Tietosuoja- ja viestinnän sääntelyn soveltaminen

Samankaltaiset tiedostot
Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Haaga-Helian verkkokauppaa

asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

1. Rekisterinpitäjä Matkailu- ja Ravintolapalvelut MaRa ry Merimiehenkatu 29, Helsinki, MaRan uutiskirjerekisteri

asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

Varustekorttirekisteri - Tietosuojaseloste

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien markkinointia ja viestintää

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

Sisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30)

asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien kirjastopalveluita

EU:n yleisen tietosuoja-asetuksen mukainen informointiasiakirja Huippupaikat Oy:n asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien laatujärjestelmää

KOULUELEKTRONIIKKA OY:N ASIAKASREKISTERIN TIETOSUOJASELOSTE. Rekisterin rekisterinpitäjä on Kouluelektroniikka Oy, Teuvo Tiusanen

Tietosuojaseloste Espoon kaupunki

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien sähköistä tenttijärjestelmää

Tietosuojaseloste Espoon kaupunki

Tampereen Aikidoseura Nozomi ry

EU:n yleisen tietosuoja-asetuksen mukainen informointiasiakirja Copas y Tapas Oy: asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

TIETOSUOJASELOSTE 1/5. Suomen Pitkäkarvakerho ry:n jäsenten henkilötietojen käsittely

1. Matkustajarekisterinpitäjä Itä-Suomen Liikuntaopisto Oy Länsikatu 15, Joensuu Toimisto ,

VITRIINI - LEHDEN JAKELUREKISTERI

3. Rekisterin nimi Tee- ja Kahvihuone Helmi Oy:n asiakasrekisteri

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Mika Sepponen Rekisterin nimi Ravintola Hyvä Huomen Oy:n asiakasrekisteri

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton uutis- ja tapahtumakirjerekisterissä

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Espoon kaupunki

Tietosuojailmoitus: yhdistetty rekisteröidyn informointiasiakirja (Tietosuoja-asetuksen (2016/679) artikla 13 ja 14).

REKISTERINPITÄJÄ Fysioterapiapalvelut Kirsi Pätsi Rovaniemen toimipiste, Valtakatu 30 A 10, Rovaniemi

KULTARANTA RESORT OY:N MATKUSTAJAREKISTERI

Henkilötietojen käsittelyn oikeusperusteita ovat seuraavat EU:n yleisen tietosuoja-asetuksen (jäljempänä myös GDPR ) mukaiset perusteet:

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton sidosryhmärekisterissä

Tietosuojaseloste Espoon kaupunki

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste 1 (6)

Olemme sitoutuneet suojaamaan asiakkaidemme yksityisyyttä ja tarjoamme mahdollisuuden vaikuttaa henkilötietojen käsittelyyn.

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Justusjulkaisutietojen

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste. Henkilötietolaki (523/1999) 10 ja 24, EU:n yleinen tietosuoja-asetus (679/2016) 12 ja 13 artikla. Urho Tuominen -konserni:

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

EU:n yleisen tietosuoja-asetuksen mukainen informointiasiakirja VOLLES HAUS:in asiakasrekisterissä tapahtuvasta henkilötettoen käsiielestä

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

MARAN KURSSIREKISTERI = EU:n yleisen tietosuoja-asetuksen mukainen informointiasiakirja MaRan kurssirekisterissä tapahtuvasta tietojen käsittelystä

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste 1 (5)

Tietosuojaseloste: Markkinointirekisteri

Tietosuoja-asiat Glaston Oyj Sähköposti: Osoite: Vehmaistenkatu 5, PL 25,33731 Tampere

METANOIA INSITITUUTTI OY TIETOSUOJAREKISTERISELOSTE

Sisältää EU:n tietosuoja-asetuksen mukaiset vaatimukset (artiklat 13, 14 ja 30)

Teknologia avusteiset palvelutverkostopalaveri

EU:n yleisen tietosuoja-asetuksen mukainen informointiasiakirja Riipinen Restaurants Oy asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opintososiaalisia palveluita

TIETOSUOJASELOSTE KERADUR SERVICE OY. 1. Rekisterinpitäjä. Keradur Service Oy Y-tunnus: Osoite: Kampinkuja 2, Helsinki

Henkilötietolain (521/1999) 10 ja 24 :ssä säädetyistä tiedoista koostuva tietosuojaseloste. Tietosuojaseloste on laadittu

Asiakaskilpailuja koskeva tietosuojaseloste

Osoite: Lintulahdenkuja 4, Helsinki

Rekisteriseloste, Espoon kaupunki

Valamon opiston opiskelijarekisteri. Rekisterinpitäjä. Valamon luostari Valamontie Uusi-Valamo Y-Tunnus:

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.

(a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten (GDPR 6 art. 1.

Verkkosivujen palautelomakkeen käsittelyä koskeva tietosuojaseloste

Termit. Tietosuojaseloste

PINTAVA OY ASIAKASREKISTERIN TIETOSUOJASELOSTE

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton jäsenrekisterissä

5. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella Ei Kyllä

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Espoon kaupunki

MONITOIMIPALVELU AHLROTH OY JA MILI S FOOD & CAFÉ ASIAKASREKISTERI

Salon kaupunki , 1820/ /2018

1. Rekisterinpitäjä Nimi Hevostoiminta Laukki Yksityinen elinkeinonharjoittaja, Y-tunnus Yhteystiedot Puh: ,

Informaatiovelvoite ja tietosuojaperiaate

Tervetuloa tietosuoja-asetuskoulutukseen! JASMINA HEINONEN

3. Mihin tarkoitukseen henkilötietoja käsitellään?

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Ajankohtaista työelämän tietosuojasta Johanna Ylitepsa

EU:n yleisen tietosuoja-asetuksen mukainen informointiasiakirja Polar Lights Tours asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

Tietosuojaseloste 1 (5)

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

Tietosuojaseloste Henkilötietolain 10 ja 24, majoitus- ja ravitsemustoiminnasta annetun lain 7

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Tietosuojaseloste - Asiakasrekisteri

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien taloustoimintoja

Tämä tietosuojaseloste antaa EU:n tietosuoja-asetuksen ("Tietosuoja-asetus") edellyttämiä tietoja rekisteröidylle.

Relipe Oy. Tilitoimiston asiakastiedotteen postituslistan TIETOSUOJASELOSTE

Salon kaupunki , 1820/ /2018

EU:n yleisen tietosuoja-asetuksen mukainen informointiasiakirja Kultaranta Resort Oy:n asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

ASIAKASREKISTERISELOSTE

Tuotenäytteiden jakelua koskeva tietosuojaseloste

1. Rekisterinpitäjä Nimi (y-tunnus) Tekijänoikeuden tiedotus- ja valvontakeskus ry (TTVK ry) (y-tunnus: )

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Transkriptio:

FiCom ry 9.5.2019 Tietosuoja- ja viestinnän sääntelyn soveltaminen Tietoliikenteen ja tietotekniikan keskusliitto, FiCom ry ja sen teletoimintaa harjoittavat jäsenyritykset ovat laatineet näkemyksensä siitä, miten yleistä tietosuojasääntelyä ja telealan erityissääntelyä sovelletaan EU:n yleisen tietosuoja-asetuksen ((EU) 2016/679, GDPR ) täytäntöönpanon myötä. Lähtökohdat Laki sähköisen viestinnän palveluista (917/2014, SVPL ) pysyy voimassa. Lakiin ollaan lisäämässä operaattoreiden oikeus rekisteröidä ja luovuttaa rikoksiin liittyviä henkilötietoja. Laki pohjautuu voimassa olevaan eprivacy-direktiiviin (2002/58/EY), jonka muutoksen käsittely tullee kestämään tämän dokumentin laatimishetkestä vielä vuosia. Sääntelyn lähtökohta: oikeusministeriön työryhmä on käynyt lainsäädännön läpi GDPR:n kannalta voimaan jäävässä SVPL:n sääntelyssä ei ole ristiriitoja GDPR:n kanssa, joten SVPL:a noudatetaan kuten ennenkin. GDPR:n laajentava tulkinta ei ole peruste olla noudattamatta voimassa olevaa erityislainsäädäntöä. SVPL:a koskeva viestinnän erityissääntely Välitystietojen käsittely viestinnän välittämiseksi, palvelujen toteuttamiseksi ja tietoturvasta huolehtimiseksi laskutus markkinointi tekninen kehittäminen tilastollinen analyysi väärinkäytökset tekninen vika / virhe tietoturvatoimenpiteet Laki sähköisen viestinnän palveluista 134 138 139 140 141 142 143 144 157 159 272 SVPL on GDPR:ään nähden erityislaki, jota sovelletaan viestinnän tietojen käsittelyyn. SVPL rajoittaa viestinnän välitystietojen käsittelyn viestinnän välittämiseen, laskutukseen sekä teknisiin tarkoituksiin. Laki sallii teleyritysten käsitellä viestinnän välitystietoja ainoastaan erikseen säädetyissä tapauksissa, joten tietojen käsittely perustuu tällöin lähtökohtaisesti kyseiseen lakiin. SVPL:ssä viestinnän luottamuksellisuutta turvataan myös estämällä liittymän tilaajaa saamasta yksityiskohtaisia tietoja liittymän varsinaisen käyttäjän viestinnästä. SVPL:n viestinnän luottamuksellisuutta koskeva sääntely on pakottavaa, eikä siitä voida sopia toisin. SVPL:n mukaisen käsittelyn käsite on laaja. Lain mukaan käsittelyllä tarkoitetaan keräämistä, tallentamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, 1

poistamista, tuhoamista sekä muita vastaavia toimenpiteitä. Määritelmä vastaa sisällöllisesti GDPR:n vastaavaa määritelmää Tietoja voivat käsitellä myös muut teleyritykset kuin se, jolla on liittymän tilaajan kanssa sopimus. Kysymys siitä, mikä teleyritys milloinkin käsittelee viestinnän välitystietoja palvelujen tarjoamiseksi, riippuu käyttäjän tekemistä valinnoista: siitä, mitä palveluja hän kulloinkin käyttää. Teleyritykset vaihtavat palvelujen laskuttamiseksi tietoja viestintä- ja muiden palvelujen käytöstä. Käsittely perustuu näissä tilanteissa SVPL 138 :ään, joka sallii välitystietojen käsittelyn palvelujen tarjoamiseksi ja 139 :ään, joka sallii tietojen käsittelyn laskutusta varten. Tietojen luovuttamisesta teleyritysten välillä palvelujen toteuttamiseksi ja laskuttamiseksi on syytä ottaa maininta teleyritysten omiin tietosuojaperiaatteisiin tai toimialan yleisiin sopimusehtoihin. Teleyritys voi antaa viestinnän osapuolelle tämän pyynnöstä järjestelmissään olevia viestinnän välitystietoja edellyttäen, että tämän asema viestinnän osapuolena on varmistettu. SVPL:ssä erikseen säädettyjen käsittelyperusteiden lisäksi on syytä ottaa huomioon SVPL 136 1 momentissa tarkoitettu viestinnän osapuolen oikeus käsitellä omia sähköisiä viestejään ja niihin liittyviä välitystietoja, jollei laissa toisin säädetä. Tällainen este on esimerkiksi lain 157 1 momentti, jonka mukaan viranomaisia varten säilytettäviä tietoja saa käyttää ainoastaan pakkokeinolain 10 luvun 6 :n 2 momentissa tarkoitettujen rikosten selvittämiseksi ja syyteharkintaan saattamiseksi. GDPR:ssä tarkoitettu henkilötietojen käsittely Teleyritykset käsittelevät myös henkilötietoja, joihin ei sovelleta viestinnän luottamuksellisuutta suojaavaa erityissääntelyä. Tällaisia tietoja ovat erityisesti: Perushenkilötiedot (asiakasrekisterissä olevat tiedot tilaajasta ja käyttäjistä) Sopimukset tiedot tilatuista palveluista ja tuotteista Liittymien palvelunestot ja käytön rajoitukset Laskutus palveluiden käytöstä muodostuneet laskut Asiakassuhteen hoitamiseen liittyvät yhteydenotot OTT-palveluiden (esim. viihdepalvelujen) tarjoamiseksi käsiteltävät tiedot Näiden tietojen käsittelyyn sovelletaan GDPR:n säännöksiä, mukaan lukien III luvun säännöksiä rekisteröidyn oikeuksista. 2

1. Henkilötietojen käsittely viestintäpalvelujen tarjoamisen yhteydessä Tilaaja ja käyttäjä Teleyritysten viestintäpalvelun tarjoaminen perustuu tilaajan kanssa tehtyyn sopimukseen. Tilaaja voi hankkia viestintäpalvelun myös toisen henkilön, kuten alaikäisen lapsen tai työntekijän, käyttöön. Viestintäpalvelua käyttävää muuta henkilöä kuin tilaajaa kutsutaan käyttäjäksi. Henkilötunnuksen käsittely GDPR:n 87 artiklan mukaan jäsenvaltiot voivat määritellä tarkemmin erityiset, kansallisen henkilönumeron tai muun yleisen tunnisteen käsittelyn edellytykset noudattaen rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia. Henkilötunnuksen käsittelyssä noudatetaan kulloinkin voimassa olevaa kansallista lainsäädäntöä. Pre-paid-liittymiä lukuun ottamatta viestintäpalvelut laskutetaan tilaajalta jälkikäteen. Jälkikäteisen laskutuksen perusteella teleyritykset käsittelevät tilaajien täydellistä henkilötunnusta. Yritys- ja yhteisöasiakkaiden osalta teleyritykset käsittelevät tilaajan edustajan henkilötietoja ja täydellistä henkilötunnusta pystyäkseen varmistumaan tilaajan edustajan henkilöllisyydestä ja hänen oikeudestaan edustaa yhteisöä. Viestintäpalvelujen käytön jatkuvuudesta sekä niiden tietoturvasta annettujen säännösten 1 perusteella sekä yhteyksien täydellisen erittelemisen (yhteyskohtainen erittely) oikean toimittamisen varmistamiseksi teleyrityksellä on tarve erottaa viestintäpalvelujen käyttäjät yksiselitteisesti muista rekisteröidyistä. Tämän vuoksi operaattorit voivat käsitellä myös viestintäpalvelujen käyttäjien täydellistä henkilötunnusta. Roaming-maksuihin liittyvä henkilötietojen käsittely Matkapuhelimen käytöstä ulkomailla peritään verkkovierailumaksuja, joita säännellään EU:n asetuksilla 2. 1 SVPL 243 :ssä säädetään viestintäverkon ja viestintäpalvelun laatuvaatimuksista. Pykälän 4 momentin mukaan laatuvaatimukset koskevat myös viestintäverkkoihin ja viestintäpalveluihin liittyviä merkittäviä liitännäistoimintoja ja liitännäispalveluja. Pykälän 1 momentin 7) kohdan mukaan viestintäpalveluja on ylläpidettävä siten, että kenenkään tietosuoja, tietoturva tai muut oikeudet eivät vaarannu. SVPL 274 mukaan teleyrityksen on ilmoitettava viipymättä tilaajalle ja käyttäjälle, jos sen palveluun kohdistuu tai sitä uhkaa merkittävä tietoturvaloukkaus taikka muu tapahtuma, joka estää viestintäpalvelun toimivuuden tai häiritsee sitä olennaisesti. SVPL 273 mukaan teleyrityksen on tarvittaessa irrotettava viestintäpalvelu tai laite yleisestä viestintäverkosta. Käyttäjälle annettavista häiriötiedotteista on annettu Euroopan komission asetus 611/2013 ja Viestintäviraston määräys M 66/2014, joka osaltaan velvoittaa tiedottamaan pitkäkestoisista häiriöistä käyttäjille mahdollisuuksien mukaan suoralla asiakasyhteydenotolla. Asetus 611/2013 velvoittaa teleyrityksen ilmoittamaan tilaajalle tai käyttäjälle myös henkilötietojen tietoturvaloukkauksista. 2 Teleyritysten verkkovierailuista perimiin maksuihin sovelletaan Euroopan parlamentin ja neuvoston verkkovierailuista yleisissä matkaviestinverkoissa antamaa asetusta (EU) N:o 531/2012 sekä komission täytäntöönpanoasetusta (EU) 2016/2286. 3

Koska matkapuhelinhinnat vaihtelevat suuresti eri EU:n jäsenvaltioissa, operaattorille on annettu sääntelyssä mahdollisuus soveltaa tasapuolisia, kohtuullisia ja oikeasuhteisia valvontamekanismeja, jotka perustuvat objektiivisiin indikaattoreihin sellaisen vilpillisen tai poikkeavan käytön riskistä, joka ei ole enää tavanomaista matkailua ETA-alueella. Verkkovierailujen ja niistä aiheutuvien kustannusten asianmukaisuuden varmistamiseksi teleyritykset käsittelevät ajoittain viestinnän välitystietoja selvittääkseen, onko liittymä käytössä ja mikä on liittymän käyttöpaikka. Käsittelyn tavoitteena on ehkäistä roaming-hintasääntelyn hyödyntäminen vilpillisiin tarkoituksiin ja seurata verkkovierailujen vaikutusta teleyrityksen käyttämiin hinnoittelumalleihin. 2. Rekisteröidyn tarkastusoikeus Tässä kappaleessa kuvataan, miten GDPR:n tarkastusoikeus ja SVPL:n säännökset viestinnän tietojen käsittelystä sovitetaan yhteen, eli miten viestintää kuvaavat tiedot rekisteröidylle (eli henkilölle, jota henkilötiedot koskevat) annetaan. Lähtökohtana on, että sähköisen viestinnän tietojen osalta noudatetaan sähköisen viestinnän erityissääntelyä. GDPR:n nojalla tarkastettavat tiedot ja tarkastuksen aikaväli GDPR:n tarkastusoikeuden tarkoituksena on antaa rekisteröidylle tieto siitä, käsitelläänkö häntä koskevia tietoja, ja jos tietoja käsitellään, varmistua käsittelyn laillisuudesta. Rekisteröidyllä on oikeus saada muun muassa tieto käsittelyn tarkoituksesta, henkilötietoryhmästä, automaattisesta päätöksenteosta ja tähän liittyvästä profiloinnista, tietojen luovutuksista ja säilytysajasta 3. Tilanteista, joissa rekisteröity haluaa siirtää tietonsa toiselle palveluntarjoajalle, on säädetty GDPR:n 20 artiklassa. Tarkastusoikeus ei saa vaikuttaa haitallisesti muiden oikeuksiin eikä yrityssalaisuuksien paljastamiseen. GDPR:n johdantokappaleen 63 mukaan rekisterinpitäjät, jotka käsittelevät suurta joukkoa tietoa, voivat pyytää rekisteröityä täsmentämään pyyntöään. Johdantokappaleen 4 mukaan henkilötietojen suoja tulee suhteellisuusperiaatteen mukaisesti suhteuttaa muihin oikeuksiin, kuten elinkeinon harjoittamisen ja muiden henkilöiden oikeuksiin. Tarkastusoikeus ei koske anonyymeja tietoja 4. Tarkastusoikeuden nojalla annetaan ne tiedot, jotka ovat yhdistettävissä rekisteröityyn. GDPR:n mukainen tarkastusoikeus kohdistuu teleyritysten asiakasrekistereissä oleviin tietoihin. Teleyritykset-käsittelevät suurta määrää tietoja. Tämän vuoksi tarkastusoikeuden käyttämistä ohjataan GDPR:n johdantokappaleessa 63 tarkoitetulla jaottelulla seuraavasti: Perushenkilötiedot (asiakasrekisterissä olevat tiedot tilaajasta ja käyttäjistä) Sopimukset tiedot tilatuista palveluista ja tuotteista 3 GDPR15 artikla. 4 GDPR johdantokappaleet 57 ja 64 4

Liittymien palvelunestot ja käytön rajoitukset Laskutus palveluiden laskutukseen liittyvät tiedot Asiakassuhteen hoitamiseen liittyvät yhteydenotot GDPR:n mukaan tarkastusoikeutta tulee voida käyttää maksutta kohtuullisin aikavälein. Viestintää koskevat tiedot ovat tilaajien ja käyttäjien saatavilla jatkuvasti teleyritysten sähköisissä itsepalveluissa. Teleyritykset määrittelevät yrityskohtaisesti kohtuullisen ajan, jonka välein tiedot ovat tarkastettavissa maksutta ottaen huomioon sen, miten tiedot ovat saatavilla yritysten sähköisissä palveluissa 5. SVPL:n nojalla viestintään ja päätelaitteen sijaintiin liittyvät tiedot Viestintään ja päätelaitteen sijaintiin liittyvien tietojen antamisen osalta noudatetaan SVPL:ää ja sen tulkinnasta annettuja viranomaisohjeita. Teleyritykset antavat viestintää ja liittymän tai päätelaitteen sijaintia koskevia tietoja tilaajille ja käyttäjille SVPL:n 134 ja 162 mukaisesti. Tietojen antaminen edellyttää henkilön riittävän luotettavaa tunnistamista sekä sen selvittämistä, onko hän viestinnän osapuoli vai palvelun tilaaja. Yhteyskohtainen erittely on SVPL 134 mukaan 6 annettava tilaajalle siten, että puhelinnumeron kolme viimeistä numeroa on peitetty tai muutoin siten, ettei erittelystä voida tunnistaa viestinnän toista osapuolta. Liittymän käyttäjälle pyynnöstä annettavassa erittelyssä viestinnän osapuolten liittymien numerot tai viestintäpalvelun muut tunnistamistiedot saavat olla täydellisinä. Yhteyskohtainen erittely ei saa sisältää maksuttomien palvelujen välitystietoja. SVPL 134 :ssä on erikseen säädetty tilaajalle ja käyttäjälle annettavista tiedoista. Tietopyynnön esittäjän asemasta viestinnän osapuolena ja pyynnön esittäjän henkilöllisyydestä on syytä varmistua riittävällä varmuudella ennen tietojen toimittamista 7. Jos pyynnön esittäjä ei pysty riittävällä varmuudella osoittamaan, että pyydetyt tiedot liittyvät hänen viestintäänsä, ei tietoja voida antaa. SVPL 137 mukaisesti teleyrityksen tulee poistaa tai anonymisoida järjestelmistään viestinnän välitystiedot, kun yrityksellä ei ole enää omaa tarvetta käsitellä tietoja. Tarpeet vaihtelevat yrityksestä ja palvelusta riippuen. Sijaintitietoja annetaan käyttäjälle ja tilaajalle sen mukaan kuin SVPL 160-162 :ssä 8 säädetään. 5 GDPR 15 artiklan 3 kohta ja johdantokappale 63, jonka mukaan voidaan ottaa huomioon se, miten rekisteröidyille on annettu suora sähköinen pääsy tietoihinsa. 6 Viestintävirasto on antanut laskun erittelystä soveltamisohjeen 5.10.2015, jossa korostetaan yksityisyyden suojan ensisijaisuutta tulkinnallisissa tilanteissa. 7 GDPR:n johdantokappale 64 8 SVPL:n 162 2 mom mukaan käyttäjällä on oikeus saada lisäarvopalvelun tarjoajalta ja viestinnän välittäjältä näiden hallussa olevat itseään koskevat sijaintitiedot ja välitystiedot, jotka ilmaisevat liittymän tai päätelaitteen sijainnin tietyllä hetkellä. 5

Pre-paid-liittymien osalta tietoja liittymän käyttäjästä ei usein rekisteröidä. Näiden liittymien osalta tiedot voidaan antaa, jos pyynnön esittäjä pystyy osoittamaan olleensa liittymän käyttäjä sillä hetkellä, miltä tietoja pyydetään. Viranomaistarkoituksia varten säilytettävät tiedot Teleyritysten velvoitteesta säilyttää viestinnän välitystietoja (viestintää ja käytössä ollutta IP-osoitetta koskevat tiedot) viranomaistarkoituksia varten määrätyn ajan on säädetty SVPL 157 :ssä. Säilytettävät tiedot palvelevat yksinomaan viranomaistarpeita, ja säilytysaika määräytyy lain mukaan. Tietojen luovuttamisesta on säädetty tyhjentävästi SVPL 157 :ssä. Korkeimman oikeuden ratkaisussa KKO 2017:85 on todettu, että tietoja ei voida luovuttaa kuin sellaisille viranomaisille ja sellaisia käyttötarkoituksia varten, jotka on laissa nimenomaisesti määritelty. Teleyritykset eivät voi antaa viranomaisia varten toteutetuissa järjestelmissä olevia tietoja muille kuin toimivaltaisille viranomaisille. Tietojen käsittely tekijänoikeuslain 60 a tarkoitetuissa tapauksissa (kirjevalvonta) Tekijänoikeuslain (404/1961) 60 a mukaan markkinaoikeus voi määrätä teleyrityksen luovuttamaan yhteystiedot sellaisesta teleliittymästä, josta tekijän oikeuksien suojan kannalta merkittävässä määrin saatetaan yleisön saataviin tekijänoikeudella suojattua aineistoa ilman tekijän suostumusta. Näissä tapauksissa markkinaoikeuden ratkaisu muodostaa perusteen käsitellä viestinnän välitystietoja markkinaoikeuden ratkaisussa tarkoitetun ajankohdan osalta yhteystietojen selvittämiseksi. Tietosuojavaltuutettu on antanut lausunnon rekisteröidyn käytössä tietyllä hetkellä olleen IP-osoitteen tarkastamisesta 9. Tietosuojavaltuutetun lausunnon mukaan tilaajalla on oikeus tarkastaa käytössään ollut IPosoite kyseisen ajankohdan osalta. Viestintävirasto on todennut omassa kannanotossaan, että teleyrityksellä on tarkastamistapauksissa oikeus käsitellä tietoja markkinaoikeuden päätöksen perusteella. 10 Rekisteröidyn oikeus tulla unohdetuksi GDPR 17 artiklan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, jos (i) henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin; (ii) rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut GDPR 6 artiklan 1 kohdan a alakohdan tai 9 artiklan 2 kohdan a alakohdan mukaisesti, eikä käsittelyyn ole muuta laillista perustetta; (iii) rekisteröity vastustaa käsittelyä GDPR 21 artiklan 1 kohdan nojalla eikä käsittelyyn ole olemassa perusteltua syytä tai rekisteröity vastustaa käsittelyä 21 artiklan 2 kohdan nojalla; (iv) henkilötietoja on käsitelty lainvastaisesti; (v) henkilötiedot on poistettava unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi; tai (vi) henkilötiedot on kerätty GDPR 8 artiklan 1 kohdassa tarkoitetun tietoyhteiskunnan palvelujen tarjoamisen yhteydessä. 9 Tietosuojavaltuutettu 23.11.2016, Dnro: 3118/05/16 10 Viestintävirasto 10.1.2017, Dnro: 956/601/2016 6

SVPL:n sähköistä viestintää koskevan erityissääntelyn johdosta teleyritys ei voi aina toteuttaa GDPR:n mukaista henkilötietojen poistoa. Teleyritys säilyttää henkilötietoja niin kauan kuin se on tarpeen tietojen käsittelytarkoituksen toteuttamiseksi ja laissa erikseen mahdollisesti säädettyjen säilytysaikojen puitteissa. 11 3. Teleyrityksen rooli eri palveluiden yhteydessä Teleyritykset toimivat henkilötietosääntelyssä tarkoitettuna rekisterinpitäjänä esimerkiksi seuraavien tietojen osalta: Teleyrityksen asiakasrekisterin tiedot viestintä- ja muiden palvelujen tilaajista tai tilaajien edustajista sekä operaattorin järjestelmiin kirjatut tiedot viestintäpalvelujen käyttäjistä. Palvelun käyttämisen ja hallinnoinnin mahdollistamiseksi asiakkaan nimeämät kontaktihenkilöt ja palvelun hallinnointiin valtuutetut henkilöt 12. SVPL:ssä tarkoitetun viestintäpalvelun välitys- ja laskutustiedot 13. Teleyrityksen tarjotessa tallennus- tai laskentakapasiteetista muodostuvia palveluja, joissa käsiteltävät tiedot määrittää palvelun tilaaja, toimii rekisterinpitäjänä asiakas ja käsittelijänä teleyritys. Palvelun tilaamiseen ja hallinnointiin liittyvien asiakastietojen osalta teleyritys on kuitenkin aina rekisterinpitäjä. Palvelujen tarjoaminen yhteisötilaajalle Kun teleyritys tarjoaa yhteisölle sen sisäisiä viestintäratkaisuja siten, että palvelua tilaava yhteisö on SVPL:ssä tarkoitettu yhteisötilaaja, on operaattori yhteisön omissa, sisäisissä verkoissa ja palveluissa käsiteltävien tietojen osalta käsittelijä ja yhteisötilaaja rekisterinpitäjä. Palvelun tilaamiseen ja hallinnointiin liittyvien asiakastietojen ja viestien välittämiseen yleisessä viestintäverkossa liittyvien välitys- ja laskutustietojen osalta teleyritys on yllä tarkoitetulla tavalla rekisterinpitäjä. 11 Esimerkiksi rahanpesusta ja terrorismin rahoittamisen estämisestä annetun lain (444/2017) mukaan tiettyjä henkilötietoja on säilytettävä viisi (5) vuotta sen vuoden päättymisestä, jolloin tieto on poistettu rahanpesun valvontarekisteristä. Lisäksi esimerkiksi kirjanpitolaki (1336/1997) edellyttää tiettyjen tietojen säilyttämistä kuuden (6) tai 10 vuoden ajan tilikauden päättymisestä ja SVPL:n 139 asettaa omat edellytyksensä laskun määräytymiseen liittyvien tietojen säilyttämisestä. 12 Henkilötietodirektiivin johdantokappale 47: kyseisten palvelujen suorittajia pidetään kuitenkin yleensä palvelun suorittamiseksi tarvittavien täydentävien henkilötietojen käsittelystä vastuussa olevana. 13 WP29 opinion 1/2010, s. 11 esimerkki: The provider of telecommunications services should therefore, in principle, be considered controller only for traffic and billing data, and not for any data being transmitted. 7

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute