Tulostusversio

2/2009

Yksityisyys: Lex Nokia on viimeinen keino

Teksti: Lauri Karppinen

Sähköisen viestinnän tietosuojalakiin tehdyt muutokset antavat yhteisötilaajille oikeuden käsitellä viestinnän tunnistamistietoja tiettyjen edellytysten täyttyessä. Tarkoituksena on, että tunnistamistietojen käsittely on vasta viimeinen keino väärinkäytösten ehkäisemiseksi.

Sähköisen viestinnän tietosuojalain muun muassa urkintalakina ja Lex Nokiana tunnettu muutosehdotus tuli voimaan 1. kesäkuuta.

Uusittu laki asettaa uusia ennakkoehtoja yhteisötilaajille, jotka haluavat selvittää viestintäverkkonsa luvatonta käyttöä ja yrityssalaisuuksien oikeudetonta paljastamista. Uusia ennakkoehtoja valvoo tietosuojavaltuutettu.

Luvattoman käytön estämiseksi

Suurimmat muutokset uudessa laissa koskevat yhteisötilaajan oikeutta käsitellä tunnistamistietoja yhteisötilaajan oman tietoliikenneverkon ja siihen liitettyjen palvelujen luvattoman käytön estämiseksi. Elinkeinonharjoittajat saavat myös oikeuden käsitellä tunnistamistietoja yrityssalaisuuksien oikeudettoman paljastamisen estämiseksi.

Laki ei salli yhteisötilaajan kajota itse viestien sisältöön näiden väärinkäytösten selvittämiseksi.

Tunnistetietojen käsittelyoikeus koskee luvatonta käyttöä tai yrityssalaisuuksien paljastamista viestintäverkossa, viestintäpalvelussa tai maksullisessa tietoyhteiskunnan palvelussa.

Näiden käsittelyoikeuksien käyttäminen edellyttää 1. kesäkuuta alkaen yhteisötilaajalta ennakkotoimenpiteitä, joilla pyritään mahdollisimman tehokkaasti ennaltaehkäisemään väärinkäytöksiä.

Ennen tunnistetietojen käsittelyä yhteisötilaajan on täytettävä huolehtimis-, suunnittelu- ja yhteistoimintavelvoitteet sekä tehtävä ennakkoilmoitus käsittelyn aloittamisesta tietosuojavaltuutetulle.

Sallittu viestintä määriteltävä

Yhteisötilaajan on tarkasti määriteltävä, minkälaisia viestejä sen viestintäverkon kautta saa välittää ja hakea sekä miten sen viestintäverkkoa ja -palvelua saa muutoin käyttää, ja minkälaisiin kohdeosoitteisiin viestintää ei saa harjoittaa.

Tämän lisäksi pääsyä viestintäverkkoon ja -palveluihin on rajoitettava sekä suojattava nämä asianmukaisin tietoturvatoimenpitein.

Tunnistamistietoihin kohdistuva valvonta on siis sallittua vain silloin, kun luvatonta toimintaa ei voida estää etukäteisillä toimilla.

Luvattoman käytön valvonnasta ja sen toteuttamisesta on kerrottava valvonnan kohteille yhteistoimintamenettelyn mukaisesti. Jos yhteisö ei ole yt-menettelyn piirissä, valvottaville on kerrottava samat asiat muulla tavoin.

Kohdistettua valvontaa vain perustellusti

Laki asettaa rajoituksia myös itse tunnistamistietojen käsittelylle: Tunnistetietojen käsittelyn tulee ensisijaisesti tapahtua automaattisten hakutoimintojen avulla, jotka eivät paljasta viestinnän osapuolien henkilöllisyyttä.

Tunnistamistietojen käsittelyä ei saa kohdistaa tiettyyn käyttäjään tai ryhmään, jollei valvottavana oleva luvaton käyttö voi aiheuttaa yhteisötilaajalle merkittävää haittaa. Merkittävää haittaa voivat olla esimerkiksi kohonneet kustannukset tai sellainen tietoliikennekapasiteetin lisääntynyt kulutus, joka vaarantaa tietoverkon käytön siihen, mihin se on tarkoitettu.

Yhteisötilaajalla tulee olla myös perusteltu, esimerkiksi automaattisen hakutoiminnon havaitsemaan poikkeamaan perustuva epäily kohdistaa valvonta juuri näihin henkilöihin.

Yrityssalaisuuksille käsittelyohjeet

Laki asettaa lisävelvoitteita yrityksille, jotka haluavat käsitellä tunnistamistietoja yrityssalaisuuksien paljastumisen ehkäisemiseksi.

Viestintäverkon ja viestintäpalvelujen suojaamisen sekä käsittelyn rajaamisen lisäksi yrityksen on yksilöitävä sen keskeiset yrityssalaisuudet. Sen on myös määriteltävä, miten näitä salaisuuksia saa käsitellä viestintäverkossa, ja millaisiin kohdeosoitteisiin yrityssalaisuuksia käsittelemään oikeutetut henkilöt eivät saa viestejä lähettää.

Valvonnasta on ilmoitettava

Yhteisötilaajan on kerrottava tiettyyn henkilöön tai ryhmään kohdistetusta tunnistamistietojen käsittelystä käsittelyn kohteille itselleen heti, kun se voidaan tehdä vaarantamatta väärinkäytöksen selvittämistä.

Tunnistamistietojen käsittelyn kohteille on kerrottava käsittelyn ajankohta, kesto ja perusteet sekä kaikki käsittelyyn osallistuneet henkilöt. Yhteisötilaajan on säilytettävä nämä tiedot kaksi vuotta.

Lainmuutoksessa tunnistamistietojen käsittelyn valvonta väärinkäytösten selvittämiseksi on määrätty tietosuojavaltuutetulle.

Pakollisena valvontatoimenpiteenä yhteisötilaajan on tehtävä kaikista ennakkotoimistaan, käyttäjille annetuista kirjallisista viestintäverkon ja -palvelujen käyttöohjeistaan sekä keskeisten yrityssalaisuuksiensa käsittelyohjeista ennakkoilmoitus tietosuojavaltuutetun toimistolle ennen tunnistamistietojen käsittelyn aloittamista.

Tämän lisäksi yksittäiseen henkilöön tai ryhmään kohdistetut tunnistamistietojen käsittelyt on raportoitava tietosuojavaltuutetulle vuosittain erillisellä ilmoituksella. Jos yhteisötilaaja on työnantajan asemassa, vuosittainen ilmoitus on annettava myös henkilöstön edustajalle.

Tietosuojavaltuutetun toimistoon on perustettu erillinen neuvontaryhmä opastamaan yhteisötilaajia lain velvoitteiden täyttämisessä. Kattavat ohjeet uuden lain mahdollistamasta väärinkäytösten valvomisesta sekä mallilomakkeet ilmoituksille on julkaistu tietosuojavaltuutetun toimiston kotisivuilla.

------

[KIRJOITTAJA]

Lauri Karppinen toimii IT-erityisasiantuntijana tietosuojavaltuutetun toimistossa ja kuuluu sähköisen viestinnän tietosuojalain tunnistamistietojen käsittelyn valvontaryhmään.

Lue myös

Yksityisyys: Tunnistamistiedot erityisen säänneltyjä »
Tietoturva: Lex Nokia nostaa tietoturvan tapetille »
Yksityisyys: Lex Nokia on viimeinen keino »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.