1) Miten määritellään viestintäpalvelun toteuttamisen vaarantuminen?



Samankaltaiset tiedostot
Abuse-seminaari

Määräyksen 11 uudistaminen

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari Jaakko Lindgren

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

Varmaa ja vaivatonta

VIESTINTÄVIRASTON PÄÄTÖS KOSKIEN NUMERON SIIRRETTÄVYYTTÄ MÄÄRÄAIKAISIS- SA SOPIMUKSISSA

Abuse-toiminnan ajankohtaiset ilmiöt

Verkkopalvelua kaapelitelevisioverkossa tarjoava teleyritys on velvollinen siirtämään verkossa ilman korvausta:

Sähköisen viestinnän tietosuojalain muutos

Viestinnän tulevaisuus

Määräys TUNNISTAMISTIETOJEN TALLENNUSVELVOLLISUUDESTA. Annettu Helsingissä 24 päivänä toukokuuta 2011

Ajankohtaista määräyksistä ja lainsäädännöstä. Jarkko Saarimäki Kehityspäällikkö

Varmaa ja vaivatonta viestintää

Määräys TUNNISTAMISTIETOJEN TALLENNUSVELVOLLISUUDESTA. Annettu Helsingissä xx päivänä yykuuta 2007

Laki. sähköisen viestinnän tietosuojalain muuttamisesta

Sähköisen viestinnän tietosuojalaki

Palvelunestohyökkäykset. Abuse-seminaari Sisältö

Tietoyhteiskuntakaaren käsitteistöä

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Määräys viestintäverkkojen ja -palveluiden yhteentoimivuudesta

1. YLEISKUVAUS Palvelun rajoitukset PALVELUKOMPONENTIT Sähköpostipalvelu Sähköpostipalvelun lisäpalvelut...

Määräys SÄHKÖPOSTIPALVELUJEN TIETOTURVASTA JA TOIMIVUUDESTA. Annettu Helsingissä 19 päivänä syyskuuta 2008

Tietojärjestelmien varautuminen

Luottamusta lisäämässä

Määräys teletoiminnan tietoturvasta

Case: Työnantaja hakee esille tai avaa työntekijän sähköpostin JASMINA HEINONEN

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

TIETOSUOJASELOSTE. Yleistä. Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? Mitä henkilötietoja minusta kerätään ja mistä lähteistä?

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

SMS SUOSITUS MÄÄRÄYKSEN VIESTINTÄVIRASTO 11/2004 M SOVELTAMISESTA SÄHKÖPOSTIPALVELUJEN TIETOTURVASTA JA TOIMIVUUDESTA

SVTSL muuttuu käytännön soveltamis- ohjeet evästeiden käyttöön

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

Pilvipalveluiden arvioinnin haasteet

Tietosuojaseloste Henkilötietolain 10 ja 24, majoitus- ja ravitsemustoiminnasta annetun lain 7

Tietosuoja Copyright (c) 2005 ACE LAW Offices

Sähköisen viestinnän tietosuojalaki yhteisötilaajan näkökulmasta. Antti Järvinen

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Määräys teletoiminnan tietoturvasta

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

VIESTINTÄVIRASTON PÄÄTÖS KOSKIEN ACN:N NUMERONSIIRTOTILAUKSEN SITOVUUTTA

Tiettyihin tietoliikenneportteihin suuntautuvan liikenteen tietoturvaperusteinen suodattaminen teleyritysten verkoissa

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Päätös. Laki. vankeuslain 12 luvun muuttamisesta

Tietoturvapalvelut Huoltovarmuuskriittisille toimijoille. Abuse-seminaari Ilmoitusvelvollisuus

TIETOSUOJA SÄÄDÖKSISSÄ

KILPAILUTTAMO PALVELU

MÄÄRÄYKSEN 56/2007 M PERUSTELUT JA SOVELTAMINEN MÄÄRÄYS TUNNISTAMISTIETOJEN TALLENNUSVELVOLLISUUDESTA

SÄHKÖISET JA LAINSÄÄDÄNTÖ

YLEISET KOKOUKSET. - Kokoontumislaki

TIETOYHTEISKUNTAKAARI

Määräys PUHELINNUMERON SIIRRETTÄVYYDESTÄ. Annettu Helsingissä 23 päivänä tammikuuta 2006

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Tietosuojaseloste. Trimedia Oy

1(5) Lisätietoja toimiluvista ja hakumenettelystä on nähtävillä valtioneuvoston verkkosivuilla osoitteessa xxx.

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Mobiililaitteiden tietoturva

Relipe Oy. Tilitoimiston asiakastiedotteen postituslistan TIETOSUOJASELOSTE

1 YLEISKUVAUS Verkkoturvapalvelu Verkkoturvapalvelun edut Palvelun perusominaisuudet... 2

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Tapahtumat.infon käyttöehdot

Lausunto Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 ).

Aineistot Premium -palvelun käyttöehdot

Numeropalvelusta edelleenkytkettyjen puhelujen yhteyskohtainen erittely. Viestintäviraston suosituksia 315/2008 S

Tietoverkot ja käyttäjät hallitseeko tietoturvaa enää kukaan?

Viestintäpalveluiden erityisehdot yrityksille ja yhteisöille

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

PUHELINNUMERON SIIRRETTÄVYYS KIINTEÄN VERKON JA MATKAVIESTINVERKON VÄLILLÄ. Viestintäviraston suosituksia 314/2008 S

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Antti-Jussi Lankinen, Mira Karppanen Liikenne- ja viestintävaliokunta

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Määräys TILAAJAN NUMEROTIETOJEN SIIRROSTA VIESTINTÄVERKOSSA. Annettu Helsingissä 1 päivänä huhtikuuta 2005

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton sidosryhmärekisterissä

EDUSKUNNAN VASTAUS 332/2010 vp. Hallituksen esitys Euroopan neuvoston tietoverkkorikollisuutta

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton uutis- ja tapahtumakirjerekisterissä

kaikki muut väärään osoitteeseen tulleet viestit tulee palauttaa lähettäjälle.

Laki. verkkoinfrastruktuurin yhteisrakentamisesta ja -käytöstä annetun lain muuttamisesta

MARKKINA-ANALYYSI POHJOIS-SAVO RAUTAVAARA (41) -HANKEALUEEN TU- KIKELPOISUUDESTA

Tietosuojaseloste 1 (6)

Roolit henkilötietojen käsittelyssä LOTTA YLÄ-SULKAVA

Menettelytavat tietojen luovuttamisesta toiselle palveluoperaattorille

ILMOITUS TOIMILUPIEN JULISTAMISESTA HAETTAVIKSI Toimiluvat teletoimintaan taajuusalueella megahertsiä

Markkina-analyysi hankealueen tukikelpoisuudesta Pohjois- Pohjanmaan hankealue Kempele

Valtioneuvoston asetus

Lausunto. Pilvipalveluiden hankinnasta voisi olla erillinen opas, joka kertoo, mihin asioihin tulisi kiinnittää huomiota hankittaessa pilvipalveluita.

Käyttöehdot, videokoulutukset

TTS:n lämpöyrittäjärekisteri

Viestintäviraston päätös yleispalvelukirjeiden jakelun toteutumisesta

Yhden megan laajakaista kaikille

/516. Sähköisen viestinnän tietosuojalaki /516

GSM VERKKOON PÄÄTTYVÄN LIIKENTEEN VÄLITTÄMINEN GSM GATEWAY LAITTEIDEN AVULLA

MARKKINA-ANALYYSI POHJOIS-SAVO JUANKOSKI (23) -HANKEALUEEN TU- KIKELPOISUUDESTA

Lokitietojen käsittelystä

Lausunto liikenne- ja viestintäministeriölle Dnro 2006/71/

Markkina-analyysi hankealueen tukikelpoisuudesta Pohjois-Savo hankealue 110 (Varkaus)

FI Moninaisuudessaan yhtenäinen FI. Tarkistus. Axel Voss PPE-ryhmän puolesta

Viestintäviraston tilannekuvajärjestelmät. Timo Lehtimäki Tulosalueen johtaja Internet ja tietoturva/viestintävirasto

Ekosysteemin eri toimijat. Yritys Työntekijä Ulkopuolinen taho Media Muut tiedonvälittäjät (esim. Wikileaks)

Luonnos LIITE 1

VIESTINTÄVIRASTON SUOSITUS TUNNISTAMISTIETOJEN KÄSITTELYÄ KOSKEVIEN TIETOJEN TALLENTAMISESTA

Transkriptio:

Päivämäärä / Datum /Date Nro / Nr / No. 4.10.2007 5/6020/2007 Elisa Oyj Viite Ref. Ref. Asia Ärende Subject n Abuse-seminaari OHJE TUNNISTAMISTIETOJEN KÄSITTELYSTÄ INTERNET-PALVELUJEN ABUSE-TILANTEISSA LISÄ- KYSYMYKSET Johdanto järjesti 12.9.2006 seminaarimuotoisen tilaisuuden suomalaisten internet-yhteyspalveluntarjoajien (jäljempänä ISP) operatiivista tietoturvaa vaarantavien tapahtumien tutkinnasta (ns. Abuse Helpdesk) vastaaville henkilöille. Mainitussa seminaarissa lle esitettiin kysymyksiä, joihin toivottiin n ohjausta. vastasi esitettyihin kysymyksiin 10.1.2007 päivätyllä kirjeellä. n kirjeen johdosta Elisa Oyj on pyytänyt a vielä tarkentamaan ohjeen muutamia kohtia. Kysymyssarja 1 n ohje: Kolmansien tahojen teleyrityksen asiakkaan suoramarkkinointia koskeviin valituksiin perustuvaa tunnistamistietojen käsittelyä ei voida pitää perusteltuna viestintäpalvelun toteuttamisen kannalta, ellei asiakkaan toiminta suoraan vaaranna viestintäpalvelun toteuttamista. Asiakkaan toiminta saattaa välillisesti vaarantaa viestintäpalvelun toteuttamista esimerkiksi siten, että joku uhkaa ryhtyä tai ryhtyy ISP:tä vastaan toimenpiteisiin ISP:n asiakkaiden viestintämahdollisuuksien rajoittamiseksi. ISP:llä ei kuitenkaan voida pelkästään tämän rajoittamisen vuoksi katsoa olevan oikeutta käsitellä asiakkaan viestinnän tunnistamistietoja. Kysymykset 1) Miten määritellään viestintäpalvelun toteuttamisen vaarantuminen? Viestintäpalvelun vaarantumisella voidaan tarkoittaa kaikkia sellaisia tilanteita, jotka vaarantavat viestintäpalvelun saatavuuden, mahdollistavat viestintäpalvelussa siirrettävien tietojen muuttamisen muiden kuin siihen oikeutettujen toimesta tai estävät tietojen ja tietojärjestelmien hyödyntämisen niiden hyödyntämiseen oikeutetuilta. 00181 PB 313, FI-00181 P.O. Box 313, FI-00181

2 (7) Ratkaisevaa arvioitaessa teleyrityksen oikeuksia tunnistamistietojen käsittelyyn viestintäpalvelun toteuttamisen vaarantuessa on se, kohdistuuko uhka suoraan teleyrityksen palveluun vai kohdistuuko se palveluun välillisesti. Suorasta teleyrityksen viestintäpalveluun kohdistuvasta uhkasta voidaan mainita esimerkkinä tilanteet, joissa lähtevien roskapostien suuri määrä voi merkittävästi heikentää koko viestintäpalvelun käyttöä. Vastaavasti suorana uhkana voidaan pitää sitä, että teleyrityksen asiakkaan päätelaitteessa on haittaohjelma, jota ainakin potentiaalisesti voitaisiin käyttää teleyrityksen oman viestintäpalvelun käytön estämiseen tai merkittävään rajoittamiseen. Välillisenä palvelun vaarantumisena voidaan pitää esimerkiksi sitä, kun jokin kolmas taho uhkaa estää viestinnän teletyrityksen verkosta esimerkiksi verkosta saapuvasta suoramarkkinoinnista johtuen. Arvioitaessa viestintäpalveluun kohdistuvan uhan välittömyyttä on kuitenkin huomioitava, että palveluun kohdistuvat välittömät uhkat voivat kohdistua joko suoraan teleyrityksen toteuttamaan palveluun tai vastaavasti käyttäjien vastaanottamaan teleyrityksen tarjoamaan palveluun. Käytännössä tällä tarkoitetaan sitä, että viestintäpalvelun käytettävyys voi edellyttää toimia sekä teleyrityksen tarjoaman palvelun kapasiteetista huolehtimiseksi että myös käyttäjälle välitettävän palvelutason ylläpitämiseksi. Käytännössä valtaosa verkko- ja viestintäpalveluun kohdistuvista tietoturvauhkista voidaan ratkaista kasvattamalla verkko- ja viestintäpalvelun käytettävissä olevaa kapasiteettia. Tällainen kapasiteetin kasvattaminen ei kuitenkaan välttämättä suoranaisesti vaikuta viestintäpalvelun käyttäjän viestintäpalvelun käytettävyyteen. Esimerkkinä voidaan ajatella tilannetta, jossa teleyrityksen palvelussa välitettävän roskapostin määrä on kasvanut niin merkittävästi, että palvelun toteuttamiseen osallistuvien laitteiden välityskapasiteetti ei enää riitä palvelun toteuttamiseen. Teleyritys ratkaisee kasvaneen roskapostimäärän sen palvelun käytettävyyteen kohdistaman tietoturvauhkan kasvattamalla palvelunsa välityskapasiteettia. Kapasiteetin kasvattaminen ei kuitenkaan vähennä palvelun käyttäjille saapuvan roskapostin määrää, joka voi kasvaa jopa niin suureksi, että palvelu ei ole enää tosiasiallisesti käyttäjän käytettävissä. Tällöin palvelun käyttäjän palvelun käytettävyydestä huolehtiminen voi edellyttää välityskapasiteetin kasvattamisen lisäksi erityyppisten roskapostin suodatusmenetelmien käyttämistä. 2) Miten määritellään estyneiden viestien ja käyttäjien lukumäärä, joka riittää viestintäpalveluiden toteuttamisen vaarantumiseen? Estyneiden viestien tai käyttäjien lukumäärää ei pysty käytännössä yleispätevästi määrittelemään, vaan kyseessä on aina tapauskohtainen harkinta. Peruslähtökohtana voidaan pitää sähköisen viestinnän tietosuojalain 20 :n perusteluissa esitettyä linjausta. Perusteluiden mukaan toimista on pidättäydyttävä, jollei voida varmistua siitä, että toimilla saavutettava hyöty on luottamuksellisen viestin suojalle ja sananvapaudelle aiheutuvaa haittaa olennaisesti suurempi. Kysymyssarja 2 n ohje: Tietoyhteiskunnan palvelujen tarjoamisesta annetussa laissa on myös säädetty tiedon välityspalveluja tarjoaville ISP:ille vastuuvapaus välittämästään tiedosta sillä edellytyksellä, et- 00181

3 (7) tä ISP ei ole siirron alkuunpanija, ei valitse siirron vastaanottajaa eikä valitse taikka muuta siirrettäviä tietoja. Kysymykset 1) Jos ISP suodattaa lähtevää postia ja valitsee tiedot, jotka välitetään (ja roskaposti ja muu viestintää haittaavat viestit jätetään välittämättä), vaarantuuko silloin vastuuvapaus vai käyttääkö ISP silloin vain oikeuttaan huolehtia viestinnän tietoturvasta? ei näiltä osin valvo tietoyhteiskunnan palvelujen tarjoamisesta annettua lakia (458/2002). Yleisellä tasolla toteaa kuitenkin seuraavaa: Tietoyhteiskunnan palvelujen tarjoamisesta annetun lain 13 :n mukaan: Kun tietoyhteiskunnan palvelu muodostuu palvelun vastaanottajan toimittamien tietojen siirrosta viestintäverkossa tai verkkoyhteyden tarjoamisesta, palvelun tarjoaja ei ole vastuussa siirrettyjen tietojen sisällöstä tai välittämisestä, jos hän: 1) ei ole siirron alkuunpanija; 2) ei valitse siirron vastaanottajaa; eikä 3) valitse eikä muuta siirrettäviä tietoja. Edellä 1 momentissa tarkoitettuun siirtoon tai yhteyden tarjoamiseen liittyvät toiminnot käsittävät siirrettyjen tietojen automaattisen, tilapäisen ja lyhytaikaisen tallentamisen siltä osin kuin tallentamisessa on kysymys yksinomaan siirron suorittamisesta eikä tallentamisen kesto ylitä siirtoon tarvittavaa kohtuullista aikaa. Pykälän 1 momentin yksityiskohtaisten perusteluiden mukaan: Pykälän 1 momentin mukaan palvelun tarjoaja ei ole vastuussa siirretyn aineiston mahdollisesti lainvastaisesta sisällöstä tai luvattomasta välittämisestä, jos hän ei ole siirron alkuunpanija, ei valitse siirron vastaanottajaa eikä valitse tai muuta siirrettäviä tietoja. Tietojen muuttamisella tarkoitetaan tässä sisältöön vaikuttavia muutoksia, mutta ei luonteeltaan teknisiä, esimerkiksi tekstin asetteluun tai ulkonäköön vaikuttavia muutoksia. Vastuuvapaus edellyttää siis, että palvelun tarjoajan toiminta rajoittuu kolmannen tahon palvelun vastaanottajan tuottamien tietojen tekniseen välittämiseen tietoverkossa tai verkkoyhteyden tekniseen toteuttamiseen. Pykälässä tarkoitetussa toiminnassa palvelun tarjoaja ei millään tavalla itse osallistu tietosisällön tuottamiseen tai muokkaamiseen eikä myöskään omatoimisesti päätä tietojen lähettämisestä tai valitse niiden vastaanottajia. Sähköisen viestinnän tietosuojalain 19 :n nojalla teleyrityksen on huolehdittava palvelujensa tietoturvasta. Laissa tietoturvalla tarkoitetaan hallinnollisia ja teknisiä toimia, joilla varmistetaan se, että tiedot ovat vain niiden käyttöön oikeutettujen saatavilla, ettei tietoja voida muuttaa muun kuin siihen oikeutetun toimesta ja että tiedot ja tietojärjestelmät ovat niihin oikeutettujen hyödynnettävissä. Teleyrityksen palvelunsa tietoturvasta huolehtimiseksi tekemät toimenpiteet eivät viestintäviraston tulkinnan mukaan vaaranna teleyrityksellä olevaa vastuuvapautta sen välittämistä tiedoista. Esimerkiksi välitettävien viestien suodattamista haittaohjelmien tai roskapostin varalta ei voida pitää tietoyhteiskunnan palvelujen tarjoamisesta annetun lain 13 :n 1 momentin 3 kohdassa tarkoitettuna siirrettävien tietojen valitsemisena tai muuttamisena. 00181

4 (7) 2) Jos suodatuksen pohjana on kolmansien osapuolien toimittamat tiedot, mikä on operaattorin velvollisuus valvoa, mihin suodatus kohdistuu? Sähköisen viestinnän tietosuojalain 19 :n nojalla teleyrityksen on huolehdittava palvelujensa tietoturvasta. Laissa tietoturvalla tarkoitetaan hallinnollisia ja teknisiä toimia, joilla varmistetaan se, että tiedot ovat vain niiden käyttöön oikeutettujen saatavilla, ettei tietoja voida muuttaa muun kuin siihen oikeutetun toimesta ja että tiedot ja tietojärjestelmät ovat niihin oikeutettujen hyödynnettävissä. Pykälän mukaan toimet on suhteutettava uhkien vakavuuteen, tekniseen kehitystasoon ja kustannuksiin. Teleyrityksen on siten lähtökohtaisesti pyrittävä järjestämään palvelunsa siten, että kolmannen osapuolen toimittamiin suodatustietoihin perustuva suodattaminen ei esimerkiksi rajoita teleyrityksen asiakkaiden mahdollisuuksia käyttää teleyrityksen tarjoamaa viestintäpalvelua. Joissain tilanteissa voi kuitenkin uhkien vakavuus, tekniseen kehitystaso ja kustannukset huomioiden olla kuitenkin perusteltua käyttää myös sellaisia kolmannen osapuolen toimittamiin suodatustietoihin perustuvia suodatusmenetelmiä, jotka voivat joltain osin estää teleyrityksen tarjoaman viestintäpalvelun käyttämisen. n antamassa suosituksessa määräyksen 11/2004 M soveltamisesta SMS 11 todetaan kohdassa 8.3 muun muassa seuraavaa: Estolistoja käytettäessä on syytä välttää tiettyjä suuria verkkoalueita yksittäisten käyttäjien toimenpiteiden perusteella listaavia estolistoja, jotta sähköpostipalvelun käytettävyydestä voidaan varmistua. Lisäksi sellaisia estolistoja, jossa listalle joutumisen perusteet ovat epäselvät, listalta poispääsyyn ei ole selkeitä menettelyjä tai listan käyttöä ei suositella suurille palveluntarjoajille, tulee välttää. Yhtenä tekijänä arvioitaessa kolmannen osapuolen toimittamia suodatustietoja vastaavasti myös muita tietoja, kuten esimerkiksi tietoja teleyrityksen verkossa olevista saastuneista päätelaitteista, on syytä kiinnittää huomiota tiedot toimittavan kolmannen tahon yleiseen luotettavuuteen. Esimerkiksi suomalaisen viranomaisen toimittamia tietoja voidaan lähtökohtaisesti pitää luotettavina. Kysymyssarja 3 n ohje: Yleistä Mikäli asiakkaan viestinnän johdosta jokin sähköisen viestinnän tietosuojalain käsittelyoikeus on olemassa, voidaan tietoja kuitenkin käsitellä myös kolmannen tahon ilmoituksen johdosta. Esimerkkinä voidaan pitää vaikkapa tilannetta jossa asiakkaan lähettämät virustaikka roskapostiviestit vaarantavat viestintä- tai verkkopalvelun tietoturvallisuutta. Kysymyssarjan kannalta keskeistä on viestintä- ja verkkopalvelun määritelmän ja sähköisen viestinnän tietosuojalain 19 :n huomioiminen. Sähköisen viestinnän tietosuojalain 2 :n mukaan viestintäpalvelulla tarkoitetaan sellaista teleyrityksen toteuttamaa viestien siirtämistä, jakelemista tai tarjolla pitämistä viestintäverkossa, jota tarjotaan etukäteen rajoittamattomalle käyttäjäpiirille. Verkkopalvelulla taas tarkoitetaan teleyrityksen toteuttamaa viestintäverkon tarjoamista käytettäväksi viestien siirtoon, jakeluun tai tarjolla pitoon etukäteen rajoittamattomalle käyttäjäpiirille. Sähköisen viestinnän tietosuojalain 19 :n nojalla teleyrityksen on huolehdittava palvelujensa tietoturvasta. 00181

5 (7) Teleyritys on velvollinen huolehtimaan oman palvelunsa tietoturvasta. Vastaavasti sillä on oikeus tunnistamistietojen käsittelyyn verkkopalvelunsa tai viestintäpalvelunsa tietoturvasta huolehtimiseksi. Sähköisen viestinnän tietosuojalain nojalla teleyritys saa käsitellä tunnistamistietoja vain huolehtiessaan oman palvelunsa tietoturvasta. Teleyrityksen palveluita ovat verkko- ja viestintäpalveluiden tarjoaminen. Kysymykset 1) Mikä tarkkaan ottaen tarkoitetaan sanonnalla vaarantavat viestintä- tai verkkopalvelun tietoturvallisuutta (erikseen seuraavista: sähköposti, websivustot, push-tyyliset ratkaisut kuten rss-feedien välitys)? Mitkä ovat haitalliset määrät? Kysymyksessä mainituista esimerkeistä verkko- tai viestintäpalveluna voidaan pitää vain sähköpostipalvelun tarjoamista. Teleyrityksen itsensä tarjoaman sähköpostipalvelun osalta yritys saa käsitellä tunnistamistietoja huolehtiessaan sen tietoturvasta. Web-sivustot ja rss-feedit eivät lähtökohtaisesti ole teleyrityksen tarjoamia viestintäpalveluita. Siten se ei myöskään ole velvollinen huolehtimaan niiden tietoturvasta eikä siten saa tässä tarkoituksessa käsitellä tunnistamistietoja. Sähköpostipalvelun osalta haitallisen viestinnän määrää ei käytännössä pysty yleispätevästi määrittelemään, vaan kyseessä on aina tapauskohtainen harkinta. Peruslähtökohtana voidaan pitää sähköisen viestinnän tietosuojalain 20 :n perusteluissa esitettyä linjausta. Perusteluiden mukaan toimista on pidättäydyttävä, jollei voida varmistua siitä, että toimilla saavutettava hyöty on luottamuksellisen viestin suojalle ja sananvapaudelle aiheutuvaa haittaa olennaisesti suurempi. 2) Missä tilanteissa tietoturvallisuudeksi lasketaan myös palvelun saatavuus? Palvelun saatavuus lasketaan kaikissa tilanteissa yhdeksi tietoturvallisuuden osaksi. Tällöin on kuitenkin huomattava se, että teleyritys on velvollinen huolehtimaan oman viestintä- tai verkkopalvelunsa saatavuudesta. Se ei ole oikeutettu käsittelemään tunnistamistietoja esimerkiksi huolehtiakseen siitä, että sen asiakkaiden pääsyä ei rajattaisi johonkin tiettyyn muun toimijan toteuttamaan palveluun. 3) Mikä on käyttäjämäärän raja web-palveluille tai vastaaville, joilta estetään palvelun käyttö operaattorin verkosta tapahtuneen toiminnan johdosta (tuolloinhan tietoturvallisuus vaarantuu, mutta syntyykö käsittelyoikeus)? Teleyrityksen verkko- tai viestintäpalvelun tietoturvallisuus ei vaarannu, jos teleyrityksen palvelun käyttäjien pääsy teleyrityksestä riippumattomasta syystä estyy johonkin tiettyyn muun yrityksen tarjoamaan palveluun. Kysymyssarja 4 n ohje: Mikäli kysymyksessä ei siis ole viestintäpalvelun tietoturvallisuutta vaarantava suoramarkkinointi, ei teleyrityksellä ole oikeutta tunnistamistietojen käsittelyyn. Estolistalle joutuminen ei myöskään oikeuta teleyritystä käsittelemään viestinnän tunnistamistietoja, ellei asiakas ole suoramarkkinointiviesteillään suoraan vaarantanut verkko- tai viestintäpalvelun tietoturvallisuutta. 00181

6 (7) Vastaukset 1) Miten määritellään viestintäpalvelun turvallisuuden vaarantava suoramarkkinointi? Jos tietoturvallisuuden vaarantumiseksi katsotaan palvelun käytettävyyden estyminen, voi jo yksi viesti vaarantaa sen. Koska internet on kansainvälinen verkko joudutaan siellä käyttäytymään kansainvälisten tapojen mukaan. Tällöin tulkinta suoramarkkinointiviestistä on usein muu kuin paikallisten lakien tulkinta. Kuten viestintäviraston antamassa ohjeessa todetaan, pelkkä uhka estolistalle joutumisesta ei oikeuta teleyritystä käsittelemään viestinnän tunnistamistietoja, ellei asiakas ole suoramarkkinointiviesteillään suoraan vaarantanut verkkotai viestintäpalvelun tietoturvallisuutta. Viestintäpalvelun tietoturvallisuuden vaarantavaa suoramarkkinointia ei pysty määrittelemään yleispätevästi. Tällainen suoramarkkinointi voi kuitenkin olla kysymyksessä esimerkiksi silloin, kun suoramarkkinointiviestien suuri määrä rajoittaa verkon käyttöä merkittävästi. Toimista on kuitenkin pidättäydyttävä, jollei voida varmistua siitä, että toimilla saavutettava hyöty on luottamuksellisen viestin suojalle ja sananvapaudelle aiheutuvaa haittaa olennaisesti suurempi. 2) Jos kolmas osapuoli ei toimita esimerkkiä saamastaan postista, jonka operaattori on välittänyt, saammeko selvittää välittäneestä postijärjestelmästä lähetetyn viestin ja viestin lähettäjän, kun olemme estolistalla, joka estää aiemmin kysyttyjen rajojen mukaisesti viestintäpalvelun toiminnan? (Jos saisimme selvittää välittäneestä postijärjestelmästä lähetetyn viestin ja viestin lähettäjän, pystyisimme kartoittamaan varsinaisen haittaohjelman tai vastaavan mahdollisuutta verrattuna asiakkaan tarkoituksella lähettämään viestiin.) Teleyritys saa käsitellä tunnistamistietoja oman viestintäpalvelunsa tietoturvasta huolehtimiseksi. Jos on ilmeistä, että kyseinen viestintä voi vaarantaa teleyrityksen oman viestintäpalvelun toteuttamisen, teleyritys saa käsitellä viestinnän tunnistamistietoja. Tällainen tilanne voi olla kysymyksessä esimerkiksi silloin, kun on ilmeistä, että teleyrityksen tilaajan päätelaitteelle on asentunut teleyrityksen palvelun tietoturvaa vaarantava haittaohjelma. Kysymyssarja 5 n ohje: Kysymys Mikäli asiakas on oikeudettomalla tavalla käyttänyt jotain www-palvelua, saattaa kysymyksessä olla jokin rikoslain mukainen rikos, jonka selvittämiseksi poliisilla on mahdollisesti oikeus saada tunnistamistietoja teleyritykseltä. Teleyrityksellä sen sijaan ei ole oikeutta tunnistamistietojen käsittelyyn pelkästään tällä perusteella, vaikka palvelun kohteena ollut www-palvelu alkaisi asiakkaan teon johdosta rajoittaa mainitun ISP:n asiakkaiden mahdollisuuksia käyttää palvelua. Jos se että www-palvelun tarjoaja estää www-palvelun käytön kaikilta operaattorin asiakkailta, ei vaaranna viestintäpalvelun tietoturvallisuutta (käytettävyyttä), voiko viestintäpalvelun käytettävyyttä uhkaava seikka missään tilanteessa olla viestintäpalvelun tietoturvauhka? Kysymyksen kannalta on tärkeää erottaa teleyrityksen tarjoaman viestintäpalvelun käytettävyys ja jonkin toisen yrityksen tarjoaman muun tyyppisen pal- 00181

7 (7) velun käytettävyys. Www-palvelun käytön estäminen teleyrityksen asiakkailta ei millään tavoin rajoita teleyrityksen oman viestintäpalvelun käytettävyyttä. Teleyritys on oikeutettu käsittelemään tunnistamistietoja ainoastaan oman viestintäpalvelunsa tietoturvasta huolehtiakseen. Yksikön päällikkö Sami Kilkkilä Lakimies Jarkko Saarimäki 00181

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute