Lagen om dataskydd vid elektronisk kommunikation

Transkript

1 Lagen om dataskydd vid elektronisk kommunikation Nya regler för dataskydd och informationssäkerhet

2

3 Nya metoder för bättre dataskydd och informationssäkerhet Den tekniska utvecklingen gör det möjligt att tillhandahålla allt mångsidigare kommunikationstjänster, men innebär samtidigt nya utmaningar i fråga om integritetsskyddet. Syftet med lagen om dataskydd vid elektronisk kommunikation (516/2004) är att öka användarnas förtroende för elektronisk kommunikation, vilket i sin tur främjar utvecklingen av nya tjänster. Informationssäkerheten har stor betydelse för det privata dataskyddet. De största ändringarna i den nya lagen gäller hanteringen av identifierings- och lokaliseringsuppgifter vid elektronisk kommunikation. I lagen specificeras även de åtgärder, vilka teleföretag och andra företag och sammanslutningar, dvs. sammanslutningsabonnenter, är skyldiga eller har rätt att vidta för att trygga informationssäkerheten beträffande kommunikationen och identifieringsuppgifterna. Läs mer i broschyren Vem gäller lagen?...4 Centrala ändringar Hantering av identifieringsuppgifter... 5 Hantering av lokaliseringsuppgifter...6 Bekämpning av skräppost och datavirus...7 Elektronisk direktmarknadsföring... 8 Vem övervakar?...10 Varifrån fås ytterligare information?...10

4 Vem gäller lagen? Teleföretag Sammanslutningsabonnenter Sammanslutningsabonnenter är alla de företag och sammanslutningar som i sina kommuni kationsnät behandlar användarnas (arbetstagare, studerande o.s.v.) konfidentiella meddelanden samt identifierings- och lokaliseringsuppgifter. Med kommunikationsnät avses bland annat interna telefon- och datanät. Leverantörer av innehållstjänster Leverantörer av innehållstjänster är innehållsproducenter, vars tjänstesortiment omfattar leverans av bland annat nyheter, tidtabeller, väderleksinformation och ringsignaler till kundernas mobiltelefoner. I lagen används termen leverantörer av informationssamhällets tjänster. 4 Leverantörer av mervärdestjänster Leverantörer av mervärdestjänster är till exempel företag, vars tjänster baserar sig på användningen av identifikationsoch lokaliseringsuppgifter. Med leverantörer av mervärdestjänster avses bland annat företag som informerar om var den närmaste restaurangen är belägen eller som ger ruttinformation. Tjänsteabonnenter och -användare Tjänsteabonnenterna och -användarna kan vara privatpersoner. Även de företag vars personal använder företagets mobiltelefonabonnemang är tjänsteabonnenter. sammanslutningsabonnent [ arbetsgivare ] sammanslutningsabonnent [ arbetsgivare ] Jag beställer 3000 liter eldningsolja. teleföretag Beställningen bekräftad. Vi skall leverera oljan nästa måndag. användare [ arbetstagare ] användare [ arbetstagare ]

5 Centrala ändringar Klara regler för hantering av identifieringsuppgifter Identifieringsuppgifter är uppgifter som uppstår vid elektronisk kommunikation mellan olika personer och som lagras i teleföretagens system, på företagens egna e-postservrar, på Internet-proxyservrar och i telefonväxlar. Av identifieringsuppgifterna framgår bl.a. vem som talar i telefon med vem, vilka som sänder e-post och textmeddelanden till varandra och på vilka webbsidor var och en surfar. Vad förändras? Rättigheterna och skyldigheterna i fråga om hantering av identifieringsuppgifter utvidgas från teleföretag till sammanslutningsabonnenter, det vill säga till alla de företag och sammanslutningar som i sina kommunikationsnät hanterar konfidentiella uppgifter om användarna. Företagen och sammanslutningarna behandlar idag samma konfidentiella uppgifter som teleföretagen, med samma tekniska system. Den nya lagen förtydligar och förenhetligar rättigheterna och skyldigheterna vid hanteringen av identifieringsuppgifter. Trots att identifieringsuppgifterna fortfarande huvudsakligen är konfidentiella, får de användas för till exempel förmedling av samtal och annan kommunikation, för fakturering och för felsökning. Uppgifterna bör hanteras så, att skyddet av konfidentiella meddelanden och integritetsskyddet inte äventyras. 5 sammanslutningsabonnent [ arbetsg givare ] sammanslutningsabonnent [ arbetsgiv vare ] Hur skulle det vara med lunch på fredag? Ja tack, det går bra. teleföretag användare [ arbetstagare ] användare [ arbetstagare ]

6 Teleföretagen bör lagra hanteringsinformationen Den nya lagen medför inga större förändringar i teleföretagens verksamhet. Den viktigaste nyheten är att teleföretagen, i avsikt att förebygga eventuellt missbruk vid behandlingen av uppgifterna, under två års tid bör lagra detaljerad information om hur behandlingen av identifieringsuppgifterna skett. Av uppgifterna skall framgå tidpunkten för behandlingen, hur länge behandlingen varat samt vem som utfört behandlingen. Regler för behandling av lokaliseringsuppgifter Med lokaliseringsuppgifter avses uppgifter som anger mobiltelefonens geografiska position och som används för att tillhandahålla lokaliseringstjänster. Lokaliseringstjänsterna är så kallade mervärdestjänster. Vad förändras? Införandet och tillhandahållandet av lokaliseringstjänster främjas genom enklare regler för hantering av lokaliseringsuppgifter. 6 Ingen får lokaliseras utan att ha gett sitt samtycke till det, vilket innebär att den som lokaliseras måste ge leverantören av lokaliseringstjänster tillstånd innan lokaliseringen inleds. För barn under 15 år behövs vårdnadshavarens tillstånd för användningen av lokaliseringstjänster. Medgivandet till eller spärr av lokaliseringstjänster sänds i allmänhet som textmeddelande från mobiltelefonen. Lokaliseringstjänsterna baserar sig i regel på de lokaliseringsuppgifter man fått av teleföretagen. Mobiltelefonabonnenten, som kan vara ett företag eller en privatperson, kan helt förbjuda teleföretaget att behandla lokaliseringsuppgifter i syfte att leverera lokaliseringstjänster. Bestämmelserna om lokalisering i nödsituationer ändras inte. Användningen av lokaliseringsuppgifter är alltid tillåten i nödsituationer.

7 Nya medel mot problemet med skräppost och datavirus Skräppost är oönskade text- och e-postmeddelanden, som överbelastar kommunikationssystemet och blockerar e-postlådor. Virus och maskar är skadliga program, som sprids via e-post, Internet, filer och disketter och som kontaminerar datorer. Vad förändras? Det har redan enligt tidigare lagstiftning varit förbjudet att skicka skräppost i Finland. Trots det har man inte lyckats undanröja problemet med skräppost, eftersom de oönskade meddelandena så gott som uteslutande kommer från områden utanför Finland och EU. Enligt den nya lagen har teleföretag, leverantörer av mervärdestjänster och sammanslutningsabonnenter rätt att hindra mottagning av e-post och textmeddelanden, samt att från meddelandena avlägsna skadliga program för att eliminera störningar och avvärja kränkningar av dataskyddet. Dylika åtgärder får vidtas endast om kommunikationstjänsterna eller mottagarens möjligheter till kommunikation äventyrats. I sådana fall behövs inte mottagarens samtycke för filtrering av meddelandena. Med användarens samtycke kan teleföretag och sammanslutningsabonnenter alltid hindra mottagandet av störande skräppost. 7 Filtreringen av skräppost och avlägsningen av skadliga program från meddelanden bör alltid göras omsorgsfullt och anpassas till den risk som störningen innebär. Åtgärderna får inte begränsa yttrandefriheten eller minska data- eller integritetsskyddet mer än vad som är nödvändigt för att trygga kommunikationen.

8 Elektronisk direktmarknadsföring endast med förhandssamtycke Det är inte tillåtet att skicka direktmarknadsföring via e-post eller mobiltelefon till en konsument som inte på förhand gett sitt samtycke till det. Försäljaren av en tjänst kan emellertid använda de kontaktuppgifter han fått av kunden i samband med köpet till direktmarknadsföring av liknande produkter. Försäljaren måste bereda kunden möjlighet att förbjuda användningen av kontaktuppgifterna både då tjänsten köps och i samband med varje utskickat meddelande. Användarens rätt till sina egna uppgifter utvidgas Användaren skall på begäran ha möjlighet att av teleföretaget få en fullständig specifikation av telefonräkningen med telefonnumren för alla utgående kommunikationer i sin helhet. Kunden kan även be om en specifikation av till exempel mobiltelefonens lokaliseringsuppgifter. Specifikationerna är avgiftsbelagda. 8 Kontaktinformation i telefonkataloger Teleföretagen bör informera sina personkunder om användningen av och syftet med de telefon- och e-postkataloger som de publicerar och de nummerupplysningstjänster som de upprätthåller. Informationen kan lämnas till exempel i samband med att abonnemangsavtalet tecknas. Personkunder har rätt att avgiftsfritt förbjuda införandet av sin kontaktinformation i kataloger och nummerupplysningstjänster samt överlåtandet av informationen. På begäran av kunden skall kontaktinformationen också avlägsnas eller korrigeras avgiftsfritt. Även företag och sammanslutningar har rätt att kontrollera, korrigera och avlägsna sina uppgifter från kataloger och nummerupplysningstjänster, men teleföretagen har dock rätt att debitera för dessa åtgärder.

9 Leverantörer av innehållstjänster har möjlighet till direktfakturering Teleföretag är skyldiga att till företag som levererar innehållstjänster överlåta uppgifter som är nödvändiga för faktureringen. Leverantörerna av innehållstjänster kan således direktfakturera abonnenterna eller användarna för sina tjänster så att faktureringen inte längre behöver gå via teleföretaget. Abonnenten eller användaren måste ge sitt samtycke till överlåtandet av uppgifterna. Regler för användning av cookies Cookies (kakor) är filer med information om användningen av en webbtjänst. Cookies kan lagras på användarens dator och de kan utnyttjas för att styra kontakten mellan webbläsaren och servern. Med hjälp av cookies kan man lagra information om bland annat de sidor användaren besöker så, att sidan identifierar användaren vid dennas följande besök på sidan. Cookies möjliggör bland annat användningen av nätbanker. Om cookies tillämpas måste användaren informeras om detta på webbplatsen. Man behöver dock inte informera om användningen av cookies ifall deras enda uppgift är att tekniskt underlätta bruket av tjänsten, eller om användaren uttryckligen efterfrågat en tjänst som baserar sig på cookies. IP-adresserna och IMEI-koderna till polisen Polisens rätt att få information ökar i och med den ändring av polislagen som ansluter sig till lagen om dataskydd vid elektronisk kommunikation. Vid brottsmisstanke har polisen rätt att av teleföretag och sammanslutningsabonnenter få hemliga telefonnummer och datorernas fasta IP-adresser, samt uppgifter om innehavarna av de IP-adresser som bildas för varje kontakt och om mobiltelefonernas terminalkoder eller IMEI-koder. 9

10 Ikraftträdande Lagen om dataskydd vid elektronisk kommunikation träder i kraft den 1 september Lagen ersätter den fem år gamla lagen om integritetsskydd vid telekommunikation och dataskydd inom televerksamhet. Genom den nya lagen verkställs även EG-direktivet om integritet och elektronisk kommunikation. Vem övervakar? Det är i främsta hand Kommunikationsverket som övervakar efterlevnaden av lagen om dataskydd vid elektronisk kommunikation och de bestämmelser som utfärdats på basis av lagen. Behandlingen av lokaliseringsuppgifter och efterlevnaden av bestämmelserna som gäller direktmarknadsföring, telefonkataloger och nummerupplysningstjänster övervakas av dataombudsmannen. Marknadsföring som riktas direkt till konsumenterna övervakas dessutom av konsumentombudsmannen ( 10 Ytterligare information och assistans Kommunikationsverkets webbplats innehåller information om dataskyddet vid elektronisk information och om de förändringar som den nya lagen medför, såsom de nya bestämmelserna i fråga om informationssäkerhet. Sidorna innehåller även en frågespalt med svar på frågor om tolkningar och praxis avseende lagen om dataskydd vid elektronisk kommunikation. Dataombudsmannens byrå ger på sin webbplats information om behandlingen av lokaliseringsuppgifter och bestämmelserna om direktmarknadsföring. På kommunikationsministeriets webbplats finns information om beredningen av lagen om dataskydd vid elektronisk kommunikation. Lagtexten finns i sin helhet i Statens författningsdata på webbadressen

11

12 Kommunikationsverket PB 313, Helsingfors växel (09) Dataombudsmannens byrå PB 315, Helsingfors växel (09) Kommunikationsministeriet PB 31, Statsrådet växel (09)