Motivering till och tillämpning av föreskrift 53 B. Föreskrift om teleföretagens skyldighet att lagra uppgifter för myndigheternas behov

Transkript

1 Motivering till och tillämpning av föreskrift 53 B Föreskrift om teleföretagens skyldighet att lagra uppgifter för myndigheternas behov MPS 53 B

2 MPS 53 B 1 (19) INNEHÅLL AVDELNING A CENTRALA ÄNDRINGAR [OCH ÄNDRINGSHISTORIK] Ändringar Ändringshistorik... 2 AVDELNING B MOTIVERING TILL ENSKILDA PARAGRAFER OCH ANVISNINGAR FÖR TILLÄMPNING Föreskriftens syfte Tillämpningsområde Definitioner Lagring av uppgifter om telefonitjänster och textmeddelandetjänster i mobilnät Lagring av uppgifter om internettelefonitjänster Lagring av uppgifter om internetaccesstjänster Behandlingstid för eget behov Informationssäkerhet vid genomförandet av lagringsskyldigheten Ikraftträdande och övergångsbestämmelser Erhållande av upplysningar och publicering AVDELNING C LAGSTIFTNING Rättsgrund Finsk lagstiftning Övriga bestämmelser Direktiv om lagring av uppgifter 2006/24/EG Personuppgiftslagen (523/1999) Utlämnande av uppgifter till myndigheter s tekniska föreskrifter... 18

3 MPS 53 B 2 (19) Avdelning A Centrala ändringar [och ändringshistorik] 1 Ändringar I föreskriftens version 53 B/2014 M görs ändringar som beror på informationssamhällsbalken (917/2014). Ändringarna gäller föreskriftens tillämpningsområde och lagringsskyldiga företag (föreskriftens 2 ) samt uppgifter som lagras (föreskriftens 4 6 ). Terminologin ändras så att i stället för termen identifieringsuppgifter används termen "förmedlingsuppgifter". På finska ersätts termen "tallentaminen" med "säilyttäminen" medan den svenska motsvarigheten "lagring" behålls. Mängden kommunikationstjänster om omfattas av lagringsskyldigheten minskar med anledning av en omvärdering av lagringsskyldigheten. För myndighetsbehov lagras uppgifter inte längre om telefonitjänster i fasta telefonnät, e-posttjänster, tilläggstjänster, EMS-tjänster och multimedietjänster. Uppgifter lagras i framtiden om de telefoni- och textmeddelandetjänster i mobilnät, internettelefonitjänster och internetaccesstjänster som det lagringsskyldiga företaget tillhandahåller. I bestämmelserna i 19 kap. i informationssamhällsbalken (i synnerhet 157 ) har beaktats att Europeiska unionens domstol har i sin dom 1 av den 8 april 2014 ogiltigförklarat direktivet 2006/24/EG 2 samt synpunkterna om de grundläggande rättigheterna i domen. Lagstiftning och EU:s regelverk behandlas närmare i avdelning C. Med anledning av domen och kommunikationsutskottets betänkande fogas till föreskriften en ny preciserande bestämmelse om informationssäkerhet av uppgifter som omfattas av lagringsskyldigheten (föreskriftens 8 ). 2 Ändringshistorik Den första föreskriften om skyldigheten att lagra identifieringsuppgifter 53/2008 M trädde i kraft den 5 juni Genom föreskriften preciserades de tekniska detaljerna kring de uppgifter som omfattades av lagringsskyldigheten såsom föreskrivits i 14 a - c i lagen om dataskydd vid elektronisk kommunikation (516/2004) som sedan upphävts och i direktiv 2006/24/EG. Föreskriftens följande version 53 A/2011 M trädde i kraft den 1 juni Till föreskriften fogades en ny 7 om behandlingstid för eget behov. Avdelning B Motivering till enskilda paragrafer och anvisningar för tillämpning 1 Domstolens dom den 8 april 2014 i förenade målen C-293/12 och C-594/12. 2 Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG.

4 MPS 53 B 3 (19) 1 Föreskriftens syfte Syftet med denna föreskrift är att specificera de tekniska detaljerna kring de uppgifter som omfattas av lagringsskyldigheten enligt 157 i informationssamhällsbalken samt att precisera det tekniska genomförandet av lagringen och kravet på informationssäkerheten vid lagringen av uppgifterna med stöd av mom. i informationssamhällsbalken. I föreskriften meddelas närmare föreskrifter om de tekniska detaljerna kring de uppgifter som ska lagras om olika kommunikationstjänster. I föreskriftens 7 anges hur en behandlingstid för en viss uppgift för teleföretagets eget behov vid behov kan beräknas. Till föreskriften fogas en ny 8 som gäller informationssäkerhet vid genomförandet av lagringsskyldigheten. 2 Tillämpningsområde Föreskriften tillämpas på uppgifter som omfattas av lagringsskyldigheten och hänför sig till kommunikationstjänster som tillhandahålls av teleföretag som har gjort en televerksamhetsanmälan och som särskilt utsetts genom beslut av inrikesministeriet (lagringsskyldigt företag) samt på genomförandet av lagringsskyldigheten. Med uppgifter som omfattas av lagringsskyldigheten avses uppgifter som är tillgängliga och har genererats eller behandlats i samband med tillhandahållande av det lagringsskyldiga företagets allmänt tillgängliga kommunikationstjänster med stöd av informationssamhällsbalken eller personuppgiftslagen (523/1999) och vars behandling för det lagringsskyldiga företagets eget behov har avslutats och som lagras för myndigheternas behov i enlighet med 157 i informationssamhällsbalken. Lagringsskyldigheten kan endast gälla företag som tillhandahåller kommunikationstjänster som betraktas som allmän televerksamhet och som enligt 4 i informationssamhällsbalken ska göra en verksamhetsanmälan. Varken föreskriften eller lagringsskyldigheten kan därför gälla t.ex. internettelefonitjänster som bygger på icke-hierarkiska nät där tjänsteleverantören inte deltar i förmedlingen av meddelanden i kommunikationsnätet. Lagringsskyldigheten gäller endast de företag som särskilt utsetts genom beslut av inrikesministeriet. Lagringsskyldigheten gäller enbart det lagringsskyldiga företagets egna tjänster - inte t.ex. ett annat företags tjänster som tillhandahålls via denna tjänst. Genom informationssamhällsbalken eller denna föreskrift åläggs teleföretagen inte någon skyldighet att samla in eller lagra nya uppgifter. Syftet är enbart att förlänga lagringstiden för uppgifterna som teleföretaget redan i nuläget behandlar för tillhandahållande av sin egen tjänst.

5 MPS 53 B 4 (19) Lagringsskyldigheten gäller endast de uppgifter som uppräknas i denna föreskrift och som teleföretaget redan lagrar för behandlingen. Lagringsskyldigheten gäller inte uppgifter som teleföretagets system tillfälligtvis lagrar utan något senare användningsändamål. I lagmotiveringen har konstaterats: "tillgänglighetskravet kan inte anses vara uppfyllt t.ex. i sådana situationer där vissa uppgifter är tillgängliga för tjänsteföretaget bara några dagar." 3 Teleföretagen kan lagra uppgifter som uppräknas i denna föreskrift för eget bruk, t.ex. för kundadministrationssystem, nätadministrationssystem och uppgifter om användning av nätet (t.ex. faktureringsuppgifter). Genom föreskriften förlängs lagringstiden för uppgifterna som lagrats i de lagringsskyldiga företagens system för de uppgifter som ges i föreskriften. Lagringsskyldigheten gäller inte sådana uppgifter som uppräknas i föreskriften om det lagringsskyldiga företaget inte behöver lagra dem för sitt eget bruk. Det lagringsskyldiga företaget ska se till att lagringsskyldigheten fullgörs även i sådana situationer där en del av tjänsterna eller behandlingen av uppgifterna görs av en inhemsk eller utländsk underleverantör. I mom. i informationssamhällsbalken föreskrivs särskilt om förhållandet mellan tjänsteleverantör och nätföretag: "Ett lagringsskyldigt företag ska vid behov samarbeta med ett nätföretag, så att lagringen även omfattar de tillgängliga uppgifter enligt 157 som nätföretaget behandlar för att genomföra det lagringsskyldiga företagets tjänster." 3 Definitioner Begreppet lagringsskyldighet används i flera punkter i föreskriften. Därför definieras det separat att med lagringsskyldighet avses en skyldighet enligt 19 kap. i informationssamhällsbalken att lagra vissa uppgifter för myndigheternas behov längre än vad de annars skulle lagras. Genom att definiera uppgifter som omfattas av lagringsskyldigheten avgränsas sådana uppgifter som teleföretaget fortfarande behandlar för företagets eget behov utanför föreskriftens tillämpningsområde. Uppgifter som omfattas av lagringsskyldigheten lagras alltså endast för myndigheternas behov och med stöd av mom. i informationssamhällsbalken får de endast användas för att kunna utreda och åtalspröva brott som avses i 10 kap. 6 2 mom. i tvångsmedelslagen (806/2011). Motsvarande avgränsning gäller inte sådana uppgifter som teleföretaget behandlar för eget behov. För att tydliggöra de uppgiftsgrupper som lagras används i föreskriften de på branschen vanliga begreppen uppringande abonnent och uppringd abonnent för att skilja olika parters uppgifter från varandra. 3 RP 158/2007 till Riksdagen med förslag till lag om ändring av lagen om dataskydd vid elektronisk kommunikation, detaljmotivering till 14 a.

6 MPS 53 B 5 (19) 4 Lagring av uppgifter om telefonitjänster och textmeddelandetjänster i mobilnät Enligt 3 42 punkten i informationssamhällsbalken avses med allmän telefonitjänst en kommunikationstjänst som gör det möjligt att ringa och ta emot inrikes- och utrikessamtal med nummer som finns i en nationell eller internationell nummerplan. Lagringsskyldigheten gäller alltså telefonitjänster i mobilnätet som gör det möjligt att ringa och ta emot inrikes- och utrikessamtal med nummer som finns i en nationell eller internationell nummerplan. Lagringsskyldigheten gäller också textmeddelandetjänster i mobilnätet (SMS, Short Message Service). Enligt mom. i informationssamhällsbalken avser lagringsskyldigheten i fråga om mobilnätets telefoni- och sms-tjänster "uppgifter om abonnentens och den registrerade användarens namn och adress, abonnemangets identifieringsuppgifter och uppgifter med vilkas hjälp en användare av kommunikationstjänster kan identifieras samt användarens transaktioner, inklusive omstyrda samtal, kan fastställas utifrån meddelandets typ och mottagare samt tidpunkt och varaktighet för kommunikationen." Lagringsskyldigheten avser också "uppgifter med vilkas hjälp den kommunikationsutrustning som använts och utrustningens och abonnemangets position när transaktionen inleddes kan fastställas". "Vilka uppgifter som lagras ska avgränsas till endast de som med beaktande av tjänstens tekniska genomförande är nödvändiga för att specificera den information som avses ovan i detta moment." Lagringstiden för uppgifter som avser telefonitjänster och textmeddelandetjänster i mobilnät är enligt mom. i informationssamhällsbalken 12 månader. Lagringstiden börjar enligt mom. i informationssamhällsbalken när transaktionen inleds. När det gäller roaming kan ett utländskt teleföretag skicka en faktureringsuppgift till teleföretaget först efter några veckor från själva transaktionen och även då anses lagringsskyldigheten ha börjat enligt transaktionens tidsstämpel i faktureringsuppgifterna. Enligt föreskriftens 4 gäller lagringsskyldigheten följande uppgifter som avser telefonitjänster och textmeddelandetjänster i mobilnät inklusive samtal som har kopplats men inte besvarats eller samtal som har förhindrats till följd av en driftåtgärd i nätet: 1. telefonnummer och abonnentens och den registrerade användarens namn och adress (kund-/abonnentuppgifter), 2. uppgift om den tjänst i mobilnätet som använts, 3. den uppringande abonnentens och den uppringda abonnentens telefonnummer samt vid omstyrning av samtal det telefonnummer till vilket samtalet har styrts, 4. internationellt identifieringsnummer för mobilabonnent (IMSInummer),

7 MPS 53 B 6 (19) 5. internationellt identifieringsnummer för mobilutrustning (IMEInummer), 6. datum och tid för ett samtals början och slut samt datum och tid för ett textmeddelande, 7. lokaliseringsbeteckning (cell-id) för att identifiera lokaliseringen av mobil kommunikationsutrustning och abonnemang som använts i den vid samtalets början eller vid den tidpunkt textmeddelandet förmedlades, samt 8. uppgifter som identifierar basstationernas geografiska placering under den period som förmedlingsuppgifterna om telefonitjänsten lagrats. "I 1 mom. 1 och 8 punkten avses det lagringsskyldiga företagets egna kunder och de basstationer som använts vid tillhandahållandet av tjänsten. I 2 7 punkten gäller lagringsskyldigheten både utgående samtal och textmeddelanden från abonnemanget och inkommande samtal och textmeddelanden till abonnemanget. För 4, 5 och 7 punkten gäller lagringsskyldigheten uppgifter om användare som är inloggade i det lagringsskyldiga företagets nät." Vad gäller telefonnumret i punkt 1 lämnas till myndigheten också information om huruvida abonnenten eller användaren har förbjudit anteckning av uppgifter om honom eller henne i kontaktinformationstjänsten såsom det bestäms i 198 i informationssamhällsbalken. Det är egentligen inte fråga om en uppgift som omfattas av lagringsskyldigheten, emedan teleföretaget behandlar uppgiften för sitt eget behov - dvs. för att tillhandahålla en tjänst som abonnenten begärt. I punkt 2 avses med uppgift om den tjänst i mobilnätet som använts uppgift t.ex. om huruvida det är fråga om en telefoni- eller textmeddelandetjänst eller multi-sim-tjänst. Vad gäller både utgående och inkommande samtal och textmeddelanden i 2-7 punkten ska det lagringsskyldiga företaget ska lagra de uppgifter som det självt behandlar i samband med transaktionen och därefter för eget behov. I fråga om identifieringsnummer för mobilabonnent (4 punkten), identifieringsnummer för mobilutrustning (5 punkten) och lokaliseringsbeteckning (7 punkten) gäller lagringsskyldigheten endast uppgifter om användare som är inloggade i det lagringsskyldiga företagets nät både för utgående och inkommande samtal och textmeddelanden. I 3 punkten avses med telefonnummer som lagras ett MSISDN-nummer för mobilnätet. I fall som berör automatisk omstyrning av samtal gäller lagringsskyldigheten vart och ett av de medverkande lagringsskyldiga företagen. Om kund A har styrt sina samtal om till kund B som sedan har styrt samtalen vidare om till kund C, gäller lagringsskyldigheten alla medverkande lagringsskyldiga företag (A, B och C). Det kan finnas flera på varandra följande omstyrningar. Lagringsskyldigheten gäller då alla

8 MPS 53 B 7 (19) medverkande lagringsskyldiga företag. Lagringsskyldigheten gäller inte uppgift om inställning av omstyrningen (konfigurationsuppgift). Enligt 6 punkten ska tidsstämplar som anger samtalets början och slut samt textmeddelandets datum och tid lagras i den form som de lagrades för eget behov. Om noggrannhet av de klockor som teleföretagen använder finns närmare föreskrifter i s föreskrift 31 F/2014 M om debiteringens tekniska genomförande i kommunikationsnät. I 8 punkten avses med uppgift som identifierar basstationens geografiska placering en uppgift som i efterhand kan visa vilket geografiskt område som basstationen under en viss tidpunkt har täckt. 5 Lagring av uppgifter om internettelefonitjänster Med internettelefonitjänster avses enligt mom. 2 punkten i informationssamhällsbalken - och i denna föreskrift - tjänster som tillhandahålls av tjänsteföretag och som ända till slutkunderna är baserade på internetprotokoll och möjliggör samtal. Om en tjänsteleverantör endast tillhandahåller en tillgänglighetstjänst av typen katalogtjänst (t.ex. tillhandahåller information om användaren är inloggad i tjänsten) eller en internettelefonitjänst som genomförts på ickehierarkiska nät, uppfyller tillhandahållandet inte definitionen av en kommunikationstjänst, om inte tjänsteleverantören deltar i överföringen av meddelanden i kommunikationsnätet. Enligt mom. i informationssamhällsbalken avser lagringsskyldigheten i fråga om internettelefonitjänster "uppgifter om abonnentens och den registrerade användarens namn och adress, abonnemangets identifieringsuppgifter och uppgifter med vilkas hjälp en användare av kommunikationstjänster kan identifieras samt användarens transaktioner, inklusive omstyrda samtal, kan fastställas utifrån meddelandets typ och mottagare samt tidpunkt och varaktighet för kommunikationen." "Vilka uppgifter som lagras ska avgränsas till endast de som med beaktande av tjänstens tekniska genomförande är nödvändiga för att specificera den information som avses ovan i detta moment." Lagringstiden för uppgifter som avser internettelefonitjänster är enligt mom. i informationssamhällsbalken 6 månader från det att transaktionen inleddes. Enligt föreskriftens 5 gäller lagringsskyldigheten följande uppgifter om internettelefonitjänster: 1. namn och adress samt användar-id, telefonnummer och annan motsvarande identifierare (kund-/abonnentuppgifter) för abonnenten och den registrerade användaren av internettelefonitjänsten, 2. uppgift om den internettelefonitjänst som använts,

9 MPS 53 B 8 (19) 3. den uppringande abonnentens och den uppringda abonnentens telefonnummer och annan motsvarande identifierare samt, vid automatisk omstyrning av samtal eller motsvarande tjänst, den användar-id, det telefonnummer och annan identifierare till vilket samtalet har styrts, samt 4. datum och tid för ett samtals början och slut. "I 1 mom. 1 punkten avses det lagringsskyldiga företagets egna kunder. I 2 4 punkten gäller lagringsskyldigheten både utgående samtal från abonnemanget och inkommande samtal till abonnemanget." Med användar-id och annan motsvarande identifierare avses t.ex. SIPadresser eller andra sådana identifierare för en internettelefonitjänst med vilka samtalet kan ringas. 6 Lagring av uppgifter om internetaccesstjänster Med internetaccesstjänst avses enligt 3 i informationssamhällsbalken - och i denna föreskrift - en kommunikationstjänst som möjliggör anslutning till internet för användning av de tjänster som finns tillgängliga där. Enligt mom. i informationssamhällsbalken avser lagringsskyldigheten i fråga om internetaccesstjänster "uppgifter om abonnentens och den registrerade användarens namn och adress, abonnemangets identifieringsuppgifter och installeringsadress och uppgifter med vilkas hjälp en användare av kommunikationstjänster och den utrustning som använts kan identifieras samt tidpunkt och varaktighet för tjänsternas användning kan fastställas." "Vilka uppgifter som lagras ska avgränsas till endast de som med beaktande av tjänstens tekniska genomförande är nödvändiga för att specificera den information som avses ovan i detta moment." Lagringstiden för uppgifter om internetaccesstjänster är enligt mom. i informationssamhällsbalken 9 månader räknat från det att transaktionen inleddes. Enligt föreskriftens 6 gäller lagringsskyldigheten följande uppgifter om internetaccesstjänster: 1. namn och adress samt användar-id och annan motsvarande identifierare för abonnenten och den registrerade användaren av internetabonnemanget, 2. internetabonnemangets installeringsadress, 3. statisk eller dynamisk IP-källadress för kommunikation under en internetförbindelse samt uppgifter om de adressöversättningar som hänför sig till den, 4. datum och tid för ett samtals början och slut, samt 5. internationellt identifieringsnummer för mobilabonnent (IMSInummer),

10 MPS 53 B 9 (19) 6. internationellt identifieringsnummer för mobilutrustning (IMEInummer) eller en annan identifieringsuppgift för den utrustning som är kommunikationens källa, samt 7. telefonnummer från vilket förbindelsen har uppkopplats. "I 1 mom. avses uppgifter om det lagringsskyldiga företagets egna kunder." Användning av en användar-id för internetaccesstjänster är ganska sällsynt i Finland. Ett undantag är bl.a. kommersiella WLAN-förbindelser, där tjänstens användning ofta begränsas med identifiering av användare där det utnyttjas en användar-id och lösenord. Med någon annan motsvarande identifierare avses t.ex. förbindelsens tekniska identifierare som möjliggör identifiering av anslutningen. Uppgifter om dynamisk IP-källadress för kommunikation under en förbindelse samt uppgifter om de adressöversättningar som hänför sig till den, vilka nämns i 3 punkten, ska lagras om teleföretaget behandlar dem för egen verksamhet, t.ex. för att reda ut informationssäkerhetskränkningar eller funktionsstörningar. Lagringsskyldigheten kan t.ex. gälla uppgifter som lagrats på DHCP-server (Dynamic Host Configuration Protocol) om delning av dynamiska IPadresser till olika användare eller uppgifter om åtkomsthantering som lagrats på RADIUS-server (Remote Authentication Dial-In User Server). För dynamiska IP-adresser gäller lagringsskyldigheten också s.k. DHCPoptio82-uppgifter, dvs. mera detaljerade uppgifter om abonnemang för vilka ett visst IP-adress har tilldelats. DHCP-optio82-uppgifterna måste lagras, om lagringen är nödvändigt för att användare av en kommunikationstjänst ska kunna identifieras. Skyldigheten att lagra uppgifter om adressöversättningar (Network Address Translation, NAT, Network Address and Port Translation, NAPT tai Port Address Translation, PAT) gäller uppgifter på basis av vilka olika abonnemang och därigenom användare kan identifieras per access. Uppgifter som ska lagras är alltså, beroende på genomförandet av den valda adressöversättningen, t.ex. individuell (ursprunglig) IP-adress, den offentliga IP-källadress som fås vid adressöversättningen och motsvarande uppgifter om eventuella UDP-/TCP-portnummer för källadressen. Lagringsskyldigheten gäller också uppgifter om den använda adressöversättningen och dess funktionsprinciper. Enligt mom. i informationssamhällsbalken gäller lagringsskyldigheten inte innehållet i meddelanden eller förmedlingsuppgifter som samlats vid bläddring av webbsidor. Uppgifter om till exempel vart användaren har kontaktat (IP-måladresser och portnummer för målet) ska inte lagras för att fullgöra lagringsskyldigheten. Lagringsskyldigheten gäller uppgifter om adressöversättningar endast till den del de är nödvändiga för att identifiera den kommunikationsutrustning som använts och i den utsträckning teleföretaget behandlar dessa uppgifter för eget behov.

11 MPS 53 B 10 (19) För internetaccesstjänster i mobilnätet är uppgift om datum och tid för början av en internetförbindelse (punkt 4) en tidsstämpel för aktivering av PDP-kontext som öppnats för dataöverföringen. En annan identifieringsuppgift för den utrustning som är kommunikationens källa, som omnämns i paragrafens 6 punkt, kan vara t.ex. MAC-adress (Media Access Control) för ett nätverkskort. Telefonnummer från vilket förbindelsen har uppkopplats (punkt 7) avser för mobilnätet ett MSISDN-nummer. 7 Behandlingstid för eget behov Uppgifter som omfattas av lagringsskyldigheten får enligt samma mom. endast användas för att utreda och åtalspröva brott som avses i 10 kap. 6 2 mom. i tvångsmedelslagen (806/2011). Uppgifter som omfattas av lagringsskyldigheten ska därför kunna skiljas från de uppgifter som ett lagringsskyldigt företag behandlar för eget behov. Det lagringsskyldiga företaget anger för varje uppgiftsgrupp den tid som företaget självt använder för att behandla uppgifterna för eget behov i samband med tillhandahållandet av tjänsten. Med uppgiftsgrupp avses de grupper som uppräknas i föreskriftens 4-6. I praktiken har det varit omöjligt att ange en exakt behandlingstid för eget behov med tanke på alla uppgifter/system. Uppgifterna om till exempel en dynamisk IP-adress kan vara tillgängliga under tider som är av olika längd beroende på utrustning. Av ovan nämnda grunder finns det i föreskriftens 7 närmare föreskrifter om att om det inte är möjligt att ange en faktisk behandlingstid för en viss uppgiftsgrupp för teleföretagets eget behov, anges den minimitid som åtminstone behövs för att behandla uppgifterna för vederbörande uppgiftsgrupp för det lagringsskyldiga företagets eget behov. 8 Informationssäkerhet vid genomförandet av lagringsskyldigheten Europeiska unionens domstol har i sin dom 4 av den 8 april 2014 konstaterat att direktiv 2006/24/EG är ogiltigt. I domskälen konstaterades direktivet innehålla en hel del brister med tanke på de grundläggande rättigheterna till integritetsskyddet och skyddet för konfidentiell kommunikation. En av bristerna är att direktivet inte föreskriver garantier vilka gör det möjligt att säkerställa ett effektivt skydd av de lagrade uppgifterna mot riskerna för missbruk. 5 Även kommunikationsutskottet har, i fråga 19 kap. i informationssamhällsbalken, understrukit att "om uppgifterna centraliseras 4 Domstolens dom den 8 april 2014 i förenade målen C-293/12 och C-594/12. 5 Domstolens dom den 8 april 2014 i förenade målen C-293/12 och C-594/12, punkt 66 i domskälen.

12 MPS 53 B 11 (19) till större enheter är det av högsta vikt att dessa system tillämpar ytterst stränga principer och förfaranden för datasäkerheten." 6 Lagringsskyldiga företag är skyldiga att även sörja för informationssäkerheten hos de uppgifter som omfattas av lagringsskyldigheten. Enligt 247 i informationssamhällsbalken ska "den som förmedlar kommunikation vid förmedlingen sörja för informationssäkerheten när det gäller tjänsterna, meddelandena, förmedlingsuppgifterna och lokaliseringsuppgifterna." [...] De åtgärder som vidtas för informationssäkerheten ska anpassas till hotets allvarlighet, till kostnaderna för åtgärderna samt till de tekniska möjligheter att avvärja hotet som står till buds. Enligt mom. i informationssamhällsbalken ska det lagringsskyldiga företaget utse dem som har rätt att behandla lagrade uppgifter eller ange de arbetsuppgifter i vilka de får behandlas. Det lagringsskyldiga företaget ska se till att abonnenterna får tillgång till information om lagringen av uppgifterna och om syftet med lagringen. I 145 i informationssamhällsbalken sägs följande: "En kommunikationsförmedlare ska dokumentera detaljerade loggdata om behandlingen av förmedlingsuppgifter i datasystem som innehåller förmedlingsuppgifter med central betydelse för konfidentialiteten och integritetsskyddet, om det är tekniskt möjligt utan oskäliga kostnader. Av loggdata ska det framgå tidpunkten för behandlingen, hur länge behandlingen pågått samt handläggaren. Loggdata om behandlingen ska lagras i två år efter dokumenteringen." I föreskriftens 8 sägs följande: "Det lagringsskyldiga företaget ska skydda uppgifter som omfattas av lagringsskyldigheten mot obehörig behandling både under lagringen och vid överföring till myndigheten. Det lagringsskyldiga företaget ska på behörigt sätt kontrollera att det finns en laglig grund för en myndighets begäran om uppgifter som omfattas av lagringsskyldigheten. Det lagringsskyldiga företaget ska lagra följande uppgifter vid genomförandet av en myndighets begäran om uppgifter som omfattas av lagringsskyldigheten för två år: 1. vilka uppgifter som sökts och vilka uppgifter som överlämnats, 2. tidpunkt för när uppgifterna söktes, 3. den som sökt uppgifterna, samt 4. den lagliga grunden för att söka uppgifterna." Föreskriftens 8 gäller, i enlighet med föreskriftens tillämpningsområde, lagringsskyldiga företag och uppgifter som omfattas av lagringsskyldigheten. Det rekommenderas dock att 6 KoUB 10/2014 rd - RP 221/2013 rd, allmän motivering avseende lagring av uppgifter för myndigheternas behov (avsnittet "Vissa drag i den föreslagna nationella regleringen").

13 MPS 53 B 12 (19) informationssäkerhetsskyldigheter som ingår i bestämmelsen tillämpas på nedan beskrivet sätt även på de informationsbegäranden som gäller uppgifter som teleföretaget fortfarande behandlar även för eget behov. Skyddet av uppgifter (1 mom.) Lagring av uppgifter i ett separat system avsett för uppgifter som omfattas av lagringsskyldigheten kan ske t.ex. enligt gränssnittet som specificeras i dokumentet ETSI 'Lawful Interception (LI); Retained data handling; Handover interface for the request and delivery of retained data' 7 på ett sådant sätt som separat avtalats om med myndigheten. Skyddet av de lagrade uppgifterna beskrivs bl.a. i ETSIs dokument ETSI TR Kontroll av begäran om uppgifter (2 mom.) I paragrafens 2 mom. finns föreskrifter om att det lagringsskyldiga företaget på behörigt sätt ska kontrollera att det finns en laglig grund för en myndighets begäran om uppgifter som omfattas av lagringsskyldigheten. Med detta avses för det första att man försäkrar sig om uppgiftsbegärans ursprung och avsändarens rätt att få uppgifterna samt om att uppgifterna når dem som är berättigade att få dem. Detta är också sådant skydd mot obehörig behandling som anges i 1 mom. Om erhållande av uppgift om förmedlingsuppgifter kräver att myndigheten ska skaffa ett tillstånd eller ett annat beslut av domstolen, ska teleföretaget försäkra sig om att tillståndet eller beslutet finns att tillgå. I samband med uppgiftsbegäran ska teleföretaget få uppgifterna om den myndighet som utfärdat beslutet samt beslutets nummer och information om de uppgifter som identifieras i beslutet. Företaget måste lämna endast de uppgifter som identifierats i beslutet. Om en myndighet har rätt att få förmedlingsuppgifter utan tillstånd från domstolen, ska teleföretaget med samtycke 9 av den som innehar en teleadress eller teleterminalutrustning försäkra sig om att det finns ett samtycke eller en annan grund i stället för tillståndet. I samband med begäran om uppgifter ska teleföretaget åtminstone få myndighetens anmälan om att det finns ett samtycke av den som har en viss teleterminalutrustning eller teleadress samt om den författning som överlämnandet av uppgifterna baserar sig på. Erhållande av andra uppgifter än s.k. kund-/abonnentuppgifter och med dem jämförbara uppgifter förutsätter i regel inte att en myndighet ska få tillstånd av domstolen, eftersom polisen har rätt att med stöd av 4 3 mom. i polislagen (872/2011) få dessa uppgifter för skötsel av de uppgifter som avses i polislagen. Teleföretagen lagrar uppgifterna i allmänhet längre Tvångsmedelslag (806/2011) 10 kap. 7 och 9.

14 MPS 53 B 13 (19) än vad lagringsskyldigheten förutsätter även för eget behov. Begränsning av användningen av uppgifterna (användning endast för utredning av brott och åtalsprövning som avses i 10 kap. 6 2 mom. i tvångsmedelslagen) som omfattas av lagringsskyldigheten gäller i allmänhet inte sådant utlämnande. Om det är fråga om abonnentuppgifter som ännu behandlas för eget behov, behöver teleföretaget inte, av ovan nämnda orsak, separat kontrollera om uppgiftsbegäran är lagenlig, utan accesskontroll och förfrågningar görs hos myndigheten. Det räcker också att teleföretaget enbart lagrar uppgifter om sökningar i enlighet med 8 3 mom. i föreskriften. Om uppgiftsbegäran gäller andra abonnentuppgifter eller med dem jämförbara uppgifter som omfattas av lagringsskyldigheten, dvs. teleföretaget inte längre behandlar dessa uppgifter för eget behov, ska man vid utlämnandet av uppgifterna kontrollera att det är fråga om utredning av brott och åtalsprövning som avses i 10 kap. 6 2 mom. i tvångsmedelslagen. I uppgiftsbegäran ska det finnas uppgift om undersökningsledaren, som svarar för att begäran är lagenlig, och om lagrummet som utgör grunden för begäran. Dessa identifierade uppgifter motsvarar också nuvarande praxis. Att det finns en grund för utlämnandet ska kontrolleras såsom beskrivs ovan, även om själva erhållande av uppgifter inte skulle kräva domstolens tillstånd för teleövervakning. Lagring av uppgifter vid genomförandet av begäran om uppgifter (3 mom.) För att det senare ska vara möjligt att kontrollera att uppgifterna lämnats på ett behörigt sätt, ska det lagringsskyldiga företaget i enlighet med föreskriftens 8 3 mom. lagra logguppgifterna vid genomförandet av en myndighets begäran om uppgifter som omfattas av lagringsskyldigheten. Enligt 3 mom. ska följande uppgifter som omfattas av lagringsskyldigheten lagras vid genomförandet av en myndighets begäran: vilka uppgifter som sökts, tidpunkt för när uppgifterna söktes, den som sökt uppgifterna, samt den lagliga grunden för att söka uppgifterna med den exakthet som kontrollerats enligt 2 mom. Om erhållande av uppgift om förmedlingsuppgifter kräver att myndigheten ska skaffa ett domstolstillstånd eller ett annat beslut, ska teleföretaget i loggen/lagringsmedel anteckna tillräckliga uppgifter som identifierar tillståndet eller beslutet. Om myndigheten har rätt att utan domstolens tillstånd få förmedlingsuppgifter som omfattas av lagringsskyldigheten, t.ex. med samtycke av den som innehar en teleadress eller teleterminalutrustning 10, ska teleföretaget lagra alla uppgifter om kontrollen av samtycket. Om till exempel sökning av abonnentuppgifter inte kräver domstolens tillstånd eller någon annan särskild förutsättning, ska det i loggen lagras 10 Tvångsmedelslag (806/2011) 10 kap. 7 och 9.

15 MPS 53 B 14 (19) uppgift om den bestämmelse med stöd av vilken uppgifterna har sökts. Om det gäller sökning av uppgifter som omfattas av lagringsskyldigheten, ska det dessutom lagras uppgift om att det har varit fråga om utredning av brott och åtalsprövning som avses i 10 kap. 6 2 mom. i tvångsmedelslagen. Myndigheten följer relevanta författningar när det gäller övervakning av uppgiftsbegäran och informationssäkerhet hos myndigheten. Om sekretessen och offentligheten för uppgifter som omfattas av lagringsskyldigheten och om logguppgifter som avser genomförandet av uppgiftsbegäranden föreskrivs särskilt. 159 i informationssamhällsbalken omfattar närmare bestämmelser om inrikesministeriets uppgift att föra statistik över användning av uppgifter som lagras för myndigheternas behov. 9 Ikraftträdande och övergångsbestämmelser Föreskrift 53/2008 M trädde i kraft den 5 juni Den upphävdes genom föreskrift 53 A/2011 M som trädde i kraft den 1 juni Denna föreskrift träder i kraft den 1 januari 2015 och gäller tills vidare. 10 Erhållande av upplysningar och publicering Föreskriften har publicerats i s föreskriftssamling och kan erhållas vid s kundtjänst. Därtill publiceras föreskriften samt motiverings- och tillämpningspromemorian elektroniskt på s webbplats och i Finlands elektroniska författningssamling Finlex. Avdelning C Lagstiftning 1 Rättsgrund Syftet med detta kapitel är att ge föreskriftens användare en helhetsbild av de författningar som utgör grunden för föreskriften. Här uppräknas också andra väsentliga författningar som har samband med ämnet. 1.1 Finsk lagstiftning Om teleföretagets skyldighet att lagra uppgifter för myndigheternas behov föreskrivs i 19 kap. i informationssamhällsbalken så som följer: "157 Skyldighet att lagra uppgifter för myndigheternas behov Trots vad som i denna avdelning föreskrivs om behandling av förmedlingsuppgifter ska ett företag som särskilt utsetts genom beslut av inrikesministeriet och som har gjort televerksamhetsanmälan (lagringsskyldigt företag), under de förutsättningar som anges nedan, se till att de uppgifter som omfattas av lagringsskyldigheten enligt 2 och 3 mom. lagras under de lagringstider som anges i 4 mom. Uppgifterna får endast

16 MPS 53 B 15 (19) användas för att kunna utreda och åtalspröva brott som avses i 10 kap. 6 2 mom. i tvångsmedelslagen (806/2011). Lagringsskyldigheten gäller uppgifter som avser 1) sådana telefonitjänster eller textmeddelandetjänster i mobilnät som tillhandahålls av ett lagringsskyldigt företag, inklusive samtal som har kopplats men inte besvarats eller samtal som har förhindrats till följd av en driftåtgärd i nätet, 2) internettelefonitjänster som tillhandahålls av ett lagringsskyldigt företag, med vilket avses tjänster som tillhandahålls av tjänsteföretag och som ända till slutkunderna är baserade på internetprotokoll och möjliggör samtal, 3) internetaccesstjänster som tillhandahålls av ett lagringsskyldigt företag, Lagringsskyldigheten i fråga om tjänster enligt 2 mom. 1 och 2 punkten gäller uppgifter om abonnentens och den registrerade användarens namn och adress, abonnemangets identifieringsuppgifter och uppgifter med vilkas hjälp en användare av kommunikationstjänster kan identifieras samt användarens transaktioner, inklusive omstyrda samtal, kan fastställas utifrån meddelandets typ och mottagare samt tidpunkt och varaktighet för kommunikationen. Lagringsskyldigheten i fråga om en tjänst som avses i 2 mom. 1 punkten gäller dessutom uppgifter med vilkas hjälp den kommunikationsutrustning som använts och utrustningens och abonnemangets position när transaktionen inleddes kan fastställas. Lagringsskyldigheten i fråga om en tjänst som avses i 2 mom. 3 punkten gäller uppgifter om abonnentens och den registrerade användarens namn och adress, abonnemangets identifieringsuppgifter och installeringsadress och uppgifter med vilkas hjälp en användare av kommunikationstjänster och den utrustning som använts kan identifieras samt tidpunkt och varaktighet för tjänsternas användning kan fastställas. Vilka uppgifter som lagras ska avgränsas till endast de som med beaktande av tjänstens tekniska genomförande är nödvändiga för att specificera den information som avses ovan i detta moment. Lagringstiden för uppgifter om de tjänster som avses i 2 mom. 1 punkten är 12 månader, om de tjänster som avses i 2 mom. 3 punkten 9 månader och om de tjänster som avses i 2 mom. 2 punkten 6 månader. Lagringstiden börjar när transaktionen inleds. Lagringsskyldigheten gäller inte innehållet i meddelanden eller förmedlingsuppgifter som samlats vid bläddring av webbsidor. En förutsättning för lagringsskyldighet är att uppgifterna är tillgängliga och har genererats eller behandlats i samband med tillhandahållande av det lagringsskyldiga företagets allmänt tillgängliga kommunikationstjänster med stöd av denna lag eller personuppgiftslagen (523/1999). Närmare bestämmelser om de uppgifter som ska lagras får utfärdas genom förordning av statsrådet.

17 MPS 53 B 16 (19) meddelar föreskrifter om de tekniska detaljerna kring de uppgifter som omfattas av lagringsskyldigheten. 158 Skyldigheter och förfaringssätt vid behandling av uppgifter som lagras för myndigheternas behov Ett lagringsskyldigt företag ska innan lagringsskyldigheten fullgörs förhandla med inrikesministeriet om myndigheternas behov när det gäller lagringen av uppgifter. Det lagringsskyldiga företaget beslutar om det tekniska genomförandet av lagringen. Uppgifterna ska lagras kostnadseffektivt. Dessutom ska hänsyn tas till behoven inom det lagringsskyldiga företagets rörelse, systemens tekniska egenskaper och den betalningsansvariga myndighetens behov. Lagringen av uppgifterna ska om möjligt planeras så att flera tjänsteföretag inte lagrar samma uppgifter. Inrikesministeriet har rätt att från en utomstående tjänsteleverantör skaffa system till vilket de uppgifter som omfattas av lagringsskyldigheten kan överföras. Ett lagringsskyldigt företag har rätt att i systemet registrera också uppgifter vars behandling för företagets eget behov ännu inte har avslutats. På det lagringsskyldiga företagets skyldighet att sörja för informationssäkerheten tillämpas 247. Det lagringsskyldiga företaget ska utse dem som har rätt att behandla lagrade uppgifter eller ange de arbetsuppgifter i vilka de får behandlas. Det lagringsskyldiga företaget ska se till att abonnenterna får tillgång till information om lagringen av uppgifterna och om syftet med lagringen. De uppgifter som lagras ska utan onödigt dröjsmål kunna lämnas till myndigheterna. Ett lagringsskyldigt företag ska vid behov samarbeta med ett nätföretag, så att lagringen även omfattar de tillgängliga uppgifter enligt 157 som nätföretaget behandlar för att genomföra det lagringsskyldiga företagets tjänster. Närmare bestämmelser om hur skyldigheten att lagra uppgifter ska fullgöras får utfärdas genom förordning av statsrådet. får meddela närmare föreskrifter om det tekniska genomförandet av lagringsskyldigheten och om informationssäkerheten. 159 Statistik över användning av uppgifter som lagras för myndigheternas behov Inrikesministeriet ska varje år till riksdagens justitieombudsman lämna statistik över användningen av uppgifter som lagras med stöd av denna lag. Av statistiken ska det framgå 1) i vilka fall de lagrade uppgifterna har sänts till myndigheter,

18 MPS 53 B 17 (19) 2) i vilka fall en myndighets begäran om lagrade uppgifter inte kunnat tillgodoses, 3) hur lång tid som gått från lagringen av uppgifterna till myndighetens begäran om uppgifter. Inrikesministeriet ska beakta den statistik som avses i 1 mom. i de berättelser om användning av teleövervakning och teleavlyssning som ministeriet med stöd av polislagen (872/2011), tvångsmedelslagen eller någon annan lag ska avge till riksdagens justitieombudsman. Enligt mom. i informationssamhällsbalken, som gäller skyldigheter och förfaringssätt vid behandling av uppgifter som lagras för myndigheternas behov, tillämpas på det lagringsskyldiga företagets skyldighet att sörja för informationssäkerheten 247 där det står: "Den som förmedlar kommunikation ska vid förmedlingen sörja för informationssäkerheten när det gäller tjänsterna, meddelandena, förmedlingsuppgifterna och lokaliseringsuppgifterna. [...] De åtgärder som vidtas för informationssäkerheten ska anpassas till hotets allvarlighet, till kostnaderna för åtgärderna samt till de tekniska möjligheter att avvärja hotet som står till buds. får meddela närmare föreskrifter om informationssäkerheten enligt 1 och 2 mom." Föreskriften har samband med kraven i 157 i informationssamhällsbalken som gäller lagring av uppgifter om användning av vissa kommunikationstjänster för myndigheternas behov. Med stöd av mom. i informationssamhällsbalken meddelar denna föreskrift om de tekniska detaljerna kring de uppgifter som omfattas av lagringsskyldigheten. Föreskriften har också samband med mom. och 247 i informationssamhällsbalken där det föreskrivs om teleföretagets skyldighet att sörja för informationssäkerheten när det gäller tjänsterna, meddelandena, förmedlingsuppgifterna och lokaliseringsuppgifterna. Enligt mom. i informationssamhällsbalken får meddela närmare föreskrifter om det tekniska genomförandet av lagringsskyldigheten och om informationssäkerheten. 2 Övriga bestämmelser 2.1 Direktiv om lagring av uppgifter 2006/24/EG Europaparlamentets och rådets direktiv 2006/24/EG [2] om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande

19 MPS 53 B 18 (19) av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG sattes i kraft i Finland genom en ändring av lagen om dataskydd vid elektronisk kommunikation 343/2008 samt genom s föreskrift 53/2008. Samtidigt som informationssamhällsbalken behandlades i riksdagen gav Europeiska unionens domstol den 8 april 2014 en dom i förenade målen C- 293/12 och C-594/12 där domstolen ogiltigförklarade direktivet 2006/24/EY. Domen medför att direktivet inte kan tillämpas och direktivets bestämmelser inte kan åberopas i de nationella myndigheternas och domstolarnas eller i EU-organens verksamhet. Direktivet har alltså i praktiken förlorat sin rättsverkan och utgör därför inte heller en grund till denna föreskrift. 2.2 Personuppgiftslagen (523/1999) Uppgifter som omfattas av lagringsskyldigheten är personuppgifter och till en viss del också förmedlingsuppgifter för kommunikation. Personuppgiftslagen är en allmän lag för behandling av personuppgifter och lagen ska följas, om annat inte föreskrivs i en speciallag (t.ex. informationssamhällsbalken). 2.3 Utlämnande av uppgifter till myndigheter De centrala lagar som gäller rätten att få information om uppgifter som omfattas av lagringsskyldigheten är 10 kap. i tvångsmedelslagen (806/2011) samt 4 kap. 3 i polislagen (872/2011) 2.4 s tekniska föreskrifter Föreskrift 67 om televerksamhetens informationssäkerhet Föreskrift 67 innehåller föreskrifter om allmänna och särskilda krav för att genomföra informationssäkerheten i televerksamheten. Med tanke på genomförandet av lagringsskyldigheten finns det betydande skyldigheter i 2 kap. i föreskrift 67 där det behandlas allmänna krav för alla nät och tjänster.