125/2009

Identifieringsuppgifter får behandlas i den utsträckning det är nödvändigt för att utföra och använda nättjänster, kommunikationstjänster eller mervärdestjänster och för att sörja för dataskyddet på det sätt som anges nedan.

Identifieringsuppgifter får behandlas endast av fysiska personer som är anställda hos ett teleföretag, hos den som tillhandahåller mervärdestjänster, hos en sammanslutningsabonnent och hos en juridisk person som är abonnent samt av fysiska personer som handlar för deras räkning och som har i uppdrag att behandla uppgifterna för att de mål som anges särskilt i detta kapitel ska uppnås.

Ett teleföretag och den som tillhandahåller mervärdestjänster får behandla identifieringsuppgifter för att tekniskt utveckla nättjänsterna, kommunikationstjänsterna eller mervärdestjänsterna.

En sammanslutningsabonnent får behandla identifieringsuppgifter för att tekniskt utveckla sitt kommunikationsnät och sina tjänster som anslutits till det.

Innan behandling som avses i 1 och 2 mom. inleds ska abonnenten eller användaren underrättas om vilka identifieringsuppgifter som behandlas och hur länge behandlingen kommer att pågå. Underrättelsen kan vara av engångskaraktär.

För statistisk analys har ett teleföretag och den som tillhandahåller mervärdestjänster rätt att med hjälp av automatisk databehandling behandla identifieringsuppgifter om en nättjänst, en kommunikationstjänst eller en mervärdestjänst och en sammanslutningsabonnent identifieringsuppgifter om sitt kommunikationsnät eller om en egen tjänst som anslutits till den, om

Vad som bestäms i 1 mom. gäller även en juridisk persons rätt att som abonnent behandla identifieringsuppgifter om sin anslutning och sin terminalutrustning.

Ett teleföretag och den som tillhandahåller mervärdestjänster får behandla identifieringsuppgifter för att upptäcka, förhindra och utreda gratisanvändning av en avgiftsbelagd tjänst inom nättjänsten, kommunikationstjänsten eller mervärdestjänsten eller annat jämförbart missbruk som gäller användningen av en tjänst.

Kommunikationsverket kan utfärda närmare föreskrifter om hur den behandling av identifieringsuppgifter som avses i 1 mom. ska utföras tekniskt.

En sammanslutningsabonnent har rätt att behandla identifieringsuppgifter för att förebygga och utreda olovligt brukande av avgiftsbelagda informationssamhällstjänster, kommunikationsnätet eller kommunikationstjänster eller röjande av företagshemligheter enligt 30 kap. 11 § i strafflagen (39/1889), enligt vad som bestäms i 13 b―13 k § i denna lag.

Att installera anordningar, program eller tjänster i sammanslutningsabonnentens kommunikationsnät, att obehörigen ge utomstående tillträde till sammanslutningsabonnentens kommunikationsnät eller kommunikationstjänster eller att på något annat jämförbart sätt använda kommunikationsnätet eller kommunikationstjänster kan vara olovligt brukande av kommunikationsnätet eller kommunikationstjänster, om förfarandet står i strid med de anvisningar för användningen som avses i 13 b § 3 mom.

Den rätt som avses i 1 mom. gäller inte identifieringsuppgifter för telefonitjänster i det fasta eller mobila telefonnätet.

Innan en sammanslutningsabonnent börjar behandla identifieringsuppgifter för att förebygga olovligt brukande av avgiftsbelagda informationssamhällstjänster, kommunikationsnätet eller kommunikationstjänster ska abonnenten

Innan en sammanslutningsabonnent börjar behandla identifieringsuppgifter för att förebygga röjande av företagshemligheter ska abonnenten

En sammanslutningsabonnent ska för att förebygga missbruk som avses i 1 och 2 mom. ge skriftliga anvisningar till dem som använder kommunikationsnätet eller kommunikationstjänsten.

En sammanslutningsabonnent ska innan behandling av identifieringsuppgifter enligt 13 a § 1 mom. inleds utse de personer till vilkas uppgifter behandling av identifieringsuppgifter hör eller bestämma de nämnda uppgifterna. Identifieringsuppgifter får behandlas endast av personer som svarar för driften av och dataskyddet i sammanslutningsabonnentens kommunikationsnät och kommunikationstjänst och för säkerheten.

Om sammanslutningsabonnenten som arbetsgivare omfattas av samarbetslagstiftningen ska sammanslutningsabonnenten

Om sammanslutningsabonnenten som arbetsgivare inte omfattas av samarbetslagstiftningen ska denne höra arbetstagarna om de omständigheter som avses i 2 mom. 1 punkten i denna paragraf och informera arbetstagarna om dem enligt vad som bestäms i 21 § 1 och 2 mom. i lagen om integritetsskydd i arbetslivet.

Om sammanslutningsabonnenten inte är arbetsgivare ska denne informera användarna om de förfaranden och den praxis som tillämpas på behandlingen av identifieringsuppgifter enligt 13 a―13 k §.

En sammanslutningsabonnent får behandla identifieringsuppgifter med hjälp av en automatisk sökfunktion som kan basera sig på meddelandenas storlek eller sammanlagda storlek eller deras typ, antal, uppkopplingssätt eller destinationsadresser.

Sammanslutningsabonnenten får behandla identifieringsuppgifter manuellt, om det finns grundad anledning att misstänka att kommunikationsnätet, kommunikationstjänsten eller en avgiftsbelagd informationssamhällstjänst används i strid med de anvisningar som avses i 13 b § 3 mom. och om

Ett villkor för behandling enligt 1 och 2 mom. är att incidenten eller gärningen sannolikt orsakar betydande olägenhet eller skada för sammanslutningsabonnenten.

Villkor för behandling enligt 2 mom. är dessutom att uppgifterna är nödvändiga för att reda ut olovligt brukande och vem som svarar för det och för att göra slut på olovligt brukande.

En sammanslutningsabonnent får behandla identifieringsuppgifter med hjälp av en automatisk sökfunktion som baserar sig på meddelandenas storlek eller sammanlagda storlek eller deras typ, antal, uppkopplingssätt eller destinationsadresser.

Sammanslutningsabonnenten får behandla identifieringsuppgifter manuellt, om det finns grundad anledning att misstänka att en företagshemlighet olovligen har röjts för en utomstående via kommunikationsnätet eller en kommunikationstjänst och om

Ett villkor för behandling enligt 1 och 2 mom. är att det misstänkta röjandet gäller företagshemligheter som är av central betydelse för sammanslutningsabonnentens eller dess samarbetspartners näringsverksamhet eller resultaten av tekniskt eller något annat utvecklingsarbete som sannolikt är viktiga för att starta eller utöva näringsverksamhet.

Villkor för behandling enligt 2 mom. är dessutom att uppgifterna är nödvändiga för att reda ut om en företagshemlighet har röjts och vem som är ansvarig.

Automatisk sökning får inte riktas och identifieringsuppgifter får inte hämtas eller tas till manuell behandling för att få reda på uppgifter enligt 17 kap. 24 § 2 och 3 mom. i rättegångsbalken.

För att utreda röjande av företagshemligheter kan en sammanslutningsabonnent som är arbetsgivare endast behandla sådana användares identifieringsuppgifter som sammanslutningsabonnenten har gett eller som annars har tillgång till företagshemligheter på ett sådant sätt som sammanslutningsabonnenten har godkänt.

Sammanslutningsabonnenten ska lämna en redogörelse för den manuella behandling av identifieringsuppgifter som avses i 13 d § 2 mom. och 13 e § 2 mom. Av redogörelsen ska framgå

Redogörelsen ska undertecknas av de personer som har deltagit i behandlingen. Redogörelsen ska förvaras minst två år efter det att den behandling som avses i 13 d eller 13 e § upphörde.

De som använder det kommunikationsnät eller den kommunikationstjänst som är föremål för behandlingen ska delges den redogörelse som avses i 1 mom. så snart det är möjligt utan att äventyra syftet med behandlingen. Redogörelsen behöver dock inte lämnas till sådana användare vars identifieringsuppgifter har behandlats i form av massbehandling så att behandlaren inte har tagit del av användarnas identifieringsuppgifter. Utan hinder av sekretess som baserar sig på lag eller avtal har användaren rätt att för behandlingen av ett ärende som gäller användarens intressen och rättigheter överlämna redogörelsen och de uppgifter användaren fått i samband med den.

Om sammanslutningsabonnenten är arbetsgivare ska denne årligen till arbetstagarnas företrädare lämna en redogörelse för den manuella behandling av identifieringsuppgifterna som avses i 13 d § 2 mom och 13 e § 2 mom. Av redogörelsen ska det framgå på vilka grunder och hur många gånger identifieringsuppgifterna har behandlats under ett år.

Den redogörelse som avses i 1 mom. ska lämnas till en förtroendeman som utsetts med stöd av ett arbets- eller tjänstekollektivavtal eller, om någon sådan inte har utsetts, till ett förtroendeombud enligt 13 kap. 3 § i arbetsavtalslagen (55/2001). Om arbetstagarna inom en personalgrupp inte har utsett någon förtroendeman eller något förtroendeombud, ska redogörelsen lämnas till ett samarbetsombud enligt 8 § i lagen om samarbete inom företag eller 3 § i lagen om samarbete mellan kommunala arbetsgivare och arbetstagare eller till en företrädare enligt 6 § 2 mom. i lagen om samarbete inom statens ämbetsverk och inrättningar. Om inte heller några sådana har utsetts ska redogörelsen lämnas till alla arbetstagare som hör till personalgruppen.

Företrädarna för arbetstagarna och de arbetstagare som avses i 2 mom. ska under hela den tid anställningsförhållandet är i kraft hemlighålla de kränkningar av företagshemligheten och de misstänkta fall av sådan kränkning som de fått kännedom om. I fråga om tystnadsplikten för tjänstemän och andra anställda hos myndigheter gäller vad som bestäms i lagen om offentlighet i myndigheternas verksamhet (621/1999) och någon annanstans i lag. Det som föreskrivs ovan hindrar inte att uppgifter lämnas ut till tillsynsmyndigheterna.

En sammanslutningsabonnent ska på förhand meddela dataombudsmannen att behandling av identifieringsuppgifter inleds. Av förhandsanmälan ska framgå

Sammanslutningsabonnenten ska årligen i efterhand lämna dataombudsmannen en redogörelse för den manuella behandlingen av identifieringsuppgifterna. Av redogörelsen ska det framgå på vilka grunder och hur många gånger identifieringsuppgifterna har behandlats under ett år.

Bestämmelserna i 13 a―13 i § ger inte sammanslutningsabonnenten rätt att lagra identifieringsuppgifter i registret längre än vad som annars är tillåtet enligt lag.

Utan hinder av 8 § 3 mom. har en sammanslutningsabonnent rätt att i samband med polisanmälan eller begäran om utredning i egenskap av målsägande till polisen för behandling överlämna sådana identifieringsuppgifter om meddelanden avseende användare av abonnentens kommunikationsnät eller kommunikationstjänst som denne fått i enlighet med 13 a―13 j §.

Ett teleföretag, den som tillhandahåller mervärdestjänster och en sammanslutningsabonnent får behandla identifieringsuppgifter, om det behövs för att upptäcka, förhindra eller utreda tekniska fel eller brister vid förmedlingen av kommunikationen.

Ett teleföretag, den som tillhandahåller mervärdestjänster och en sammanslutningsabonnent samt de som handlar för dessas räkning har rätt att vidta nödvändiga åtgärder enligt 2 mom. med avseende på dataskyddet

De åtgärder som avses i 1 mom. kan omfatta

Om det på basis av typen av meddelande, meddelandets form eller någon annan motsvarande omständighet är uppenbart att ett meddelande innehåller ett skadligt datorprogram eller ett skadligt kommando och uppnåendet av målen enligt 1 mom. inte kan säkerställas genom en automatisk analys av innehållet, får innehållet i det enskilda meddelandet behandlas manuellt. Avsändaren och mottagaren av meddelandet ska underrättas om den manuella behandlingen av innehållet, om det inte är så att underrättelsen sannolikt äventyrar uppnåendet av målen enligt 1 mom.

Åtgärderna enligt denna paragraf ska utföras omsorgsfullt och de ska stå i rätt proportion till den störning som ska avvärjas. Åtgärderna ska utföras utan att yttrandefriheten, skyddet av konfidentiella meddelanden eller integritetsskyddet begränsas mer än nödvändigt med tanke på säkerställandet av möjligheterna att uppnå målen enligt 1 mom. Åtgärderna ska avbrytas, om det inte längre finns i denna paragraf nämnda förutsättningar för att vidta dem.

Kommunikationsverket kan meddela teleföretagen och dem som tillhandahåller mervärdestjänster närmare föreskrifter om hur åtgärderna enligt denna paragraf ska genomföras tekniskt.

Dataombudsmannens uppgift är att övervaka

För de tillsynsuppgifter som avses i 1 mom. 1 punkten får en avgift tas ut av sammanslutningsabonnenten. Beslut om avgiftsbelagda åtgärder och avgiftens storlek fattas genom förordning av justitieministeriet enligt de grunder som föreskrivs i lagen om grunderna för avgifter till staten (150/1992).

För att utföra sina i denna lag föreskrivna uppgifter har Kommunikationsverket och dataombudsmannen rätt att få identifierings- och lokaliseringsuppgifter och meddelanden, om de behövs för att övervaka bestämmelserna om behandling, användning av i 7 § avsedda uppgifter eller direktmarknadsföring eller för att utreda betydande kränkningar av och hot mot dataskyddet. Dessutom krävs det att det enligt Kommunikationsverkets eller dataombudsmannens bedömning finns skäl att misstänka att något av följande rekvisit är uppfyllt:

Uppgifter som Kommunikationsverket och dataombudsmannen med stöd av 33 § 3 mom. erhållit om konfidentiella meddelanden, identifieringsuppgifter och lokaliseringsuppgifter samt uppgifter som dataombudsmannen erhållit med stöd av 13 i § ska hållas hemliga.

I övrigt föreskrivs det om sekretess för tillsynsmyndigheternas uppgifter i lagen om offentlighet i myndigheternas verksamhet.

Utan hinder av någon annan än den tystnadsplikt som föreskrivs i 34 § 1 mom. eller utan hinder av andra begränsningar som gäller utlämnande av uppgifter har Kommunikationsverket och dataombudsmannen rätt att till kommunikationsministeriet lämna ut i 33 § 1 mom. avsedda uppgifter som de erhållit vid utförandet av i denna lag föreskrivna uppgifter.

Utan hinder av den tystnadsplikt som föreskrivs i 34 § 1 mom. eller utan hinder av andra begränsningar som gäller utlämnande av uppgifter har Kommunikationsverket rätt att till de teleföretag, dem som tillhandahåller mervärdestjänster och de sammanslutningsabonnenter som har utnyttjats vid kränkning av dataskydd, som har blivit föremål för sådan kränkning eller som sannolikt kan utsättas för kränkning av dataskydd lämna ut identifieringsuppgifter som verket erhållit i samband med insamlandet av uppgifter om och utredning av kränkningar av dataskydd, om det enligt Kommunikationsverkets bedömning finns skäl att misstänka att något av de rekvisit som anges i 33 § 3 mom. 1―10 punkten har blivit uppfyllt.

Utan hinder av den tystnadsplikt som föreskrivs i 34 § 1 mom. har Kommunikationsverket rätt att till sådana myndigheter eller andra instanser som är verksamma i andra stater och som har till uppgift att förebygga eller utreda kränkningar av dataskydd riktade mot kommunikationsnät och kommunikationstjänster lämna ut identifieringsuppgifter som verket erhållit i samband med insamlandet av uppgifter om och utredning av kränkningar av dataskydd.

Kommunikationsverket har rätt att lämna ut i 2 och 3 mom. avsedda identifieringsuppgifter endast i den omfattning som behövs för att förebygga och utreda kränkningar av dataskydd. Utlämnandet av uppgifter får inte begränsa skyddet av konfidentiella meddelanden eller integritetsskyddet mer än nödvändigt.

Bestämmelser om straff för kränkning av kommunikationshemlighet och för grov kränkning av kommunikationshemlighet finns i 38 kap. 3 och 4 § i strafflagen samt för dataintrång i 38 kap. 8 § i strafflagen. Straff för brott mot i 5 § i denna lag föreskriven tystnadsplikt utdöms enligt 38 kap. 1 eller 2 § i strafflagen, om inte gärningen utgör brott enligt 40 kap. 5 § i strafflagen eller om inte strängare straff föreskrivs någon annanstans. Straff för brott mot i 13 h § 3 mom. föreskriven tystnadsplikt utdöms enligt 38 kap. 2 § 2 mom. i strafflagen, om inte strängare straff för gärningen föreskrivs någon annanstans än i 38 kap. 1 § i strafflagen.

Den som uppsåtligen

ska, om inte strängare straff för gärningen föreskrivs någon annanstans i lag, för dataskyddsförseelse vid elektronisk kommunikation dömas till böter.

Straff döms inte ut om förseelsen är ringa.