FÖRVALTNINGSUTSKOTTETS UTLÅTANDE 9/2004 rd

FvUU 9/2004 rd - RP 125/2003 rd

Granskad version 2.1

Regeringens proposition med förslag till lag om dataskydd vid elektronisk kommunikation och om ändring av vissa till den anslutna lagar

Till kommunikationsutskottet

INLEDNING

Remiss

Riksdagen remitterade den 7 november 2003 en proposition med förslag till lag om dataskydd vid elektronisk kommunikation och om ändring av vissa till den anslutna lagar (RP 125/2003 rd) till kommunikationsutskottet för beredning och bestämde samtidigt att förvaltningsutskottet ska lämna utlåtande till kommunikationsutskottet.

Sakkunniga

Utskottet har hört

konsultativ tjänsteman Juhapekka Ristola, kommunikationsministeriet

lagstiftningsråd Leena Vettenranta, justitieministeriet

lagstiftningsråd Kimmo Hakonen, inrikesministeriet

konsultativ tjänsteman Mikael Kiviniemi, finansministeriet

jurist Miina Ojajärvi, Konsumentverket

direktör Tapani Rantanen, Kommunikationsverket

dataombudsman Reijo Aarnio

datasäkerhetsexpert Sami Koskinen, Tekniska högskolan

sakkunnig Pekka Kopra, Finlands Kommunförbund

avdelningsdirektör Kari Wirman, Elisa Abp

Senior Manager Elise Lepinsalo-Harju, Nokia Abp

utvecklingsdirektör Marja-Liisa Virtanen, TeliaSonera Finland Abp

styrelseledamot, filosofie doktor Kai Puolamäki, Electronic Frontier Finland - EFFI rf

lagstiftningsdirektör Eeva Laatikainen, FiCom rf

projektchef Antti Kotilainen och Internetinspektör Ilkka Vuorenmaa, Upphovsrättens information- och övervakningscentral

professor Olli Mäenpää

professor Kaarlo Tuori

Dessutom har utskottet fått skriftliga utlåtanden från

  • Finnet-förbundet rf
  • Löntagarorganisationen Pardia rf
  • Julkisalan koulutettujen neuvottelujärjestö JUKO ry
  • Statens samorganisation.

PROPOSITIONEN

I propositionen föreslås att en ny lag om dataskydd vid elektronisk kommunikation stiftas och att vissa andra lagar ändras. Genom den föreslagna lagen upphävs lagen om integritetsskydd vid telekommunikation och dataskydd inom televerksamhet och med stöd av denna lag utfärdade förordningar. Genom den föreslagna lagen genomförs Europaparlamentets och rådets direktiv om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation samt artikel 10 i Europaparlamentets och rådets direktiv om distansförsäljning av finansiella tjänster till konsumenter.

Genom propositionen genomförs en totalreform av integritetsskyddet vid elektronisk kommunikation. Propositionens syfte är att trygga konfidentialitet och integritetsskydd vid elektronisk kommunikation samt att befrämja dataskydd vid sådan kommunikation och en balanserad utveckling av varierade elektroniska kommunikationstjänster.

Propositionen eftersträvar att precisera och klargöra bestämmelserna om behandlingen av identifieringstjänster, med bibehållande av de centrala principerna i gällande lag om dataskydd inom televerksamhet. I propositionen föreslås att rättigheterna och förpliktelserna vid behandling av identifieringsuppgifter också ska gälla sammanslutningsabonnenter, varmed avses en sammanslutning som är abonnent på kommunikations- och mervärdestjänster och som i sitt kommunikationsnät behandlar användarnas konfidentiella meddelanden samt identifierings- och lokaliseringsuppgifter om dem. Preciseringen av sammanslutningsabonnenternas ställning reducerar inte juridiska personers rättigheter som kommunikationsparter. Dessutom föreslås att ett teleföretag under två års tid ska lagra detaljerade uppgifter om behandlingen av identifieringsuppgifter.

Propositionen får nya bestämmelser om registrering på användarens terminalutrustning av cookies eller andra uppgifter om användningen av tjänster samt om användningen av dessa uppgifter.

I propositionen föreslås nya bestämmelser om behandlingen av lokaliseringsuppgifter. Användaren ska ha möjlighet att förbjuda att lokaliseringsuppgifter behandlas för tjänster som är baserade på lokaliseringsuppgifter som kan förknippas med en abonnent eller användare. Dessutom ska samtycke per tjänst till behandlingen av lokaliseringsuppgifter inhämtas av den som ska lokaliseras.

Enligt propositionen ska ett teleföretag, den som tillhandahåller mervärdestjänster eller en sammanslutningsabonnent ha rätt att under vissa förutsättningar vidta nödvändiga åtgärder för att avvärja kränkningar och eliminera störningar av dataskydd och för att säkra dataskydd genom att hindra mottagandet av elektronisk post, textmeddelanden och andra motsvarande meddelanden, genom att avlägsna skadliga program ur kommunikationerna samt genom att vidta andra nödvändiga åtgärder.

Enligt propositionen ska ett teleföretag på begäran av användaren ge en detaljerad specifikation av en räkning.

I propositionen föreslås att flera bestämmelser om direktmarknadsföring ska preciseras. Samtidigt föreslås att ett teleföretag och en sammanslutningsabonnent med användarens samtycke ska ha rätt att hindra mottagandet av oönskad direktmarknadsföring.

Användaren ska få rätt att av ett teleföretag få sådana identifieringsuppgifter om anslutningen eller terminalutrustningen som anger dess position vid en viss tidpunkt.

I propositionen föreslås att teleföretag som utövar sin verksamhet med stöd av anmälan eller koncession ska vara skyldiga att till Kommunikationsverket betala en årlig dataskyddsavgift.

I propositionen föreslås att den som tillhandahåller informationssamhällets tjänster ska kunna behandla identifieringsuppgifter som är nödvändiga för att fakturera bild- och ljudinspelningar och sina andra avgiftsbelagda tjänster, som förmedlats genom av ett teleföretag administrerat kommunikationsnät, samt andra för faktureringen nödvändiga uppgifter, om den abonnent eller användare som uppgifterna gäller har gett sitt samtycke. Enligt den föreslagna bestämmelsen har den som tillhandahåller informationssamhällets tjänster rätt att av teleföretaget få ovannämnda uppgifter. Bestämmelserna om den som tillhandahåller mervärdestjänster ska tilllämpas på behandlingen av uppgifterna.

Det föreslås att polislagens paragraf om rätten att få uppgifter kompletteras. I tillägg till de nuvarande hemliga telefonnumren ska polisen ha rätt att av teleföretag och sammanslutningsabonnenter få uppgifter som individualiserar terminalutrustning och anslutningar, om uppgifterna i enskilda fall behövs för att polisen ska kunna fullgöra sina uppgifter.

I propositionen föreslås att de författningstekniska ändringar ska göras i strafflagen, kommunikationsmarknadslagen, lagen om nödcentraler, lagen om kommunikationsförvaltningen, sjöräddningslagen och lagen om behandling av personuppgifter i polisens verksamhet som namnet på den föreslagna lagen kräver.

De föreslagna lagarna avses träda i kraft snarast möjligt efter att de har blivit godkända och stadfästa.

UTSKOTTETS ÖVERVÄGANDEN

Motivering

Målen med propositionen

Propositionen avser att modernisera lagstiftningen om elektronisk kommunikation och nationellt genomföra direktivet om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (2002/58/EG). Inom sektorn för elektronisk kommunikation tillämpas också det allmänna direktivet om behandling av personuppgifter (95/46/EG) på behandlingen av personuppgifter. På det nationella planet tillämpas dels den föreslagna lagen om dataskydd vid elektronisk kommunikation, dels personuppgiftslagen ().

Den föreslagna lagen om dataskydd vid elektronisk kommunikation har ett mycket aktuellt och viktigt mål i att höja det allmänna förtroendet för elektronisk kommunikation, i synnerhet för skyddet för konfidentiella meddelanden, och i att förbättra datasäkerheten och minska missbruket av elektronisk kommunikation.

Svårbegriplig

De största problemen med den föreslagna lagen om dataskydd vid elektronisk kommunikation har att göra med att texten är så svårbegriplig. Normerna i lagförslaget är svåra att gestalta på grund av den komplicerade språkdräkten, de lagsystematiska lösningarna, men också till följd av själva sakens komplicerade natur. Propositionen reglerar frågor som är av stor betydelse för breda befolkningsgrupper i dagens informationssamhälle. Dessutom bör man komma ihåg att befogenheterna i lagförslaget utövas av många andra aktörer än myndigheterna, också anställda vid teleföretag och sammanslutningsabonnenter. Befogenheterna är nära kopplade till grundlagsskyddet för privatlivet, hemligheten i fråga om förtroliga meddelanden och yttrandefriheten.

Utskottet påpekar att man bör vara extra noga med definitionen på begreppen i lagtexten, särskilt som orden ännu inte har fått spridning i allmänspråket.

De språkliga problemen beror åtminstone delvis på att lagförslaget införlivar direktivet med vår nationella lagstiftning. Det är en sak som medför två problem som måste uppmärksammas i ett större perspektiv. I vissa fall genomförs direktivet bara med en allmän hänvisning till direktivet i den nationella lagstiftningen. På andra ställen har direktivet artikel för artikel översatts till finska eller svenska utan att bestämmelserna har anpassats till systematiken i vårt rättssystem eller traditionerna för utformning och systematik i lagtexter. Ändå tillåter direktiven — och i själva verket är det avsikten med dem — att särdragen i det nationella rättssystemet beaktas i lagtexten förutsatt att normerna i direktiven införlivas i medlemsstaternas lagstiftning. Förvaltningsutskottet föreslår att kommunikationsutskottet uppmärksammar problemet i ett uttalande.

Administrativa konsekvenser

Förslaget till lag om dataskydd vid elektronisk kommunikation har inga direkta administrativa konsekvenser. Lagen främjar och säkerställer elektronisk kommunikation inom förvaltningen. Enligt motiven till propositionen kan en ökande elektronisk kommunikation dämpa behovet av nyanställningar inom den offentliga förvaltningen.

Den föreslagna lagen koncentrerar sig i hög grad på relationerna mellan teleföretag och deras kunder. Därför berörs inte förvaltningsmyndigheter direkt av bestämmelserna. Den elektroniska kommunikationen är till stor del koncentrerad till kommunikationsmarknaden och utgår från företagsverksamhet hos privata teleföretag och tjänstetillhandahållare. Därför är det naturligt att lagen nästan inte alls talar om myndigheternas befogenheter, utan bara om myndigheternas övervakningsåtaganden. De viktigaste befogenheterna tillskrivs privata teleföretag, till exempel åtgärder inom dataskyddet.

Kommunikationsverket kommer att spela en viktig roll i tillsynen över lagen om dataskydd vid elektronisk kommunikation. Dessutom får dataombudsmannen nya övervakningsuppgifter. Dessa indirekta administrativa effekter av den nya lagen är befogade. Med hänvisning till sitt ansvarsområde anser utskottet det viktigt att dataombudsmannen får adekvata resurser för sina uppgifter.

Kunderna och deras rättssäkerhet

Lagförslaget tar mycket lite hänsyn till rättigheter och rättssäkerhet för teleföretagens kunder, inte minst när ett teleföretag med stöd av 20 § i den föreslagna lagen om dataskydd vid elektronisk kommunikation utövar sina befogenheter för att avvärja kränkningar av och störningar i dataskyddet.

Lagförslaget ger inte kunderna någon möjlighet att bestrida de mycket stränga begränsningarna i deras meddelanden och kan inte hänskjuta förfarandet till domstol, åtminstone inte på ett snabbt och smidigt sätt. Ett företag behöver inte ens meddela kunden att meddelanden stoppas eller att innehållet i inkommande meddelanden granskas. Detta medför extra stora problem för företag eftersom de i betydande omfattning är beroende av att till exempel e-posten fungerar friktionsfritt. Det är sannolikt att Kommunikationsverkets och dataombudsmannens tillsynsuppgifter inte ger kunderna fullgod rättssäkerhet. Lagen måste dessutom ange reglerna för ersättning till kunden för direkta skador.

Direktmarknadsföring

För direktmarknadsföring som vänder sig till fysiska personer med hjälp av elektronisk kommunikation krävs det samtycke från mottagaren med stöd av 26 § 1 mom. i den föreslagna lagen. På den punkten vill utskottet understryka att direktmarknadsföring inte får leda till att personen av misstag eller oavsiktligt lämnar sitt samtycke.

Med stöd av 27 § 1 mom. får direktmarknadsföring rikta sig till sammanslutningar om det inte explicit är förbjudet. I 2 mom. föreskrivs att företag lätt och avgiftsfritt ska kunna förbjuda elektronisk direktmarknadsföring. Enligt uppgifter till utskottet är bakgrunden till bestämmelsen att samma villkor ska gälla för direktmarknadsförare i Finland som för direktmarknadsförare i andra EU-länder.

Bestämmelserna förtydligas nu, framhåller utskottet, och det går inte längre att skicka elektronisk direktreklam till alla adresser, utan bara till personer som på grund av sin ställningsfullmakt kan antas svara för inköp av den aktuella produkten eller tjänsten.

Myndigheters rätt att få uppgifter

I 36 § finns bestämmelser om vissa andra myndigheters än styr- och övervakningsmyndigheternas rätt att få uppgifter. I 2 mom. 2 punkten nämns bara rätt att få uppgifter på grundval av samtycke från abonnenten. Det händer att abonnemangskortet byts ut i mobilterminaler vid stöld. Då kan ägaren till terminalutrustningen sannolikt inte längre betraktas som abonnent. Förvaltningsutskottet föreslår att lagrummet ändras enligt följande: "med (utesl.) samtycke från abonnenten eller ägaren till terminalutrustningen identifieringsuppgifter om de meddelanden som sänts från en mobilteleapparat till den del detta är nödvändigt för att utreda brott på grund av vilket mobilteleapparaten eller dess anslutning orättmätigt har kommit i någon annans besittning".

Registrering av identifieringsuppgifter

När direktivet om integritet och elektronisk kommunikation var under arbete lyfte tillsynsmyndigheterna fram förvaringstiderna för identifieringsuppgifter. Det blev dock en fråga som medlemsstaterna reglerar på nationell nivå. Rådet för rättsliga och inrikes frågor har senare uppmanat kommissionen att lägga fram förslag som syftar till att säkerställa att tillsynsmyndigheterna har möjligheter att utreda brott där elektronisk kommunikation är inblandad och att vidta åtgärder mot förövarna.

Förslaget till lag om dataskydd vid elektronisk kommunikation innefattar inga allmänna bestämmelser om skyldighet att lagra identifieringsuppgifter vid elektronisk kommunikation. När propositionen var under arbete kom frågan upp med avseende på prevention av grova brott och utredning av sådana brott i efterhand. Som exempel nämndes spridning av barnpornografi och rasistiskt material samt terroristbrott. Kommunikationsministeriet har tillsatt (9.2.2004) en arbetsgrupp för att utvärdera lagring av identifieringsuppgifter vid elektronisk kommunikation. Syftet är att arbetsgruppen ska ta fram regler som bland annat tar hänsyn till säkerhetsmyndigheternas behov dels vid utredning och prevention av brott, dels med avseende på den nationella säkerheten.

Trots att propositionen inte innehåller någon generell skyldighet att lagra identifieringsuppgifter kan teleföretag, tillhandahållare av mervärdestjänster och sammanslutningsabonnenter registrera identifieringsuppgifter för de syften som anges i den föreslagna lagen, till exempel för att utreda missbruk och möjliggöra fakturering. I själva verket har teleföretagen i de flesta fall haft identifieringsuppgifter som polisen har behövt utan att de haft någon särskild skyldighet att registrera uppgifterna. I vilket fall som helst är det befogat att ta in bestämmelser i lag utifrån en fristående beredning.

Uppgifter för att specificera terminalutrustning eller abonnemang

I propositionen ingår också ett förslag till ändring av polislagen (). Enligt ändringen har polisen rätt att av både teleföretag och sammanslutningsabonnenter få uppgifter som specificerar en terminalutrustning eller en anslutning, om uppgifterna i enskilda fall behövs för att polisen ska kunna utföra sitt arbete. En terminalutrustning kan bestå av till exempel en fast telefon, mobiltelefon eller dator.

Den föreslagna ändringen av polislagen är både nödvändig och motiverad. Ett problem i dagsläget är att polisen med stöd av 36 § 2 mom. i polislagen inte har rätt att få information om s.k. dynamiska IP-adresser för enskilda abonnemang eller om innehavarna. När polislagen ändras blir reglerna tydligare och polisen får rätt att inhämta information om telefonabonnemang och om innehavare av statiska och dynamiska IP-adresser. Dessutom har polisen rätt att få information om IMEI-koderna till terminalutrustning. För att undgå polisens teleövervakning använder brottslingar telefonabonnemang där numret och specificeringsuppgifterna inte är fritt tillgängliga. Ett exempel är s.k. prepaidabonnemang som är betalda i förväg och som inte registreras i Finland. Med hjälp av IMEI-koden kan terminalutrustning specificeras.

Utskottet påpekar att 36 § 2 mom. i den föreslagna polislagen inte ger polisen rätt att utöva teleövervakning trots att identifieringsuppgifter måste behandlas när en abonnent eller en användare av ett abonnemang eller terminalutrustning utreds. Den föreslagna ändringen av polislagen underlättar trots allt möjligheterna att inrikta en ansökan enligt tvångsmedellagen () bara på den terminalutrustning som misstänks bli använd i brottslig verksamhet. Utifrån de specificerade uppgifterna kan polisen i förekommande fall till exempel anhålla om rätt att tillämpa teleavlyssning hos domstol. Uppgifterna kan också användas för att nå personer, särskilt vid efterspaningar av försvunna personer eller offer vid olyckor.

Utlåtande

Förvaltningsutskottet anför

att kommunikationsutskottet bör beakta det som sägs ovan.

Helsingfors den 5 maj 2004

I den avgörande behandlingen deltog

  • ordf. Matti Väistö /cent
  • vordf. Veijo Puhjo /vänst
  • medl. Sirpa Asko-Seljavaara /saml
  • Nils-Anders Granvik /sv
  • Lasse Hautala /cent
  • Hannu Hoskonen /cent
  • Esko Kurvinen /saml
  • Kari Kärkkäinen /kd
  • Rosa Meriläinen /gröna
  • Heli Paasio /sd
  • Juha Rehula /cent
  • Satu Taiveaho /sd
  • Tapani Tölli /cent
  • Ahti Vielma /saml

Sekreterare var

utskottsråd Ossi Lantto