125/2009

Tunnistamistietoja saa käsitellä siinä määrin kuin se on tarpeen verkkopalvelun, viestintäpalvelun tai lisäarvopalvelun toteuttamiseksi ja käyttämiseksi sekä jäljempänä säädetyllä tavalla tietoturvasta huolehtimiseksi.

Tunnistamistietoja saa käsitellä vain teleyrityksen, lisäarvopalvelun tarjoajan, yhteisötilaajan ja tilaajana olevan oikeushenkilön palveluksessa oleva sekä näiden lukuun toimiva luonnollinen henkilö, jonka tehtävänä on käsitellä tietoja tässä luvussa erikseen säädettyjen tarkoitusten toteuttamiseksi.

Teleyritys ja lisäarvopalvelun tarjoaja voi käsitellä tunnistamistietoja verkkopalvelun, viestintäpalvelun tai lisäarvopalvelun teknistä kehittämistä varten.

Yhteisötilaaja voi käsitellä tunnistamistietoja oman viestintäverkkonsa ja siihen liitetyn oman palvelunsa teknistä kehittämistä varten.

Ennen 1 ja 2 momentissa tarkoitetun käsittelyn aloittamista tilaajalle tai käyttäjälle on ilmoitettava, mitä tunnistamistietoja käsitellään ja kuinka kauan niiden käsittely kestää. Ilmoitus voi olla kertaluonteinen.

Teleyritys ja lisäarvopalvelun tarjoaja voi käsitellä verkkopalvelun, viestintäpalvelun tai lisäarvopalvelun tunnistamistietoja ja yhteisötilaaja voi käsitellä viestintäverkkonsa tai siihen liitetyn palvelunsa tunnistamistietoja automaattisen tietojenkäsittelyn avulla tilastollista analyysiä varten, jos:

Mitä 1 momentissa säädetään, koskee myös tilaajana olevan oikeushenkilön oikeutta käsitellä liittymänsä ja päätelaitteensa tunnistamistietoja.

Teleyritys ja lisäarvopalvelun tarjoaja voi käsitellä tunnistamistietoja verkkopalvelun, viestintäpalvelun tai lisäarvopalvelun maksullisen palvelun käyttöä maksutta tai muiden siihen rinnastuvien käyttöä koskevien väärinkäytösten havaitsemiseksi, estämiseksi ja selvittämiseksi.

Viestintävirasto voi antaa tarkempia määräyksiä 1 momentissa tarkoitetun tunnistamistietojen käsittelyn teknisestä toteuttamisesta.

Yhteisötilaajalla on oikeus käsitellä tunnistamistietoja maksullisen tietoyhteiskunnan palvelun, viestintäverkon tai viestintäpalvelun luvattoman käytön taikka rikoslain (39/1889) 30 luvun 11 §:ssä tarkoitetun yrityssalaisuuksien paljastamisen ehkäisemiseksi ja selvittämiseksi siten kuin tämän lain 13 b―13 k §:ssä säädetään.

Viestintäverkon tai viestintäpalvelun luvatonta käyttöä voi olla laitteen, ohjelman tai palvelun asentaminen yhteisötilaajan viestintäverkkoon, sivulliselle oikeudettomasti pääsyn avaaminen yhteisötilaajan viestintäverkkoon tai viestintäpalveluun taikka muu näihin rinnastuva viestintäverkon tai viestintäpalvelun käyttö, jos se on käytöstä laadittujen 13 b §:n 3 momentissa tarkoitettujen ohjeiden vastaista.

Edellä 1 momentissa tarkoitettu oikeus ei koske kiinteän tai matkapuhelinverkon puhelinpalvelujen tunnistamistietoja.

Yhteisötilaajan on ennen tunnistamistietojen käsittelyn aloittamista maksullisen tietoyhteiskunnan palvelun, viestintäverkon tai viestintäpalvelun luvattoman käytön ehkäisemiseksi:

Yhteisötilaajan on ennen tunnistamistietojen käsittelyn aloittamista yrityssalaisuuksien paljastamisen ehkäisemiseksi:

Yhteisötilaajan on 1 ja 2 momentissa tarkoitettujen väärinkäytösten ehkäisemiseksi annettava kirjalliset ohjeet viestintäverkon tai viestintäpalvelun käyttäjälle.

Yhteisötilaajan on ennen 13 a §:n 1 momentissa tarkoitetun tunnistamistietojen käsittelyn aloittamista nimettävä ne henkilöt, joiden tehtäviin tunnistamistietojen käsittely kuuluu tai määriteltävä mainitut tehtävät. Tunnistamistietoja voivat käsitellä vain yhteisötilaajan viestintäverkon ja viestintäpalvelun ylläpidosta ja tietoturvasta sekä turvallisuudesta huolehtivat henkilöt.

Jos yhteisötilaaja on yhteistoimintalainsäädännön piiriin kuuluva työnantaja, on hänen:

Jos yhteisötilaaja on työnantaja, joka ei kuulu yhteistoimintalainsäädännön piiriin, on hänen kuultava työntekijöitä tämän pykälän 2 momentin 1 kohdassa tarkoitetuista seikoista ja tiedotettava niistä työntekijöille siten kuin yksityisyyden suojasta työelämässä annetun lain 21 §:n 1 ja 2 momentissa säädetään.

Jos yhteisötilaaja ei ole työnantaja, on yhteisötilaajan tiedotettava käyttäjille 13 a― 13 k §:ssä tarkoitetussa tunnistamistietojen käsittelyssä noudatettavista menettelyistä ja käytännöistä.

Yhteisötilaaja saa käsitellä tunnistamistietoja automaattisen hakutoiminnon avulla, joka voi perustua viestien kokoon, yhteenlaskettuun kokoon, tyyppiin, määrään, yhteystapaan tai kohdeosoitteisiin.

Yhteisötilaaja saa käsitellä tunnistamistietoja manuaalisesti, jos on perusteltu syy epäillä, että viestintäverkkoa, viestintäpalvelua tai maksullista tietoyhteiskunnan palvelua käytetään 13 b §:n 3 momentissa tarkoitettujen ohjeiden vastaisesti ja jos:

Edellä 1 ja 2 momentissa tarkoitetun käsittelyn edellytyksenä on, että tapahtuma tai teko todennäköisesti aiheuttaa yhteisötilaajalle merkittävää haittaa tai vahinkoa.

Edellä 2 momentissa tarkoitetun käsittelyn edellytyksenä on lisäksi, että tiedot ovat välttämättömiä luvattoman käytön ja siitä vastuussa olevien selvittämiseksi sekä luvattoman käytön lopettamiseksi.

Yhteisötilaaja saa käsitellä tunnistamistietoja automaattisen hakutoiminnon avulla, joka voi perustua viestien kokoon, yhteenlaskettuun kokoon, tyyppiin, määrään, yhteystapaan tai kohdeosoitteisiin.

Yhteisötilaaja saa käsitellä tunnistamistietoja manuaalisesti, jos on perusteltu syy epäillä, että yrityssalaisuus on viestintäverkkoa tai viestintäpalvelua käyttämällä luvattomasti annettu ulkopuoliselle, ja jos:

Edellä 1 ja 2 momentissa tarkoitetun käsittelyn edellytyksenä on, että epäilty yrityssalaisuuden paljastaminen kohdistuu yhteisötilaajan tai sen yhteistyökumppanin elinkeinotoiminnan kannalta keskeisiin yrityssalaisuuksiin taikka teknologisen tai muun kehittämistyön tuloksiin, jotka todennäköisesti ovat merkittäviä elinkeinotoiminnan käynnistämisen tai sen harjoittamisen kannalta.

Edellä 2 momentissa tarkoitetun käsittelyn edellytyksenä on lisäksi, että tiedot ovat välttämättömiä yrityssalaisuuden paljastamisen ja siitä vastuussa olevien selvittämiseksi.

Automaattista hakua ei saa kohdistaa eikä tunnistamistietoja saa hakea esille eikä ottaa manuaalisesti käsiteltäviksi oikeudenkäymiskaaren 17 luvun 24 §:n 2 ja 3 momentissa tarkoitettujen tietojen selville saamiseksi.

Yrityssalaisuuksien paljastamisen selvittämiseksi työnantajana oleva yhteisötilaaja voi käsitellä vain sellaisten käyttäjiensä tunnistamistietoja, joille yhteisötilaaja on antanut tai joilla muutoin on yhteisötilaajan hyväksymällä tavalla pääsy yrityssalaisuuksiin.

Yhteisötilaajan on laadittava 13 d §:n 2 momentissa ja 13 e §:n 2 momentissa tarkoitetusta manuaalisesta tunnistamistietojen käsittelystä selvitys, josta käy ilmi:

Käsittelyyn osallistuneiden henkilöiden on allekirjoitettava selvitys. Selvitys on säilytettävä vähintään kaksi vuotta 13 d tai 13 e §:ssä tarkoitetun käsittelyn päättymisestä.

Edellä 1 momentissa tarkoitettu selvitys on annettava tiedoksi käsittelyn kohteena olevan viestintäverkon tai viestintäpalvelun käyttäjälle heti, kun se voi tapahtua käsittelyn tarkoitusta vaarantamatta. Selvitystä ei kuitenkaan tarvitse antaa niille käyttäjille, joiden tunnistamistietoja on käsitelty massamuotoisesti siten, että käyttäjien tunnistamistiedot eivät ole tulleet käsittelijän tietoon. Käyttäjällä on oikeus lakiin tai sopimukseen perustuvan salassapitovelvollisuuden estämättä luovuttaa selvitys ja sen yhteydessä saamansa tiedot etujaan tai oikeuksiaan koskevan asian käsittelyä varten.

Jos yhteisötilaaja on työnantaja, sen on annettava työntekijöiden edustajalle vuosittain 13 d §:n 2 momentissa ja 13 e §:n 2 momentissa tarkoitetusta tunnistamistietojen manuaalisesta käsittelystä selvitys, josta on käytävä ilmi, millä perusteella ja kuinka monta kertaa tunnistamistietoja on vuoden aikana käsitelty.

Edellä 1 momentissa tarkoitettu selvitys on annettava työ- tai virkaehtosopimuksen perusteella valitulle luottamusmiehelle tai, jos tällaista ei ole valittu, työsopimuslain (55/2001) 13 luvun 3 §:ssä tarkoitetulle luottamusvaltuutetulle. Jos jonkin henkilöstöryhmän työntekijät eivät ole valinneet luottamusmiestä tai luottamusvaltuutettua, on selvitys annettava yhteistoiminnasta yrityksissä annetun lain 8 §:ssä tai työnantajan ja henkilöstön välisestä yhteistoiminnasta kunnissa annetun lain 3 §:ssä tarkoitetulle yhteistoimintaedustajalle taikka yhteistoiminnasta valtion virastoissa ja laitoksissa annetun lain 6 §:n 2 momentissa tarkoitetulle edustajalle. Jos näitäkään ei ole valittu, selvitys on annettava kaikille tähän henkilöstöryhmään kuuluville työntekijöille.

Työntekijöiden edustajien ja 2 momentissa tarkoitettujen työntekijöiden on pidettävä salassa tietoonsa saamat yrityssalaisuuden loukkaukset ja epäilyt yrityssalaisuuden loukkaamisesta koko työsuhteen voimassaoloajan. Virkamiehen ja muun viranomaisen palveluksessa toimivan salassapitovelvollisuudesta on voimassa, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) ja muualla laissa säädetään. Mitä edellä säädetään, ei estä tietojen luovuttamista valvontaviranomaiselle.

Yhteisötilaajan on ilmoitettava ennalta tietosuojavaltuutetulle tunnistamistietojen käsittelyn aloittamisesta. Ennakkoilmoituksesta on käytävä ilmi:

Yhteisötilaajan on annettava tietosuojavaltuutetulle vuosittain jälkikäteen selvitys tunnistamistietojen manuaalisesta käsittelystä. Selvityksestä on käytävä ilmi, millä perusteella ja kuinka monta kertaa tunnistamistietoja on vuoden aikana käsitelty.

Mitä 13 a―13 i §:ssä säädetään, ei oikeuta yhteisötilaajaa säilyttämään tunnistamistietoja rekisterissä kauempaa kuin lain mukaan muutoin on sallittua.

Sen estämättä, mitä 8 §:n 3 momentissa säädetään, yhteisötilaajalla on oikeus luovuttaa asianomistajana tekemänsä rikosilmoituksen tai tutkintapyynnön yhteydessä poliisille käsiteltäviksi 13 a―13 j §:n mukaisesti saamansa yhteisötilaajan viestintäverkon tai viestintäpalvelun käyttäjän viestejä koskevat tunnistamistiedot.

Teleyritys, lisäarvopalvelun tarjoaja ja yhteisötilaaja voi käsitellä tunnistamistietoja, jos se on tarpeen viestinnän välittämisessä tapahtuneen teknisen vian tai virheen havaitsemiseksi, estämiseksi tai selvittämiseksi.

Teleyrityksellä, lisäarvopalvelun tarjoajalla ja yhteisötilaajalla sekä niiden lukuun toimivalla on oikeus ryhtyä 2 momentissa tarkoitettuihin välttämättömiin toimiin tietoturvasta huolehtimiseksi:

Edellä 1 momentissa tarkoitetut toimet voivat käsittää:

Jos viestin tyypin, muodon tai muun vastaavan seikan perusteella on ilmeistä, että viesti sisältää haitallisen tietokoneohjelman tai käskyn eikä viestin automaattisella sisällöllisellä analyysillä pystytä turvaamaan 1 momentissa tarkoitettujen tavoitteiden toteutumista, yksittäisen viestin sisältöä saa käsitellä manuaalisesti. Manuaalisesta viestin sisällön käsittelystä on ilmoitettava viestin lähettäjälle ja vastaanottajalle, jollei ilmoittamisella todennäköisesti vaaranneta 1 momentissa tarkoitettujen tavoitteiden toteutumista.

Tässä pykälässä tarkoitetut toimenpiteet on toteutettava huolellisesti ja ne on mitoitettava torjuttavan häiriön vakavuuteen. Toimenpiteitä toteutettaessa ei saa rajoittaa sananvapautta taikka luottamuksellisen viestin tai yksityisyyden suojaa enempää kuin on välttämätöntä 1 momentissa tarkoitettujen tavoitteiden turvaamiseksi. Toimenpiteet on lopetettava, jos niiden toteuttamiselle ei enää ole tässä pykälässä säädettyjä edellytyksiä.

Viestintävirasto voi antaa teleyrityksille ja lisäarvopalvelun tarjoajille tarkempia määräyksiä tässä pykälässä tarkoitettujen toimenpiteiden teknisestä toteuttamisesta.

Tietosuojavaltuutetun tehtävänä on valvoa:

Edellä 1 momentin 1 kohdassa tarkoitetuista valvontatehtävistä voidaan periä maksu yhteisötilaajalta. Maksullisista toimenpiteistä ja maksun suuruudesta päätetään oikeusministeriön asetuksella valtion maksuperustelaissa (150/1992) säädettyjen perusteiden mukaisesti.

Viestintävirastolla ja tietosuojavaltuutetulla on oikeus saada tässä laissa säädettyjen tehtävien hoitamiseksi tunnistamistiedot, paikkatiedot ja viestit, jos ne ovat tarpeen käsittelyä, 7 §:ssä tarkoitettujen tietojen käyttöä tai suoramarkkinointia koskevien säännösten valvomiseksi taikka merkittävien tietoturvaloukkausten tai -uhkien selvittämiseksi. Edellytyksenä on lisäksi, että Viestintäviraston tai tietosuojavaltuutetun arvion mukaan on syytä epäillä jonkin seuraavista tunnusmerkistöistä täyttyvän:

Viestintäviraston ja tietosuojavaltuutetun 33 §:n 3 momentin nojalla saamat tiedot luottamuksellisista viesteistä, tunnistamistiedoista ja paikkatiedoista sekä tietosuojavaltuutetun 13 i §:n nojalla saamat tiedot on pidettävä salassa.

Muilta osin valvontaviranomaisten tietojen salassapidosta säädetään viranomaisten toiminnan julkisuudesta annetussa laissa.

Viestintävirastolla ja tietosuojavaltuutetulla on muun kuin 34 §:n 1 momentissa säädetyn salassapitovelvollisuuden tai muun tietojen luovuttamista koskevan rajoituksen estämättä oikeus luovuttaa tässä laissa säädettyjä tehtäviä suorittaessaan saamiaan 33 §:n 1 momentissa tarkoitettuja tietoja liikenne- ja viestintäministeriölle.

Viestintävirastolla on 34 §:n 1 momentissa säädetyn salassapitovelvollisuuden tai muun tietojen luovuttamista koskevan rajoituksen estämättä oikeus luovuttaa tietoturvaloukkauksia koskevan tiedonkeruun ja selvittämisen yhteydessä saamiaan tunnistamistietoja niille teleyrityksille, lisäarvopalvelun tarjoajille ja yhteisötilaajille, joita on käytetty hyväksi tietoturvaloukkauksessa, jotka ovat joutuneet tietoturvaloukkauksen kohteiksi tai joihin todennäköisesti voi kohdistua tietoturvaloukkaus, jos Viestintäviraston arvion mukaan on syytä epäillä, että jokin 33 §:n 3 momentin 1―10 kohdassa mainittu tunnusmerkistö toteutuu.

Viestintävirastolla on 34 §:n 1 momentissa säädetyn salassapitovelvollisuuden estämättä oikeus luovuttaa tietoturvaloukkauksia koskevan tiedonkeruun ja selvittämisen yhteydessä saamiaan tunnistamistietoja muussa valtiossa toimivalle viranomaiselle tai muulle taholle, jonka tehtävänä on ennalta ehkäistä tai selvittää viestintäverkkoihin ja -palveluihin kohdistuvia tietoturvaloukkauksia.

Viestintävirastolla on oikeus luovuttaa 2 ja 3 momentissa tarkoitettuja tunnistamistietoja ainoastaan siinä laajuudessa kuin se on tarpeen tietoturvaloukkausten ehkäisemiseksi ja selvittämiseksi. Tietojen luovuttamisella ei saa rajoittaa luottamuksellisen viestin ja yksityisyyden suojaa enempää kuin on välttämätöntä.

Rangaistus viestintäsalaisuuden loukkaamisesta ja törkeästä viestintäsalaisuuden loukkaamisesta säädetään rikoslain 38 luvun 3 ja 4 §:ssä sekä rangaistus tietomurrosta rikoslain 38 luvun 8 §:ssä. Rangaistus tämän lain 5 §:ssä säädetyn vaitiolovelvollisuuden rikkomisesta tuomitaan rikoslain 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava rikoslain 40 luvun 5 §:n mukaan tai siitä muualla säädetä ankarampaa rangaistusta. Rangaistus 13 h §:n 3 momentissa säädetyn salassapitovelvollisuuden rikkomisesta tuomitaan rikoslain 38 luvun 2 §:n 2 momentin mukaan, jollei teosta muualla kuin rikoslain 38 luvun 1 §:ssä säädetä ankarampaa rangaistusta.

Joka tahallaan

on tuomittava sähköisen viestinnän tietosuojarikkomuksesta sakkoon, jollei teosta muualla laissa säädetä ankarampaa rangaistusta.

Rangaistusta ei tuomita, jos rikkomus on vähäinen.