Luottamuksellinen viestintä

Kukaan ei saa ilman laissa säädettyä perustetta tai suostumusta käsitellä toisen henkilön viestejä tai viestintään liittyviä välitystietoja. Oikeus luottamukselliseen viestintään on turvattu Suomen perustuslaissa. Valvomme sähköisen viestinnän tietosuojaa viestinnän välittäjien toiminnassa. Valvonta koskee tietyin edellytyksin myös ulkomailta tarjottuja palveluita.

Sähköisen viestinnän ja välitystietojen tietosuojasta säädetään sähköisen viestinnän palveluista annetussa laissa.

  • Sähköistä viestintää ovat esimerkiksi puhelut, sähköpostiviestit, tekstiviestit, kuvaviestit, puheviestit, pikaviestit ja internetissä surfailussa siirtyvät viestit.
  • Välitystietoja ovat esimerkiksi puhelinnumero, sähköpostiosoite sekä IP-osoite. Välitystiedot ovat tietoja, joita käsitellään viestintäverkoissa viestien siirtämiseksi, jakelemiseksi tai tarjolla pitämiseksi ja jotka ovat yhdistettävissä tilaajaan tai käyttäjään.

Viestinnän osapuolten käsittelyoikeudet

Lain mukaan viestinnän osapuoli voi käsitellä omia sähköisiä viestejään ja niihin liittyviä välitystietoja, jollei laissa toisin säädetä. Lisäksi sähköisiä viestejä ja välitystietoja saa käsitellä viestinnän osapuolen suostumuksella tai jos laissa niin säädetään. Se, joka on ottanut vastaan tai muutoin saanut tiedon sähköisestä viestistä, radioviestinnästä tai välitystiedosta, jota ei ole hänelle tarkoitettu, ei saa ilman viestinnän osapuolen suostumusta ilmaista tai käyttää hyväksi viestin sisältöä, välitystietoa tai tietoa viestin olemassaolosta, ellei laissa toisin säädetä.

Toisin sanoen viestinnän lähettäjä ja aiottu vastaanottaja saavat lähtökohtaisesti käsitellä keskinäistä viestintäänsä, mutta viestintää ei saa käsitellä kukaan kolmas osapuoli.

  • Esimerkiksi omia puhelujaan saa lain mukaan nauhoittaa
  • Viestinnän luottamuksellisuutta ei myöskään loukata silloin, kun viestinnän osapuoli itse lähettää saamansa viestin, vaikkapa sähköpostiviestin, edelleen kolmannelle taholle, ellei salassapito perustu muuhun lakiin tai sopimukseen.
  • Viestin vastaanottaja voi myös kertoa saamastaan viestistä ja sen sisällöstä, ellei hänellä ole erikseen säädettyä vaitiolovelvollisuutta. Esimerkiksi viranomaisen palveluksessa olevan vaitiolovelvollisuus saattaa perustua lakiin viranomaisen toiminnan julkisuudesta.

Viestinnän välittäjien käsittelyoikeudet ja -velvollisuudet

Sääntelyn kohteet

Lain mukaan viestinnän välittäjät eli teleyritykset, yhteisötilaajat ja muut viestinnän välittäjät voivat lain mukaan käsitellä sähköisiä viestejä ja välitystietoja siinä määrin kuin se on tarpeen viestinnän välittämiseksi ja sovitun palvelun toteuttamiseksi sekä laissa säädetyllä tavalla tietoturvasta huolehtimiseksi.

Sähköisen viestinnän palveluista annetussa laissa säädetään myös viestinnän välittäjien oikeuksista sähköisen viestinnän ja välitystietojen käsittelyyn mm. laskutusta, markkinointia ja teknistä kehittämistä varten.

Viestintäpalvelun tilaajalla sekä muutamilla viranomaisilla on joissain tapauksissa oikeus saada teleyrityksiltä tietoja käyttäjän viestinnästä.

Käsittelyoikeuksien lisäksi sähköisen viestinnän palveluista annettu laki käsittelee viestinnän välittäjien velvollisuuksia sähköisen viestinnän ja välitystietojen käsittelyssä. Lain mukaan esimerkiksi käsittelyn jälkeen sähköiset viestit ja välitystiedot on hävitettävä tai välitystiedot tehtävä sellaisiksi, ettei niitä voi yhdistää tilaajaan tai käyttäjään, jollei laissa toisin säädetä.

Julkiseksi tarkoitettu viestintä

Luottamuksellisen viestinnän lisäksi on myös julkiseksi tarkoitettua viestintää. Julkiseenkin viestintään liittyvät välitystiedot ovat luottamuksellisia. Viestinnän välittämiseen osallistuvat toimijat, kuten teleyritykset ja yhteisötilaajat saavat käsitellä välitystietoja ainoastaan laissa säädettyihin tarkoituksiin. Heillä on lisäksi välitystietoja koskeva vaitiolovelvollisuus.

Keskustelupalstapalvelun tai muun vastaavan viestien julkaisupalvelun tarjoajalla on oikeus julkaista keskustelijoiden lähettämiin viesteihin liittyviä välitystietoja, jos tästä on sovittu palvelun sopimusehdoissa. Kysymys on sanomalehden yleisönosastoon verrattavasta toiminnasta, jossa myös voidaan julkaista kirjoituksia joko nimellä tai nimimerkillä.

Julkaistun viestin sisältöä koskevasta vastuusta sekä julkaisijoiden velvollisuudesta paljastaa anonyymien viestien tietolähteet tai kirjoittajat on säädetty laissa.

Luottamuksellisen viestinnän rajoitukset ja rangaistukset viestintäsalaisuuden loukkaamisesta

Oikeutta luottamukselliseen viestintään voidaan rajoittaa muun muassa joidenkin rikosten tutkinnassa.

Poliisilla on oikeus käyttää telekuuntelua ja -valvontaa tiettyjen rikosten selvittämisessä. Myös hätäilmoituksia vastaanottaville viranomaisille on säädetty oikeus saada tiedot hätäilmoituksen tehneen sekä hädässä olevan käyttäjän liittymän sijainnista.

Viestintäsalaisuuden loukkaaminen on rikos. Rangaistavaa on muun muassa oikeudeton tiedon hankkiminen ulkopuoliselta suojatusta viestistä murtamalla suojaus.

Viranomaisvalvonta

Traficomin Kyberturvallisuuskeskus valvoo, että viestinnän välittäjät toteuttavat verkko- ja viestintäpalvelunsa tietoturvallisesti siten, ettei viestinnän luottamuksellisuus vaarannu. Lisäksi keskus ohjaa ja valvoo, että viestinnän välittäjät noudattavat lain oikeuksia ja velvollisuuksia luottamuksellisen viestinnän käsittelyssä.

Tietosuojavaltuutettu taas valvoo henkilötietojen ja viestintään liittyvien sijaintitietojen eli viestintäverkosta tai päätelaitteesta saatavien liittymän tai päätelaitteen maantieteellisen sijainnin ilmaisevien tietojen käsittelyä.

Luottamuksellista viestintää koskevissa rikosasioissa tulee kääntyä poliisin puoleen.

Evästeet

Eväste (cookie) on pieni tekstitiedosto, jonka internetselain tallentaa käyttäjän laitteelle. Evästeitä käytetään esimerkiksi silloin, kun käyttäjän tietoja halutaan säilyttää tämän siirtyessä internetpalvelun sivulta toiselle. Evästeiden käyttö edellyttää lähtökohtaisesti käyttäjän suostumusta.

Eväste voidaan tallentaa käyttäjän laitteelle pysyvästi (stored cookie) tai se voidaan poistaa palvelun käytön jälkeen (session cookie).

Evästeiden avulla voidaan kerätä muun muassa seuraavia tietoja:

  • käyttäjän IP-osoite
  • kellonaika
  • käytetyt sivut
  • selaintyyppi
  • mistä verkko-osoitteesta käyttäjä on tullut kyseiselle verkkosivulle
  • miltä palvelimelta käyttäjä on tullut verkkosivulle
  • mistä verkkotunnuksesta käyttäjä on tullut verkkosivulle.

Evästeiden käyttö vaatii käyttäjän suostumuksen

EU:n tuomioistuimen päätös 1.10.2019

Euroopan unionin tuomioistuin on antanut 1.10.2019 tuomion evästekäytännöistä. Tuomiosta johtuen virasto on tarkentanut evästeohjeistustaan suostumuksen antamiselle sekä käyttäjän  evästeiden toiminta-ajasta ja kolmannen osapuolen mahdollisuudesta käyttää evästeitä. Tarkennetun ohjeistuksen mukaan evästeiden käytön hyväksyminen on edelleen mahdollista selainasetusten kautta.

EUT:n päätös asissa C-673/17 (Ulkoinen linkki)

Evästeistä, käyttötietojen tallentamisesta ja niiden käyttötarkoituksesta on kerrottava selkeästi ja kattavasti sivuston käyttäjälle. Lisäksi tiedot evästeen toiminta-ajasta ja tieto siitä, saavatko kolmannet osapuolet mahdollisuuden käyttää evästeitä, on ilmoitettava käyttäjälle. Palvelun käyttäjältä on pyydettävä suostumus evästeiden avulla kerättävien tietojen tallentamiseen ja käyttöön. Informaatio evästeiden avulla kerättävistä tiedoista ja mahdollisuus niiden tallentamisen kieltämiseen pitää toteuttaa käyttäjän kannalta mahdollisimman vaivattomasti.

Laki sähköisen viestinnän palveluista 205 § (Ulkoinen linkki)

Suomessa on tulkittu sähköisen viestinnän tietosuojadirektiiviä (Ulkoinen linkki) siten, että käyttäjä voi antaa suostumuksensa evästeiden tallentamiseen esimerkiksi selaimen tai muun sovelluksen asetusten avulla.

Suomessa evästeistä informoimista tai niiden hyväksymistä varten ei vaadita erillistä ponnahdusikkunaa. Suostumuksen voi pyytää käyttäen valitsemaansa teknologiaa (esim. selaimen/sovelluksen asetukset tai ponnahdusikkuna), kunhan suostumusta ei pyydetä valmiiksi rastitetun ruudun kautta. Evästekäytännöt on myös mainittava verkkosivuilla niin, että käyttäjän on mahdollista saada niistä lisätietoa.

Tämä tulkintakäytäntö vaihtelee valtioittain. Ulkomaisissa palveluissa evästeitä saatetaankin kysyä sivustokohtaisesti.

Evästeiden käytöstä ei tarvitse informoida tai suostumusta pyytää, 

  • jos niiden ainoana tarkoituksena on toteuttaa viestin välittäminen teknisesti
  • joka on välttämätöntä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt.

Tällaisia palveluita ovat esimerkiksi verkkopankit ja verkkokaupat. Käytännössä nämä palvelut eivät toimi ilman evästeitä. Evästeistä ja niiden käyttötarkoituksesta voi kuitenkin kertoa edellä mainituissa tapauksissa.

Evästeet ja EU-lainsäädäntö

EU:n yleinen tietosuoja-asetus (EU) 2016/679 (Ulkoinen linkki) tuli sovellettavaksi 25.5.2018. Samalla kumottiin yleisen tietosuoja-asetuksen edeltäjä henkilötietodirektiivi.

Sähköisen viestinnän palveluista annetun lain evästeitä koskevassa sääntelyssä suostumuksen käsite ja sen antamisen edellytykset ovat perustuneet henkilötietodirektiivin sääntelyyn. Yleisen tietosuoja-asetuksen mukaiset suostumuksen edellytykset ovat kuitenkin muuttuneet henkilötietodirektiiviin verrattuna.

EU:ssa on valmisteilla uusi sähköisen viestinnän tietosuoja-asetus (Ulkoinen linkki), joka korvaa valmistuttuaan sähköisen viestinnän tietosuojadirektiivin ja sähköisen viestinnän palveluista annetun lain evästeitä koskevan sääntelyn. Komission asetusehdotuksen mukaan suostumus evästeiden tallentamiseksi käyttäjän päätelaitteelle voitaisiin ilmaista käyttämällä asianmukaisia verkkoselaimen tai muun sovelluksen asetuksia. Lainsäädäntömenettely EU:ssa on vielä kesken, eikä asetuksen lopullisesta sisällöstä ja valmistumisaikataulusta ole vielä varmuutta.

Euroopan tietosuojaneuvosto (European Data Protection Board) on antanut maaliskuussa 2019 ohjeistuksen (Ulkoinen linkki) sähköisen viestinnän tietosuojadirektiivin (2002/58/EY) ja tietosuoja-asetuksen soveltamisesta tilanteissa, joissa on yhtymäkohtia molempiin säädöksiin. Evästeiden osalta ohjeistuksessa käsitellään myös evästeitä koskevia esimerkkejä.

Evästeet ja oikeuskäytäntö

Euroopan unionin tuomioistuin antoi 1.10.2019 päätöksen evästeistä (asia C-673/17 (Ulkoinen linkki)). Tuomion mukaan evästeisiin annettu suostumus ei ole pätevä, jos se annetaan verkkosivuille sijoitetulla valmiiksi rastitetulla ruudulla. Lisäksi tuomion mukaan palveluntarjoajan on ilmoitettava käyttäjälle evästeiden toiminta-aika ja tieto siitä, saavatko kolmannet mahdollisuuden käyttää evästeitä