516/2004

Lain tarkoituksena on turvata sähköisen viestinnän luottamuksellisuuden ja yksityisyyden suojan toteutuminen sekä edistää sähköisen viestinnän tietoturvaa ja monipuolisten sähköisen viestinnän palvelujen tasapainoista kehittymistä.

Tässä laissa tarkoitetaan:

Tätä lakia sovelletaan yleisissä viestintäverkoissa tarjottaviin verkkopalveluihin, viestintäpalveluihin, lisäarvopalveluihin ja palveluihin, joissa käsitellään palvelun käyttöä kuvaavia tietoja. Lisäksi lakia sovelletaan suoramarkkinointiin yleisissä viestintäverkoissa sekä tilaajaluettelopalveluihin ja numerotiedotuspalveluihin.

Tätä lakia ei sovelleta sisäisiin ja muihin rajoitetuille käyttäjäpiireille tarkoitettuihin viestintäverkkoihin, ellei näitä verkkoja ole liitetty 1 momentissa tarkoitettuun yleiseen viestintäverkkoon.

Lain 4 ja 5 §:ää sovelletaan kuitenkin myös sisäisiin ja muihin rajoitetuille käyttäjäpiireille tarkoitettuihin viestintäverkkoihin, vaikka näitä verkkoja ei ole liitetty 1 momentissa tarkoitettuun yleiseen viestintäverkkoon.

Henkilötietojen käsittelyyn sovelletaan, mitä henkilötietolaissa (523/1999) säädetään, jollei tästä laista muuta johdu.

Työnantajan ja työntekijän välisessä suhteessa sovelletaan lisäksi, mitä säädetään yksityisyyden suojasta työelämässä annetussa laissa 477/2001.

Tätä lakia ei sovelleta joukkoviestintäverkossa välitettävään viestiin, jos viestiä ei voi yksittäisessä tapauksessa yhdistää sitä vastaanottavaan tilaajaan tai käyttäjään.

Tätä lakia ei sovelleta viranomaistoimintaan viestintämarkkinalaissa tarkoitetussa viranomaisverkossa tai muussa yleiseen järjestykseen ja turvallisuuteen, maanpuolustukseen, pelastustehtäviin, väestönsuojeluun tai maaliikenteen, meriliikenteen, raideliikenteen taikka ilmaliikenteen turvallisuuteen liittyvien tarpeiden vuoksi rakennetussa viestintäverkossa.

Tätä lakia ei sovelleta, jos rahanpesun estämisestä ja selvittämisestä annetusta laista (68/1998) muuta johtuu.

Viesti, tunnistamistiedot ja paikkatiedot ovat luottamuksellisia, jollei tässä tai muussa laissa toisin säädetä.

Viesti ei ole luottamuksellinen, jos se on saatettu yleisesti vastaanotettavaksi. Viestiin liittyvät tunnistamistiedot ovat kuitenkin luottamuksellisia. Verkkoviestin tunnistamistietojen luovuttamisesta säädetään sananvapauden käyttämisestä joukkoviestinnässä annetun lain (460/2003) 17 §:ssä .

Edellä 1 momentissa säädetty koskee myös verkkosivustojen selaamisesta kertyviä tunnistamistietoja.

Se, joka on ottanut vastaan tai muutoin saanut tiedon luottamuksellisesta viestistä tai tunnistamistiedosta, jota ei ole hänelle tarkoitettu, ei saa ilman viestinnän osapuolen suostumusta ilmaista tai käyttää hyväksi viestin sisältöä, tunnistamistietoa tai tietoa viestin olemassaolosta, ellei laissa toisin säädetä.

Se, joka on ottanut vastaan tai muutoin saanut tiedon paikkatiedosta, jota ei ole hänelle tarkoitettu, ei saa ilman paikannettavan suostumusta ilmaista tai käyttää hyväksi paikkatietoa tai tietoa sen olemassaolosta, ellei laissa toisin säädetä.

Teleyrityksen, lisäarvopalvelun tarjoajan, yhteisötilaajan tai teleurakoitsijan palveluksessa oleva tai ollut ei saa ilman viestinnän osapuolen tai paikannettavan suostumusta ilmaista, mitä hän on tehtävässään saanut tietää viesteistä, tunnistamistiedoista tai paikkatiedoista, ellei laissa toisin säädetä. (21.12.2007/1328)

Edellä 3 momentissa tarkoitettu vaitiolovelvollisuus on myös sillä, joka toimii tai on toiminut teleyrityksen, lisäarvopalvelun tarjoajan, yhteisötilaajan tai teleurakoitsijan lukuun.

Tilaaja ja käyttäjä voi suojata viestinsä ja tunnistamistietonsa haluamallaan tavalla käyttäen hyväksi sitä varten tarjolla olevia teknisiä mahdollisuuksia, jollei laissa toisin säädetä. Suojauksen toteuttamisella ei saa häiritä verkkopalvelun ja viestintäpalvelun toteuttamista tai käyttämistä.

Sähköisen viestinnän teknisen suojauksen purkavan järjestelmän tai sen osan hallussapito, maahantuonti, valmistaminen ja levittäminen on kielletty, jos järjestelmän tai sen osan ensisijaisena käyttötarkoituksena on teknisen suojauksen oikeudeton purku.

Viestintävirasto voi antaa hyväksyttävästä syystä luvan poiketa 2 momentissa tarkoitetusta kiellosta.

Evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö on sallittua palvelun tarjoajalle, jos käyttäjä on antanut siihen suostumuksensa ja palvelun tarjoaja antaa käyttäjälle ymmärrettävät ja kattavat tiedot tallentamisen tai käytön tarkoituksesta.

Edellä 1 momentissa säädetty ei koske tietojen sellaista tallentamista tai käyttöä, jonka ainoana tarkoituksena on toteuttaa viestin välittämistä viestintäverkoissa tai joka on välttämätöntä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt.

Edellä tässä pykälässä tarkoitettu tallentaminen ja käyttö on sallittua ainoastaan palvelun vaatimassa laajuudessa ja sillä ei saa rajoittaa yksityisyyden suojaa enempää kuin on välttämätöntä.

Viestin lähettäjä tai se, jolle viesti on tarkoitettu, voi käsitellä omia viestejään ja niihin liittyviä tunnistamistietoja, jollei jäljempänä tässä tai muussa laissa toisin säädetä.

Luottamuksellisia viestejä ja tunnistamistietoja saa käsitellä viestin lähettäjän tai sen, jolle viesti on tarkoitettu, suostumuksella tai jos laissa niin säädetään.

Jäljempänä tässä luvussa tarkoitettu käsittely on sallittua ainoastaan käsittelyn tarkoituksen vaatimassa laajuudessa ja sillä ei saa rajoittaa luottamuksellisen viestin ja yksityisyyden suojaa enempää kuin on välttämätöntä. Tunnistamistietoja on sallittua luovuttaa ainoastaan niille tahoille, joilla on oikeus käsitellä tietoja asianomaisessa tilanteessa. Käsittelyn jälkeen viestit ja tunnistamistiedot on hävitettävä tai tehtävä sellaisiksi, ettei niitä voi yhdistää tilaajaan tai käyttäjään, ellei laissa toisin säädetä. (23.5.2008/343)

Tunnistamistietoja saa käsitellä siinä määrin kuin se on tarpeen verkkopalvelun, viestintäpalvelun tai lisäarvopalvelun toteuttamiseksi ja käyttämiseksi sekä jäljempänä säädetyllä tavalla tietoturvasta huolehtimiseksi.

Tunnistamistietoja saa käsitellä vain teleyrityksen, lisäarvopalvelun tarjoajan, yhteisötilaajan ja tilaajana olevan oikeushenkilön palveluksessa oleva sekä näiden lukuun toimiva luonnollinen henkilö, jonka tehtävänä on käsitellä tietoja tässä luvussa erikseen säädettyjen tarkoitusten toteuttamiseksi.

Teleyritys ja lisäarvopalvelun tarjoaja voi käsitellä keskinäisten maksujensa määrittämistä ja laskutusta varten välttämättömiä tunnistamistietoja.

Yhteisötilaaja voi käsitellä sisäistä laskutustaan varten välttämättömiä tunnistamistietoja.

Tietoyhteiskunnan palvelujen tarjoamisesta annetussa laissa (458/2002) tarkoitettu tietoyhteiskunnan palvelun tarjoaja voi käsitellä teleyrityksen hallinnoiman viestintäverkon välityksellä tarjottavien kuvatallenteiden, äänitallenteiden ja muiden maksullisten palvelujensa laskutusta varten välttämättömiä tunnistamistietoja ja muita laskutuksen kannalta välttämättömiä tietoja. Tietoyhteiskunnan palvelun tarjoajalla on oikeus saada teleyritykseltä nämä tiedot.

Laskun määräytymiseen liittyviä tietoja on säilytettävä vähintään kolme kuukautta laskun eräpäivästä tai tunnistamistiedon tallentumisesta riippuen siitä, kumpi näistä ajankohdista on myöhäisempi. Tietoja ei saa kuitenkaan säilyttää enää sen jälkeen, kun saatava on velan vanhentumisesta annetun lain (728/2003) mukaan vanhentunut. Laskua koskevan erimielisyyden synnyttyä laskua koskevat tiedot on kuitenkin säilytettävä siihen saakka, kunnes asia on sovittu tai ratkaistu.

Teleyrityksen ja lisäarvopalvelun tarjoajan on ilmoitettava tilaajalle tai käyttäjälle, millaisia tunnistamistietoja käsitellään ja kuinka kauan niiden käsittely kestää.

Teleyritys voi viestintäpalvelujen tai lisäarvopalvelujen markkinoimiseksi käsitellä tunnistamistietoja siinä määrin ja niin kauan kuin tällainen markkinointi edellyttää, jos tilaaja tai käyttäjä, jota tiedot koskevat, on antanut siihen suostumuksensa.

Teleyrityksen on ilmoitettava tilaajalle tai käyttäjälle ennen kuin tämä antaa suostumuksensa, millaisia tunnistamistietoja käsitellään ja kuinka kauan niiden käsittely kestää.

Suostumuksen antajalla on oltava mahdollisuus peruuttaa tunnistamistietojen käsittelyä koskeva suostumuksensa.

Teleyritys ja lisäarvopalvelun tarjoaja voi käsitellä tunnistamistietoja verkkopalvelun, viestintäpalvelun tai lisäarvopalvelun teknistä kehittämistä varten.

Yhteisötilaaja voi käsitellä tunnistamistietoja oman viestintäverkkonsa ja siihen liitetyn oman palvelunsa teknistä kehittämistä varten.

Ennen 1 ja 2 momentissa tarkoitetun käsittelyn aloittamista tilaajalle tai käyttäjälle on ilmoitettava, mitä tunnistamistietoja käsitellään ja kuinka kauan niiden käsittely kestää. Ilmoitus voi olla kertaluonteinen.

Teleyritys ja lisäarvopalvelun tarjoaja voi käsitellä verkkopalvelun, viestintäpalvelun tai lisäarvopalvelun tunnistamistietoja ja yhteisötilaaja voi käsitellä viestintäverkkonsa tai siihen liitetyn palvelunsa tunnistamistietoja automaattisen tietojenkäsittelyn avulla tilastollista analyysiä varten, jos:

Mitä 1 momentissa säädetään, koskee myös tilaajana olevan oikeushenkilön oikeutta käsitellä liittymänsä ja päätelaitteensa tunnistamistietoja.

Teleyritys ja lisäarvopalvelun tarjoaja voi käsitellä tunnistamistietoja verkkopalvelun, viestintäpalvelun tai lisäarvopalvelun maksullisen palvelun käyttöä maksutta tai muiden siihen rinnastuvien käyttöä koskevien väärinkäytösten havaitsemiseksi, estämiseksi ja selvittämiseksi.

Viestintävirasto voi antaa tarkempia määräyksiä 1 momentissa tarkoitetun tunnistamistietojen käsittelyn teknisestä toteuttamisesta.

Yhteisötilaajalla on oikeus käsitellä tunnistamistietoja maksullisen tietoyhteiskunnan palvelun, viestintäverkon tai viestintäpalvelun luvattoman käytön taikka rikoslain (39/1889) 30 luvun 11 §:ssä tarkoitetun yrityssalaisuuksien paljastamisen ehkäisemiseksi ja selvittämiseksi siten kuin tämän lain 13 b–13 k §:ssä säädetään.

Viestintäverkon tai viestintäpalvelun luvatonta käyttöä voi olla laitteen, ohjelman tai palvelun asentaminen yhteisötilaajan viestintäverkkoon, sivulliselle oikeudettomasti pääsyn avaaminen yhteisötilaajan viestintäverkkoon tai viestintäpalveluun taikka muu näihin rinnastuva viestintäverkon tai viestintäpalvelun käyttö, jos se on käytöstä laadittujen 13 b §:n 3 momentissa tarkoitettujen ohjeiden vastaista.

Edellä 1 momentissa tarkoitettu oikeus ei koske kiinteän tai matkapuhelinverkon puhelinpalvelujen tunnistamistietoja.

Yhteisötilaajan on ennen tunnistamistietojen käsittelyn aloittamista maksullisen tietoyhteiskunnan palvelun, viestintäverkon tai viestintäpalvelun luvattoman käytön ehkäisemiseksi:

Yhteisötilaajan on ennen tunnistamistietojen käsittelyn aloittamista yrityssalaisuuksien paljastamisen ehkäisemiseksi:

Yhteisötilaajan on 1 ja 2 momentissa tarkoitettujen väärinkäytösten ehkäisemiseksi annettava kirjalliset ohjeet viestintäverkon tai viestintäpalvelun käyttäjälle.

Yhteisötilaajan on ennen 13 a §:n 1 momentissa tarkoitetun tunnistamistietojen käsittelyn aloittamista nimettävä ne henkilöt, joiden tehtäviin tunnistamistietojen käsittely kuuluu tai määriteltävä mainitut tehtävät. Tunnistamistietoja voivat käsitellä vain yhteisötilaajan viestintäverkon ja viestintäpalvelun ylläpidosta ja tietoturvasta sekä turvallisuudesta huolehtivat henkilöt.

Jos yhteisötilaaja on yhteistoimintalainsäädännön piiriin kuuluva työnantaja, on hänen:

Jos yhteisötilaaja on työnantaja, joka ei kuulu yhteistoimintalainsäädännön piiriin, on hänen kuultava työntekijöitä tämän pykälän 2 momentin 1 kohdassa tarkoitetuista seikoista ja tiedotettava niistä työntekijöille siten kuin yksityisyyden suojasta työelämässä annetun lain 21 §:n 1 ja 2 momentissa säädetään.

Jos yhteisötilaaja ei ole työnantaja, on yhteisötilaajan tiedotettava käyttäjille 13 a– 13 k §:ssä tarkoitetussa tunnistamistietojen käsittelyssä noudatettavista menettelyistä ja käytännöistä.

Yhteisötilaaja saa käsitellä tunnistamistietoja automaattisen hakutoiminnon avulla, joka voi perustua viestien kokoon, yhteenlaskettuun kokoon, tyyppiin, määrään, yhteystapaan tai kohdeosoitteisiin.

Yhteisötilaaja saa käsitellä tunnistamistietoja manuaalisesti, jos on perusteltu syy epäillä, että viestintäverkkoa, viestintäpalvelua tai maksullista tietoyhteiskunnan palvelua käytetään 13 b §:n 3 momentissa tarkoitettujen ohjeiden vastaisesti ja jos:

Edellä 1 ja 2 momentissa tarkoitetun käsittelyn edellytyksenä on, että tapahtuma tai teko todennäköisesti aiheuttaa yhteisötilaajalle merkittävää haittaa tai vahinkoa.

Edellä 2 momentissa tarkoitetun käsittelyn edellytyksenä on lisäksi, että tiedot ovat välttämättömiä luvattoman käytön ja siitä vastuussa olevien selvittämiseksi sekä luvattoman käytön lopettamiseksi.

Yhteisötilaaja saa käsitellä tunnistamistietoja automaattisen hakutoiminnon avulla, joka voi perustua viestien kokoon, yhteenlaskettuun kokoon, tyyppiin, määrään, yhteystapaan tai kohdeosoitteisiin.

Yhteisötilaaja saa käsitellä tunnistamistietoja manuaalisesti, jos on perusteltu syy epäillä, että yrityssalaisuus on viestintäverkkoa tai viestintäpalvelua käyttämällä luvattomasti annettu ulkopuoliselle, ja jos:

Edellä 1 ja 2 momentissa tarkoitetun käsittelyn edellytyksenä on, että epäilty yrityssalaisuuden paljastaminen kohdistuu yhteisötilaajan tai sen yhteistyökumppanin elinkeinotoiminnan kannalta keskeisiin yrityssalaisuuksiin taikka teknologisen tai muun kehittämistyön tuloksiin, jotka todennäköisesti ovat merkittäviä elinkeinotoiminnan käynnistämisen tai sen harjoittamisen kannalta.

Edellä 2 momentissa tarkoitetun käsittelyn edellytyksenä on lisäksi, että tiedot ovat välttämättömiä yrityssalaisuuden paljastamisen ja siitä vastuussa olevien selvittämiseksi.

Automaattista hakua ei saa kohdistaa eikä tunnistamistietoja saa hakea esille eikä ottaa manuaalisesti käsiteltäviksi oikeudenkäymiskaaren 17 luvun 24 §:n 2 ja 3 momentissa tarkoitettujen tietojen selville saamiseksi.

Yrityssalaisuuksien paljastamisen selvittämiseksi työnantajana oleva yhteisötilaaja voi käsitellä vain sellaisten käyttäjiensä tunnistamistietoja, joille yhteisötilaaja on antanut tai joilla muutoin on yhteisötilaajan hyväksymällä tavalla pääsy yrityssalaisuuksiin.

Yhteisötilaajan on laadittava 13 d §:n 2 momentissa ja 13 e §:n 2 momentissa tarkoitetusta manuaalisesta tunnistamistietojen käsittelystä selvitys, josta käy ilmi:

Käsittelyyn osallistuneiden henkilöiden on allekirjoitettava selvitys. Selvitys on säilytettävä vähintään kaksi vuotta 13 d tai 13 e §:ssä tarkoitetun käsittelyn päättymisestä.

Edellä 1 momentissa tarkoitettu selvitys on annettava tiedoksi käsittelyn kohteena olevan viestintäverkon tai viestintäpalvelun käyttäjälle heti, kun se voi tapahtua käsittelyn tarkoitusta vaarantamatta. Selvitystä ei kuitenkaan tarvitse antaa niille käyttäjille, joiden tunnistamistietoja on käsitelty massamuotoisesti siten, että käyttäjien tunnistamistiedot eivät ole tulleet käsittelijän tietoon. Käyttäjällä on oikeus lakiin tai sopimukseen perustuvan salassapitovelvollisuuden estämättä luovuttaa selvitys ja sen yhteydessä saamansa tiedot etujaan tai oikeuksiaan koskevan asian käsittelyä varten.

Jos yhteisötilaaja on työnantaja, sen on annettava työntekijöiden edustajalle vuosittain 13 d §:n 2 momentissa ja 13 e §:n 2 momentissa tarkoitetusta tunnistamistietojen manuaalisesta käsittelystä selvitys, josta on käytävä ilmi, millä perusteella ja kuinka monta kertaa tunnistamistietoja on vuoden aikana käsitelty.

Edellä 1 momentissa tarkoitettu selvitys on annettava työ- tai virkaehtosopimuksen perusteella valitulle luottamusmiehelle tai, jos tällaista ei ole valittu, työsopimuslain (55/2001) 13 luvun 3 §:ssä tarkoitetulle luottamusvaltuutetulle. Jos jonkin henkilöstöryhmän työntekijät eivät ole valinneet luottamusmiestä tai luottamusvaltuutettua, on selvitys annettava yhteistoiminnasta yrityksissä annetun lain 8 §:ssä tai työnantajan ja henkilöstön välisestä yhteistoiminnasta kunnissa annetun lain 3 §:ssä tarkoitetulle yhteistoimintaedustajalle taikka yhteistoiminnasta valtion virastoissa ja laitoksissa annetun lain 6 §:n 2 momentissa tarkoitetulle edustajalle. Jos näitäkään ei ole valittu, selvitys on annettava kaikille tähän henkilöstöryhmään kuuluville työntekijöille.

Työntekijöiden edustajien ja 2 momentissa tarkoitettujen työntekijöiden on pidettävä salassa tietoonsa saamat yrityssalaisuuden loukkaukset ja epäilyt yrityssalaisuuden loukkaamisesta koko työsuhteen voimassaoloajan. Virkamiehen ja muun viranomaisen palveluksessa toimivan salassapitovelvollisuudesta on voimassa, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) ja muualla laissa säädetään. Mitä edellä säädetään, ei estä tietojen luovuttamista valvontaviranomaiselle.

Yhteisötilaajan on ilmoitettava ennalta tietosuojavaltuutetulle tunnistamistietojen käsittelyn aloittamisesta. Ennakkoilmoituksesta on käytävä ilmi:

Yhteisötilaajan on annettava tietosuojavaltuutetulle vuosittain jälkikäteen selvitys tunnistamistietojen manuaalisesta käsittelystä. Selvityksestä on käytävä ilmi, millä perusteella ja kuinka monta kertaa tunnistamistietoja on vuoden aikana käsitelty.

Mitä 13 a–13 i §:ssä säädetään, ei oikeuta yhteisötilaajaa säilyttämään tunnistamistietoja rekisterissä kauempaa kuin lain mukaan muutoin on sallittua.

Sen estämättä, mitä 8 §:n 3 momentissa säädetään, yhteisötilaajalla on oikeus luovuttaa asianomistajana tekemänsä rikosilmoituksen tai tutkintapyynnön yhteydessä poliisille käsiteltäviksi 13 a–13 j §:n mukaisesti saamansa yhteisötilaajan viestintäverkon tai viestintäpalvelun käyttäjän viestejä koskevat tunnistamistiedot.

Teleyritys, lisäarvopalvelun tarjoaja ja yhteisötilaaja voi käsitellä tunnistamistietoja, jos se on tarpeen viestinnän välittämisessä tapahtuneen teknisen vian tai virheen havaitsemiseksi, estämiseksi tai selvittämiseksi.

Sen estämättä, mitä tässä luvussa säädetään tunnistamistietojen käsittelystä, teletoimintailmoituksen antamiseen velvollisen palveluyrityksen on huolehdittava jäljempänä säädetyin edellytyksin, että yleisesti saatavilla olevien sähköisten viestintäpalvelujen tai yleisten viestintäverkkojen yhteydessä tuotettavien tai käsiteltävien tietojen säilyttämisestä ja direktiivin 2002/58/EY muuttamisesta annetun Euroopan parlamentin ja neuvoston direktiivin 2006/24/EY 5 artiklassa tarkoitetut tiedot säilytetään 12 kuukauden ajan viestinnän päivämäärästä. Näitä tietoja saa käyttää ainoastaan pakkokeinolain (806/2011) 10 luvun 6 §:n 2 momentissa tarkoitettujen rikosten tutkimiseksi, selvittämiseksi ja syyteharkintaan saattamiseksi. (22.7.2011/855)

Säilytysvelvollisuus koskee tietoja, jotka liittyvät:

Säilytysvelvollisuus ei koske viestin sisältöä eikä verkkosivustojen selaamisesta kertyviä tunnistamistietoja.

Säilytysvelvollisuuden edellytyksenä on, että tiedot ovat saatavilla ja palveluyrityksen yleisesti saatavilla olevien viestintäpalvelujen tarjoamisen yhteydessä tämän luvun tai henkilötietolain perusteella tuottamia tai käsittelemiä.

Säilytysvelvollisuuden perusteella säilytettävien tietojen tarkemmasta määrittelystä voidaan säätää valtioneuvoston asetuksella.

Säilytysvelvollisuuden perusteella säilytettävien tietojen tekniset yksityiskohdat määritellään Viestintäviraston määräyksessä.

Säilytysvelvollisen palveluyrityksen tulee ennen säilytysvelvollisuuden toteuttamista neuvotella tietojen säilyttämisen toteutuksesta sisäasiainministeriön kanssa viranomaisten tarpeiden mukaisen tietojen säilyttämisen varmistamiseksi. Mikäli neuvottelu ei pääty yhteisymmärrykseen tietojen säilyttämisen toteutuksesta, palveluyritys päättää säilyttämisen teknisestä toteuttamisesta. Toteutuksen on oltava kustannustehokasta ja siinä on otettava huomioon palveluyrityksen liiketoiminnan tarpeet, järjestelmien tekniset ominaispiirteet ja säilyttämisestä aiheutuvat kustannukset maksavan viranomaisen tarpeet. Toiminnassa on vältettävä sitä, että samoja tietoja säilyttää useampi palveluyritys. Säilytettävät tiedot tulee voida toimittaa tietojen saamiseen oikeutetulle viranomaiselle ilman tarpeetonta viivästystä. Säilytysvelvollisen palveluyrityksen tulee huolehtia velvollisuuden toteuttamisesta tarvittaessa yhteistyössä verkkoyrityksen kanssa siten, että myös ne 14 a §:ssä tarkoitetut saatavilla olevat tiedot säilytetään, joita verkkoyritys käsittelee palveluyrityksen palvelun toteuttamiseksi. Säilytysvelvollisen palveluyrityksen on huolehdittava, että tilaajan saatavilla on tietoa tietojen säilyttämisestä ja sen tarkoituksesta.

Säilytysvelvollisuuden toteuttamisesta ja siihen varautumisesta aiheutuvien kustannusten korvaamiseen sovelletaan viestintämarkkinalain 98 §:ää. Määräyksestä säilyttää data yksittäisen tutkittavana olevan rikoksen selvittämiseksi säädetään pakkokeinolain 8 luvun 24–26 §:ssä. (22.7.2011/855)

Tietojen säilyttämisvelvollisuuden toteuttamisesta voidaan säätää tarkemmin valtioneuvoston asetuksella.

Viestintävirasto voi antaa tarkempia määräyksiä säilytysvelvollisuuden teknisestä toteutuksesta.

Sisäasiainministeriön on toimitettava Euroopan yhteisöjen komissiolle vuosittain tilastot tämän lain perusteella säilytettävien tietojen hyödyntämisestä. Tilastojen tulee sisältää:

Sisäasiainministeriön tulee ottaa erityisesti huomioon edellä 1 momentissa tarkoitetut tilastot poliisilain (872/2011) , pakkokeinolain tai muun lain perusteella eduskunnan oikeusasiamiehelle televalvonnan ja telekuuntelun käytöstä antamissaan kertomuksissa. (22.7.2011/855)

Teleyrityksen on tallennettava tunnistamistietojen käsittelystä yksityiskohtaiset tapahtumatiedot. Tapahtumatiedoista on käytävä ilmi käsittelyn ajankohta, kesto ja käsittelijä. Tapahtumatiedot on säilytettävä kaksi vuotta niiden tallentamisesta.

Viestintävirasto voi antaa tarkempia määräyksiä 1 momentissa tarkoitetun tallentamisen ja säilyttämisen teknisestä toteuttamisesta.

Teleyritys, lisäarvopalvelun tarjoaja ja yhteisötilaaja sekä näiden lukuun toimivat henkilöt saavat käsitellä paikkatietoja tässä luvussa säädetyin edellytyksin lisäarvopalvelun tarjoamiseksi ja hyödyntämiseksi. Tämän luvun säännöksiä ei kuitenkaan sovelleta paikkatietoihin, jos ne on tehty sellaisiksi, ettei niitä sellaisenaan tai muihin tietoihin liitettyinä voida yhdistää tilaajaan tai käyttäjään, ellei laissa toisin säädetä.

Paikkatietojen käsittely on rajoitettava teleyrityksen, lisäarvopalvelun tarjoajan ja yhteisötilaajan palveluksessa sekä näiden lukuun toimiviin henkilöihin, joiden tehtävänä on käsitellä paikkatietoja tässä luvussa tarkoitettujen toimien toteuttamiseksi.

Käsittely on sallittua ainoastaan käsittelyn tarkoituksen vaatimassa laajuudessa ja sillä ei saa rajoittaa yksityisyyden suojaa enemmän kuin on välttämätöntä. Käsittelyn jälkeen paikkatiedot on hävitettävä tai tehtävä sellaisiksi, ettei niitä voi yhdistää tilaajaan tai käyttäjään, ellei laissa toisin säädetä.

Tässä luvussa tarkoitetusta paikkatietojen käsittelyn kieltämisestä ja palvelukohtaisesta suostumuksesta päättää alle 15-vuotiaan puolesta hänen huoltajansa lapsen huollosta ja tapaamisoikeudesta annetun lain (361/1983) 4 §:n mukaisesti tai muun kuin alaikäisen vajaavaltaisen puolesta hänen edunvalvojansa siten kuin holhoustoimesta annetussa laissa (442/1999) säädetään, jollei tämä ole palvelun teknisen toteutuksen takia mahdotonta.

Teleyritys saa käsitellä paikkatietoja, jollei tilaaja ole sitä kieltänyt.

Teleyrityksen on huolehdittava, että tilaajalla on mahdollisuus helposti ja ilman erillistä maksua kieltää paikkatietojen käsittely, jollei laissa toisin säädetä.

Teleyrityksen on huolehdittava, että tilaajan saatavilla on helposti ja jatkuvasti tietoa käsiteltävien paikkatietojen tarkkuudesta ja käsittelyn tarkoituksesta sekä siitä, voidaanko paikkatiedot luovuttaa kolmannelle osapuolelle lisäarvopalvelun tarjoamista varten.

Ennen paikkatietojen luovuttamista lisäarvopalvelun tarjoajalle tai yhteisötilaajalle teleyrityksen on varmistuttava tarkoituksenmukaisella tavalla, että lisäarvopalvelun tarjoaminen perustuu 18 §:n 1 momentissa tarkoitettuun suostumukseen.

Lisäarvopalvelun tarjoajan tai yhteisötilaajan on pyydettävä paikannettavalta palvelukohtainen suostumus ennen paikkatietojen käsittelyn aloittamista, jollei suostumus yksiselitteisesti ilmene asiayhteydestä tai jollei laissa toisin säädetä.

Paikannettavalla on oltava mahdollisuus helposti ja ilman erillistä maksua peruuttaa 1 momentissa tarkoitettu suostumus, jollei laissa toisin säädetä.

Lisäarvopalvelun tarjoajan tai yhteisötilaajan on huolehdittava, että paikannettavan saatavilla on helposti ja jatkuvasti tietoa käsiteltävien paikkatietojen tarkkuudesta, käsittelyn täsmällisestä tarkoituksesta ja kestosta sekä siitä, voidaanko paikkatiedot luovuttaa kolmannelle osapuolelle lisäarvopalvelun tarjoamista varten. Lisäarvopalvelun tarjoajan tai yhteisötilaajan on erityisesti huolehdittava siitä, että nämä tiedot ovat paikannettavan saatavilla ennen 1 momentissa tarkoitettua suostumusta.

Teleyrityksen ja lisäarvopalvelun tarjoajan on huolehdittava palvelujensa tietoturvasta. Yhteisötilaajan on huolehdittava käyttäjiensä tunnistamistietojen ja paikkatietojen käsittelyn tietoturvasta. Palvelun ja käsittelyn tietoturvasta huolehtiminen tarkoittaa toimia toiminnan turvallisuuden, tietoliikenneturvallisuuden, laitteisto- ja ohjelmistoturvallisuuden sekä tietoaineistoturvallisuuden varmistamiseksi. Nämä toimet on suhteutettava uhkien vakavuuteen, tekniseen kehitystasoon ja kustannuksiin.

Edellä 1 momentissa säädetty velvollisuus huolehtia palvelujen tietoturvasta koskee myös 14 a §:ssä tarkoitettua säilytysvelvollisuuden toteuttamiseksi tarvittavaa tietojen käsittelyä. Palveluyrityksen tulee lisäksi määritellä henkilöt, joilla on oikeus käsitellä säilytettäviä tietoja. (23.5.2008/343)

Teleyritys ja lisäarvopalvelun tarjoaja vastaavat tilaajille ja käyttäjille 1 ja 2 momentissa tarkoitetusta tietoturvasta myös sellaisen kolmannen osapuolen osalta, joka kokonaan tai osittain toteuttaa verkkopalvelun, viestintäpalvelun, tietojen säilyttämisen tai lisäarvopalvelun. Edellä tässä momentissa tarkoitettu vastuu koskee yhteisötilaajaa käyttäjien tunnistamistietojen ja paikkatietojen kolmannen osapuolen toteuttaman käsittelyn osalta. (23.5.2008/343)

Viestintävirasto voi antaa teleyritykselle tarkempia määräyksiä 1–3 momentissa tarkoitetusta palvelun tai tietojen säilyttämisen tietoturvasta. (23.5.2008/343)

Teleyrityksellä, lisäarvopalvelun tarjoajalla ja yhteisötilaajalla sekä niiden lukuun toimivalla on oikeus ryhtyä 2 momentissa tarkoitettuihin välttämättömiin toimiin tietoturvasta huolehtimiseksi:

Edellä 1 momentissa tarkoitetut toimet voivat käsittää:

Jos viestin tyypin, muodon tai muun vastaavan seikan perusteella on ilmeistä, että viesti sisältää haitallisen tietokoneohjelman tai käskyn eikä viestin automaattisella sisällöllisellä analyysillä pystytä turvaamaan 1 momentissa tarkoitettujen tavoitteiden toteutumista, yksittäisen viestin sisältöä saa käsitellä manuaalisesti. Manuaalisesta viestin sisällön käsittelystä on ilmoitettava viestin lähettäjälle ja vastaanottajalle, jollei ilmoittamisella todennäköisesti vaaranneta 1 momentissa tarkoitettujen tavoitteiden toteutumista.

Tässä pykälässä tarkoitetut toimenpiteet on toteutettava huolellisesti ja ne on mitoitettava torjuttavan häiriön vakavuuteen. Toimenpiteitä toteutettaessa ei saa rajoittaa sananvapautta taikka luottamuksellisen viestin tai yksityisyyden suojaa enempää kuin on välttämätöntä 1 momentissa tarkoitettujen tavoitteiden turvaamiseksi. Toimenpiteet on lopetettava, jos niiden toteuttamiselle ei enää ole tässä pykälässä säädettyjä edellytyksiä.

Viestintävirasto voi antaa teleyrityksille ja lisäarvopalvelun tarjoajille tarkempia määräyksiä tässä pykälässä tarkoitettujen toimenpiteiden teknisestä toteuttamisesta.

Teleyrityksen on ilmoitettava ilman aiheetonta viivästystä Viestintävirastolle verkkopalvelun ja viestintäpalvelun merkittävistä tietoturvaloukkauksista ja sellaisista niihin kohdistuvista tietoturvauhkista, joista teleyritys on tietoinen. Samalla on ilmoitettava tietoturvaloukkauksen seuraukset ja ne toimenpiteet, joilla tällaisten tietoturvaloukkausten ja niiden uhkien toistuminen pyritään estämään.

Jos Viestintäviraston näkemyksen mukaan 1 momentissa tarkoitettu tietoturvaloukkauksesta ilmoittaminen on yleisen edun mukaista, voi Viestintävirasto määrätä teleyrityksen tiedottamaan asiasta.

Viestintävirasto voi antaa tarkempia määräyksiä 1 momentissa tarkoitetun ilmoituksen sisällöstä, muodosta ja Viestintävirastolle toimittamisesta.

Jos 19 §:ssä tarkoitettuun palveluun kohdistuu erityinen tietoturvaloukkaus tai -uhka, teleyrityksen ja lisäarvopalvelun tarjoajan on ilmoitettava siitä viipymättä tilaajalle ja käyttäjälle sekä kerrottava samalla näiden käytettävissä olevista toimenpiteistä, niiden todennäköisistä kustannuksista sekä mistä tilaaja tai käyttäjä saa lisätietoja.

Teleyrityksen ja lisäarvopalvelun tarjoajan on säilytettävä tiedot ilmoituksista.

Teleyrityksen on torjuttuaan palveluunsa kohdistuneen merkittävän tietoturvaloukkauksen tai -uhkan tiedotettava tarkoituksenmukaisella tavalla toteuttamistaan toimista ja niiden mahdollisista vaikutuksista palvelun käyttöön.

Viestintävirasto voi antaa tarkempia määräyksiä 1 momentissa tarkoitettujen ilmoitusten ja 3 momentissa tarkoitetun tiedottamisen sisällöstä ja muodosta sekä 2 momentissa tarkoitettujen ilmoitusten säilyttämisestä. Lisäksi Viestintävirasto voi antaa määräyksiä siitä, miten sille ilmoitetaan 1 ja 2 momentissa tarkoitetuista ilmoituksista sekä 3 momentissa tarkoitetusta tiedottamisesta.

Viestintävirastolla on oikeus tehdä teleyrityksessä turvallisuustarkastus tässä luvussa asetettujen velvoitteiden valvomiseksi.

Viestintävirastolla on oikeus teettää turvallisuustarkastus riippumattomalla asiantuntijalla. Asiantuntijaan sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen hoitaessaan tämän pykälän mukaisia tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974) .

Viestintävirastolla ja sen lukuun toimivalla on turvallisuustarkastuksen yhteydessä oikeus päästä teleyrityksen laitetiloihin ja muihin tiloihin sekä saada tutkittavakseen valvontatehtävän kannalta tarpeelliset tiedot.

Turvallisuustarkastusta ei saa suorittaa kotirauhan piiriin kuuluvissa pysyväisluonteisesti asumiseen käytetyissä tiloissa.

Turvallisuustarkastuksen kustannukset katetaan 10 luvun mukaisella tietoturvamaksulla.

Liittymän tunnistusta tarjoavan teleyrityksen on annettava tilaajalle helppokäyttöinen mahdollisuus estää:

Edellä 1 momentin 1, 2 ja 4 kohdassa tarkoitettujen palvelujen on oltava tilaajalle maksuttomia.

Liittymän tunnistusta tarjoavan teleyrityksen on annettava käyttäjälle helppokäyttöinen ja maksuton mahdollisuus estää jokaisen lähtevän puhelun osalta erikseen liittymänsä tunnistus.

Teleyrityksen on tiedotettava tilaajalle ja käyttäjälle tässä pykälässä tarkoitetuista palveluista.

Teleyrityksen on huolehdittava siitä, että 1 ja 3 momentissa tarkoitetut estot voidaan ohittaa luovutettaessa tietoja hätäilmoituksia vastaanottaville viranomaisille 35 §:n mukaisesti tai toteutettaessa 36 §:ssä säädettyä poliisin tiedonsaantioikeutta.

Viestintävirasto voi antaa teknisiä määräyksiä 1, 3 ja 5 momentissa tarkoitetun tunnistuksen eston ohittamisesta.

Teleyrityksen on käyttäjän pyynnöstä maksutta poistettava kolmannen osapuolen tekemä automaattinen soitonsiirto käyttäjän liittymään.

Teleyritys ei saa luovuttaa laskun yhteyskohtaista erittelyä, ellei tässä pykälässä toisin säädetä.

Sen lisäksi, mitä viestintämarkkinalain 80 §:ssä laskun erittelystä säädetään, teleyrityksen on tilaajan sitä pyytäessä annettava maksutta laskun yhteyskohtainen erittely. Erittely on annettava tilaajalle siten, että puhelinnumeron kolme viimeistä numeroa on peitetty tai muutoin siten, ettei erittelystä voida tunnistaa viestinnän toista osapuolta.

Teleyrityksen on annettava käyttäjän sitä pyytäessä laskun yhteyskohtainen erittely, jossa on eritelty viestinnän osapuolten liittymien numerot tai viestintäpalvelun muut tunnistamistiedot täydellisesti. Käyttäjän puhevaltaa käyttää alle 15-vuotiaan puolesta hänen huoltajansa lapsen huollosta ja tapaamisoikeudesta annetun lain 4 §:n mukaisesti tai muun kuin alaikäisen vajaavaltaisen puolesta hänen edunvalvojansa siten kuin holhoustoimesta annetussa laissa säädetään.

Sen estämättä, mitä 2 momentissa säädetään, teleyrityksen on eriteltävä:

Liittymän yhteyskohtainen erittely ei saa sisältää maksuttomien palvelujen tunnistamistietoja.

Viestintävirasto voi antaa tarkempia määräyksiä tässä pykälässä tarkoitetun erittelyn sisällöstä ja toteuttamistavasta.

Puhelinluettelon, muun tilaajaluettelon ja numerotiedotuksen tarjoajalla on oikeus käsitellä henkilötietoja luettelopalvelun ja numerotiedotuksen muodostamiseksi sekä niiden tarjoamista varten.

Tilaajan oikeudesta saada nimeään, osoitettaan ja puhelinnumeroaan koskevat yhteystietonsa puhelinluetteloon säädetään viestintämarkkinalain 57 §:ssä. Teleyrityksen tai lisäarvopalvelun tarjoajan velvollisuudesta luovuttaa yhteystietoja toisille palvelujen tarjoajille puhelinluettelon laatimista tai numerotiedotuspalvelun tarjoamista varten säädetään viestintämarkkinalain 58 §:ssä.

Teleyrityksen on ilmoitettava tilaajana olevalle luonnolliselle henkilölle yleisesti saatavilla olevan tai luettelopalvelun kautta käytettävissä olevan puhelinluettelon tai muun tilaajaluettelon taikka numerotiedotuspalvelun tarkoituksesta ja käytöstä. Ilmoitus on annettava maksutta ennen kuin hänen tietonsa merkitään tilaajaluetteloon tai numerotiedotuspalveluun.

Teleyrityksen on annettava tilaajana olevalle luonnolliselle henkilölle mahdollisuus maksutta kieltää tietojensa merkitseminen kokonaan tai osittain puhelinluetteloon, muuhun tilaajaluetteloon ja numerotiedotuspalveluun. Teleyrityksen sekä tilaajaluettelopalvelua ja numerotiedotuspalvelua tarjoavan yrityksen, joka on saanut yhteystiedot viestintämarkkinalain 58 §:n nojalla, on tilaajana olevan luonnollisen henkilön pyynnöstä maksutta poistettava ja korjattava virheelliset tiedot. Tarkastusoikeuden toteuttamisesta säädetään henkilötietolain 26 §:ssä.

Tilaajana olevalla luonnollisella henkilöllä on oikeus maksutta kieltää tässä pykälässä tarkoitettujen yhteystietojensa edelleen luovuttaminen.

Teleyrityksen on annettava puhelinluetteloon, muuhun tilaajaluetteloon ja numerotiedotuspalveluun merkitylle yritykselle ja muulle yhteisölle oikeus saada tietonsa tarkistetuiksi ja poistetuiksi sekä virheelliset tiedot korjatuiksi.

Automatisoitujen soittojärjestelmien sekä telekopiolaitteiden, sähköpostiviestien, tekstiviestien, puheviestien, ääniviestien tai kuvaviestien avulla toteutettua suoramarkkinointia saa kohdistaa vain sellaisiin luonnollisiin henkilöihin, jotka ovat antaneet siihen ennalta suostumuksensa.

Muuta kuin 1 momentissa tarkoitettua suoramarkkinointia luonnolliselle henkilölle saa harjoittaa, jollei tämä ole sitä nimenomaisesti kieltänyt. Luonnollisen henkilön on voitava helposti ja maksutta kieltää tässä momentissa tarkoitettu suoramarkkinointi.

Jos palvelun tarjoaja tai tuotteen myyjä saa asiakkaana olevalta luonnolliselta henkilöltä sähköpostiviestiin, tekstiviestiin, puheviestiin, ääniviestiin tai kuvaviestiin liittyvän yhteystiedon tuotteen tai palvelun myynnin yhteydessä, sama palvelun tarjoaja tai tuotteen myyjä voi sen estämättä, mitä 1 momentissa säädetään, käyttää tätä yhteystietoa omien samaan tuoteryhmään kuuluvien tai muuten vastaavien tuotteiden ja palvelujen suoramarkkinoinnissa. Palvelun tarjoajan tai tuotteen myyjän on annettava asiakkaana olevalle luonnolliselle henkilölle mahdollisuus ilman erillistä maksua ja helposti kieltää yhteystiedon käyttö tiedon keräämisen ja jokaisen sähköpostiviestin, tekstiviestin, puheviestin, ääniviestin ja kuvaviestin yhteydessä. Palvelun tarjoajan tai tuotteen myyjän on selkeästi tiedotettava kieltomahdollisuudesta.

Suoramarkkinointia yhteisölle saa harjoittaa, jollei tämä ole sitä nimenomaisesti kieltänyt.

Yhteisölle on annettava mahdollisuus helposti ja ilman erillistä maksua kieltää yhteystietojensa käyttö jokaisen suoramarkkinointitarkoituksessa lähetetyn sähköpostiviestin, tekstiviestin, puheviestin, ääniviestin ja kuvaviestin yhteydessä. Suoramarkkinointia harjoittavan on selkeästi tiedotettava kieltomahdollisuudesta.

Edellä 26 ja 27 §:ssä säädettyyn suoramarkkinointiin tarkoitettu sähköpostiviesti, tekstiviesti, puheviesti, ääniviesti ja kuvaviesti on voitava sitä vastaanotettaessa selvästi ja yksiselitteisesti tunnistaa markkinoinniksi.

Sellaisen suoramarkkinointiin tarkoitetun sähköpostiviestin, tekstiviestin, puheviestin, ääniviestin ja kuvaviestin lähettäminen on kiellettyä:

(8.4.2011/365)

Käyttäjän pyynnöstä teleyrityksellä ja yhteisötilaajalla on oikeus estää 26–28 §:ssä tarkoitetun suoramarkkinoinnin vastaanottaminen. Toimenpiteet on toteutettava huolellisesti, eikä niillä saa rajoittaa sananvapautta taikka luottamuksellisen viestin tai yksityisyyden suojaa enemmän kuin on välttämätöntä.

Yleinen ohjaus ja kehittäminen tämän lain tarkoituksen toteutumiseksi kuuluu liikenne- ja viestintäministeriölle.

Viestintäviraston tehtävänä on:

(8.4.2011/365)

Viestintäviraston on tämän lain perusteella annettavia määräyksiä valmistellessaan kuultava liikenne- ja viestintäministeriötä ja toimittava yhteistyössä sen kanssa. (23.5.2008/343)

Tietosuojavaltuutetun tehtävänä on valvoa:

Edellä 1 momentin 1 kohdassa tarkoitetuista valvontatehtävistä voidaan periä maksu yhteisötilaajalta. Maksullisista toimenpiteistä ja maksun suuruudesta päätetään oikeusministeriön asetuksella valtion maksuperustelaissa (150/1992) säädettyjen perusteiden mukaisesti.

Liikenne- ja viestintäministeriöllä, Viestintävirastolla ja tietosuojavaltuutetulla on oikeus saada tässä laissa säädettyjen tehtäviensä hoitamiseksi välttämättömät tiedot salassapitosäännösten tai muiden tietojen luovuttamista koskevien rajoitusten estämättä teleyritykseltä, lisäarvopalvelun tarjoajalta, yhteisötilaajalta, teleurakoitsijalta, palvelun tarjoajalta, joka käsittelee palvelun käyttöä kuvaavia tietoja, suoramarkkinoinnin harjoittajalta, tilaajaluettelopalvelun ja numerotiedotuspalvelun tarjoajalta sekä näiden lukuun toimivilta niiden harjoittamasta tässä laissa tarkoitetusta toiminnasta. Liikenne- ja viestintäministeriön, Viestintäviraston ja tietosuojavaltuutetun tiedonsaantioikeus ei koske tietoja luottamuksellisista viesteistä, tunnistamistiedoista tai paikkatiedoista.

Sen estämättä, mitä 5 §:ssä säädetään, Viestintävirastolla on oikeus saada tarpeelliset tunnistamistiedot ja paikkatiedot verkkopalvelun, viestintäpalvelun ja lisäarvopalvelun vikatilanteiden tai häiriötilanteiden taikka laskutukseen liittyvien epäselvyyksien selvittämiseksi.

Viestintävirastolla ja tietosuojavaltuutetulla on oikeus saada tässä laissa säädettyjen tehtävien hoitamiseksi tunnistamistiedot, paikkatiedot ja viestit, jos ne ovat tarpeen käsittelyä, 7 §:ssä tarkoitettujen tietojen käyttöä tai suoramarkkinointia koskevien säännösten valvomiseksi taikka merkittävien tietoturvaloukkausten tai -uhkien selvittämiseksi. Edellytyksenä on lisäksi, että Viestintäviraston tai tietosuojavaltuutetun arvion mukaan on syytä epäillä jonkin seuraavista tunnusmerkistöistä täyttyvän: (13.3.2009/125)

Liikenne- ja viestintäministeriöllä, Viestintävirastolla ja tietosuojavaltuutetulla on oikeus käsitellä saamiaan tietoja ainoastaan tässä laissa säädettyjen tehtäviensä hoitamiseksi.

Viestintäviraston ja tietosuojavaltuutetun on hävitettävä 3 momentin nojalla saamansa tiedot luottamuksellisista viesteistä, tunnistamistiedoista ja paikkatiedoista, kun ne eivät enää ole tarpeen 3 momentissa säädettyjen tehtävien tai niitä koskevan rikosasian käsittelemiseksi. Tiedot luottamuksellisista viesteistä, tunnistamistiedoista ja paikkatiedoista on hävitettävä viimeistään kahden vuoden tai, jos on kysymys tietoturvaloukkausten selvittämistä koskevista tiedoista, viimeistään kymmenen vuoden kuluttua sen kalenterivuoden päättymisestä, jonka aikana tiedot saatiin tai päätös taikka tuomio tässä momentissa tarkoitetuissa asioissa sai lainvoiman.

Tässä pykälässä säädetty tiedonsaantioikeus ei koske luottolaitostoiminnasta annetun lain (610/2014) 15 luvun 14 §:ssä tai oikeudenkäymiskaaren 17 luvun 24 §:n 2 ja 3 momentissa tarkoitettuja tietoja. (8.8.2014/636)

Viestintäviraston ja tietosuojavaltuutetun 33 §:n 3 momentin nojalla saamat tiedot luottamuksellisista viesteistä, tunnistamistiedoista ja paikkatiedoista sekä tietosuojavaltuutetun 13 i §:n nojalla saamat tiedot on pidettävä salassa.

Muilta osin valvontaviranomaisten tietojen salassapidosta säädetään viranomaisten toiminnan julkisuudesta annetussa laissa.

Viestintävirastolla ja tietosuojavaltuutetulla on muun kuin 34 §:n 1 momentissa säädetyn salassapitovelvollisuuden tai muun tietojen luovuttamista koskevan rajoituksen estämättä oikeus luovuttaa tässä laissa säädettyjä tehtäviä suorittaessaan saamiaan 33 §:n 1 momentissa tarkoitettuja tietoja liikenne- ja viestintäministeriölle.

Viestintävirastolla on 34 §:n 1 momentissa säädetyn salassapitovelvollisuuden tai muun tietojen luovuttamista koskevan rajoituksen estämättä oikeus luovuttaa tietoturvaloukkauksia koskevan tiedonkeruun ja selvittämisen yhteydessä saamiaan tunnistamistietoja niille teleyrityksille, lisäarvopalvelun tarjoajille ja yhteisötilaajille, joita on käytetty hyväksi tietoturvaloukkauksessa, jotka ovat joutuneet tietoturvaloukkauksen kohteiksi tai joihin todennäköisesti voi kohdistua tietoturvaloukkaus, jos Viestintäviraston arvion mukaan on syytä epäillä, että jokin 33 §:n 3 momentin 1–10 kohdassa mainittu tunnusmerkistö toteutuu.

Viestintävirastolla on 34 §:n 1 momentissa säädetyn salassapitovelvollisuuden estämättä oikeus luovuttaa tietoturvaloukkauksia koskevan tiedonkeruun ja selvittämisen yhteydessä saamiaan tunnistamistietoja muussa valtiossa toimivalle viranomaiselle tai muulle taholle, jonka tehtävänä on ennalta ehkäistä tai selvittää viestintäverkkoihin ja -palveluihin kohdistuvia tietoturvaloukkauksia.

Viestintävirastolla on oikeus luovuttaa 2 ja 3 momentissa tarkoitettuja tunnistamistietoja ainoastaan siinä laajuudessa kuin se on tarpeen tietoturvaloukkausten ehkäisemiseksi ja selvittämiseksi. Tietojen luovuttamisella ei saa rajoittaa luottamuksellisen viestin ja yksityisyyden suojaa enempää kuin on välttämätöntä.

Teleyritys on velvollinen luovuttamaan hätäkeskukselle, meripelastuskeskukselle, meripelastuslohkokeskukselle ja poliisille käsiteltäväksi:

(23.5.2008/343)

Edellä 1 momentissa tarkoitetut tiedot on luovutettava 5 §:ssä tarkoitetun vaitiolovelvollisuuden ja 4 luvussa tarkoitettujen paikkatietojen käsittelyä koskevien edellytysten estämättä ja riippumatta siitä, mitä tilaaja tai käyttäjä on sopinut teleyrityksen kanssa tietojen pitämisestä salassa.

Lisäarvopalvelun tarjoajalla on oikeus luovuttaa 1 momentissa tarkoitetut tiedot hätäkeskukselle, meripelastuskeskukselle, meripelastuslohkokeskukselle ja poliisille. (23.5.2008/343)

Teleyrityksen on viipymättä ilmoitettava hätäkeskukselle, meripelastuskeskukselle, meripelastuslohkokeskukselle ja poliisille hätäpuheluiden välittämisen kannalta merkittävistä viestintäverkon, verkkopalvelun ja viestintäpalvelun vikatilanteista ja häiriötilanteista. (23.5.2008/343)

Edellä 1 momentissa säädettyjen velvollisuuksien toteuttamisesta aiheutuvien kustannusten korvaamisesta säädetään viestintämarkkinalain 98 §:ssä.

Teleyritys on velvollinen välittämään kohdennetun viranomaistiedotteen, jos tiedote tulee välitettäväksi hätäkeskukselta, meripelastuskeskukselta tai meripelastuslohkokeskukselta.

Kohdennetun hätätiedotteen välittämisestä päättää pelastus-, poliisi- tai rajavartioviranomainen taikka Säteilyturvakeskus tai Ilmatieteen laitos toimialallaan. Muun kohdennetun viranomaistiedotteen välittämisestä päättää toimivaltainen ministeriö. Kohdennettu viranomaistiedote tulee välittää viranomaisen päättämillä kielillä ja määräämillä alueilla tiedotteen välittämishetkellä sijaitseviin päätelaitteisiin tai liittymiin. Teleyritys ei saa muuttaa kohdennetun viranomaistiedotteen sisältöä.

Kohdennettu hätätiedote on välitettävä viivytyksettä. Muu kohdennettu viranomaistiedote on välitettävä heti, kun se on mahdollista tavanomaista verkko- ja viestintäpalvelua kohtuuttomasti haittaamatta.

Edellä 1–3 momentissa säädettyjen velvollisuuksien toteuttamisesta ja niihin varautumisesta aiheutuvien kustannusten korvaamisesta säädetään viestintämarkkinalain 98 §:ssä.

Viestintävirasto voi antaa tarkempia määräyksiä 1–3 momentissa tarkoitettujen kohdennettujen viranomaistiedotteiden välittämisestä, vasteajoista ja välittämiseen varautumisesta.

Joukkoviestintäverkossa välitettävästä hätätiedotteesta ja muusta viranomaistiedotteesta säädetään viestintämarkkinalain 93 §:n, Yleisradio Oy:stä annetun lain (1380/1993) 7 §:n sekä televisio- ja radiotoiminnasta annetun lain (744/1998) 15 a §:n nojalla.

Viranomaisten oikeudesta saada tunnistamistietoja rikosten ennalta estämiseksi, paljastamiseksi tai selvittämiseksi säädetään poliisilaissa, rajavartiolaissa (578/2005) , henkilötietojen käsittelystä rajavartiolaitoksessa annetussa laissa (579/2005) , tullilaissa (1466/1994) ja pakkokeinolaissa. (23.5.2008/343)

Tämän lain 14 a §:n perusteella säilytettäviä tietoja voivat saada palveluyrityksiltä ainoastaan viranomaiset, joilla on lain perusteella oikeus saada tiedot palveluyritykseltä. (23.5.2008/343)

3 momentti on kumottu L:lla 22.7.2011/855 .

Edellä tässä pykälässä säädettyjen velvollisuuksien toteuttamisesta aiheutuvien kustannusten korvaamisesta säädetään viestintämarkkinalain 98 §:ssä.

Käyttäjällä on oikeus saada teleyritykseltä tämän hallussa olevat tunnistamistiedot, jotka ilmaisevat liittymän tai päätelaitteen sijainnin tietyllä hetkellä.

Edellä 1 momentissa tarkoitetun käyttäjän puhevaltaa käyttää alle 15-vuotiaan puolesta hänen huoltajansa lapsen huollosta ja tapaamisoikeudesta annetun lain 4 §:n mukaisesti tai muun kuin alaikäisen vajaavaltaisen puolesta hänen edunvalvojansa siten kuin holhoustoimesta annetussa laissa säädetään.

Ilmoituksenvaraista tai toimiluvanvaraista toimintaa harjoittava teleyritys on velvollinen suorittamaan Viestintävirastolle vuotuisen tietoturvamaksun. Teleyrityksiltä perittävät tietoturvamaksut vastaavat niitä kokonaiskustannuksia, jotka aiheutuvat Viestintävirastolle tässä laissa säädettyjen teleyrityksiä koskevien tehtävien hoitamisesta.

Tietoturvamaksua ei peritä televisio- ja radiotoiminnasta annetussa laissa (744/1998) tarkoitetun televisio- tai radiotoiminnan taikka televisio-ohjelmien tai radio-ohjelmien edelleen lähettämisen liikevaihdosta.

Tietoturvamaksua ei palauteta, vaikka teleyritys lopettaisi toimintansa kesken maksukauden.

Tietoturvamaksu määritellään maksuyksiköiden lukumääränä maksuluokittain. Maksuyksikön suuruus on 60 euroa. Teleyritykset jaetaan maksuluokkiin niiden kustannusten huomioon ottamiseksi, jotka Viestintävirastolle keskimäärin aiheutuvat kunkin maksuluokan teleyritystä koskevien tehtävien hoitamisesta. Teleyrityksen maksuluokka määräytyy teleyrityksen Suomessa harjoittaman teletoiminnan maksun määräämistä edeltävän kauden liikevaihdon perusteella.

Tietoturvamaksu määräytyy seuraavasti:

Maksuluokkien rajalla maksu määräytyy ylemmän luokan mukaisesti.

Jos teleyritys, jolla on teletoiminnan liikevaihtoa, kuuluu kirjanpitolain (1336/1997) 1 luvun 6 §:n mukaiseen konserniin, teleyrityksen maksun perusteena on sen osuus samaan konserniin kuuluvien maksuvelvollisten teleyritysten Suomessa harjoittaman teletoiminnan yhteisestä liikevaihdosta vähennettynä yhtiöiden keskinäisellä tästä toiminnasta syntyneellä liikevaihdolla. Maksu määräytyy tässä momentissa säädetyllä tavalla myös niissä tapauksissa, joissa emoyhtiö ei ole suomalainen.

Jos teleyrityksen konsernisuhteissa on edellisen tilikauden päättymisen ja maksupäätöksen antamisajankohdan välisenä aikana tapahtunut muutoksia, maksuluokka määräytyy sen perusteella, mikä yrityksen osuus on ollut edellisen päättyneen tilikauden teletoiminnan liikevaihdosta.

Jos teletoiminta on edellisen vuoden tilikauden päättymisen ja maksupäätöksen antamisajankohdan välisenä aikana luovutettu toiselle yritykselle, maksuvelvollisuus kohdistuu siihen yritykseen, joka harjoittaa yleistä teletoimintaa maksupäätöksen antamisajankohtana. Sen maksuluokkaa määrättäessä otetaan huomioon luovutetun teletoiminnan edelliseltä päättyneeltä tilikaudelta vahvistettu liikevaihto.

Jos teleyrityksen tilikausi ei ole 12 kuukautta, sen liikevaihto muunnetaan 12 kuukauden liikevaihtoa vastaavaksi kertomalla se luvulla 12 ja jakamalla se tilikauden kuukausien lukumäärällä.

Tietoturvamaksu peritään vuosittain yhdessä erässä. Tietoturvamaksun määrää maksettavaksi Viestintävirasto. Viestintäviraston maksun määräämistä koskevaan päätökseen saa hakea muutosta siten kuin 43 §:ssä säädetään.

Tietoturvamaksu saadaan periä ilman tuomiota tai päätöstä siinä järjestyksessä kuin verojen ja maksujen perimisestä ulosottotoimin annetussa laissa (367/1961) säädetään. Jollei maksua suoriteta viimeistään eräpäivänä, maksamattomalle määrälle peritään vuotuista viivästyskorkoa korkolain (633/1982) 4 §:ssä tarkoitetun korkokannan mukaan. Viivästyskoron sijasta viranomainen voi periä viiden euron suuruisen viivästysmaksun, jos viivästyskoron määrä jää tätä pienemmäksi.

Viestintävirastolla on oikeus saada teleyrityksiltä maksun määräämistä varten tiedot teletoiminnan maksun määräämistä edeltävän kauden liikevaihdosta. Konserniin kuuluvien yritysten tulee lisäksi toimittaa selvitys siitä, mitkä konsernin yritysten keskinäisestä teletoiminnasta syntyneet erät on 39 a §:n 1 momentin mukaisesti vähennetty teletoiminnan liikevaihdosta. Teleyrityksen tulee toimittaa tiedot Viestintävirastolle yhden kuukauden kuluessa tilinpäätöksen vahvistamisesta. Liitteenä tulee toimittaa jäljennös vahvistetusta tilinpäätöksestä ja konsernitilinpäätöksestä.

Viestintävirasto voi arvioida maksun perusteena olevan liikevaihdon, jos siitä ei puuttuvan tilinpäätöksen tai muun siihen verrattavan erittäin painavan syyn vuoksi voida saada riittävän luotettavaa selvitystä. Arvioinnissa on otettava huomioon:

Viestintäviraston on ennen 2 momentissa tarkoitettuun toimenpiteeseen ryhtymistä kehotettava teleyritystä liikevaihdon arvioinnin uhalla antamaan tietoturvamaksun määräämistä varten tarvittavat tiedot Viestintäviraston asettamassa kohtuullisessa määräajassa.

Jos joku rikkoo tätä lakia tai sen nojalla annettuja säännöksiä tai määräyksiä eikä kehotuksesta huolimatta kohtuullisessa määräajassa oikaise menettelyään, Viestintävirasto voi 31 §:n 1 kohdassa ja tietosuojavaltuutettu 32 §:ssä tarkoitettuja tehtäviä hoitaessaan velvoittaa rikkojan korjaamaan virheensä tai laiminlyöntinsä. Viestintävirasto ja tietosuojavaltuutettu voi asettaa velvoitteen noudattamisen tehosteeksi uhkasakon tai uhan, että tekemättä jätetty toimenpide teetetään asianomaisen kustannuksella. Jos rikkomus on vakava, asetettava uhka voi koskea myös sitä, että toiminta keskeytetään osaksi tai kokonaan.

Viestintävirasto ja tietosuojavaltuutettu voi saattaa käsiteltävänään olevan asian esitutkinnan kohteeksi.

Uhkasakosta, keskeyttämisuhasta ja teettämisuhasta on voimassa, mitä uhkasakkolaissa (1113/1990) säädetään. Teettämällä suoritetun toimenpiteen kustannukset maksetaan etukäteen valtion varoista. Kustannukset saadaan periä ilman tuomiota tai päätöstä siinä järjestyksessä kuin verojen ja maksujen perimisestä ulosottotoimin annetussa laissa säädetään.

Rangaistus viestintäsalaisuuden loukkaamisesta ja törkeästä viestintäsalaisuuden loukkaamisesta säädetään rikoslain 38 luvun 3 ja 4 §:ssä sekä rangaistus tietomurrosta rikoslain 38 luvun 8 §:ssä . Rangaistus tämän lain 5 §:ssä säädetyn vaitiolovelvollisuuden rikkomisesta tuomitaan rikoslain 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava rikoslain 40 luvun 5 §:n mukaan tai siitä muualla säädetä ankarampaa rangaistusta. Rangaistus 13 h §:n 3 momentissa säädetyn salassapitovelvollisuuden rikkomisesta tuomitaan rikoslain 38 luvun 2 §:n 2 momentin mukaan, jollei teosta muualla kuin rikoslain 38 luvun 1 §:ssä säädetä ankarampaa rangaistusta.

Joka tahallaan

on tuomittava sähköisen viestinnän tietosuojarikkomuksesta sakkoon, jollei teosta muualla laissa säädetä ankarampaa rangaistusta.

Rangaistusta ei tuomita, jos rikkomus on vähäinen.

Viestintäviraston tai tietosuojavaltuutetun tämän lain nojalla antamaan päätökseen voidaan hakea muutosta noudattaen, mitä hallintolainkäyttölaissa (586/1996) säädetään. Viestintävirasto tai tietosuojavaltuutettu voi päätöksessään määrätä, että päätöstä on noudatettava ennen kuin se on saanut lainvoiman. Valitusviranomainen voi kuitenkin kieltää täytäntöönpanon, kunnes valitus on ratkaistu.

Tämä laki tulee voimaan 1 päivänä syyskuuta 2004.

Tällä lailla kumotaan:

Ennen tämän lain voimaantuloa voidaan ryhtyä lain täytäntöönpanon edellyttämiin toimiin.

Jos teleyritys on aloittanut paikkatietojen käsittelyn ennen tämän lain voimaantuloa ja tuolloin voimassa olleiden säännösten mukaisesti, tilaajalle on ilmoitettava paikkatietojen käsittelystä kuuden kuukauden kuluessa lain voimaantulosta. Jos tilaaja ei kiellä tietojen käsittelyä kolmen kuukauden kuluessa ilmoituksesta, paikkatietojen käsittelyä voidaan jatkaa 4 luvussa säädetyn mukaisesti.

Teleyrityksen on aloitettava 15 §:ssä tarkoitettu tietojen tallentaminen kuuden kuukauden kuluessa tämän lain voimaantulosta.

Edellä 25 §:ssä säädettyä ei sovelleta sellaisiin tilaajaluettelojen painoksiin, jotka on jo tuotettu tai saatettu markkinoille painetussa tai muussa kuin verkkokäyttöisessä sähköisessä muodossa ennen tämän lain voimaantuloa. Jos tilaajan tai käyttäjän tiedot on merkitty tilaajaluetteloon, joka on verkkokäyttöisessä sähköisessä muodossa yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta annetun lain mukaisesti ennen tämän lain voimaantuloa, teleyrityksen sekä tilaajaluettelopalvelua ja numerotiedotuspalvelua tarjoavan yrityksen, joka on saanut yhteystiedot viestintämarkkinalain 58 §:n nojalla, on annettava tilaajana olevalle luonnolliselle henkilölle tiedot tilaajaluettelon tarkoituksesta tai käytöstä ja 25 §:n 4 ja 5 momentissa tarkoitetuista oikeuksista vuoden kuluessa lain voimaantulosta. Jollei tilaajana oleva luonnollinen henkilö vaadi tietojensa poistamista, kyseiset tiedot saavat jäädä tilaajaluetteloon.