Lex Nokia: esitetty 13-13 k § | EFFI.org

Esitetty sähköisen viestinnän tietosuojalain 13 - 13 k §

Alla on hallituksen esityksessä 48/2008 vp esitetyt uudet sähköisen viestinnän tietosuojalain Lex Nokia -pykälät 13-13 k liikenne- ja viestintävaliokunnan mietinnössä LiVM 19/2008 esitetyin muutoksin. Eduskunta hyväksyi Lex Nokian 4.3.2009 liikenne- ja viestintävaliokunnan esittämine muutoksineen.

Valiokunnan poistamaksi tai muutettavaksi esittämä hallituksen esityksen kohta on merkitty [HE: hakasulkeissa]. Jos [HE: hakasulkeissa olevan] poistaa, jää siis jäljelle eduskunnan hyväksymä lakiteksti.

Valiokunnan mietinnössä esitetään uutta pykälää 13 e sekä muutoksia melkein kaikkin(!) pykäliin. Se, että kaikkea pitää korjata, osoittaa jotain alkuperäisestä hallituksen esityksestä. Esitetty lakiteksti on vieläkin liian epätäsmällistä ja vaikeasti ymmärrettävää.

Sähköisen viestinnän tietosuojalaista ehdotetaan muutettavaksi muitakin pykäliä, mutta 13 - 13 k § ovat kohua herättäneet urkintapykälät. Jo voimassa oleva vanha sähköisen viestinnän tietosuojalaki oikeuttaa tunnistamistietojen käsittelyn muun muassa viestinnän osapuolen luvalla (8 §), palvelujen toteuttamiseksi ja käyttämiseksi (9 §), laskutusta varten (10 §), teknistä kehittämistä varten (12 §), teknisen vian tai virheen havaitsemiseksi (14 §), tietoturvan toteuttamiseksi (20 §) sekä suoramarkkinoinnin vastaanottamisen estämiseksi (29 §).

Lisätietoja Lex Nokia -FAQista.

Voimassa oleva 13 §

Nykyisen lain 13 § olisi siis tarkoitus korvata 12 pykälällä 13-13 k. Alla on voimassa oleva 13 §.

13 § Käsittely väärinkäytöstapauksissa

Teleyritys, lisäarvopalvelun tarjoaja ja yhteisötilaaja voi käsitellä tunnistamistietoja, jos se on tarpeen verkkopalvelun, viestintäpalvelun tai lisäarvopalvelun yksittäisten maksullisten palvelujen käyttöä maksutta tai muiden siihen rinnastuvien käyttöä koskevien väärinkäytösten havaitsemiseksi, estämiseksi ja selvittämiseksi sekä esitutkintaan saattamiseksi.

Esitetyt uudet pykälät

13 § Teleyrityksen ja lisäarvopalvelun tarjoajan käsittelyoikeus väärinkäytöstapauksissa

Teleyritys ja lisäarvopalvelun tarjoaja voi käsitellä tunnistamistietoja verkkopalvelun, viestintäpalvelun tai lisäarvopalvelun maksullisen palvelun käyttöä maksutta tai muiden siihen rinnastuvien käyttöä koskevien väärinkäytösten havaitsemiseksi, estämiseksi ja selvittämiseksi.

Viestintävirasto voi antaa tarkempia määräyksiä 1 momentissa tarkoitetun tunnistamistietojen käsittelyn teknisestä toteuttamisesta.

13 a § Yhteisötilaajan käsittelyoikeus väärinkäytöstapauksissa

Yhteisötilaajalla on oikeus käsitellä tunnistamistietoja maksullisen tietoyhteiskunnan palvelun, viestintäverkon tai viestintäpalvelun luvattoman käytön taikka rikoslain (39/1889) 30 luvun 11 §:n tarkoittaman yrityssalaisuuksien paljastamisen ehkäisemiseksi ja selvittämiseksi siten kuin 13 b-13 k §:ssä säädetään.

[HE: Yhteisötilaajalla on oikeus käsitellä tunnistamistietoja maksullisen tietoyhteiskunnan palvelun tai viestintäverkon luvattoman käytön, viestintäpalvelun ohjeen vastaisen käytön taikka yrityssalaisuuksien paljastamisen selvittämiseksi siten kuin 13 b-13 j §:ssä säädetään.]

Viestintäverkon tai viestintäpalvelun luvatonta käyttöä voi olla laitteen, ohjelman tai palvelun asentaminen yhteisötilaajan viestintäverkkoon, sivulliselle oikeudettomasti pääsyn avaaminen yhteisötilaajan viestintäverkkoon tai viestintäpalveluun taikka muu näihin rinnastuva viestintäverkon tai viestintäpalvelun käyttö, jos se on käytöstä laadittujen 13 b §:n 3 momentissa tarkoitettujen ohjeiden vastaista.

[HE: Viestintäverkon luvatonta käyttöä tai viestintäpalvelun ohjeen vastaista käyttöä on laitteen, ohjelman tai palvelun asentaminen yhteisötilaajan viestintäverkkoon taikka muu näihin rinnastuva viestintäverkon tai viestintäpalvelun käyttö, jos se on käytöstä laadittujen 13 b §:n 3 momentissa tarkoitettujen ohjeiden vastaista.]

Edellä 1 momentissa tarkoitettu oikeus ei koske kiinteän tai matkapuhelinverkon puhelinpalvelujen tunnistamistietoja.

13 b § Yhteisötilaajan huolehtimisvelvollisuus väärinkäytöstapauksissa

Yhteisötilaajan on ennen tunnistamistietojen käsittelyn aloittamista maksullisen tietoyhteiskunnan palvelun, viestintäverkon tai viestintäpalvelun luvattoman käytön ehkäisemiseksi:

[HE: Yhteisötilaajan on ennen tunnistamistietojen käsittelyn aloittamista maksullisen tietoyhteiskunnan palvelun tai viestintäverkon luvattoman käytön taikka viestintäpalvelun ohjeen vastaisen käytön ehkäisemiseksi:]

  1. rajoitettava pääsyä viestintäverkkoonsa ja viestintäpalveluunsa ja niiden käyttöön sekä ryhdyttävä muihin toimenpiteisiin viestintäverkkonsa ja viestintäpalvelunsa käytön suojaamiseksi asianmukaisin tietoturvallisuustoimenpitein; ja
  2. määriteltävä, minkälaisia viestejä sen viestintäverkon kautta saa välittää ja hakea, sekä miten sen viestintäverkkoa ja viestintäpalvelua saa muutoin käyttää ja minkälaisiin kohdeosoitteisiin viestintää ei saa harjoittaa.

Yhteisötilaajan on ennen tunnistamistietojen käsittelyn aloittamista yrityssalaisuuksien paljastamisen ehkäisemiseksi:

  1. rajoitettava pääsyä yrityssalaisuuksiin ja ryhdyttävä muihin toimenpiteisiin viestintäverkkonsa ja viestintäpalvelunsa käytön ja tietojen suojaamiseksi asianmukaisin tietoturvallisuustoimenpitein [HE: rajoitettava pääsyä yrityssalaisuuksiin ja ryhdyttävä muihin toimenpiteisiin tietojen asianmukaiseksi suojaamiseksi]; ja
  2. määriteltävä, miten yrityssalaisuuksia saa viestintäverkossa siirtää, luovuttaa tai muutoin käsitellä ja minkälaisiin kohdeosoitteisiin yrityssalaisuuksia käsittelemään oikeutetut henkilöt eivät ole oikeutettuja lähettämään viestejä.

Yhteisötilaajan on 1 ja 2 momentissa tarkoitettujen väärinkäytösten ehkäisemiseksi annettava kirjalliset ohjeet viestintäverkon tai viestintäpalvelun käyttäjälle.

13 c § Yhteisötilaajan suunnittelu- ja yhteistoimintavelvoite väärinkäytöstapauksissa

Yhteisötilaajan on ennen 13 a §:n 1 momentissa tarkoitetun tunnistamistietojen käsittelyn aloittamista nimettävä ne henkilöt, joiden tehtäviin tunnistamistietojen käsittely kuuluu tai määriteltävä mainitut tehtävät. Tunnistamistietoja voivat käsitellä vain yhteisötilaajan viestintäverkon ja viestintäpalvelun ylläpidosta ja tietoturvasta sekä turvallisuudesta huolehtivat henkilöt.

Jos yhteisötilaaja on yhteistoimintalainsäädännön piiriin kuuluva työnantaja, on hänen:

  1. käsiteltävä 13 a-13 k §:ssä tarkoitetussa tunnistamistietojen käsittelyssä noudatettavien menettelyjen perusteet ja käytännöt yhteistoiminnasta yrityksissä annetun lain (334/2007 ) 4 luvussa, yhteistoiminnasta valtion virastoissa ja laitoksissa annetussa laissa (651/1988 ) ja työnantajan ja henkilöstön välisestä yhteistoiminnasta kunnissa annetussa laissa (449/2007 ) tarkoitetussa yhteistoimintamenettelyssä [HE: käsiteltävä 13 a-13 j §:ssä tarkoitetussa tunnistamistietojen käsittelyssä noudatettavien menettelyjen perusteet ja käytännöt yhteistoiminnasta yrityksissä annetun lain (334/2007) 4 luvussa, yhteistoiminnasta valtion virastoissa ja laitoksissa annetussa laissa (651/1988) ja työnantajan ja henkilöstön välisestä yhteistoiminnasta kunnissa annetussa laissa (449/2007) tarkoitetussa yhteistoimintamenettelyssä]; ja
  2. tiedotettava tunnistamistietojen käsittelystä tekemänsä päätökset työntekijöille tai heidän edustajilleen siten kuin yksityisyyden suojasta työelämässä annetun lain (759/2004) 21 §:n 2 momentissa säädetään.

Jos yhteisötilaaja on työnantaja, joka ei kuulu yhteistoimintalainsäädännön piiriin, on hänen kuultava työntekijöitä 2 momentin 1 kohdassa tarkoitetuista seikoista ja tiedotettava niistä työntekijöille siten kuin yksityisyyden suojasta työelämässä annetun lain 21 §:n 1 ja 2 momentissa säädetään.

Jos yhteisötilaaja ei ole työnantaja, on yhteisötilaajan tiedotettava käyttäjille 13 a-13 k §:ssä tarkoitetussa tunnistamistietojen käsittelyssä noudatettavista menettelyistä ja käytännöistä

[HE: Jos yhteisötilaaja ei ole työnantaja, on yhteisötilaajan tiedotettava käyttäjille 13 a-13 j §:ssä tarkoitetussa tunnistamistietojen käsittelyssä noudatettavista menettelyistä ja käytännöistä.]

13 d § Yhteisötilaajan käsittelyoikeus maksullisen tietoyhteiskunnan palvelun, viestintäverkon tai viestintäpalvelun luvattoman käytön selvittämiseksi

[HE: 13 d § Yhteisötilaajan käsittelyoikeuden edellytykset väärinkäytöstapauksissa]

Yhteisötilaaja saa käsitellä tunnistamistietoja automaattisen hakutoiminnon avulla, joka voi perustua viestien kokoon, yhteenlaskettuun kokoon, tyyppiin, määrään, yhteystapaan tai kohdeosoitteisiin.

Yhteisötilaaja saa käsitellä tunnistamistietoja manuaalisesti, jos on perusteltu syy epäillä, että viestintäverkkoa, viestintäpalvelua tai maksullista tietoyhteiskunnan palvelua käytetään 13 b §:n 3 momentissa tarkoitettujen ohjeiden vastaisesti (poist.) ja jos:

[HE: Yhteisötilaaja saa käsitellä tunnistamistietoja manuaalisesti, jos on perusteltu syy epäillä, että viestintäverkkoa, viestintäpalvelua tai maksullista tietoyhteiskunnan palvelua käytetään 13 b §:n 3 momentissa tarkoitettujen ohjeiden vastaisesti tai että yrityssalaisuus on luvattomasti annettu ulkopuoliselle ja jos:]

  1. automaattisen hakutoiminnon avulla on havaittu viestinnässä poikkeama;
  2. maksullisen tietoyhteiskunnan palvelun käytön kustannukset ovat nousseet epätavallisen korkeiksi;
  3. viestintäverkossa havaitaan sinne oikeudetta asennettu laite, ohjelma tai palvelu;
  4. (poist.) [HE: yrityssalaisuus julkaistaan tai sitä käytetään luvatta]; taikka
  5. (poist.) yksittäistapauksessa muusta 1-3 kohtaan rinnastuvasta, yleisesti havaittavissa olevasta seikasta voidaan päätellä, että viestintäverkkoa, viestintäpalvelua tai maksullista tietoyhteiskunnan palvelua käytetään 13 b §:n 3 momentissa tarkoitettujen ohjeiden vastaisesti (poist.). [HE: yhteisötilaajalla on yksittäistapauksessa muun 1-4 kohtaan rinnastuvan, yleisesti havaittavissa olevan seikan perusteella syy epäillä, että viestintäverkkoa, viestintäpalvelua tai maksullista tietoyhteiskunnan palvelua käytetään 13 b §:n 3 momentissa tarkoitettujen ohjeiden vastaisesti tai että yrityssalaisuus on luvattomasti annettu ulkopuoliselle.]

Edellä 1 ja 2 momentissa tarkoitetun käsittelyn edellytyksenä on, että (poist.) tapahtuma tai teko todennäköisesti aiheuttaa yhteisötilaajalle merkittävää haittaa tai vahinkoa (poist.)

[HE: Edellä 1 ja 2 momentissa tarkoitetun käsittelyn edellytyksenä on, että:

  1. tapahtuma tai teko todennäköisesti aiheuttaa yhteisötilaajalle merkittävää haittaa tai vahinkoa; taikka
  2. epäilty yrityssalaisuuden paljastaminen kohdistuu yhteisötilaajan tai sen yhteistyökumppanin elinkeinotoiminnan kannalta keskeisiin yrityssalaisuuksiin taikka teknologisen tai muun kehittämistyön tuloksiin, jotka todennäköisesti ovat merkittäviä elinkeinotoiminnan käynnistämisen tai sen harjoittamisen kannalta.]

Edellä 2 momentissa tarkoitetun käsittelyn edellytyksenä on lisäksi, että tiedot ovat välttämättömiä luvattoman käytön ja siitä vastuussa olevien selvittämiseksi sekä luvattoman (poist.) käytön lopettamiseksi.

[HE: Edellä 2 momentissa tarkoitetun käsittelyn edellytyksenä on lisäksi, että tiedot ovat välttämättömiä väärinkäytöksen ja siitä vastuussa olevien selvittämiseksi sekä luvattoman tai ohjeen vastaisen käytön lopettamiseksi.]

13 e § (Uusi) Yhteisötilaajan käsittelyoikeus yrityssalaisuuksien paljastamisen selvittämiseksi

Yhteisötilaaja saa käsitellä tunnistamistietoja automaattisen hakutoiminnon avulla, joka voi perustua viestien kokoon, yhteenlaskettuun kokoon, tyyppiin, määrään, yhteystapaan tai kohdeosoitteisiin.

Yhteisötilaaja saa käsitellä tunnistamistietoja manuaalisesti, jos on perusteltu syy epäillä, että yrityssalaisuus on viestintäverkkoa tai viestintäpalvelua käyttämällä luvattomasti annettu ulkopuoliselle, ja jos:

  1. automaattisen hakutoiminnon avulla on havaittu viestinnässä poikkeama;
  2. yrityssalaisuus julkaistaan tai sitä käytetään luvatta; taikka
  3. yksittäistapauksessa muusta 1 tai 2 kohtaan rinnastuvasta, yleisesti havaittavissa olevasta seikasta voidaan päätellä, että yrityssalaisuus on luvattomasti annettu ulkopuoliselle.

Edellä 1 ja 2 momentissa tarkoitetun käsittelyn edellytyksenä on, että epäilty yrityssalaisuuden paljastaminen kohdistuu yhteisötilaajan tai sen yhteistyökumppanin elinkeinotoiminnan kannalta keskeisiin yrityssalaisuuksiin taikka teknologisen tai muun kehittämistyön tuloksiin, jotka todennäköisesti ovat merkittäviä elinkeinotoiminnan käynnistämisen tai sen harjoittamisen kannalta.

Edellä 2 momentissa tarkoitetun käsittelyn edellytyksenä on lisäksi, että tiedot ovat välttämättömiä yrityssalaisuuden paljastamisen ja siitä vastuussa olevien selvittämiseksi.

13 f [HE: e] § Käsittelyoikeuden erityiset rajoitukset väärinkäytöstapauksissa

Automaattista hakua ei saa kohdistaa eikä tunnistamistietoja saa hakea esille eikä ottaa manuaalisesti käsiteltäviksi oikeudenkäymiskaaren 17 luvun 24 §:n 2 ja 3 momentissa tarkoitettujen tietojen selville saamiseksi.

Yrityssalaisuuksien paljastamisen selvittämiseksi työnantajana oleva yhteisötilaaja voi käsitellä vain sellaisten käyttäjiensä tunnistamistietoja, joille yhteisötilaaja on antanut tai joilla muutoin on yhteisötilaajan hyväksymällä tavalla pääsy yrityssalaisuuksiin.

13 g [HE: f] § Yhteisötilaajan tiedonantovelvollisuus käyttäjälle väärinkäytöstapauksissa

Yhteisötilaajan on laadittava 13 d §:n (poist.) 2 momentissa ja 13 e §:n 2 momentissa tarkoitetusta manuaalisesta tunnistamistietojen käsittelystä selvitys, josta käy ilmi:

[HE: Yhteisötilaajan on laadittava 13 d §:n 1 ja 2 momentissa tarkoitetusta manuaalisesta tunnistamistietojen käsittelystä selvitys, josta käy ilmi:]

  1. käsittelyn peruste, ajankohta ja kesto;
  2. syy, minkä vuoksi tunnistamistietojen manuaaliseen käsittelyyn on ryhdytty;
  3. käsittelijät; sekä
  4. käsittelystä päättänyt henkilö.

Käsittelyyn osallistuneiden henkilöiden on allekirjoitettava selvitys. Selvitys on säilytettävä vähintään kaksi vuotta 13 d §:ssä tai 13 e §:ssä tarkoitetun käsittelyn päättymisestä.

[HE: Käsittelyyn osallistuneiden henkilöiden on allekirjoitettava selvitys. Selvitys on säilytettävä vähintään kaksi vuotta 13 d §:ssä tarkoitetun käsittelyn päättymisestä.]

Edellä 1 momentissa tarkoitettu selvitys on annettava tiedoksi käsittelyn kohteena olevan viestintäverkon tai viestintäpalvelun käyttäjälle heti, kun se voi tapahtua käsittelyn tarkoitusta vaarantamatta. Selvitystä ei kuitenkaan tarvitse antaa niille käyttäjille, joiden tunnistamistietoja on käsitelty massamuotoisesti siten, että käyttäjien tunnistamistiedot eivät ole tulleet käsittelijän tietoon. Käyttäjällä on oikeus lakiin tai sopimukseen perustuvan salassapitovelvollisuuden estämättä luovuttaa selvitys ja sen yhteydessä saamansa tiedot etujaan tai oikeuksiaan koskevan asian käsittelyä varten.

13 h [HE: g] § Yhteisötilaajan tiedonantovelvollisuus työntekijöiden edustajalle väärinkäytöstapauksissa

Jos yhteisötilaaja on työnantaja, sen on annettava työntekijöiden edustajalle vuosittain 13 d §:n 2 momentissa ja 13 e §:n 2 momentissa tarkoitetusta tunnistamistietojen manuaalisesta käsittelystä selvitys, josta on käytävä ilmi, millä perusteella ja kuinka monta kertaa tunnistamistietoja on vuoden aikana käsitelty.

[HE: Jos yhteisötilaaja on työnantaja, sen on annettava työntekijöiden edustajalle vuosittain 13 d §:n 2 momentissa tarkoitetusta tunnistamistietojen manuaalisesta käsittelystä selvitys, josta on käytävä ilmi, millä perusteella ja kuinka monta kertaa tunnistamistietoja on vuoden aikana käsitelty.]

Edellä 1 momentissa tarkoitettu selvitys on annettava työ- tai virkaehtosopimuksen perusteella valitulle luottamusmiehelle tai, jos tällaista ei ole valittu, työsopimuslain (55/2001) 13 luvun 3 §:ssä tarkoitetulle luottamusvaltuutetulle. Jos jonkin henkilöstöryhmän työntekijät eivät ole valinneet luottamusmiestä tai luottamusvaltuutettua, on selvitys annettava yhteistoiminnasta yrityksissä annetun lain 8 §:ssä tai työnantajan ja henkilöstön välisestä yhteistoiminasta kunnissa annetun lain 3 §:ssä tarkoitetulle yhteistoimintaedustajalle taikka yhteistoiminnasta valtion virastoissa ja laitoksissa annetun lain 6 §:n 2 momentissa tarkoitetulle edustajalle. Jos näitäkään ei ole valittu, selvitys on annettava kaikille tähän henkilöstöryhmään kuuluville työntekijöille.

Työntekijöiden edustajien ja 2 momentissa tarkoitettujen työntekijöiden on pidettävä salassa tietoonsa saamat yrityssalaisuuden loukkaukset ja epäilyt yrityssalaisuuden loukkaamisesta koko työsuhteen voimassaoloajan. Virkamiehen ja muun viranomaisen palveluksessa toimivan salassapitovelvollisuudesta on voimassa, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) ja muualla laissa säädetään. Mitä edellä säädetään, ei estä tietojen luovuttamista valvontaviranomaiselle.

13 i [HE: h] § Ennakkoilmoitus ja vuosittainen selvitys tietosuojavaltuutetulle väärinkäytöstapauksissa

Yhteisötilaajan on ilmoitettava ennalta tietosuojavaltuutetulle tunnistamistietojen käsittelyn aloittamisesta. Ennakkoilmoituksesta on käytävä ilmi:

  1. 13 d ja 13 e §:ssä tarkoitetussa tunnistamistietojen käsittelyssä noudatettavien menettelyjen perusteet ja käytännöt [HE: 13 d §:ssä tarkoitetussa tunnistamistietojen käsittelyssä noudatettavien menettelyjen perusteet ja käytännöt];
  2. 13 c §:n 1 momentissa tarkoitetut tehtävät; ja
  3. miten yhteisötilaaja on järjestänyt 13 c §:n 2 momentin 2 kohdassa tai 3 momentissa tarkoitetun käsittelyä edeltävän tiedottamisvelvollisuutensa.

Yhteisötilaajan on annettava tietosuojavaltuutetulle vuosittain jälkikäteen selvitys tunnistamistietojen manuaalisesta käsittelystä. Selvityksestä on käytävä ilmi, millä perusteella ja kuinka monta kertaa tunnistamistietoja on vuoden aikana käsitelty.

13 j [HE: i] § Yhteisötilaajan oikeus säilyttää tunnistamistietoja väärinkäytöstapauksissa

Mitä edellä 13 a-13 i §:ssä säädetään, ei oikeuta yhteisötilaajaa säilyttämään tunnistamistietoja rekisterissä kauempaa kuin lain mukaan muutoin on sallittua.

[HE: Mitä 13 a-13 h §:ssä säädetään, ei oikeuta yhteisötilaajaa säilyttämään tunnistamistietoja rekisterissä kauempaa kuin lain mukaan muutoin on sallittua.]

13 k [HE: j] § Yhteisötilaajan oikeus tietojen luovuttamiseen väärinkäytöstapauksissa

Sen estämättä, mitä 8 §:n 3 momentissa säädetään, yhteisötilaajalla on oikeus luovuttaa asianomistajana tekemänsä rikosilmoituksen tai tutkintapyynnön yhteydessä poliisille käsiteltäviksi 13 a-13 j §:n mukaisesti saamansa yhteisötilaajan viestintäverkon tai viestintäpalvelun käyttäjän viestejä koskevat tunnistamistiedot.

[HE: Sen estämättä, mitä 8 §:n 3 momentissa säädetään, yhteisötilaajalla on oikeus luovuttaa asianomistajana tekemänsä rikosilmoituksen tai tutkintapyynnön yhteydessä poliisille käsiteltäviksi 13 a-13 i §:n mukaisesti saamansa yhteisötilaajan viestintäverkon tai viestintäpalvelun käyttäjän viestejä koskevat tunnistamistiedot.]