Konfidentiell kommunikation

Ingen får utan lagenlig rätt eller samtycke behandla en annan persons meddelanden eller identifieringsuppgifter i kommunikationen. Rätt till konfidentiell kommunikation tryggas i Finlands grundlag. Vi utövar tillsyn över dataskydd i kommunikationsförmedlarnas elektroniska kommunikation. Under vissa förutsättningar gäller tillsynen också tjänster som tillhandahålls från utlandet.

Bestämmelser om dataskydd vid elektronisk kommunikation och förmedlingsuppgifternas dataskydd finns i lagen om tjänster inom elektronisk kommunikation.

  • Elektronisk kommunikation är till exempel samtal, e-postmeddelanden, textmeddelanden, bildmeddelanden, talmeddelanden, snabbmeddelanden och webbmeddelanden.
  • Förmedlingsuppgifter är till exempel telefonnummer, e-postadresser och IP-adresser. Förmedlingsuppgifter är uppgifter som behandlas i kommunikationsnät för att överföra, distribuera eller tillhandahålla meddelanden och som kan kopplas till en abonnent eller användare.

Kommunikationsparternas behandlingsrätt

Enligt lagen får en kommunikationspart behandla sina egna elektroniska meddelanden och förmedlingsuppgifter om dem, om inte något annat föreskrivs i lag. Andra elektroniska meddelanden och förmedlingsuppgifter får också behandlas med kommunikationsparternas samtycke eller om så föreskrivs i lag. Den som har tagit emot eller annars fått kännedom om ett elektroniskt meddelande, radiokommunikation eller förmedlingsuppgifter som inte är avsedda för honom eller henne, får inte utan samtycke av en kommunikationspart röja eller utnyttja meddelandets innehåll, förmedlingsuppgifterna eller uppgifterna om meddelandets existens, om inte något annat föreskrivs i lag.

Med andra ord får avsändaren och den tänkta mottagaren i princip behandla den ömsesidiga kommunikationen men inga tredje parter får göra det.

  • Enligt lag är det är tillåtet att till exempel spela in egna samtal.
  • Konfidentialiteten vid kommunikation kränks inte heller då en kommunikationspart skickar ett meddelande, till exempel ett e-postmeddelande, som han eller hon har tagit emot vidare till en tredje part om sekretessen inte grundar sig på en annan lag eller ett annat avtal.
  • Meddelandets mottagare kan också berätta om ett meddelande som han eller hon har tagit emot och meddelandets innehåll om det inte har bestämts om en särskild tystnadsplikt för mottagaren. Tystnadsplikten till exempel hos den som är anställd hos en myndighet kan basera sig på lagen om offentlighet i myndigheternas verksamhet.

Kommunikationsförmedlarnas behandlingsrätter och -skyldigheter

FÖREMÅL FÖR REGLERING

Enligt lagen kan kommunikationsförmedlare, dvs. teleföretag, sammanslutningsabonnenter och övriga kommunikationsförmedlare behandla elektroniska meddelanden och förmedlingsuppgifter i den utsträckning som det behövs för att producera avtalade tjänster och för att sörja för informationssäkerheten.

I lagen om tjänster inom elektronisk kommunikation finns också bestämmelser om kommunikationsförmedlarnas rätt att behandla förmedlingsuppgifter för fakturering, marknadsföring och teknisk utveckling.

Abonnenten av kommunikationstjänster och några myndigheter har i vissa fall rätt att få uppgifter av teleföretagen om användarens kommunikation.

I lagen om tjänster inom elektronisk kommunikation behandlas förutom behandlingsrätter också förmedlarnas skyldigheter vid behandlingen av elektronisk kommunikation och förmedlingsuppgifter. Lagen föreskriver till exempel att efter behandlingen ska de elektroniska meddelandena och förmedlingsuppgifterna förstöras eller förmedlingsuppgifterna ges en sådan form att de inte kan kopplas till abonnenten eller användaren, om inte något annat föreskrivs i lag.

Offentlig kommunikation

Utöver konfidentiell kommunikation finns också kommunikation avsedd för offentlig användning. Förmedlingsuppgifter som hänför sig till offentlig kommunikation är också konfidentiella. De aktörer som deltar i förmedlingen av kommunikationen, t.ex. teleföretag och sammanslutningsabonnenter, får behandla förmedlingsuppgifterna enbart för sådana ändamål som bestäms i lagen. De har också tystnadsplikt i fråga om förmedlingsuppgifterna.

Den som tillhandahåller ett diskussionsforum eller en annan tjänst där meddelanden publiceras har rätt att publicera förmedlingsuppgifter som finns i diskussionsdeltagarnas meddelanden om detta har överenskommits i avtalsvillkoren för tjänsten. Verksamheten kan jämföras med tidningars insändarspalter där det också är möjligt att publicera en skrift antingen med namn eller med signatur.

Lagen om yttrandefrihet i masskommunikation innehåller bestämmelser om ansvar för innehållet i ett meddelande som gjorts tillgängligt för allmänheten och om utgivarnas skyldighet att röja källan eller skribenten för anonyma meddelanden.

Begränsningar för konfidentiell kommunikation och straff för kränkning av kommunikationshemlighet

Rätten till konfidentiell kommunikation kan begränsas bland annat vid utredning av vissa typer av brott.

Polisen har rätt att genomföra teleavlyssning och teleövervakning när det gäller vissa brott. Myndigheter som tar emot nödmeddelanden har också rätt att få uppgifter som anger läget för det abonnemang från vilket nödmeddelandet har sänts samt uppgifter som anger läget för det abonnemang som innehas av en användare som är föremål för nödmeddelandet.

Kränkningen av kommunikationshemligheten är ett brott. Det är straffbart att bland annat skaffa uppgifter obehörigt genom att bryta ett säkerhetsarrangemang.

Myndighetstillsyn

Cybersäkerhetscentret vid Traficom övervakar att kommunikationsförmedlare utför sina nät- och kommunikationstjänster på ett informationssäkert sätt så att konfidentialitet vid kommunikation inte äventyras. Centret styr och övervakar också att kommunikationsförmedlare iakttar de rättigheter och skyldigheter som uppställs i lag när det gäller att behandla konfidentiell kommunikation.

Dataombudsmannen igen utövar tillsyn över behandlingen av personuppgifter och lokaliseringsuppgifter vid kommunikation, dvs. information från ett kommunikationsnät eller en terminalutrustning som anger ett abonnemangs eller en terminalutrustnings geografiska position och som används för annat än för att förmedla meddelanden.

Vid brottmål som gäller konfidentiell kommunikation ska man vända sig till polisen.

Registrering på användarens terminalutrustning av information om användning av tjänster

Registrering på användarens terminalutrustning av kakor eller annan information om användning av tjänster samt användning av informationen förutsätter i regel att användaren ger sitt samtycke till det och att det finns en begriplig och heltäckande beskrivning av syftet med registreringen eller användningen. Kravet på samtycke gäller inte sådan registrering eller användning av information vars enda syfte är att förmedla meddelanden via kommunikationsnäten eller som är nödvändig för att tjänsteleverantören ska kunna tillhandahålla sådana tjänster som abonnenten eller användaren av tjänsten uttryckligen har begärt.

Kakor

En kaka är en liten textfil som webbläsaren lagrar i användarens utrustning. Kakor används t.ex. då man vill lagra uppgifter om användaren vid förflyttning från en sida till en annan i en internettjänst. Med hjälp av kakor kan man samla in bl.a. följande uppgifter:

  • användarens IP-adress
  • klockslag
  • besökta sidor
  • typ av webbläsare
  • från vilken webbadress användaren har kommit till webbplatsen i fråga
  • från vilken server användaren har kommit till webbplatsen
  • från vilket domännamn användaren har kommit till webbplatsen.

En kaka kan lagras permanent (stored cookie) på användarens utrustning eller den kan tas bort efter användningen av tjänsten (session cookie).

Användning av kakor kräver ofta användarens samtycke

Man behöver inte begära samtycke till användningen av kakor eller annan information som lagras på användarens terminalutrustning:

  • om deras enda syfte är att tekniskt utföra förmedlingen av meddelanden i kommunikationsnätet eller
  • som är nödvändig för att tjänsteleverantören ska kunna tillhandahålla sådana tjänster som abonnenten eller användaren av tjänsten uttryckligen har begärt.

Exempel på sådana nödvändiga kakor och annan information är till exempel filer som upprätthåller inloggningen i webbutiker eller nätbanker eftersom webbtjänsten inte fungerar utan dem.

All annan information som lagras på användarens terminalutrustning kräver användarens samtycke.

Krav på samtycke

Användarens samtycke till lagring av andra än nödvändiga kakor ska lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från användarens sida. Detta betyder att användarens samtycke kan ges till exempel via ett särskilt popupfönster som meddelar om kakor eller via en annonsruta på webbplatsen där användaren kan välja de kakor som hen vill ge sitt samtycke till.

Det är inte lagenligt att begära samtycke till lagring av kakor genom en på förhand ikryssade rutor. Samtycke kan inte ges genom användarens webbläsarinställningar, eftersom sådant samtycke inte kan anses vara ett specifikt och informerat medgivande.

Information om lagring

Användarna ska informeras minst om kakor som inte anses vara nödvändiga och om lagring av annan information som beskriver användningen av tjänsterna. Med tanke på transparens är det att rekommendera att man också informerar om kakor som anses vara nödvändiga.

Användaren av webbplatsen måste tydligt och omfattande underrättas om kakor, registreringen av användaruppgifterna och uppgifternas användningsändamål. Användaren ska också informeras om kakornas funktionstid och möjligheten för tredje part att få tillgång eller inte till dessa kakor. Information om att uppgifter samlas in med kakor samt möjlighet att vägra att kakor lagras ska utföras på ett för användaren så smidigt sätt som möjligt.

Lagstiftning och rättspraxis

Bestämmelser om registrering av kakor och annan information om användningen av tjänsten finns i lagen om tjänster inom elektronisk kommunikation: Lagen om tjänster inom elektronisk kommunikation, 205 § (Extern länk)

Bakom den nationella lagen finns direktivet om integritet och och elektronisk kommunikation (Extern länk)

EU bereder en ny förordning om integritet och elektronisk kommunikation (Extern länk) som kommer att ersätta direktivet om integritet och elektronisk kommunikation och bestämmelser om kakor i lagen om tjänster inom elektronisk kommunikation. Enligt det aktuella förslaget till förordningen kan slutanvändaren ge sitt samtycke till lagring av kakor bland annat genom att vitlista en eller flera tjänsteleverantörer i webbläsarens inställningar. Processen för att anta  förordningen är ännu inte slutförd, och varken det slutliga innehållet eller tidschema är bekräftade.

Begreppet samtycke och att ge samtycke enligt 205 § i lagen om tjänster inom elektronisk kommunikation baserar sig på EU:s allmänna dataskyddsförordning: allmän dataskyddsförordning (EU) 2016/679  (Extern länk)

Europeiska unionens domstols dom av den 1 oktober 2019 om användning av kakor (mål C-673/17 (Extern länk)). Enligt domen är ett samtycke till lagring av kakor inte lämnat på ett giltigt sätt om om det tillåts genom en på förhand ikryssad ruta på en webbplats. Användaren ska också informeras om kakornas funktionstid och möjligheten för tredje part att få tillgång eller inte till dessa kakor.

Helsingfors förvaltningsdomstol meddelade den 8 april 2021 två avgöranden (H1515/2021 och H1516/2021 / Diarie 20801/2020 och 20848/2020) i fråga om förutsättningarna för samtycke till lagring av andra än nödvändiga kakor. Enligt avgöranden kan det att webbinställningarna som standard eller ändrade av användaren i allmänhet tillåter användningen av kakor för olika ändamål inte kan anses utgöra en specifik och informerad yttring av samtycke så som avses i artikel 4.11 i dataskyddsförordningen. Med andra ord kan användaren enligt avgörandena inte genom sina webbinställningar ge ett giltigt samtycke till lagring av andra än nödvändiga kakor på användarens terminalutrustning.

Europeiska dataskyddsstyrelsen (European Data Protection Board) har i mars 2019 utfärdat anvisningar (Extern länk) om att tillämpa direktivet om integritet och  elektronisk kommunikation (2002/58/EY) och dataskyddsförordningen i situationer som har samband med båda författningar. Anvisningarna omfattar även exempel på användning av kakor.