Konfidentiell kommunikation

Ingen får utan lagenlig rätt eller samtycke behandla en annan persons meddelanden eller identifieringsuppgifter i kommunikationen. Rätt till konfidentiell kommunikation tryggas i Finlands grundlag. Vi utövar tillsyn över dataskydd i kommunikationsförmedlarnas elektroniska kommunikation. Under vissa förutsättningar gäller tillsynen också tjänster som tillhandahålls från utlandet.

Bestämmelser om dataskydd vid elektronisk kommunikation och förmedlingsuppgifternas dataskydd finns i lagen om tjänster inom elektronisk kommunikation.

  • Elektronisk kommunikation är till exempel samtal, e-postmeddelanden, textmeddelanden, bildmeddelanden, talmeddelanden, snabbmeddelanden och webbmeddelanden.
  • Förmedlingsuppgifter är till exempel telefonnummer, e-postadresser och IP-adresser. Förmedlingsuppgifter är uppgifter som behandlas i kommunikationsnät för att överföra, distribuera eller tillhandahålla meddelanden och som kan kopplas till en abonnent eller användare.

Kommunikationsparternas behandlingsrätt

Enligt lagen får en kommunikationspart behandla sina egna elektroniska meddelanden och förmedlingsuppgifter om dem, om inte något annat föreskrivs i lag. Andra elektroniska meddelanden och förmedlingsuppgifter får också behandlas med kommunikationsparternas samtycke eller om så föreskrivs i lag. Den som har tagit emot eller annars fått kännedom om ett elektroniskt meddelande, radiokommunikation eller förmedlingsuppgifter som inte är avsedda för honom eller henne, får inte utan samtycke av en kommunikationspart röja eller utnyttja meddelandets innehåll, förmedlingsuppgifterna eller uppgifterna om meddelandets existens, om inte något annat föreskrivs i lag.

Med andra ord får avsändaren och den tänkta mottagaren i princip behandla den ömsesidiga kommunikationen men inga tredje parter får göra det.

  • Enligt lag är det är tillåtet att till exempel spela in egna samtal.
  • Konfidentialiteten vid kommunikation kränks inte heller då en kommunikationspart skickar ett meddelande, till exempel ett e-postmeddelande, som han eller hon har tagit emot vidare till en tredje part om sekretessen inte grundar sig på en annan lag eller ett annat avtal.
  • Meddelandets mottagare kan också berätta om ett meddelande som han eller hon har tagit emot och meddelandets innehåll om det inte har bestämts om en särskild tystnadsplikt för mottagaren. Tystnadsplikten till exempel hos den som är anställd hos en myndighet kan basera sig på lagen om offentlighet i myndigheternas verksamhet.

Kommunikationsförmedlarnas behandlingsrätter och -skyldigheter

FÖREMÅL FÖR REGLERING

Enligt lagen kan kommunikationsförmedlare, dvs. teleföretag, sammanslutningsabonnenter och övriga kommunikationsförmedlare behandla elektroniska meddelanden och förmedlingsuppgifter i den utsträckning som det behövs för att producera avtalade tjänster och för att sörja för informationssäkerheten.

I lagen om tjänster inom elektronisk kommunikation finns också bestämmelser om kommunikationsförmedlarnas rätt att behandla förmedlingsuppgifter för fakturering, marknadsföring och teknisk utveckling.

Abonnenten av kommunikationstjänster och några myndigheter har i vissa fall rätt att få uppgifter av teleföretagen om användarens kommunikation.

I lagen om tjänster inom elektronisk kommunikation behandlas förutom behandlingsrätter också förmedlarnas skyldigheter vid behandlingen av elektronisk kommunikation och förmedlingsuppgifter. Lagen föreskriver till exempel att efter behandlingen ska de elektroniska meddelandena och förmedlingsuppgifterna förstöras eller förmedlingsuppgifterna ges en sådan form att de inte kan kopplas till abonnenten eller användaren, om inte något annat föreskrivs i lag.

Offentlig kommunikation

Utöver konfidentiell kommunikation finns också kommunikation avsedd för offentlig användning. Förmedlingsuppgifter som hänför sig till offentlig kommunikation är också konfidentiella. De aktörer som deltar i förmedlingen av kommunikationen, t.ex. teleföretag och sammanslutningsabonnenter, får behandla förmedlingsuppgifterna enbart för sådana ändamål som bestäms i lagen. De har också tystnadsplikt i fråga om förmedlingsuppgifterna.

Den som tillhandahåller ett diskussionsforum eller en annan tjänst där meddelanden publiceras har rätt att publicera förmedlingsuppgifter som finns i diskussionsdeltagarnas meddelanden om detta har överenskommits i avtalsvillkoren för tjänsten. Verksamheten kan jämföras med tidningars insändarspalter där det också är möjligt att publicera en skrift antingen med namn eller med signatur.

Lagen om yttrandefrihet i masskommunikation innehåller bestämmelser om ansvar för innehållet i ett meddelande som gjorts tillgängligt för allmänheten och om utgivarnas skyldighet att röja källan eller skribenten för anonyma meddelanden.

Begränsningar för konfidentiell kommunikation och straff för kränkning av kommunikationshemlighet

Rätten till konfidentiell kommunikation kan begränsas bland annat vid utredning av vissa typer av brott.

Polisen har rätt att genomföra teleavlyssning och teleövervakning när det gäller vissa brott. Myndigheter som tar emot nödmeddelanden har också rätt att få uppgifter som anger läget för det abonnemang från vilket nödmeddelandet har sänts samt uppgifter som anger läget för det abonnemang som innehas av en användare som är föremål för nödmeddelandet.

Kränkningen av kommunikationshemligheten är ett brott. Det är straffbart att bland annat skaffa uppgifter obehörigt genom att bryta ett säkerhetsarrangemang.

Myndighetstillsyn

Cybersäkerhetscentret vid Traficom övervakar att kommunikationsförmedlare utför sina nät- och kommunikationstjänster på ett informationssäkert sätt så att konfidentialitet vid kommunikation inte äventyras. Centret styr och övervakar också att kommunikationsförmedlare iakttar de rättigheter och skyldigheter som uppställs i lag när det gäller att behandla konfidentiell kommunikation.

Dataombudsmannen igen utövar tillsyn över behandlingen av personuppgifter och lokaliseringsuppgifter vid kommunikation, dvs. information från ett kommunikationsnät eller en terminalutrustning som anger ett abonnemangs eller en terminalutrustnings geografiska position och som används för annat än för att förmedla meddelanden.

Vid brottmål som gäller konfidentiell kommunikation ska man vända sig till polisen.

Kakor

En kaka (cookie) är en liten textfil som webbläsaren lagrar i användarens utrustning. Kakor används t.ex. då man vill lagra uppgifter om användaren vid förflyttning från en sida till en annan i en internettjänst. Användning av kakor förutsätter i princip användarens samtycke.

En kaka kan lagras permanent (stored cookie) på användarens utrustning eller den kan tas bort efter användningen av tjänsten (session cookie).

Med hjälp av kakor kan man samla in bl.a. följande uppgifter:

  • användarens IP-adress
  • klockslag
  • besökta sidor
  • typ av webbläsare
  • från vilken webbadress användaren har kommit till webbplatsen i fråga
  • från vilken server användaren har kommit till webbplatsen
  • från vilket domännamn användaren har kommit till webbplatsen.

Användning av kakor kräver användarens samtycke

EU-DOMSTOLENS DOM 1.10.2019

Europeiska unionens domstol har den 1 oktober 2019 meddelat dom om användning av kakor. Med anledning av domen har Traficom preciserat sina anvisningar vad gäller samtycke till användning av kakor, kakornas funktionstid och möjligheten för tredje part att få tillgång till kakor. Enligt de preciserade anvisningarna kan man fortfarande godkänna användningen av kakor via webbläsarinställningar.

Dom av Europeiska unionens domstol i mål C-673/17 (Extern länk)

Användaren av webbplatsen måste tydligt och omfattande underrättas om kakor, registreringen av användaruppgifterna och uppgifternas användningsändamål. Användaren ska också informeras om kakornas funktionstid och möjligheten för tredje part att få tillgång eller inte till dessa kakor. Användaren av tjänsten måste ge sitt samtycke till registreringen och användningen av de uppgifter som samlas in genom kakor. Information om att uppgifter samlas in med kakor samt möjlighet att vägra att kakor lagras ska utföras på ett för användaren så smidigt sätt som möjligt.

Lagen om tjänster inom elektronisk kommunikation 205 § (Extern länk)

I Finland tolkas direktivet om integritet och elektronisk kommunikation (Extern länk) så att användaren kan ge sitt samtycke till lagring av kakor t.ex. genom inställningarna i webbläsaren eller annan programvara.

I Finland behövs det inget poppuppfönster för att informera om användning eller godkännande av kakor. Samtycke kan begäras till exempel med tillgänglig teknik (t.ex. webbläsar- eller applikationsinställningar eller ett poppuppfönster), så länge samtycke inte begärs genom en på förhand ikryssad ruta. Förfaranden med användning av kakor ska också anges på webbsidorna så att användaren kan få ytterligare information om dem.

Denna tolkning varierar i de olika staterna. Utländska tjänster kan fråga om kakor webbplatsspecifikt.

Man behöver inte informera om användningen av kakor eller begära samtycke till användningen, 

  • om deras enda syfte är att tekniskt utföra förmedlingen av meddelanden
  • som är nödvändig för att tjänsteleverantören ska kunna tillhandahålla sådana tjänster som abonnenten eller användaren av tjänsten uttryckligen har begärt.

Sådana tjänster är t.ex. av nätbanker och webbutiker. I praktiken fungerar dessa tjänster dock inte utan kakor. Det är dock möjligt att informera om kakor och syftet med användningen av dem i fallen ovan.

Kakor i EU-lagstiftningen

EU:s allmänna dataskyddsförordning GDPR (EU) 2016/679 (Extern länk) började tillämpas den 25 maj 2018. Genom GDPR upphävdes det tidigare personuppgiftsdirektivet.

Definitionen av samtycke och förutsättningarna för samtycke i lagen om tjänster inom elektronisk kommunikation har baserat sig på regleringen i personuppgiftsdirektivet. Förutsättningarna för samtycke i GDPR har dock ändrats bara lite jämfört med personuppgiftsdirektivet.

EU bereder en ny förordning om integritet och elektronisk kommunikation (Extern länk) som kommer att ersätta direktivet om integritet och elektronisk kommunikation och bestämmelser om kakor i lagen om tjänster inom elektronisk kommunikation. Enligt kommissionens förslag till förordning kunde en möjlighet att uttrycka samtycke ske genom användning av lämpliga inställningar i en webbläsare eller annan tillämpning. Processen för att anta förordningen är ännu inte slutförd, och varken det slutliga innehållet eller tidschema är bekräftade.

Europeiska dataskyddsstyrelsen (European Data Protection Board) har i mars 2019 utfärdat anvisningar (Extern länk) om att tillämpa direktivet om integritet och elektronisk kommunikation (2002/58/EG) och dataskyddsförordningen i situationer som har samband med båda författningar. Anvisningarna omfattar även exempel på användning av kakor.

Kakor och rättspraxis

Europeiska unionens domstols dom av den 1 oktober 2019 om användning av kakor (mål C-673/17 (Extern länk)). Enligt domen är ett samtycke till lagring av kakor inte lämnat på ett giltigt sätt om det tillåts genom en på förhand ikryssad ruta på en webbplats. Användaren ska också informeras om kakornas funktionstid och möjligheten för tredje part att få tillgång eller inte till dessa kakor.