Kansainvälisesti toteutetun palvelun tietoturvasta tiedottaminen. Viestintäviraston julkaisuja 205/2014 O



Samankaltaiset tiedostot
Kansainvälisesti toteutetun palvelun tietoturvasta tiedottaminen

Varmaa ja vaivatonta viestintää

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

Numeropalvelusta edelleenkytkettyjen puhelujen yhteyskohtainen erittely. Viestintäviraston suosituksia 315/2008 S

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari Jaakko Lindgren

PUHELINNUMERON SIIRRETTÄVYYS KIINTEÄN VERKON JA MATKAVIESTINVERKON VÄLILLÄ. Viestintäviraston suosituksia 314/2008 S

Varmaa ja vaivatonta

Tekstiviestit puhepalvelunumeroihin 3/2008

Abuse-seminaari

Sähköisen viestinnän tietosuojalain muutos

VIESTINTÄVIRASTON SUOSITUS TUNNISTAMISTIETOJEN KÄSITTELYÄ KOSKEVIEN TIETOJEN TALLENTAMISESTA

Tietoyhteiskuntakaaren käsitteistöä

Ajankohtaista määräyksistä ja lainsäädännöstä. Jarkko Saarimäki Kehityspäällikkö

Tietoturvapalvelut Huoltovarmuuskriittisille toimijoille. Abuse-seminaari Ilmoitusvelvollisuus

Luottamusta lisäämässä

MARKKINA-ANALYYSI POHJOIS-SAVO JUANKOSKI (23) -HANKEALUEEN TU- KIKELPOISUUDESTA

Menettelytavat tietojen luovuttamisesta toiselle palveluoperaattorille

Määräys viestintäverkkojen ja -palveluiden yhteentoimivuudesta

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Roolit henkilötietojen käsittelyssä LOTTA YLÄ-SULKAVA

VIESTINTÄVIRASTON PÄÄTÖS KOSKIEN NUMERON SIIRRETTÄVYYTTÄ MÄÄRÄAIKAISIS- SA SOPIMUKSISSA

Markkina-analyysi hankealueen tukikelpoisuudesta Keski-Suomi Keuruu

Viestinnän tulevaisuus

Markkina-analyysi hankealueen tukikelpoisuudesta Keski-Suomi Joutsa

1) Miten määritellään viestintäpalvelun toteuttamisen vaarantuminen?

Markkina-analyysi hankealueen tukikelpoisuudesta Pohjois- Pohjanmaan hankealue Kempele

MARKKINA-ANALYYSI ITÄ-UUSIMAA LAPINJÄRVI (6) -HANKEALUEEN TUKI- KELPOISUUDESTA

Markkina-analyysi hankealueen tukikelpoisuudesta Keski-Suomi Keuruu

Päivitetty markkina-analyysi Pohjois-Savon Kuopio -hankealueen tukikelpoisuudesta

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

MARKKINA-ANALYYSI TUKIKELPOISESTA ALUEESTA POHJOIS-SAVO HANKEALUE 99 (VARKAUS)

MARKKINA-ANALYYSI TUKIKELPOISESTA ALUEESTA POHJOIS-SAVO HANKEALUE 97 (VARKAUS)

Viestintävirasto 1 (5) Viestintämarkkinat ja palvelut

Markkina-analyysi hankealueen tukikelpoisuudesta Etelä-Savon hankealue

Markkina-analyysi hankealueen tukikelpoisuudesta Pohjois- Pohjanmaan hankealue Oulu

MARKKINA-ANALYYSI LAPPI 60 (PELKOSENNIEMI) -HANKEALUEEN TUKIKEL- POISUUDESTA

Henkilötietojen käsittelyn ehdot. 1. Yleistä

Markkina-analyysi hankealueen tukikelpoisuudesta Pohjois- Pohjanmaan hankealue Pyhäntä

Markkina-analyysi hankealueen tukikelpoisuudesta Etelä-Savon hankealue

Määräys PUHELINNUMERON SIIRRETTÄVYYDESTÄ. Annettu Helsingissä 23 päivänä tammikuuta 2006

Viestintävirasto 1 (5) Viestintämarkkinat ja palvelut

Päivitetty markkina-analyysi Pohjois-Pohjanmaan Haapavesi - hankealueen tukikelpoisuudesta

MARKKINA-ANALYYSI TUKIKELPOISESTA ALUEESTA VARSINAIS-SUOMI HANKEALUE 19 (SAUVO)

SMC:n tytäryhtiöt Euroopassa kunnioittavat yksityisyyttäsi ja sitoutuvat pitämään henkilötietosi suojattuina.

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

TYÖNTEKIJÖIDEN SÄHKÖPOSTIEN TUNNISTAMISTIETOJEN KÄSITTELYOIKEUS, KUN EPÄILLÄÄN YRITYSSALAISUUKSIEN VUOTAMISTA

Päivitetty markkina-analyysi Lapin Kolari -hankealueen tukikelpoisuudesta

MARKKINA-ANALYYSI POHJOIS-SAVO RAUTAVAARA (41) -HANKEALUEEN TU- KIKELPOISUUDESTA

parlamentin ja neuvoston direktiivi 2002/21/EY ("puitedirektiivi") EYVL 108, , s. 33.

Markkina-analyysi Lappi Sodankylä (85) -hankealueen tukikelpoisuudesta

Case: Työnantaja hakee esille tai avaa työntekijän sähköpostin JASMINA HEINONEN

Määräyksen 11 uudistaminen

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

Määräys TILAAJAN NUMEROTIETOJEN SIIRROSTA VIESTINTÄVERKOSSA. Annettu Helsingissä 1 päivänä huhtikuuta 2005

Markkina-analyysi hankealueen tukikelpoisuudesta Pohjois-Karjala

Markkina-analyysi hankealueen tukikelpoisuudesta Etelä- Savo hankealue 34 (Kangasniemi)

Palvelujen myynnin aloittaminen

Korjattu markkina-analyysi hankealueen tukikelpoisuudesta Pohjois-Pohjanmaa hankealue 30 (Siikalatva)

Markkina-analyysi hankealueen tukikelpoisuudesta Pohjois-Pohjanmaa

Markkina-analyysi hankealueen tukikelpoisuudesta Pohjois-Savo hankealue 105 (Leppävirta)

Markkina-analyysi hankealueen tukikelpoisuudesta Etelä- Savo hankealue 31 (Heinävesi)

Mobiililaitteiden tietoturva

Markkina-analyysi hankealueen tukikelpoisuudesta Pohjois-Savo hankealue 110 (Varkaus)

Määräys VIESTINTÄVERKON VERKONHALLINNASTA. Annettu Helsingissä 24 päivänä elokuuta 2007

Tiedote yleisen tietosuoja-asetuksen mukaisista tiedonsiirroista sopimuksettoman brexitin tapauksessa

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

TIETOSUOJASELOSTE. Yleistä. Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? Mitä henkilötietoja minusta kerätään ja mistä lähteistä?

TIETOSUOJASELOSTE KERADUR SERVICE OY. 1. Rekisterinpitäjä. Keradur Service Oy Y-tunnus: Osoite: Kampinkuja 2, Helsinki

Markkina-analyysi Pohjois-Savo Lapinlahti (104) - hankealueen tukikelpoisuudesta

Henkilötietojesi käsittelyn tarkoituksena on:

Yleiset toimitusehdot Asiantuntijapalvelut

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

Tietojärjestelmien varautuminen

Tietosuojaseloste Suoramarkkinointirekisteri EU:n yleinen tietosuoja-asetus (679/2016) Päivitetty

Päätösluonnos huomattavasta markkinavoimasta kiinteään puhelinverkkoon laskevan puheliikenteen tukkumarkkinoilla

Ekosysteemin eri toimijat. Yritys Työntekijä Ulkopuolinen taho Media Muut tiedonvälittäjät (esim. Wikileaks)

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Pilvipalveluiden arvioinnin haasteet

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

Olemme sitoutuneet suojaamaan asiakkaidemme yksityisyyttä ja tarjoamme mahdollisuuden vaikuttaa henkilötietojen käsittelyyn.

Direktiivi Euroopan sähköisen viestinnän säännöstöstä

Määräys TUNNISTAMISTIETOJEN TALLENNUSVELVOLLISUUDESTA. Annettu Helsingissä 24 päivänä toukokuuta 2011

MTS:n puheenjohtajana minulla on ilo ja kunnia toivottaa teidät kaikki. omasta ja suunnittelukunnan puolesta lämpimästi tervetulleiksi tänä

Laskuerittelyä koskevat säädösmuutokset (säädöskokoelmanumerot 373 ja 374/2012)

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Määräys hätäliikenteen teknisestä toteutuksesta ja varmistamisesta

Määräys HÄTÄLIIKENTEEN OHJAUKSESTA JA VARMISTAMISESTA. Annettu Helsingissä 5 päivänä toukokuuta 2011

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton sidosryhmärekisterissä

Tietosuojaseloste. Trimedia Oy

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

MÄÄRÄYKSEN 56/2007 M PERUSTELUT JA SOVELTAMINEN MÄÄRÄYS TUNNISTAMISTIETOJEN TALLENNUSVELVOLLISUUDESTA

Markkina-analyysi Pohjois-Savo Siilinjärvi (108)- hankealueen tukikelpoisuudesta

Laki. sähköisen viestinnän tietosuojalain muuttamisesta

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

SATASERVICEN TIETOSUOJAKÄYTÄNTÖ

Tietosuoja Copyright (c) 2005 ACE LAW Offices

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

Transkriptio:

Kansainvälisesti toteutetun palvelun tietoturvasta tiedottaminen Viestintäviraston julkaisuja 205/2014 O

1 (11) KUVAILULEHTI Julkaisija Viestintävirasto 5.5.2014 Tekijät Asiakirja laji Toimeksiantaja Viestintävirasto Ohje - KV-palvelujen tietoturvatyöryhmä Asiakirjan päivämäärä Asiakirjan nimi Kansainvälisesti toteutetun palvelun tietoturvasta tiedottaminen Tiivistelmä Kesän 2013 jälkeen on keskusteltu ulkomaisten viranomaisten kansainvälisen massatiedustelun vaikutuksista luottamuksellisen viestinnän suojaan. Suomalaiset teleyritykset eivät ole havainneet tiedustelutoiminnalla olleen vaikutuksia yleisten viestintäpalvelujen tietoturvallisuuteen. Koska osa viestintäpalveluista toteutetaan osin tai kokonaan Suomen ulkopuolella tai hyödyntäen ulkomaisten yritysten tarjoamia palveluja ja näin ollen palvelutoteutukseen saattaa kohdistua Suomen lainsäädännöstä poikkeavaa sääntelyä, on perusteltua, että palvelujen käyttäjillä on saatavilla tietoa asiasta. Tällaisen tiedon avulla käyttäjä voi itse arvioida, millaisia mahdollisia uhkia hänen viestintäänsä ja tunnistamistietoihin kohdistuu. Tässä ohjeessa kuvataan, missä tilanteissa, miten ja millaista tietoa teleyritysten tulisi tarjota käyttäjille. Ohjeen valmisteluun on keväällä 2014 osallistunut 21 henkilöä 12 eri organisaatiosta: Heidi Kivekäs (pj.) (Viestintävirasto), Eeva Lantto (siht.) (Viestintävirasto), Gustavo Covarrubias (Line Carrier Oy), Seppo Heikura (Fonecta Oy), Tuomas Helistö (Fonecta Oy), Tarja Helkamäki (Elisa Oyj), Kari Jaksola (Finnet-liitto ry), Kim Johansson (Corenet Oy), Päivi Konttila-Lokio (TeliaSonera Finland Oyj), Pasi Korhonen (Elisa Oyj), Marja-Leena Lehmus (Line Carrier Oy), Tommi Linnonmaa (Digita Networks Oy), Jorma Mellin (TDC Oy), Pasi Reinonen (AinaCom Oy), Panu Rissanen (DNA Oy), Jarkko Saarimäki (Viestintävirasto), Janne Sormunen (Finnet-liitto ry/mikkelin Puhelin Oyj), Tiina Tirkkonen (DNA Oy), Simo Tossavainen (TDC Oy), Jaakko Turunen (Finnet-liitto ry) ja Simo Volanen (ComSecure Oy). Avainsanat Tiedustelu, luottamuksellinen viestintä, tietoturva, tiedottaminen Sarjan nimi Viestintäviraston julkaisuja Kokonaissivumäärä Kieli Luottamuksellisuus 11 suomi julkinen Jakaja Kustantaja Viestintävirasto -

2 (11) Sisältö 1 Johdanto... 3 2 Aiemmat toimenpiteet... 3 2.1 Vuoden 2013 selvitys... 3 2.2 Ohjeita käyttäjille... 5 2.3 Ruotsin FRA-laki... 6 3 Ohjeet teleyritykselle... 7 3.1 Soveltamisala... 7 3.2 Tietoturvallisen toteuttamisen arviointi... 8 3.3 Tiedotusvelvollisuus tilaajalle ja käyttäjälle... 9 3.4 Ilmoittaminen Viestintävirastolle... 11

3 (11) 1 Johdanto 2 Aiemmat toimenpiteet 2.1 Vuoden 2013 selvitys Kesällä 2013 julkisuudessa käsiteltiin laajasti Yhdysvaltojen viranomaisten kansainvälistä tiedustelutoimintaa. Julkisuudessa esitettiin, että ulkomaisilla tiedusteluviranomaisilla olisi mahdollisuus saada käyttäjien luottamuksellisia tietoja suoraan erilaisia sähköisiä palveluja tarjoavilta toimijoilta. Tiedustelutoiminta poikkeaa perinteisistä pakkokeinoista kuten telekuuntelusta ja televalvonnasta ennen kaikkea tarkastellun viestinnän laajuuden kannalta. Pakkokeinot suunnataan perustellun epäilyn pohjalta mahdollisimman tarkasti tiettyyn kohteeseen. Tiedustelutoiminnalla taas seurataan ennakoivasti suurta käyttäjäjoukkoa. Viestintäviraston vuonna 2013 tekemien selvitysten (ks. tarkemmin luku 2.1) perusteella teleyritykset eivät olleet havainneet tiedustelutoiminnalla olleen vaikutuksia yleisten viestintäverkkojen palvelujen tietoturvallisuuteen. Suomalaiset teleyritykset voivat kuitenkin toteuttaa osan viestintäpalveluistaan Suomen ulkopuolella tai hyödyntää ulkomaisten yritysten tarjoamia palveluja omien viestintäpalvelujensa toteutuksessa. Lisäksi suomalaiset voivat hankkia palveluita suoraan ulkomaisilta palveluntarjoajilta. Osin tai kokonaan ulkomailla toteutettuja viestintäpalveluja käytettäessä on käyttäjän syytä huomioida, ettei Suomen lainsäädäntö eivätkä suomalaiset teleyritykset voi taata viestinnän luottamuksellisuuden säilymistä Suomen rajojen ulkopuolella. Tämä raportti jatkaa viraston vuonna 2013 aloittamaa työtä ja sen tarkoitus on ohjeistaa teleyrityksiä kansainvälisesti toteutettujen palvelujen ominaisuuksista tiedottamisesta. Nämä ohjeet, jotka on valmisteltu yhteistyössä alan toimijoiden kanssa ja joiden tarkoitus on parantaa käyttäjien tiedonsaantia, tukevat paitsi teleyritysten omaa toimintaa myös Viestintäviraston aiheeseen liittyvää valvontaa. Tässä luvussa on kuvattu Viestintäviraston aiempia selvityksiä ja niiden perusteella tehtyjä toimenpiteitä koskien kansainvälisen tiedustelutoiminnan vaikutuksia viestintäpalvelujen turvallisuuteen. Viestintävirasto lähetti 11.6.2013 suomalaisille teleyrityksille ja 5.7.2013 niiden nimeämille keskeisille yhteistyökumppaneille tiedustelutoiminnan vaikutuksia kartoittavan selvityspyynnön (Dnro 890/601/2013). Teleyrityksiä pyydettiin muun muassa toimittamaan lisätietoja ulkomaisten yhteistyökumppaneiden kanssa toteutettavista viestintäpalveluista ja yksilöimään niiden toteuttamiseen osallistuvat yritykset. Yhteistyökumppaneilta taas pyydettiin tietoja muun muassa siitä, missä roolissa yritys tarjoaa palvelujaan, kenen kanssa käyttäjä solmii sopimuksen palvelusta ja mitä sääntelyä palveluun sovelletaan.

4 (11) Selvitykset saatiin 55 teleyritykseltä sekä seitsemältä (7) kumppanilta ja niiden perusteella voitiin muodostaa kattava yleiskuva tilanteesta. Selvityksissä tiedustelutoiminnan ei arvioitu vaikuttaneen palvelujen turvallisuuteen. Viestintävirasto julkaisi selvityksestä yhteenvedon 16.10.2013 1. Selvityksessä palveluntarjoajat toivat esiin, että ne toteuttavat palvelunsa niihin sovellettavan sääntelyn mukaisesti ja että ne luovuttavat tietoja viranomaisille ainoastaan palveluun sovellettavan lainsäädännön asettamien reunaehtojen puitteissa. Keskeistä onkin, että teleyritykset voivat toteuttaa tarjoamiaan palveluja Suomen lisäksi osin tai kokonaan ulkomailla, jolloin niihin sovellettavan säädäntö, kuten viranomaisten tiedusteluoikeudet, vaihtelee toteutuksen perusteella: Yli kolmasosa teleyrityksistä toteuttaa kaikki suomalaisille tarjottavat viestintäpalvelunsa kokonaisuudessaan Suomessa. Palvelun kaikki tekniset komponentit sijaitsevat Suomessa, palvelujen tietoja käsitellään vain Suomessa ja palvelun toteuttamisessa ei hyödynnetä ulkomaisia yhteistyökumppaneita. Tällaisiin palveluihin sovelletaan ainoastaan Suomen lainsäädäntöä. Osa teleyritysten suomalaisille tarjoamista viestintäpalveluista toteutetaan kokonaan tai osittain ulkomailla. Joko: Suomeen sijoittunut yritys toteuttaa palvelun tai sen osan ulkomailla samaan konserniin kuuluvan tai kokonaan erillisen alihankkijan toimesta tai suomalainen teleyritys markkinoi ulkomaisen yrityksen palvelua omien palvelujensa yhteydessä ja niitä koskeva sopimus solmitaan suomalaisen käyttäjän ja suomalaisen teleyrityksen välillä. Näissä tilanteissa suomalaiseen yritykseen sovelletaan täysimääräisesti suomalaista säädäntöä, minkä lisäksi ulkomailla sijaitsevaan osuuteen palvelusta voi soveltua paikallista ulkomaista säädäntöä. Osan suomalaisten käyttämistä palveluista tarjoaa ja toteuttaa kokonaan ulkomainen yritys, jonka kanssa käyttäjä laatii palvelua koskevan sopimuksen. Kansallisten tietoturvavelvoitteiden ulottuminen puhtaasti toisesta valtiosta tarjottaviin palveluihin on tulkinnanvaraista 2. Selvänä voidaan lähinnä pitää sitä, että kokonaan ulkomaiseen palveluun kohdistuu myös ulkomaista säädäntöä. Selvityksen perusteella tehdyssä arviossa Viestintävirasto totesi, että koska kokonaan tai osittain ulkomailla toteutettujen palvelujen tietoturvaan voi kohdistua sovellettavasta lainsäädännöstä johtuvia rajoituksia, on käyttäjän perusoikeuksien toteutumiseksi ja käyttäjän viestintäpalveluja kohtaan tunteman 1 https://www.viestintavirasto.fi/attachments/tiedusteluselvitys16102013.pdf 2 Tietoturvasääntelyn näkökulmasta asiasta ei ole käytettävissä eurooppalaista oikeus- tai tulkintakäytäntöä. Kuluttaja-asiamies on ratkaisukäytännössään katsonut, että mikäli teleyrityksellä on verkkosivut ja kuluttajille suunnattua verkkoilmoittelua suomeksi ja kuluttajat tekevät sopimukset ja maksavat ne Suomessa, teleyritys ei voi viedä suomalaisilta kuluttajilta yleisillä sopimusehdoillaan Suomen kuluttajansuojalain pakottavien säännösten suojaa. Kuluttajansuojasäännöksistä voi myös seurata velvoitteita palvelun markkinoinnissa ja asiakassuhteen aikana annettaville tiedoille.

5 (11) 2.2 Ohjeita käyttäjille luottamuksen turvaamiseksi välttämätöntä, että palvelun tilaajalla on käytettävissään mahdollisimman kattavat tiedot palvelun keskeisistä turvallisuusominaisuuksista. Virasto katsoi, että suomalaisen teleyrityksen velvollisuus huolehtia tietoturvasta sisältää ulkomailla toteutettavan viestintäpalvelun osalta selonottovelvollisuuden siitä, mihin valtioihin toteutus jakaantuu sekä velvollisuuden harkita käytettävissä olevat suojaamiskeinot käyttäjien viestinnän luottamuksellisuuden varmistamiseksi. Lisäksi virasto totesi, että teleyrityksen velvollisuuksiin kuuluu muissa kuin viestinnän tavanomaiseen luonteeseen kuuluvissa tilanteissa, kuten lähetettäessä tekstiviesti ulkomaille, informoida käyttäjiä siitä, että palvelutoteutuksesta johtuen käyttäjien tietoja käsitellään myös Suomen ulkopuolella. Selvityksen yhteenvedossa virasto myös totesi, että se käynnistää teleyritysten kanssa tarkentavat keskustelut kansainvälisesti toteutetun palvelun tietoturvasta huolehtimisen ja tiedottamisen yksityiskohtaisesta toteuttamistavasta. Virasto järjesti asiasta teleyrityksille keskustelutilaisuuden 25.11.2013 ja perusti 13.1.2014 työryhmän laatimaan asiasta tämän tiedottamista koskevan ohjeen. Teleyritysyhteistyön lisäksi Viestintävirasto on jo aiemmin kerännyt verkkosivuilleen ohjeita käyttäjille viestinnän suojaamiseen 3. Sivustolla mm. muistetaan, että "Suomen lainsäädäntö suojaa suomalaisissa tietoverkoissa välitettävien viestien luottamuksellisuuden, mutta se ei voi taata luottamuksellisuuden säilymistä ulkomaisissa viestintäpalveluissa tai Suomen rajojen ulkopuolella." Koska internetin sisältöpalvelujen käyttäminen tarkoittaa käytännössä aina sitä, että käyttäjän viestintää ja tunnistamistietoja todennäköisesti päätyy Suomen ulkopuolelle, sivustolla kuvataan yleisimmin käytettyjen palvelujen käyttöön liittyviä uhkia ja niiltä suojautumista. Tätä ohjetta valmistelleessa työryhmässä havaittiin, että ohjeen soveltamisen piiriin kuuluvissa (ks. luku 3.1), ulkomaisen kytköksen sisältävissä viestintäpalvelutoteutuksissa on löydettävissä useita teleyrityksiä yhdistäviä tekijöitä. Esimerkiksi veloituksen 4 toteuttamiseksi laskentatietojen eli veloitettavaa tapahtumaan koskevien tietueiden käsittelyä saatetaan hankkia ulkomailta, vaikka itse laskutus eli toimet, joilla asiakkailta peritään korvaus viestintäpalvelun käytöstä, toteutettaisiin Suomessa. Työryhmässä sovittiinkin, että Viestintävirasto täydentää vuoden 2014 aikana antamaansa yleistä neuvontaa kuvaamaan, mitä esimerkiksi tunnistamistietojen käsittely (vs. varsinainen viestintäverkon osa) ulkomailla käytännössä tarkoittaa. 3 https://www.viestintavirasto.fi/ohjausjavalvonta/ohjeettulkinnatsuosituksetjaselvitykset/ohjeide ntulkintojensuositustenjaselvitystenasiakirjat/ohjeitaviestinnansuojaamiseen.html 4 Veloituksella tarkoitetaan Viestintäviraston määräyksessä 31 teknisiä ja hallinnollisia toimintoja, jotka liittyvät teleliikenteen laskentaan, laskutukseen ja tilityksiin.

6 (11) 2.3 Ruotsin FRA-laki Ruotsissa hyväksyttiin usean vuoden valmistelun jälkeen kesäkuussa 2008 laki (ns. FRA-laki), joka antoi Ruotsin puolustusvoimien radiolaitokselle (Försvarets radioanstalt, FRA) oikeuden maanpuolustuksellisessa tiedustelutarkoituksessa kohdistaa signaalitiedustelua paitsi langattomassa myös kiinteässä verkossa välitettävään, Ruotsin rajat ylittävään viestintään. Viestintävirasto sai tiedon Ruotsin signaalitiedustelua koskevasta lakialoitteesta tammikuussa 2007 ja lähetti 23.2.2007 (Dnro 453/601/2007) suurimmille ja ulkomaan liikennettä merkittävästi välittäville teleyrityksille selvityspyynnön, jossa virasto pyysi teleyrityksiä arvioimaan lakiehdotuksen vaikutuksia viestintäpalvelujen tietoturvallisuuteen. Saatujen vastausten ja teleyritysten kanssa maaliskuussa 2007 käytyjen keskustelujen perusteella Viestintävirasto lähetti 30.3.2007 kaikille teleyrityksille kannanoton sähköisen viestinnän tietosuojalakiin perustuvasta teleyritysten velvollisuudesta huolehtia viestintäpalvelujen tietoturvasta ja tiedottaa asiakkailleen ulkomailla toteutettaviin, suomalaisille asiakkaille tarjottaviin palveluihin kohdistuvista tietoturvauhkista. Viestintäministeri Suvi Lindén määräsi elokuussa 2008 jo aiemmin nimittämänsä Arjen tietoyhteiskunnan neuvottelukunnan tietoturvaryhmän arvioimaan tarvittavia lisätoimia suomalaisten luottamuksellisen viestinnän takaamiseksi. Viestintäviraston tehtäväksi annettiin valmistella kokonaisvaltainen viestinnän salaamista koskeva tiedottamishanke. Asiaa valmisteltiin virastossa yhteistyössä suurimpien teleyritysten kanssa ja hankkeen tuloksena julkaistiin 5.2.2009 viestinnän suojaamista koskeva sivusto (uusin versio saatavilla viraston verkkosivuilla 3 ). Edelleen, Ruotsin lainsäädännön voimaantulon edetessä Viestintävirasto julkaisi 7.5.2009 seuraavan samaan aiheeseen liittyvän kannanoton, jossa mm. todettiin, että asiakkaita pitää tiedottaa potentiaalisista tietoturvauhkista, joita ei pystytä torjumaan. Ficom ry:ltä saatujen tietojen mukaan kaikki sen jäsenyritykset olivat toimittaneet asiakkailleen aihetta koskevan asiakastiedotteen helmikuun 2009 jälkeen.

7 (11) 3 Ohjeet teleyritykselle 3.1 Soveltamisala Palveluntarjoajaa luokitteluperusteena käyttäen ohjeet koskevat: suomalaisen yrityksen ulkomailla toteuttamia viestintäpalveluja 5, millä tarkoitetaan Suomeen sijoittuneen teleyrityksen osin tai kokonaan Suomen ulkopuolella toteuttamaa palvelua. Palvelu toteutetaan joko samaan konserniin kuuluvan tai kokonaan erillisen alihankkijan toimesta. Kysymyksessä voi olla esimerkiksi Suomessa toimivan viestintäpalvelun osatoiminnon keskitetty valvonta. suomalaisen ja ulkomaisen toimijan yhteistyössä toteuttamia viestintäpalveluja, millä tarkoitetaan tilannetta, jossa suomalainen yritys jälleentarjoaa ulkomaisen yrityksen toteuttamaa viestintäpalvelua. Kysymyksessä voi olla esimerkiksi ulkomailla toteutettava sähköposti- tai pikaviestintäpalvelu. Ohje koskee kaikkia viestintäpalveluja paitsi internetyhteyspalvelusta 6 varsinaista tiedonsiirtoa liittymän ja julkisen internetin välillä, koska tämän tiedonsiirtoyhteyden on itsessään tarkoitus mahdollistaa pääsy internetiin ja siellä tarjolla oleviin sisältöpalveluihin. Palvelun vastikkeellisuudella (maksullinen vs. ilmaispalvelu) ei ole merkitystä ohjeen soveltuvuudelle. Arvioinnin kannalta keskeistä on se, voiko Suomen rajojen ulkopuolella toimiva taho saada pääsyn suomalaisen teleyrityksen palveluun tallennettuihin tietoihin tai Suomessa suomalaisten käyttäjien välillä siirrettäviin tietoihin. Teknisestä näkökulmasta tarkasteltuna ohje koskee tilanteita, joissa viestintäpalvelu on toteutettu siten, että sen sisällä siirtyvää tai siihen tallennettua käyttäjien viestintää tai tunnistamistietoja 7 käsitellään Suomen rajojen ulkopuolella. Tällaisena toteutuksena pidetään tilanteita, joissa on ilmeistä, että suomalaisten välinen viestintä Suomessa, siihen liittyvät tunnistamistiedot tai liikenne suomalaiseen palveluun reitittyy palvelun teknisestä tai sopimuksellisesta toteutuksesta johtuen säännönmukaisesti Suomen rajojen ulkopuolelle. 5 Sähköisen viestinnän tietosuojalain (SVTsL, 516/2004) 2.1 :n 6 kohdan mukaan viestintäpalvelulla tarkoitetaan sellaista teleyrityksen toteuttamaa viestien siirtämistä, jakelemista tai tarjolla pitämistä viestintäverkossa, jota tarjotaan etukäteen rajoittamattomalle käyttäjäpiirille. 6 Internetyhteyspalvelulla tarkoitetaan Viestintäviraston määräyksissä viestintäpalvelua, jonka avulla voidaan muodostaa yhteys internetiin ja yhteyden avulla käyttää internetissä tarjolla olevia palveluja. Määritelmä kattaa tiedonsiirron liittymästä julkiseen internetiin ja yhteyden kannalta pakolliset palvelut kuten resolverinimipalvelun ja DHCP-palvelun, mutta ei enää yhteyden päällä käytettäviä palveluja. 7 Sähköisen viestinnän tietosuojalain 2.1 :n 8 kohdan mukaan tunnistamistiedolla tarkoitetaan tilaajaan tai käyttäjään yhdistettävissä olevaa tietoa, jota viestintäverkoissa käsitellään viestien siirtämiseksi, jakelemiseksi tai tarjolla pitämiseksi.

8 (11) Esimerkkejä toteutuksista, joita ohje koskee: Teleyrityksen sähköpostipalvelin sijaitsee ulkomailla tai palvelu on alihankittu ulkomaiselta toimijalta. Teleyritys hankkii veloituksen toteuttamiseksi laskentatietojen eli tunnistamistietoja sisältävien, veloitettavaa tapahtumaan koskevien tietueiden käsittelyä ulkomaiselta toimijalta. Teleyrityksen DHCP- tai autentikointipalvelin (RADIUS) sijaitsee ulkomailla. Ohjeen ulkopuolelle rajautuvat teleyrityksen vaikutuspiirin ulkopuolella olevat tilanteet. On esimerkiksi selvää, että teleyrityksen mahdollisuudet suojata sen viestintäpalvelusta toisen teleyrityksen viestintäpalveluun lähetettävää viestintää ovat rajallisia. Vastaavasti viestintäverkkojen ja palvelujen tavanomaisesta toiminnasta johtuva liikenteen reitittyminen Suomen ulkopuolelle on teleyritysten vaikutuspiirin ulkopuolella. Toisin sanoen, ohjeen soveltamisen ulkopuolelle rajautuvana tilanteena voidaan pitää esimerkiksi liikenteen reitittymistä vikatilanteesta johtuen. Ohjeen ulkopuolelle rajautuvat myös tilanteet, joissa joku viestinnän osapuolista on Suomen ulkopuolella, mistä esimerkkinä voidaan mainita soittaminen ulkomaille (ulkomaiseen puhelinnumeroon), sekä tilanteet, joissa käyttäjä on itse siirtänyt viestintänsä Suomen ulkopuolelle, mistä esimerkkinä voidaan mainita puhelimen käyttäminen ulkomailla. Ohje ei myöskään koske verkkolaitteiden tai niiden sisäisten ohjelmistojen valmistusta tai ylläpitoa eikä viestintäpalvelujen toimivuuden valvontaan tai ylläpitoon käytettäviä ohjelmistoja. Esimerkiksi viestintäpalvelun häiriötilanteen johtuessa ongelmasta jossakin verkkolaitteessa, saatetaan asian korjaamiseen tarvita laitevalmistajan osallistumista. Koska verkkolaitevalmistajat ovat monikansallisia yrityksiä, ei vianselvitystä pystytä kaikissa tilanteissa tekemään pelkästään Suomessa. Vianselvityksessä laitevalmistajille voi päätyä rajatusti lähinnä viestinnän tunnistamistietoja. 3.2 Tietoturvallisen toteuttamisen arviointi Jokaisen viestintä nauttii perustuslaissa turvattua luottamuksellisen viestin suojaa. Suoja voidaan murtaa ainoastaan viestinnän osapuolen suostumuksella tai Suomen laista löytyvällä perusteella. Viestintäsalaisuuden loukkaus on rikoslain mukaan rangaistavaa. Teleyritykset ovat sähköisen viestinnän tietosuojalain mukaan velvollisia huolehtimaan palveluidensa tietoturvasta. Tietoturvalla tarkoitetaan sähköisen viestinnän tietosuojalain 2.1 :n 13 kohdan mukaan muun muassa niitä hallinnollisia ja teknisiä toimia, joilla varmistetaan se, että tiedot ovat ainoastaan niiden käyttöön oikeutettujen saatavilla.

9 (11) Suomen ulkopuolella osittain tai kokonaan toteutettavat viestintäpalvelut altistuvat myös muiden valtioiden pakottavalle lainsäädännölle. Sääntelyssä voidaan velvoittaa tietojen käsittelijä luovuttamaan ne esimerkiksi ulkomaalaiselle viranomaiselle tai tiedusteluorganisaatiolle. Teleyritys ei voi rajoittaa ulkomaalaisen viranomaisen toimintaedellytyksiä esimerkiksi sopimuksiin tehdyin varaumin. Ulkomaisen viranomaisen teleyritykselle tai sen alihankkijalle kohdistama tietopyyntö teleyrityksen asiakkaiden tiedoista ei ole sähköisen viestinnän tietosuojalaissa tarkoitettu hyväksyttävä peruste viestien tai niihin liittyvien tunnistamistietojen käsittelyyn. Asiassa ei ole merkitystä sillä, miten pääsy tietoihin järjestetään. Viestintäpalvelujen toteuttaminen Suomen ulkopuolella voi siten muodostaa viestintäpalveluissa käsiteltäville tiedoille erityisen tietoturvauhkan. Teleyritysten on pyrittävä toteuttamaan palvelunsa siten, että palvelun käyttäjien luottamuksellinen viestintä ja muut tiedot eivät paljastu ulkopuolisille. Sähköisen viestinnän tietosuojalaki antaa kuitenkin teleyrityksille mahdollisuuden suhteuttaa tietoturvasta huolehtimiseksi tehtävät toimet uhkien vakavuuteen, tekniseen kehitystasoon ja kustannuksiin. Teleyrityksellä ei ole mahdollisuuksia arvioida palvelun toteuttamisesta tietyn oikeusjärjestelmän piirissä aiheutuvan uhkan vakavuutta käyttäjän puolesta. Viestintäpalveluun kohdistuva tietoturvauhka voidaan siten hyväksyä esimerkiksi tilanteissa, joissa palvelun toteutustavasta sen tietoturvallisuudelle aiheutuvat uhkat arvioidaan vakavuudeltaan vähäisiksi. Teleyritys on velvollinen arvioimaan yleisellä tasolla, kuinka merkittävä tietoturvauhka viestintäpalvelun toteuttamisesta osittain tai kokonaan Suomen ulkopuolella viestintäpalvelulle aiheutuu. Tyypillisesti tällainen arviointi on osa teleyrityksen sisäistä riskien hallintaa ja se vaikuttaa paitsi yrityksen omaan harkintaan siitä, miten ja missä se palvelunsa toteuttaa, myös siihen, pitääkö toteutuksesta tiedottaa tilaajalle ja käyttäjälle. 3.3 Tiedotusvelvollisuus tilaajalle ja käyttäjälle Viestintäpalvelun toteuttaminen osittain tai kokonaan Suomen ulkopuolella saattaa muodostaa tilaajan tai käyttäjän 8 kannalta viestintäpalvelussa käsiteltäville tiedoille erityisen tietoturvauhkan ja näin ollen siitä on tiedotettava. Teleyritys on velvollinen selvittämään palvelun erilaisia toteutusmahdollisuuksia arvioidessaan siihen mahdollisesti kohdistuvat tietoturvauhkat. Teleyrityksellä ei kuitenkaan ole tosiasiallista mahdollisuutta arvioida uhkan vakavuutta käyttäjän puolesta, sillä se riippuu palvelussa käsiteltävien tietojen luonteesta ja arkaluonteisuudesta. Esimerkiksi yrityssalaisuuksiin ja käyt- 8 Sähköisen viestinnän tietosuojalain 2.1 :n 10 kohdan mukaan tilaajalla tarkoitetaan oikeushenkilöä tai luonnollista henkilöä, joka on tehnyt sopimuksen viestintäpalvelun toimittamisesta. Lain 2.1 :n 12 kohdan mukaan taas käyttäjällä tarkoitetaan luonnollista henkilöä, joka käyttää viestintäpalvelua olematta välttämättä tämän palvelun tilaaja.

10 (11) täjien henkilökohtaiseen viestintään voi kohdistua erityyppisiä uhkakuvia. Jotta tilaaja ja käyttäjä voisivat arvioida omaan viestintäänsä kohdistuvat uhkat ja niiden vakavuuden, on näiden käytettävissä oltava riittävät ja ajantasaiset tiedot palvelun toteutuksesta aiheutuvista mahdollisista uhkista. Jos viestintäpalvelu toteutetaan kokonaan tai osittain ulkomailla eli palvelussa käsiteltäviin tietoihin saatetaan soveltaa kotimaisesta säädännöstä poikkeavaa sääntelyä, teleyrityksen on tiedotettava asiasta tilaajilleen ja käyttäjilleen. Tiedottamisesta tulee vähintään ilmetä käsitelläänkö luottamuksellista viestintää ja tunnistamistietoja vain Suomessa, muualla Euroopan unionin tai Euroopan talousalueella vai myös näiden ulkopuolella. Euroopan talousalueen ulkopuolella tapahtuvasta käsittelystä on suositeltavaa kertoa myös se, missä maassa käsittelyä tarkalleen on. Ohje 1: Teleyrityksen on tiedotettava tilaajille ja käyttäjille, jos viestintäpalvelu toteutetaan kokonaan tai osittain ulkomailla. Tiedotuksessa on vähintään kerrottava, tapahtuuko tietojen käsittelyä vain Suomessa, muualla EU- tai ETAalueella vai näiden ulkopuolella. Suositus 1: Viestintävirasto suosittelee, että Euroopan unionin tai Euroopan talousalueen ulkopuolisesta toteutuksesta kerrotaan myös se maa, missä toteutus tai sen osa sijaitsee. Tiedottaminen voidaan käytännössä toteuttaa lisäämällä teleyrityksen verkkosivuille, kunkin viestintäpalvelun kuvauksen kohdalle tiedot palvelun kansainvälisestä toteutuksesta. Luonnollisesti vastaavat tiedot on oltava saatavilla teleyrityksen muistakin asiakaspalvelukanavista. Oleellista on, että tilaaja tai käyttäjä pystyy arvioimaan uhkan merkittävyyttä valitessaan palveluaan. Ajallisesti edellä kuvatut tiedottamistoimet tulee aloittaa viimeistään 1.1.2015. Ohje 2: Teleyrityksen on aloitettava tämän ohjeen mukainen tiedottaminen viimeistään 1.1.2015. Tässä ohjeessa kuvatun asiakkaiden informointivelvollisuuden lisäksi Viestintävirasto katsoo, että palvelun toteutusmaita kuvaava tieto on myös viestintämarkkinalain (393/2003) 67 :n 3 momentin 2 kohdassa tarkoitettu palvelun ominaisuus, joka on kuvattava asiakkaalle viestintäpalvelusopimuksessa.

11 (11) 3.4 Ilmoittaminen Viestintävirastolle Sähköisen viestinnän tietosuojalain 21 velvoittaa teleyrityksen ilmoittamaan ilman aiheetonta viivästystä Viestintävirastolle verkkopalvelun ja viestintäpalvelun merkittävistä tietoturvaloukkauksista ja sellaisista niihin kohdistuvista tietoturvauhkista, joista teleyritys on tietoinen. Viestintävirasto toteaa, että tässä ohjeessa käsitellyt, ns. pysyväisluontoiset palvelun ulkomailla toteuttamista koskevat tekijät eivät ole sellaisia, että niistä tulisi ilmoittaa erikseen Viestintävirastolle. Tarvittaessa virasto kerää tällaista tietoa erillisillä kyselyillä. Luonnollisesti akuutit tietoturvaloukkaukset tai niiden uhat ovat sellaisia tapahtumia, joita koskee lain ja sitä täydentävän määräyksen 9 D/2009 M 9 ilmoitusvelvollisuudet. Nimenomaisesti henkilötietojen (kuten siis tunnistamistietojen) tietoturvaloukkauksista ilmoittamista koskee komission asetus (EU) 611/2013 10. 9 Määräys 9 D/2009 M tietoturvaloukkausten ilmoitusvelvollisuudesta yleisessä teletoiminnassa (https://www.viestintavirasto.fi/attachments/maaraykset/viestintavirasto09d2009m.pdf) 10 http://eur-lex.europa.eu/lexuriserv/lexuriserv.do?uri=oj:l:2013:173:0002:0008:fi:pdf

Yhteystiedot PL 313 Itämerenkatu 3 A 00181 Helsinki puh: 0295 390 100 fax: 0295 390 270 www.viestintävirasto.fi www.kyberturvallisuuskeskus.fi