Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Luottamuksellinen viestintä

Kukaan ei saa ilman laissa säädettyä perustetta tai suostumusta käsitellä toisen henkilön viestejä tai viestintään liittyviä välitystietoja. Oikeus luottamukselliseen viestintään on turvattu Suomen perustuslaissa. Valvomme sähköisen viestinnän tietosuojaa viestinnän välittäjien toiminnassa. Valvonta koskee tietyin edellytyksin myös ulkomailta tarjottuja palveluita.

Sähköisen viestinnän ja välitystietojen tietosuojasta säädetään sähköisen viestinnän palveluista annetussa laissa.

  • Sähköistä viestintää ovat esimerkiksi puhelut, sähköpostiviestit, tekstiviestit, kuvaviestit, puheviestit, pikaviestit ja internetissä surfailussa siirtyvät viestit.
  • Välitystietoja ovat esimerkiksi puhelinnumero, sähköpostiosoite sekä IP-osoite. Välitystiedot ovat tietoja, joita käsitellään viestintäverkoissa viestien siirtämiseksi, jakelemiseksi tai tarjolla pitämiseksi ja jotka ovat yhdistettävissä tilaajaan tai käyttäjään.

Viestinnän osapuolten käsittelyoikeudet

Lain mukaan viestinnän osapuoli voi käsitellä omia sähköisiä viestejään ja niihin liittyviä välitystietoja, jollei laissa toisin säädetä. Lisäksi sähköisiä viestejä ja välitystietoja saa käsitellä viestinnän osapuolen suostumuksella tai jos laissa niin säädetään. Se, joka on ottanut vastaan tai muutoin saanut tiedon sähköisestä viestistä, radioviestinnästä tai välitystiedosta, jota ei ole hänelle tarkoitettu, ei saa ilman viestinnän osapuolen suostumusta ilmaista tai käyttää hyväksi viestin sisältöä, välitystietoa tai tietoa viestin olemassaolosta, ellei laissa toisin säädetä.

Toisin sanoen viestinnän lähettäjä ja aiottu vastaanottaja saavat lähtökohtaisesti käsitellä keskinäistä viestintäänsä, mutta viestintää ei saa käsitellä kukaan kolmas osapuoli.

  • Esimerkiksi omia puhelujaan saa lain mukaan nauhoittaa
  • Viestinnän luottamuksellisuutta ei myöskään loukata silloin, kun viestinnän osapuoli itse lähettää saamansa viestin, vaikkapa sähköpostiviestin, edelleen kolmannelle taholle, ellei salassapito perustu muuhun lakiin tai sopimukseen.
  • Viestin vastaanottaja voi myös kertoa saamastaan viestistä ja sen sisällöstä, ellei hänellä ole erikseen säädettyä vaitiolovelvollisuutta. Esimerkiksi viranomaisen palveluksessa olevan vaitiolovelvollisuus saattaa perustua lakiin viranomaisen toiminnan julkisuudesta.

Viestinnän välittäjien käsittelyoikeudet ja -velvollisuudet

Sääntelyn kohteet

Lain mukaan viestinnän välittäjät eli teleyritykset, yhteisötilaajat ja muut viestinnän välittäjät voivat lain mukaan käsitellä sähköisiä viestejä ja välitystietoja siinä määrin kuin se on tarpeen viestinnän välittämiseksi ja sovitun palvelun toteuttamiseksi sekä laissa säädetyllä tavalla tietoturvasta huolehtimiseksi.

Sähköisen viestinnän palveluista annetussa laissa säädetään myös viestinnän välittäjien oikeuksista sähköisen viestinnän ja välitystietojen käsittelyyn mm. laskutusta, markkinointia ja teknistä kehittämistä varten.

Viestintäpalvelun tilaajalla sekä muutamilla viranomaisilla on joissain tapauksissa oikeus saada teleyrityksiltä tietoja käyttäjän viestinnästä.

Käsittelyoikeuksien lisäksi sähköisen viestinnän palveluista annettu laki käsittelee viestinnän välittäjien velvollisuuksia sähköisen viestinnän ja välitystietojen käsittelyssä. Lain mukaan esimerkiksi käsittelyn jälkeen sähköiset viestit ja välitystiedot on hävitettävä tai välitystiedot tehtävä sellaisiksi, ettei niitä voi yhdistää tilaajaan tai käyttäjään, jollei laissa toisin säädetä.

Julkiseksi tarkoitettu viestintä

Luottamuksellisen viestinnän lisäksi on myös julkiseksi tarkoitettua viestintää. Julkiseenkin viestintään liittyvät välitystiedot ovat luottamuksellisia. Viestinnän välittämiseen osallistuvat toimijat, kuten teleyritykset ja yhteisötilaajat saavat käsitellä välitystietoja ainoastaan laissa säädettyihin tarkoituksiin. Heillä on lisäksi välitystietoja koskeva vaitiolovelvollisuus.

Keskustelupalstapalvelun tai muun vastaavan viestien julkaisupalvelun tarjoajalla on oikeus julkaista keskustelijoiden lähettämiin viesteihin liittyviä välitystietoja, jos tästä on sovittu palvelun sopimusehdoissa. Kysymys on sanomalehden yleisönosastoon verrattavasta toiminnasta, jossa myös voidaan julkaista kirjoituksia joko nimellä tai nimimerkillä.

Julkaistun viestin sisältöä koskevasta vastuusta sekä julkaisijoiden velvollisuudesta paljastaa anonyymien viestien tietolähteet tai kirjoittajat on säädetty laissa.

Luottamuksellisen viestinnän rajoitukset ja rangaistukset viestintäsalaisuuden loukkaamisesta

Oikeutta luottamukselliseen viestintään voidaan rajoittaa muun muassa joidenkin rikosten tutkinnassa.

Poliisilla on oikeus käyttää telekuuntelua ja -valvontaa tiettyjen rikosten selvittämisessä. Myös hätäilmoituksia vastaanottaville viranomaisille on säädetty oikeus saada tiedot hätäilmoituksen tehneen sekä hädässä olevan käyttäjän liittymän sijainnista.

Viestintäsalaisuuden loukkaaminen on rikos. Rangaistavaa on muun muassa oikeudeton tiedon hankkiminen ulkopuoliselta suojatusta viestistä murtamalla suojaus.

Viranomaisvalvonta

Traficomin Kyberturvallisuuskeskus valvoo, että viestinnän välittäjät toteuttavat verkko- ja viestintäpalvelunsa tietoturvallisesti siten, ettei viestinnän luottamuksellisuus vaarannu. Lisäksi keskus ohjaa ja valvoo, että viestinnän välittäjät noudattavat lain oikeuksia ja velvollisuuksia luottamuksellisen viestinnän käsittelyssä.

Tietosuojavaltuutettu taas valvoo henkilötietojen ja viestintään liittyvien sijaintitietojen eli viestintäverkosta tai päätelaitteesta saatavien liittymän tai päätelaitteen maantieteellisen sijainnin ilmaisevien tietojen käsittelyä.

Luottamuksellista viestintää koskevissa rikosasioissa tulee kääntyä poliisin puoleen.

Palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle

Evästeiden (cookies) tai muiden palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö edellyttää lähtökohtaisesti käyttäjän suostumusta sekä ymmärrettävää ja kattavaa kuvausta tallentamisen tai käytön tarkoituksesta. Suostumusvaatimus ei koske tietojen sellaista tallentamista tai käyttöä, jonka ainoana tarkoituksena on toteuttaa viestin välittämistä viestintäverkoissa tai joka on välttämätöntä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt.

Evästeet

Evästeiden avulla voidaan kerätä muun muassa seuraavia tietoja:

  • käyttäjän IP-osoite
  • kellonaika
  • käytetyt sivut
  • selaintyyppi
  • mistä verkko-osoitteesta käyttäjä on tullut kyseiselle verkkosivulle
  • miltä palvelimelta käyttäjä on tullut verkkosivulle
  • mistä verkkotunnuksesta käyttäjä on tullut verkkosivulle.

Eväste voidaan tallentaa käyttäjän laitteelle pysyvästi (stored cookie) tai se voidaan poistaa palvelun käytön jälkeen (session cookie).

Tietojen tallentaminen vaatii usein käyttäjän suostumuksen

Evästeiden tai muiden käyttäjän päätelaitteelle tallentuvien tietojen käytölle ei tarvitse pyytää suostumusta:

  • jos niiden ainoana tarkoituksena on toteuttaa viestin välittäminen teknisesti viestintäverkossa tai
  • joka on välttämätöntä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt.

Esimerkkejä tällaisista välttämättömäksi katsottavista evästeistä ja muista tiedoista ovat esimerkiksi verkkopalveluun, kuten verkkokauppaan tai -pankkiin kirjautumista ylläpitävät tiedostot, sillä ilman niitä verkkopalvelu ei toimi.

Kaikki muut käyttäjän päätelaitteelle tallennettavat tiedot taas vaativat käyttäjän suostumusta.

Suostumukselle asetettavat vaatimukset

Käyttäjän muiden kuin pakollisten evästeiden tallentamista varten antama suostumus on annettava selkeästi suostumusta ilmaisevalla toimella, josta käy ilmi käyttäjän vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu. Tämä tarkoittaa sitä, käyttäjän suostumus on mahdollista antaa esimerkiksi evästeistä ilmoittavalla erillisellä ponnahdusikkunalla tai verkkosivuston bannerilla, josta käyttäjä voi itse valita minkä evästeiden tallentamiseen hän antaa suostumuksensa.

Evästeiden tallentamista varten annettavaa suostumusta ei ole lainmukaista pyytää valmiiksi rastitetuilla ruuduilla. Lisäksi suostumusta ei voi antaa käyttäjän internetselaimen asetuksilla, sillä tällaista suostumusta ei voida pitää yksilöitynä ja tietoisena suostumuksen ilmaisuna.

Tietojen tallentamisesta tulee informoida

Vähintään ei-välttämättömäksi katsotuista evästeistä ja muista palvelujen käyttöä kuvaavien tietojen tallentamisesta on informoitava käyttäjiä. On kuitenkin läpinäkyvyyden nimissä suositeltavaa, että myös välttämättömäksi katsotuista evästeistä informoidaan.

Evästeistä, käyttötietojen tallentamisesta ja niiden käyttötarkoituksesta on kerrottava selkeästi ja kattavasti sivuston käyttäjälle. Lisäksi tiedot evästeen toiminta-ajasta ja tieto siitä, saavatko kolmannet osapuolet mahdollisuuden käyttää evästeitä, on ilmoitettava käyttäjälle. Informaatio evästeiden avulla kerättävistä tiedoista ja mahdollisuus niiden tallentamisen kieltämiseen pitää toteuttaa käyttäjän kannalta mahdollisimman vaivattomasti.

Lainsäädäntö ja oikeuskäytäntö

Evästeiden ja muiden palvelun käyttöä kuvaavien tietojen tallentamisesta säädetään laissa sähköisen viestinnän palveluista: Laki sähköisen viestinnän palveluista 205 § (Ulkoinen linkki)

Kansallisen lain taustalla on sähköisen viestinnän tietosuojadirektiivi (Ulkoinen linkki)

EU:ssa on valmisteilla uusi sähköisen viestinnän tietosuoja-asetus (Ulkoinen linkki), joka korvaa valmistuttuaan sähköisen viestinnän tietosuojadirektiivin ja sähköisen viestinnän palveluista annetun lain evästeitä koskevan sääntelyn. Tämänhetkisen asetusehdotuksen mukaan loppukäyttäjä voisi antaa suostumuksen evästeiden tallentamiseksi muun muassa sisällyttämällä yhden tai useamman palveluntarjoajan niin sanottuun valkoiseen listaan selaimensa asetuksissa. Lainsäädäntömenettely EU:ssa on vielä kesken, eikä asetuksen lopullisesta sisällöstä ja valmistumisaikataulusta ole vielä varmuutta.

Sähköisen viestinnän palveluista annetun lain 205 §:n mukainen suostumuksen käsite ja sen antamisen edellytykset perustuvat EU:n yleiseen tietosuoja-asetukseen: yleinen tietosuoja-asetus (EU) 2016/679 (Ulkoinen linkki)

Euroopan unionin tuomioistuin antoi 1.10.2019 ratkaisun evästeistä (asia C-673/17 (Ulkoinen linkki)). Tuomion mukaan evästeisiin annettu suostumus ei ole pätevä, jos se annetaan verkkosivuille sijoitetulla valmiiksi rastitetulla ruudulla. Lisäksi ratkaisun mukaan palveluntarjoajan on ilmoitettava käyttäjälle evästeiden toiminta-aika ja tieto siitä, saavatko kolmannet mahdollisuuden käyttää evästeitä.

Helsingin hallinto-oikeus antoi 8.4.2021 kaksi ratkaisua (H1515/2021 ja H1516/2021 / Diaari 20801/2020 ja 20848/2020) muiden kuin välttämättömien evästeiden tallentamiseen annettavan suostumuksen edellytyksistä. Ratkaisujen mukaan sitä, että internetselaimen asetukset oletusarvoisesti tai käyttäjän muokkaamina sallivat yleisesti eri tarkoituksiin kerättävien evästeiden käytön, ei voida pitää tietosuoja-asetuksen 4 artiklan 11 kohdassa tarkoitetulla tavalla yksilöitynä ja tietoisena suostumuksen ilmaisuna. Toisin sanoen käyttäjä ei voi ratkaisujen mukaan antaa selainasetuksillaan pätevää suostumusta muiden kuin välttämättömien evästeiden tallentamiseen käyttäjän päätelaitteelle.

Euroopan tietosuojaneuvosto (European Data Protection Board) on antanut maaliskuussa 2019 ohjeistuksen (Ulkoinen linkki) sähköisen viestinnän tietosuojadirektiivin (2002/58/EY) ja tietosuoja-asetuksen soveltamisesta tilanteissa, joissa on yhtymäkohtia molempiin säädöksiin. Evästeiden osalta ohjeistuksessa käsitellään myös evästeitä koskevia esimerkkejä.