EDUSKUNNAN VASTAUS 69/2004 vp

EV 69/2004 vp - HE 125/2003 vp

Hallituksen esitys sähköisen viestinnän tietosuojalaiksi ja eräiksi siihen liittyviksi laeiksi

Asia

Hallitus on vuoden 2003 valtiopäivillä antanut eduskunnalle esityksensä sähköisen viestinnän tietosuojalaiksi ja eräiksi siihen liittyviksi laeiksi (HE 125/2003 vp).

Valiokuntakäsittely

Liikenne- ja viestintävaliokunta on antanut asiasta mietinnön (LiVM 13/2004 vp).

Päätös

Nyt koolla oleva eduskunta on hyväksynyt seuraavan lausuman:

Eduskunta edellyttää, että tietoturvamaksulla kerättävät varat ohjataan lyhentämättöminä kattamaan Viestintäviraston toiminnasta aiheutuvia kuluja.

Eduskunta on hyväksynyt seuraavat lait:

Sähköisen viestinnän tietosuojalaki

Eduskunnan päätöksen mukaisesti säädetään:

1 luku

Yleiset säännökset

1 §

Lain tarkoitus

Lain tarkoituksena on turvata sähköisen viestinnän luottamuksellisuuden ja yksityisyyden suojan toteutuminen sekä edistää sähköisen viestinnän tietoturvaa ja monipuolisten sähköisen viestinnän palvelujen tasapainoista kehittymistä.

2 §

Määritelmät

Tässä laissa tarkoitetaan:

1) viestillä viestintäverkossa osapuolten välillä tai vapaasti valikoituville vastaanottajille välitettävää puhelua, sähköpostiviestiä, tekstiviestiä, puheviestiä ja muuta vastaavaa sanomaa;

2) viestintäverkolla toisiinsa liitetyistä johtimista ja laitteista muodostuvaa järjestelmää, joka on tarkoitettu viestien siirtoon tai jakeluun johtimella, radioaalloilla, optisesti tai muulla sähkömagneettisella tavalla;

3) yleisellä viestintäverkolla viestintäverkkoa, jota tarjotaan etukäteen rajaamattomalle käyttäjäpiirille;

4) teleyrityksellä viestintämarkkinalain (393/2003) 2 §:n 17 kohdan mukaista verkkoyritystä tai 19 kohdan mukaista palveluyritystä;

5) verkkopalvelulla teleyrityksen toteuttamaa viestintäverkon tarjoamista käytettäväksi viestien siirtoon, jakeluun tai tarjolla pitoon etukäteen rajoittamattomalle käyttäjäpiirille;

6) viestintäpalvelulla sellaista teleyrityksen toteuttamaa viestien siirtämistä, jakelemista tai tarjolla pitämistä viestintäverkossa, jota tarjotaan etukäteen rajoittamattomalle käyttäjäpiirille;

7) lisäarvopalvelulla palvelua, joka perustuu tunnistamistietojen tai paikkatietojen käsittelyyn muuta tarkoitusta kuin verkkopalvelun tai viestintäpalvelun toteuttamista varten;

8) tunnistamistiedolla tilaajaan tai käyttäjään yhdistettävissä olevaa tietoa, jota viestintäverkoissa käsitellään viestien siirtämiseksi, jakelemiseksi tai tarjolla pitämiseksi;

9) paikkatiedolla tietoa, joka ilmaisee liittymän tai päätelaitteen maantieteellisen sijainnin ja jota käytetään muuhun tarkoitukseen kuin verkkopalvelun tai viestintäpalvelun toteuttamiseen;

10) tilaajalla oikeushenkilöä tai luonnollista henkilöä, joka on tehnyt sopimuksen viestintäpalvelun tai lisäarvopalvelun toimittamisesta;

11) yhteisötilaajalla viestintäpalvelun tai lisäarvopalvelun tilaajana olevaa yritystä tai yhteisöä, joka käsittelee viestintäverkossaan käyttäjien luottamuksellisia viestejä, tunnistamistietoja tai paikkatietoja;

12) käyttäjällä luonnollista henkilöä, joka käyttää viestintäpalvelua tai lisäarvopalvelua olematta välttämättä tämän palvelun tilaaja;

13) tietoturvalla hallinnollisia ja teknisiä toimia, joilla varmistetaan se, että tiedot ovat vain niiden käyttöön oikeutettujen saatavilla, ettei tietoja voida muuttaa muiden kuin siihen oikeutettujen toimesta ja että tiedot ja tietojärjestelmät ovat niiden käyttöön oikeutettujen hyödynnettävissä; sekä

14) käsittelyllä keräämistä, tallentamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita vastaavia toimenpiteitä.

3 §

Soveltamisala

Tätä lakia sovelletaan yleisissä viestintäverkoissa tarjottaviin verkkopalveluihin, viestintäpalveluihin, lisäarvopalveluihin ja palveluihin, joissa käsitellään palvelun käyttöä kuvaavia tietoja. Lisäksi lakia sovelletaan suoramarkkinointiin yleisissä viestintäverkoissa sekä tilaajaluettelopalveluihin ja numerotiedotuspalveluihin.

Tätä lakia ei sovelleta sisäisiin ja muihin rajoitetuille käyttäjäpiireille tarkoitettuihin viestintäverkkoihin, ellei näitä verkkoja ole liitetty 1 momentissa tarkoitettuun yleiseen viestintäverkkoon.

Lain 4 ja 5 §:ää sovelletaan kuitenkin myös sisäisiin ja muihin rajoitetuille käyttäjäpiireille tarkoitettuihin viestintäverkkoihin, vaikka näitä verkkoja ei ole liitetty 1 momentissa tarkoitettuun yleiseen viestintäverkkoon.

Henkilötietojen käsittelyyn sovelletaan, mitä henkilötietolaissa (523/1999) säädetään, jollei tästä laista muuta johdu.

Työnantajan ja työntekijän välisessä suhteessa sovelletaan lisäksi, mitä säädetään yksityisyyden suojasta työelämässä annetussa laissa (477/2001).

Tätä lakia ei sovelleta joukkoviestintäverkossa välitettävään viestiin, jos viestiä ei voi yksittäisessä tapauksessa yhdistää sitä vastaanottavaan tilaajaan tai käyttäjään.

Tätä lakia ei sovelleta viranomaistoimintaan viestintämarkkinalaissa tarkoitetussa viranomaisverkossa tai muussa yleiseen järjestykseen ja turvallisuuteen, maanpuolustukseen, pelastustehtäviin, väestönsuojeluun tai maaliikenteen, meriliikenteen, raideliikenteen taikka ilmaliikenteen turvallisuuteen liittyvien tarpeiden vuoksi rakennetussa viestintäverkossa.

Tätä lakia ei sovelleta, jos rahanpesun estämisestä ja selvittämisestä annetusta laista (68/1998) muuta johtuu.

2 luku

Yksityisyyden ja luottamuksellisen viestin suoja

4 §

Viestin, tunnistamistietojen ja paikkatietojen luottamuksellisuus

Viesti, tunnistamistiedot ja paikkatiedot ovat luottamuksellisia, jollei tässä tai muussa laissa toisin säädetä.

Viesti ei ole luottamuksellinen, jos se on saatettu yleisesti vastaanotettavaksi. Viestiin liittyvät tunnistamistiedot ovat kuitenkin luottamuksellisia. Verkkoviestin tunnistamistietojen luovuttamisesta säädetään sananvapauden käyttämisestä joukkoviestinnässä annetun lain (460/2003) 17 §:ssä.

Edellä 1 momentissa säädetty koskee myös verkkosivustojen selaamisesta kertyviä tunnistamistietoja.

5 §

Vaitiolovelvollisuus ja hyväksikäyttökielto

Se, joka on ottanut vastaan tai muutoin saanut tiedon luottamuksellisesta viestistä tai tunnistamistiedosta, jota ei ole hänelle tarkoitettu, ei saa ilman viestinnän osapuolen suostumusta ilmaista tai käyttää hyväksi viestin sisältöä, tunnistamistietoa tai tietoa viestin olemassaolosta, ellei laissa toisin säädetä.

Se, joka on ottanut vastaan tai muutoin saanut tiedon paikkatiedosta, jota ei ole hänelle tarkoitettu, ei saa ilman paikannettavan suostumusta ilmaista tai käyttää hyväksi paikkatietoa tai tietoa sen olemassaolosta, ellei laissa toisin säädetä.

Teleyrityksen, lisäarvopalvelun tarjoajan, yhteisötilaajan tai viestintämarkkinalain 137 §:ssä tarkoitetun teleurakoitsijan palveluksessa oleva tai ollut ei saa ilman viestinnän osapuolen tai paikannettavan suostumusta ilmaista, mitä hän on tehtävässään saanut tietää viesteistä, tunnistamistiedoista ja paikkatiedoista, ellei laissa toisin säädetä.

Edellä 3 momentissa tarkoitettu vaitiolovelvollisuus on myös sillä, joka toimii tai on toiminut teleyrityksen, lisäarvopalvelun tarjoajan, yhteisötilaajan tai teleurakoitsijan lukuun.

6 §

Viestin ja tunnistamistietojen suojaaminen

Tilaaja ja käyttäjä voi suojata viestinsä ja tunnistamistietonsa haluamallaan tavalla käyttäen hyväksi sitä varten tarjolla olevia teknisiä mahdollisuuksia, jollei laissa toisin säädetä. Suojauksen toteuttamisella ei saa häiritä verkkopalvelun ja viestintäpalvelun toteuttamista tai käyttämistä.

Sähköisen viestinnän teknisen suojauksen purkavan järjestelmän tai sen osan hallussapito, maahantuonti, valmistaminen ja levittäminen on kielletty, jos järjestelmän tai sen osan ensisijaisena käyttötarkoituksena on teknisen suojauksen oikeudeton purku.

Viestintävirasto voi antaa hyväksyttävästä syystä luvan poiketa 2 momentissa tarkoitetusta kiellosta.

7 §

Palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö

Viestintäverkkojen avulla toteutettu evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö on sallittua palvelun tarjoajalle, jos palvelun tarjoaja antaa käyttäjälle ymmärrettävät ja kattavat tiedot tallentamisen tai käytön tarkoituksesta. Samalla palvelun käyttäjälle on annettava mahdollisuus kieltää tässä momentissa tarkoitettu tallentaminen tai käyttö.

Edellä 1 momentissa säädetty palvelun tarjoajan tietojen antamisvelvollisuus ja käyttäjän kielto-oikeus ei koske tietojen sellaista tallentamista tai käyttöä, jonka ainoana tarkoituksena on toteuttaa tai helpottaa viestin välittämistä viestintäverkoissa tai joka on välttämätöntä sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt.

Edellä tässä pykälässä tarkoitettu tallentaminen ja käyttö on sallittua ainoastaan palvelun vaatimassa laajuudessa ja sillä ei saa rajoittaa yksityisyyden suojaa enempää kuin on välttämätöntä.

3 luku

Viestien ja tunnistamistietojen käsittely

8 §

Yleiset käsittelysäännöt

Viestin lähettäjä tai se, jolle viesti on tarkoitettu, voi käsitellä omia viestejään ja niihin liittyviä tunnistamistietoja, jollei jäljempänä tässä tai muussa laissa toisin säädetä.

Luottamuksellisia viestejä ja tunnistamistietoja saa käsitellä viestin lähettäjän tai sen, jolle viesti on tarkoitettu, suostumuksella tai jos laissa niin säädetään.

Jäljempänä 9—14 §:ssä tarkoitettu käsittely on sallittua ainoastaan käsittelyn tarkoituksen vaatimassa laajuudessa ja sillä ei saa rajoittaa luottamuksellisen viestin ja yksityisyyden suojaa enempää kuin on välttämätöntä. Tunnistamistietoja on sallittua luovuttaa ainoastaan niille tahoille, joilla on oikeus käsitellä tietoja asianomaisessa tilanteessa. Käsittelyn jälkeen viestit ja tunnistamistiedot on hävitettävä tai tehtävä sellaisiksi, ettei niitä voi yhdistää tilaajaan tai käyttäjään, ellei laissa toisin säädetä.

9 §

Tunnistamistietojen käsittely palvelujen toteuttamiseksi ja käyttämiseksi

Tunnistamistietoja saa käsitellä siinä määrin kuin se on tarpeen verkkopalvelun, viestintäpalvelun tai lisäarvopalvelun toteuttamiseksi ja käyttämiseksi sekä näiden tietoturvasta huolehtimiseksi.

Tunnistamistietoja saa käsitellä vain teleyrityksen, lisäarvopalvelun tarjoajan ja yhteisötilaajan palveluksessa oleva sekä näiden lukuun toimiva luonnollinen henkilö, jonka tehtävänä on käsitellä tietoja 1 momentissa ja 10—14 §:ssä erikseen säädettyjen tarkoitusten toteuttamiseksi.

10 §

Käsittely laskutusta varten

Teleyritys ja lisäarvopalvelun tarjoaja voi käsitellä keskinäisten maksujensa määrittämistä ja laskutusta varten välttämättömiä tunnistamistietoja.

Yhteisötilaaja voi käsitellä sisäistä laskutustaan varten välttämättömiä tunnistamistietoja.

Tietoyhteiskunnan palvelujen tarjoamisesta annetussa laissa (458/2002) tarkoitettu tietoyhteiskunnan palvelun tarjoaja voi käsitellä teleyrityksen hallinnoiman viestintäverkon välityksellä tarjottavien kuvatallenteiden, äänitallenteiden ja muiden maksullisten palvelujensa laskutusta varten välttämättömiä teleyritykseltä saamiaan tunnistamistietoja ja muita laskutuksen kannalta välttämättömiä tietoja, jos tilaaja tai käyttäjä, jota tiedot koskevat, on antanut siihen suostumuksensa.

Tietoyhteiskunnan palvelun tarjoajalla on oikeus saada teleyritykseltä 3 momentissa tarkoitetut tiedot. Luovutuksen saajaan sovelletaan, mitä tässä luvussa ja 2, 4 ja 5 luvussa säädetään viestinnän luottamuksellisuudesta ja yksityisyyden suojasta, viestien ja tunnistamistietojen käsittelystä, paikkatietojen käsittelystä ja viestinnän tietoturvasta lisäarvopalvelun tarjoajan osalta.

Laskun määräytymiseen liittyviä tietoja on säilytettävä vähintään kolme kuukautta laskun eräpäivästä tai tunnistamistiedon tallentumisesta riippuen siitä, kumpi näistä ajankohdista on myöhäisempi. Tietoja ei saa kuitenkaan säilyttää enää sen jälkeen, kun saatava on velan vanhentumisesta annetun lain (728/2003) mukaan vanhentunut. Laskua koskevan erimielisyyden synnyttyä laskua koskevat tiedot on kuitenkin säilytettävä siihen saakka, kunnes asia on sovittu tai ratkaistu.

Teleyrityksen ja lisäarvopalvelun tarjoajan on ilmoitettava tilaajalle tai käyttäjälle, millaisia tunnistamistietoja käsitellään ja kuinka kauan niiden käsittely kestää.

11 §

Käsittely markkinointia varten

Teleyritys voi viestintäpalvelujen tai lisäarvopalvelujen markkinoimiseksi käsitellä tunnistamistietoja siinä määrin ja niin kauan kuin tällainen markkinointi edellyttää, jos tilaaja tai käyttäjä, jota tiedot koskevat, on antanut siihen suostumuksensa.

Teleyrityksen on ilmoitettava tilaajalle tai käyttäjälle ennen kuin tämä antaa suostumuksensa, millaisia tunnistamistietoja käsitellään ja kuinka kauan niiden käsittely kestää.

Suostumuksen antajalla on oltava mahdollisuus peruuttaa tunnistamistietojen käsittelyä koskeva suostumuksensa.

12 §

Käsittely teknistä kehittämistä varten

Teleyritys ja lisäarvopalvelun tarjoaja voi käsitellä tunnistamistietoja palvelujen teknistä kehittämistä varten.

Ennen 1 momentissa tarkoitetun käsittelyn aloittamista teleyrityksen ja lisäarvopalvelun tarjoajan on ilmoitettava tilaajalle tai käyttäjälle, millaisia tunnistamistietoja käsitellään ja kuinka kauan niiden käsittely kestää.

Yhteisötilaaja voi käsitellä tunnistamistietoja oman toimintansa teknistä kehittämistä varten.

13 §

Käsittely väärinkäytöstapauksissa

Teleyritys, lisäarvopalvelun tarjoaja ja yhteisötilaaja voi käsitellä tunnistamistietoja, jos se on tarpeen verkkopalvelun, viestintäpalvelun tai lisäarvopalvelun yksittäisten maksullisten palvelujen käyttöä maksutta tai muiden siihen rinnastuvien käyttöä koskevien väärinkäytösten havaitsemiseksi, estämiseksi ja selvittämiseksi sekä esitutkintaan saattamiseksi.

14 §

Käsittely teknisen vian tai virheen havaitsemiseksi

Teleyritys, lisäarvopalvelun tarjoaja ja yhteisötilaaja voi käsitellä tunnistamistietoja, jos se on tarpeen viestinnän välittämisessä tapahtuneen teknisen vian tai virheen havaitsemiseksi.

15 §

Käsittelyä koskevien tietojen tallentaminen

Teleyrityksen on tallennettava tunnistamistietojen käsittelystä yksityiskohtaiset tapahtumatiedot. Tapahtumatiedoista on käytävä ilmi käsittelyn ajankohta, kesto ja käsittelijä. Tapahtumatiedot on säilytettävä kaksi vuotta niiden tallentamisesta.

Viestintävirasto voi antaa tarkempia määräyksiä 1 momentissa tarkoitetun tallentamisen ja säilyttämisen teknisestä toteuttamisesta.

4 luku

Paikkatiedot

16 §

Paikkatietojen käsittely ja luovutus

Teleyritys, lisäarvopalvelun tarjoaja ja yhteisötilaaja sekä näiden lukuun toimivat henkilöt saavat käsitellä paikkatietoja tässä luvussa säädetyin edellytyksin lisäarvopalvelun tarjoamiseksi ja hyödyntämiseksi. Tämän luvun säännöksiä ei kuitenkaan sovelleta paikkatietoihin, jos ne on tehty sellaisiksi, ettei niitä sellaisenaan tai muihin tietoihin liitettyinä voida yhdistää tilaajaan tai käyttäjään, ellei laissa toisin säädetä.

Paikkatietojen käsittely on rajoitettava teleyrityksen, lisäarvopalvelun tarjoajan ja yhteisötilaajan palveluksessa sekä näiden lukuun toimiviin henkilöihin, joiden tehtävänä on käsitellä paikkatietoja tässä luvussa tarkoitettujen toimien toteuttamiseksi.

Käsittely on sallittua ainoastaan käsittelyn tarkoituksen vaatimassa laajuudessa ja sillä ei saa rajoittaa yksityisyyden suojaa enemmän kuin on välttämätöntä. Käsittelyn jälkeen paikkatiedot on hävitettävä tai tehtävä sellaisiksi, ettei niitä voi yhdistää tilaajaan tai käyttäjään, ellei laissa toisin säädetä.

Tässä luvussa tarkoitetusta paikkatietojen käsittelyn kieltämisestä ja palvelukohtaisesta suostumuksesta päättää alle 15-vuotiaan puolesta hänen huoltajansa lapsen huollosta ja tapaamisoikeudesta annetun lain (361/1983) 4 §:n mukaisesti tai muun kuin alaikäisen vajaavaltaisen puolesta hänen edunvalvojansa siten kuin holhoustoimesta annetussa laissa (442/1999) säädetään, jollei tämä ole palvelun teknisen toteutuksen takia mahdotonta.

17 §

Tilaajan oikeus kieltää paikkatietojen käsittely

Teleyritys saa käsitellä paikkatietoja, jollei tilaaja ole sitä kieltänyt.

Teleyrityksen on huolehdittava, että tilaajalla on mahdollisuus helposti ja ilman erillistä maksua kieltää paikkatietojen käsittely, jollei laissa toisin säädetä.

Teleyrityksen on huolehdittava, että tilaajan saatavilla on helposti ja jatkuvasti tietoa käsiteltävien paikkatietojen tarkkuudesta ja käsittelyn tarkoituksesta sekä siitä, voidaanko paikkatiedot luovuttaa kolmannelle osapuolelle lisäarvopalvelun tarjoamista varten.

Ennen paikkatietojen luovuttamista lisäarvopalvelun tarjoajalle tai yhteisötilaajalle teleyrityksen on varmistuttava tarkoituksenmukaisella tavalla, että lisäarvopalvelun tarjoaminen perustuu 18 §:n 1 momentissa tarkoitettuun suostumukseen.

18 §

Paikannettavan palvelukohtainen suostumus

Lisäarvopalvelun tarjoajan tai yhteisötilaajan on pyydettävä paikannettavalta palvelukohtainen suostumus ennen paikkatietojen käsittelyn aloittamista, jollei suostumus yksiselitteisesti ilmene asiayhteydestä tai jollei laissa toisin säädetä.

Paikannettavalla on oltava mahdollisuus helposti ja ilman erillistä maksua peruuttaa 1 momentissa tarkoitettu suostumus, jollei laissa toisin säädetä.

Lisäarvopalvelun tarjoajan tai yhteisötilaajan on huolehdittava, että paikannettavan saatavilla on helposti ja jatkuvasti tietoa käsiteltävien paikkatietojen tarkkuudesta, käsittelyn täsmällisestä tarkoituksesta ja kestosta sekä siitä, voidaanko paikkatiedot luovuttaa kolmannelle osapuolelle lisäarvopalvelun tarjoamista varten. Lisäarvopalvelun tarjoajan tai yhteisötilaajan on erityisesti huolehdittava siitä, että nämä tiedot ovat paikannettavan saatavilla ennen 1 momentissa tarkoitettua suostumusta.

5 luku

Viestinnän tietoturva

19 §

Velvollisuus huolehtia tietoturvasta

Teleyrityksen ja lisäarvopalvelun tarjoajan on huolehdittava palvelujensa tietoturvasta. Yhteisötilaajan on huolehdittava käyttäjiensä tunnistamistietojen ja paikkatietojen käsittelyn tietoturvasta. Palvelun ja käsittelyn tietoturvasta huolehtiminen tarkoittaa toimia toiminnan turvallisuuden, tietoliikenneturvallisuuden, laitteisto- ja ohjelmistoturvallisuuden sekä tietoaineistoturvallisuuden varmistamiseksi. Nämä toimet on suhteutettava uhkien vakavuuteen, tekniseen kehitystasoon ja kustannuksiin.

Teleyritys ja lisäarvopalvelun tarjoaja vastaa tilaajille ja käyttäjille 1 momentissa tarkoitetusta tietoturvasta myös sellaisen kolmannen osapuolen osalta, joka kokonaan tai osittain toteuttaa verkkopalvelun, viestintäpalvelun tai lisäarvopalvelun. Edellä tässä momentissa tarkoitettu koskee yhteisötilaajaa käyttäjien tunnistamistietojen ja paikkatietojen käsittelyn osalta.

Viestintävirasto voi antaa teleyritykselle tarkempia määräyksiä 1 ja 2 momentissa tarkoitetusta palvelun tietoturvasta.

20 §

Toimenpiteet tietoturvan toteuttamiseksi

Tietoturvaloukkausten torjumiseksi ja tietoturvaan kohdistuvien häiriöiden poistamiseksi teleyrityksellä, lisäarvopalvelun tarjoajalla tai yhteisötilaajalla ja näiden lukuun toimivalla on oikeus ryhtyä välttämättömiin toimiin 19 §:ssä tarkoitetun tietoturvan varmistamiseksi:

1) estämällä sähköpostiviestien, tekstiviestien ja muiden vastaavien viestien välittäminen ja vastaanottaminen;

2) poistamalla tietoturvaa vaarantavat haittaohjelmat viesteistä; sekä

3) toteuttamalla muut näihin rinnastettavat teknisluonteiset toimet.

Edellä 1 momentissa tarkoitettuihin toimiin saa ryhtyä vain, jos toimet ovat välttämättömiä verkkopalvelujen tai viestintäpalvelujen taikka viestin vastaanottajan viestintämahdollisuuksien turvaamiseksi.

Viestin sisältöön saa puuttua ainoastaan teknisin keinoin viestin tarkastamiseksi ja poistamiseksi, jos on todennäköisiä syitä epäillä viestin sisältävän sellaisen tietokoneohjelman tai ohjelmakäskyjen sarjan, jota tarkoitetaan rikoslain (39/1889) 34 luvun 9 a §:n 1 kohdassa tai jos on todennäköisiä syitä epäillä, että viestiä käytetään rikoslain 38 luvun 5 §:ssä säädettyyn tietoliikenteen häirintään.

Toimenpiteet on toteutettava huolellisesti ja ne on mitoitettava torjuttavan häiriön vakavuuteen. Toimenpiteitä toteutettaessa ei saa rajoittaa sananvapautta taikka luottamuksellisen viestin tai yksityisyyden suojaa enempää kuin on välttämätöntä verkkopalvelujen tai viestintäpalvelujen taikka viestin vastaanottajan viestintämahdollisuuksien turvaamiseksi. Toimenpiteet on lopetettava heti, kun niiden toteuttamiselle ei enää ole tässä pykälässä säädettyjä edellytyksiä.

Viestintävirasto voi antaa tarkempia määräyksiä tietoturvaloukkausten tässä pykälässä tarkoitetusta teknisestä torjumisesta ja tietoturvaan kohdistuvien häiriöiden poistamisesta.

21 §

Tietoturvailmoitukset

Jos 19 §:ssä tarkoitetun palvelun tietoturvaan kohdistuu erityinen uhka, teleyrityksen ja lisäarvopalvelun tarjoajan on ilmoitettava uhkasta viipymättä tilaajalle ja kerrottava samalla tilaajan ja käyttäjän käytettävissä olevista toimenpiteistä uhkan torjumiseksi sekä niiden todennäköisistä kustannuksista.

Teleyrityksen on ilmoitettava Viestintävirastolle verkkopalvelun ja viestintäpalvelun merkittävistä tietoturvaloukkauksista ja sellaisista niihin kohdistuvista tietoturvauhkista, joista teleyritys on tietoinen. Lisäksi teleyrityksen on ilmoitettava Viestintävirastolle palvelujen merkittävistä vikatilanteista ja häiriötilanteista. Samalla on ilmoitettava toimenpiteistä, joilla tällaisten tietoturvaloukkausten ja niiden uhkien sekä vika- ja häiriötilanteiden toistuminen pyritään estämään.

Teleyrityksen on torjuttuaan palveluunsa kohdistuneen merkittävän tietoturvaloukkauksen tai -uhkan taikka poistettuaan häiriön tiedotettava tarkoituksenmukaisella tavalla toteuttamistaan toimista ja niiden mahdollisista vaikutuksista palvelun käyttöön.

Viestintävirasto voi antaa tarkempia määräyksiä 1 ja 2 momentissa tarkoitettujen ilmoitusten sisällöstä, muodosta ja Viestintävirastolle toimittamisesta tai ohjeita 3 momentissa tarkoitetun tiedottamisen sisällöstä ja muodosta.

6 luku

Puhelupalvelut

22 §

Liittymän tunnistus

Liittymän tunnistusta tarjoavan teleyrityksen on annettava tilaajalle helppokäyttöinen mahdollisuus estää:

1) jokaisen liittymänsä tunnistus;

2) tulevien puhelujen liittymän tunnistus;

3) sellaisten tulevien puhelujen vastaanotto, joiden liittymän tunnistus on estetty, milloin se on teknisesti ja ilman kohtuuttomia kustannuksia mahdollista; sekä

4) sen liittymän tunnistus, johon liittymään tulevat puhelut on siirretty.

Edellä 1 momentin 1, 2 ja 4 kohdassa tarkoitettujen palvelujen on oltava tilaajalle maksuttomia.

Liittymän tunnistusta tarjoavan teleyrityksen on annettava käyttäjälle helppokäyttöinen ja maksuton mahdollisuus estää jokaisen lähtevän puhelun osalta erikseen liittymänsä tunnistus.

Teleyrityksen on tiedotettava tilaajalle ja käyttäjälle tässä pykälässä tarkoitetuista palveluista.

Teleyrityksen on huolehdittava siitä, että 1 ja 3 momentissa tarkoitetut estot voidaan ohittaa luovutettaessa tietoja hätäilmoituksia vastaanottaville viranomaisille 35 §:n mukaisesti tai toteutettaessa 36 §:ssä säädettyä poliisin tiedonsaantioikeutta.

Viestintävirasto voi antaa teknisiä määräyksiä 1, 3 ja 5 momentissa tarkoitetun tunnistuksen eston ohittamisesta.

23 §

Automaattinen soitonsiirto

Teleyrityksen on käyttäjän pyynnöstä maksutta poistettava kolmannen osapuolen tekemä automaattinen soitonsiirto käyttäjän liittymään.

24 §

Laskun yhteyskohtainen erittely

Teleyritys ei saa luovuttaa laskun yhteyskohtaista erittelyä, ellei tässä pykälässä toisin säädetä.

Sen lisäksi, mitä viestintämarkkinalain 80 §:ssä laskun erittelystä säädetään, teleyrityksen on tilaajan sitä pyytäessä annettava laskun yhteyskohtainen erittely. Erittely on annettava tilaajalle siten, että puhelinnumeron kolme viimeistä numeroa on peitetty tai muutoin siten, ettei erittelystä voida tunnistaa viestinnän toista osapuolta.

Teleyrityksen on annettava käyttäjän sitä pyytäessä laskun yhteyskohtainen erittely, jossa on eritelty viestinnän osapuolten liittymien numerot tai viestintäpalvelun muut tunnistamistiedot täydellisesti. Käyttäjän puhevaltaa käyttää alle 15-vuotiaan puolesta hänen huoltajansa lapsen huollosta ja tapaamisoikeudesta annetun lain 4 §:n mukaisesti tai muun kuin alaikäisen vajaavaltaisen puolesta hänen edunvalvojansa siten kuin holhoustoimesta annetussa laissa säädetään.

Sen estämättä, mitä 2 momentissa säädetään, teleyrityksen on annettava tilaajalle erittely palvelutyypeittäin sellaisista yhteyksistä, joista aiheutuu tilaajalle muita kuin viestintäpalvelun käytöstä johtuvia maksuja.

Liittymän yhteyskohtainen erittely ei saa sisältää maksuttomien palvelujen tunnistamistietoja.

Viestintävirasto voi antaa tarkempia määräyksiä tässä pykälässä tarkoitetun erittelyn sisällöstä ja toteuttamistavasta.

25 §

Puhelinluettelot ja muut tilaajaluettelot sekä numerotiedotus

Puhelinluettelon, muun tilaajaluettelon ja numerotiedotuksen tarjoajalla on oikeus käsitellä henkilötietoja luettelopalvelun ja numerotiedotuksen muodostamiseksi sekä niiden tarjoamista varten.

Tilaajan oikeudesta saada nimeään, osoitettaan ja puhelinnumeroaan koskevat yhteystietonsa puhelinluetteloon säädetään viestintämarkkinalain 57 §:ssä. Teleyrityksen tai lisäarvopalvelun tarjoajan velvollisuudesta luovuttaa yhteystietoja toisille palvelujen tarjoajille puhelinluettelon laatimista tai numerotiedotuspalvelun tarjoamista varten säädetään viestintämarkkinalain 58 §:ssä.

Teleyrityksen on ilmoitettava tilaajana olevalle luonnolliselle henkilölle yleisesti saatavilla olevan tai luettelopalvelun kautta käytettävissä olevan puhelinluettelon tai muun tilaajaluettelon taikka numerotiedotuspalvelun tarkoituksesta ja käytöstä. Ilmoitus on annettava maksutta ennen kuin hänen tietonsa merkitään tilaajaluetteloon tai numerotiedotuspalveluun.

Teleyrityksen on annettava tilaajana olevalle luonnolliselle henkilölle mahdollisuus maksutta kieltää tietojensa merkitseminen kokonaan tai osittain puhelinluetteloon, muuhun tilaajaluetteloon ja numerotiedotuspalveluun. Teleyrityksen sekä tilaajaluettelopalvelua ja numerotiedotuspalvelua tarjoavan yrityksen, joka on saanut yhteystiedot viestintämarkkinalain 58 §:n nojalla, on tilaajana olevan luonnollisen henkilön pyynnöstä maksutta poistettava ja korjattava virheelliset tiedot. Tarkastusoikeuden toteuttamisesta säädetään henkilötietolain 26 §:ssä.

Tilaajana olevalla luonnollisella henkilöllä on oikeus maksutta kieltää tässä pykälässä tarkoitettujen yhteystietojensa edelleen luovuttaminen.

Teleyrityksen on annettava puhelinluetteloon, muuhun tilaajaluetteloon ja numerotiedotuspalveluun merkitylle yritykselle ja muulle yhteisölle oikeus saada tietonsa tarkistetuiksi ja poistetuiksi sekä virheelliset tiedot korjatuiksi.

7 luku

Suoramarkkinointi

26 §

Suoramarkkinointi luonnolliselle henkilölle

Automatisoitujen soittojärjestelmien sekä telekopiolaitteiden, sähköpostiviestien, tekstiviestien, puheviestien, ääniviestien tai kuvaviestien avulla toteutettua suoramarkkinointia saa kohdistaa vain sellaisiin luonnollisiin henkilöihin, jotka ovat antaneet siihen ennalta suostumuksensa.

Muuta kuin 1 momentissa tarkoitettua suoramarkkinointia luonnolliselle henkilölle saa harjoittaa, jollei tämä ole sitä nimenomaisesti kieltänyt. Luonnollisen henkilön on voitava helposti ja maksutta kieltää tässä momentissa tarkoitettu suoramarkkinointi.

Jos palvelun tarjoaja tai tuotteen myyjä saa asiakkaana olevalta luonnolliselta henkilöltä sähköpostiviestiin, tekstiviestiin, puheviestiin, ääniviestiin tai kuvaviestiin liittyvän yhteystiedon tuotteen tai palvelun myynnin yhteydessä, sama palvelun tarjoaja tai tuotteen myyjä voi sen estämättä, mitä 1 momentissa säädetään, käyttää tätä yhteystietoa omien samaan tuoteryhmään kuuluvien tai muuten vastaavien tuotteiden ja palvelujen suoramarkkinoinnissa. Palvelun tarjoajan tai tuotteen myyjän on annettava asiakkaana olevalle luonnolliselle henkilölle mahdollisuus ilman erillistä maksua ja helposti kieltää yhteystiedon käyttö tiedon keräämisen ja jokaisen sähköpostiviestin, tekstiviestin, puheviestin, ääniviestin ja kuvaviestin yhteydessä. Palvelun tarjoajan tai tuotteen myyjän on selkeästi tiedotettava kieltomahdollisuudesta.

27 §

Suoramarkkinointi yhteisölle

Suoramarkkinointia yhteisölle saa harjoittaa, jollei tämä ole sitä nimenomaisesti kieltänyt.

Yhteisölle on annettava mahdollisuus helposti ja ilman erillistä maksua kieltää yhteystietojensa käyttö jokaisen suoramarkkinointitarkoituksessa lähetetyn sähköpostiviestin, tekstiviestin, puheviestin, ääniviestin ja kuvaviestin yhteydessä. Suoramarkkinointia harjoittavan on selkeästi tiedotettava kieltomahdollisuudesta.

28 §

Suoramarkkinoinnin tunnistaminen

Edellä 26 ja 27 §:ssä säädettyyn suoramarkkinointiin tarkoitettu sähköpostiviesti, tekstiviesti, puheviesti, ääniviesti ja kuvaviesti on voitava sitä vastaanotettaessa selvästi ja yksiselitteisesti tunnistaa markkinoinniksi.

Sellaisen suoramarkkinointiin tarkoitetun sähköpostiviestin, tekstiviestin, puheviestin, ääniviestin ja kuvaviestin lähettäminen on kiellettyä:

1) jossa peitetään tai salataan sen lähettäjän henkilöllisyys, jonka puolesta viesti on lähetetty; ja

2) jossa ei ole voimassa olevaa osoitetta, johon vastaanottaja voi lähettää pyynnön siitä, että kyseinen viestintä lopetetaan.

29 §

Suoramarkkinoinnin vastaanottamisen estäminen

Käyttäjän pyynnöstä teleyrityksellä ja yhteisötilaajalla on oikeus estää 26—28 §:ssä tarkoitetun suoramarkkinoinnin vastaanottaminen. Toimenpiteet on toteutettava huolellisesti, eikä niillä saa rajoittaa sananvapautta taikka luottamuksellisen viestin tai yksityisyyden suojaa enemmän kuin on välttämätöntä.

8 luku

Ohjaus ja valvonta

30 §

Yleinen ohjaus ja kehittäminen

Yleinen ohjaus ja kehittäminen tämän lain tarkoituksen toteutumiseksi kuuluu liikenne- ja viestintäministeriölle.

31 §

Viestintäviraston tehtävät

Viestintäviraston tehtävänä on:

1) valvoa tämän lain sekä sen nojalla annettujen säännösten ja määräysten noudattamista siltä osin kuin 32 §:stä ei muuta johdu;

2) kerätä tietoa verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvista tietoturvaloukkauksista ja niiden uhkista sekä näiden palvelujen merkittävistä vikatilanteista ja häiriötilanteista;

3) selvittää verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvia tietoturvaloukkauksia ja niiden uhkia sekä merkittäviä näiden palvelujen vikatilanteita ja häiriötilanteita; sekä

4) tiedottaa tietoturva-asioista.

32 §

Tietosuojavaltuutetun tehtävät

Tietosuojavaltuutetun tehtävänä on valvoa:

1) edellä 4 luvussa tarkoitettua paikkatietojen käsittelyä;

2) edellä 25 §:ssä tarkoitettuja puhelinluetteloita ja muita tilaajaluetteloita sekä numerotiedotusta koskevien säännösten noudattamista;

3) edellä 7 lukuun sisältyvien suoramarkkinointia koskevien säännösten noudattamista; sekä

4) jäljempänä 9 lukuun sisältyvien tiedonsaantioikeuksia ja vaitiolovelvollisuutta koskevien säännösten noudattamista paikkatietojen osalta.

9 luku

Tiedonsaantioikeus

33 §

Ohjaus- ja valvontaviranomaisten tiedonsaantioikeus

Liikenne- ja viestintäministeriöllä, Viestintävirastolla ja tietosuojavaltuutetulla on oikeus saada tässä laissa säädettyjen tehtäviensä hoitamiseksi välttämättömät tiedot salassapitosäännösten tai muiden tietojen luovuttamista koskevien rajoitusten estämättä teleyritykseltä, lisäarvopalvelun tarjoajalta, yhteisötilaajalta, teleurakoitsijalta, palvelun tarjoajalta, joka käsittelee palvelun käyttöä kuvaavia tietoja, suoramarkkinoinnin harjoittajalta, tilaajaluettelopalvelun ja numerotiedotuspalvelun tarjoajalta sekä näiden lukuun toimivilta niiden harjoittamasta tässä laissa tarkoitetusta toiminnasta. Liikenne- ja viestintäministeriön, Viestintäviraston ja tietosuojavaltuutetun tiedonsaantioikeus ei koske tietoja luottamuksellisista viesteistä, tunnistamistiedoista tai paikkatiedoista.

Sen estämättä, mitä 5 §:ssä säädetään, Viestintävirastolla on oikeus saada tarpeelliset tunnistamistiedot ja paikkatiedot verkkopalvelun, viestintäpalvelun ja lisäarvopalvelun vikatilanteiden tai häiriötilanteiden taikka laskutukseen liittyvien epäselvyyksien selvittämiseksi.

Viestintävirastolla ja tietosuojavaltuutetulla on oikeus saada tässä laissa säädettyjen tehtävien hoitamiseksi tunnistamistiedot, paikkatiedot ja 20 §:n 2 momentissa tarkoitetut viestit, jos ne ovat tarpeen käsittelyä, 7 §:ssä tarkoitettujen tietojen käyttöä tai suoramarkkinointia koskevien säännösten noudattamisen valvomiseksi tai merkittävien tietoturvaloukkausten ja -uhkien selvittämiseksi ja jos Viestintäviraston tai tietosuojavaltuutetun arvion mukaan on syytä epäillä, että jokin seuraavista tunnusmerkistöistä täyttyy:

1) tämän lain 42 §:n 2 momentissa tarkoitettu sähköisen viestinnän tietosuojarikkomus;

2) rikoslain 28 luvun 7 §:ssä tarkoitettu luvaton käyttö;

3) rikoslain 34 luvun 9 a §:ssä tarkoitettu vaaran aiheuttaminen tietojenkäsittelylle;

4) rikoslain 35 luvun 1 §:n 2 momentissa tarkoitettu vahingonteko;

5) rikoslain 38 luvun 1 §:ssä tarkoitettu salassapitorikos;

6) rikoslain 38 luvun 3 §:ssä tarkoitettu viestintäsalaisuuden loukkaus;

7) rikoslain 38 luvun 5 §:ssä tarkoitettu tietoliikenteen häirintä;

8) rikoslain 38 luvun 8 §:ssä tarkoitettu tietomurto;

9) rikoslain 38 luvun 8 a §:ssä tarkoitettu suojauksen purkujärjestelmärikos; tai

10) rikoslain 38 luvun 9 §:ssä tarkoitettu henkilörekisteririkos.

Liikenne- ja viestintäministeriöllä, Viestintävirastolla ja tietosuojavaltuutetulla on oikeus käsitellä saamiaan tietoja ainoastaan tässä laissa säädettyjen tehtäviensä hoitamiseksi.

Viestintäviraston ja tietosuojavaltuutetun on hävitettävä 3 momentin nojalla saamansa tiedot luottamuksellisista viesteistä, tunnistamistiedoista ja paikkatiedoista, kun ne eivät enää ole tarpeen 3 momentissa säädettyjen tehtävien tai niitä koskevan rikosasian käsittelemiseksi. Tiedot luottamuksellisista viesteistä, tunnistamistiedoista ja paikkatiedoista on hävitettävä viimeistään kahden vuoden tai, jos on kysymys tietoturvaloukkausten selvittämistä koskevista tiedoista, viimeistään kymmenen vuoden kuluttua sen kalenterivuoden päättymisestä, jonka aikana tiedot saatiin tai päätös taikka tuomio tässä momentissa tarkoitetuissa asioissa sai lainvoiman.

Tässä pykälässä säädetty tiedonsaantioikeus ei koske luottolaitostoiminnasta annetun lain (1607/1993) 94 §:ssä tai oikeudenkäymiskaaren 17 luvun 24 §:n 2 ja 3 momentissa tarkoitettuja tietoja.

34 §

Valvontaviranomaisten vaitiolovelvollisuus ja tietojen luovuttaminen

Viestintäviraston ja tietosuojavaltuutetun 33 §:n 3 momentin nojalla saamat tiedot luottamuksellisista viesteistä, tunnistamistiedoista ja paikkatiedoista on pidettävä salassa.

Viestintävirastolla ja tietosuojavaltuutetulla on muun kuin 1 momentissa tarkoitetun salassapitosäännöksen tai muun tietojen luovuttamista koskevan rajoituksen estämättä oikeus luovuttaa tässä laissa säädettyjä tehtäviä suorittaessaan saamiaan 33 §:n 1 momentissa tarkoitettuja tietoja liikenne- ja viestintäministeriölle.

Viestintävirastolla on 1 momentissa tarkoitetun salassapitosäännöksen tai muun tietojen luovuttamista koskevan rajoituksen estämättä oikeus luovuttaa tietoturvaloukkauksia koskevan tiedonkeruun ja selvittämisen yhteydessä saamiaan tunnistamistietoja niille teleyrityksille, lisäarvopalvelun tarjoajille ja yhteisötilaajille, joita on käytetty hyväksi tietoturvaloukkauksessa tai jotka ovat joutuneet tietoturvaloukkauksen kohteiksi, jos Viestintäviraston arvion mukaan on syytä epäillä, että jokin edellä 33 §:n 3 momentin 1—10 kohdassa mainittu tunnusmerkistö täyttyy.

Viestintävirastolla on oikeus luovuttaa 3 momentissa tarkoitettuja tunnistamistietoja ainoastaan siinä laajuudessa kuin se on tarpeen tietoturvaloukkausten ehkäisemiseksi ja selvittämiseksi.

Muilta osin valvontaviranomaisten tietojen salassapidosta on voimassa, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) säädetään.

35 §

Tietojen luovuttaminen hätäilmoituksia vastaanottaville viranomaisille

Teleyritys on velvollinen luovuttamaan hätäkeskukselle, meripelastuskeskukselle ja meripelastuslohkokeskukselle sekä poliisin hälytyskeskukselle käsiteltäväksi:

1) sen liittymän ja päätelaitteen tunnistamistiedot ja paikkatiedot, josta hätäilmoitus on tehty, ja tiedot liittymän tilaajasta, käyttäjästä ja asennusosoitteesta; sekä

2) hätäilmoituksen kohteena olevan käyttäjän päätelaitteen ja liittymän sijainnin ilmaisevat tunnistamistiedot ja paikkatiedot, jos käyttäjä on hätäilmoituksen vastaanottaneen viranomaisen perustellun käsityksen mukaan ilmeisessä hädässä tai välittömässä vaarassa.

Edellä 1 momentissa tarkoitetut tiedot on luovutettava 5 §:ssä tarkoitetun vaitiolovelvollisuuden ja 4 luvussa tarkoitettujen paikkatietojen käsittelyä koskevien edellytysten estämättä ja riippumatta siitä, mitä tilaaja tai käyttäjä on sopinut teleyrityksen kanssa tietojen pitämisestä salassa.

Lisäarvopalvelun tarjoajalla on oikeus luovuttaa 1 momentissa tarkoitetut tiedot hätäkeskukselle, meripelastuskeskukselle ja meripelastuslohkokeskukselle sekä poliisin hälytyskeskukselle.

Teleyrityksen on viipymättä ilmoitettava hätäkeskukselle, meripelastuskeskukselle, meripelastuslohkokeskukselle ja poliisin hälytyskeskukselle hätäpuheluiden välittämisen kannalta merkittävistä viestintäverkon, verkkopalvelun ja viestintäpalvelun vikatilanteista ja häiriötilanteista.

Edellä 1 momentissa säädettyjen velvollisuuksien toteuttamisesta aiheutuvien kustannusten korvaamisesta säädetään viestintämarkkinalain 98 §:ssä.

36 §

Eräiden muiden viranomaisten tiedonsaantioikeus

Viranomaisten oikeudesta saada tunnistamistietoja rikosten ennalta estämiseksi ja paljastamiseksi säädetään poliisilaissa (493/1995) ja tullilaissa (1466/1994). Viranomaisten oikeudesta saada tunnistamistietoja rikoksen selvittämiseksi säädetään pakkokeinolaissa (450/1987).

Poliisilla on 5 §:ssä säädetyn vaitiolovelvollisuuden estämättä oikeus saada teleyritykseltä:

1) rikoslain 16 luvun 9 a §:ssä tarkoitetun lähestymiskiellon rikkomisen, 17 luvun 13 §:n 2 kohdassa tarkoitetun ilkivallan tai 24 luvun 1 §:n 2 kohdassa tarkoitetun kotirauhan rikkomisen selvittämiseksi tarvittavia tunnistamistietoja liittymään otetuista yhteyksistä asianomistajan ja sen suostumuksella, jonka hallinnassa liittymä on; sekä

2) tilaajan tai päätelaitteen omistajan suostumuksella matkaviestimestä lähetettyjä viestejä koskevat tunnistamistiedot siltä osin kuin se on tarpeen sellaisen rikoksen selvittämiseksi, jonka johdosta matkaviestin tai siinä käytetty liittymä on oikeudettomasti toisen hallussa.

Edellä tässä pykälässä säädettyjen velvollisuuksien toteuttamisesta aiheutuvien kustannusten korvaamisesta säädetään viestintämarkkinalain 98 §:ssä.

37 §

Käyttäjän erityinen tiedonsaantioikeus

Käyttäjällä on oikeus saada teleyritykseltä tämän hallussa olevat tunnistamistiedot, jotka ilmaisevat liittymän tai päätelaitteen sijainnin tietyllä hetkellä.

Edellä 1 momentissa tarkoitetun käyttäjän puhevaltaa käyttää alle 15-vuotiaan puolesta hänen huoltajansa lapsen huollosta ja tapaamisoikeudesta annetun lain 4 §:n mukaisesti tai muun kuin alaikäisen vajaavaltaisen puolesta hänen edunvalvojansa siten kuin holhoustoimesta annetussa laissa säädetään.

10 luku

Tietoturvamaksu

38 §

Maksun määräytymisen perusteet

Ilmoituksenvaraista tai toimiluvanvaraista toimintaa harjoittava teleyritys on velvollinen suorittamaan Viestintävirastolle vuotuisen tietoturvamaksun. Teleyrityksiltä perittävät tietoturvamaksut vastaavat niitä kokonaiskustannuksia, jotka aiheutuvat Viestintävirastolle tässä laissa säädettyjen teleyrityksiä koskevien tehtävien hoitamisesta.

39 §

Tietoturvamaksun suuruus

Tietoturvamaksua ei peritä televisio- ja radiotoiminnasta annetussa laissa (744/1998) tarkoitetun televisio- tai radiotoiminnan taikka televisio-ohjelmien tai radio-ohjelmien edelleen lähettämisen liikevaihdosta.

Tietoturvamaksu määritellään maksuyksiköiden lukumääränä maksuluokittain. Maksuyksikön suuruus on 80 euroa. Yritykset jaetaan maksuluokkiin niiden kustannusten huomioon ottamiseksi, jotka Viestintävirastolle keskimäärin aiheutuvat kunkin maksuluokan yritystä koskevien tehtävien hoitamisesta. Teleyrityksen maksuluokka määräytyy teleyrityksen Suomessa harjoittaman teletoiminnan maksun määräämistä edeltävän kauden liikevaihdon perusteella.

Jos teleyritys kuuluu kirjanpitolain (1336/1997) 1 luvun 6 §:n mukaiseen konserniin, teleyrityksen maksun perusteena on yrityksen osuus samaan konserniin kuuluvien maksuvelvollisten teleyritysten Suomessa harjoittaman teletoiminnan yhteisestä liikevaihdosta vähennettynä yhtiöiden keskinäisellä tästä toiminnasta syntyneellä liikevaihdolla. Jotta maksu määrätään, edellytetään lisäksi, että yritysten muodostamaan konserniin kuuluvalla yrityksellä on tietoturvamaksun perusteena olevaa teletoiminnan liikevaihtoa. Maksu määräytyy tässä momentissa säädetyllä tavalla myös niissä tapauksissa, joissa emoyhtiö ei ole suomalainen.

Liikenne- ja viestintäministeriön asetuksella voidaan antaa tarkempia säännöksiä siitä, miten maksun määräämiseksi tarpeelliset tiedot on ilmoitettava Viestintävirastolle.

Tietoturvamaksu määräytyy seuraavasti:

Maksu-luokka Liikevaihto (milj. €) Yksiköiden määrä
1 alle 1 2
2 1 — alle 2 4
3 2 — alle 4 7
4 4 — alle 8 14
5 8 — alle 16 26
6 16 — alle 32 50
7 32 — alle 64 94
8 64 — alle 128 179
9 128 — alle 256 340
10 256 — alle 512 645
11 512 — alle 1 024 1 226
12 1 024 tai yli 2 330
40 §

Tietoturvamaksun määrääminen ja periminen

Tietoturvamaksun määrää maksettavaksi Viestintävirasto. Tarkempia säännöksiä maksun täytäntöönpanosta voidaan antaa liikenne- ja viestintäministeriön asetuksella.

Tietoturvamaksu saadaan periä ilman tuomiota tai päätöstä siinä järjestyksessä kuin verojen ja maksujen perimisestä ulosottotoimin annetussa laissa (367/1961) säädetään. Jollei maksua suoriteta viimeistään eräpäivänä, maksamattomalle määrälle peritään vuotuista viivästyskorkoa korkolain (633/1982) 4 §:ssä tarkoitetun korkokannan mukaan. Viivästyskoron sijasta viranomainen voi periä viiden euron suuruisen viivästysmaksun, jos viivästyskoron määrä jää tätä pienemmäksi.

11 luku

Erinäiset säännökset

41 §

Pakkokeinot

Jos joku rikkoo tätä lakia tai sen nojalla annettuja säännöksiä tai määräyksiä eikä kehotuksesta huolimatta kohtuullisessa määräajassa oikaise menettelyään, Viestintävirasto voi 31 §:n 1 kohdassa ja tietosuojavaltuutettu 32 §:ssä tarkoitettuja tehtäviä hoitaessaan velvoittaa rikkojan korjaamaan virheensä tai laiminlyöntinsä. Viestintävirasto ja tietosuojavaltuutettu voi asettaa velvoitteen noudattamisen tehosteeksi uhkasakon tai uhan, että tekemättä jätetty toimenpide teetetään asianomaisen kustannuksella. Jos rikkomus on vakava, asetettava uhka voi koskea myös sitä, että toiminta keskeytetään osaksi tai kokonaan.

Viestintävirasto ja tietosuojavaltuutettu voi saattaa käsiteltävänään olevan asian esitutkinnan kohteeksi.

Uhkasakosta, keskeyttämisuhasta ja teettämisuhasta on voimassa, mitä uhkasakkolaissa (1113/1990) säädetään. Teettämällä suoritetun toimenpiteen kustannukset maksetaan etukäteen valtion varoista. Kustannukset saadaan periä ilman tuomiota tai päätöstä siinä järjestyksessä kuin verojen ja maksujen perimisestä ulosottotoimin annetussa laissa säädetään.

42 §

Rangaistussäännökset

Rangaistus viestintäsalaisuuden loukkaamisesta ja törkeästä viestintäsalaisuuden loukkaamisesta säädetään rikoslain 38 luvun 3 ja 4 §:ssä sekä rangaistus tietomurrosta rikoslain 38 luvun 8 §:ssä. Rangaistus 5 §:ssä säädetyn vaitiolovelvollisuuden rikkomisesta tuomitaan rikoslain 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava rikoslain 40 luvun 5 §:n mukaan tai siitä muualla säädetä ankarampaa rangaistusta.

Joka tahallaan

1) rikkoo 6 §:n 2 momentissa säädettyä teknisen suojauksen purkavan järjestelmän tai sen osan hallussapitoa, maahantuontia, valmistamista tai levittämistä koskevaa kieltoa,

2) laiminlyö 7 §:ssä säädetyt velvollisuudet,

3) laiminlyö 19 §:ssä säädetyn velvollisuuden huolehtia palvelujensa tai tunnistamistietojen ja paikkatietojen käsittelyn tietoturvasta,

4) laiminlyö 21 §:n 2 momentissa tai 35 §:n 4 momentissa säädetyn ilmoitusvelvollisuuden,

5) käsittelee tunnistamistietoja tai paikkatietoja 3 ja 4 luvussa säädetyn vastaisesti,

6) laiminlyö, mitä 24 §:ssä säädetään laskun yhteyskohtaisesta erittelystä,

7) laiminlyö, mitä 25 §:ssä säädetään puhelinluetteloihin ja muihin tilaajaluetteloihin sisältyvien henkilötietojen käsittelystä, tilaajalle luettelon tarkoituksesta ja käytöstä ilmoittamisesta, tietojen poistamisesta ja korjaamisesta, kielto-oikeuksista tai oikeushenkilöiden oikeuksista tai

8) harjoittaa suoramarkkinointia 7 luvussa säädetyn vastaisesti,

on tuomittava sähköisen viestinnän tietosuojarikkomuksesta sakkoon, jollei teosta muualla laissa säädetä ankarampaa rangaistusta.

Rangaistusta ei tuomita, jos rikkomus on vähäinen.

43 §

Muutoksenhaku

Viestintäviraston tai tietosuojavaltuutetun tämän lain nojalla antamaan päätökseen voidaan hakea muutosta noudattaen, mitä hallintolainkäyttölaissa (586/1996) säädetään. Viestintävirasto tai tietosuojavaltuutettu voi päätöksessään määrätä, että päätöstä on noudatettava ennen kuin se on saanut lainvoiman. Valitusviranomainen voi kuitenkin kieltää täytäntöönpanon, kunnes valitus on ratkaistu.

44 §

Voimaantulo- ja siirtymäsäännökset

Tämä laki tulee voimaan      päivänä               kuuta 200  .

Tällä lailla kumotaan:

1) yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta 22 päivänä huhtikuuta 1999 annettu laki (565/1999) siihen myöhemmin tehtyine muutoksineen; sekä

2) Viestintäviraston maksuista 11 päivänä joulukuuta 2002 annetun liikenne- ja viestintäministeriön asetuksen (1126/2002) 3 §:n 6 kohta ja 18 §.

Ennen tämän lain voimaantuloa voidaan ryhtyä lain täytäntöönpanon edellyttämiin toimiin.

Jos teleyritys on aloittanut paikkatietojen käsittelyn ennen tämän lain voimaantuloa ja tuolloin voimassa olleiden säännösten mukaisesti, tilaajalle on ilmoitettava paikkatietojen käsittelystä kuuden kuukauden kuluessa lain voimaantulosta. Jos tilaaja ei kiellä tietojen käsittelyä kolmen kuukauden kuluessa ilmoituksesta, paikkatietojen käsittelyä voidaan jatkaa 4 luvussa säädetyn mukaisesti.

Teleyrityksen on aloitettava 15 §:ssä tarkoitettu tietojen tallentaminen kuuden kuukauden kuluessa tämän lain voimaantulosta.

Edellä 25 §:ssä säädettyä ei sovelleta sellaisiin tilaajaluettelojen painoksiin, jotka on jo tuotettu tai saatettu markkinoille painetussa tai muussa kuin verkkokäyttöisessä sähköisessä muodossa ennen tämän lain voimaantuloa. Jos tilaajan tai käyttäjän tiedot on merkitty tilaajaluetteloon, joka on verkkokäyttöisessä sähköisessä muodossa yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta annetun lain mukaisesti ennen tämän lain voimaantuloa, teleyrityksen sekä tilaajaluettelopalvelua ja numerotiedotuspalvelua tarjoavan yrityksen, joka on saanut yhteystiedot viestintämarkkinalain 58 §:n nojalla, on annettava tilaajana olevalle luonnolliselle henkilölle tiedot tilaajaluettelon tarkoituksesta tai käytöstä ja 25 §:n 4 ja 5 momentissa tarkoitetuista oikeuksista vuoden kuluessa lain voimaantulosta. Jollei tilaajana oleva luonnollinen henkilö vaadi tietojensa poistamista, kyseiset tiedot saavat jäädä tilaajaluetteloon.

_______________

Laki

rikoslain 38 luvun 4 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan 19 päivänä joulukuuta 1889 annetun rikoslain (39/1889) 38 luvun 4 §:n 1 momentin 1 kohta, sellaisena kuin se on laissa 567/1999, seuraavasti:

38 luku

Tieto- ja viestintärikoksista

4 §

Törkeä viestintäsalaisuuden loukkaus

Jos viestintäsalaisuuden loukkauksessa

1) rikoksentekijä käyttää rikoksen tekemisessä hyväksi asemaansa sähköisen viestinnän tietosuojalaissa (/) tarkoitetun teleyrityksen palveluksessa tai muuta erityistä luottamusasemaansa,

- - - - - - - - - - - - - - - - - - -

ja viestintäsalaisuuden loukkaus on myös kokonaisuutena arvostellen törkeä, rikoksentekijä on tuomittava törkeästä viestintäsalaisuuden loukkauksesta vankeuteen enintään kolmeksi vuodeksi.

_______________

Tämä laki tulee voimaan      päivänä         kuuta 20     .

_______________

Laki

viestintämarkkinalain muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan 23 päivänä toukokuuta 2003 annetun viestintämarkkinalain (393/2003) 9 §:n 1 momentin 2 kohta, 12 §:n 1 momentin 1 kohta ja 128 §:n 2 momentti seuraavasti:

9 §

Toimiluvan aineelliset edellytykset

Toimilupa on myönnettävä, jos:

- - - - - - - - - - - - - - - - - - -

2) lupaviranomaisella ei ole perusteltua syytä epäillä hakijan rikkovan tämän lain, radiolain, sähköisen viestinnän tietosuojalain (/) tai muun teletoimintaa koskevan lain säännöksiä.

- - - - - - - - - - - - - - - - - - -

12 §

Toimiluvan peruuttaminen ja siirtäminen

Valtioneuvosto voi peruuttaa teleyrityksentoimiluvan osaksi tai kokonaan,

1) jos teleyritys on toistuvasti ja vakavasti rikkonut tämän lain, radiolain, sähköisen viestinnän tietosuojalain tai muun teletoimintaa koskevan lain säännöksiä taikka edellä 10 §:ssä tarkoitettuja toimilupaehtoja tai

- - - - - - - - - - - - - - - - - - -

ja teleyritys ei kehotuksesta huolimatta kohtuullisessa, vähintään kuukauden määräajassa korjaa menettelyään tai saata taloudellisia voimavarojaan jälleen riittäviksi.

- - - - - - - - - - - - - - - - - - -

128 §

Viestintäverkon ja viestintäpalvelun laatuvaatimukset

- - - - - - - - - - - - - - - - - - -

Teleyrityksen on välittömästi ilmoitettava Viestintävirastolle mahdollisesta merkittävästä viasta tai häiriöstä viestintäverkossa tai viestintäpalvelussa.

_______________

Tämä laki tulee voimaan      päivänä         kuuta 20     .

_______________

Laki

hätäkeskuslain 8 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan 18 päivänä helmikuuta 2000 annetun hätäkeskuslain (157/2000) 8 §:n 1 momentin 11 kohta, sellaisena kuin se on laissa 403/2003, seuraavasti:

8 §

Tiedonsaantioikeus rekistereistä

Hätäkeskuslaitoksen henkilöstöön kuuluvalla on hätäkeskukselle laissa säädettyjen tehtävien suorittamiseksi oikeus salassapitosäännösten estämättä saada tehtävän alkutoimenpiteiden tai työturvallisuuden varmistamiseksi taikka asianomaisen yksikön tukemiseksi tarpeellisia tietoja maksutta asianomaisen rekisterinpitäjän kanssa sovitulla tavalla. Tässä tarkoituksessa voidaan saada:

- - - - - - - - - - - - - - - - - - -

11) sähköisen viestinnän tietosuojalaissa (/) tarkoitetulta teleyritykseltä hätäilmoitusta koskevat liittymän tunnistamistiedot ja matkaviestimen sijaintitiedot sekä tiedot liittymän tilaajasta, käyttäjästä ja asennusosoitteesta sen mukaan kuin sähköisen viestinnän tietosuojalain 35 §:ssä sekä viestintämarkkinalain (393/2003) 97 ja 98 §:ssä tarkemmin säädetään;

- - - - - - - - - - - - - - - - - - -

_______________

Tämä laki tulee voimaan      päivänä         kuuta 20     .

_______________

Laki

viestintähallinnosta annetun lain 2 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan viestintähallinnosta 29 päivänä kesäkuuta 2001 annetun lain (625/2001) 2 §, sellaisena kuin se on laissa 397/2003, seuraavasti:

2 §

Viestintäviraston tehtävät

Viestintäviraston tehtävänä on:

1) huolehtia viestintämarkkinalaissa (393/2003), radiolaissa (1015/2001), postipalvelulaissa (313/2001), televisio- ja radiotoiminnasta annetussa laissa (744/1998), valtion televisio- ja radiorahastosta annetussa laissa (745/1998), sähköisen viestinnän tietosuojalaissa (/), eräiden suojauksen purkujärjestelmien kieltämisestä annetussa laissa (1117/2001), sähköisistä allekirjoituksista annetussa laissa (14/2003) sekä verkkotunnuslaissa (228/2003) sille säädetyistä tehtävistä; sekä

2) hoitaa muut tehtävät, jotka sille muiden säännösten tai liikenne- ja viestintäministeriön määräysten mukaan kuuluvat.

_______________

Tämä laki tulee voimaan      päivänä         kuuta 20     .

_______________

Laki

meripelastuslain 16 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan 30 päivänä marraskuuta 2001 annetun meripelastuslain (1145/2001) 16 §, sellaisena kuin se on laissa 402/2003, seuraavasti:

16 §

Oikeus tietojen saamiseen teleyrityksiltä

Rajavartiolaitoksella on oikeus vaaratilanteessa saada salassapitosäännösten estämättä sähköisen viestinnän tietosuojalaissa (  /  ) tarkoitetulta teleyritykseltä hätäilmoitusta koskevat liittymän tunnistamistiedot ja matkaviestimen sijaintitiedot sekä tiedot liittymän tilaajasta, käyttäjästä ja asennusosoitteesta sen mukaan kuin sähköisen viestinnän tietosuojalain 35 §:ssä sekä viestintämarkkinalain (393/2003) 97 ja 98 §:ssä tarkemmin säädetään.

_______________

Tämä laki tulee voimaan      päivänä         kuuta 20     .

_______________

Laki

poliisilain 36 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan 7 päivänä huhtikuuta 1995 annetun poliisilain (493/1995) 36 §:n 2 momentti seuraavasti:

36 §

Tietojen saanti yksityiseltä yhteisöltä tai henkilöltä

- - - - - - - - - - - - - - - - - - -

Poliisilla on oikeus saada teleyritykseltä ja yhteisötilaajalta yhteystiedot sellaisesta teleliittymästä, jota ei mainita julkisessa luettelossa, tai telepäätelaitteen tai liittymän muut yksilöivät tiedot, jos tietoja yksittäistapauksessa tarvitaan poliisille kuuluvan tehtävän suorittamiseksi. Poliisilla on vastaava oikeus saada postitoimintaa harjoittavalta yhteisöltä jakeluosoitetietoja.

- - - - - - - - - - - - - - - - - - -

_______________

Tämä laki tulee voimaan      päivänä         kuuta 20     .

_______________

Laki

henkilötietojen käsittelystä poliisitoimessa annetun lain 13 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan 22 päivänä elokuuta 2003 henkilötietojen käsittelystä poliisitoimessa annetun lain (761/2003) 13 §:n 2 momentin 5 kohta seuraavasti:

13 §

Poliisin tietojen saanti eräistä rekistereistä

- - - - - - - - - - - - - - - - - - -

Poliisilla on salassapitosäännösten estämättä oikeus saada, siten kuin asianomaisen rekisterinpitäjän kanssa sovitaan, teknisen käyttöyhteyden avulla tai konekielisessä muodossa:

- - - - - - - - - - - - - - - - - - -

5) teleyritykseltä pakkokeinolain 5 a luvun 3 §:ssä, poliisilain 31 c §:ssä tai sähköisen viestinnän tietosuojalain (/) 35 ja 36 §:ssä säädettyjä tietoja;

- - - - - - - - - - - - - - - - - - -

_______________

Tämä laki tulee voimaan      päivänä         kuuta 20     .

_______________

Helsingissä 1 päivänä kesäkuuta 2004

​​​​