava viranomaiselle maksutta hallussaan olevat viranomaiselle laissa yleisen järjestyksen ja turvallisuuden sekä pelastustoiminnan ylläpitämiseksi säädetyn tehtävän suorittamisessa tarpeelliset tiedot siten kuin siitä erikseen säädetään.

Hätäkeskuslaissa on tietojen luovutusta koskeva 8 §, jonka mukaan hätäkeskukselle laissa säädettyjen tehtävien turvaamiseksi teleyritykseltä voidaan saada maksutta hätäilmoitusta koskevan liittymän tunnistamistiedot ja matkaviestimen sijaintitiedot sekä tiedot liittymän tilaajasta, käyttäjästä ja asennusosoitteesta. Tietojen luovutusvelvollisuus rajataan ehdotetussa pykälässä ainoastaan sellaisiin tietoihin, jotka teleyrityksellä on jo hallussaan. Teleyrityksen ei siten tarvitse luoda viranomaistarpeita varten erillisiä tiedonkeruujärjestelmiä, eikä ylläpitää sellaisia tiedostoja tai järjestelmiä, joita se ei tarvitse omaa toimintaansa varten. Luovutusvelvollisuuden kohteena olevat tiedot ja luovutukselle asetettavat muut ehdot yksilöidään asianomaisissa erityislaeissa. Tiedot on luovutettava maksutta. Maksuttomuus on perusteltua, koska tiedot ovat jo teleyrityksen hallussa ja se käyttää niitä liiketoiminnassaan hyväkseen.

Asiallisesti ehdotettua momenttia vastaa televiestinnän tietosuojalain 18 §:n 3 momentti, jonka mukaan hätäilmoituksia vastaanottava viranomainen toteuttaa ja ylläpitää omalla kustannuksellaan teknisen ratkaisun 2 momentissa tarkoitettujen tietojen vastaanottamiseksi. Teleyritys on velvollinen antamaan 2 momentissa tarkoitetut tiedot maksutta.

Tässä pykälässä säädettyjen tiedonsaantioikeuksien toteuttamiseksi tiedon luovuttajalla on oikeus käsitellä tunnistamistietoja siinä määrin kuin tiedonsaantioikeuden toteuttaminen edellyttää.

36 §. Eräiden muiden viranomaisten tiedonsaantioikeus. Ehdotetun 1 momentin mukaan viranomaisten oikeudesta saada rikosten ennalta ehkäisemiseksi ja paljastamiseksi säädetään poliisilaissa ja tullilaissa. Viranomaisten oikeudesta saada tunnistamistietoja rikoksen selvittämiseksi säädetään pakkokeinolaissa.

Ehdotettu momentti on luonteeltaan informatiivinen. Sitä vastaa televiestinnän tietosuojalain 18 §:n 4 momentti, jonka mukaan viranomaisen oikeudesta saada tunnistamistietoja rikoksen esitutkinnassa säädetään pakkokeinolaissa (450/1987). Viranomaisen oikeudesta tunnistamistietoihin rikosten estämiseksi säädetään poliisilaissa (493/1995). Poliisilaissa tunnistamistiedoilla tarkoitetaan samaa kuin pakkokeinolaissa, jonka esitöiden mukaan (HE 22/1994) tunnistamistiedolla tarkoitetaan samaa kuin teletoimintalain 29 §:n mukaisella tunnistamistiedolla. Käsitteen piiriin kuuluvat tällöin esimerkiksi telepäätelaitteiden osoitetiedot, kuten puhelinnumerot täydellisinä, tiedot teleyhteyksien tapahtuma-ajoista ja kestosta ja matkapuhelinten osalta tieto laitteen sijainnista.

Ehdotetun 2 momentin mukaan poliisilla on 5 §:ssä säädetyn vaitiolovelvollisuuden estämättä oikeus saada teleyritykseltä 1) rikoslain 16 luvun 9 a §:ssä tarkoitetun lähestymiskiellon rikkomisen, 17 luvun 13 §:n 2 kohdassa tarkoitetun ilkivallan tai 24 luvun 1 §:n 2 kohdassa tarkoitetun kotirauhan rikkomisen selvittämiseksi tarvittavia tunnistamistietoja liittymään otetuista yhteyksistä asianomistajan ja sen suostumuksella, jonka hallinnassa liittymä on, sekä 2) tilaajan suostumuksella matkaviestimestä lähetettyjä viestejä koskevat tunnistamistiedot siltä osin kuin se on tarpeen sellaisen rikoksen selvittämiseksi, jonka johdosta matkaviestin tai siinä käytetty liittymä on oikeudettomasti toisen hallussa.

Rikoslain 16 luvun 9 a §:ssä säädetään, että jos lähestymiskieltoon tai väliaikaiseen lähestymiskieltoon määrätty rikkoo lähestymiskieltoa koskevassa ratkaisussa yksilöityä kieltoa, hänet on tuomittava lähestymiskiellon rikkomisesta. Rikoslain 17 luvun 13 §:n 2 kohdassa säädetään, että joka aiheuttaa häiriötä soittamalla puheluita virastoon, toimistoon, liikkeeseen taikka muuhun vastaavaan paikkaan, on tuomittava, jollei teosta muualla laissa säädetä rangaistusta, ilkivallasta. Rikoslain 24 luvun 1 §:n 2 kohdassa säädetään, että joka oikeudettomasti rikkoo toisen kotirauhaa metelöimällä, heittämällä esineitä, soittamalla puheluita tai muulla vastaavalla tavalla, on tuomittava kotirauhan rikkomisesta. Ehdotetussa momentissa tarkoitetuille rikoksille on ominaista se, että poliisi ei saa tunnistamistietoja niiden selvittämiseksi pakkokeinolain nojalla, että kyseisten rikosten tekemisessä käytetään yhä tavanomaisemmin sähköisen viestinnän välineitä, ja että liittymän taikka päätelaitteen tunnistamistiedoilla voi olla yhä useammin keskeistä merkitystä rikoksen selvittämisen kannalta. Ehdotetussa 1 kohdassa tarkoitetun suostumuksen antaa asianomistajan ohella sen liittymän haltija, jonka liittymään kohdassa tarkoitetut yhteydet on otettu.

Ehdotetun momentin toisen kohdan mukaan poliisilla on oikeus saada tilaajan suostumuksella matkaviestimen tunnistamistiedot sellaisen rikoksen selvittämiseksi, jonka johdosta matkaviestin tai siinä käytetty liittymä on tai on ollut oikeudettomasti toisen hallussa. Käytännössä on tullut ilmi, että usein anastuksen jälkeen matkaviestimeen vaihdetaan liittymäkortti, jolloin matkaviestin on tunnistettavissa vain sen niin sanotun IMEI-koodin perusteella, mutta ei liittymän perusteella.

Ehdotettua momenttia vastaa televiestinnän tietosuojalain 18 §:n 1 momentti, jonka mukaan poliisilla on 7 §:ssä säädetyn vaitiolovelvollisuuden estämättä oikeus saada 1) rikoslain (39/1889) 16 luvun 9 a §:ssä, 17 luvun 13 §:n 2 kohdassa tai 24 luvun 1 §:n 2 kohdassa tarkoitetun rikoksen selvittämiseksi tarvittavia tunnistamistietoja liittymään otetuista yhteyksistä asianomistajan ja sen suostumuksella, jonka hallinnassa liittymä on, sekä 2) tilaajan suostumuksella matkaviestimestä lähetettyjä viestejä koskevat tunnistamistiedot siltä osin kuin se on tarpeen sellaisen rikoksen selvittämiseksi, jonka johdosta matkaviestin tai siinä käytetty liittymä on oikeudettomasti toisen hallussa.

Ehdotetun 3 momentin mukaan edellä ehdotetussa pykälässä säädettyjen velvollisuuksien toteuttamisesta aiheutuvien kustannusten korvaamisesta säädetään viestintämarkkinalain 98 §:ssä. Sanottu pykälä sisältää säännökset viranomaisten avustamisesta aiheutuneista kustannuksista. Kyseisessä pykälässä on myös viittaus saman lain 97 §:n, jossa säädetään viranomaistoimintaan liittyvien tietojen luovutusvelvollisuuden maksuttomuudesta. Viestintämarkkinalain 98 §:ssä säädetään, että viranomaisen tulee toteuttaa kustannuksellaan järjestelmä, jolla se voi vastaanottaa ja käsitellä viestintämarkkinalain 97 §:ssä tarkoitettuja tietoja. Viranomainen vastaa myös järjestelmän viestintäverkkoon liittämisestä aiheutuneista kustannuksista. Teleyrityksellä on oikeus saada valtion varoista korvaus yksinomaan viranomaisen ilmoittamien tarpeiden vuoksi hankittujen järjestelmien, laitteistojen tai ohjelmistojen investoinneista, käytöstä ja ylläpidosta aiheutuneista välittömistä kustannuksista. Teleyrityksellä on oikeus saada valtion varoista korvaus myös viranomaisen määräämästä toimenpiteestä aiheutuneista välittömistä kustannuksista. Kustannusten korvaamisesta päättää Viestintävirasto. Teleyritys ei saa käyttää viranomaisen kustantamia järjestelmiä, laitteistoja tai ohjelmistoja kaupalliseen toimintaansa. Viestintämarkkinalain 97 §:ssä säädetään, että teleyrityksen on luovutettava viranomaiselle maksutta hallussaan olevat viranomaiselle laissa yleisen järjestyksen ja turvallisuuden sekä pelastustoiminnan ylläpitämiseksi säädetyn tehtävän suorittamisessa tarpeelliset tiedot siten kuin siitä erikseen säädetään. Säännöstä sovelletaan tämän lain osalta teleyritysten lisäksi myös lisäarvopalvelujen tarjoajiin.

Ehdotetun 4 momentin mukaan edellä 1 ja 2 momentissa säädettyjen tiedonsaantioikeuksien toteuttamiseksi tiedon luovuttajalla on oikeus käsitellä tunnistamistietoja siinä määrin kuin tiedonsaantioikeuden toteuttaminen edellyttää. Säännös on tarpeen sen selkeyttämiseksi, että muun muassa teleyrityksellä on oikeus käsitellä tunnistamistietoja silloin, kun poliisi pyytää niitä poliisilain 36 §:n nojalla.

Tässä pykälässä säädettyjen tiedonsaantioikeuksien toteuttamiseksi tiedon luovuttajalla on oikeus käsitellä tunnistamistietoja siinä määrin kuin tiedonsaantioikeuden toteuttaminen edellyttää.

37 §. Käyttäjän erityinen tiedonsaantioikeus. Ehdotetun 1 momentin mukaan käyttäjällä on oikeus saada teleyritykseltä tämän hallussa olevat tunnistamistiedot, jotka ilmaisevat liittymän tai päätelaitteen sijainnin tietyllä hetkellä.

Ehdotetussa 24 §:ssä säädetään laskun yhteyskohtaisesta erittelystä laskun oikeellisuuden varmistamiseksi.

Tietyissä tilanteissa on käyttäjän oman turvallisuuden tai oikeusturvan kannalta välttämätöntä, että käyttäjä saa itseään koskevat tiedot liittymän tai päätelaitteen sijainnista tietyllä hetkellä. Käyttäjä saattaa tarvita liittymänsä sijainnin ilmaisevat tunnistamistiedot esimerkiksi osoittaakseen olleensa tietyssä paikassa tietyllä hetkellä, vaikka häntä ei olisikaan paikannettu tässä laissa tarkoitetun lisäarvopalvelun tarjoamiseksi. Lapsen huoltaja saattaa perustellusti tarvita lapsen käytössä olevaa liittymän sijaintia ilmaisevia tunnistamistietoja esimerkiksi, jos lapsi on päihtyneenä kateissa, vaikka tiedettäisiinkin, ettei lapsi todennäköisesti ole välittömässä vaarassa.

Käyttäjällä tarkoitetaan ehdotetussa pykälässä käyttäjää, jonka tilaaja on ilmoittanut teleyritykselle liittymän käyttäjäksi tai jonka teleyritys on muutoin varmistanut käyttäjäksi. Ilmoitettu käyttäjä voi siten olla myös tilaaja. Teleyrityksen muutoin käyttäjäksi varmistamalla käyttäjällä tarkoitetaan ehdotetussa momentissa sellaista käyttäjää, jota ei ole ilmoitettu teleyritykselle käyttäjäksi, mutta teleyritys voi varmistua käyttäjästä muulla tavoin. Varmistaminen voi tapahtua esimerkiksi soittamalla liittymän tilaajalle, joka varmistaa, että kyseinen käyttäjä käyttää liittymää. Jos teleyritys ei pysty varmistamaan käyttäjää, se ei ole velvollinen tunnistamistietoja luovuttamaan. Käyttäjän pyynnön saada ehdotetussa momentissa tarkoitetut tiedot tulee kohdistua tiettyyn menneeseen ajanjaksoon. Teleyrityksen velvollisuus luovuttaa ehdotetussa momentissa tarkoitettuja tietoja kohdistuu ainoastaan niihin tietoihin, jotka sillä on hallussaan.

Henkilötietolain mukaan jokaisella on oikeus saada tarkastaa henkilörekisteriin merkityt häntä itseään koskevat tiedot. Näistä tiedoista rekisterinpitäjä saa periä korvauksen vain, jos siitä, kun asianomainen edellisen kerran sai tarkastettavakseen rekisterin tiedot, on kulunut vähemmän kuin yksi vuosi. Tarkistusoikeuden suhde nyt käsillä oleviin ehdotuksen sisältämiin tunnistamistietoihin, jotka ilmaisevat liittymän tai päätelaitteen sijainnin tietyllä hetkellä on, etteivät nämä yksittäiset tunnistamistiedot varsinaisesti vielä muodosta henkilörekisteriä, koska kyse ei ole käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvasta henkilötietoja sisältävästä tietojoukosta, joka on järjestetty siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta. Nämä tiedot teleyritykset joutuvat keräämään yhdistämällä varsinaisen henkilörekisterin tietoja tietomassan yksittäisiin osiin.

Ehdotetun 2 momentin mukaan edellä 1 momentissa tarkoitetun käyttäjän puhevaltaa käyttää alle 15-vuotiaan puolesta hänen huoltajansa lapsen huollosta ja tapaamisoikeudesta annetun lain 4 §:n mukaisesti tai muun kuin alaikäisen vajaavaltaisen puolesta hänen edunvalvojansa siten kuin holhoustoimesta annetussa laissa säädetään. Alaikäiset, jotka ovat täyttäneet 15 vuotta ja sitä vanhemmat alaikäiset käyttävät puhevaltaansa yksin.

Ehdotettu 15-vuoden ikäraja vastaa rikosoikeudellisen vastuun alaikärajaa ja ikärajaa, jonka jälkeen henkilö itse voi määrätä omalla työllään ansaitsemistaan varoista.

Lapsen huollosta ja tapaamisoikeudesta annetun lain 4 §:n mukaan lapsen huoltajalla on oikeus päättää lapsen hoidosta, kasvatuksesta, asuinpaikasta sekä muista henkilökohtaisista asioista turvatakseen lapsen kehityksen ja hyvinvoinnin. Ennen kuin huoltaja tekee päätöksen lapsen henkilökohtaisessa asiassa, hänen tulee keskustella asiasta lapsen kanssa, jos se lapsen ikään ja kehitystasoon sekä asian laatuun nähden on mahdollista. Päätöstä tehdessään hänen on kiinnitettävä huomiota lapsen mielipiteeseen ja toivomuksiin. Alle 15-vuotiaan alaikäisen osalta ehdotettu säännös on johdonmukainen suhteessa lisäarvopalveluita varten käsiteltäviin paikkatietosäännöksiin ja puheluerittelyä koskeviin säännöksiin.

Teleyritykset voivat periä suoritteiden tavanomaisten hinnoitteluperusteiden mukaisen maksun suoritteestaan, joten säännös ei aiheuta niille lisäkustannuksia.

Tässä pykälässä säädettyjen tiedonsaantioikeuksien toteuttamiseksi tiedon luovuttajalla on oikeus käsitellä tunnistamistietoja siinä määrin kuin tiedonsaantioikeuden toteuttaminen edellyttää.

10 luku. Tietoturvamaksu

38 §. Maksun määräytymisen perusteet. Ehdotetussa pykälässä säädetään teleyrityksen velvollisuudesta maksaa tietoturvamaksua. Tietoturvamaksua peritään ehdotuksen mukaan niiltä teleyrityksiltä, jotka harjoittavat toimiluvanvaraista tai ilmoituksenvaraista teletoimintaa. Maksuvelvollisuus ei koske sellaisia vähäisen yleisen teletoiminnan harjoittajia, joiden ei tarvitse tehdä ilmoitusta.

Ehdotetun lain mukaisten yksittäisten tietoturvaan kohdistuvien suoritteiden tuottamisesta aiheutuu Viestintävirastolle kustannuksia, jotka on katettava. Näiden suoritteiden kustannukset ehdotetaan kuitenkin perittäviksi yhdellä tietoturvamaksulla. Tämä on järkevää tehokkuuden saavuttamiseksi, koska muuten laskutuskustannukset ylittäisivät kertyvän tulon.

Ehdotetun tietoturvamaksun perusteena ovat ne suoritteet, joita Viestintävirasto tuottaa teleyrityksille. Maksu peritään seuraavien suoritteiden perusteella:

1) verkkopalveluun tai viestintäpalveluun kohdistuvia tietoturvauhkia ja tietoturvaloukkauksia koskevan tiedon kerääminen;

2) verkkopalveluun tai viestintäpalveluun kohdistuvien tietoturvauhkien ja tietoturvaloukkausten selvittäminen;

3) tietoturva-asioista tiedottaminen teleyrityksille;

4) teleyritykselle tällä lailla tai sen nojalla annetuilla säännöksillä ja määräyksillä asetettujen velvollisuuksien noudattamisen valvonta;

5) teleyritysten tekemien tietoturvailmoitusten käsittely; sekä

6) tämän lain soveltamista koskeva neuvonta teleyrityksille.

Teleyrityksiltä perittävien maksujen ehdotetaan vastaavan niitä kokonaiskustannuksia, jotka aiheutuvat suoritteiden tuottamisesta. Maksun perusteena olevat kokonaiskustannukset laskettaisiin samoin kuin valtion maksuperustelain mukaisissa maksuissa. Kustannuksiin laskettaisiin ensinnäkin suoritteiden tuottamisesta aiheutuvat erilliskustannukset. Erilliskustannuksiin kuuluvat esimerkiksi suoritteen tuottamiseen kohdistuvan henkilötyön osuus, suoritteen tuottamisessa käytettävät hyödykkeet, kuten tietojärjestelmät tai kopiointi. Kokonaiskustannuksiin laskettaisiin erilliskustannusten ohella suoritteen tuottamiseen kohdistuva osuus hallinto-, toimitila- ja pääomakustannuksista. Maksu vastaisi siten valtion maksuperustelaissa tarkoitettua suoritteen omakustannusarvoa.

Tietoturvamaksun perusteena olevat palvelut hyödyttävät teleyrityksiä monin tavoin sekä suoraan että välillisesti. Viestintäviraston toiminnalla on keskeisellä tavalla merkitystä yleistä teletoimintaa kohtaan tunnettuun yleiseen luottamukseen.

Eduskunnan perustuslakivaliokunta on antamassaan lausunnossa (PeVL 3/2003 vp) katsonut, että viestintämarkkinamaksu on valtiosääntöoikeudellisessa mielessä vero. Koska verot on tuloutettava valtion talousarvioon, säädettävä maksu tuloutetaan valtion talousarvioon tuloihin ja vastaava määräraha osoitetaan Viestintävirastolle. Tietoturvamaksu on rakenteellisesti, valtiosääntöoikeudellisesti ja rahoituksellisesti samanlainen kuin viestintämarkkinamaksu.

Ehdotettu pykälä ei ole ristiriidassa valtuutusdirektiivin 12 artiklan kanssa, koska kyse on hallinnollisesta maksusta, maksuvelvollisuus asetetaan avoimesti lainsäädännössä ja velvollisuus kohdistuu tasapuolisesti kaikkiin yleisen teletoiminnan harjoittajiin.

39 §. Tietoturvamaksun suuruus. Ehdotetussa 39 §:ssä säädetään tietoturvamaksun suuruuden perusteista.

Ehdotetun 1 momentin mukaan tietoturvamaksua ei perittäisi televisio- ja radiotoiminnasta annetussa laissa tarkoitetun televisio- tai radiotoiminnan taikka televisio-ohjelmien tai radio-ohjelmien edelleen lähettämisen liikevaihdosta.

Kyseisen lain 2 §:n määritelmän mukaan televisiotoiminnalla tarkoitetaan yleisön vastaanotettavaksi tarkoitettujen televisio-ohjelmistojen alkuperäistä lähettämistä tai tarjolla pitoa koodaamattomana tai koodattuna johtoa pitkin taikka vapaasti etenevien radioaaltojen välityksellä, satelliittilähetykset mukaan lukien. Radiotoiminnan määritelmä puolestaan koskee vastaavasti ääniradio-ohjelmistoja. Televisio- tai radiotoiminnan harjoittajana pidetään määritelmän mukaan sitä, jolla on vastuu näiden ohjelmistojen suunnittelusta ja joka lähettää tai lähetyttää ne. Televisio- tai radiotoiminnan harjoittajalta voidaan ehdotuksen mukaan näin periä tietoturvamaksua vain sen liikevaihdon perusteella, joka aiheutuu yrityksen muusta Suomessa harjoittamasta teletoiminnasta.

Muun teletoiminnan osuus televisio- tai radiotoiminnan harjoittajien toiminnasta on yleensä pieni. Muuta teletoimintaa voi olla esimerkiksi internet-palvelujen tarjonta. Ohjelmistoluvan nojalla toimivat yritykset maksavat toimilupamaksua valtion televisio- ja radiorahastoon. Rahastoon kerätään myös television käyttäjiltä perittävät televisiomaksut. Valtion televisio- ja radiorahastosta annetun lain 5 §:n 1 momentin mukaan rahaston varoja käytetään muun muassa televisio- ja radiotoiminnasta annettujen säännösten noudattamisen valvonnasta aiheutuvien kustannusten kattamiseen. Pääosa rahaston varoista käytetään Yleisradio Oy:n toiminnan rahoittamiseen. Siten sekä Yleisradio Oy että toimilupamaksua maksavat yritykset rahoittavat Viestintäviraston tehtäviä jo valtion televisio- ja radiorahaston kautta.

Ehdotetun lain mukaisten yksittäisten suoritteiden tuottamisesta aiheutuu kustannuksia, jotka on katettava. Näiden suoritteiden kustannukset ehdotetaan kuitenkin perittäviksi yhdellä tietoturvamaksulla. Tämä on järkevää tehokkuuden saavuttamiseksi, koska muuten laskutuskustannukset ylittäisivät kertyvän tulon.

Ehdotetun tietoturvamaksun perusteena ovat ne kustannukset, jotka aiheutuvat Viestintävirastolle ehdotetussa laissa säädettyjen CERT-toiminnan mukaisten tehtävien hoitamisesta. Tietoturvamaksu ei ehdotuksen mukaan ole samansuuruinen kaikille teleyrityksille, vaan se vaihtelee maksuluokittain. Yritykset jaetaan maksuluokkiin niiden kustannusten huomioon ottamiseksi, jotka Viestintävirastolle keskimäärin aiheutuvat kuhunkin maksuluokkaan kuuluvia yrityksiä koskevien tehtävien hoitamisesta. Maksuluokka puolestaan määräytyy teleyrityksen Suomessa harjoittaman teletoiminnan maksun määräämistä edeltävän kauden liikevaihdon perusteella. Maksuluokkaa määriteltäessä ei siten oteta huomioon esimerkiksi yrityksen harjoittaman laitekaupan liikevaihtoa. Luokittelun avulla suoritteiden kustannukset voidaan kohdistaa yrityksiin tasapuolisesti. Liikevaihdoltaan suuremman yrityksen suoritteiden tuottamisesta aiheutuu Viestintävirastolle enemmän kustannuksia kuin pienemmän yrityksen suoritteista.

Ehdotetun sääntelyn mukainen maksurasite jakautuu toimialan yritysten kesken aiempaa maksusääntelyä tasapuolisemmin, ja siinä otetaan huomioon myös erisuuruisten yritysten Viestintäviraston toiminnalle asettamat vaatimukset. Jokaisen toimiluvanvaraista tai ilmoituksenvaraista teletoimintaa harjoittavan yrityksen toiminta edellyttää Viestintävirastolta vuosittain tiettyjä, liikevaihdon suuruudesta ja toimintojen laajuudesta riippumattomia peruspalveluja. Näistä aiheutuvien kustannusten suuruus ei merkittävästi vaihtele eri yritysten välillä. Tämä puoltaa sitä, että pienimmillekin maksuvelvollisille määrättäisiin vuosittain kahden yksikön suuruinen maksu. Liikevaihdoltaan merkittävillä yrityksillä on tyypillisesti useampia toimintoja, ja tällaiset yritykset harjoittavat toimintaa laajemmilla maantieteellisillä markkinoilla Suomessa kuin pienyritykset. Näiden yritysten toiminta asettaa näin ollen Viestintäviraston toiminnalle suurempia vaatimuksia kuin pienyritysten toiminta, mikä heijastuu maksurasitteen nousemisena liikevaihdon suhteessa.

Ehdotetussa 3 momentissa säädetään tarkemmin siitä, miten maksuluokan perusteena oleva liikevaihto määräytyy. Ehdotetussa momentissa säädetään tilanteesta, jossa teleyritys kuuluu konserniin. Tällöin teleyrityksen maksun pohjana ei käytetä suoraan sen omaa liikevaihtoa vaan teleyrityksen osuutta samaan konserniin kuuluvien maksuvelvollisten teleyritysten Suomessa harjoittaman teletoiminnan yhteisestä liikevaihdosta. Tästä yhteistä liikevaihdosta vähennetään yhtiöiden keskinäinen tästä toiminnasta syntynyt liikevaihto eli keskinäinen Suomessa harjoitetun teletoiminnan liikevaihto. Näin lasketun liikevaihdon perusteella määrätään konsernin osana olevan teleyrityksen maksuluokka. Säännöksen tarkoituksena on kohdella teleyrityksiä tasapuolisesti siitä riippumatta, ovatko ne osana konsernirakennetta. Ehdotetun momentin mukaan, jotta maksu määrätään, edellytetään lisäksi, että tässä momentissa tarkoitettujen yritysten muodostamaan konserniin kuuluvalla yrityksellä on tietoturvamaksun perusteena olevaa teletoiminnan liikevaihtoa. Yritysryhmän yhteiseen liikevaihtoon ei siten lasketa lainkaan sellaisen yrityksen liikevaihtoa, joka ei harjoita Suomessa teletoimintaa. Maksun ehdotetaan määräytyvän 1 momentin mukaisesti myös niissä tapauksissa, joissa emoyhtiö ei ole suomalainen. On selvyyden vuoksi tarpeen todeta, että myös kansainvälisissä konserneissa noudatetaan samaa periaatetta.

Ehdotetun 4 momentin mukaan liikenne- ja viestintäministeriön asetuksella voidaan antaa tarkempia säännöksiä siitä, miten siitä, miten maksun määräämiseksi tarpeelliset tiedot on ilmoitettava Viestintävirastolle.

Maksuluokkien lukumäärä on ehdotetun taulukon mukaan kaksitoista. Maksuluokkia on oltava riittävän monta, jotta yhden maksuluokan sisälle ei sijoitu liikevaihdoltaan liian erilaisia yrityksiä. Jako vaikuttaa näin maksun tasapuolisuuden toteutumiseen. Ensimmäiseen maksuluokkaan sijoittuvan yrityksen maksun perusteena oleva liikevaihto on korkeintaan miljoona euroa. Korkeimman maksuluokan yrityksellä liikevaihto taas on vähintään 1 024 miljoonaa euroa. Maksuluokka ehdotetaan määriteltäväksi teleyrityksen Suomessa harjoittaman teletoiminnan edellisen kauden liikevaihdon perusteella.

Kunkin maksuluokan yrityksiin kohdistuvan maksun suuruus määritellään laissa maksuyksiköiden avulla. Alimpaan maksuluokkaan kuuluvien yritysten tulee ehdotetun taulukon mukaan maksaa kahden maksuyksikön suuruinen maksu, kun taas ylimpään maksuluokkaan sijoittuvan yrityksen maksu on 2 330 maksuyksikköä. Tietoturvamaksun kokonaissumma määräytyy maksuyksiköiden määrän perusteella. Myös maksuyksikön suuruudesta ehdotetaan säädettäväksi suoraan laissa. Yhden maksuyksikön suuruuden ehdotetaan olevan 80 euroa, ja tietoturvamaksujen kokonaiskertymä vuonna 2004 olisi noin 540 000 euroa.

Teletoiminnan kokonaisliikevaihto on noin 3,4 miljardia euroa. Tietoturvamaksulla katettavien kustannusten arvioidaan muodostuvan 540 000 euron suuruisiksi. Nykytietojen perusteella arvioiden teleyritykset jakautuvat maksuluokkiin siten, että pääosa yrityksistä sijoittuu luokkiin 1 – 8. Yrityksen maksuluokka voi vaihdella eri vuosina liikevaihdon muuttuessa.

Säännös ei ole ristiriidassa valtuutusdirektiivin 12 artiklan kanssa, koska kyse on hallinnollisesta maksusta, maksuvelvollisuus asetetaan avoimesti lainsäädännössä ja velvollisuus kohdistuu tasapuolisesti kaikkiin yleisen teletoiminnan harjoittajiin.

40 §. Tietoturvamaksun määrääminen ja periminen. Ehdotetun 1 momentin mukaan tietoturvamaksun määrää maksettavaksi Viestintävirasto. Tarkempia säännöksiä maksun täytäntöönpanosta voidaan antaa liikenne- ja viestintäministeriön asetuksella. Maksuun voidaan hakea muutosta, siten kuin 43 §:ssä muutoksenhausta säädetään.

Ehdotettu 2 momentti sisältää viittauksen verojen ja maksujen perimisestä ulosottotoimin annettuun lakiin. Tietoturvamaksua peritään Viestintäviraston palveluista, jotka ovat julkisoikeudellisia suoritteita. Siksi maksu voidaan myös periä kyseisen lain mukaisessa järjestyksessä ilman tuomiota tai päätöstä. Momentissa ehdotetaan säädettäväksi myös viivästyskorosta ja viivästysmaksusta. Sääntely on vastaavanlainen kuin valtion maksuperusteasetuksen (211/1992) 3 §:ssä. Ellei maksua ole maksettu viimeistään eräpäivänä, maksamattomalle määrälle peritään viivästyskorkoa. Viivästyskorko maksetaan korkolain 4 §:ssä säädetyn korkokannan mukaisesti. Mainitun korkolain pykälän 1 momentissa säädetään viivästyskoron olevan suuruudeltaan seitsemän prosenttiyksikköä korkeampi kuin kulloinkin voimassa oleva viitekorko. Lisäksi 2 momentissa säädetään tilanteesta, jossa 1 momentin mukaan määräytyvä korko muodostuisi alemmaksi kuin eräpäivää edeltäneeltä ajalta maksettava korko. Viivästyskoron sijasta Viestintävirasto voi periä viiden euron suuruisen viivästysmaksun. Viivästysmaksua käytetään tilanteessa, jossa viivästyskoron määrä on pienempi kuin viisi euroa.

11 luku. Erinäiset säännökset

41 §. Pakkokeinot. Ehdotetun 1 momentin mukaan, jos joku rikkoo tätä lakia tai sen nojalla annettuja säännöksiä tai määräyksiä eikä kehotuksesta huolimatta kohtuullisessa määräajassa oikaise menettelyään, Viestintävirasto voi ehdotetun 31 §:n 1 kohdassa ja tietosuojavaltuutettu ehdotetussa 32 §:ssä tarkoitettuja tehtäviä hoitaessaan velvoittaa rikkojan korjaamaan virheensä tai laiminlyöntinsä. Viestintävirasto ja tietosuojavaltuutettu voi asettaa velvoitteen noudattamisen tehosteeksi uhkasakon tai uhan, että tekemättä jätetty toimenpide teetetään asianomaisen kustannuksella. Jos rikkomus on vakava, asetettava uhka voi koskea myös sitä, että toiminta keskeytetään osaksi tai kokonaan. Viestintävirasto ja tietosuojavaltuutettu voi tarvittaessa myös saattaa käsiteltävänään olevan asian esitutkinnan kohteeksi.

Ehdotetun pykälän 1 momentin säännöksellä annetaan Viestintäviraston lisäksi myös tietosuojavaltuutetulle mahdollisuus käyttää tässä laissa säädettyjen tehtäviensä toteuttamisen tehosteena niin sanottuja hallintopakkokeinoja. Jos joku rikkoo tätä lakia tai sen nojalla annettuja säännöksiä tai määräyksiä, Viestintävirasto tai tietosuojavaltuutettu voivat toimivaltansa puitteissa kehottaa rikkojaa oikaisemaan menettelynsä kohtuullisessa määräajassa. Kohtuullisen määräajan pituus tulisi arvioida rikkomisen vakavuuden mukaan siten, että hyvin vakavissa tilanteissa, joissa menettelyn jatkaminen voisi vakavasti loukata luottamuksellisen viestin tai yksityisyyden suojaa taikka aiheuttaa jollekin taholle muuta tuntuvaa vahinkoa, rikkoja voidaan kehottaa oikaisemaan menettelynsä välittömästi. Vähemmän vakavissa tilanteissa määräaika tulisi arvioida sen mukaan mikä on kohtuullista ottaen huomioon rikkomisen vakavuus ja muun muassa menettelyn oikaisemisen vaatimat toimenpiteet.

Uhkasakon tai teettämisuhan tulisi olla ensisijainen tehokeino velvoitteiden täyttämisessä. Toiminnan keskeyttämisuhkaa tulisi käyttää vain vakavissa tilanteissa, joissa valvottava taho ei ole korjannut virhettään tai laiminlyöntiään uhkasakosta tai teettämisuhasta huolimatta. Toiminnan keskeyttämisuhkan käyttömahdollisuudet ovat siten ehdotetun lain mukaan suppeammat kuin voimassa olevan lain mukaan. Toiminnan keskeyttämisuhka voisi koskea valvonnan alaisen toiminnan osaa tai koko toimintaa. Jos mahdollista, toiminnan keskeyttämisen tulisi ensisijaisesti kohdistua siihen toimintaan, jolla ehdotettua lakia tai sen nojalla annettuja säännöksiä on rikottu.

Tehosteeksi asetetun uhkasakon tulisi olla suhteessa valvottavan tahon virheen tai laiminlyönnin vakavuuteen. Ehdotetun pykälän 3 momentin mukaan uhkasakosta, keskeyttämisuhasta ja teettämisuhasta on voimassa, mitä uhkasakkolaissa (1113/1990) säädetään. Teettämällä suoritetun toimenpiteen kustannukset maksetaan etukäteen valtion varoista, ja peritään velvoitetulta siinä järjestyksessä kuin verojen ja maksujen perimisestä ulosottotoimin on säädetty.

42 §. Rangaistussäännökset. Ehdotetussa 1 momentissa todetaan, että rangaistus viestintäsalaisuuden loukkaamisesta ja törkeästä viestintäsalaisuuden loukkaamisesta säädetään rikoslain 38 luvun 3 ja 4 §:ssä sekä rangaistus tietomurrosta rikoslain 38 luvun 8 §:ssä. Rangaistus 5 §:ssä säädetyn vaitiolovelvollisuuden rikkomisesta tuomitaan rikoslain 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava rikoslain 40 luvun 5 §:n mukaan tai siitä muualla säädetä ankarampaa rangaistusta.

Ehdotettu 1 momentti on informatiivinen viittaussäännös, joka ei muuta vallitsevaa oikeustilaa. Rangaistus ehdotetun 4 §:n rikkomisesta tuomitaan rikoslain 38 luvun 3 §:n ja 4 §:n mukaan joko viestintäsalaisuuden loukkauksena tai törkeänä viestintäsalaisuuden loukkauksena. Rikoslain 38 luvun 3 §:n mukaan joka oikeudettomasti 1) avaa toiselle osoitetun kirjeen tai muun suljetun viestin taikka suojauksen murtaen hankkii tiedon sähköisesti tai muulla vastaavalla teknisellä keinolla tallennetusta, ulkopuoliselta suojatusta viestistä taikka 2) hankkii tiedon televerkossa välitettävänä olevan puhelun, sähkeen, tekstin-, kuvan- tai datasiirron taikka muun vastaavan televiestin sisällöstä taikka tällaisen viestin lähettämisestä tai vastaanottamisesta, on tuomittava viestintäsalaisuuden loukkauksesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi. Myös viestintäsalaisuuden loukkauksen yritys on rangaistava.

Rikoslain 38 luvun 4 §:n mukaan jos viestintäsalaisuuden loukkauksessa 1) rikoksentekijä käyttää rikoksen tekemisessä hyväksi asemaansa televiestinnän tietosuojalaissa tarkoitetun teleyrityksen palveluksessa tai muuta erityistä luottamusasemaansa, 2) rikoksentekijä käyttää rikoksen tekemistä varten suunniteltua tai muunnettua tietojenkäsittelyohjelmaa tai teknistä erikoislaitetta tai rikos muuten tehdään erityisen suunnitelmallisesti taikka 3) rikoksen kohteena oleva viesti on sisällöltään erityisen luottamuksellinen taikka teko huomattavasti loukkaa yksityisyyden suojaa ja viestintäsalaisuuden loukkaus on myös kokonaisuutena arvostellen törkeä, rikoksentekijä on tuomittava törkeästä viestintäsalaisuuden loukkauksesta vankeuteen enintään kolmeksi vuodeksi. Myös yritys on rangaistava.

Rikoslain 38 luvun 3 ja 4 §:n soveltaminen voi tulla kysymykseen sekä silloin, kun siinä tarkoitetun teon kohteena on luottamuksellinen viesti, että silloin, kun teko kohdistuu luottamukselliseen viestiin liittyvään tunnistamistietoon. Viestin ja tunnistamistietojen luottamuksellisuudesta ehdotetaan säädettäväksi ehdotetussa 4 §:ssä.

Rikoslain 38 luvun 8 §:ssä säädetään tietomurto rangaistavaksi. Kyseisen pykälän mukaan joka käyttämällä hänelle kuulumatonta käyttäjätunnusta taikka turvajärjestelyn muuten murtamalla oikeudettomasti tunkeutuu tietojärjestelmään, jossa sähköisesti tai muulla vastaavalla teknisellä keinolla käsitellään, varastoidaan tai siirretään tietoja, taikka sellaisen järjestelmän erikseen suojattuun osaan, on tuomittava tietomurrosta sakkoon tai vankeuteen enintään yhdeksi vuodeksi. Tietomurrosta tuomitaan myös se, joka tietojärjestelmään tai sen osaan tunkeutumatta teknisen erikoislaitteen avulla oikeudettomasti ottaa selon 1 momentissa tarkoitetussa tietojärjestelmässä olevasta tiedosta. Myös yritys on rangaistava.

Rangaistus ehdotetun 5 §:n vaitiolovelvollisuuden ja hyväksikäyttökiellon rikkomisesta tuomitaan rikoslain 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava rikoslain 40 luvun 5 §:n mukaan tai jollei siitä muualla laissa säädetä ankarampaa rangaistusta. Rikoslain 38 luvun 1 §:ssä säädetään, että se, joka laissa tai asetuksessa säädetyn taikka viranomaisen lain nojalla erikseen määräämän salassapitovelvollisuuden vastaisesti 1) paljastaa salassa pidettävän seikan, josta hän on asemassaan, toimessaan tai tehtävää suorittaessaan saanut tiedon, taikka 2) käyttää tällaista salaisuutta omaksi tai toisen hyödyksi, on tuomittava, jollei teko ole rangaistava 40 luvun 5 §:n mukaan, salassapitorikoksesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi.

Rikoslain 38 luvun 2 §:ssä säädetään, että jos salassapitorikos, huomioon ottaen teon merkitys yksityisyyden tai luottamuksellisuuden suojan kannalta taikka muut rikokseen liittyvät seikat, on kokonaisuutena arvostellen vähäinen, rikoksentekijä on tuomittava salassapitorikkomuksesta sakkoon. Salassapitorikkomuksesta tuomitaan myös se, joka on syyllistynyt sellaiseen 38 luvun 1 §:ssä tarkoitettuun salassapitovelvollisuuden rikkomiseen, joka on erikseen säädetty salassapitorikkomuksena rangaistavaksi.

Rikoslain 40 luvun 5 §:ssä säädetään, että jos virkamies tai julkisyhteisön työntekijä tahallaan palvelussuhteensa aikana tai sen päätyttyä oikeudettomasti 1) paljastaa sellaisen asiakirjan tai tiedon, joka viranomaisten toiminnan julkisuudesta annetun lain tai muun lain mukaan on salassa pidettävä tai jota ei lain mukaan saa ilmaista, tai 2) käyttää omaksi tai toisen hyödyksi sellaista asiakirjaa tai tietoa, hänet on tuomittava, jollei teosta ole muualla säädetty ankarampaa rangaistusta, virkasalaisuuden rikkomisesta sakkoon tai vankeuteen enintään kahdeksi vuodeksi. Virkamies voidaan tuomita myös viralta pantavaksi, jos rikos osoittaa hänet ilmeisen sopimattomaksi tehtäväänsä. Jos virkamies tai julkisyhteisön työntekijä huolimattomuudesta tai varomattomuudesta syyllistyy edellä tarkoitettuun tekoon, eikä teko huomioon ottaen sen haitallisuus ja vahingollisuus sekä muut tekoon liittyvät seikat ole kokonaisuutena arvostellen vähäinen, hänet on tuomittava, jollei teosta ole muualla säädetty ankarampaa rangaistusta, tuottamuksellisesta virkasalaisuuden rikkomisesta sakkoon tai vankeuteen enintään kuudeksi kuukaudeksi.

Ehdotetun 2 momentin mukaan joka tahallaan 1) rikkoo 6 §:n 2 momentissa säädettyä teknisen suojauksen purkavan järjestelmän tai sen osan hallussapitoa, maahantuontia, valmistamista tai levittämistä koskevaa kieltoa, 2) laiminlyö 7 §:ssä säädetyt velvollisuudet, 3) laiminlyö 19 §:ssä säädetyn velvollisuuden huolehtia palvelujensa tai tunnistamistietojen ja paikkatietojen käsittelyn tietoturvasta, 4) laiminlyö 21 §:n 2 momentissa tai 35 §:n 4 momentissa säädetyn ilmoitusvelvollisuuden, 5) käsittelee tunnistamistietoja tai paikkatietoja 3 ja 4 luvussa säädetyn vastaisesti, 6) laiminlyö, mitä 24 §:ssä säädetään laskun yhteyskohtaisesta erittelystä, 7) laiminlyö, mitä 25 §:ssä säädetään puhelinluetteloihin ja muihin tilaajaluetteloihin sisältyvien henkilötietojen käsittelystä, tilaajalle luettelon tarkoituksesta ja käytöstä ilmoittamisesta, tietojen poistamisesta ja korjaamisesta, kielto-oikeuksista tai oikeushenkilöiden oikeuksista tai 8) harjoittaa suoramarkkinointia 7 luvussa säädetyn vastaisesti, on tuomittava sähköisen viestinnän tietosuojarikkomuksesta sakkoon, jollei teosta muualla laissa säädetä ankarampaa rangaistusta. Ehdotetun 2 momentin mukaisen tunnusmerkistön toteutuminen edellyttää tahallisuutta

Ehdotetun 2 momentin suojauksen purkavaa järjestelmää koskeva 1 kohta ei muuta voimassa olevan televiestinnän tietosuojalain 5 §:n 2 momentin ja 27 §:n 1 momentin 1 kohdan määrittämää oikeustilaa.

Ehdotetun 2 momentin 2 kohdan velvollisuudet liittyvät ehdotettuihin uusiin evästeitä ja muita palvelun käyttöä kuvaavia tietoja koskeviin velvollisuuksiin. Näiden velvollisuuksien vastainen menettely on tarpeen säätää rangaistavaksi muun muassa tietoyhteiskunnan palvelujen käyttäjien yksityisyyden suojan turvaamiseksi.

Voimassa olevaan sääntelyyn verrattuna ehdotetun momentin tietoturvavelvoitteita koskeva 3 kohta laajentaa rangaistavuuden koskemaan myös lisäarvopalvelun tarjoajia ja yhteisötilaajia, koska kyseisten velvoitteiden ehdotetaan koskevan myös näitä tahoja. Samoista syistä, joista tietoturvaa koskevat velvoitteet on katsottu välttämättömäksi ulottaa koskemaan myös lisäarvopalvelun tarjoajia ja yhteisötilaajia, myös rangaistavuuden tulee ulottua näihin tahoihin. Perustason tietoturvavelvoitteiden ja rangaistavuuden ulottaminen koskemaan myös lisäarvopalvelun tarjoajia ja yhteisötilaajia on katsottu välttämättömäksi, koska ne käsittelevät samanlaisia tietoja kuin teleyritykset. Tietoturvan käsite on määritelty ehdotetussa 2 §:ssä ja velvoitteen tarkempaa sisältöä on käsitelty yksityiskohtaisesti 19 §:n yksityiskohtaisissa perusteluissa.

Ehdotetun momentin ilmoitusvelvollisuuksia koskeva 4 kohta vastaa sisällöllisesti voimassa olevan televiestinnän tietosuojalain 6 §:n 3 ja 4 momentin ja 27 §:n 1 momentin 2 kohdan määrittämää oikeustilaa.

Ehdotetun momentin tietojen käsittelyvelvoitteita koskeva 5 kohta laajentaa rangaistavuutta sähköisen viestinnän tietosuojalain 9 – 12 §:n ja 27 §:n 3 momentin 3 kohdan sääntelyyn verrattuna. Rangaistavuus koskee tunnistamistietojen käsittelyä koskevien velvoitteiden rikkomisen osalta myös lisäarvopalvelun tarjoajia ja yhteisötilaajia. Lisäksi rangaistavuus laajenee koskemaan myös uutta paikkatietojen käsittelyä koskevaa sääntelyä. Tunnistamistietojen käsittelyä koskevien velvoitteiden ulottaminen koskemaan myös lisäarvopalvelun tarjoajia ja yhteisötilaajia on välttämätöntä, koska kyseiset tahot käsittelevät luottamuksellisia tunnistamistietoja itsenäisesti samalla tavoin kuin teleyrityksetkin. Vastaavasti myös rangaistavuuden tulee ulottua näihin tahoihin. Paikkatietojen käsittelyä koskevat säännökset ovat paikannettavien yksityisyyden suojan toteutumisen kannalta keskeisiä ja myös rangaistavuuden tulee ulottua näiden velvollisuuksien vastaiseen menettelyyn.

Ehdotettu 6 kohta ulottaa voimassa olevaan sääntelyyn verrattuna rangaistavuuden koskemaan myös laskun erittelyä. Laskun erittelystä on mahdollista saada selville käyttäjän luottamukselliseen viestintään liittyviä tunnistamistietoja ja sillä on merkitystä myös viestinnän toisen osapuolen yksityisyyden kannalta. Tästä syystä 24 §:ssä säädetyn vastainen laskun yhteyskohtaisen erittelyn luovuttaminen tai luovuttamisesta kieltäytyminen tulee säätää rangaistavaksi.

Ehdotettu 7 kohta ulottaa voimassa olevaan sääntelyyn verrattuna rangaistavuuden koskemaan myös tilaajaluetteloita koskevia velvoitteita. Tilaajaluetteloihin sisältyvien henkilötietojen käsittelyä ja tietojen kohteen oikeuksia koskevilla säännöksillä on merkitystä tilaajien yksityisyyden suojan toteutumisen kannalta. Tästä syystä 25 §:ssä säädetyn noudattamisen laiminlyöminen tulee säätää rangaistavaksi.

Ehdotetun momentin suoramarkkinointia koskeva 8 kohta vastaa sisällöllisesti voimassa olevaa sääntelyä 26 ja 27 §:ssä säädetyn osalta. Suoramarkkinointia koskevat säännökset ovat televiestinnän tietosuojalain 21§:ssä ja sitä vastaava rangaistusäännös 27 §:n 1 momentin 4 kohdassa. Ehdotettuun 28 §:ään sisältyy osittain uutta sääntelyä, jonka mukaan on kiellettyä lähettää suoramarkkinointiviesti, jossa salataan lähettäjän henkilöllisyys ja jossa ei ole lopettamispyynnön mahdollistavaa osoitetta. Kyseisen sääntelyn vastaisen menettelyn säätäminen rangaistavaksi on välttämätöntä epäasianmukaisen suoramarkkinoinnin yksityisyyden suojaan kohdistuvien haittavaikutusten minimoimiseksi.

Ehdotetun 3 momentin mukaan tietosuojarikkomuksesta ei tuomita rangaistusta, jos rikkomus on vähäinen. Vähäinenkin tahallinen tietosuojarikkomus on sinänsä lainvastainen teko, mutta siihen tulee soveltaa, mitä toimenpiteistä luopumisesta eli syyttämättä ja tuomitsematta jättämisestä on erikseen säädetty.

43 §. Muutoksenhaku. Ehdotetun pykälän mukaan Viestintäviraston tai tietosuojavaltuutetun ehdotetun lain nojalla antamaan päätökseen voidaan hakea muutosta noudattaen, mitä hallintolainkäyttölaissa (586/1996) säädetään. Viestintävirasto tai tietosuojavaltuutettu voi päätöksessään määrätä, että päätöstä on noudatettava ennen kuin se on saanut lainvoiman. Valitusviranomainen voi kuitenkin kieltää täytäntöönpanon, kunnes valitus on ratkaistu.

Ehdotettu pykälä on Viestintäviraston päätöksiä koskevan muutoksenhaun osalta samansisältöinen kuin voimassa olevassa televiestinnän tietosuojalaissa. Ehdotettu pykälä on kuitenkin katsottu tarpeelliseksi ulottaa koskemaan myös tietosuojavaltuutetun tekemiä päätöksiä. Hallintolainkäyttölain 12 §:n mukaan sellaisen viranomaisen päätöksestä, jonka toimialueena on koko maa, tehdään valitus sille hallinto-oikeudelle, jonka tuomiopiiriin päätös olennaisimmin liittyy sen vuoksi, että tässä tuomiopiirissä sijaitsee pääosa päätöksessä tarkoitetusta alueesta tai kiinteistöstä taikka sen henkilön kotikunta tai sen yhteisön kotipaikka, johon päätös pääosin liittyy.

44 §. Voimaantulo- ja siirtymäsäännökset. Ehdotettu 1 momentti koskee lain voimaantulopäivämäärää. Sähköisen viestinnän tietosuojadirektiivin edellyttämät kansalliset lait, asetukset ja hallinnolliset määräykset on saatettava voimaan ennen 31 päivänä lokakuuta 2003. Ehdotetut lait on tarkoitettu tulemaan voimaan mahdollisimman pian sen jälkeen, kun ne on hyväksytty ja vahvistettu.

Ehdotetun 2 momentin mukaan tällä lailla kumotaan yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta 22 päivänä huhtikuuta 1999 annettu laki (565/1999) siihen myöhemmin tehtyine muutoksineen sekä Viestintäviraston maksuista 11 päivänä joulukuuta 2002 annetun liikenne- ja viestintäministeriön asetuksen (1126/2002) 3 §:n 6 kohta ja 18 §.

Ehdotetussa 3 momentissa säädetään, että ennen tämän lain voimaantuloa voidaan ryhtyä lain täytäntöönpanon edellyttämiin toimiin. Lain hyväksymisen ja sen voimaantuloajan väliin tultaneen jättämään jonkin verran aikaa, jotta uuden lain sääntelyn piiriin kuuluvilla on riittävästi aikaa sopeutua mahdollisiin muutoksiin ja toteuttaa toiminnassaan ja järjestelmissään tarvittavat muutokset. Myös siirtymäaikoja koskevalla sääntelyllä on kuitenkin keskeinen merkitys jo ennen tämän lain voimaan tuloa aloitettujen palvelujen ja niihin tarvittavien muutosten toteuttamisen kannalta.

Ehdotetun 4 momentin mukaan jos teleyritys on aloittanut paikkatietojen käsittelyn ennen tämän lain voimaantuloa ja tuolloin voimassa olleiden säännösten mukaisesti, tilaajalle on ilmoitettava paikkatietojen käsittelystä kuuden kuukauden kuluessa lain voimaantulosta. Jos tilaaja ei kiellä tietojen käsittelyä kolmen kuukauden kuluessa ilmoituksesta, paikkatietojen käsittelyä voidaan jatkaa 4 luvussa säädetyn mukaisesti.

Ehdotetun lain paikkatietojen käsittelyä koskeva sääntely on kokonaisuudessaan uutta sääntelyä. Tästä syystä on tarkoituksenmukaista säätää siirtymäaika, joka koskee sellaista paikkatietojen käsittelyä, joka on aloitettu jo ennen lain voimaantuloa. Ehdotetussa 17 §:ssä säädetään teleyrityksen velvollisuudesta huolehtia siitä, että tilaajalla on mahdollisuus helposti ja ilman erillistä maksua kieltää paikkatietojen käsittely. Jos tilaaja ei kieltäisi paikkatietojen käsittelyä, teleyritys voisi käsitellä paikkatietoja. Teleyritys saisi siirtymäsäännöksen mukaan jatkaa ennen tämän lain voimaantuloa aloitettua paikkatietojen käsittelyä enintään kuuden kuukauden ajan lain voimaantulosta ilman, että se tiedottaa tilaajalle ehdotetussa pykälässä tarkoitetuista seikoista. Kuuden kuukauden kuluessa lain voimaantulosta teleyrityksen on kuitenkin ilmoitettava paikkatietojen käsittelystä tilaajalle. Teleyrityksen ilmoituksesta alkaisi kulua kolmen kuukauden määräaika. Jos tilaaja ei kieltäisi käsittelyä kyseisen ajan kuluessa, teleyritys voisi jatkaa paikkatietojen käsittelyä 4 luvussa säädetyllä tavalla.

Tilaajalla on kuitenkin oikeus kieltää paikkatietojen käsittely koska tahansa myöhemminkin ehdotetussa 17 §:ssä säädetyllä tavalla. Jos tilaaja kieltäisi paikkatietojen käsittelyn edellä mainitun kolmen kuukauden kuluessa teleyrityksen ilmoituksesta, teleyrityksen tulisi välittömästi keskeyttää tilaajan liittymää koskevien paikkatietojen käsittely ja hävittää tai tehdä anonyymeiksi käsittelemänsä paikkatiedot.

Ehdotetun 5 momentin mukaan teleyrityksen on aloitettava ehdotetussa 15 §:ssä tarkoitettu tietojen tallentaminen kuuden kuukauden kuluessa tämän lain voimaantulosta. Siirtymäajan tarkoituksena on mahdollistaa tarvittavat tekniset muutokset teleyrityksen järjestelmissä, jotta se voisi toteuttaa sille säädetyn tallentamisvelvollisuuden.

Ehdotetussa 6 momentissa säädetään, että ehdotettua 25 §:ää ei sovelleta sellaisiin tilaajaluettelojen painoksiin, jotka on jo tuotettu tai saatettu markkinoille painetussa tai muussa kuin verkkokäyttöisessä sähköisessä muodossa ennen tämän lain voimaantuloa. Rajaus on välttämätön sellaisten tilaajaluetteloiden painosten poissulkemiseksi ehdotetun 25 §:n soveltamisalasta, jotka on jo saatettu markkinoille, eikä niihin ole siten enää mahdollista tehdä muutoksia. Ehdotetussa pykälässä säädetyillä oikeuksilla kieltää tietojen merkitseminen tai oikeudella saada tietonsa tarkistetuiksi ja poistetuiksi sekä virheelliset tiedot korjatuiksi, ei ole mitään merkitystä tällaisten luetteloiden osalta, koska ne on jo saatettu markkinoille esimerkiksi paperille painetussa tai cd-rom levylle tallennetussa muodossa, eikä teleyrityksellä ole siten mahdollisuutta tehdä enää näihin luetteloihin korjauksia. Jos tällaisista luettelosta otetaan uusi painos, ehdotetun 25 §:n sääntely tulee sovellettavaksi uusiin painoksiin kokonaisuudessaan.

Edellä 25 §:ssä säädettyä ei sovelleta sellaisiin tilaajaluettelojen painoksiin, jotka on jo tuotettu tai saatettu markkinoille painetussa tai muussa kuin verkkokäyttöisessä sähköisessä muodossa ennen tämän lain voimaantuloa. Jos tilaajan tai käyttäjän tiedot on merkitty tilaajaluetteloon, joka on verkkokäyttöisessä sähköisessä muodossa yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta annetun lain mukaisesti ennen tämän lain voimaantuloa, teleyrityksen sekä tilaajaluettelopalvelua ja numerotiedotuspalvelua tarjoavan yrityksen, joka on saanut yhteystiedot viestintämarkkinalain 58 §:n nojalla, on annettava tilaajana olevalle luonnolliselle henkilölle tiedot tilaajaluettelon tarkoituksesta tai käytöstä ja 25 §:n 4 ja 5 momentissa tarkoitetuista oikeuksista vuoden kuluessa lain voimaantulosta. Jollei tilaajana oleva luonnollinen henkilö vaadi tietojensa poistamista, kyseiset henkilötiedot saavat jäädä tilaajaluetteloon. Teleyrityksen sekä tilaajaluettelopalvelua ja numerotiedotuspalvelua tarjoavan yrityksen, joka on saanut yhteystiedot viestintämarkkinalain 58 §:n nojalla, on annettava nämä tiedot tilaajana olevalle luonnolliselle henkilölle yhden vuoden kuluessa tämän lain voimaantulosta. Verkkokäyttöisellä sähköisessä muodossa olevalla tilaajaluettelolla tarkoitetaan sellaista luetteloa, jota voidaan käyttää viestintäverkkojen välityksellä. Tällaiseen luetteloon sisältyvät tiedot on tallennettu keskitetysti tiettyyn paikkaan, ja siihen voidaan joko tehdä suoraan hakuja tai sitä on muuten mahdollista käyttää viestintäverkkojen kautta käytettävissä olevan palvelun avulla. Koska tiedot ovat tietojen tallentajan hallinnassa, niihin on tarvittaessa myös mahdollista tehdä muutoksia.

Teleyrityksen sekä tilaajaluettelopalvelua ja numerotiedotuspalvelua tarjoavan yrityksen, joka on saanut yhteystiedot viestintämarkkinalain 58 §:n nojalla on ehdotetun momentin mukaan annettava tilaajana olevalle luonnolliselle henkilölle momentissa tarkoitetut tiedot vuoden kuluessa tämän lain voimaan tulosta, jotta tilaajana olevalla luonnollisella henkilöllä on mahdollisuus halutessaan esimerkiksi vaatia tällaiseen luetteloon ennen tämän lain voimaantuloa tallennettujen tietojen poistamista. Jos tilaajana oleva luonnollinen henkilö ei vaadi momentissa tarkoitettujen tietojen poistamista edellä mainitut tiedot saatuaan, tiedot voisivat jäädä luetteloon. Tästä riippumatta tilaajalla on myöhemminkin oikeus saada tietonsa poistetuiksi tai virheelliset tiedot korjatuiksi ehdotetun 25 §:n mukaisesti, sekä oikeus käyttää henkilötietolain 26 §:ssä säädettyä tarkastusoikeuttaan. Oikeushenkilöllä on oikeus halutessaan saada tietonsa tarkistetuiksi ja poistetuiksi sekä virheelliset tiedot korjatuiksi ehdotetun 25 §:n 6 momentissa tarkoitetulla tavalla

1.2. Laki rikoslain 38 luvun 4 §:n muuttamisesta

4 §. Törkeä viestintäsalaisuuden loukkaus. Rikoslain 38 luvun 4 §:n 1 momentin 1 kohdassa viitataan televiestinnän tietosuojalakiin. Koska televiestinnän tietosuojalaki ehdotetaan kumottavaksi sähköisen viestinnän tietosuojalailla, pykälää ehdotetaan muutettavaksi siten, että kyseinen viittaus kohdistuisi sähköisen viestinnän tietosuojalakiin.

1.3. Laki viestintämarkkinalain muuttamisesta

9 §. Toimiluvan aineelliset edellytykset. Viestintämarkkinalain 9 §:n 1 momentin 2 kohdassa viitataan televiestinnän tietosuojalakiin. Koska televiestinnän tietosuojalaki ehdotetaan kumottavaksi sähköisen viestinnän tietosuojalailla pykälää ehdotetaan muutettavaksi siten, että kyseinen viittaus kohdistuisi sähköisen viestinnän tietosuojalakiin.

12 §. Toimiluvan peruuttaminen ja siirtäminen. Viestintämarkkinalain 12 §:n 1 momentin 1 kohdassa viitataan televiestinnän tietosuojalakiin. Koska televiestinnän tietosuojalaki ehdotetaan kumottavaksi sähköisen viestinnän tietosuojalailla, pykälää ehdotetaan muutettavaksi siten, että kyseinen viittaus kohdistuisi sähköisen viestinnän tietosuojalakiin.

128 §. Viestintäverkon ja viestintäpalvelun laatuvaatimukset. Viestintämarkkinalain 128 §:ssä on perussäännös siitä, millaisiksi yleiset viestintäverkot ja viestintäpalvelut on suunniteltava ja rakennettava sekä millaisina niitä on ylläpidettävä. Pykälä on sidoksissa viestintämarkkinalain 129 §:ään, jossa annetaan Viestintävirastolle toimivalta antaa tarkempia teknisiä määräyksiä viestintäverkoilta ja viestintäpalveluilta edellytettävistä ominaisuuksista.

Eduskunta edellytti hallituksen esitystä viestintämarkkinoita koskevan lainsäädännön muuttamisesta (HE 112/2002) käsitellessään, että lain 128 §:ään lisättäisiin uusi 2 momentti, jossa säädettäisiin, että teleyrityksen on välittömästi ilmoitettava Viestintävirastolle mahdollisesta viasta tai häiriöstä viestintäverkossa tai viestintäpalvelussa. Viestintäverkoissa ja viestintäpalveluissa on niiden teknisen luonteen vuoksi päivittäin eritasoisia vikoja ja häiriöitä. Tämänkaltaiset viat ja häiriöt kuuluvat viestintäverkkojen ja viestintäpalvelujen tavanomaiseen toimintaan. Koska kyseisen ilmoitusvelvollisuuden ei ole tarkoituksenmukaista koskea viestintäverkkojen tai viestintäpalvelujen normaaleja vikatilanteita tai häiriötilanteita, kyseistä momenttia ehdotetaan muutettavaksi siten, että ilmoitusvelvollisuus koskisi ainoastaan merkittäviä vikoja tai häiriöitä.

1.4. Laki hätäkeskuslain 8 §:n muuttamisesta

8 §. Tiedonsaantioikeus rekistereistä. Hätäkeskuslain 8 §:n 1 momentin 11 kohdassa viitataan televiestinnän tietosuojalain tiettyyn pykälään. Koska televiestinnän tietosuojalaki ehdotetaan kumottavaksi sähköisen viestinnän tietosuojalailla, pykälää ehdotetaan muutettavaksi siten, että kyseinen viittaus kohdistuisi sähköisen viestinnän tietosuojalain vastaavaan säännökseen.

1.5. Laki viestintähallintolain 2 §:n muuttamisesta

2 §. Viestintäviraston tehtävät. Viestintähallintolain 2 §:ssä viitataan Viestintäviraston tehtävien osalta voimassa olevaan televiestinnän tietosuojalakiin. Koska televiestinnän tietosuojalaki ehdotetaan kumottavaksi sähköisen viestinnän tietosuojalailla, pykälää ehdotetaan muutettavaksi siten, että kyseinen viittaus kohdistuisi ehdotettuun sähköisen viestinnän tietosuojalakiin.

1.6. Laki meripelastuslain 16 §:n muuttamisesta

16 §. Oikeus tietojen saamiseen teleyrityksiltä. Meripelastuslain 16 §:ssä viitataan televiestinnän tietosuojalain tiettyyn pykälään. Koska televiestinnän tietosuojalaki ehdotetaan kumottavaksi sähköisen viestinnän tietosuojalailla, pykälää ehdotetaan muutettavaksi siten, että kyseinen viittaus kohdistuisi sähköisen viestinnän tietosuojalain vastaavaan säännökseen.

1.7. Laki poliisilain 36 §:n muuttamisesta

36 §. Tietojen saanti yksityiseltä yhteisöltä tai henkilöltä. Poliisilla on poliisilain (493/1995) 36 §:n 2 momentin mukaan päällystöön kuuluvan poliisimiehen päätöksellä oikeus saada teletoimintaa harjoittavalta yhteisöltä yhteystiedot sellaisesta teleliittymästä, jota ei mainita julkisessa luettelossa, jos tietoja yksittäistapauksessa tarvitaan poliisille kuuluvan tehtävän suorittamiseksi. Käytännön ongelmaksi on muodostunut se, että niin sanottujen dynaamisten eli yhteyskohtaisesti muodostettavien IP-osoitteiden tai niiden haltijoiden yhteystietoja ei poliisi ole teleyrityksiltä saanut, vaikka niin sanottujen staattisten eli pysyvien IP-osoitteiden haltijatiedot poliisi on voinut yksittäistapauksessa saada. Kuitenkin, riippumatta IP-osoitteen tyypistä, voidaan sanoa, että kyse on samanlaisesta liittymän tai telepäätelaitteen haltijan yhteystiedosta kuin salaisen puhelinnumeron haltijan yhteystieto.

Ehdotetun muutoksen myötä poliisilla olisi oikeus saada sekä teleyritykseltä että yhteisötilaajalta telepäätelaitteen tai liittymän yksilöivät tiedot, jos tietoja yksittäistapauksessa tarvitaan poliisille kuuluvan tehtävän suorittamiseksi.

Teleyrityksellä tarkoitetaan viestintämarkkinalain (393/2003) 2 §:n mukaista verkkoyritystä tai 19 kohdan mukaista palveluyritystä. Yhteisötilaajalla tarkoitetaan sähköisen viestinnän tietosuojalain 2 §:n 10 kohdan mukaista viestintäpalvelun tai lisäarvopalvelun tilaajana olevaa yritystä tai yhteisöä, joka käsittelee viestintäverkossaan käyttäjien luottamuksellisia viestejä, tunnistamistietoja tai paikkatietoja.

Poliisilain 36 §:n 2 momenttiin ehdotetaan lisättäväksi teleyritysten ja yhteisötilaajien tiedonantovelvollisuuksiin myös tiedot telepäätelaitteen tai liittymän muista yksilöivistä tiedoista. Telepäätelaitteella tarkoitetaan sellaista laitetta, joka tietojen lähettämiseksi, käsittelemiseksi tai vastaanottamiseksi on tarkoitettu johtimella, radioteitse, optisesti tai muulla sähkömagneettisella tavalla liitettäväksi joko suoraan yleisen televerkon liittymään tai toimimaan yleisen televerkon yhteydessä kytkettynä suoraan tai epäsuorasti televerkon liittymään. Telepäätelaite voi siten olla esimerkiksi kiinteän liittymän puhelin, matkapuhelin tai tietokone. Ehdotetun momentin mukaan poliisi saisi tiedon sekä puhelinliittymien yhteystiedoista että staattisista ja dynaamisista IP-osoitteiden haltijatiedoista. Tämän lisäksi poliisi saisi yhteystiedot myös telepäätelaitteiden IMEI-koodeista. Poliisin suorittaman televalvonnan välttämiseksi rikolliset käyttävät teleliittymiä, joiden numerot tai yksilöintitiedot eivät ole viranomaisten saatavilla. Tällaisia ovat esimerkiksi vapaasti hankittavat ennalta maksetut niin sanotut prepaid-liittymät, joita ei Suomessa rekisteröidä. IMEI-koodin avulla päätelaitteen yksilöinti on mahdollista.

Huomattava on, että 36 § ei oikeuta televalvontaan, vaikka liittymän tai päätelaitteen tilaajan tai käyttäjän selvittämiseksi olisikin tarpeen käsitellä tunnistamistietoja. Ehdotetun momentin nojalla ei voi saada tietoja liittymästä tai päätelaitteesta otetuista yhteyksistä, vaan kysymyksessä on ainoastaan tiedonsaantioikeus, joka mahdollistaa poliisille tiedonsaannin liittymän tai päätelaitteen tunnistetiedoista silloin, kun poliisilla on tiedossaan viestinnästä jääneitä tai muualta saatuja päätelaitteeseen tai liittymään viittaavia tietoja, kuten esimerkiksi tieto puhelinnumerosta, IP-osoitteesta tai viestinnän ajankohdasta. Tällöinkään ei olisi oikeutta saada tietoja yksittäisen viestintätapahtuman vastapuolen henkilöllisyydestä. Tällöin poliisi ei saisi esimerkiksi tietoa siitä, mitä sivustoja henkilö on selannut internetissä tai kenelle tietyn IMEI-koodin omaavalla gsm:llä soitettiin tiettynä aikana, vaan nämä tiedot olisivat saatavissa pakkokeinolain mukaisella televalvonnalla.

1.8. Laki henkilötietojen käsittelystä poliisitoimessa annetun lain 13 §:n muuttamisesta

13 §. Poliisin tietojen saanti eräistä rekistereistä. Henkilötietojen käsittelystä poliisitoimessa annetun lain 2 momentin 5 kohdassa viitataan televiestinnän tietosuojalain tiettyyn pykälään. Koska televiestinnän tietosuojalaki ehdotetaan kumottavaksi sähköisen viestinnän tietosuojalailla, pykälää ehdotetaan muutettavaksi siten, että kyseinen viittaus kohdistuisi sähköisen viestinnän tietosuojalain vastaavaan säännökseen.

Sähköisen viestinnän tietosuojadirektiivin edellyttämät kansalliset lait, asetukset ja hallinnolliset määräykset on direktiivin mukaan saatettava voimaan ennen 31 päivänä lokakuuta 2003. Rahoituspalvelujen etämyyntidirektiivin 10 artiklan määräykset olisi saatettava voimaan ennen 9 päivänä lokakuuta 2004. Ehdotetut lait on tarkoitettu tulemaan voimaan mahdollisimman pian sen jälkeen, kun ne on hyväksytty ja vahvistettu.

3.1. Yksityiselämän suoja

Osa ehdotetun sähköisen viestinnän tietosuojalain säännöksistä on sellaisia, että niitä tulee tarkastella perustuslain perusoikeuksien näkökulmasta. Perustuslain 10 §:n 1 momentin mukaan jokaisen yksityiselämä, kunnia ja kotirauha on turvattu ja henkilötietojen suojasta säädetään tarkemmin lailla. Viestinnän luottamuksellisuus on perustuslain 10 §:n 2 momentin nojalla jokaiselle kansalaiselle kuuluva perusoikeus. Kyseisen momentin mukaan kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton.

Ehdotettu sähköisen viestinnän tietosuojalaki sisältäisi tarkempia säännöksiä yksityisyyden suojan toteuttamisesta viestintäverkoissa tai viestintäpalveluja ja lisäarvopalveluja tarjottaessa sekä luottamuksellisen viestin suojan turvaamisesta sähköisessä viestinnässä. Lailla pyritään varmistamaan, ettei yksityiselämän suojaa, luottamuksellisen viestin suojaa tai muita yksityisyyttä turvaavia perusoikeuksia rajoiteta sähköisessä viestinnässä tai sen toteuttamisessa ilman laissa säädettyä perustetta. Lakiehdotuksella pyritään siten ensisijaisesti turvaamaan viestinnän luottamuksellisuuden ja yksityisyyden suojan toteutuminen sähköisessä viestinnässä.

Kyseiset suojeltavat oikeushyvät eivät kuitenkaan ole ehdottomia, sillä niitä joudutaan tietyissä tilanteissa välttämättä myös rajoittamaan muun muassa rikostutkinnan tai yhteiskunnan turvallisuuden intressissä. Perustuslain 10 §:n 3 momentin mukaan lailla voidaan säätää perusoikeuksien turvaamiseksi tai rikosten selvittämiseksi välttämättömistä kotirauhan piiriin ulottuvista toimenpiteistä. Lailla voidaan säätää lisäksi välttämättömistä rajoituksista viestin salaisuuteen yksilön tai yhteiskunnan turvallisuutta taikka kotirauhaa vaarantavien rikosten tutkinnassa, oikeudenkäynnissä ja turvallisuustarkastuksessa sekä vapaudenmenetyksen aikana. Nämä mahdollisuudet rajoittaa luottamuksellisen viestin suojaa on perusoikeusuudistuksen yhteydessä tarkoitettu tyhjentäväksi luetteloksi (HE 309/1993 vp, s. 54). Luottamuksellisen viestin suojaa koskevan perustuslain sääntelyn ensisijaisena tarkoituksena on perusoikeusuudistuksen esitöiden mukaan suojata luottamukselliseksi tarkoitetun viestin sisältö ulkopuolisilta. Sääntely antaa kuitenkin turvaa muillekin tällaista viestiä koskeville tiedoille, joilla voi olla merkitystä viestin säilymiselle luottamuksellisena. Esimerkkinä perusteluissa on mainittu puhelujen tunnistamistiedot (HE 309/1993 vp, s. 53).

Lakiehdotuksessa viestinnän luottamuksellisuuteen puuttuvia ja sitä rajoittavia säännöksiä ovat muun muassa ehdotetun 20 §:n 1 momentin tietoturvaloukkausten ja tietoturvaan kohdistuvien häiriöiden poistamiseksi välttämättömien toimenpiteiden sallimista koskeva sääntely, 29 §:n suoramarkkinoinnin ja muun vastaavan viestinnän vastaanottamisen estämistä koskeva sääntely sekä lakiehdotuksen 33 – 36 §:n viranomaisten tiedonsaantioikeuksia koskeva sääntely. Kyseiset rajoitukset on kuitenkin rajattu tarkasti tiettyihin intresseihin tai rikostunnusmerkistöihin, joissa ne ovat välttämättömiä tietoturvaloukkausten ehkäisemiseksi tai torjumiseksi, viranomaistehtävän suorittamiseksi tai muun muassa hengen ja terveyden, turvallisuuden, yksityisyyden- ja kotirauhan suojan tai omaisuuden suojan turvaamiseksi.

Ehdotuksen pääosin perusoikeusjärjestelmään ja osittain muihin tärkeisiin intresseihin kiinnittyviä rajoitusperusteita on pidettävä hyväksyttävinä. Esityksessä on pyritty sovittamaan yhteen toisaalta tilaajien ja käyttäjien yksityisyyden suojaa ja toisaalta teleyritysten ja lisäarvopalvelun tarjoajien sekä viranomaisten tarpeita sähköisen viestinnän erityispiirteet huomioon ottaen. Kyseisten rajoitusten ei voida myöskään katsoa ylittävän sitä, mikä on välttämätöntä niillä tavoiteltavan hyväksyttävän tarkoituksen saavuttamiseksi, joten ne ovat myös suhteellisuusperiaatteen mukaisia.

3.2. Sananvapaus

Perustuslain 12 §:n mukaan jokaisella on sananvapaus. Perustuslain 12 §:n 1 momentissa jokaiselle turvattuun sananvapauteen sisältyy oikeus ilmaista, julkistaa ja vastaanottaa tietoja, mielipiteitä ja muita viestejä kenenkään ennakolta estämättä (PeVL 54/2002 vp). Tarkempia säännöksiä sananvapauden käyttämisestä annetaan lailla.

Ehdotetun 20 §:n 1 momentin ja 29 §:n viestien vastaanottamisen rajoittamista koskevilla säännöksillä saattaa olla vaikutuksia myös sananvapauden käyttämiseen. Rajoitusten perusteena on toisaalta tietoturvan ja toisaalta yksityisyyden suojan asettamat vaatimukset. Säännösten tarkoituksena on suojata sekä viestintään käytettävien järjestelmien käytettävyyttä että käyttäjien yksityisyyttä ja itsemääräämisoikeutta.

Kyseisiä säännöksiä on niiden tarkoitus ja vähäiset sananvapautta rajoittavat vaikutukset huomioon ottaen kuitenkin pidettävä ongelmattomina perustuslaissa turvatun sananvapauden kannalta.

3.3. Tietoturvamaksu

Esityksessä ehdotetaan säännöksiä tietoturvamaksusta. Eduskunnan perustuslakivaliokunta on katsonut lausunnossaan 3/2003 vp, että viestintämarkkinamaksu voitiin säätää tavallisen lain säätämisjärjestyksessä sillä edellytyksellä, että esityksestä poistettaisiin maksun suuruutta koskevat asetuksenantovaltuudet ja maksun suuruudesta säädettäisiin lain tasolla. Lisäksi perustuslakivaliokunta katsoi, että viestintämarkkinamaksu on valtiosääntöoikeudellisessa mielessä vero. Koska verot on tuloutettava valtion talousarvioon, säädettävä maksu tuloutetaan valtion talousarvioon tuloihin ja vastaava määräraha osoitetaan Viestintävirastolle. Tietoturvamaksu on rakenteellisesti, valtiosääntöoikeudellisesti ja rahoituksellisesti samanlainen kuin viestintämarkkinamaksu hyväksytyssä muodossaan. Esityksessä on otettu huomioon edellä mainittu perustuslakivaliokunnan lausunto.

3.4. Paikkatietojen käsittely

Ehdotetulla 16, 17 ja 18 §:n paikkatietojen käsittelyä koskevalla sääntelyllä saattaa olla perustuslain 10 §:ssä säädetyn yksityiselämän suojan lisäksi liityntöjä myös perustuslain 9 §:n liikkumisvapautta koskevaan sääntelyyn, kuten perustuslakivaliokunta on todennut hallituksen esityksestä 52/2002vp antamassaan lausunnossa (PeVL 36/2002vp).

3.5. Norminantovaltuudet

Ehdotuksessa on myös säännöksiä, jotka liittyvät lainsäädäntövallan siirtämistä sääntelevään perustuslain 80 §:ään. Lakiehdotukseen sisältyy säännöksiä Viestintäviraston oikeudesta antaa teknisiä ja tarkempia määräyksiä muun muassa ohjaus ja valvontatehtäviensä toteuttamiseksi.

Perustuslain 80 §:n 2 momentin mukaan muu viranomainen voidaan lailla valtuuttaa antamaan oikeussääntöjä määrätyistä asioista, jos siihen on sääntelyn kohteeseen liittyviä erityisiä syitä eikä sääntelyn asiallinen merkitys edellytä, että asiasta säädetään lailla tai asetuksella. Tällaisen valtuuden tulee olla soveltamisalaltaan täsmällisesti rajattu. Lisäksi perustuslaista johtuu, että valtuuden kattamat asiat on määriteltävä tarkasti laissa.

Kyseinen norminantovalta on lakiehdotuksessa määritelty mahdollisimman tarkkarajaisesti ja täsmällisesti. Määräysten antamiseen liittyy vain vähäisissä määrin tarkoituksenmukaisuusharkintaa. Teknisten ja tarkempien määräysten antaminen on välttämättömiä sääntelyn kohteen teknisen luonteen, teknisen kehityksen nopeuden ja sääntelyn edellyttämän erityisasiantuntemuksen vuoksi.

Perustuslain 80 §:n 1 momentin mukaan lailla on säädettävä yksilön oikeuksien ja velvollisuuksien perusteista. Ehdotetut valtuutussäännökset on pääosin rajoitettu koskemaan ainoastaan teknisluonteisia yksityiskohtia yksilöiden oikeusaseman perusteiden määräytyessä lain säännösten perusteella.

Ehdotuksen norminantovaltuuksien ei edellä kerrotuilla perusteilla voida katsoa olevan ristiriidassa perustuslain 80 §:n kanssa.

3.6. Säätämisjärjestyksen arviointi

Edellä kerrotuilla perusteilla hallitus katsoo, että lakiehdotukset voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä. Hallitus pitää kuitenkin toivottavana, että esityksestä hankitaan perustuslakivaliokunnan lausunto.

Edellä esitetyn perusteella annetaan Eduskunnan hyväksyttäviksi seuraavat lakiehdotukset:

Lakiehdotukset