Tietosuojalle selvät pelisäännöt

Tietosuojalle selvät pelisäännöt

Jos uusi sähköisen viestinnän tietosuojalaki läpäisee eduskuntaseulan, moni asia saa selvemmät säännöt. Tunnistamistietomääräykset koskisivat jatkossa myös yrityksiä ja yhteisöjä, ja tietoturvaloukkauksiin päästäisiin puuttumaan entistä tehokkaammin.

HALLITUKSEN ESITYS sähköisen viestinnän tietosuojalaiksi annettiin eduskunnalle viime lokakuussa. Parhaillaan esitystä käsitellään liikenne- ja viestintävaliokunnassa, hallintovaliokunnassa ja perustuslakivaliokunnassa. Eduskunnan vastausta odotetaan toukokuussa, ja laki tullee voimaan syyskesän aikana.

Prosessin tuloksena odotetaan uutta sähköisen viestinnän tietosuojakia sekä muutoksia eräisiin muihin lakeihin, kuten poliisilakiin. Uudella lailla kumottaisiin nykyinen laki yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta. Samalla pantaisiin täytäntöön uusi sähköisen viestinnän tietosuojadirektiivi ja rahoituspalvelujen etämyyntidirektiivin markkinointia koskeva artikla.

Tavoitteena on turvata sähköisen viestinnän luottamuksellisuus ja yksityisyyden suoja sekä edistää tietoturvaa ja monipuolisten sähköisen viestinnän palvelujen tasapainoista kehitystä.

Yhteisöt ja operaattorit samalle viivalle

Esityksessä selkeytetään tunnistamistietojen käsittelyä koskevia säännöksiä. Tunnistamistiedoista käy muun muassa ilmi, kuka puhuu puhelimessa kenenkin kanssa, ketkä lähettelevät toisilleen sähköposti- tai tekstiviestejä tai millä internetsivustolla kukin surffaa.

Hallitus ehdottaa, että tunnistamistietojen käsittelyoikeudet ja -velvollisuudet koskisivat teleyritysten lisäksi myös viestinnän osapuolten kannalta sivullisia yhteisötilaajia. Yhteisötilaajat, kuten yritykset ja yliopistot, käsittelevät täsmälleen samoja luottamuksellisia tietoja samanlaisin teknisin järjestelmin kuin teleyrityksetkin. Siten niiden mahdollisuudet väärinkäytöksiin ja tarve yhtäläisiin käsittelyoikeuksiin ja -velvollisuuksiin ei juurikaan poikkea teleyrityksestä.

Lisäksi ehdotetaan, että teleyrityksen olisi tallennettava tunnistamistietojen käsittelyä koskevat yksityiskohtaiset tapahtumatiedot kahden vuoden ajaksi. Tällaisten tietojen tallentaminen teleyrityksessä perustuu jo nyt voimassa olevaan Viestintäviraston määräykseen. Tiedoista kävisi muun muassa ilmi, kuka ja milloin on käsitellyt tiettyjen ihmisten puhelutietoja.

Vastaus kysymykseen, millä edellytyksin työsuhteessa voidaan selvittää työntekijöiden sähköpostiviestien sisältö, sisältyy työministeriön valmistelemaan työelämän tietosuojalain muutosehdotukseen. Myös se on paraikaa eduskunnassa.

Paikkatietojen käyttö selkeytyy

Esityksessä ehdotetaan uusia säännöksiä myös matkapuhelinten paikkatietojen käsittelyyn. Paikkatiedot ovat matkapuhelimen sijainnin osoittavia, paikannuspalveluihin käytettäviä tietoja.

Esityksen mukaan teleyrityksen olisi annettava laskun maksavalle tilaajalle, esimerkiksi työnantajalle, mahdollisuus kieltää liittymän käyttö kaupallisiin paikannuspalveluihin. Jos tilaaja ei ole näitä kieltänyt, käyttäjälle voidaan tarjota erilaisia paikannuspalveluita.

Jos suostumusta ei hallita yksinomaan kännykästä käsin, paikkatietojen käytöstä päättäisi alle 15-vuotiaan huoltaja tai muun kuin alaikäisen vajaavaltaisen puolesta edunvalvoja. Tämä merkitsee, että joidenkin paikannuspalveluiden osalta vanhemmille tulisi mahdollisuus paikantaa lapsensa aina 15-vuotiaaksi asti.

Haittaohjelmat ja roskaposti

Teleyrityksellä, lisäarvopalvelun tarjoajalla tai yhteisötilaajalla olisi esityksen mukaan oikeus tietyin edellytyksin ryhtyä tietoturvaloukkausten torjumiseksi ja tietoturvaan kohdistuvien häiriöiden poistamiseksi välttämättömiin toimiin. Näitä olisivat muun muassa sähköposti-, teksti- ja muiden vastaavien viestien vastaanottamisen estäminen ja virusten sekä muiden haittaohjelmien poistaminen viesteistä.

Haittaohjelmien ja roskapostin suodattamisessa ongelmana on tekniikan epätäydellisyys. Myös hyväksyttävää viestintää – esimerkiksi toivottuja sähköpostiviestejä ja mainontaa tai tilattuja palveluita – tulee poistetuksi viestinnän virrasta. Tästä syystä hallitus ehdottaa, että välttämättömätkin toimet on tehtävä huolellisesti ja luottamuksellisen viestin ja yksityisyyden suojaa tarpeettomasti vaarantamatta.

Suoramarkkinoijille hieman lisää pelivaraa

Nykylainsäädännön mukaan suoramarkkinointimateriaalia ei saa lähettää kuluttaja-asiakkaille sähköpostin tai matkapuhelimen välityksellä ilman etukäteissuostumusta. Roskaposti eli spämmi onkin ollut laitonta Suomessa jo vuodesta 1999.

Lakiesityksessä ehdotetaan täsmennettäväksi useita suoramarkkinointia koskevia säännöksiä. Lisäksi ehdotetaan direktiivin mukaisesti, että jos myyjä saa asiakkaalta myynnin yhteydessä esimerkiksi sähköpostiyhteystiedon, hän voisi käyttää tietoa samanlaisten tuotteidensa suoramarkkinoinnissa. Myyjän on kuitenkin annettava asiakkaalle mahdollisuus ilman erillistä maksua kieltää yhteystiedon käyttö.

Uusia säännöksiä ehdotetaan myös evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentamisesta käyttäjän päätelaitteelle. Direktiivin mukainen säännös on kuitenkin laadittu siten, että suuri osa evästeitä tällä hetkellä käyttävistä palveluista jää sen soveltamisen ulkopuolelle.

Laskutustiedoille luovutuspakko

Esityksen mukaan palveluntarjoaja voisi käsitellä teleyrityksen hallinnoiman verkon kautta välitettävien kuva- ja äänitallenteiden sekä muiden maksullisten palvelujensa laskutuksen kannalta välttämättömiä tunnistamis- ja muita tietoja. Edellytyksenä kuitenkin on, että tilaaja tai käyttäjä, jota tiedot koskevat, on antanut käsittelylle suostumuksensa.

Tietoyhteiskunnan palveluntarjoajalla olisi oikeus saada teleyritykseltä edellä tarkoitetut tiedot. Tarkoitettuja palveluja ovat esimerkiksi matkaviestimiin tai muihin päätelaitteisiin käyttäjän erikseen pyytämät säätiedot, soittoäänet, musiikkikappaleet tai videoelokuvat.

Laskutustietojen luovutusvelvollisuudella lisättäisiin kilpailua viestintämarkkinoilla ja mahdollistettaisiin se, että palveluntarjoajat voisivat halutessaan laskuttaa suoraan omia asiakkaitaan ilman teleyritysten välitystä.

Esityksen keskeiset kohdat:

• Tunnistamistietosäännöt ulotettaisiin myös yhteisötilaajiin, kuten yrityksiin ja yliopistoihin.
• Paikkatietojen käsittelylle ja evästeiden käytölle määrättäisiin pelisäännöt.
• Operaattoreille tulisi velvollisuus luovuttaa laskutustietoja.
• Suoramarkkinoijien pelivara lisääntyisi.
• Käyttäjän tiedonsaantioikeudet laajenisivat.
• Myös poliisi saisi vastedes nykyistä enemmän tietoa.

Poliisin tiedonsaanti paranee

Nykytilanteessa poliisilla on oikeus saada tehtäviensä toteuttamiseksi ns. salaisten puhelinnumeroiden ja pysyvien (staattisten) IP-osoitteiden haltijatiedot. Poliisilain tiedonsaantia koskevaa pykälää ehdotetaan täydennettäväksi siten, että poliisi saisi teleyrityksiltä myös muut telepäätelaitteiden tai liittymien yksilöivät tiedot. Näitä ovat esimerkiksi tietokoneiden yhteyskohtaisesti muodostettavien (dynaamisten) IP-osoitteiden haltijatiedot sekä kännyköiden IMEI-koodit.

Säännös mahdollistaisi nykyistä tehokkaamman puuttumisen tekijänoikeudellisesti suojatun ja rasistisen aineiston sekä lapsipornon levittämiseen internetissä dynaamisten IP-osoitteiden takaa. Samalla voitaisiin vähentää etukäteen maksettujen liittymien rekisteröintitarvetta, koska poliisi voisi IMEI-koodin perusteella tunnistaa rikoksesta epäillyn kännykän, vaikka epäilty vaihtaisi jatkuvasti liittymäkorttejaan.

Jos poliisi katsoo tarpeelliseksi kohdistaa edellä kerrottuihin päätelaitteisiin tutkinnallisia pakkokeinoja, lupa keinojen käyttöönottoon ratkaistaan pakkokeinolain mukaisesti.

Juhapekka Ristola
Kirjoittaja toimii neuvottelevana virkamiehenä liikenne- ja viestintäministeriön viestintämarkkinaosastolla.

Yhteisötilaajille uusia oikeuksia ja velvollisuuksia

Yhteisötilaajalla tarkoitetaan viestintäpalvelun tilannutta yhteisöä, joka käsittelee verkossaan käyttäjien luottamuksellisia viestejä ja tietoja.

• Uuden lain mukaan yhteisötilaaja saisi käsitellä tunnistamis- ja paikkatietoja
– palvelujen käyttämiseksi
– sisäistä laskutusta varten
– väärinkäytösten havaitsemiseksi, estämiseksi ja selvittämiseksi
– teknisen vian tai virheen havaitsemiseksi sekä
– paikannuspalvelujen hyödyntämiseksi.

• Yhteisötilaajan pitäisi kuitenkin huolehtia, että
– käsitellyt tiedot ovat luottamuksellisia, jollei laissa säädetä toisin
– tietojen tietoturvasta huolehditaan
– käsittelyä tehdään vain hyväksytyn tarkoituksen laajuudessa.

• Lisäksi yhteisötilaaja saisi tietoturvan parantamiseksi oikeuden
– ei-toivottujen viestien vastaanoton estämiseen
– haittaohjelmien (esim. virusten) poistamiseen viesteistä sekä
– muihin välttämättömiin toimiin ilman vastaanottajan suostumusta, jos viestintäpalvelut uhkaisivat vaarantua.