LiVM 18/2016 vp HE 74/2016 vp

Esityksen tavoitteena on osaltaan edistää hallituksen kärkihankkeisiin kuuluvaa digitaalisen liiketoiminnan kasvuympäristön rakentamista sekä sujuvoittaa säädöksiä.

Esityksessä ehdotetaan muutettavaksi vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annettua lakia. Muutokset johtuvat pääosin sähköisestä tunnistamisesta sekä sähköisistä luottamuspalveluista, kuten sähköisestä allekirjoituksesta, annetusta EU:n lainsäädännöstä.

Esityksen mukaan Viestintäviraston tehtävänä olisi valvoa sähköistä tunnistamista ja luottamuspalveluja koskevan Euroopan unionin lainsäädännön noudattamista. Suomessa toimivilta vahvan sähköisen tunnistamisen järjestelmiltä vaadittaisiin vähintään samat luotettavuutta ja tietoturvaa koskevat vaatimukset kuin, mitä Euroopan unionin lainsäädännössä vaaditaan unionin rajat ylittäviltä sähköisen tunnistamisen järjestelmiltä korotetulla varmuustasolla. Uutena vaatimuksena sähköisten tunnistuspalvelujen tarjoajille lisättäisiin velvoite osoittaa palvelujensa vaatimuksenmukaisuus.

Viestintäviraston ja Väestörekisterikeskuksen tehtävänä olisi toteuttaa ne toimenpiteet Suomessa, joita Euroopan unionin sähköisen tunnistamisen yhteentoimivuusjärjestelmä edellyttää. Sähköisen tunnistamisen luottamusverkostossa toimivat tunnistusvälineen tarjoajat ja tunnistusvälityspalvelun tarjoajat määriteltäisiin ja voimassa olevan lain eri toimijoita koskevia velvoitteita tarkennettaisiin. Suomessa tai muussa Euroopan talousalueeseen kuuluvassa valtiossa myönnetyn pelkän ajokortin perusteella ei enää voisi myöntää vahvaa sähköistä tunnistusvälinettä vuoden 2019 alusta lukien. Lain nimike muutettaisiin samalla sen sisältöä paremmin vastaavaksi.

Muualla laissa olevat viittaukset vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annettuun lakiin muutettaisiin viittauksiksi vahvasta sähköisestä tunnistamisesta ja luottamuspalveluista annettuun lakiin tai sähköisestä tunnistamisesta ja luottamuspalveluista annettuun EU:n asetukseen.

Lisäksi esityksessä ehdotetaan muutettaviksi sähköisestä asioinnista viranomaistoiminnassa annettua lakia, viestintähallinnosta annettua lakia, maakaarta, rahanpesun ja terrorismin rahoittamisen estämisestä ja selvittämisestä annettua lakia, väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annettua lakia, sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annettua lakia, verotusmenettelystä annettua lakia, varainsiirtoverolakia, ennakkoperintälakia, veripalvelulakia, arvonlisäverolakia, verotililakia, rakennusten energiatodistustietojärjestelmästä annettua lakia sekä valmisteverolakia. Nämä muutokset ovat pääasiassa lakiviittauksia koskevia ja muita teknisiä muutoksia.

Lait on tarkoitettu tulemaan voimaan 1 päivänä heinäkuuta 2016.

Sähköisen tunnistamisen ja sähköisen allekirjoituksen palvelut antavat osaltaan kansalaisille mahdollisuuden käyttää sähköisiä palveluja. Julkiset ja kaupalliset sähköiset palvelut, joissa tarvitaan henkilön vahvaa tunnistamista lisääntyvät. Suomessa vahvan sähköisen tunnistamisen ja sähköisen allekirjoituksen varmennepalvelujen tarjoamista ja laatua säännellään lailla.

Sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annettiin Euroopan parlamentin ja neuvoston asetus (EU) N:o 910/2014 (jäljempänä sähköisestä tunnistamisesta ja luottamuspalveluista annettu EU:n asetus tai eIDAS-asetus). Tässä asetuksessa perustettiin sähköisen tunnistamisen yhteentoimivuusjärjestelmä, jonka tavoitteena on mahdollistaa tulevaisuudessa se, että toisessa jäsenvaltiossa myönnetyillä sähköisillä tunnistamisvälineillä voidaan tunnistautua toisen jäsenvaltioiden julkisiin tai yksityisiin sähköistä tunnistamista vaativiin palveluihin. EU:n laajuinen sähköisen tunnistamisen yhteentoimivuusjärjestelmä on edellyttänyt EU:n tasolla sähköisen tunnistamisen yhteisten varmuustasojen määrittelyn. Asetuksen mukaan julkisen hallinnon on hyväksyttävä sähköisten palveluidensa käytössä myös varmuustasoltaan vastaavien toisen jäsenvaltion tunnistamisvälineiden käyttö syksystä 2018 lukien. Tästä seuraa toimeenpano- ja valvontatehtäviä suomalaisille viranomaisille, joista ehdotetaan säädettäväksi tällä hallituksen esityksellä.

EU:n asetus sähköisestä tunnistamisesta ja luottamuspalveluista tulee voimaan portaittain. Kesällä 2016 tulevat voimaan jäsenvaltioissa suoraan sovellettavat säännökset luottamuspalveluista kuten sähköisestä allekirjoituksesta ja sähköisistä leimoista. EU:n asetuksen tarkoituksena on yhdenmukaistaa luottamuspalveluita koskevat säännökset EU:ssa. Tästä johtuvat muutokset kansalliseen lainsäädäntöön ehdotetaan tehtäväksi tällä hallituksen esityksellä.

Eurooppalaisten muutosten lisäksi myös sähköisen tunnistamisen kansallisia markkinoita muuttavat vuoden 2015 eduskunnan hyväksymät säännökset vahvan sähköisen tunnistamisen luottamusverkostosta. Luottamusverkostossa toimivat kahdenlaiset toimijat: tunnistusvälineiden tarjoajat ja tunnistusvälityspalvelun tarjoajat. Eri toimijoiden velvollisuuksia ehdotetaan täsmennettäväksi tällä hallituksen esityksellä.

Nykyisin vahvoja sähköisiä tunnistusvälineitä hyödyntävät sähköisissä palveluissaan pääasiassa kolme palvelusektoria: pankki- ja vakuutuspalvelut, julkisen hallinnon palvelut sekä muut yksityiset palvelut. Tunnistamistapahtumien määrällä mitattuna merkittävimmät ovat pankki- ja vakuutussektorin sekä julkisen hallinnon tarjoamat sähköiset palvelut. Tulevaisuudessa on odotettavissa, että sähköisen tunnistamisen käyttö lisääntyy julkisen hallinnon palveluissa ja verkkokaupankäynnissä.

Vahvoja sähköisiä tunnistuspalveluita tuottavat tällä hetkellä pankit, matkaviestinyritykset ja Väestörekisterikeskus. Vahvan sähköisen tunnistamisen toimijoiden toimintaa valvoo Viestintävirasto, joka myös vastaa vahvaa sähköistä tunnistamista tarjoavien toimijoiden rekisteröinnistä.

Pankkitunnisteilla on merkittävin markkinaosuus käyttäjä- ja tapahtumamäärissä yleisölle tarjottavissa tunnistamisvälineissä. Matkaviestinyritysten tarjoama mobiilivarmenne ja Väestörekisterikeskuksen tarjoama henkilökorttiin liitetty kansalaisvarmenne eivät ole saavuttaneet kansalaisille tarjottavien sähköisen tunnistamisen palvelujen markkinoilla merkittävää markkina-asemaa. Mobiilivarmenteella on mahdollista asioida suuressa osassa tarjolla olevissa sähköisissä palveluissa, mutta ei yleensä pankkipalveluissa.

Vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain (617/2009, jäljempänä myös tunnistuslaki) valmistelun aikana arvioitiin, että laissa säädetyt puitteet riittäisivät markkinoiden vahvistumiseen ja helpottaisivat uusien toimijoiden tuloa markkinoille. Näin ei kuitenkaan tapahtunut. Vahvaa sähköistä tunnistamista voitaisiin vielä laajemmin käyttää erilaisissa palveluissa sekä yksityisellä että julkisella sektorilla. Edellä mainituista syistä eduskunta hyväksyi tunnistuslakiin vuoden 2015 alusta säännökset sähköisen tunnistamisen luottamusverkostosta (HE 272/2014 vp). Lakiin otetuilla 12 a §:n säännöksillä luodaan mahdollisuudet laajamittaisen luottamusverkoston syntymiseen.

Sosiaali- ja terveydenhuoltoon on tulossa lähivuosina runsaasti uusia sähköisiä asiointipalveluita, joissa tarvitaan vahvaa sähköistä tunnistamista. Sosiaali- ja terveyssektorilla käsitellään usein salassa pidettäväksi luokiteltavia henkilöiden terveyteen tai toimeentuloon liittyviä tietoja, mikä edellyttää käyttäjien ja tietoja käsittelevien henkilöiden vahvaa sähköistä tunnistamista. Tämä edellyttää eri toimijoilta tehokasta tapaa tunnistaa asiakas eri palveluissa.

Sähköistä tunnistamista hyödynnetään runsaasti sähköisessä asioinnissa kuten verkkokaupoissa, erilaisilla keskustelupalstoilla ja muissa sosiaalisen median palveluissa. Näissä käytetään yleisesti heikkoa sähköistä tunnistamista, jossa käyttäjän tunnistaminen perustuu esimerkiksi käyttäjätunnukseen ja salasanaan sekä käyttäjän itse antamiin henkilötietoihin.

Useimpiin julkisen sektorin tuottamiin sähköisiin asiointipalveluihin on mahdollista tunnistautua kaikilla Viestintävirastolle ilmoittautuneiden vahvan sähköisen tunnistuspalvelun tarjoajien tunnistusvälineillä. Osa julkisen hallinnon palveluista ei kuitenkaan hyväksy kaikkia tunnistusvälineitä esimerkiksi niiden käyttöön liittyvien kustannusten tai hankalien sopimusrakenteiden vuoksi.

Julkisella sektorilla on käytössä tällä hetkellä kaksi tunnistuksen ohjauspalvelua (Vetuma ja tunnistus.fi), jotka tarjoavat yhden teknisen rajapinnan kautta kaikki Viestintäviraston hyväksymät tunnistuspalveluiden tarjoajat julkisten palveluiden käytettäväksi. Osana kansallista palveluarkkitehtuuriohjelmaa valmistellaan julkisen hallinnon yhteistä tunnistuksenohjauspalvelun toteutusta, mikä tulee siirtymäajan puitteissa korvaamaan ensin tunnistus.fi palvelun ja myöhemmin Vetuma palvelun. Tämä uusi tunnistuksen ohjauspalvelu liitetään vuosien 2015 - 2017 aikana kehitettävään kansalliseen rooli- ja valtuutuspalveluun.

Sähköistä allekirjoitusta tarjoaa Suomessa useampi toimija. Käytännössä yleisimpiä sähköisiä allekirjoituksia ovat tunnistusvälineiden avulla tehdyt sähköiset allekirjoitukset. Tyypillinen sähköinen allekirjoitus tapahtuu niin, että se perustuu allekirjoittajan vahvaan sähköiseen tunnistamiseen (esim. pankkitunnukset). Asiakas hyväksyy dokumentin esimerkiksi pankkitunnuksillaan, minkä jälkeen allekirjoitetun dokumentin eheys varmennetaan. Tällaisia sähköisen allekirjoituksen tarjoajia Suomessa ovat esimerkiksi Signicat ja Suomen Onlineallekirjoitus Oy (Onnistuu.fi).

Tunnistuslaissa määriteltyä sähköisen allekirjoituksen laatuvarmennetta tarjoaa tällä hetkellä Suomessa ainoana Väestörekisterikeskus. Väestörekisterikeskuksen sähköisen allekirjoituksen laatuvarmenne sisältyy kansalaisille myönnettävään henkilökorttiin ja Väestörekisterikeskuksen myöntämään organisaatiokorttiin.

Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista tuli voimaan 1 päivänä syyskuuta 2009. Laissa määritellään vaatimukset, joita yleisesti tarjottavalta vahvalta sähköiseltä tunnistamiselta Suomessa edellytetään. Laissa ja sen nojalla annetuissa määräyksissä on vaatimuksia liittyen tarjoajan luotettavuuteen sekä palvelun tekniikkaan, luotettavuuteen ja tietoturvaan. Vahvan sähköisen tunnistuspalvelun tarjonta on ilmoituksenvaraista. Palveluntarjoajan tulee ilmoittautua Viestintävirastolle. Toimijan on sisällytettävä ilmoitukseensa tiedot siitä, miten toimija täyttää lain vaatimukset. Viestintävirasto pitää rekisteriä ilmoituksen tehneistä toimijoista. Jos toimija ei täytä lain vaatimuksia, Viestintävirasto voi kieltää toimijaa tarjoamasta vahvan sähköisen tunnistamisen palveluja.

Vuoden 2015 alusta tunnistuslakiin lisättiin säännökset tunnistuspalveluntarjoajien luottamusverkostosta (12 a §) sekä säännös siitä, että olemassa olevan vahvan sähköisen tunnistusvälineen avulla on voitava hakea vastaavan tasoista sähköistä tunnistusvälinettä (ensitunnistamisen ketjuttaminen, 17 § 4 momentti). Lisäksi säädettiin siitä, että tunnistuspalvelun tarjoajan ja sähköisiä allekirjoituksia tarjoavan toimijan tulee aina vaatia henkilötunnus henkilön tunnistamiseksi ja tarkistaa tiedot väestötietojärjestelmästä. Luottamusverkostoa koskevia säännöksiä sovelletaan 1 päivästä toukokuuta 2017. Parhaillaan valmistellaan luottamusverkoston käytännön toimintaan liittyviä säännöksiä ja verkoston toimintaan ja sopimusrakenteeseen liittyviä käytännesääntöjä.

Väestörekisterikeskuksen tuottamia tunnistuspalveluita säännellään vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain lisäksi laissa väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista (661/2009).

Vahvan sähköisen tunnistamisen lainsäädäntövastuu jakaantuu liikenne- ja viestintäministeriön ja valtiovarainministeriön välille. Liikenne- ja viestintäministeriö vastaa sähköisen tunnistamisen yleisestä lainsäädännöstä ja valtiovarainministeriö Väestörekisterikeskusta koskevasta lainsäädännöstä sekä sähköisen tunnistamisen käytön ohjauksesta julkisessa hallinnossa. Vahvan tunnistamisen toimijoiden toimintaa valvoo Viestintävirasto.

Vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain lisäksi myös muut lait vaikuttavat vahvaan sähköiseen tunnistamiseen ja sähköisiin allekirjoituksiin. Tällaisia lakeja ovat erityisesti laki sähköisestä asioinnista viranomaistoiminnassa (13/2003), väestötietojärjestelmää ja Väestörekisterikeskuksen tarjoamia varmennepalveluita koskeva lainsäädäntö (661/2009) sekä henkilötietolaki (523/1999).

Yksityisten toimijoiden rooli virallisen sähköisen henkilöllisyyden myöntämisessä perustuu siihen, että tunnistamismarkkinoilla liiketaloudellisten palvelujen luonne on katsottu olevan (PeVL 16/2009) siinä määrin etääntynyt julkiseen hallintotehtävään liitettävistä ominaispiirteistä, että toimintaa ei ole pidettävä merkittävänä julkisena hallintotehtävänä, vaikka vahvan sähköisen tunnistamisen välineillä ja varmennetoiminnalla sinänsä onkin merkitystä erilaisissa oikeustoimissa. Samanlaiseen ratkaisuun on päädytty esimerkiksi myös Ruotsissa. Voimakkaasti markkinaehtoisten toimijoiden varaan rakentuvalla sähköisellä tunnistamisella pyritään myös teknologianeutraaliin tunnistuspalveluiden kehittymiseen.

Vahvaa sähköistä tunnistusvälinettä haettaessa tehdään käyttäjän henkilöllisyyden todentaminen, jonka perusteella hakijalle voidaan myöntää tunnistusväline, johon liitetään vähintään sellaiset henkilön yksilöivät tunnistetiedot, joilla käyttäjän henkilöllisyys voidaan sähköisesti todentaa. Jotta vahvan sähköisen tunnistusvälineen tarjoaja voi myöntää tunnistamisvälineen, väestötietojärjestelmästä on löydyttävä suomalainen henkilötunnus ja hakijalla on oltava Euroopan talousalueen jäsenvaltion, Sveitsin tai San Marinon viranomaisen myöntämä passi tai henkilökortti. Jos tunnistuspalvelun tarjoaja haluaa, se on voinut myöntää tunnistusvälineen hakijalle tunnistamalla tämän myös Euroopan talousalueen jäsenvaltion viranomaisen 1 päivän lokakuuta 1990 jälkeen myöntämän voimassa olevan ajokortin tai muun valtion viranomaisen myöntämän voimassa olevan passin perusteella. Jos tunnistusvälineen hakijan henkilöllisyyttä ei voida luotettavasti todentaa, hakemukseen liittyvän ensitunnistamisen tekee poliisi. Poliisin tekemä ensitunnistaminen on maksullinen palvelu tunnistusvälineen hakijalle.

Vuoden 2016 alussa voimaan tulleiden säännösten mukaan tunnistusvälineen tarjoaja voi myös myöntää tunnistusvälineen henkilöllä jo olevan aikaisemman vahvan sähköisen tunnistusvälineen perusteella. Aikaisemmin tämä on ollut mahdollista vain sopimuksen perusteella kahden toimijan välillä. Jatkossa tunnistusvälineitä voi ketjuttaa vapaasti.

Tunnistusvälineen myöntämisperusteena on siis henkilötietojen löytyminen väestötietojärjestelmästä. Tämän tarkoituksena on varmistaa tunnistusvälineeseen liitettävä henkilön yksilöivä tieto. Tällainen henkilön yksilöivä tieto on väestötietojärjestelmään tallennettu henkilötunnus tai sähköinen asiointitunnus, joiden tietojen ylläpidosta vastaa viranomainen. Väestörekisterikeskuksen varmennepalveluista annetun lain 7 §:ssä säädetään väestötietojärjestelmään tallennettavista rekisteröinnin kohteista ja lain 9 §:ssä ulkomaan kansalaisen rekisteröinnin edellytyksistä. Ulkomaan kansalaiselle voidaan antaa henkilötunnus ja tallentaa henkilötiedot väestötietojärjestelmään, vaikka henkilöllä ei ole esittää passia tai muuta henkilöllisyyttä luotettavasti osoittavaa asiakirjaa.

Suomessa asuvien ihmisten yleisimmin käyttämät vahvat sähköiset tunnistamisvälineet ovat pankkien tarjoamat tunnistamisvälineet. Myös matkaviestinyritysten tarjoamat ns. mobiilitunnisteet ovat yleistyneet viime aikoina, mutta matkaviestinyritysten ja Väestörekisterikeskuksen tarjoama henkilökorttiin liitetty kansalaisvarmenne eivät ole saavuttaneet kansalaisille tarjottavien sähköisten tunnistamisvälineiden markkinoilla merkittävää markkina-asemaa. Tunnistusvälineiden yleinen saatavuus on ihmisten tasa-arvon kannalta tärkeää yksityisten ja julkisten palveluiden siirtyessä yhä enemmän sähköisiksi. Edellä mainitut sähköiset tunnistamisvälineet ovat käyttäjälle maksullisia ja liittyvät usein, mutta eivät välttämättä, muihin palveluihin (pankkipalvelut tai matkaviestinliittymä). Esimerkiksi ainakin yksi pankki ja eräät matkaviestinyritykset tarjoavat maksullista tunnistusvälinettä myös henkilöille, joilla ei ole muuta asiakassuhdetta pankin tai matkaviestinyrityksen kanssa.

Tunnistuslaki sisältää myös säännökset sähköisestä allekirjoituksesta. Säännökset perustuvat Euroopan parlamentin ja neuvoston direktiiviin sähköisiä allekirjoituksia koskevista yhteisön puitteista 1999/93/EY. Sähköisestä tunnistamisesta ja luottamuspalveluista annettu EU:n asetus eli eIDAS-asetus kumoaa kyseisen direktiivin 1 päivästä heinäkuuta 2016, jolloin direktiivin korvaavat eIDAS-asetuksen suoraan sovellettavat säännökset sähköisistä allekirjoituksista.

Voimassa olevassa laissa säännellään sähköisen allekirjoituksen oikeusvaikutuksia (5 §). Laissa sähköisestä asioinnista viranomaistoiminnassa sekä useissa muissa laeissa on sähköisen allekirjoituksen oikeusvaikutusten osalta viittaus tunnistuslain 5 §:ään.

Tunnistuslaissa on direktiiviin perustuvia säännöksiä kehittyneestä sähköisestä allekirjoituksesta sekä laatuvarmenteeseen perustuvasta sähköisestä allekirjoituksesta. Sähköisen allekirjoituksen laatuvarmenteita tarjoavan toimijan on tehtävä ilmoitus toiminnastaan Viestintävirastolle ja virasto pitää laatuvarmenteita myöntävistä varmentajista julkista rekisteriä. Viestintäviraston on kiellettävä toimijaa tarjoamasta varmenteitaan laatuvarmenteina, jos varmentaja tai sen tarjoamat varmenteet eivät täytä lain vaatimuksia. Laissa on direktiiviin perustuvia säännöksiä laatuvarmenteiden turvallisuudesta, luotettavuudesta, liikkeelle laskemisesta, peruuttamisesta sekä laatuvarmenteita tarjoavan varmentajan vahingonkorvausvastuusta. Lisäksi laissa on kansallisia vastuusäännöksiä tilanteissa, joissa allekirjoituksen luomistietoja on käytetty oikeudettomasti ja laatuvarmenteen tarjoajan vahingonkorvausvelvollisuudesta.

Suomessa ei ole voimassa olevaa sääntelyä muista eIDAS-asetuksessa säännellyistä luottamuspalveluista kuin sähköisestä allekirjoituksesta. eIDAS-asetus sisältää suoraan sovellettavia säännöksiä myös esimerkiksi varmenteisiin perustuvista sähköisistä leimoista, sähköisistä aikaleimoista, sähköisistä jakelupalveluista ja verkkosivujen todentamiseen liittyvistä varmenteista. Sähköisestä asioinnista viranomaistoiminnassa annetun lain 3, 9, 16 ja 18 §:ssä viitataan vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annettuun lakiin. Sanotusta laista on tarpeen kumota merkittäviä osia eIDAS-asetuksen voimaantulon vuoksi.

Nykyisen 9 ja 16 §:n mukaan sekä viranomaisen asiakas että viranomainen voivat käyttää ainakin sellaista kehittynyttä sähköistä allekirjoitusta, joka perustuu laatuvarmenteeseen ja on luotu turvallisella allekirjoituksen luomisvälineellä. Sähköiseltä allekirjoitukselta ei tule kuitenkaan evätä oikeusvaikutuksia yksinomaan sen vuoksi, että se on tehty muulla kuin edellä mainitulla tavalla.

Todisteellisesti tiedoksi annettavaa asiakirjaa noutaessaan asianosaisen tai tämän edustajan on sähköisestä asioinnista viranomaistoiminnassa annetun lain 18 §:n mukaan tunnistauduttava. Tunnistautumisessa käytetään vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetussa laissa tarkoitettua tunnistusvälinettä tai laatuvarmennetta taikka muuta tunnistautumistekniikkaa, joka on tietoturvallinen ja todisteellinen.

Sähköisestä asioinnista viranomaistoiminnassa annetussa laissa ei aseteta ehdotonta edellytystä tietynlaisen sähköisen allekirjoituksen käyttämiselle, vaan tilanteen mukaan muunkinlainen sähköinen allekirjoitus voi kelvata. Myöskään tunnistautumiselle todisteellisesti tiedoksiannettavaa asiakirjaa noudettaessa ei ole asetettu ehdotonta tietynlaista tunnistautumistekniikkaa koskevaa vaatimusta.

Soveltamiskäytännössä pääsääntönä on ollut, ettei viranomaiselle saapunutta sähköistä asiakirjaa tarvitse täydentää allekirjoituksella. Myös ylimmät laillisuusvalvojat ovat kiinnittäneet huomiota siihen, ettei asiakirjoja tule säännönmukaisesti täydennyttää allekirjoituksilla (esim. oikeusasiamiehen ratkaisu 26.6.2008 (3355/4/06) ja apulaisoikeusasiamiehen ratkaisu 30.10.2011 (AOA 3666/4/10).

Sähköisestä asioinnista viranomaistoiminnassa annetun lain 16 §:n sääntely jättää varsin avoimeksi, millaista sähköistä allekirjoitusta viranomainen voi käyttää. Valtiovarainministeriön tilaamassa selvityksessä (Sähköisen asioinnin lainsäädännön seuranta- ja kehittämistutkimus; Valtiovarainministeriön julkaisuja 30/2013) arvioidaan, ettei 16 §:n sääntelyllä ole käytännössä merkitystä allekirjoituksen käytön kannalta viranomaisten asiakirjoissa ja päätöksissä.

eIDAS-asetuksen tarkoituksena on lisätä luottamusta sähköisiin transaktioihin sisämarkkinoilla tarjoamalla yhteinen perusta turvalliselle sähköiselle vuorovaikutukselle kansalaisten, yritysten ja viranomaisten välillä. Tätä kautta parannetaan julkisten ja yksityisten verkkopalvelujen, sähköisen liiketoiminnan ja sähköisen kaupan toimivuutta unionissa. Tavoitteena on saavuttaa riittävän korkea turvallisuuden taso sähköisessä tunnistamisessa ja luottamuspalveluissa.

Asetusta sovelletaan jäsenvaltion ilmoittamiin sähköisen tunnistamisen järjestelmiin ja unioniin sijoittautuneisiin luottamuspalvelujen tarjoajiin. Asetuksessa säädetään, millä edellytyksillä jäsenvaltioiden on hyväksyttävä toisten jäsenvaltioiden ilmoittamia sähköisen tunnistamisen järjestelmiä ja niihin sisältyviä sähköisen tunnistamisen välineitä. Asetuksessa on suoraan sovellettavia säännöksiä luottamuspalveluista ja niiden tarjoajien velvollisuuksista. Asetuksessa säännellään seuraavia luottamuspalveluja ja niiden oikeusvaikutuksia: sähköiset allekirjoitukset, sähköiset leimat, sähköisten allekirjoitusten ja leimojen validointi- ja säilyttämispalvelut, sähköiset aikaleimat, sähköiset rekisteröidyt jakelupalvelut, verkkosivustojen todentamisen varmenteet ja sähköiset asiakirjat. Asetus ei sovellu sellaisten luottamuspalvelujen tarjoamiseen, joita johtuen kansallisesta oikeudesta tai määrätyn osallistujajoukon välisistä sopimuksista käytetään suljetuissa järjestelmissä.

eIDAS-asetuksen 6 artiklan mukaan, silloin kun julkisen sektorin palvelun käyttö sähköisesti edellyttää sähköisen tunnistamisvälineen käyttöä, tulee julkisen sektorin hyväksyä myös toisessa jäsenvaltiossa myönnetty sähköinen tunnistusväline rajat ylittävässä tunnistustapahtumassa. Tämä edellyttää kuitenkin, että tunnistusväline on myönnetty sellaisen tunnistusjärjestelmässä, jonka jäsenvaltio on ilmoittanut Euroopan komissiolle ja että kyseinen sähköinen tunnistusjärjestelmä on otettu Euroopan komission ylläpitämään luetteloon rajat ylittävistä tunnistusjärjestelmistä. Lisäksi ulkomaisen tunnistusvälineen tulee olla varmuustasoltaan vastaava tai korkeampi ja julkisen sektorin palvelun tulee ylipäänsä vaatia varmuustason korotettu tai korkea käyttämistä palvelussaan.

Sähköinen tunnistamisjärjestelmä ilmoitetaan komissiolle rajat ylittäväksi järjestelmäksi eIDAS-asetuksen 7-9 artiklassa säädetyllä tavalla. Asetuksessa säädetään, millaisia sähköisen tunnistamisen järjestelmiä jäsenvaltiot voivat ilmoittaa komissiolle, miten ilmoittaminen tapahtuu ja millaisia vaatimuksia ilmoitettavilla tunnistamisjärjestelmillä ja tunnistamisvälineille on asetettu. Asetuksessa ja sen nojalla annetuissa täytäntöönpanosäädöksissä on määritelty tunnistuspalveluille kolme varmuustasoa: matala, korotettu ja korkea.

Artikla 10 sisältää säännöksiä siitä, miten jäsenvaltioiden on toimittava tietoturvaloukkauksien yhteydessä. Artikla 11 sisältää säännöksiä tunnistamisjärjestelmän ilmoittavan jäsenvaltion vastuusta ja sähköisen tunnistamisvälineen tarjoajan vahingonkorvausvastuusta, jos ne eivät täytä asetuksessa säädettyjä velvoitteitaan.

eIDAS-asetuksessa säännellään luottamuspalvelujen tarjoamista. Asetuksen mukaan luottamuspalveluja ovat sähköinen allekirjoitus, sähköiset leimat, sähköisten allekirjoitusten ja leimojen validointi- ja säilyttämispalvelut, sähköiset aikaleimat, sähköiset rekisteröidyt jakelupalvelut sekä verkkosivujen todentamisen varmennepalvelut. Kaikkiin edellä mainittujen luottamuspalvelujen tarjoajiin sovelletaan eIDAS-asetuksen säännöksiä. Asetusta ei kuitenkaan sovelleta silloin, kun luottamuspalvelua käytetään määrätyn osallistujajoukon välisissä suljetuissa järjestelmissä, esimerkiksi yrityksissä tai julkishallinnossa sisäisten menettelyjen hallinnoimiseksi perustetuissa järjestelmissä. Ainoastaan yleisölle tarjottujen luottamuspalvelujen, joilla on vaikutuksia kolmansiin osapuoliin, on oltava asetuksessa säädettyjen vaatimusten mukaisia. Asetusta sovelletaan vain palveluihin, joita tarjotaan ”yleensä vastiketta vastaan” eli taloudellisessa tarkoituksessa.

Luottamuspalvelujen kuten sähköisen allekirjoituksen oikeusvaikutuksia säännellään eIDAS-asetuksessa, mutta myös kansalliset täydentävät säännökset ovat sallittuja. Asetuksen 25 artiklan mukaan sähköisen allekirjoituksen oikeusvaikutuksia ja käytettävyyttä todisteena oikeudellisessa menettelyissä ei voida kieltää pelkästään sillä perusteella, että se on sähköisessä muodossa tai että se ei täytä asetuksessa säädettyjä hyväksyttyjen sähköisten allekirjoitusten vaatimuksia. Edelleen 25 artiklan mukaan asetuksessa määritellyllä hyväksytyllä sähköisellä allekirjoituksella on oltava samanlaiset oikeusvaikutukset kuin käsin kirjoitetulla allekirjoituksella.

Luottamuspalvelujen ja –tuotteiden käytön lisäämiseksi asetuksessa otetaan käyttöön hyväksytyn luottamuspalvelun ja hyväksytyn luottamuspalvelun tarjoajan käsitteet. Asetuksen mukaan jäsenvaltioiden tulee nimetä valvontaviranomainen, joka valvoo asetuksen luottamuspalveluja koskevien säännösten noudattamista. Viestintävirastoa esitetään eIDAS-asetuksen mukaiseksi valvontaviranomaiseksi. Asetuksessa tehdään kuitenkin merkittävä ero hyväksyttyjen ja ei-hyväksyttyjen luottamuspalvelun tarjoajien välillä. Ei-hyväksyttyjä luottamuspalveluja ovat sinänsä kaikki samat palvelutyypit, joille voidaan hankkia hyväksytyn palvelun status, mutta niitä koskevat ainoastaan eIDAS-asetuksen 19 artiklan yleiset vaatimukset tietoturvallisuuden ylläpidosta ja häiriöiden hallinnasta sekä ilmoitusvelvollisuudesta viranomaisille huomattavia vaikutuksia aiheuttavista tietoturvaloukkauksista ja eheyden menetyksistä. Asetuksen 17.3 artiklan mukaisesti Viestintäviraston on valvontaviranomaisena ryhdyttävä valvontatoimiin ainoastaan, jos Viestintävirastolle ilmoitetaan, ettei ei-hyväksytty luottamuspalvelu täytä asetuksen vaatimuksia.

Hyväksytyn luottamuspalvelun tarjoajan aseman saisi siten, että toimija alistaa toimintansa eIDAS-asetuksessa säädetyn vaatimustenmukaisuuden arviointilaitoksen arvioitavaksi. Vaatimustenmukaisuuden arviointilaitoksella tarkoitetaan ns. NLF-asetuksessa (EY) N:o 765/2008 määriteltyä elintä. Arvioinnin jälkeen toimija toimittaa ilmoituksen toiminnastaan sekä arvioinnin perusteella laadittavan vaatimustenmukaisuuden arviointikertomuksen Viestintävirastolle. Jos Viestintävirasto päättää, että luottamuspalvelun tarjoaja ja sen tarjoamat palvelut täyttävät asetuksessa säädetyt vaatimukset, Viestintävirasto myöntää hyväksytyn aseman ja merkitsee palvelun hyväksyttyjen palvelujen listalle (Trusted list) ja hyväksytty luottamuspalvelun tarjoaja voi käyttää asetuksessa säädettyä EU:n luotettavuusmerkkiä.

Esityksen tavoitteena on saattaa voimaan ne lainsäädännön muutokset, jotka ovat tarpeen eIDAS-asetuksesta johtuen. Ehdotuksen tavoitteena on mahdollistaa Suomen osallistuminen eIDAS-asetuksessa säädettyyn sähköisen tunnistamisen yhteentoimivuusjärjestelmään.

Esityksen tavoitteena on myös edistää hallituksen kärkihankkeen, Digitaalisen liiketoiminnan kasvuympäristön rakentamista. Digitaalisen liiketoiminnan kasvuympäristön rakentaminen, keskittyy elinkeinoelämän digitalisaation edistämiseen. Kärkihankkeen tavoitteena on tehdä Suomesta suotuisa toimintaympäristö digitaalisille palveluille ja digitaalisuuteen perustuville liiketoimintamalleille. Tarkoitus on, että kansalaisten ja elinkeinoelämän luottamus internetiin ja sähköisiin palveluihin säilyy ja, että tulevaisuudessa kaikessa liiketoiminnassa hyödynnetään digitaalisuuden mahdollisuudet.

Ehdotetun lainsäädännön tavoitteena on toteuttaa Suomessa ne käytännön toimenpiteet, joka mahdollistavat Suomessa toimivien sähköisten tunnistusvälineiden käytön muiden EU-valtioiden julkisissa ja yksityisissä palveluissa tulevaisuudessa. Vastaavasti ehdotetun lainsäädännön avulla voidaan toteuttaa ne käytännön toimet, joiden avulla suomalaisella julkisella hallinnolla on valmius vastaanottaa ja hyväksyä muissa jäsenvaltioissa toimivien tunnistamisvälineiden käyttö suomalaisissa julkisen hallinnon palveluissa ja myös yksityisen sektorin sähköisissä palveluissa palveluntarjoajien niin halutessa. Edellä tarkoitettujen rajat ylittävien tunnistusvälineiden luotettavuus ja tietoturvaominaisuudet on säännelty EU:n lainsäädännössä.

Esityksen tavoitteena on vaatia Suomessa toimivilta vahvan sähköisen tunnistamisen järjestelmiltä vähintään samat luotettavuutta ja tietoturvaa koskevat vaatimukset kuin eIDAS-asetus täytäntöönpanosäädöksineen vaatii rajat ylittäviltä sähköisen tunnistamisen järjestelmiltä korotetulla varmuustasoilla. Tämä helpottaa Suomessa vahvan sähköisen tunnistamisen toimijoita hakemaan omalle tunnistusvälineellensä ns. rajat ylittävän tunnistusvälineen asemaa. Toisaalta kun Suomessa noudatetaan samoja tunnistamisvälineiden varmuustasoja kuin eIDAS-asetuksessa, Suomessa julkisella hallinnolla on vertailupohja Suomessa toimivien ja muissa EU:n jäsenvaltioissa toimivien tunnistamisvälineiden välillä ja Suomen julkinen hallinto voi vaatia muiden valtioiden tunnistamisvälineiltä samaa varmuustasoa kuin se vaatii Suomessa toimivilta tunnistusvälineiltä.

Lakiin tehtävillä tarkistuksilla on tarkoitus selventää sähköisen tunnistamisen luottamusverkostossa toimivien kahden erityyppisen palveluntarjoajan velvollisuuksia eli tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun erilaisia velvollisuuksia.

eIDAS-asetus sisältää suoraan sovellettavia säännöksiä sähköisestä allekirjoituksesta ja muista asetuksessa määritellyistä luottamuspalveluista. Asetuksessa on suoraan sovellettavia säännöksiä sähköisen allekirjoituksen oikeusvaikutuksista. Tämä edellyttää muutoksia sähköisestä asioinnista hallinnosta annettuun lakiin sekä lukuisiin muihin lakeihin. Muutokset eivät kuitenkaan muuta vallitsevaa oikeustilaa sähköisten allekirjoitusten oikeusvaikutusten osalta.

5.2.1 Sähköinen tunnistaminen

Esityksessä ehdotetaan, että Suomessa toimivilta vahvan sähköisen tunnistamisen järjestelmiltä vaaditaan vähintään samat luotettavuutta ja tietoturvaa koskevat vaatimukset kuin eIDAS-asetus täytäntöönpanosäädöksineen edellyttää rajat ylittäviltä sähköisen tunnistamisen järjestelmiltä korotetulla varmuustasoilla. Tästä johtuen voimassa oleviin säännöksiin tehdään tarkennuksia ja viittauksia eIDAS-asetuksen nojalla annettuun komission täytäntöönpanoasetukseen. Käytännössä arvioidaan, että Suomessa toimivat vahvan sähköisen tunnistamisen järjestelmät täyttävät jo ennestään pääosin teknisiltä ja tietoturvallisuutta koskevilta vaatimuksiltaan eIDAS-asetuksen nojalla korotetulle varmuustasolle asetetut vaatimukset.

Uutena vaatimuksena Suomessa toimiville tunnistuspalvelun tarjoajille säädettäisiin tässä esityksessä eIDAS-asetuksen säännöksiä vastaava tunnistamispalvelujen arviointi- eli auditointivelvollisuus. Auditoinnin tarkoituksena on arvioida sitä, miten tunnistamispalvelu ja yrityksen toiminta vastaa sille asetettuja vaatimuksia. Ehdotuksen säännökset palvelujen vaatimustenmukaisuuden arvioinnista ovat 4 luvussa. Esityksessä ehdotetaan (28 §), että vaadittuja auditointeja voisivat tehdä 1) vaatimustenmukaisuuden arviointilaitokset, 2) muun yleisesti käytetyn standardin mukaiset arviointielimet (muu ulkoinen arviointilaitos) sekä 3) palveluntarjoajan sisäinen riippumaton arviointi (sisäinen tarkastuslaitos). Ensiksi mainitusta vaatimustenmukaisuuden arviointilaitoksesta säädetään eDAS-asetuksessa. Esityksessä ehdotetaan, että Suomessa Viestintävirasto hyväksyisi vaatimustenmukaisuuden arviointilaitoksen sen jälkeen, kun Turvallisuus- ja kemikaaliviraston akkreditointiyksikkö on akkreditoinut kyseisen toimijan ja Viestintävirasto on arvioinut toimijan täyttävän sille asetettavat vaatimukset (32 §).

Vaikka sähköisten tunnistamispalveluiden auditointivaatimukset tulevat eIDAS-asetuksen nojalla annetuista täytäntöönpanosäädöksistä ja ne koskevat vain EU:n rajojen yli käytettäviä tunnistusvälineitä, toimijoille nyt ehdotettaville auditointivaatimuksille on myös kansallinen tarve johtuen voimassa olevan lain 12 a §:ssä säädetystä sähköisen tunnistamisen luottamusverkostosta. Jotta toimijat voivat luottaa toistensa välittämiin tunnistamistietoihin luottamusverkostossa, on tarpeen vaatia toimijoilta vähintään toimijan sisäistä riippumatonta auditointia. Suomessa toimiville tunnistuspalvelujen tarjoajille säädettävää auditointivelvollisuutta puoltaa myös se, että se on vakiintunut tietoturvallisuuden ylläpitomenettely ja toimijat hyödyntävät erilaisia auditointeja jo ennestään. Ehdotetun siirtymäsäännöksen mukaan vahvan sähköisen tunnistamispalvelun tarjoajan tulisi toimittaa ehdotetun lain mukainen arviointikertomus suoritetusta riippumattomasta tunnistuspalvelun arvioinnista ja tiedot muuttuneista 14 §:ssä tarkoitetuista tunnistusperiaatteista Viestintävirastolle 31 päivään tammikuuta 2017 mennessä.

Viestintävirastolle ehdotetaan myös määräyksenantovaltuuksia koskien vahvan sähköisen tunnistamispalvelun arvioinnin perusteista (eli auditointikriteereistä). Edelleen liittyen sähköisen tunnistamisen luottamusverkostoon Viestintävirastolle ehdotetaan määräyksenantovaltuutta luottamusverkoston teknisten rajapintojen ominaisuuksista.

Laissa määriteltäisiin sähköisen tunnistamisen luottamusverkostossa toimivat kahdenlaiset toimijat ja tarkennettaisiin näitä toimijoita koskevat laissa jo nyt olevat velvoitteet. Lain 2 §:ssä olevia määritelmiä ehdotetaan muutettaviksi niin, että voimassa olevan lain käsite tunnistuspalvelun tarjoaja jäisi voimaan yläkäsitteeksi. Sen alla määriteltäisiin tunnistusvälineen tarjoaja, joka tarjoaa tunnistusvälineitä käyttäjille sekä tunnistusvälityspalvelun tarjoaj a, joka luottamusverkostossa välittää vahvan sähköisen tunnistamisen tunnistustapahtumia sähköiseen tunnistukseen luottavalle osapuolelle.

Vahvan sähköisen tunnistamisen käsitettä ehdotetaan muutettavaksi niin, että tunnistamisvälineitä voitaisiin myöntää myös oikeushenkilöille. Voimassa olevassa laissa on säädetty, että luonnollisen henkilön tunnistusvälineeseen voidaan liittää tieto siitä, että henkilö voi tapauskohtaisesti edustaa oikeushenkilöä. Tätä mahdollisuutta ei toistaiseksi liene ainakaan laajamittaisesti käytetty, mutta se on tarkoitus säilyttää laissa, vaikka myös itsenäisen vahvan sähköisen tunnistusvälineen myöntäminen oikeushenkilölle tulisi mahdolliseksi. Tarvetta oikeushenkilöille myönnettäviin tunnistamisvälineisiin saattaa olla tulevaisuudessa ja myös eIDAS-asetuksen mukaan sähköinen tunnistamisväline voidaan myöntää oikeushenkilölle. Näin ollen ehdotetaan, että vahvan sähköisen tunnistusvälineen voisi myöntää myös oikeushenkilölle. Oikeushenkilön tunnistamiseen liittyen ehdotetaan uusia pykäliä 7 a § patentti- ja rekisterihallituksen rekisterien tietojen käyttämisestä sekä 17 a § tunnistusvälineen hakijana olevan oikeushenkilön tunnistamisesta.

Esityksessä ehdotetaan, että Viestintävirastolle annetaan uusia tehtäviä liittyen eIDAS-asetuksessa säädettyyn jäsenvaltioiden väliseen sähköisen tunnistamisen yhteentoimivuusjärjestelmään. Väestörekisterikeskuksen tehtäväksi annettaisiin rakentaa Suomeen ja ylläpitää ns. kansallista solmupistettä, joka muodostaa rajapinnan muiden EU-valtioiden tunnistamisvälineille, kun niitä käytetään suomaisissa sähköisissä asiointipalveluissa.

Esityksessä ehdotetaan, että pelkästään Suomessa tai muussa ETA-alueella myönnetyn ajokortin perusteella ei voisi enää myöntää tunnistamisvälinettä vuoden 2019 alusta lukien. Tätä käytännön muutosta voidaan perustella sillä, että ajokorttiin liittyy riskitekijöitä tunnistamisasiakirjana. Sisäministeriössä on tehty riskianalyysi ajokorteista. (Sisäasiainministeriön julkaisu 32/2010). http://www.intermin.fi/download/16144_Identiteettiohjelman_loppuraportti.pdf

Tällä hetkellä noin 3,5 miljoonalla suomalaisella on passi ja suomalaisia henkilökortteja on myönnetty noin 600 000. Suomalaisia ajokortteja on noin 3,7 miljoonaa. Se, että ajokortista ei enää yksistään voisi varmentaa henkilön henkilöllisyyttä, vaikuttaisi niiden ajokortin omaavien henkilöiden tilanteeseen, joilla ei ole passia, henkilökorttia tai aikaisempaa tunnistusvälinettä.

Esityksen 17 §.ssä ehdotetaan muutettavaksi ensitunnistamista koskevia säännöksiä yhdenmukaiseksi eIDAS-asetuksen nojalla annettujen säännösten kanssa. Tämä toisi mukanaan myös uusia menettelyjä tehdä henkilön ensitunnistaminen.

5.2.2 Sähköinen allekirjoitus ja muut luottamuspalvelut

eIDAS-asetus sisältää säännöksiä sähköisestä allekirjoituksesta ja muista asetuksessa määritellyistä luottamuspalveluista, kuten sähköisistä leimoista ja verkkosivustojen todentamisen varmennepalveluista. Tämän vuoksi näitä toimijoita koskevat keskeiset muutokset niiden toimintaa koskevaan lainsäädäntöön tulevat suoraan sovellettavista eIDAS-asetuksen säännöksistä. Esityksessä ehdotetaan, että Viestintävirasto valvoisi sitä, että luottamuspalvelun tarjoajat noudattavat Suomessa eIDAS- asetuksen säännöksiä.

Vaikka eIDAS-asetus nyt kattaa käytännössä luottamuspalveluiden vaatimusten sääntelyn, asetus edellyttää täydentäviä säännöksiä luottamuspalveluiden tarjoajien vaatimustenmukaisuuden arvioinnista eli auditoinnista. Ehdotettu sääntely on lakiehdotuksen 4 luvussa.

eIDAS-asetus edellyttää, että voimassa olevasta laista kumotaan sähköistä allekirjoitusta ja sähköisen allekirjoituksen laatuvarmennetta koskevat säännökset. Laissa ehdotetaan kuitenkin säilytettäväksi säännöksiä palveluntarjoajan ja käyttäjän oikeuksista ja velvollisuuksista tilanteissa, joissa käyttäjä kadottaa sähköisen allekirjoituksen tai leiman luontivälineen (ehdotetut 39 ja 40 §). Vastaavia säännöksiä ei sisälly eIDAS-asetukseen.

Asetuksessa on suoraan sovellettavia säännöksiä sähköisen allekirjoituksen, sähköisten leimojen, sähköisten aikaleimojen ja sähköisten asiakirjojen oikeusvaikutuksista. Suoraan sovellettavat säännökset sähköisten allekirjoitusten oikeusvaikutuksista (art. 25) edellyttävät muutoksia lakiin sähköisestä asioinnista viranomaistoiminnassa sekä lukuisiin muihin lakeihin, joissa nykyisin viitataan tunnistuslain 5 §:ään. Tunnistuslain 5 § ehdotetaan kumottavaksi, koska sitä vastaavat säännökset ovat eIDAS-asetuksen 25 artiklassa. Muutokset eivät kuitenkaan muuta vallitsevaa oikeustilaa sähköisten allekirjoitusten oikeusvaikutusten osalta. Myös tunnistuslain 4 § ehdotetaan kumottavaksi.

5.2.3 Laki sähköisestä asioinnista viranomaistoiminnassa

Sähköisestä asioinnista viranomaistoiminnassa annetun lain 9, 16 ja 18 §:n säännöksiä sähköisestä allekirjoituksesta ja tunnistautumistekniikasta ehdotetaan muutettaviksi. Muutoksilla ei ole tarkoitus muuttaa oikeustilaa niin, että allekirjoituksille tai tunnistautumistekniikalle asetettaisiin nykyistä tiukempia vaatimuksia. Näin ollen nykyisin käytössä olevia sähköisen asioinnin järjestelmien käyttöä tai tulevien järjestelmien kehittämistä ei vaikeutettaisi.

Viranomaiselle toimitettavien asiakirjojen osalta pääsääntönä ehdotetaan edelleen säädettävän, ettei sähköistä asiakirjaa tarvitse täydentää allekirjoituksella. Allekirjoitusta voitaisiin vaatia, jollei asiakirjassa ole tietoa lähettäjästä, tai asiakirjan alkuperäisyyttä tai eheyttä on syytä epäillä. Sähköiselle allekirjoitukselle ei ehdoteta tällöin asetettavan erityisiä laatuvaatimuksia.

Sähköisestä asioinnista viranomaistoiminnassa annetun lain 16 §:ssä ehdotetaan säädettäväksi, että viranomaisen on allekirjoittaessaan päätösasiakirjan sähköisesti käytettävä joko eIDAS-asetuksen 26 artiklassa tarkoitettua kehittynyttä sähköistä allekirjoitusta tai muuta sellaista tapaa, että asiakirjan alkuperäisyydestä ja eheydestä voidaan varmistautua. Allekirjoitukselle asetettaisiin siis laissa tietty aineellinen laatuvaatimus. Allekirjoitusta ei kuitenkaan sidottaisi ehdottomasti mihinkään eIDAS-asetuksen allekirjoitustyyppiin.

Sähköisestä asioinnista viranomaistoiminnassa annetun lain 18 §:stä ehdotetaan poistettavaksi viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetussa laissa tarkoitettuun tunnistusvälineeseen ja laatuvarmenteeseen. Säännöksen mukaan tiedoksiannettavaa asiakirjaa noudettaessa käytettävälle tunnistautumistekniikalle asetettaisiin edelleen tietoturvallisuuden ja todisteellisuuden vaatimukset.

5.2.4 Muut muutokset lainsäädäntöön

Tässä esityksessä ehdotettu tunnistuslain nimikkeen muuttaminen sekä lain 5 §:n kumoaminen aiheuttavat muutoksia myös muiden hallinnonalojen lainsäädäntöön, jossa on säännöksiä sähköisestä allekirjoituksesta ja joissa on viitattu sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annettuun lakiin. Ehdotetut muutokset on valmisteltu niin, etteivät ne aiheuta muutoksia vallitsevaan oikeustilaan.

Vahvaa sähköistä tunnistamista koskevaan kansalliseen lainsäädäntöön esitettyjen muutosten ei arvioida aiheuttavan tunnistamispalvelun tarjoajille lisää merkittäviä kustannuksia. Viestintävirastoon tunnistuspalvelun tarjoajiksi on ilmoittautunut noin 70 yritystä. Valtaosa näistä on pankkeja, muut toimijat ovat matkaviestinyrityksiä sekä Väestörekisterikeskus. Kansalliseen sähköisen tunnistamisen luottamusverkostoon liittyen toimijoilla on velvollisuus tehdä voimassa olevan lain 10 §:n nojalla toimintaansa liittyvä muutosilmoitus Viestintävirastolle. Tässä esityksessä ehdotetaan, että tunnistuspalvelun tarjoajilla olisi velvollisuus myös teettää toiminnastaan ehdotetun 4 luvun mukainen vaatimustenmukaisuuden arviointi. Esityksen mukaan tunnistuspalvelun tarjoaja, joka toimii vain EU:n lainsäädännössä tarkoitetulla korotetulla varmuustasolla, voi teettää vaatimustenmukaisuuden arvioinnin myös riippumattomalla sisäisellä arviointielimellä (sisäinen tarkastus). Alustavan kyselyn perusteella arvioidaan, että nykyiset tunnistuspalvelun tarjoajat teettävät jo nyt säännöllisesti tunnistuspalvelustaan jonkintasoisia tietoturvallisuuden arviointeja. Lisäksi myös EU-lainsäädännössä sekä kotimaisessa lainsäädännössä edellytetyt vaatimustenmukaisuuden arvioinnit antavat liiketoimintamahdollisuuksia tätä toimintaa harjoittaville yrityksille Suomessa ja ulkomailla.

Liittyen eIDAS-asetuksessa säädettyyn rajat ylittävään sähköiseen tunnistamiseen Suomessa toimivilla tunnistuspalvelun tarjoajilla kuten muillakin EU:n alueella toimivilla palveluntarjoajilla on mahdollisuus pyrkiä ilmoitetuksi tunnistamispalvelujärjestelmäksi ja näin mahdollistaa omille asiakkailleen tunnistusvälineen käyttö myös muualla EU:n alueella tulevaisuudessa.

Tunnistuspalvelun tarjoajana voisi ehdotettujen säännösten mukaan toimia vain oikeushenkilö. Tämä onkin tilanne nykyisten tunnistuspalvelun tarjoajien osalta. Viestintäviraston tunnistuspalvelun tarjoajilta perimiä vuosittaisia valvontamaksuja ehdotetaan nostettavaksi 12 000 eurosta 14 000 euroon. Ehdotuksen mukaan uusilta Viestintäviraston hyväksymiltä luottamuspalveluiden tarjoajilta perityt maksut olisivat yhtä suuret kuin tunnistuspalvelun tarjoajien. Sitä, kuinka moni luottamuspalvelun tarjoaja (esimerkiksi sähköisten allekirjoitusten ja sähköisten leimojen tarjoaja) pyrkisi hyväksytyn luottamuspalvelun tarjoajan asemaan, on vaikea arvioida tässä vaiheessa. Arvioidaan kuitenkin, että ehdotetuilla maksuilla ja nykyisellä toimijoiden määrällä Viestintäviraston maksukertymä pysyisi nykyisellä tasolla.

Esityksen taloudelliset vaikutukset kohdistuvat pääasiassa Viestintävirastoon ja Väestörekisterikeskukseen.

6.2.1 Laissa ehdotetaan uusia tehtäviä Viestintävirastolle ja Väestörekisterikeskukselle.

Viestintävirastolle tulevat tehtävät johtuvat EU:n sähköisen tunnistamisen yhteentoimivuusjärjestelmästä ja siihen liittyvästä yhteistyöverkostosta. Viestintävirasto toimii osana tätä komission täytäntöönpanopäätöksessä (EU) 2015/296 perustettua yhteistyöverkostoa. Verkosto arvioi Euroopan komissiolle ilmoitettuja sähköisen tunnistamisen järjestelmiä yhdessä muiden jäsenvaltion viranomaisten kanssa. Viestintäviraston tehtävänä on myös notifioida suomalaisia tunnistusjärjestelmiä Euroopan komissiolle. Viestintäviraston tehtäväksi tulee toimia eIDAS- asetuksessa säädettynä valvontaviranomaisena liittyen asetuksessa säädettyjen luottamuspalvelujen valvontaan. Lisäksi Viestintävirastolle esitetään erityistä tiedonvaihtotehtävää kansallisessa sähköisen tunnistamisen luottamusverkostossa.

Viestintävirasto on arvioinut tunnistamislain muutoksista ja EU:n asetuksesta Viestintävirastolle aiheutuvan uusien tehtävien vähintään kaksinkertaistavan sen nykyiset tehtävät. Hallituksen esityksessä Viestintävirastolle esitettävät tehtävät lisäävät viraston arvion mukaan sen tehtäviä 1-2 henkilötyövuodella. Nykyisin Viestintävirasto on osoittanut tunnistuslain valvontaan yhden henkilötyövuoden ja palveluntarjoajilta kerätyillä laissa säädetyillä maksuilla on voitu rahoittaa nykyisestä valvontatoiminnasta aiheutuneet kulut. Maksujen kertyminen tulevaisuudessa riippuu tunnistuspalvelun ja hyväksyttyjen luottamuspalvelun tarjoajien lukumäärästä. Arvioidaan, että Viestintävirasto voi keräämillään maksuilla edelleen rahoittaa myös uusien tehtävien hoitamisesta aiheutuvat kustannukset ja tarvittaessa virasto voi myös suunnata resurssejaan uudestaan.

Väestörekisterikeskuksen tehtäväksi ehdotetaan sähköisten tunnistamisvälineiden rajat ylittävään käyttöön liittyvän kansallisen solmupisteen luomista ja ylläpitoa. Väestörekisterikeskuksen tehtävästä liittyen kansalliseen solmupisteeseen säädetään ehdotetussa 42 c §:ssä. Kansallisen solmupisteen toteutus on tarkoitus tehdä osana Kansallinen palveluarkkitehtuuri- ohjelman tunnistuspalvelu –hanketta. Solmupisteen toteutuksen arvioidaan maksavan noin 200 000 euroa ja sen tuotannon ja jatkokehityksen Väestörekisterikeskus on arvioinut edellyttävän yhden henkilötyövuoden. Solmupiste mahdollistaa sen, että julkisen hallinnon organisaatiot omissa sähköisen asioinnin palveluissaan voivat huomioida toisen jäsenvaltion tunnistusvälinettä käyttävän käyttäjän. Väestörekisterikeskuksen tehtäväksi ehdotetaan toteutettavaksi rekisteriä, jossa yksittäisestä toisesta EU-jäsenvaltiosta saatu sähköinen identiteettitieto on muunnettu kansalliseen muotoon. Kansallisesta solmupisteestä aiheutuvat kustannukset rahoitetaan Väestörekisterikeskuksen käytettävissä olevien määrärahojen puitteissa.

Ehdotuksessa esitetään, että turvallisuussyistä johtuen vuoden 2019 alusta alkaen vahvaa sähköistä tunnistusvälinettä myönnettäessä henkilön henkilöllisyyttä ei enää voitaisi varmentaa Euroopan talousalueen jäsenvaltion viranomaisen myöntämän ajokortin perusteella eli niin, että ihmisen ensitunnistus voitaisiin perustaa pelkästään ajokorttiin. Muutos johtuu turvallisuussyistä, koska Suomessa ajokorttia myönnettäessä ihmisen henkilöllisyyttä ei enää tarkasta viranomainen. Tilanne on sama myös muissa ETA-alueen jäsenmaissa myönnetyissä ajokorteissa. Ajokortti ei ole enää todistus henkilöllisyydestä, vaan todistus ajo-oikeudesta.

Suurin osa vahvoista sähköisistä tunnistusvälineistä myönnetään pankeissa ja tyypillisesti pankit myöntävät tunnistusvälineen ajokortin perusteella. Rahanpesulainsäädäntö sallii ajokortin käytön asiakkaan tunnistamisessa, mutta vaatii myös asiakkaasta lisätietoja. Ehdotetun 17 §:n nojalla esimerkiksi pankit voisivat henkilön ensitunnistamisessa hyödyntää aikaisemman asiakassuhteen tietoja.

eIDAS-asetuksen myötä syksystä 2018 alkaen suomalaiset pystyvät käyttämään suomalaisia sähköisiä tunnistusvälineitä myös muiden jäsenvaltioiden julkisissa sähköisissä palveluissa, jotka edellyttävät sähköistä tunnistamista. Tämä edellyttää kuitenkin sitä, että suomalaisen käyttäjän tunnistusvälineen tarjoaja hakeutuu Viestintäviraston kautta niin sanotuiksi ilmoitetuiksi eurooppalaisiksi tunnistusvälineen tarjoajaksi.

Esityksellä ei ole arvioitu olevan sukupuolivaikutuksia.

eIDAS-asetuksen sekä ehdotettujen asetusta täydentävien säännösten tarkoituksena on lisätä luottamusta sähköisiin transaktioihin tarjoamalla yhteisen perustan turvalliselle sähköiselle tunnistamiselle ja vuorovaikutukselle kansalaisten, yritysten ja viranomaisten välillä sisämarkkinoilla. Näin parannetaan julkisten ja yksityisten verkkopalvelujen, sähköisen liiketoiminnan ja sähköisen kaupan toimivuutta unionissa. Tavoitteena on saavuttaa riittävän korkea turvallisuuden taso sähköisessä tunnistamisessa ja luottamuspalveluissa.

Esityksen tavoitteena on edistää kotimaisten tunnistamispalveluiden markkinoiden toimintaa ja sähköisen tunnistamisen luottamusverkoston toimintaa täydentämällä voimassa olevan lain säännöksiä. Esitys sisältää eIDAS-asetuksen edellyttämät kansalliset säännökset, jotta Euroopan talousalueen sisällä voidaan toteuttaa sähköinen tunnistaminen valtioiden rajojen yli.

Esitys on valmisteltu liikenne- ja viestintäministeriössä Viestintäviraston avulla. Lakiehdotus sähköisestä asioinnista viranomaistoiminnassa annetun lain muuttamisesta on valmisteltu oikeusministeriössä. Valmistelun aikana on kuultu Väestörekisterikeskusta sekä keskusteltu valtiovarainministeriön ja sisäministeriön asiantuntijoiden kanssa.

Lakiin suunnitelluista muutoksista liittyen tunnistuspalvelun tarjoajiin on keskusteltu myös valtiovarainministeriön asettamassa luottamusverkoston hallintamallityöryhmässä.

Luonnoksesta hallituksen esityksestä järjestettiin lausuntokierros tammi-helmikuussa 2016. Liikenne- ja viestintäministeriö vastaanotti 35 lausuntoa. Yksittäiset lausunnot löytyvät valtioneuvoston hankerekisteristä (HARE), asianumerolla LVM070:00/2015.

Lausunnonantajat suhtautuivat lähes poikkeuksetta positiivisesti lakiehdotuksiin ja niiden katsottiin edistävän sähköistä asiointia, sähköisten palvelujen käyttöä sekä digitaalisten palvelujen kehittämistä. Useissa lausunnoissa kannatettiin esityksen tavoitetta vaatia kotimaisilta vahvan sähköisen tunnistamisen järjestelmiltä vähintään samat luotettavuutta ja tietoturvaa koskeva vaatimukset kuin EU-lainsäädäntö vaatii rajat ylittäviltä sähköisen tunnistamisen järjestelmiltä vähintään korotetulla varmuustasolla. Joissakin lausunnoissa suhtauduttiin kriittisesti ehdotettuihin muutoksiin, koska sähköinen tunnistaminen on muutostilassa EU:ssa ja kansallisen sähköisen tunnistamisen luottamusverkoston kehittäminen on vielä kesken. Lausunnoissa tuotiin esille EU:n uusi maksupalvelusääntely, joka myös sääntelee pankkeja samaan aikaan kun pankit toimivat myös tunnistuspalvelun tarjoajia.

Oikeusministeriön lausunnon johdosta esitykseen on lisätty jakso, joka koskee esityksen suhdetta perustuslakiin ja esityksen säätämisjärjestystä.

7.1.1 Tunnistusvälineiden saatavuus ja kuluttajakysymykset

Opetus- ja kulttuuriministeriö, Kansaneläkelaitos sekä Kilpailu- ja kuluttajavirasto kiinnittivät lausunnoissaan huomiota sähköisten tunnistusvälineiden saatavuuteen koskien erityisesti henkilöitä, joilla on maksuhäiriömerkintä sekä koskien alaikäisiä. Lausunnoissa toivottiin toimenpiteitä tai säännöksiä, joilla turvattaisiin kuluttajille oikeus tunnistusvälineen saamiseen.

Kilpailu- ja kuluttajaviraston lausunnossa katsottiin, että tunnistus- ja luottamuspalveluiden käyttöön liittyvät vastuut ja riittävät seuraamukset olisi syytä määritellä lain tasolla tilanteissa, joissa välineen käyttäjän toimeksianto jää toteutumatta tai että välinettä käytetään oikeudettomasti esimerkiksi kadonneella tai varastetulla välineellä taikka tietojärjestelmiin murtautumalla. Liikenne- ja viestintäministeriö toteaa, että voimassa olevassa lain 27 §:ssä on säännöksiä, joissa säännellään tunnistusvälineen haltijan vastuuta tilanteissa, joissa tunnistusvälinettä on käytetty oikeudettomasti.

2019 alusta

Ajokortin rajaamista ehdotuksen 17 §:n mukaisesti henkilöllisyyden todentamiseen käytettyjen asiakirjojen joukosta pois pidettiin lausunnonantajien mielestä käytännön merkitykseltään suurena asiana, koska kaikilla henkilöillä ei ole virallista tunnistusasiakirjaa (passi tai henkilökortti), vaan nämä henkilöt ovat tottuneet tunnistautumaan pelkän ajokortin esittämisellä. Toisaalta ajokorttiin liittyvät riskit henkilöllisyyden todentamisena käytettynä asiakirjana ymmärrettiin ja ehdotettua muutosta kannatettiin, sillä käytännössä ajokorttia myönnettäessä mikään viranomainen ei tarkista henkilön henkilöllisyyttä. Lausunnoissa katsottiin, että viestintä kansalaisiin kohdistuvasta muutoksesta tulisi olla viranomaisten vastuulla. Lausuntokierroksen jälkeen ensitunnistamista koskevaa 17 §:ää muutettiin niin, että siinä sallitaan henkilön ensitunnistamisen tehtäväksi siten kuin EU:n sähköisen tunnistamisen varmuustasoasetuksessa säädetään. Tämä mahdollistaa myös ns. aikaisempaan asiakkuuteen perustuvan ensitunnistamisen. Lausuntojen perusteella lakiehdotukseen sisältyvän siirtymäsäännöksen yksityiskohtaisiin perusteluihin lisättiin maininta, että vuoden 2018 loppuun mennessä ajokortin perusteella tehty henkilön ensitunnistaminen tunnistusvälinettä myönnettäessä ei edellytä sitä, että henkilö pitäisi tunnistaa uudelleen jotain muuta asiakirjaa hyväksikäyttäen 1 tammikuuta 2019 jälkeen.

Oikeushenkilön tunnistusvälineet

Esityksessä ehdotetaan sallittavaksi tunnistusvälineiden myöntäminen myös oikeushenkilöille johtuen muun muassa vastaavasta EU-lainsäädännöstä. Mahdollisuuteen myöntää tunnistusväline myös oikeushenkilölle suhtauduttiin yleisesti myönteisesti, mutta säännökset tarvitsivat lausunnonantajien mielestä täsmentämistä. Tämän johdosta esitystä onkin täydennetty. Oikeushenkilön sähköisiin tunnistusvälineisiin kohdistuvaa kysyntää ja niihin liittyviä menettelytarpeita on toistaiseksi vaikea ennakoida, joten lakiin ei ehdoteta tässä vaiheessa tarkempia menettelysäännöksiä. Tarvittaessa toiminnassa voidaan tukeutua oikeushenkilön ja luonnollisen henkilön suhdetta koskevaan muuhun sääntelyyn.

7.1.3 Luottamuspalvelun tarjoajan vastuu

Oikeusministeriö totesi, että 41 §:ssä ehdotetun kaltainen erityislaissa oleva viittaus vahingonkorvauslakiin on ongelmallinen sikäli, että eräiden vahingonkorvauslain säännösten soveltaminen voi johtaa erityislain tarkoituksen kannalta epäjohdonmukaiseen lopputulokseen (esimerkiksi sopimusvastuuta ja puhdasta varallisuusvahinkoa koskevat rajoitukset). Tämän johdosta jatkovalmistelussa päädyttiin poistamaan nimenomainen viittaus vahingonkorvauslakiin ottaen huomioon eIDAS-asetuksen 13 artiklan 3 kohta, jonka mukaan eIDAS-asetuksen vastuusäännöksiä sovelletaan kansallisten vastuusääntöjen mukaisesti. eIDAS-asetuksen johdantolauseen (37) mukaan asetus ei vaikuta kansallisiin sääntöihin, jotka koskevat esimerkiksi vahinkojen, tahallisuuden tai tuottamuksellisuuden määrittelyä, tai asiaan liittyviin sovellettaviin menettelysääntöihin.

7.1.4 Sähköisen tunnistamisen järjestelmälle asetettavat vaatimukset ja todentamistekijät

Lausunnoissa esitetyn perusteella on täsmennetty lakiehdotuksen 8 ja 8 a §:ää. Lausuntojen johdosta sähköisen tunnistamisen järjestelmään liittyvät todentamistekijät on esityksessä määritelty teknologianeutraalisti. Lausunnoissa kiinnitettiin huomiota ehdotuksen 8 a §:ssä edellytettävään tunnistusmenetelmän dynaamiseen todentamiseen ja tältä osin esitystä on täydennetty.

7.1.5 Tietojen päivittäminen väestötietojärjestelmästä

Vuoden 2016 alusta voimaan tulleen lain 7 §:ään pyydettiin useissa lausunnoissa tarkennusta siitä, kuinka usein tunnistusvälineen tarjoajan ja luottamuspalvelua tarjoavan varmentajan on päivitettävä tunnistuspalvelun tarjoamiseksi tarvitsemansa tiedot väestötietojärjestelmästä. Lisäksi muutamissa lausunnoissa katsottiin, että nämä tarkistukset väestötietojärjestelmästä tulisi olla maksuttomia. Pykälän säännös on tullut hiljattain voimaan. Tiedot tulisi kuitenkin päivittää niin usein, että voidaan riittävällä tavalla varmistua siitä, etteivät tiedot ole vanhentuneita. Viestintävirasto valvoo säännöksen noudattamista.

7.1.6 Tunnistuspalveluiden vaatimustenmukaisuuden arviointi

Annetuissa lausunnoissa katsottiin, että vaatimustenmukaisuuden arvioinnit parantavat sähköisen tunnistamisen tietoturvallisuutta, mutta toisaalta pidettiin ongelmallisena sitä, että arvioinnit tulisi olla tehtynä jo vuoden 2016 lopussa, eivätkä arviointiperusteet ole vielä selvillä.

Viestintävirastolle ehdotetun määräyksenantovaltuuksien osalta joissakin annetuissa lausunnoissa katsottiin, että tunnistuspalvelun tarjoajia koskevat auditointikriteerit tulisi määritellä tarkkarajaisemmin laissa. Viestintäviraston määräyksiä on käsitelty esityksen säätämisjärjestystä koskevassa kohdassa. Annettujen lausuntojen perusteella vaatimustenmukaisuuden arviointielinten nimityksiä ja niihin tehtäviä viittauksia on tarkennettu.

Lakiehdotuksen 4 lukuun ehdotettavien vaatimustenmukaisuuden arviointielinten osalta oikeusministeriö katsoi, että on arvioitava näiden laitosten ja organisaatioiden mahdollisia julkisia hallintotehtäviä. Asiaa on käsitelty esityksen säätämisjärjestystä koskevassa kohdassa.

7.1.7 Viestintäviraston toimivaltuudet ja valvonta

Ehdotuksen mukaan Viestintävirastolla olisi oikeus tehdä tunnistuspalvelun tarjoajaa tai muuta laissa säänneltyä toimijaa taikka näiden palvelua koskeva tarkastus tunnistuslaissa tai sähköisestä tunnistamisesta tai sähköisestä luottamuspalveluista annetussa EU:n asetuksessa asetettujen velvoitteiden valvomiseksi.

Ficom vastusti Viestintäviraston tarkastustoimivaltuuksien määrittelemistä niin, että Viestintävirastolla olisi oikeus tehdä tarkastus pelkästään kansallisen tai EU:n lainsäädännön valvontatarkoituksessa ilman, että on syytä epäillä toimijan rikkoneen lakia tai EU-lainsäädäntöä olennaisesti. Tämän esityksen mukainen Viestintäviraston tarkastusoikeus turvaa kuitenkin Viestintäviraston tehokkaat keinot valvoa kotimaisen ja EU-lainsäädännön noudattamista. Ehdotettu tarkastusoikeus on saman sisältöinen kuin esimerkiksi Tietoyhteiskuntakaaressa (917/2014).

Esityksen mukaan Viestintävirastolla olisi oikeus antaa tarkempia määräyksiä luottamusverkoston rajapintojen ominaisuuksista. Säännöksen perusteluja on täsmennetty niin, että Viestintävirasto voi määrätä sovellettavan rajapinnan, mutta että tällä ei ole tarkoitus rajoittaa luottamusverkostossa toimivia palveluntarjoajia sopimasta jo nyt käytössä olevien rajapintojen käytöstä niin kauan kuin tarpeellista.

Viestintävirasto ehdotti lausunnossaan useita valvontaan ja seuraamuksiin liittyviä muutoksia ja lisäyksiä. Lausuntokierroksen jälkeen ehdotukseen on lisätty Viestintävirastolle mahdollisuus antaa huomautus sille, joka rikkoo tunnistuslakia ja velvoittaa tämän korjaamaan virheensä tai laiminlyöntinsä, kuten esimerkiksi tietoyhteiskaaressa on säädetty. Lisäksi ehdotuksen on lisätty Viestintävirastolle toimivalta antaa väliaikainen päätös kiireellisissä tapauksissa. Myös eIDAS-asetus edellyttää valvovalle viranomaiselle tehokkaita toimivaltuuksia puuttua nopeasti säännösten vastaiseen menettelyyn.

7.1.8 Viranomaisille ehdotettavat tehtävät ja vaikutukset viranomaisten toimintaan

eIDAS-asetuksesta johtuvien tehtävien antamista Viestintävirastolle ja Väestörekisterikeskukselle pidettiin perusteltuna ja kannatettavina.

Annetuissa lausunnoissa pyydettiin arvioita esityksen vaikutuksista Patentti- ja rekisterihallituksen tulovirtoihin sekä Turvallisuus- ja kemikaaliviraston akkreditointitoimintaan. Esityksen vaikutuksia Patentti- ja rekisterihallituksen tuloihin on vaikea arvioida. Se kuinka oikeushenkilöille tarjottavien tunnistusvälineiden sekä myös sähköisten leimojen kysyntä ja tarjonta kehittyvät Suomessa on vaikea ennustaa. Ehdotuksella ei arvioida olevan merkittävää lisäystä Turvallisuus- ja kemikaaliviraston akkreditointiyksikön työmäärään.

Sisäministeriö ja Poliisihallitus kannattivat ehdotusta siitä, että ajokortin perusteella ei enää voitaisi myöntää vahvaa sähköistä tunnistusvälinettä. Samalla ne pyysivät arviota siitä, mikä vaikutus tällä on henkilökorttien tai passien myöntämiseen sellaisille henkilöille, jotka olisivat jatkossa käyttäneet ajokorttia voimassa olevan lain mukaisesti.

47 §)

Toimijoilta perittävien valvontamaksujen osalta lausunnoissa kiinnitettiin huomiota siihen, miten ne vaikuttavat alalle tuleviin toimijoihin sekä ovatko maksut toimija- vai palvelukohtaisia. Lausunnoissa olisi pidetty parempana, että valvontamaksuja ei säänneltäisi lain tasolla. Koska maksuja on pidettävä veroluonteisina, tämä ei ole kuitenkaan mahdollista.

Useat toimijat pitivät ehdotettuja Viestintävirastolle maksettavia maksuja liian korkeina tai vastustivat niitä kokonaan. Viestintävirastolle maksettavilla maksuilla on kuitenkin tarkoitus kattaa Viestintäviraston valvonnasta aiheutuvia kustannuksia, joten niitä ei ole voitu esityksessä poistaa. Lausuntojen perusteella esityksessä ehdotetaan oikaisuvaatimuksen käyttöönottoa Viestintäviraston päätösten osalta, jotka koskevat tunnistuslain 47 §:n mukaisia maksuja.

7.1.10 Siirtymäsäännökset

Eräissä lausunnoissa tuotiin esille eIDAS-asetuksen täytäntöönpanoon ja ehdotettuihin lain muutoksiin liittyviä siirtymävaiheen kysymyksiä. Viestintävirasto ehdotti myös siirtymäsäännöksiä, jotka turvaisivat ja selkeyttäisivät nykyisten ja uusien tunnistusvälineiden vahvan statuksen säilymisen ja EU-lainsäädännössä määriteltyjen varmuustasojen arvioinnin ennen luottamusverkostoa koskevien säännösten soveltamisen alkamista 1.5.2017. Esitykseen on otettu mukaan siirtymäsäännökset edellä mainitussa tarkoituksessa.

7.1.11 Muut lakiehdotukset

Oikeusministeriö kiinnitti huomiota, että esitysluonnokseen sisältyvissä verolaeissa ehdotettiin viranomaiselle toimitettavien sähköisten asiakirjojen allekirjoittamisessa vaadittavan edelleen kehittynyttä sähköistä allekirjoitusta. Jatkovalmistelussa sääntelyä on tältä osin muutettu joustavammaksi.

Hallitus antoi eduskunnalle esityksen verotusmenettelyn ja veronkannon uudistamista koskevaksi lainsäädännöksi HE 29/2016, jossa ehdotetaan uutta lakia oma-aloitteisten verojen verotusmenettelystä. Esityksen 80 §:ssä viitataan vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annettuun lakiin. Kuluvan vuoden heinäkuun 1 päivän jälkeen kyseisessä lainkohdassa tulisi viitata sähköisestä tunnistamisesta ja luottamuspalveluista annettuun EU:n asetukseen.

Hallitus antoi eduskunnalle huhtikuussa 2016 esitykset henkilökorttilaiksi ja eräiksi siihen liittyviksi laeiksi HE 41/2016 sekä esityksen laeiksi hallinnon yhteisistä sähköisen asioinnin tukipalveluista sekä valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä annetun lain muuttamisesta HE 59/2016. Ehdotetuissa laeissa viitataan vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annettuun lakiin, jonka nimekettä ehdotetaan muutettavaksi tässä esityksessä. Lisäksi esityksessä henkilökorttilaiksi ja eräiksi siihen liittyviksi laeiksi ehdotetaan muutettavaksi väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain 61,66, ja 68 §:ää, joita ehdotetaan muutettaviksi myös tällä esityksellä.

Valtiovarainministeriössä on vireillä lainsäädäntöhanke, jonka tarkoituksena on saattaa voimaan maksutileihin liittyvien maksujen vertailukelpoisuudesta, maksutilien siirtämisestä ja mahdollisuudesta käyttää perusmaksutilejä annetun Euroopan neuvoston ja parlamentin direktiivi (2014/92/EU, perusmaksutilidirektiivi). Direktiivin täytäntöönpanon yhteydessä arvioidaan, tulisiko Suomessa edellyttää luottolaitoksilta, että ne tarjoaisivat osana peruspankkipalveluita myös tunnistuslaissa tarkoitettuja vahvoja sähköisiä tunnistusvälineitä.

Edellä esitetyn perusteella annetaan eduskunnan hyväksyttäviksi seuraavat lakiehdotukset:

Terminologiasta. Alan sanastoissa käytetään yleisesti sanoja tunnistaminen ja tunnistus rinnakkaisina termeinä, eikä niiden välille ole tehty todellisia merkityseroja. Voimassa olevassa tunnistuslaissa on käytetty sanaa tunnistaminen silloin, kun se esiintyy yksinään tai yhdyssanan jälkimmäisenä osana. Yhdyssanan ensimmäisenä osana käytetään sanaa tunnistus, jolloin syntyvät yhdyssanat kuten tunnistusväline, tunnistuspalvelu ja tunnistustapahtuma eivätkä ne tiettävästi aiheuta vaaraa sekaannukseen muilla aloilla käytetyn terminologian kanssa.

1 §. Soveltamisala. Ehdotuksessa muutettaisiin lain soveltamisalaa koskeva pykälä. Pykälässä säädettäisiin soveltamisalasta ja sen rajoituksista ottaen huomioon sähköisestä tunnistamisesta ja luottamuspalveluista annettu EU:n asetus eli eIDAS-asetus. Pykälän 1 ja 2 momenteissa määritellään soveltamisala ja 3-4 momenteissa tarkennukset ja poikkeukset 1 ja 2 momenttien soveltamisalaan.

Pykälän 1 momentin mukaan laissa säädettäisiin vahvasta sähköisestä tunnistamisesta sekä tunnistuspalveluiden tarjoamisesta niihin luottaville palveluntarjoajille ja yleisölle. Ehdotetun lakimuutoksen jälkeen suurin osa lain säännöksistä koskee vahvaa sähköistä tunnistamista ja kohdistuu nimenomaan tunnistuspalveluiden tarjoamiseen. Sähköistä allekirjoitusta ja muita luottamuspalveluja sääntelee jatkossa eIDAS-asetus. Laki ei koske niin sanottua heikkoa tunnistamista, joka tyypillisesti perustuu henkilön itse määrittelemiin käyttäjätunnukseen ja salasanaan.

Vahvan sähköisen tunnistamisen palveluita tarjottaisiin yleisölle kuten voimassa olevankin 1 §:n mukaan. Yleisöllä tarkoitetaan ennalta rajoittamatonta joukkoa luonnollisia tai oikeushenkilöitä. Esimerkiksi työ- tai virkasuhteen perusteella rajatussa joukossa ei ole kysymys yleisöstä.

Tunnistuspalveluita tarjotaan tunnistuspalveluihin luottaville palveluntarjoajille. Tunnistuspalvelun tarjonnan tyyppitapauksena voidaan pitää sellaista palvelua, jossa vahvaa sähköistä tunnistamista muun oman palvelunsa tarjoamiseksi käyttävä palveluntarjoaja siirtää tunnistettavan tunnistautumaan oman palvelunsa ulkopuolelle. Tällaiselle järjestelylle on tunnusomaista se, että vahvan sähköisen tunnistuspalvelun tarjoajilla, vahvaa sähköistä tunnistamista käyttävillä palveluntarjoajilla ja tunnistusvälineen haltijoilla on olemassa keskinäinen sopimussuhtein säännelty oikeustila. Tunnistusvälityspalvelun tarjoaja välittää asiointipalveluille tunnistustapahtumia tunnistamisen välineen tarjoajilta tarjoajalle lain 12 a §:ssä säädetyssä luottamusverkostossa.

Ehdotetun 2 momentin mukaan laissa säädetään eIDAS-asetuksen valvonnasta täydentäen mainittua asetusta. eIDAS-asetuksessa säädetään luottamuspalveluille asetetuista vaatimuksista ja niiden tarjonnasta. Luottamuspalveluilla tarkoitetaan eIDAS-asetuksen ja ehdotetun 2 §:n määritelmän mukaan sähköistä palvelua, jota yleensä tarjotaan vastiketta vastaan ja joka koostuu sähköisten allekirjoitusten, sähköisten leimojen tai sähköisten aikaleimojen, sähköisten rekisteröityjen jakelupalvelujen ja kyseisiin palveluihin liittyvien varmenteiden luomisesta, tarkastamisesta ja validoinnista. Luottamuspalveluita ovat myös verkkosivustojen todentamiseen liittyvien varmenteiden luominen, tarkastaminen ja validointi sekä sähköisten allekirjoitusten, leimojen tai kyseisiin palveluihin liittyvien varmenteiden säilyttäminen.

Sähköisen allekirjoittamisen palveluita ja muita edellä mainittuja luottamuspalveluja säännellään jatkossa EU:n suoraan sovellettavalla lainsäädännöllä, joten voimassa olevasta laista tulee kumota suurin osa sähköisiä allekirjoituksia ja allekirjoitusvarmenteita koskevista säännöksistä. Lakiin ehdotetaan kuitenkin jätettäväksi säännökset hyväksyn allekirjoitusvarmenteen peruuttamisesta (voimassa olevan lain 36 §) ja säännökset allekirjoituksen luomistietojen oikeudettomasta käytöstä (voimassa olevan lain 40 §). Lakiin ehdotetaan otettavaksi eräitä voimassa olevan lain luottamuspalvelun tarjoajan vastuuta rajoittavia säännöksiä (ehdotettu 41 §).

Jäsenvaltioiden on lisäksi nimettävä kansallinen valvontaelin eli viranomainen valvomaan eIDAS-asetuksen noudattamista. Ehdotetun 42 a §:n nojalla Suomessa Viestintävirasto valvoisi eIDAS-asetuksen noudattamista. Tässä esityksessä ehdotetaan myös täydennettävän eIDAS- asetusta, esimerkiksi luottamuspalveluiden vaatimustenmukaisuuden arviointilaitosten ja muiden riippumattomien arviointielinten pätevyysvaatimusten osalta sekä säädettäisiin Viestintäviraston ja Väestörekisterikeskuksen tehtävistä liittyen eIDAS-asetukseen.

Ehdotetun 3 momentin mukaan EU:lle ilmoitettuun tunnistusvälineeseen ja rajat ylittävään sähköisen tunnistamisen välitykseen sovelletaan tätä lakia vain, jollei eIDAS-asetukseta muuta johdu. Asetuksessa säädetään kolmesta sähköisen tunnistamisen varmuustasosta (matala, korotettu ja korkea) ja EU:n täytäntöönpanosäädöksessä on yksilöity vaatimukset tunnistamisjärjestelmille eri varmuustasoilla. Tunnistamisjärjestelmien on täytettävä niiden varmuustasoa koskevat vaatimukset, jotta kyseiset tunnistamisjärjestelmät voidaan ilmoittaa Euroopan komissiolle rajat ylittäviksi tunnistamisjärjestelmiksi. EU:n jäsenvaltioiden on tietyin edellytyksin hyväksyttävä julkisissa palveluissaan myös muiden EU-valtioiden ilmoittamat sähköisen tunnistamisen välineet.

eIDAS-asetuksessa säädetään sähköisten tunnistamisjärjestelmien ilmoitusmenettelystä komissiolle (7-10 artiklat) ja jäsenvaltioiden ylläpitämästä yhteentoimivuusjärjestelmästä (12 artikla), jossa jäsenvaltioiden ilmoittamat tunnistamisjärjestelmät toimivat yhteentoimivasti sekä jäsenvaltioiden asiaan liittyvästä hallinnollisesta yhteistyöverkostosta.

Ehdotetussa 4 momentissa soveltamisalaa täsmennetään sulkemalla lain soveltamislasta pois joitakin tilanteita. Sähköisen tunnistamisen osalta soveltamisalan rajoitukset vastaavat voimassa olevaa lakia. Sähköisen allekirjoituksen kuten muidenkin luottamuspalveluiden sääntelyn soveltamisala määritellään eIDAS-asetuksessa.

Ehdotetun 4 momentin mukaan lakia ei sovelleta jonkun yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Sama tunnistuspalvelun tarjoaja voi tarjota samaa palvelua sekä yleisesti luottamusverkostossa tunnistuspalvelua käyttävälle palveluntarjoajalle käytettäväksi ennalta määräämättömän joukon tunnistamiseen että jollekin yhteisölle käytettäväksi yhteisön sisäisiin tarpeisiin. Edellinen tilanne kuuluu lain soveltamisalaan, kun taas jälkimmäinen ei kuulu.

Ehdotetun 4 momentin jälkimmäisen lauseen mukaan lain soveltamisalaan eivät kuulu myöskään sellaiset tilanteet, joissa yhteisö käyttää omaa tunnistusmenetelmäänsä omien asiakkaidensa tunnistamiseksi omissa palveluissaan. Tällaisessa toiminnassa ei ole varsinaisesti lainkaan kysymys vahvan sähköisen tunnistuspalvelun tarjoamisesta, vaan palveluntarjoajan tavoitteena on muun oman palvelunsa tarjoaminen, ja tunnistaminen liittyy siihen ainoastaan sivutuotteena.

Voimassa olevan lain soveltamisala ja siihen tehdyt rajaukset ovat suoraa seurausta siitä, että lailla on pyritty antamaan perussäännöt toimiville yleiskäyttöisten vahvan sähköisen tunnistamisen välineiden markkinoille. Jos välineen käyttäjäpiiri on ennalta rajattu, ei se voi kilpailla avoimilla, yleiskäyttöisiin menetelmiin ja välineisiin tähtäävillä markkinoilla. Yritysten ja organisaatioiden sisäisten järjestelmien käyttäjät eivät myöskään tarvitse samalla tavalla suojaa kuin itse markkinoilta välineensä hankkivat, usein kuluttajan ominaisuudessa toimivat henkilöt. Suojan tarve on pienempi myös tiettyyn suljettuun tarkoitetukseen käytettävien tunnistusvälineiden osalta, sillä niiden käyttöön mahdollisesti liittyvät riskit ovat pienemmät.

Lisäksi on otettava huomioon, että sähköisen tunnistamisen palveluiden tarjonta on edelleen kehitysvaiheessa, ja tulevina vuosina on mahdollista, että myös uusia tunnistamismenetelmiä syntyy teknisen kehityksen myötä. Tämän johdosta on erittäin tärkeää, että lainsäädäntö antaa toimintamahdollisuudet uusille kehittyville järjestelyille. Uusia menetelmiä voidaan esimerkiksi testata suljetuissa ympäristöissä ennen kuin niitä tarjotaan yleiskäyttöisinä välineinä avoimilla markkinoilla. Sääntelyn piiriin palvelut tulevat vasta, kun niitä aletaan tarjota ennalta rajaamattomalle käyttäjäpiirille vahvana tunnistamisena.

2 §. Määritelmät. Verrattuna voimassa olevaan lakiin suuri osa pykälän määritelmistä ehdotetaan muutettavaksi tai kumottavaksi päällekkäisinä johtuen eIDAS-asetuksesta. Myös vuonna 2015 lakiin lisätty 12 a § tunnistamispalvelun tarjoajien luottamusverkostosta edellyttää muutoksia lain määritelmiin. Selvyyden vuoksi 2 § ehdotetaan muutettavaksi kokonaan.

Pykälän 1 momentin 1 kohdassa määriteltäisiin vahva sähköinen tunnistaminen. Sillä tarkoitettaisiin henkilön, oikeushenkilön tai oikeushenkilöä edustavan luonnollisen henkilön yksilöimistä ja tunnisteen aitouden ja oikeellisuuden todentamista sähköistä menetelmää käyttäen perustuen eIDAS-asetuksen 8 artiklassa määriteltyihin korotettuun tai korkeaan varmuustasoon. Määritelmä olisi sama kuin asetuksessa muutoin, kuin että vahvan sähköisen tunnistamisen määritelmään kuuluisivat vain asetuksessa määritellyt turvatasot korotettu ja korkea. eIDAS-asetuksessa ja sen nojalla annetuissa komission täytäntöönpanosäädöksissä säädetään myös turvatasosta matala, mutta tämä turvataso ei sisältyisi vahvan sähköisen tunnistamisen määritelmään Suomessa.

Pykälän 1 momentin 2 kohdassa määritellään tunnistusväline. eIDAS-asetuksessa käytetään samassa merkityksessä termiä sähköisen tunnistamisen menetelmä, joka on siksi otettu tunnistusvälineen määritelmään mukaan. Laissa säilytetään tunnistusmenetelmän rinnalla termi tunnistusväline, joka on usein kielellisesti ymmärrettävämpi. Määritelmä on sisällöltään sama kuin voimassa olevassa laissa. Määritelmä on teknologianeutraali ja kuvaa mitä tahansa joko fyysisessä, sähköisessä tai tiedollisessa muodossa olevia asioita, jotka yhdessä muodostavat tunnistusvälineen. Väline voi siis tarkoittaa esimerkiksi SIM-kortille tai muulle kortille sijoitettua varmennetta ja sen käyttämiseen tarvittavaa PIN-koodia, käyttäjätunnusta ja siihen yhdistettyä vaihtuvaa salasanaa, tai sormenjälkeä ja siihen yhdistettävää PIN-koodia. Väline muodostaa yhden kokonaisuuden.

Pykälän 1 momentin 3 kohdassa määritellään tunnistuspalvelun tarjoaja. Määritelmä pysyy asiallisesti ennallaan, mutta luottamusverkostoa koskevan 12 a §:n säätämisen jälkeen on tullut tarve käyttää tunnistuspalvelun tarjoajaa yläkäsitteenä pykälän 4 kohdassa määriteltävälle tunnistusvälineen tarjoajalle ja 5 kohdassa määriteltävälle tunnistusvälityspalvelun tarjoajalle. Puhtaan välityspalvelun tarjoajan velvoitteita selkeytetään laissa suhteessa tunnistusvälineen tarjoajan velvoitteisiin. Esityksen 9 §:ssä on asetettu yleisiä vaatimuksia tunnistuspalvelun tarjoajan luotettavuudelle. Vahvan sähköisen tunnistuspalvelun tarjoajan tulee olla 9 §:n nojalla aina oikeushenkilö.

Tunnistusvälineen tarjoajalla tarkoitettaisiin 1 momentin 4 kohdan mukaisesti palveluntarjoajaa, joka tarjoaa tai laskee liikkeelle vahvan sähköisen tunnistamisen tunnistusvälineitä yleisölle. Tunnistusvälineen tarjoaja tekisi 10 §:ssä tarkoitetun ilmoituksen Viestintävirastoon, minkä jälkeen se merkitään 12 §:n mukaiseen rekisteriin ja kuuluu 12 a §:ssä säädettyyn luottamusverkostoon. Luottamusverkostossa tunnistusvälineen tarjoajan tulee tarjota tunnistusvälinettään välityspalvelun tarjoajille mutta tunnistusvälineen tarjoaja voi tämän lisäksi tarjota omaa tunnistusvälinettään myös oman tunnistamisen välityspalvelun kautta luottaville osapuolille, jolloin se siis toimisi myös tunnistusvälityspalvelun tarjoajan roolissa.

Yleisöllä tarkoitetaan ennalta rajaamatonta käyttäjäjoukkoa kuten 1 §:n 1 momentissakin. Palveluntarjoaja voi käyttää vahvan sähköisen tunnistamisen menetelmää omien asiakkaittensa tunnistamiseen ja tarjota samaa menetelmää toiselle vahvaan sähköiseen tunnistamiseen luottavalle osapuolelle tai jäljempänä 6 kohdassa määriteltävälle tunnistusvälityspalvelun tarjoajalle. Edellinen tilanne, jossa palveluntarjoaja käyttää vahvan sähköisen tunnistamisen menetelmää omien asiakkaittensa tunnistamiseen, ei kuulu tunnistuslain soveltamisalaan. Sen sijaan jälkimmäinen tilanne kuuluu lain soveltamisalaan. Kuvaus liittyy esimerkiksi pankkeihin, jotka käyttävät pankkitunnisteita omien asiakkaittensa pankkiasiointiin ja tarjoavat samoja tunnisteita käytettäviksi muissa sähköistä tunnistamista hyödyntävissä palveluissa.

Tunnistusvälityspalvelun tarjoajalla tarkoitettaisiin 1 momentin 5 kohdan mukaan palveluntarjoajaa, joka tarjoaa vahvan sähköisen tunnistamisen välityspalvelua sähköiseen tunnistukseen luottavalle osapuolelle. Määritelmä on uusi ja johtuu 12 a §:ssä säädetystä luottamusverkostosta. Tunnistusvälityspalvelun tarjoaja tekisi 10 §:ssä tarkoitetun ilmoituksen Viestintävirastoon, minkä jälkeen se merkitään 12 §:n mukaiseen rekisteriin ja kuuluu 12 a §:ssä säädettyyn luottamusverkostoon.

Tunnistusvälityspalvelun tarjoaja solmisi sopimuksia 4 kohdassa tarkoitettujen tunnistamisvälineiden tarjoajien kanssa 12 a §:ssä tarkoitettujen tunnistetietojen (tunnistustapahtumien) välittämisestä edelleen tunnistukseen luottaville osapuolille eli esimerkiksi vahvaa sähköistä tunnistamista omissa palveluissaan hyödyntäville palveluntarjoajille. Esimerkki tällaisesta luottavasta osapuolesta on verkkokauppa tai muu organisaatio, joka hankkii tunnistuspalvelun sähköiseen asiointipalveluunsa tai kansallisen palveluväylän yhteydessä toteutettava kansalaisen tunnistuspalvelu, joka ei välitä tunnistustapahtumia valtionhallinnon ja julkista tehtävää hoitavien organisaatioiden ulkopuolelle.

Tunnistusvälineen haltijalla tarkoitetaan tässä laissa luonnollista henkilöä tai oikeushenkilöä, jolla on vahvan sähköisen tunnistusväline hallussaan laillisen oikeuden nojalla. Jos väline joutuu pois oikeutetulta haltijalta, ei esimerkiksi löytäjästä voi tulla määritelmässä tarkoitettua välineen haltijaa. Määritelmä muuttuisi siitä, mikä se voimassa olevassa laissa, siten että tunnistamisväline voitaisiin myöntää ja luovuttaa myös oikeushenkilölle. Näin määritelmä olisi yhteneväinen sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen määritelmän kanssa. Lain 23 §:n 2 momentissa todetaan selkeästi, että vahvan tunnistusvälineen haltija ei saa luovuttaa välinettä toisen käyttöön.

Pykälän 7 kohdassa määritellyllä ensitunnistamisella tarkoitetaan tunnistusvälineen hakijana olevan luonnollisen henkilön henkilöllisyyden todentamista tai oikeushenkilön oikeushenkilöllisyyden todentamista ennen välineen myöntämistä. Ensitunnistaminen on vahvan sähköisen tunnistamisen luotettavuuden keskeinen peruspilari. Siitä säädetään voimassa olevan lain 17 §:ssä. Ensitunnistaminen on tunnistamislain myötä vakiintunut termi. Sen avulla on haluttu erottaa selkeästi tietty tapahtuma myöhemmistä, useita kertoja toistuvista tunnistustapahtumista.

Voimassa olevan lain 17 §:n mukaan ensitunnistaminen voidaan tehdä kahdella tavalla (HE 272/2014 ). Ensiksikin, jos hakijalla ei ole aikaisempaa tämän lain mukaista vahvaa sähköistä tunnistusvälinettä, tulee tunnistaminen tehdä henkilökohtaisesti. Toiseksi, jos hakijalla on jo käytössään vahva sähköinen tunnistusväline, voidaan tässä laissa tarkoitettua tunnistusvälinettä hakea sähköisesti. Tässä esityksessä ehdotetaan muutettavaksi ensitunnistamista koskevia säännöksiä siten, että Suomessakin olisi mahdollista tunnistaa luonnollinen henkilö siten kuin EU:n varmuustasoasetuksen liitteen kohdassa 2.1.2 säädetään.

Varmenteen ja varmentajan määritelmät vastaisivat voimassa olevan lain määritelmiä (HE 36/2009).

Luottamusverkostolla tarkoitettaisiin Viestintävirastoon ilmoituksen tehneiden tunnistuspalvelun tarjoajien verkostoa. Määritelmä vastaa voimassa olevan lain määritelmää (HE 272/2014).

Ehdotetun 11 kohdan mukaan vaatimustenmukaisuuden arviointilaitoksella tarkoitettaisiin asetuksen (EY) 765/2008 (ns. NLF-asetus) 2 artiklan 13 kohdassa määriteltyä elintä, joka on akkreditoitu NLF-asetuksen mukaisesti. Vaatimustenmukaisuuden arviointilaitoksen tekemistä arvioinneista on säännöksiä eIDAS-asetuksessa.

Pykälän 2 momentissa lueteltaisiin ne määritelmät, joilla olisi sama merkitys kuin sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa. Sähköisellä allekirjoituksella tarkoitetaan EU:n asetuksessa sähköisessä muodossa olevaa tietoa, joka on liitetty tai joka loogisesti liittyy muuhun sähköisessä muodossa olevaan tietoon ja jota allekirjoittaja käyttää allekirjoittamiseen. Sähköinen allekirjoitus perustuu siihen, että sähköiset tiedot liitetään toisiinsa tavalla, jossa niistä muodostuu ainutkertainen yhdistelmä, joka mahdollistaa allekirjoittajan todentamisen. Yksinkertainen sähköinen allekirjoitus on laaja käsite. Sen tarkoituksena on tunnistaa allekirjoittaja ja todentaa tiedot. Kyseessä voi yksinkertaisimmillaan olla sähköpostin allekirjoittaminen henkilön nimellä, mutta varsinaisia vaatimuksia liittyy kehittyneeseen tai hyväksyttyyn varmenteeseen perustuvaan hyväksytyllä allekirjoitusvälineellä tehtävään sähköiseen allekirjoitukseen.

Luottamuspalvelulla tarkoitetaan EU:n asetuksessa sähköistä palvelua, jota yleensä tarjotaan vastiketta vastaan ja joka koostuu seuraavista: 1) sähköisten allekirjoitusten, sähköisten leimojen tai sähköisten aikaleimojen, sähköisten rekisteröityjen jakelupalvelujen ja kyseisiin palveluihin liittyvien varmenteiden luomisesta, tarkastamisesta ja validoinnista; tai 2) verkkosivustojen todentamisen varmenteiden luomisesta, tarkastamisesta ja validoinnista; tai 3) sähköisten allekirjoitusten, leimojen tai kyseisiin palveluihin liittyvien varmenteiden säilyttämisestä.

Kehittyneellä sähköisellä allekirjoituksella tarkoitetaan sähköistä allekirjoitusta, joka täyttää eIDAS-asetuksen 26 artiklassa säädetyt vaatimukset. Sähköisen allekirjoituksen tulee liittyä yksilöivästi allekirjoittajaansa ja sillä tulee voida yksilöidä allekirjoittaja. Kehittynyt sähköinen allekirjoitus on luotu käyttäen sähköisen allekirjoituksen luontitietoja, joita allekirjoittaja voi korkealla varmuustasolla käyttää yksinomaisessa valvonnassaan. Edelleen kehittyneen sähköisen allekirjoituksen tulee olla liitetty sillä allekirjoitettuun tietoon siten, että tiedon mahdollinen myöhempi muuttaminen voidaan havaita.

Sähköisen tunnistamisen järjestelmällä tarkoitetaan eIDAS-asetuksessa sähköiseen tunnistamiseen liittyvää järjestelmää, jonka puitteissa sähköisen tunnistamisen menetelmiä myönnetään luonnolliselle henkilölle, oikeushenkilölle tai oikeushenkilöä edustaville luonnollisille henkilöille. Käsitettä käytetään esimerkiksi 8 §:ssä.

Luottavalla osapuolella luonnollista henkilöä tai oikeushenkilöä, joka luottaa sähköiseen tunnistamiseen tai luottamuspalveluun.

6 §. Henkilötietojen käsittely. Pykälään ehdotetaan lisättäväksi uusi 2 momentti, voimassa olevia 1 ja 3 momentteja ehdotetaan muutettavaksi niin, että niissä viitattaisiin luottamuspalveluja tarjoavaan varmentajaan sekä 4 momentin lakiviittauksia tarkistettaisiin.

On arvioitu, että tunnistuslain 12 a §:ssa tarkoitetussa luottamusverkostossa tunnistuksenvälityspalvelu toimii itsenäisenä rekisterinpitäjänä, jolloin se vastaa henkilötietojen käsittelystä ja muun muassa siitä, että se luovuttaa tietoja vain sellaiselle toimijalle, jolla on lakiin tai sopimukseen perustuva oikeus käsitellä tietoa. Ehdotetun uuden 2 momentin mukaan tunnistusvälityspalvelun tarjoajalla on oikeus tunnistuksen välityspalvelua tarjotessaan luovuttaa henkilötietoja sähköiseen tunnistukseen luottavalle osapuolelle, mikäli luottavalla osapuolella on lain perusteella oikeus käsitellä henkilötietoja.

Jos Tunnistuksenvälityspalvelu käsittelee ja välittää muitakin kuin tunnistamisen kannalta välttämättömiä henkilötietoja (nk. henkilötietojen rikastaminen), arvio vastuullisesta rekisterinpitäjästä voi erota tunnistamisen kannalta välttämättömien henkilötietojen ja muiden välitettävien henkilötietojen kohdalla.

7 §. Väestötietojärjestelmän tietojen käyttäminen. Pykälän 1 momenttia ehdotetaan täsmennettäväksi niin, että velvollisuus hankkia ja päivittää tunnistuspalvelun tarjoamiseksi tarvittavat tiedot väestötietojärjestelmästä koskee tunnistusvälineen tarjoajaa eikä tunnistusvälityspalvelun tarjoajaa. Tiedot tulisi päivittää niin usein, että voidaan riittävällä tavalla varmistua siitä, etteivät tiedot ole vanhentuneita. Viestintävirasto valvoo säännöksen noudattamista.

7 a §. Yritys- ja yhteisörekisterien tietojen käyttäminen. Lakiin ehdotetaan uuttaa säännöstä, jonka mukaan tunnistusvälineen tarjoajan ja luottamuspalvelua tarjoavan varmentajan on hankittava ja päivitettävä oikeushenkilöä koskevan tunnistuspalvelun tarjoamiseksi tarvitsemansa tiedot yritys- ja yhteisörekistereistä. Patentti- ja rekisterihallituksen ylläpitämistä rekistereistä säädetään kaupparekisterilaissa (129/1979), säätiölaissa (487/2015) sekä yhdistyslaissa (503/1989) ja yhdistysrekisteriasetuksessa (506/1989). Patentti- ja rekisterihallituksen kauppa- säätiö- ja yrityskiinnitysrekisterien hinnat perustuvat lakiin patentti- ja rekisterihallituksen suoritteista perittävistä maksuista (1032/1992).

8 §. Sähköisen tunnistamisen järjestelmälle asetettavat vaatimukset. Pykälää ehdotetaan muutettavaksi. Sen 1 momentissa luetellaan neljä tekijää, jotka ovat edellytyksenä sille, että tunnistuspalvelua tarjoavaa tunnistusjärjestelmää voidaan pitää vahvana. Koska vahvalta sähköiseltä tunnistamiselta vaadittaisiin järjestelmien turvallisuuden osalta samoja edellytyksiä kuin EU:ssa vaaditaan, pykälä sisältäisi viittauksia eIDAS-asetuksen nojalla annettuun komission täytäntöönpanoasetukseen. Teknisten vähimmäiseritelmien ja –menettelyjen vahvistamisesta sähköisen tunnistamisen menetelmien varmuustasoja varten sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 8 artiklan 3 kohdan mukaisesti annettu komission täytäntöönpanoasetus (EU) 2015/1502 (jäljempänä sähköisen tunnistamisen varmuustasoasetus) sisältää tunnistamisjärjestelmien eri varmuustasoille asetetut vaatimukset.

Ehdotetun 1 kohdan mukaan tunnistusmenetelmän perustana on oltava huolellinen ensitunnistaminen, jota koskevat tiedot ovat jälkikäteen tarkastettavissa. Ensitunnistaminen on määritelty 2 §:n 1 momentin 8 kohdassa ja siitä säädetään 17 ja 17 a §:ssä. Lain 24 §:n mukaan tunnistusvälineen tarjoajan on tallennettava tarvittavat tiedot ensitunnistamisesta sekä siinä käytetystä asiakirjasta.

Ehdotetun 2 kohdan mukaan tunnistusmenetelmällä on voitava yksiselitteisesti tunnistaa tunnistusvälineen haltija, niin kuin sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdissa 2.1.2, 2.1.3 ja 2.1.4 edellytetään vähintään korotetulta varmuustasolla.

Ehdotetun 3 kohdan mukaan tunnistusmenetelmällä on voitava sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.3 vähintään korotetulla varmuustasolla edellytetyllä luotettavuudella varmistua, että ainoastaan tunnistusvälineen haltija voi käyttää välinettä.

Ehdotetun 4 kohdan mukaan tunnistusjärjestelmä tulee olla sähköisen tunnistamisen varmuustasoasetuksen liitteessä kohdassa 2.2.1, 2.3.1 ja 2.4.6 määritellyllä tavalla turvallinen ja luotettava ottaen huomioon kulloinkin käytettävissä olevaan tekniikkaan liittyvät tietoturvallisuusuhat ja palvelun tarjoamiseen käytettävien tilojen tulee turvallisia sähköisen tunnistamisen varmuustasoasetuksen liitteessä kohdassa 2.4.5 määritellyllä tavalla.

Ehdotetun 5 kohdan mukaan tietoturvallisuuden hallinnasta tulee olla huolehdittu sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdan 2.4 johdantokappaleen ja kohdassa 2.4.3 ja 2.4.7 vähintään korotetulla varmuustasolla määritellyllä tavalla. Kohdassa 2.4.3 säädetään, että tietoturvallisuuden hallintajärjestelmässä noudatetaan vakiintuneita standardeja tietoturvaan liittyvien riskien hallintaa ja valvontaa varten. Kohdassa 2.4.7 korotetulla varmuustasolla edellytetään määräajoin tehtäviä riippumattomia sisäisiä tai ulkoisia tarkastuksia kattaen kaikki merkitykselliset toimintalohkot. Näistä tarkastuksista säädetään ehdotetussa 29 §:ssä.

Tietoturvallisuuden hallinnasta säädetään sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.4.3. korotetulla varmuustasolla edellytetään, että tunnistamispalvelun tarjoajalla on käytössään tehokas tietoturvallisuuden hallintajärjestelmä tietoturvaan liittyviä riskien hallintaa ja valvontaa varten. Lisäksi tietoturvallisuuden hallintajärjestelmässä tulee noudattaa vakiintuneita standardeja tietoturvaan liittyviä riskien hallintaa ja valvontaa varten.

Ehdotettu 2 momentti olisi saman sisältöinen kuin voimassa olevassa laissa. Voimassa olevan 8 §:n 3 momentissa oleva Viestintäviraston valtuus antaa tarkempia teknisiä määräyksiä siirrettäisiin ehdotettuun 42 §:ään. Viestintäviraston valtuus antaa teknisiä määräyksiä olisi nykyistä tarkemmin määritelty niin, että se kohdistuisi enää 1 momentin 4 ja 5 kohdassa mainittuihin asioihin.

8 a §. Tunnistusmenetelmässä käytettävät todentamistekijät. Ehdotetun 1 momentin mukaan tunnistusmenetelmässä olisi käytettävä vähintään kahta luetelluista todentamistekijöistä. Ehdotettua säännöstä vastaava säännös sisältyy voimassa olevan lain 2 §:n määritelmään vahvasta sähköisestä tunnistamisesta. Ehdotettu 1 momentin säännös sisältyy myös sähköisen tunnistamisen varmuustasoasetukseen. Ehdotettu säännös on kirjoitettu teknologianeutraalisti. Tiedossa oloon perustuvalla todentamistekijällä tarkoitetaan jotain, jonka henkilön on osoitettava olevan tiedossaan, esimerkiksi salasana. Hallussapitoon perustuvalla todentamistekijällä tarkoitetaan jotain, joka henkilöllä on oltava hallussaan, esimerkiksi avainlukulista, sirukortti tai mobiilivarmenne. Luontainen todentamistekijä perustuu johonkin luonnollisen henkilön fyysiseen ominaisuuteen, esimerkiksi sormenjälkeen.

Ehdotetun 2 momentin mukaan jokaisessa tunnistusmenetelmässä on käytettävä sähköisen tunnistamisen varmuustasoasetuksessa kohdassa 2.3.1 tarkoitettua sellaista dynaamista todentamista, joka voidaan muuttaa jokaisessa uudessa henkilön ja hänen henkilöllisyytensä varmentavan järjestelmän välillä tapahtuvassa todentamistapahtumassa. On arvioitu, että nykyiset vahvat sähköiset tunnistusvälineet täyttävät tämän vaatimuksen.

9 §. Tunnistuspalvelun tarjoajalle asetettavat vaatimukset. Pykälän 1 momenttia ehdotetaan muutettavaksi siten, että tunnistuspalvelun tarjoajana ei voisi olla enää luonnollinen henkilö, vaan vain oikeushenkilö. Näin sääntely olisi yhdenmukainen sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdan 2.4.1 ensimmäisen alakohdan kanssa. Käytännössä jo nyt tunnistamislain 13 §:n edellyttämä riittävien taloudellisten voimavarojen vaatimus on johtanut siihen, että luonnolliset henkilöt eivät ole toimineet tunnistuspalvelun tarjoajina. Ehdotetun 1 momentin mukaan tunnistuspalvelun tarjoajana oleva oikeushenkilö tai sen lukuun toimiva luonnollinen henkilö, palveluntarjoajana oleva yhteisö tai säätiön hallituksen tai hallintoneuvoston jäsen ja varajäsen, toimitusjohtaja, vastuunalainen yhtiömies sekä muussa näihin rinnastettavassa asemassa olevan on oltava täysi-ikäisiä, he eivät saa olla konkurssissa ja heidän toimintakelpoisuutensa ei saa olla rajoitettu. Käytännössä toimintakelpoisuuden rajoitukset voivat olla seurausta esimerkiksi vajaavaltaisuudesta.

Sähköisen tunnistamisen varmuustasoasetuksen liitteen 2.4.1 kohta edellyttää, että tunnistamispalvelun tarjoajat ovat oikeushenkilöitä. Muutoin 1 momentti vastaa asiallisesti voimassa olevaa 1 momenttia (HE 36/2009 vp).

10 §. Tunnistuspalvelun tarjoajan velvollisuus ilmoittaa toiminnan aloittamisesta. Ehdotuksen mukaan pykälän 2 momenttiin lisättäisiin uusi 5 kohta sekä 4 momenttiin sisältyvä Viestintäviraston valtuutus antaa määräyksiä siirrettäisiin lain 42 §:ään, minne koottaisiin Viestintäviraston valtuudet antaa määräyksiä. Selvyyden vuoksi koko pykälä ehdotetaan muutettavaksi.

Pykälän 1 momentin mukaan Suomeen sijoittautuneen tunnistuspalvelun tarjoajan on ennen toiminnan aloittamista tehtävä kirjallinen ilmoitus Viestintävirastolle. Ilmoituksen voi tehdä myös sellainen tunnistusvälineen tarjoajien yhteenliittymä, jonka hallinnoimaa palvelua on pidettävä yhtenä tunnistuspalveluna. Ehdotuksen mukaan pykälän 2 momenttiin lisättäisiin uusi 5 kohta, jonka mukaan tunnistuspalvelun tarjoajan ilmoituksessa tulisi olla myös tiedot sovelletusta arviointimenettelystä ja arvioinnin tulokset. Ehdotetussa lain 4 luvussa säädetään tunnistamispalvelun tarjoajien arviointielimien pätevyydestä sekä minkä tyyppistä arviointielintä eri palveluissa on käytettävä. Niistä vaatimuksista, joita vasten lain mukainen arviointielin arvioi tunnistuspalvelun, säädetään laissa ja tarvittaessa vaatimuksia tarkennetaan Viestintäviraston määräyksellä.

Voimassa olevan lain 10 §:n 4 momenttiin sisältyy valtuus Viestintävirastolle antaa määräyksiä 10 §:ssä tarkoitettujen ilmoitettavien tietojen tarkemmasta sisällöstä. Tämä valtuutus ehdotetaan siirrettäväksi 42 §:ään. Viestintävirasto voisi määräyksessään ottaa huomioon sen, että 12 a §:stä johtuen markkinoille on tulossa uusia tunnistusvälityspalvelun tarjoajia ja olisi valvontatoiminnan kannalta tarkoituksenmukaista edellyttää, että tunnistuspalvelun tarjoaja ilmoittaa erilaisia yleisiä tietoja tarjoamistaan palveluista. Viestintävirasto voisi määräyksessään edellyttää tarpeellisia tietoja tarjottavista palveluista, esimerkiksi toimiiko palveluntarjoaja tunnistusvälineiden tarjoajana tai/ja tunnistamisen välityspalvelun tarjoajana. Lisäksi valvontatoiminnan kannalta olisi tarpeellista, että palveluntarjoaja ilmoittaisi millä sähköisen tunnistamisen varmuustasoasetuksessa määritellyillä varmuustasoilla (matala, korotettu, korkea) palveluntarjoaja tarjoaa tunnistuspalveluja.

Ehdotetun lakimuutoksen voimaan tuloa koskevan säännöksen mukaan Viestintäviraston voimassa olevan lain nojalla antamat määräykset ovat voimassa siihen saakka, kunnes uudet määräykset muutetun 42 §:n nojalla on annettu.

13 §. Tunnistuspalveluntarjoajan yleiset velvollisuudet. Pykälän 1 momenttia ehdotetaan muutettavaksi siten, että tunnistuspalvelun tarjoajan, tietojen säilyttämistä, henkilökuntaa ja alihankintana käyttämiä palveluja koskevat vaatimukset vastaavat EU:n sähköisen tunnistamisen varmuustasoasetuksessa säädettyjä vähintään korotetulle varmuustasolle asetettuja vaatimuksia. Ehdotetut velvoitteet koskevat niin tunnistusvälineiden tarjoajia kuin tunnistusvälityspalvelun tarjoajia.

Tietojen säilyttämisen osalta tulee noudattaa sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdan 2.4.4 vaatimuksia. Tunnistamiseen liittyvät tiedot tulee kirjata ja säilyttää käyttämällä tehokasta tiedonhallintajärjestelmää. Tiedot säilytetään ja suojataan siihen asti, kun tiedot hävitetään turvallisesti.

Tunnistamispalvelun tarjoajan tilojen ja henkilökunnan sekä mahdollisten alihankkijoiden tulee täyttää sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdan 2.4.5 vaatimukset. Tunnistuspalvelun tarjoajan on huolehdittava siitä, että sen palveluksessa olevalla henkilöstöllä ja alihankkijoilla on harjoitetun toiminnan laajuuteen nähden riittävä asiantuntemus, kokemus ja pätevyys. Käytössä on oltava riittävästi henkilöstöä ja alihankkijoita, jotta palvelua voidaan toteuttaa asianmukaisesti. Palveluun käytettävien tilojen on oltava jatkuvasti valvottuja ja suojattuja tekijöiltä, jotka voivat vaikuttaa palvelun turvallisuuteen. Palvelun tarjoamiseen käytetyissä tiloissa varmistetaan, että pääsy alueille, joilla säilytetään tai käsitellään henkilötieoja tai salattuja tietoja, rajoitetaan kulku valtuutetulle henkilöstölle tai alihankkijoille.

14 §. Tunnistusperiaatteet. Pykälän 1 ja 2 momenttia ehdotetaan muutettavan. 3 momentin ruotsinkielistä kieliasua tarkastetaan. 4 momenttia ei muutettaisi. 1 momenttia ehdotetaan täsmennettävän niin, että erityisesti tunnistusvälineen tarjoajan on määriteltävä tunnistusperiaatteissa tarkemmin, kuinka se toteuttaa 17 ja 17 a §:ssä tarkoitetun tunnistamisen tunnistusvälinettä myönnettäessä.

Voimassa olevan lain 2 momentissa luetellaan ne keskeiset tiedot, jotka tunnistusperiaatteissa on annettava. Muutetussa 2 momentissa uusia kohtia ovat 3, 4 ja 6 kohdat ja muut kohdat vastaavat voimassa olevaa lakia (HE 36/2009). Selvyyden vuoksi koko 2 momenttia ehdotetaan muutettavaksi.

Ehdotetun 3 kohdan mukaan tunnistusperiaatteissa tulee antaa kaikki tiedot sovellettavista ehdoista ja 4 kohdan mukaan palveluun liittyvistä tietosuojaperiaatteista. Vaatimuksen perustuvat sähköisen tunnistamisen varmuustasoasetuksen liitteen kohtaan 2.4.2.

Uutena vaatimuksena tunnistusperiaatteissa annettavina keskeisinä tietoina olisivat 6 kohdan mukaan tiedot 4 luvun mukaisesta riippumattoman arviointilaitoksen tai muun arviointielimen tekemästä arvioinnista. Ehdotetun siirtymäsäännöksen mukaan tunnistuspalvelun tarjoajan tulee toimittaa arviointikertomus suoritetusta riippumattomasta tunnistuspalvelun arvioinnista ja tiedot muuttuneista 14 §:ssä tarkoitetuista tunnistusperiaatteista Viestintävirastolle 31 päivään tammikuuta 2017 mennessä. Tunnistusperiaatteet muuttuvat, kun tunnistuspalvelun tarjoaja aloittaa toimintansa luottamusverkostossa.

15 §. Tunnistusvälineen tarjoajan tiedonantovelvollisuus ennen sopimuksen tekemistä. Pykälän otsikko ja 1 momentin johdantokappale ehdotetaan muutettavaksi selvyyden vuoksi niin, että pykälässä säädetyt velvollisuudet koskevat vain tunnistusvälineen tarjoajaa.

16 §. Tunnistuspalvelun tarjoajan velvollisuus ilmoittaa toimintaan ja tietojen suojaamiseen kohdistuvista uhkista tai häiriöistä. Pykälän otsikkoa sekä 1 momenttia ehdotetaan muutettavaksi. Pykälään ehdotetaan lisättäväksi 4 ja 5 momentti. Voimassa olevat 2 ja 3 momentti säilyisivät ennallaan. Selvyyden vuoksi koko pykälä ehdotetaan muutettavaksi. Voimassa olevan lain 16 §:ssä säädetty ilmoitusvelvollisuus koskee tietoturvaan ja tietojen suojaamiseen kohdistuvia uhkia tai häiriöitä. Pykälää ehdotetaan muutettavan siten, että ilmoitusvelvollisuus koskee tunnistuspalvelun toimivuuteen, tietoturvaan tai sähköisen identiteetin käyttöön kohdistuvia merkittäviä uhkia tai häiriöitä.

Ehdotettu pykälä laajentaisi tunnistuspalveluntarjoajan ilmoitusvelvollisuuden myös muille luottamusverkostossa toimiville sopimuspuolille. Jatkossa Viestintävirasto voisi teknisesti välittää tässä pykälässä tarkoitettuja toimijoiden välisiä ilmoituksia luottamusverkostossa toimiville tunnistuspalveluiden tarjoajille. Koska tietoihin sisältyy salassa pidettäviä tietoja, jotka Viestintäviraston tulisi arvioida ja käsitellä viranomaisten toiminnan julkisuudesta annetun lain (621/1999), jäljempänä julkisuuslain salassapitosäännösten mukaan, lakiin on lisätty myös säännös, jonka mukaan Viestintävirasto voi luovuttaa tiedot luottamusverkostossa ilmoittajan lukuun sen estämättä, mitä julkisuuslaissa säädetään. Viestintävirasto tarjoaisi siis ainoastaan teknisen alustan luottamusverkoston tiedonvaihdolle, mutta ei tarkistaisi tai arvioisi tiedon luovutuksen perusteita, vaan se olisi luovuttajan vastuulla. Luovuttajan vastuulla olisi myös teknisessä välitysjärjestelmässä yksilöidä ne luottamusverkoston jäsenet, joille tiedot sen sopimuspuolina tai muutoin välitetään. Häiriöilmoitukset, jotka toimijat tekevät valvovalle viranomaiselle Viestintävirasto käsittelisi julkisuuslain mukaisesti saamansa häiriöilmoitukset, muodostaisi niiden perusteella tilannekuvaa palveluiden yleisestä tilanteesta sekä arvioisi, onko toiminta täyttänyt säädetyt vaatimukset.

Ehdotetun 4 momentin mukaan tunnistuspalvelun tarjoaja saisi käyttää tämän pykälän nojalla saatuja toista tunnistuspalvelun tarjoajaa koskevia tietoja vain tässä pykälässä tarkoitettuihin uhkiin tai häiriöihin varautumiseen. Tietoja saisivat luottamuspalvelun tarjoajan palveluksessa käsitellä ainoastaan ne, jotka tarvitsevat tietoja välttämättä työssään. Tietoja olisi muutoinkin käsiteltävä siten, ettei toisen tunnistuspalvelun tarjoajan liikesalaisuuksia ja toiminnan tietoturvallisuutta vaaranneta.

Ehdotetun 5 momentin mukaan tunnistuspalvelun tarjoaja, joka aiheuttaa 4 momentin vastaisella menettelyllä vahinkoa toiselle tunnistuspalvelun tarjoajalle, olisi velvollinen korvaamaan menettelystään aiheutuvan vahingon.

17 §. Tunnistusvälineen hakijana olevan luonnollisen henkilön tunnistaminen. Pykälän otsikkoa ehdotetaan muutettavaksi siksi, että se koskisi jatkossa vain luonnollisen henkilön tunnistamista.

Voimassa olevan 1 momentin mukaan ensitunnistaminen on tehtävä henkilökohtaisesti, jos tunnistusvälineen hakijalla ei ole aikaisempaa vahvaa sähköistä tunnistusvälinettä. Jos hakijalla on jo käytössään vahva sähköinen tunnistusväline, uutta vahvaa sähköistä tunnistamisvälinettä on voinut hakea jo olemassa olevalla vastaavan tasoisella tunnistusvälineellä.

Ehdotetun 17 §:n 1 momentissa säädettäisiin henkilön ensitunnistamisessa ennen vahvan sähköisen tunnistusvälineen myöntämistä. Ehdotetussa 1 momentissa viitattaisiin EU:n sähköisen tunnistamisen varmuustasoasetuksen liitteen kohtaan 2.1.2, jossa säädetään luonnollisen henkilön henkilöllisyyden todistamisesta ja varmentamisesta silloin kun henkilö hakee korotetun tai korkean varmuustason sähköistä tunnistusvälinettä. Ehdotetun 1 momentin mukaan säännöksiä sovellettaisiin myös Suomessa tarjottaviin vahvoihin sähköisiin tunnistusvälineisiin, vaikka niitä ei ilmoitettaisikaan EU:lle niin sanotuiksi rajat ylittäviksi tunnistusvälineiksi.

Korotetulla varmuustasolla sähköisen tunnistamisen varmuustasoasetuksessa säädetään neljästä tunnistusvälineen tarjoajalle vaihtoehtoisesta tavasta tehdä henkilön ensitunnistaminen. Ehdotetun 1 momentin mukaan kaikkia näitä neljää tapaa voisi käyttää myös Suomessa tarjottavien tunnistusvälineiden ensitunnistamisessa. Liitteen kohdan 2.1.2 kahdessa ensimmäisessä vaihtoehtoisessa tavassa henkilö tunnistetaan henkilöllisyystodistuksen perusteella joko henkilökohtaisesti tai sähköisesti. Sähköisesti henkilö voidaan tunnistaa henkilöllisyystodistuksen perusteella etänä tai koneellisesti. Henkilöllisyyden varmentamisessa hyväksyttävistä asiakirjoista säädettäisiin pykälän 2 momentissa.

Sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdan 2.1.2. kolmannessa vaihtoehdossa henkilön tunnistaminen perustuu henkilöllisyyden varmentamiseen vastaavalla varmuudella niin sanotun aikaisemman asiakkuuden tai aikaisemman tuntemisen perusteella. Tällöin luonnollisen henkilön henkilöllisyyden varmentaminen voi perustua julkisen tai yksityisen tunnistusvälineen tarjoajan aiemmin muuhun tarkoitukseen kuin vahvan sähköisen tunnistusvälineen myöntämiseen käyttämään menettelyyn, jonka Viestintävirasto hyväksyy sitä koskevien säännösten ja viranomaisvalvonnan perusteella tai tämän lain 28 §:n 1 momentin 1 kohdassa tarkoitetun vaatimustenmukaisuuden arviointilaitoksen vahvistuksen perusteella. Menettely, jossa henkilön tunnistamisen perustuisi ns. aikaisempaan asiakkuuteen, edellyttäisi Viestintäviraston hyväksyntää. Menettely voisi soveltua esimerkiksi pankkeihin, joille rahanpesulaissa 503/2008 on säädetty velvollisuus varmentaa asiakkaan henkilöllisyys luotettavasta ja riippumattomasta lähteestä peräisin olevien asiakirjojen tai tietojen perusteella. Pankkien toimintaa niitä koskevan rahanpesulainsäädännön perusteella valvoo Finanssivalvonta. Aikaisempaan tuntemiseen perustuva menettely voisi soveltua myös poliisin myöntämällä henkilökortilla olevan Väestörekisterikeskuksen sähköisen tunnistamisvarmenteen myöntämiseen, joka ehdotetaan henkilökorttia koskevan tekeillä olevan lainmuutoksen mukaan myönnettäväksi tietyillä edellytyksillä samalla tavalla kuin itse henkilökortti ilman henkilökohtaista henkilöllisyystodistuksen esittämistä.

Sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdan 2.1.2. neljännessä vaihtoehdossa henkilö tunnistetaan henkilöllä jo aikaisemmin olevan vastaavan varmuustason sähköisellä tunnistusvälineellä.

Pykälän 2 momenttia muutettaisiin siten, että silloin kun henkilön ensitunnistamisessa henkilön tunnistaminen perustuu yksinomaan viranomaisen myöntämään henkilöllisyyttä osoittavaan asiakirjaan, tarjoaja ei voisi enää varmentaa henkilön henkilöllisyyttä pelkästään Suomen tai muun Euroopan talousalueen jäsenvaltion viranomaisen myöntämästä ajokortista.. Säännökseen liittyisi siirtymäaika vuoden 2018 loppuun. Vuodesta 2019 alkaen tunnistamisvälinettä ei voisi enää myöntää siten, että henkilön henkilöllisyyden varmentamisessa käytetään pelkästään ajokorttia. Käytännön muutos on tarpeellinen sen vuoksi, ettei ajokorttia enää voida pitää todistuksena henkilöllisyydestä, vaan todistuksena ajo-oikeudesta.

Voimassa olevan 17 §:n 3 momentin mukaan tapauksissa, joissa tunnistusvälineen hakijan henkilöllisyyttä ei voida luotettavasti todentaa, hakemukseen liittyvän ensitunnistamisen tekee poliisi. Tätä 3 momentin säännöstä ei muutettaisi.

17 a § Tunnistusvälineen hakijana olevan oikeushenkilön tunnistaminen Oikeushenkilön ilmoitettu henkilöllisyys varmennettaisiin Patentti- ja rekisterihallituksen ylläpitämästä kauppa-, yhdistys- tai säätiörekisteristä. Lisäksi on noudatettava EU:n varmuustasoasetuksen liitteen kohdassa 2.1.3 vähintään korotetulle varmuustasolle asetettuja vaatimuksia.

20 §. Tunnistusvälineen myöntäminen. Pykälän 3 momenttia ehdotetaan muutettavan johtuen EU:n sähköisen tunnistamisen varmuustasoasetuksesta. Myös pykälän otsikkoa ehdotetaan muutettavaksi selkeyden vuoksi. Lain tarkoittaman tunnistusvälineen on voinut tähän asti myöntää vain luonnolliselle henkilölle, mutta eIDAS-asetuksessa mahdollistetaan tunnistusvälineen myöntäminen oikeushenkilölle ja se ehdotetaan säädettäväksi nyt mahdolliseksi myös kansallisesti. Luonnollisen henkilön ja oikeushenkilön tunnistusvälineiden kytkös on toteutettava EU:n sähköisen tunnistamisen varmuusasetuksen liitteen kohdan 2.1.4 mukaisesti. Varmuustasoasetuksen mukaan varmistetaan, että oikeushenkilön puolesta toimivan luonnollisen henkilön henkilöllisyys on todistettu korotetulla tai korkealla varmuustasolla siten, kuin varmuustasoasetuksessa säädetään. Toisin sanoen oikeushenkilön tunnisteeseen kytketyn luonnollisen henkilön sähköisen tunnisteen täytyy täyttää varmuustasoasetuksen vaatimukset. Oikeushenkilön ja luonnollisen henkilön kytköksen täytyy olla kirjattu ja varmennettu jossain kansallisesti tunnustetussa luotettavassa lähteessä. Tällaisena luotettavana lähteenä voidaan Suomessa nähdä ainakin patentti- ja rekisterihallituksen ylläpitämät yritys- ja yhteisörekisterit siltä osin, kun niihin merkitään luonnollisten henkilöiden oikeuksia edustaa yritystä tai yhteisöä. Varmuustasoasetuksessa edellytetään lisäksi, että kytköksen voimassaolo on voitava keskeyttää tai peruuttaa ja että luonnollinen henkilö voi siirtää kytköksen toteuttamisen toiselle henkilölle kansallisesti hyväksyttyjen menettelyjen mukaisesti. Oikeushenkilön sähköisiin tunnistusvälineisiin liittyviä menettelytarpeita on toistaiseksi vaikea ennakoida, joten lakiin ei ehdoteta tässä vaiheessa tarkempia menettelysäännöksiä. Tarvittaessa toiminnassa voidaan tukeutua oikeushenkilön ja luonnollisen henkilön suhdetta koskevaan muuhun sääntelyyn.

Tunnistusväline myönnetään aina luonnolliselle henkilölle tai oikeushenkilölle. Tunnistusvälineen on oltava henkilökohtainen, millä tarkoitetaan tässä siis myös oikeushenkilöä. Luonnollisen henkilön tunnistusvälineeseen voidaan edelleen tarvittaessa liittää tieto siitä, että henkilö voi tapauskohtaisesti myös edustaa toista luonnollista henkilöä tai oikeushenkilöä. Tämä soveltuisi siis jollain tapaa erikseen määriteltyihin tapauksiin, mutta edellä kuvattu oikeushenkilön tunnistusväline ja luonnollisen henkilön tunnistusvälineen kytkös siihen olisi pysyväisluonteinen ja lähtökohtaisesti asioinnin kannalta sisällöltään rajoittamaton ratkaisu.

21 §. Tunnistusvälineen luovuttaminen hakijalle. Esityksessä ehdotetaan muutettavan 21 §:ää siten, että tunnistusvälineen tarjoajan on EU:n sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdan 2.2.2 mukaisesti riittävällä tavalla varmistettava, ettei tunnistusväline joudu oikeudettomasti toisen haltuun välinettä luovutettaessa. EU:n sähköisen tunnistamisen varmuustasoasetuksessa esimerkiksi varmuustasolla korotettu edellytetään, että tunnistusväline toimitetaan käyttäen mekanismia, jonka kautta se voidaan olettaa toimitettavan vain sen henkilön haltuun, jolle se kuuluu. .

22 §. Tunnistusvälineen uusiminen. Esityksessä ehdotetaan muutettavan 22 §:ää siten, että pykälä tarkennetaan koskemaan tunnistusvälineen tarjoajaa, joka uusii asiakkaalleen antaman tunnistusvälineen. Pykälään ehdotetaan otettavaksi viittaus EU:n sähköisen tunnistamisen varmuustasoasetuksen liitteen kohtaan 2.2.4 vähintään korotetulle varmuustasolle asetettuihin vaatimuksiin. Liitteen kohdassa 2.2.4 on erilaiset vaatimukset koskien varmuustasoja korotettu ja korkea, joita varmuustasoja ehdotetun lain mukaan on noudatettava vahvassa sähköisessä tunnistamisessa Suomessa.

24 §. Tunnistustapahtumaa ja tunnistusvälinettä koskevien tietojen tallentaminen ja käyttö. Pykälässä säädetään tiedoista, jotka ovat tarpeen esimerkiksi, jos joudutaan jälkikäteen selvittämään tunnistamistapahtumaan tai tunnistuspalvelua käyttävän palveluntarjoajan ja tunnistusvälineen haltijan välillä tehtyyn oikeustoimeen liittyviä seikkoja. Verrattuna voimassa olevaan 24 §:ään pykälää muutetaan niin, että 1 momentissa tietojen tallentamisvelvoitteet määritellään tunnistamispalvelun tarjoajalle eli velvoitteet koskevat niin tunnistusvälineiden tarjoajia kuin tunnistusvälityspalvelun tarjoajia. Ehdotetun 2 momentin velvoitteet koskevat vain tunnistusvälineen tarjoajia.

Pykälän 1 momentin mukaan tunnistuspalvelun tarjoajan on tallennettava yksittäisen tunnistustapahtuman todentamiseksi tarvittavat tiedot. Ehdotetussa 1 kohdassa tarkoitetuilla tunnistamistapahtumaan liittyvillä tiedoilla tarkoitetaan sitä, mitä tunnistuspalveluntarjoaja ilmoittaa tunnistuksen yhteydessä tunnistuspalvelua käyttävälle palveluntarjoajalle eli tunnistukseen luottavalle osapuolelle, ja mihin seikkoihin tämä ilmoitus perustui. Lisäksi näihin tietoihin sisältyvät muun muassa kellonaika ja päivämäärä.

Edelleen 2 kohdan mukaan tunnistamisvälineen tarjoajan on tallennettava tiedot 18 §:ssä tarkoitetuista tunnistusvälineen käyttöön mahdollisesti liittyvistä estoista ja käyttörajoituksista. Ehdotettu säännös takaa sen, että mahdolliset 18 §:ssä tarkoitetut käyttörajoitukset ovat selvitettävissä vielä jälkikäteenkin. Myös niiden osalta kyse lienee useimmiten vastuusuhteiden selvittämisestä.

Ehdotetun 1 momentin 3 kohdan mukaan tunnistuspalvelun tarjoajan on tallennettava varmenteen osalta 19 §:ssä tarkoitettu varmenteen tietosisältö. Säännös vastaa voimassa olevaa säännöstä.

Pykälän 2 momentin mukaan tunnistamisvälineen tarjoajan on tallennettava tarvittavat tiedot 17 tai 17 a §:ssä tarkoitetusta hakijan ensitunnistamisesta sekä ensitunnistamisessa käytetystä asiakirjasta tai sähköisestä ensitunnistamisesta. Tarvittavat tiedot voivat olla esimerkiksi passin tai henkilökortin numero. Joissakin tilanteissa voi olla tarpeen säilyttää valokopio käytetystä asiakirjasta. Asian todentaminen jälkikäteen saattaa olla tarpeen, jos tunnistusväline on annettu väärälle henkilölle. Ehdotetussa 17 §:ssä tarkoitetun prosessin selvittäminen saattaa olla tarpeen muun muassa sen selvittämiseksi, mikä taho vastaa mahdollisesti aiheutuneista vahingoista, jos osoittautuu, että tunnistusväline on annettu väärälle henkilölle. Valtionhallinnossa on vireillä hanke, jonka tarkoitus on mahdollistaa se, että tunnistusvälineen tarjoaja voisi tarkistaa, onko sille esitetty henkilöasiakirja ilmoitettu varastetuksi tai kadonneeksi.

Ehdotettu 3 momentti sisältää säännökset tallentamisajasta. Sen mukaan 1 momentin 1 kohdassa tarkoitetut tiedot on tallennettava 5 vuoden ajan tunnistustapahtumasta. Muut 1 ja 2 momentin nojalla tallennettavat tiedot on puolestaan tallennettava viiden vuoden ajan vakituisen asiakassuhteen päättymisestä. Ehdotetut tallentamisajat vastaavat voimassa olevan lain säännöksiä ja kuluttajan suojaksi annetun säännöstön ja rahapesusäännösten vaatimuksia. Samalla se merkitsee sitä, että tunnistuspalvelun tarjoajan on säilytettävä varsin suuri määrä tietoa. Joissakin tapauksissa tietojen säilyttäminen on luonnollisesti myös palveluntarjoajan omien etujen mukaista.

Pykälän 4 momentin mukaan tunnistustapahtuman yhteydessä syntyneet henkilötiedot on hävitettävä tunnistustapahtuman jälkeen, ellei tallentaminen ole välttämätöntä 1 momentin 1 kohdan mukaisesti yksittäisen tunnistustapahtuman todentamiseksi. Säännöksen avulla pyritään vähentämään palveluntarjoajan järjestelmiin tallentuvan henkilötiedon määrää.

Pykälän 5 momentti sisältää tietojen käsittelyn tarkoitusta koskevan rajoituksen. Tunnistuspalvelun tarjoaja saa käsitellä tietoja omien tarpeidensa johdosta ainoastaan palvelun toteuttamiseksi ja ylläpitämiseksi, laskutusta varten sekä omien oikeuksiensa turvaamiseksi. Jälkimmäisessä tilanteessa on kyse riitatilanteesta. Tämän lisäksi tunnistuspalveluntarjoaja saa käsitellä tietoja väärinkäytöstilanteissa ja silloin, jos se saa käsittelyä koskevan pyynnön joko tunnistuspalvelua käyttävältä palveluntarjoajalta tai tunnistusvälineen haltijalta tai molemmilta. Tällöin kysymys lienee siitä, että näiden kahden välillä on epäselvyyttä jostakin tunnistamistapahtumasta ja siihen mahdollisesti liittyvästä oikeustoimesta.

Ehdotetun säännöksen mukaan tunnistuspalvelun tarjoajan on tallennettava tieto tunnistustapahtuman käsittelyn ajankohdasta, syystä ja käsittelijästä. Esimerkiksi tietoyhteiskuntakaaren (917/2014) 145 § sisältää vastaavan säännöksen tunnistamistietojen käsittelyä koskevien tietojen tallentamisesta.

Pykälän 6 momentti koskee sellaista palveluntarjoajaa, joka ainoastaan laskee liikkeelle tunnistusvälineitä. Ehdotetun 1 momentin 1 kohdan mukainen tallennusvelvoite ei luonnollisestikaan koske tällaista palveluntarjoajaa, koska sillä ei ole kyseistä tietoa hallussaan. Pykälän 3 momentissa tarkoitettu viiden vuoden tallennusaika lasketaan tällöin välineen voimassaolon päättymisestä.

25 § Tunnistusvälineen peruuttamista tai käytön estämistä koskeva ilmoitus. Ehdotetuissa 1-3 momenttien säännöksiä on täsmennetty niin, että 1 momentissa tarkoitettu ilmoitus on tehtävä tunnistusvälineen tarjoajalle sekä että 2 ja 3 momenteissa säädetyt velvollisuudet koskevat tunnistusvälineen tarjoajaa eikä tunnistusvälityspalvelun tarjoajaa.

26 § Tunnistusvälineen tarjoajan oikeus peruuttaa tai estää tunnistusvälineenkäyttö. Voimassa olevan pykälän säännöksiä ehdotetaan täsmennettäväksi niin, että säännökset koskevat tunnistusvälineen tarjoajaa eikä tunnistusvälityspalvelun tarjoajaa.

IV luku Vaatimustenmukaisuuden arviointi

Lakiin ehdotetaan lukua, jossa säänneltäisiin sähköisten tunnistuspalveluiden, eIDAS-asetuksessa säänneltyjen luottamuspalvelujen tai niihin liittyvien välineiden tai tietojärjestelmien vaatimustenmukaisuuden arviointia sekä sertifiointia.

Luottamuspalveluiden vaatimustenmukaisuuden arviointia tekisivät Viestintäviraston hyväksymät vaatimustenmukaisuuden arviointilaitokset, joiden pätevyys on todettu arviointipalvelujen pätevyyden toteamisesta annetussa laissa (920/2005) säädetyllä menettelyllä eli akkreditoinnilla.

Vaatimustenmukaisuuden arviointia tekisivät myös tunnistuspalvelun tarjoajien teettämät riippumattomat ulkoiset ja sisäiset arviointilaitokset. Näitä laitoksia Viestintävirasto ei hyväksyisi etukäteen, mutta näidenkin arviointilaitosten tulee täyttää niille asetetut pätevyysvaatimukset.

28 § Vaatimustenmukaisuuden arviointielimet. Ehdotetun pykälän mukaan tämän lain mukaisen palvelun vaatimustenmukaisuuden voi arvioida Viestintäviraston hyväksymä vaatimustenmukaisuuden arviointilaitos, muun yleisesti käytetyn menetelmän (käytännössä standardin) mukaisesti toimiva ulkoinen arviointielin (muu ulkoinen arviointilaitos) tai palveluntarjoajan sisäinen yleisesti käytetyn standardin mukainen riippumaton arvioija (sisäinen tarkastuslaitos). Jälkimmäisin arviointielin kuuluisi siis samaan organisaatioon kuin arvioinnin kohde ja suorittaisi organisaation sisäistä, mutta riippumatonta arviointia.

Pykälän 1 kohdassa tarkoitetun vaatimustenmukaisuuden arviointilaitosten tehtävänä on arvioida sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 20 ja 21 artiklan mukaisesti, täyttääkö arvioitava luottamuspalvelu edellä mainitussa asetuksessa ja sen nojalla annetuissa komission täytäntöönpanopäätöksissä hyväksytylle luottamuspalvelulle asetetut vaatimukset. Vaatimustenmukaisuuden arviointilaitos voi myös arvioida, täyttääkö tunnistuspalvelun tarjoajan palvelu sille säädetyt vaatimukset.

Pykälän 2 kohdassa tarkoitetun muun ulkoisen arviointilaitoksen ja 3 kohdassa tarkoitetun sisäisen tarkastuslaitoksen tehtävänä on arvioida tunnistuspalvelun vaatimustenmukaisuutta, josta säädetään 29 §:ssä.

29 § Sähköisen tunnistuspalvelun vaatimustenmukaisuuden arviointi. Ehdotetun 1 momentin mukaan tunnistuspalvelun tarjoajan tunnistusjärjestelmän vaatimustenmukaisuus on osoitettava 28 §:n 1, 2 tai 3 kohdassa mainitun arviointielimen tekemällä arvioinnilla. Käytännössä siis tässä laissa tarkoitettu tunnistuspalvelun tarjoajan tunnistuspalvelu tulisi olla vähintään palveluntarjoajan sisäisen tarkastuslaitoksen arvioima. Korkealla varmuustasolla edellytetään 8 §:n 1momentin 5 kohdan ja varmuustasoasetuksen liitteen kohdan2.4.7 mukaisesti ulkoisen arviointielimen tekemää arviointia.

Tässä esityksessä tarkoitus on, että Suomessa toimivalle vahvan sähköisen tunnistamisen tunnistusjärjestelmille asetetaan vähintään samat vaatimukset kuin EU-lainsäädäntö vaatii korotetun varmuustason tunnistusjärjestelmiltä.

Ehdotettu 1 momentin velvollisuus osoittaa tunnistusjärjestelmän vaatimustenmukaisuus koskee myös sähköisen tunnistamisen luottamusverkostossa toimivia tunnistusvälityspalvelun tarjoajia.

Ehdotetussa 1 momentissa säädettäisiin yleisellä tasolla vaatimustenmukaisuuden arvioinnissa käytettävistä kriteereistä. Vahvan sähköisen tunnistuspalvelun tulee täyttää tässä laissa säädetyt yhteentoimivuutta, tietoturvaa, tietosuojaa ja muuta luotettavuutta koskevat vaatimukset.

Ehdotetun 2 momentin mukaan EU:lle ilmoitettavan sähköisen tunnistamisen järjestelmän vaatimustenmukaisuuden arvioinnista säädetään eIDAS-asetuksessa ja sen nojalla annetussa EU:n sähköisen tunnistamisen varmuustasoasetuksessa. Jos tunnistuspalvelun tarjoaja haluaa tunnistusjärjestelmänsä ilmoitettavaksi EU:n komissiolle, sen on noudatettava kaikilta osin eIDAS-asetuksen ja sen nojalla annettujen täytäntöönpanosäädöksiä tunnistamisjärjestelmän vaatimustenmukaisuuden arvioinnista.

Ehdotetun 3 momentin mukaan Viestintävirasto määräisi vaatimustenmukaisuuden arvioinnissa käytettävistä arviointiperusteista 42 §:n nojalla. Viestintävirasto voisi määrätä arviointiperusteiksi edellä 1 ja 2 momenteissa tarkoitettujen säädösten lisäksi EU:n tai muun kansainvälisen toimielimen antamia säännöksiä ja ohjeita, julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta koskevia ohjeita ja yleisesti käytettyjä tietoturvallisuusstandardeja tai menettelyjä. Ehdotettu 3 momentin säännös rajoittaisi Viestintäviraston määräyksenantovaltuutta.

30 §. Sähköisen tunnistamisen kansallisen solmupisteen vaatimustenmukaisuuden arviointi. Ehdotetun 1 momentin mukaan EU:n sähköisen tunnistamisen yhteentoimivuusjärjestelmään liittyvän kansallisen rajapinnan eli niin sanotun kansallisen solmupisteen vaatimustenmukaisuus on osoitettava 28 §:n 1 kohdassa tarkoitetun arviointilaitoksen tai 2 kohdassa tarkoitetun muun ulkoisen arviointielimen tekemällä arvioinnilla. Kansallista solmupistettä Suomessa ylläpitäisi Väestörekisterikeskus ehdotetun 42 c §:n nojalla. Kansallisen solmupiste välittää eIDAS-asetuksessa säädettyjä EU:n rajat ylittäviä tunnistamistapahtumia. Kansallinen solmupiste välittää vain tunnistamistapahtumia. Se ei liity sähköisten allekirjoitusten välitykseen tai muihin eIDAS-asetuksessa säädettyihin luottamuspalveluihin.

Viestintävirasto määräisi vaatimustenmukaisuuden arvioinnissa käytettävistä arviointiperusteista 42 §:n nojalla. Viestintäviraston antamien määräysten edellytykset olisivat samat kuin 29 §:ssä. Kansallisen solmupisteen vaatimuksista säädetään EU:n sähköisen tunnistamisen yhteentoimivuusasetuksessa (EU) 2015/1501. Kyseisen asetuksen 10 artiklan mukaan kansallisen solmupisteen on täytettävä ISO/IEC 27001 -standardien vaatimukset sertifioinnin tai vastaavien arviointimenetelmien perusteella tai noudattamalla kansallista lainsäädäntöä. Lisäksi asetuksen 5-9 artikloissa on säädetty vaatimuksia muun muassa tietosuojalle, yhteentoimivuudelle ja tietoturvallisuudelle.

31 §. Tarkastuskertomus. Ehdotetun pykälän mukaan tunnistuspalvelun tarjoajan on hankittava tunnistuspalvelun 29 §:n mukaisesta vaatimustenmukaisuuden arvioinnista tarkastuskertomus arvioinnin tehneeltä arviointielimeltä. Myös Väestörekisterikeskuksen on hankittava sähköisen tunnistamisen kansallisen solmupisteen vaatimustenmukaisuuden arvioinnista tarkastuskertomus. Tarkastuskertomukset on toimitettava Viestintävirastolle. Tarkastuskertomus on voimassa arvioinnissa käytetyn standardin määrittelemän ajan, kuitenkin enintään 2 vuotta.

32 § Luottamuspalvelun vaatimustenmukaisuuden vahvistaminen. Pykälässä säädettäisiin eIDAS-asetuksessa määriteltyjen hyväksyttyjen luottamuspalveluiden tarjoajien sekä niiden tarjoamien palveluiden arvioinnista. Edellä 28 §:n 1 momentissa tarkoitettu vaatimustenmukaisuuden arviointilaitos arvioisi hyväksytyn luottamuspalvelun vaatimustenmukaisuuden siten kuin sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 20 artiklassa säädetään.

Ehdotetussa 2 momentissa säädettäisiin arvioinnissa käytettävistä arviointiperusteista. Luottamuspalveluiden vaatimuksista säädetään eIDAS-asetuksessa. Sen lisäksi Viestintävirasto voisi 42 §:n nojalla määrätä, että arviointiperusteina voidaan käyttää EU:n tai muun kansainvälisen toimielimen antamia säännöksiä ja ohjeita, julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta koskevia ohjeita ja yleisesti käytettyjä tietoturvastandardeja tai menettelyjä. Viestintäviraston määräys voi olla tarpeellinen selkeyttämään arviointikriteerejä, jos esimerkiksi EU:n komissio ei anna asiaa koskevia täytäntöönpanosäädöksiä, joihin sillä on eIDAS-asetuksen 20 artiklassa valtuutus. Lähtökohtaisesti arviointikriteereihin liittyviä standardeja valmistellaan tai osoitetaan muutoin EU:n tukemassa luottamuspalvelujen standardointityössä. Ehdotetun 42 §:n mukaan Viestintävirasto voisi antaa tarkempia määräyksiä 2 momentissa tarkoitetuista arviointiperusteista. Viestintäviraston määräyksenantovaltuutta rajaa 2 momentin kuvaus mahdollisista arviointiperusteiden lähteistä.

33 §. Arviointielintä koskevat yleiset vaatimukset. Arviointielimenpätevyysvaatimuksista säädettäisiin pykälän 1 momentissa. Ehdotetun 1 kohdan mukaan 28 §:ssä säädetyn arviointielimen tulee olla toiminnallisesti ja taloudellisesti riippumaton arvioinnin kohteista. Mikäli arviointielin on osa organisaatiota, jonka vaatimustenmukaisuutta se arvioi eli se toimii 28 §:n 3 kohdassa tarkoitettuna sisäisenä tarkastuslaitoksena, sen tulee olla tunnistettavissa kyseisen organisaation erillisenä yksikkönä ja sen ja toiminnot on voitava selkeästi erottaa muusta organisaatiosta. Lisäksi arviointielimen henkilökunnalla tulee olla hyvä tekninen ja ammatillinen koulutus sekä riittävän laaja-alainen kokemus arviointitoimintaan kuuluvissa tehtävissä. Arviointielimellä tulee olla arviointitoiminnan edellyttämät laitteet, tilat, välineet ja järjestelmät ja sillä tulee olla asianmukaiset ohjeet toimintaansa ja sen seurantaa varten. Viestintävirasto voisi 42 §:n 2 momentin 6 kohdan mukaan antaa tarvittaessa tarkempia määräyksiä 1 momentissa säädetystä arviointielimen pätevyydestä.

Ehdotetun 2 momentin mukaan 28 §:n 1 kohdassa tarkoitetun vaatimustenmukaisuuden arviointilaitoksen on osoitettava 1 momentin 1-3 kohdassa säädettyjen vaatimusten täyttäminen kansallisen akkreditointiyksikön akkreditoinnilla siten kuin asetuksessa (EY) 765/2008 ja vaatimustenmukaisuuden arviointipalvelujen pätevyyden toteamisesta annetussa laissa (920/2005) säädetään. Suomessa kansallisena akkreditointiyksikkönä toimii FINAS. FINAS siis akkreditoisi vaatimustenmukaisuuden arviointilaitoksen 1 momentin 1-3 kohtien mukaisesti. FINAS suorittaa määriteltyjen kriteerien mukaisen arvioinnin ja antaa pätevyydestä lausunnon, jota viranomainen käyttää hyväkseen päätöksenteossa hyväksyntää antaessaan.

Ehdotetun 3 momentin mukaan 28 §:n 2 ja 3 kohdissa tarkoitetun arviointielimen (eli muun arviointielimen tai sisäisen tarkastuslaitoksen) pätevyys on osoitettava Viestintävirastolle lain 10 §:ssä säädetyssä ilmoituksessa. Edellä 1 momentin 1-3 kohdassa säädettyjen vaatimusten täyttyminen voidaan osoittaa edellä 2 momentissa tarkoitetulla akkreditoinnillataimuulla yleisesti käytettyyn standardiin perustuvalla riippumattomalla menettelyllä. Vaatimustenmukaisuuden arviointipalveluiden pätevyyden toteamisesta annetussa laissa (6 §:n 3 mom.) säädetään akkreditointiin rinnastettavasta pätevyyden arvioinnista. Edellä kuvatun akkreditointiin rinnastettavan pätevyyden arvioinnin lisäksi kysymykseen voi tulla myös jokin yleisesti käytetty ja tunnustettu muu riippumaton menettely.

Ulkomaisen akkreditointiyksikön antama akkreditointi vastaisi 3 ja 4 momentissa tarkoitettua akkreditointipäätöstä.

34 §. Vaatimustenmukaisuuden arviointilaitoksen hyväksyminen. Ehdotetun 1 momentin mukaan Viestintävirasto hyväksyy 28 §:n 1 momentissa tarkoitetut vaatimustenmukaisuudenarviointilaitokset akkreditoinnin jälkeen. Hyväksymisen edellytyksistä säädettäisiin 33 §:ssä. Ehdotetun 2 momentin mukaan arviointilaitos voidaan hyväksyä määräajaksi, jos siihen on erityinen syy. Hyväksymistä koskevaan päätökseen Viestintävirasto voi sisällyttää arviointielimen pätevyysaluetta ja valvontaa sekä toimintaa koskevia tarpeellisia rajoituksia ja ehtoja.

Muita 28 §:ssä tarkoitetuilta arviointielimiltä ei edellytettäisi Viestintäviraston hyväksyntää taikka akkreditointia samalla tavalla kuin 28 §:n 1 momentissa tarkoitetulta vaatimustenmukaisuuden arviointilaitokselta. Niiden riippumattomuus ja pätevyys on kuitenkin selvitettävä. Tunnistuspalveluntarjoajan tai vaatimustenmukaisuuden arviointielimen on esitettävä 10 §:ssä säädetyssä ilmoituksessa Viestintävirastolle selvitys siitä, että 28 §:n 2 tai 3 kohdassa tarkoitettu muu arviointielin tai sisäinen tarkastuslaitos täyttää 33 §:ssä säädetyt vaatimukset.

Arviointielin voi halutessaan hakea akkreditointia Turvallisuus- ja kemikaaliviraston akkreditointiyksiköltä eli FINAS:ilta. Laissa ei kuitenkaan ehdoteta säänneltäväksi sitä menettelyä, jolla tunnistuspalvelun arviointielimen pätevyys ja riippumattomuus todetaan. Tunnistuspalvelun tarjoajalle on tärkeää voida varmistua jo ennen lain 10 §:n mukaisen aloitus- tai muutosilmoituksen tekemistä, täyttääkö sen käyttämä arviointielin ehdotetun 33 §:n vaatimukset.

Arviointielimen pätevyyden arviointi voi tapahtua jo arviointielimen omasta aloitteesta tai tunnistuspalvelun tarjoajan aloitteesta. On perusteltua, että laissa ei edellytetä arviontielimeltä hakemusta, koska tämä mahdollistaa myös sellaisten kansainvälisten arviointielinten käytön, joilla ei ole riittävää kaupallista intressiä hakea erityistä hyväksyntää Suomessa. Koska menettelystä ei ehdoteta säädettävän, arviointielimen pätevyyden arviointi jää Viestintäviraston tekemän lain valvonnan ja yleisen hallintomenettelyn mukaan todettavaksi. Arviointielin tai tunnistuspalvelun tarjoaja voivat pyytää asiassa Viestintävirastolta neuvontaa, mutta asia ratkaistaan lähtökohtaisesti vasta, kun arviointielimen pätevyydestä toimitetaan viranomaiselle selvitys tunnistuspalvelun tarjoajan aloitus- tai muutosilmoituksen yhteydessä.

Ennakoitavuutta tunnistuspalvelun tarjoajan kannalta lisää kuitenkin se, että Viestintävirastolle ehdotetaan 42 §:ssä annettavaksi valtuutus tarkentaa määräyksellä arviointielimen pätevyysvaatimuksia. Viestintävirasto valmistelee määräykset pääsääntöisesti työryhmissä yhdessä toimialan kanssa, jolloin toimijoiden näkemykset otetaan huomioon määräysvalmistelun yhteydessä ja toimijat saavat tietoa vaatimuksista.

35 §. Hakemus vaatimustenmukaisuuden arviointilaitokseksi. Viestintävirasto hyväksyy vaatimustenmukaisuuden arviointilaitoksen hakemuksen perusteella. Hakemukseen on liitettävä Turvallisuus- ja kemikaaliviraston akkreditointiyksikön (FINAS-akkreditointipalvelu) akkreditointipäätös tai sen puuttuessa FINAS-akkreditointipalvelun antama muu vastaava selvitys 33 §:n 1 momentin 1-3 kohdissa säädettyjen hyväksymisen edellytysten täyttymisestä sekä muut sen toimintaa koskevat tiedot, joiden perusteella voidaan arvioida 33 §:ssä tarkoitettujen edellytysten täyttyminen.

Viestintävirasto hyväksyy saamiensa selvitysten ja akkreditointiyksikön antaman päätöksen sekä tarvittaessa tekemänsä tarkastusten perusteella vaatimustenmukaisuuden arviointilaitoksen, jos se täyttää 33 §:n edellytykset. Viestintävirasto voi hakemusta käsiteltäessä hankkia lausuntoja sekä antaa hakemuksen ja siinä esitettyjen tietojen arvioimiseksi toimeksiannostaan suoritettavia tehtäviä ulkopuolisille asiantuntijoille.

Viestintävirasto voi 42 §:n nojalla antaa tarvittaessa määräyksiä hakemukseen sisällytettävistä tiedoista ja niiden toimittamisesta Viestintävirastolle.

36 §. Hyväksytyn sähköisen allekirjoituksen ja hyväksytyn sähköisen leiman luontivälineen sertifiointi. Ehdotetun 1 momentin mukaan Viestintävirasto päättää niistä eIDAS-asetuksen 30 ja 39 artiklassa tarkoitetuista yksityisistä tai julkisista sertifiointilaitoksista, jotka voivat sertifioida hyväksytyn sähköisen allekirjoituksen tai hyväksytyn sähköisen leiman luontivälineitä. Sertifiointi on vaatimustenmukaisuuden osoittamista todistuksella (sertifikaatilla) tai merkillä.

eIDAS-asetuksen 30 artiklassa ja 39 artiklassa säädetään hyväksytyn allekirjoituksen ja hyväksytyn sähköisen leiman luontivälineen sertifiointi pakolliseksi. Jäsenvaltion on nimettävä ja ilmoitettava komissiolle ne tahot, jotka voivat sertifioida näitä välineitä. Voimassa olevan tunnistuslain 29 §:ssä säädetään vastaavasta Viestintäviraston nimeämästä tarkastuslaitoksesta, jonka tehtävänä on arvioida, täyttääkö allekirjoituksen luomisväline laissa säädetyt vaatimukset. Tällaisia tarkastuslaitoksia ei ole kuitenkaan Suomessa nimetty.

Luontivälineet voivat olla fyysisiä välineitä kuten siruja tai sovellus- ja palvelinpohjaisia kokonaisuuksia. Varsinaisten välineiden sertifioinnissa tyypillinen tilanne on oletettavasti sama kuin nykytilanteessa, jossa siruja valmistetaan Suomen ulkopuolella ja valmistaja hankkii niille sertifioinnin sijaintimaassaan. Sertifiointeja on yleisesti hankittu nykyäänkin, vaikka säädäntö ei ole edellyttänyt sitä.

Ehdotetun 42 §:n mukaan Viestintävirasto voi antaa tarvittaessa tarkentavia määräyksiä sertifiointilaitosta koskevista vaatimuksista, sertifioinnissa noudatettavasta menettelystä ja luontivälinettä koskevista vaatimuksista ottaen huomioon, mitä eIDAS-asetuksessa ja sen täytäntöönpanosta annetuissa komission täytäntöönpanopäätöksissä säädetään.

Sekä luontivälinettä että sertifiointia koskevat vaatimukset säädetään lähtökohtaisesti eIDAS-asetuksessa, jolloin kansallisia vaatimuksia ei tarvitse eikä voi säätää. Komissio voi vahvistaa eIDAS-asetuksen 30 artiklan nojalla 2 kohdan nojalla tietoteknisten tuotteiden tietoturva-arviointia koskevia standardeja sekä asettaa artiklan 3 kohdan nojalla sertifiointitahoille erityisiä vaatimuksia.

Komissio valmistelee täytäntöönpanosäädöstä edellä kuvatuista standardeista, mutta sertifiointiorganisaation vaatimuksista täydentävää sääntelyä ei toistaiseksi ole valmisteilla. Myöskään vahvistettavat tietoturvastandardit eivät toistaiseksi kata uudentyyppisiä palveluja. Näiltä osin voi siten olla välttämätöntä täydentää asetusta kansallisella sääntelyllä. Tarkennustarpeet voivat koskea arvioinnissa noudatettavaa menettelyä, luontivälineiden turvallisuusominaisuuksia (nk. suojaprofiileja) tai muita vastaavia seikkoja.

Ehdotetun 2 momentin mukaan sertifiointilaitoksen tulee olla toiminnallisesti ja taloudellisesti riippumaton niistä, joita se sertifioi. Sillä tulee olla toiminnan laajuuden kannalta riittävä vastuuvakuutus tai muu vastaava järjestely ja käytössään riittävästi ammattitaitoista henkilöstöä sekä toiminnan edellyttävät järjestelmät, laitteet ja välineet. Viestintävirasto valvoisi sertifiointilaitoksen toimintaa.

37 §. Vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen toiminta. Ehdotetun 1 momentin mukaan vaatimustenmukaisuuden arviointilaitos ja sertifiointilaitos voivat arviointitehtävässään käyttää apunaan laitoksen ulkopuolisia henkilöitä. Ne vastaavat kuitenkin apunaan käyttämiensä henkilöiden työstä.

Ehdotetun 2 momentin mukaan vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen on tässä laissa tarkoitettuja julkisia hallintotehtäviä hoitaessaan noudatettava pykälässä lueteltuja yleisiä hallintolakeja. Arviointilaitoksen ja sertifiointilaitoksen henkilöstöön sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974).

38 §. Vaatimustenmukaisuuden arviointilaitoksen hyväksymisen tai sertifiointilaitoksen nimeämisen peruuttaminen. Pykälässä ehdotetaan säädettäväksi tilanteista, joissa vaatimustenmukaisuuden arviointilaitos tai sertifiointilaitos ei täyttäisi enää siltä vaadittuja vaatimuksia. Jos laitos ei enää täyttäisi erikseen säädettyjä edellytyksiä tai ei noudattaisi hyväksymistä tai nimeämistä koskevassa päätöksessä asetettuja ehtoja taikka toimisi muuten olennaisesti säännösten vastaisesti, Viestintäviraston olisi asetettava laitokselle riittävä määräaika asian korjaamiseksi. Viestintäviraston olisi peruutettava antamansa hyväksyminen, jos laitos ei korjaisi epäkohtaa annetussa määräajassa.

IV a luku Luottamuspalveluja koskevia säännöksiä

Lakiin ehdotetaan lisättäväksi uusi 4 a luku, joka sisältäisi voimassa olevaa lakia vastaavia säännöksiä sähköisestä allekirjoituksesta, joita vastaavia säännöksiä ei ole eIDAS-asetuksessa.

39 §. Varmenteen peruuttaminen. Ehdotettu pykälä vastaisi asiallisesti voimassa olevan lain 36 §:n 1 ja 2 momenttia, mutta säännöstä sovellettaisiin myös sähköisen leiman haltijaan. Säännös koskisi eIDAS-asetuksessa määriteltyä sähköisen allekirjoituksen ja leiman hyväksytyn varmenteen haltijan velvollisuutta pyytää varmenteensa peruuttamista, jos hänellä on perusteltu syy epäillä, että allekirjoituksen tai leiman luomistieoja voidaan käyttää oikeudettomasti. Varmentajan on 2 momentin mukaan viipymättä peruutettava hyväksytty varmenne, jos allekirjoittaja tai leiman haltija pyytää sitä. Peruuttamispyynnön saapumisajankohtana on pidettävä hetkeä, jolloin pyyntö on ollut varmentajan käytettävissä siten, että sitä voidaan käsitellä. Sähköisessä muodossa lähetetyn viestin osalta tämä tarkoittaa ajankohtaa jolloin pyyntö on varmentajan käytettävissä vastaanottolaitteessa tai tietojärjestelmässä.

40 § Vastuu sähköisen allekirjoituksen tai leiman luomistietojen oikeudettomasta käytöstä. Pykälää ehdotetaan muutettavaksi eIDAS-asetuksessa käytetyn terminologian vuoksi sekä lakiviittauksen muuttumisen vuoksi. Pykälän 1 momentissa puhuttaisiin sähköisen allekirjoituksen hyväksytystä varmenteesta (eIDAS-asetuksen 28 artikla) ja sähköisen leiman hyväksytystä varmenteesta (eIDAS-asetuksen 38 artikla) sekä viitattaisiin ehdotetun 39 §:n 2 momenttiin. Edelleen 2 momentin 3 kohdassa viitattaisiin 39 §:n 1 momentin peruuttamisilmoitukseen.

41 §. Luottamuspalvelun tarjoajan vastuu. Pykälää ehdotetaan muutettavaksi johtuen eIDAS-asetuksen 13 artiklasta, joka sisältää säännöksiä luottamuspalvelun tarjoajien vahingonkorvausvastuusta. 13 artiklan 3 kohdan mukaan asetuksessa säädettyä vahingonkorvausvastuuta sovelletaan kansallisten vahingonkorvausvastuusäännösten mukaisesti. Asetuksen 37 johdantolauseen mukaan tarkoittaa tämä esimerkiksi vahinkojen, tahallisuuden ja tuottamuksellisuuden määrittelyä tai asiaan liittyvien sovellettavien menettelysäännösten määräytymistä kansallisen oikeuden mukaisesti.

Siltä osin kuin luottamuspalvelun tarjoajan vastuu perustuu eIDAS-asetuksen 13 artiklan säännöksiin, kansallisesta oikeudesta tulevat sovellettavaksi muun muassa vahingonkorvauksen kohtuullistamista, vahinkoa kärsineen myötävaikutusta, useiden vahingosta vastuussa olevien yhteisvastuuta sekä korvausvaatimuksen vanhentumista koskevat säännökset.

Voimassa oleva 41 § soveltui vain laatuvarmenteisiin eli EU-lainsäädännössä tarkoitettuihin hyväksyttyihin varmenteisiin. eIDAS-asetuksen 13 artikla on soveltamisalaltaan laajempi kattaen kaikki eIDAS-asetuksessa tarkoitetut luottamuspalvelut.

Ehdotettu 2 momentin säännös vastaa voimassa olevan 41 §:n 1 momentin 5 kohdan ja 2 momentin säännöksiä ja koskee tilannetta, että varmentaja tai sen apunaan käyttämä henkilö ei ole peruuttanut hyväksyttyä varmennetta ehdotetussa 39 §:ssä säädetyllä tavalla.

42 §. Yleinen ohjaus ja Viestintäviraston määräykset. Esityksessä ehdotetaan muutettavan 42 §:n otsikkoa kattamaan sähköisen tunnistamisen yleinen ohjaus sekä toiminnan yksityiskohtaisempi ohjaus Viestintäviraston määräyksillä. Ehdotetun 1 momentin mukaan vahvan sähköisen tunnistamisen sekä sähköisten luottamuspalvelujen yleinen ohjaus ja kehittäminen kuuluisivat liikenne- ja viestintäministeriölle.

Ehdotetussa 2 momentissa lueteltaisiin ne asiat, joista Viestintävirasto voisi antaa tarkempia määräyksiä. Verrattuna voimassa olevaan lakiin määräyksenantovaltuudet on nyt koottu yhteen pykälään ja ne on tarkemmin rajattu. Viestintävirastolla ei olisi enää sellaista yleisempää määräyksenantovaltaa kuin voimassa olevan 42 §:n 2 momentissa. Ehdotetun 1 kohdan mukaan virasto voisi antaa määräyksiä 8 §:n 1 momentin 4 ja 5 kohdassa tarkoitetuista tunnistamisjärjestelmän turvallisuudesta ja luotettavuudesta. Ehdotettu valtuutus vastaa voimassa olevan 42 §:n 2 momentin valtuutusta, mutta täsmällisemmin määriteltynä niin, että se koskee vain ehdotetun 1 momentin 4 ja 5 kohtaa. Kyseessä olisivat valvontatoiminnan kannalta tarpeelliset määräykset.

Ehdotetun 2 kohdan mukaan virasto voisi antaa valvontatoiminnan kannalta tarpeellisia määräyksiä 10 §:ssä tarkoitettujen ilmoitettavien tietojen tarkemmasta sisällöstä ja niiden toimittamisesta Viestintävirastolle. Valtuutus vastaa voimassa olevan lain 10 §:n 3 momenttia.

Ehdotetun 3 kohdan mukaan virasto voisi antaa 12 a §:n 2 momentissa tarkoitetuista luottamusverkoston rajapinnoista tarkempia määräyksiä. Viestintävirasto voisi laatia esimerkiksi teknisellä määräyksellä tarkoituksenmukaisella tarkkuustasolla OpenId Connect- ja SAML-standardeista kansalliset profiilit yhteistyössä toimialan kanssa. Kansallisesti määriteltyjä rajapintoja tulisi olemaan tämän hetkisen tiedon mukaan enintään kolme.

Ehdotetun 4 kohdan mukaan Viestintävirasto voisi antaa tarvittaessa tarkempia määräyksiä 16 §:n 1 momentissa tarkoitetun ilmoituksen sisällöstä, muodosta ja toimittamisesta sekä siitä, milloin 16 §:ssä tarkoitettu häiriö on merkittävä. Kyseessä on tunnistuspalveluntarjoajan velvollisuus ilmoittaa toimintaan ja tietojen suojaamiseen kohdistuvista uhkista tai häiriöistä. Viestintävirasto selvittää teknisiä mahdollisuuksia käytäntöön, jossa Viestintävirasto välittäisi tunnistuspalvelun tarjoajien ilmoituksia sähköisien tunnistamisen luottamusverkostossa.

Ehdotetun 5 kohdan mukaan virasto voisi antaa määräyksiä 29, 30 ja 32 §:ssä tarkoitetuista arvioitavan tunnistus- tai luottamuspalvelun sekä kansallisen solmupisteen vaatimustenmukaisuuden arviointiperusteista. Määräysten sisältöä ja niiden rajoituksia on käsitelty kyseisten pykälien perusteluissa.

Ehdotetun 6 kohdan mukaan Viestintävirasto voisi antaa tarkempia määräyksiä 33 §:ssä säädetyistä vaatimustenmukaisuuden arviointielimien pätevyysvaatimuksista ottaen huomioon, mitä eIDAS-asetuksessa ja sen täytäntöönpanosta annetuissa komission täytäntöönpanosäännöksissä säädetään. Komissio voi esimerkiksi täytäntöönpanosäännöksin vahvistaa noudatettavaksi tiettyjä standardeja vaatimustenmukaisuuden arviointilaitosten akkreditoinnissa. On kuitenkin vielä epäselvää, antaako komissio esimerkiksi tällaisia täytäntöönpanosääntöjä. Jos näin ei tule tapahtumaan, asiasta on annettava kansallisia määräyksiä.

Ehdotetun 7 kohdan mukaan Viestintävirasto voisi antaa tarvittaessa määräyksiä niistä tiedoista, joita on sisällytettävä 35 §:ssä tarkoitettuun hakemukseen vaatimustenmukaisuuden arviointilaitokseksi.

Ehdotetun 8 kohdan mukaan virasto voisi antaa tarvittaessa tarkentavia määräyksiä 36 §:ssä tarkoitetusta sertifiointilaitosta koskevista vaatimuksista, sertifioinnissa noudatettavasta menettelystä ja luontivälinettä koskevista vaatimuksista ottaen huomioon, mitä eIDAS-asetuksessa ja sen täytäntöönpanosta annetuissa komission täytäntöönpanopäätöksissä säädetään.

42 a §. Viestintäviraston tehtävät. Ehdotuksen mukaan säädettäisiin uusi 42 a §. Ehdotetun pykälän 1 momentti käsittäisi Viestintäviraston nykyisen valvontatehtävän valvoa tunnistuslain sekä sen nojalla annettujen säännösten noudattamista

Lain 2 momentissa Viestintävirastolle säädettäisiin uusia, sähköisestä tunnistamisesta ja luottamuspalveluista annetusta EU:n asetuksesta johtuvia tehtäviä. Ehdotetun 1 kohdan mukaan Viestintäviraston tehtävänä olisi osallistua EU:n jäsenvaltioiden väliseen yhteistyöhön asetuksen 12 artiklassa tarkoitetussa sähköisen tunnistamisen yhteentoimivuusjärjestelmässä ja komission täytäntöönpanopäätöksessä 2015/296 perustetussa yhteistyöverkostossa keskitettynä pisteenä. Viestintävirasto osallistuisi yhteistyöverkostossa komissiolle ilmoitettujen tunnistusjärjestelmien vertaisarviointiin muiden jäsenvaltioiden vastaavien viranomaisten kanssa.

Ehdotetun 2 kohdan mukaisesti Viestintävirasto ilmoittaisi Euroopan komissiolle suomalaisia sähköisen tunnistamisen järjestelmiä asetuksen 7-10 artiklan mukaisesti.

Ehdotetun 3 kohdan mukaisesti Viestintäviraston tehtävänä olisi toimia asetuksen 17 artiklassa tarkoitettuna luottamuspalveluiden valvontaelimenä eli valvontaviranomaisena, joka hoitaa valvontaviranomaiselle kyseisessä asetuksessa määrättyjä tehtäviä. Asetuksen 17 artiklan mukaan Viestintäviraston tulisi valvoa etukäteen ja jälkikäteen toteutettavin valvontatoimin hyväksyttyjä luottamuspalvelun tarjoajia sekä jälkikäteen toteutettavin valvontatoimin ei-hyväksyttyjä luottamuspalvelun tarjoajia niin, että toimijat täyttävät asetuksessa säädetyt vaatimukset.

Ehdotetun 4 kohdan mukaisesti Viestintäviraston tulisi ylläpitää ja julkaista luetteloita Suomessa hyväksytyistä luottamuspalveluiden tarjoajista ja niiden tarjoamista hyväksytyistä asetuksen 22 artiklan mukaisesti.

Pykälän 2 momenttiin ehdotetaan selkeyttävää säännöstä siitä, että Viestintäviraston toimivaltaan eivät kuulu osapuolten välistä sopimussuhdetta tai korvausvastuuta koskevat asiat.

42 b §. Tietosuojavaltuutetun tehtävät. Ehdotettu säännös vastaisi voimassa olevan tunnistuslain 42 §:n 3 momenttia.

42 c §. Väestörekisterikeskuksen tehtävät. Väestörekisterikeskuksen tehtävänä olisi ylläpitää sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 12 artiklan 8 kohdan nojalla määriteltyä kansallista solmupistettä. Tämä solmupiste muodostaa rajapinnan suomalaisten ja muiden EU:n jäsenvaltioiden tunnistamisjärjestelmien kanssa sekä mahdollistaa rajat ylittävän sähköisen asioinnin.

Solmupiste osallistuu henkilöiden todentamiseen rajojen yli ja pystyy tunnistamaan sekä käsittelemään tai siirtämään tietoja muihin solmupisteisiin tarjoamalla yhden jäsenvaltion kansalliselle sähköisen tunnistamisen infrastruktuurille rajapinnan muiden jäsenvaltioiden sähköisen tunnistamisen infrastruktuureihin. Solmupiste toteutetaan jäsenvaltiokohtaisilla PEPS (Pan-European Proxy Server) ratkaisulla.

43 §. Tiedonsaantioikeus. Pykälän 1 momentti ehdotetaan muutettavaksi, koska voimassa olevassa 1 momentissa viitataan tässä esityksessä kumottaviksi ehdotettuihin pykäliin. Ehdotetun 1 momentin säännös Viestintäviraston tiedonsaantioikeudesta olisi sanamuodoltaan yleisempi ja vastaa tietoyhteiskuntakaaren 315 §:ä.

44 §. Viranomaisten välinen yhteistyö ja oikeus luovuttaa tietoja. Pykälän 1 momenttia ehdotetaan muutettavaksi siten, että Viestintävirastolla ja tietosuojavaltuutetulla olisi oikeus luovuttaa Finanssivalvonnan ohella myös Kilpailu- ja kuluttajavirastolle tietoja, jotka ovat tarpeen niiden tehtävien suorittamiseksi. Salassapitosäännösten tai muiden tietojen luovuttamista koskevien rajoitusten alaiset tiedot voivat olla tarpeen Kilpailu- ja kuluttajaviraston valvontatehtävissä. Momentin tarkoituksena on vähentää viranomaisten ja valvonnan kohteiden tarpeetonta työtä mahdollistamalla viranomaisten välinen tiedonvaihto myös salassa pidettävistä tiedoista.

45 §. Hallintopakkokeinot. Pykälän 1 momenttia ehdotetaan muutettavaksi niin, että Viestintävirasto voisi käyttää pykälässä lueteltuja pakkokeinoja myös sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen valvonnassa sekä sen nojalla annettujen täytäntöönpanosäännösten valvonnassa. Lisäksi momenttiin on lisätty Viestintävirastolle oikeus antaa huomautus sille, joka rikkoo tunnistuslakia tai asiasta annettua EU-lainsäädäntöä. Näin Viestintävirasto voi tuoda säännösten noudattamatta jättämisen nopeammin toimijoiden tietoon erityisesti lyhytkestoisissa säännösten vastaisessa toiminnassa. Ehdotettu sanamuoto vastaa tietoyhteiskuntakaaren 330 §:ää.

45 a §. Väliaikainen päätös. Lakiin ehdotetaan otettavaksi samantyyppinen Viestintävirastonväliaikaista päätöstä koskeva säännös kuin tietoyhteiskuntakaaren 331 §:ssä. Tunnistus- ja luottamuspalveluiden tarjontaan saattaa liittyä rikkomuksia tai häiriötilanteita, jotka ovat vaikutuksiltaan sellaisia, että viranomaisella voi olla tarve päättää väliaikaisista toimista. Tällaisia voivat olla esimerkiksi eIDAS-asetuksen 10 artiklan mukainen tilanne, jossa 9 artiklan 1 kohdan mukaisesti ilmoitettuun sähköisen tunnistamisen järjestelmään tai eIDAS-asetuksen 7 artiklan f alakohdassa tarkoitettuun todentamiseen liittyy loukkaus tai niiden jonkin osan turvallisuus on vaarantunut tavalla, joka vaikuttaa kyseisen järjestelmän rajat ylittävän todentamisen luotettavuuteen. Tällöin tunnistusvälineen ilmoittaneen jäsenvaltion on eIDAS-asetuksen 10 artiklan mukaan viipymättä keskeytettävä tai peruutettava kyseinen rajat ylittävä todentaminen tai ne osat, joiden turvallisuus on vaarantunut.

Vakavat juurivarmenteeseen kohdistuvat tietomurrot, joissa varmentajan yksityiset allekirjoitusavaimet päätyvät vääriin käsiin sekä muut edellä mainittuja vastaavat vakavat tunnistus- tai luottamuspalveluihin liittyvät tapahtumat voivat myös vaatia Viestintävirastolta nopeita päätöksiä.

46 §. Tarkastusoikeus. Viestintäviraston tarkastusoikeuksia koskevaa pykälää ehdotetaan muutettavaksi niin, että tarkastusoikeus koskisi myös sähköistä tunnistamista ja luottamuspalveluja koskevassa EU-asetuksessa määriteltyjä toimijoita. Voimassa olevan lain 46 §:ssä Viestintäviraston tarkastuksen edellytyksenä on, että toimija on olennaisesti rikkonut tätä lakia tai sen nojalla annettuja säännöksiä tai määräyksiä. Tätä tarkastuksen edellytystä ehdotetaan myös muutettavan. Voimassa olevan pykälän 2 momentissa olevasta säännöksestä luovuttaisiin, koska vaatimuksenmukaisuuden arviointilaitos arvioisi toimijoita säännöllisesti.

Ehdotetuissa 2-3 momenteissa ehdotetaan laatuvarmenteita tarjoava tarjoaja muutettavaksi sähköistä tunnistamista ja luottamuspalveluja koskevassa EU-asetuksessa tarkoitetuksi hyväksyttyjen varmenteiden tarjoajaksi, muutoin ne vastaavat asiallisesti voimassa olevia säännöksiä.

Ehdotetut 4 ja 5 momentit vastaavat voimassa olevia 5 ja 6 momentteja.

47 §. Viestintävirastolle maksettavat maksut. Suurin osa voimassa olevan pykälän momenteista muuttuisi, joten koko pykälää ehdotetaan muutettavan. Ehdotetussa 1 momentissa tunnistuspalvelun tarjoajien Viestintävirastolle maksamia valvontamaksuja nostettaisiin 2000 eurolla. Näin Viestintäviraston tunnistuspalvelujen ja 2 momentissa ehdotetut eIDAS-asetuksen mukaisten hyväksyttyjen luottamuspalvelujen valvonnasta perityt vuosittaiset valvontamaksut olisivat samalla tasolla eli 14 000 euroa. Näillä maksujen tasoilla myös Viestintäviraston maksukertymä pysyisi samalla tasolla. Viestintävirasto perisi maksuja vain hyväksyttyjen luottamuspalvelujen tarjoajilta.

Ehdotetun 2 momentin mukaan luottamuspalvelun tarjoajan ja hyväksyttyjä luottamuspalveluja tarjoavan varmentajan olisi siis suoritettava Viestintävirastolle kustakin Viestintäviraston hyväksymästä luottamuspalvelusta 5000 euron rekisteröimismaksu ja vuosittain 14 000 euron valvontamaksu ensimmäisestä tarjoamastaan hyväksytystä luottamuspalvelusta ja sitä seuraavista tarjoamistaan hyväksytyistä luottamuspalveluista vuosittain 9 000 euroa. Viestintäviraston vuosittain tekemä luottamuspalvelun valvonta koostuu yhtäältä palveluntarjoajan ja toisaalta tarjotun hyväksytyn luottamuspalvelun valvonnasta. Koska samaa palveluntarjoajaa valvotaan usean eri hyväksytyn palvelun osalta, on perusteltua periä pienempi vuosittainen valvontamaksu silloin, kun palveluntarjoaja tarjoaa useampaa hyväksyttyä luottamuspalvelua.

Ehdotettujen 3 ja 4 momenttien mukaan hyväksytyn vaatimustenmukaisuuden arviointilaitoksen sekä sertifiointilaitoksen on suoritettava Viestintävirastolle 10 000 euron nimeämismaksu sekä vuosittain 15 000 euron valvontamaksu. Maksut vastaavat niitä maksuja, joita voimassa olevan 29 §:n mukaan peritään Viestintäviraston nimeämältä tarkastuslaitokselta, joka arvioi sitä, täyttääkö allekirjoituksen luomisväline lain vaatimukset. Tällaista tarkastuslaitosta ei ole nimetty nykyisin, mutta se vastaa nyt 36 §:ssä säädettäväksi ehdotettua sertifiointilaitosta.

Ehdotetussa 5 momentissa todettaisiin, että maksujen keräämisellä rahoitetaan Viestintäviraston valvontatoimintaa. Maksut eivät kuitenkaan riitä kattamaan Viestintäviraston valvontatoiminnasta aiheutuvia kustannuksia lisääntyneen työmäärän vuoksi, joten Viestintävirasto joutuu suuntaamaan resurssejaan muista toiminnoista. Kuten voimassa olevassakin laissa, valvontamaksu olisi suoritettava täysimääräisesti myös toiminnan ensimmäisenä vuotena, vaikka toiminta aloitettaisiin kesken kalenterivuotta. Valvontamaksua ei palautettaisi vaikka palveluntarjoaja lopettaisi toimintansa kesken vuotta.

Ehdotettu 6 momentti vastaisi voimassa olevaa 5 momenttia muutoin, mutta kun säännöksessä muutoksenhaun osalta viitataan 49 §:n 1 momenttiin, tätä muutettaisiin niin. Ehdotetun 49 §:n 1 momentin nojalla Viestintäviraston päätökseen, joka koskee 47 §:ssä tarkoitettua maksua, ensimmäiseksi haettaisiin oikaisua Viestintävirastolta.

Ehdotettu 7 momentti vastaisi voimassa olevaa 6 momenttia. Ehdotetussa 8 momentissa, joka koskee toimijoilta perittäviä Viestintäviraston tarkastuksesta aiheutuneita kustannuksia, lisättäisiin uusina toimijoina myös luottamuspalvelun tarjoajat.

49 §. Muutoksenhaku viranomaisen päätökseen. Lain 49 §:ää ehdotetaan muutettavaksi ja päivitettäväksi siten, että muutoksenhakua koskevia säännöksiä muutettaisiin nykytilasta siten, että valituslupajärjestelmä otettaisiin muutoksenhaussa laajemmin käyttöön. Ehdotetussa 1 momentissa otettaisiin käyttöön oikaisuvaatimus Viestintäviraston päätöksissä, jotka koskevat Viestintävirastolle maksettavaa maksua.

Ehdotetun 2 momentin mukaan Oikaisuvaatimuksesta annettuun Viestintäviraston päätökseen sekä Viestintäviraston muuhun päätökseen saisi hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa säädetään.

Ehdotetussa 3 momentissa säädettäisiin, että hallinto-oikeuden päätökseen vaatimustenmukaisuuden arviointilaitoksen hyväksymisen ja sertifiointilaitoksen nimeämisen peruuttamista koskevassa asiassa saa hakea muutosta valittamalla siten kuin hallintolainkäyttölaissa säädetään. Tämä merkitsisi sitä, että tällaisissa pakkokeino- ja sanktioluonteisissa asioissa ei edellytettäisi valituslupaa korkeimpaan hallinto-oikeuteen. Muutoin hallinto-oikeuden päätökseen saisi hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan.

Ehdotetut 4 ja 5 momentti vastaavat voimassa olevan 49 §:n 2 ja 3 momenttia.

49 a §. Muutoksenhaku vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen päätökseen. Pykälässä säädettäisiin muutoksenhausta vaatimustenmukaisuuden arviointilaitoksen vaatimustenmukaisuuden arviointikertomusta koskevaan päätökseen sekä sertifiointilaitoksen sähköisen allekirjoituksen tai leiman luontivälineiden sertifiointia koskevaan päätökseen. Niiltä osin kuin vaatimustenmukaisuuden arviointilaitos ja sertifiointilaitos suorittavat lakiin perustuvaa vaatimustenmukaisuuden arviointia tai sertifiointia, kyse on perustuslain 124 §:n mukaan julkisesta hallintotehtävästä. Edelleen perustuslain 124 §:n mukaan, milloin yksityisoikeudellinen oikeussubjekti hoitaa julkista hallintotehtävää, on vaatimukset oikeusturvan takaamisesta pystyttävä turvaamaan. Siten edellä mainittujen tahojen tekemiin päätöksiin tulisi voida hakea muutosta niiltä osin kuin on kyse hallintopäätöksestä.

Ehdotuksen mukaan 1 momentin oikaisuvaatimussäännöksessä viitattaisiin hallintolakiin. Yleiset säännökset oikaisuvaatimusmenettelystä ovat hallintolain 7 a luvussa. Momentissa ehdotetaan säädettäväksi, että vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen tunnistuslain tekemään päätökseen saisi vaatia oikaisua siten kuin hallintolaissa säädetään.

Pykälän 2 momentin mukaan oikaisuvaatimukseen annettuun päätökseen saisi hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa säädetään. Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valistusluvan.

Siirtymäsäännökset

Ehdotetussa 1 momentissa olisi voimaantulosäännös.

Ehdotetun 2 momentin mukaan tunnistusvälineen tarjoaja saa käyttää tämän lain 17 §:n 2 momentissa tarkoitettua hyväksyttävänä asiakirjana myös Euroopan talousalueen jäsenvaltion viranomaisen 1 päivän lokakuuta 1990 jälkeen myöntämää voimassa olevaa ajokorttia 31 päivään joulukuuta 2018 asti. Henkilön ensitunnistaminen, joka on tehty ajokortin perusteella 31 päivään joulukuuta 2018 mennessä, täyttäisi tämän lain vaatimukset eikä ensitunnistamista tarvitsisi enää varmentaa muilla tavoilla.

Ehdotetun 3 momentin mukaan tämän lain voimaan tullessa voimassaolevat Viestintäviraston määräykset jäävät voimaan. Tämän lain voimaan tultua Viestintävirasto antaa uudet määräykset tämän lain 42 §:n nojalla.

Ehdotetuissa 4-8 momenteissa säädettäisiin siirtymäajan säännöksistä liittyen siihen, että tässä laissa vahvan sähköisen tunnistuspalvelun järjestelmiltä vaadittaisiin samat luotettavuutta ja tietoturvaa koskevat vaatimukset kuin EU-lainsäädäntö vaatii EU:n rajat ylittäviltä sähköisen tunnistamisen järjestelmiltä vähintään korotetulla varmuustasolla. Tämän vuoksi toimijoiden tulisi voida päättää, haluavatko ne jatkaa vahvan sähköisen tunnistuspalvelun tarjoamista lainmuutosten tultua voimaan.

Ehdotetun 4 momentin mukaan tunnistuslain 12 §:ssä säädettyyn rekisteriin merkityn tunnistuspalveluntarjoajan on tehtävä viimeistään kahden kuukauden kuluessa tämän lain voimaantulosta Viestintävirastolle 10 §:n 3 momentissa tarkoitettu muutosilmoitus, jos se haluaa jatkaa vahvan sähköisen tunnistuspalvelun tarjoajana. Lain 4 luvussa tarkoitettu tarkastuskertomus, tiedot tunnistuspalvelunpalveluntarjoajan käyttämästä arviointielimestä sekä muut tämän lain 10 §:ssä edellytetyt tiedot tulee toimittaa Viestintävirastolle 31 päivään tammikuuta 2017 mennessä. Tunnistuspalvelun tarjoajan tulee ilmoittaa tiedot tarjottavista palveluista muun muassa sen, millä eIDAS-asetuksen varmuustasolla tunnistuspalvelua tarjotaan.

Ehdotetun 5 momentin mukaan Viestintäviraston tulee käsitellä tunnistuspalveluntarjoajan 3 momentissa tarkoitettu tunnistuspalvelun muutosilmoitus ja tehdä ilmoituksesta johtuvat merkinnät tunnistuslain 12 §:ssä säädettyyn rekisteriin viimeistään kolmen kuukauden kuluessa siitä, kun se on saanut muutosilmoituksen ja muut tunnistuslain 10 §:ssä säädetyt tiedot.

Ehdotetun 6 momentin ensimmäinen säännös koskisi tunnistusvälineitä, jotka on myönnetty ennen tämän lain voimaantuloa. Momentissa olisi yleinen säännös siitä, että tämän lain voimaantullessa voimassa olleiden säännösten nojalla myönnetty vahva sähköinen tunnistusväline katsotaan edelleen vahvaksi sähköiseksi tunnistusvälineeksi vähintään eIDAS-asetuksessa määritellyllä korotetulla varmuustasolla kahden kuukauden ajan tämän lain voimaantulosta. Jatko riippuisi siitä, tekeekö välineen myöntänyt tunnistuspalvelun tarjoaja Viestintävirastolle ilmoituksen aikomuksestaan jatkaa vahvan sähköisen tunnistuspalvelun tarjoajana.

Edelleen ehdotetun 6 momentin mukaan, jos tunnistuspalveluntarjoaja tekee muutosilmoituksen aikomuksestaan jatkaa vahvan sähköisen tunnistuspalvelun tarjoajana kahden kuukauden kuluessa tämän lain voimaan tulosta, tunnistuspalvelun tarjoajan aikaisemman lain mukaan myöntämä ja tämän lain voimaantulon jälkeen myöntämä tunnistusväline katsotaan vahvaksi sähköiseksi tunnistusvälineeksi vähintään korotetulla varmuustasolla, kunnes Viestintävirasto on merkinnyt tunnistuspalvelun tarjoajan tunnistuslain 12 §:ssä tarkoitettuun rekisteriin ja ellei 7 momentista muuta johdu. Ehdotetussa 7 momentissa säädettäisiin tilanteista, jolloin tunnistusväline myönnetään toisen vahvan sähköisen tunnistusvälineen perusteella eli ensitunnistamisessa käytetään jo olemassa olevaa vahvaa sähköistä tunnistusvälinettä. Viestintävirasto merkitsee edellä 3 momentin mukaisen muutosilmoituksen perusteella 12 §:ssä tarkoitettuun rekisteriin, tarjoaako tunnistuspalvelun tarjoaja palvelua eIDAS-asetuksessa määritellyllä korotetulla vai korkealla tasolla. Viestintävirasto voi merkitä rekisteriin tunnistuspalvelun tarjoajan tunnistusjärjestelmän korkean varmuustason tunnistusjärjestelmäksi, jos se täyttää EU-lainsäädännössä korkean varmuustason tunnistusjärjestelmälle asetetut vaatimukset. Ehdotetun 6 momentin tarkoitus on, että vanhat vahvat sähköiset tunnistusvälineet voivat säilyttää asemansa ja tunnistusvälineiden myöntäminen voi jatkua ilman katkosta edellyttäen, että tunnistusvälineen tarjoaja ilmoittaa 3 momentin mukaisesti aikeestaan jatkaa vahvan sähköisten tunnistusvälineiden tarjoajana.

Ehdotetussa 7 momentissa säädettäisiin tilanteista, joissa tämän lain voimaan tultua tunnistusväline myönnetään toisen vahvan sähköisen tunnistusvälineen perusteella eli ensitunnistamisessa käytetään jo olemassa olevaa vahvaa sähköistä tunnistusvälinettä. Siirtymäaikana tulee varmistaa, ettei vahvan sähköisen tunnistusvälineen ensitunnistamisessa käytetä sähköistä tunnistusvälinettä, joka ei ole enää vahva sähköinen tunnistusväline sen takia, ettei sitä tarjoava tunnistusvälineen tarjoaja tee ilmoitusta aikeestaan jatkaa vahvan sähköisen tunnistuspalvelun tarjoajana.

Säännöksen mukaan sähköinen tunnistusväline katsotaan vahvaksi sähköiseksi tunnistusvälineeksi vähintään korotetulla varmuustasolla ensinnäkin silloin, kun tunnistusväline on myönnetty viimeistään kahden kuukauden kuluessa tämän lain voimaan tulosta tämän lain 17 §:ssä tarkoitetun sähköiseen tunnistusvälineeseen perustuvan ensitunnistamisen perusteella. Säännöksessä lähdetään siitä, että lain voimaan tullessa tunnistuspalvelun tarjoajat voivat jatkaa uusien tunnistusvälineiden myöntämistä sähköisesti siten kuin lain voimaan tullessa oli säädetty. Kun kaksi kuukautta on kulunut lain voimaantulosta, uusia tunnistusvälineitä voitaisiin myöntää sähköisesti vain sellaisten tunnistusvälineiden perusteella, jonka myöntänyt tunnistusvälineen tarjoaja on tehnyt 3 momentissa tarkoitetun muutosilmoituksen aikeesta jatkaa vahvan sähköisen tunnistuspalvelun tarjoajana.

Ehdotetun 8 momentin mukaan sähköisen tunnistamisen välinettä ei pidetä enää vahvan sähköisen tunnistamisen välineenä, jos tunnistuspalveluntarjoaja ei tee edellä 3 momentissa tarkoitettua muutosilmoitusta viimeistään kahden kuukauden kuluessa tämän lain voimaan tulosta. Viestintäviraston on tällöin poistettava tunnistuspalveluntarjoaja tunnistuslain 12 §:ssä tarkoitetusta rekisteristä ja ilmoitettava rekisteristä poistamisesta tunnistuspalvelun tarjoajalle.

3 §. Muu lainsäädäntö. Pykälää ehdotetaan muutettavaksi niin, että siihen ei enää oteta informatiivista viittausta vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annettuun lakiin. Nykyisen 1 momentin sisältö otettaisiin sellaisenaan lain 3 §:ksi.

9 §. Kirjallisen muodon täyttyminen. Pykälää ehdotetaan muutettavaksi niin, että pykälän 1 momentista poistettaisiin viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain 5 §:n 2 momentissa tarkoitettuun sähköiseen allekirjoitukseen. Muuten pykälä vastaisi nykyistä sääntelyä.

Pykälän 2 momentissa ehdotetaan nykytilaa vastaavasti säädettäväksi, ettei viranomaiselle saapunutta sähköistä asiakirjaa tarvitse täydentää allekirjoituksella, jos asiakirjassa on tiedot lähettäjästä eikä asiakirjan alkuperäisyyttä tai eheyttä ole syytä epäillä. Asiakirjan alkuperäisyydellä tarkoitettaisiin säännöksessä tietoa asiakirjan lähettäjästä ja eheydellä asiakirjan säilymistä muuttumattomana, kuten nykyisessäkin laissa.

Käytännössä pääsäännöksi on nykyisen säännöksen mukaisesti muodostunut, ettei asiakirjoja täydennytetä allekirjoituksilla. Alkuperäisyyteen ja eheyteen liittyvät epäilyt oikeuttaisivat viranomaisen vaatimaan asiakirjan toimittamista joko alkuperäisenä ja asianmukaisin allekirjoituksin varustettuna tai asiakirjan toimittamista uudelleen sähköisesti allekirjoitettuna. Allekirjoituksella tarkoitettaisiin siten fyysistä tai sähköistä allekirjoitusta. Kuten nykyisenkin säännöksen mukaan myös ehdotetussa sääntelyssä jäisi viranomaisen harkintaan, millaista sähköistä allekirjoittamista se pitäisi riittävänä asiakirjan alkuperäisyydestä ja eheydestä varmistautumiseksi.

16 §. Päätösasiakirjan sähköinen allekirjoittaminen. Pykälää ehdotetaan muutettavaksi niin, että siitä poistetaan viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain 5 §:n 2 momenttiin. Lisäksi pykälään ehdotetaan otettavaksi säännös siitä, että viranomaisen on allekirjoitettava asiakirja joko kehittyneellä sähköisellä allekirjoituksella tai muuten sellaisella tavalla, että asiakirjan alkuperäisyydestä ja eheydestä voidaan varmistautua.

Viranomaisen päätösasiakirjan allekirjoittamisen tavalle asetettaisiin säännöksessä laadullisia vaatimuksia. Esimerkiksi viranomaisissa käytettävän Väestörekisterikeskuksen myöntämän virkakortin avulla tehtävä sähköinen allekirjoitus täyttäisi säännöksessä mainitun laatuvaatimuksen. Kehittynyt sähköinen allekirjoitus voitaisiin luoda myös muun muassa mobiilivarmenteella.

Laissa ei kuitenkaan rajoitettaisi viranomaisen käytössä olevia allekirjoitusmahdollisuuksia ainoastaan kehittyneeseen sähköiseen allekirjoitukseen. Myös muunlainen tapa olisi riittävä, kunhan asiakirjan alkuperäisyydestä ja eheydestä voidaan varmistautua. Alkuperäisyydellä tarkoitettaisiin allekirjoittajan henkilöllisyyden tunnistamista ja eheydellä asiakirjan muuttumattomuutta.

18 §. Todisteellinen sähköinen tiedoksianto. Pykälän 18 §:ää ehdotetaan muutettavaksi siten, että pykälän 2 momentista poistettaisiin viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetussa laissa tarkoitettuun tunnistusvälineeseen ja laatuvarmenteeseen. Käytettävän tunnistautumistekniikan edellytykseksi säädettäisiin ainoastaan, että sen on oltava tietoturvallinen ja todisteellinen.

Pykälän 3 momentin suomenkielistä sanamuotoa ehdotetaan lisäksi tarkistettavaksi. Muutos on tekninen eikä vaikuta ruotsinkieliseen säädöstekstiin. Pykälää ei muuten ehdoteta muutettavaksi.

2 §. Viestintäviraston tehtävät. Pykälässä oleva lakiviittaus tunnistuslakiin muutettaisiin vastaamaan lain uutta nimeä. Lisäksi viittaukset 1 päivänä tammikuuta 2015 voimaan tulleella tietoyhteiskuntakaarella (917/2014) kumottuihin lakeihin korvattaisiin viittauksella tietoyhteiskuntakaareen.

1 §. Asiointijärjestelmän käyttö ja sähköinen tunnistaminen asiointijärjestelmässä. Pykälässä oleva lakiviittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annettuun lakiin muutettaisiin vastaamaan lain uutta nimeä. Pykälässä oleva viittaus laatuvarmenteeseen, josta säädettiin aiemmin tunnistuslaissa, muutettaisiin viittaukseksi sähköisen allekirjoituksen hyväksytyksi varmenteeksi, josta säädetään eIDAS-asetuksen 28 artiklassa.

18 §. Etätunnistamiseen liittyvä tehostettu tuntemisvelvollisuus. Pykälässä oleva lakiviittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annettuun lakiin muutettaisiin vastaamaan lain uutta nimeä. Pykälässä oleva viittaus laatuvarmenteeseen, josta säädettiin aiemmin tunnistuslaissa, muutettaisiin viittaukseksi sähköisen allekirjoituksen hyväksytyksi varmenteeksi, josta säädetään eIDAS-asetuksen 28 artiklassa.

Lain 2 §:n 2 momentin 2 kohdassa, 6 §:n 2 momentissa, 43 §:n 2 momentin 2 kohdassa, 61 §:n 3 momentissa, 62 §:n 1 ja 2 momentissa, 66 §:n 3 momentissa, 67 §:n 1 momentissa ja 68 §:n 1 momentissa viitataan vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annettuun lakiin. Ehdotettujen pykälien viittaukset muutettaisiin vastaamaan lain uutta nimeä tai viittaus kohdistuisi sähköisestä tunnistamisesta ja luottamuspalveluista annettuun EU:n asetukseen.

2 §. Soveltamisala. Pykälässä oleva lakiviittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annettuun lakiin muutettaisiin vastaamaan lain uutta nimeä.

9 §. Asiakirjan sähköinen allekirjoittaminen. Pykälää ehdotetaan muutettavaksi siten, että viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annettuun lakiin korvataan viittauksella Euroopan parlamentin ja neuvoston asetukseen (EU) N:o 910/2014 eli eIDAS-asetukseen.

14 §. Valtakunnalliset tietojärjestelmäpalvelut. Pykälässä oleva lakiviittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annettuun lakiin muutettaisiin vastaamaan lain uutta nimeä.

93 a §. Sähköinen asiointi ja allekirjoittamine n. Pykälän 2 momenttia ehdotetaan muutettavaksi siten, että pykälässä tarkoitetut ilmoitukset ja muut asiakirjat, jotka voidaan toimittaa veroviranomaiselle sähköisesti ja jotka on allekirjoitettava, on varmennettava sähköisellä allekirjoituksella tai muulla hyväksyttävällä tavalla. Pykälässä ei enää viitattaisi kehittyneeseen sähköiseen allekirjoitukseen.

56 b §. Sähköinen asiointi ja allekirjoittaminen. Pykälän 2 momenttia ehdotetaan muutettavaksi siten, että pykälässä tarkoitetut ilmoitukset ja muut asiakirjat, jotka voidaan toimittaa veroviranomaiselle sähköisesti ja jotka on allekirjoitettava, on varmennettava sähköisellä allekirjoituksella tai muulla hyväksyttävällä tavalla. Pykälässä ei enää viitattaisi kehittyneeseen sähköiseen allekirjoitukseen.

6 a §. Sähköinen asiointi ja allekirjoittaminen. Pykälän 2 momenttia ehdotetaan muutettavaksi siten, että pykälässä tarkoitetut ilmoitukset ja muut asiakirjat, jotka voidaan toimittaa veroviranomaiselle sähköisesti ja jotka on allekirjoitettava, on varmennettava sähköisellä allekirjoituksella tai muulla hyväksyttävällä tavalla. Pykälässä ei enää viitattaisi kehittyneeseen sähköiseen allekirjoitukseen.

11 §. Luovuttajiin liittyvät tiedot. Pykälää ehdotetaan muutettavaksi siten, että viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annettuun lakiin korvataan viittauksella Euroopan parlamentin ja neuvoston asetukseen (EU) N:o 910/2014 eli eIDAS-asetukseen.

165 §. Pykälän 2 momenttia ehdotetaan muutettavaksi siten, että pykälässä tarkoitetut ilmoitukset ja muut asiakirjat, jotka voidaan toimittaa veroviranomaiselle sähköisesti ja jotka on allekirjoitettava, on varmennettava sähköisellä allekirjoituksella tai muulla hyväksyttävällä tavalla. Pykälässä ei enää viitattaisi kehittyneeseen sähköiseen allekirjoitukseen.

7 §. Kausiveroilmoituksen antaminen. Pykälää 2 momenttia ehdotetaan muutettavaksi siten, että pykälässä tarkoitettu sähköisesti annettu kausiveroilmoitus on varmennettava sähköisellä allekirjoituksella tai muulla hyväksyttävällä tavalla. Pykälässä ei enää viitattaisi kehittyneeseen sähköiseen allekirjoitukseen.

4 §. Rakennusten energiatodistustietojärjestelmästä annetun lain muuttamisesta. Pykälää ehdotetaan muutettavaksi siten, että viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annettuun lakiin korvataan viittauksella Euroopan parlamentin ja neuvoston asetukseen (EU) N:o 910/2014 eli eIDAS-asetukseen.

32 §. Veroilmoituksen antamistapa. Pykälän 3 momenttia ehdotetaan muutettavaksi siten, että pykälässä tarkoitettu sähköisesti annettu kausiveroilmoitus on varmennettava sähköisellä allekirjoituksella tai muulla hyväksyttävällä tavalla. Pykälässä ei enää viitattaisi kehittyneeseen sähköiseen allekirjoitukseen.

Lait ehdotetaan tulemaan voimaan 1 päivänä heinäkuuta 2016, jolloin eIDAS-asetuksen luottamuspalveluja koskevat säännökset tulevat voimaan .

Eräät esitykseen sisältyvät säännökset ovat merkityksellisiä perustuslain kannalta.

Perustuslain 80 §:n 2 momentin mukaan muu viranomainen voidaan lailla valtuuttaa antamaan oikeussääntöjä määrätyistä asioista, jos siihen on sääntelyn kohteeseen liittyviä erityisiä syitä eikä sääntelyn asiallinen merkitys edellytä, että asiasta säädetään lailla tai asetuksella. Tällaisen valtuuden tulee olla soveltamisalaltaan täsmällisesti rajattu. Lisäksi perustuslaista johtuu, että valtuuden kattamat asiat on määriteltävä tarkasti laissa.

Laissa on säädettävä perusasioista ja laista tulee käydä selkeästi ilmi, mistä on tarkoitus antaa määräyksiä ja valtuuden tulee olla soveltamisalaltaan täsmällisesti rajattu. Esimerkiksi lausunnossa PeVL 10/2014 painotetaan tarkkarajaisuuden ja täsmällisyyden vaatimuksia. Samassa lausunnossa perustuslakivaliokunta toteaa ympäristölainsäädännön osalta tyypilliseksi sen, että huomattava osa yksityiskohtaisesta sääntelyä jää lakia alemmanasteisiin säädöksiin. Tämä johtuu valiokunnan mukaan pitkälti siitä, että sääntelyn on tarpeen olla varsin yksityiskohtaista ja teknisluonteista. Tämä pätee myös ehdotettavaan sähköistä tunnistamista ja sähköisiä luottamuspalveluja koskevaan lainsäädäntöön.

Lakiehdotukseen sisältyy useita valtuuksia Viestintävirastolle antaa alemmanasteisia säännöksiä. Ehdotetussa laissa kaikki valtuutussäännökset on asiallisesti kytketty säänneltävää asiaa koskevaan pykälään (8, 12 a, 16, 29, 30, 32, 33, 35 ja 36 §). Lakiehdotuksen sisältämään valtuutuspykälään (42 §) on koottu valtuutussäännökset useammasta pykälästä. Ehdotetussa laissa olevat perussäännökset sitovat ja rajaavat Viestintäviraston toimivaltaa.

Ehdotetussa laissa säädettäisiin yksilön oikeuksista ja velvollisuuksista sekä asioista, jotka perustuslain mukaan muuten kuuluvat lain alaan. Valtuutukset on laadittu tarkkarajaisiksi ja täsmällisiksi. Lakiehdotuksen valtuutussäännökset eivät ole ristiriidassa perustuslain kanssa.

Lakiehdotusta on arvioitava perustuslain 124 §:n näkökulmasta. Perustuslain 124 §:n mukaan julkinen hallintotehtävä voidaan antaa muulle kuin viranomaiselle vain lailla tai lain nojalla, jos se on tarpeen tehtävän tarkoituksenmukaiseksi hoitamiseksi eikä se vaaranna perusoikeuksia, oikeusturvaa tai muita hyvän hallinnon vaatimuksia. Merkittävää julkisen vallan käyttöä sisältäviä tehtäviä voidaan kuitenkin antaa vain viranomaiselle.

Lakiehdotuksen 36 §:ssä tarkoitettua ja eIDAS-asetuksen 30 artiklassa säädettyä hyväksytyn sähköisen allekirjoituksen ja sähköisen leiman luontivälineen sertifiointia voidaan pitää julkisina hallintotehtävinä perustuslain 124 §:n tarkoittamassa merkityksessä. Ehdotetussa 36 §:ssä ehdotetaan, että Viestintävirasto voisi nimetä eIDAS-asetuksen 30 artiklassa tarkoitetun yksityisen tai julkisen sertifiointilaitoksen. Tehtävän mahdollinen osoittaminen viranomaiskoneiston ulkopuolelle ei ole ongelmallista tehtävän sisältö huomioon ottaen. Tarkoituksenmukaisuusvaatimuksen kannalta ei ole estettä osoittaa teknisluonteisten tarkastusten toimittamista ja niihin perustuvien sertifikaattien myöntämistä muille kuin viranomaisille. Tarkastustehtävien suorittamiseen ei kuulu merkittävänä julkisen vallan käyttönä pidettäviä toimivaltuuksia. Hyväksytyn sähköisen allekirjoituksen ja sähköisen leiman luontivälineen tarkastustehtävät ovat sen laatuisia teknistä erityisosaamista vaativia arviointitehtäviä, joiden antamista viranomaiskoneiston ulkopuoliselle perustuslakivaliokunta on eri yhteyksissä pitänyt perustuslain 124 §:n kannalta tarkoituksenmukaisena (esim. PeVL 43/2000 vp, PeVL 16/2002 vp ja PeVL 180/2000vp). Viestintävirasto valvoo sertifiointilaitoksen toimintaa ja hyväksymisen edellytetyksi säädettyjen vaatimusten täyttymistä 45, 45 a §:n ja 46 §:n nojalla.

Lakiehdotuksen 31 §:ssä tarkoitettua ja eIDAS-asetuksessa säädettyä hyväksyttyjen luottamuspalvelun tarjoajien ja niiden tarjoamien hyväksyttyjen luottamuspalvelujen vaatimustenmukaisuuden vahvistamista on tarkasteltavana ensimmäiseksi siinä mielessä, että onko kyseessä julkinen hallintotehtävä. Kyseisestä tehtävästä on säädetty eIDAS-asetuksen 20 artiklassa. Vaikka eIDAS-asetuksen sanamuodon perusteella Viestintävirasto vielä tarkastuskertomuksen saatuaan tarkistaa luottamuspalvelun vaatimustenmukaisuuden, vaatimustenmukaisuuden arviointilaitoksen tarkastuskertomuksella on Viestintäviraston arvioinnissa ratkaiseva merkitys. Näin ollen tehtävää voidaan pitää julkisena hallintotehtävinä perustuslain 124 §:n tarkoittamassa merkityksessä. Luottamuspalvelun vaatimustenmukaisuuden arviointitehtävän osoittaminen viranomaiskoneiston ulkopuolelle ei ole ongelmallista perustuslain kannalta. Tarkoituksenmukaisuusvaatimuksen kannalta ei ole estettä osoittaa teknisluonteisen tarkastuksen toimittamista muille kuin viranomaisille. Tarkastustehtävien suorittamiseen ei kuulu merkittävänä julkisen vallan käyttönä pidettäviä toimivaltuuksia. Luottamuspalveluiden vaatimustenmukaisuuden arviointi on sen laatuinen teknistä erityisosaamista vaativa arviointitehtävä, jonka antamista viranomaiskoneiston ulkopuoliselle voidaan pitää perustuslain 124 §:n kannalta tarkoituksenmukaisena.

Koska edellä mainittujen ehdotetun 28 §:n 1 kohdassa tarkoitetun vaatimustenmukaisuuden arviointilaitoksen ja 36 §:ssä tarkoitetun sertifiointilaitoksen on katsottava suorittavan julkista tehtävää, 49 a §:ssä on ehdotettu, että niiden tämän lain nojalla tekemistä päätöksistä voi hakea oikaisua Viestintävirastosta.

Perustuslain 124 §:n valossa on myös tarkasteltava ehdotetun 28 §:n 2 ja 3 kohdassa tarkoitettujen vaatimustenmukaisuuden arviointielinten asemaa. Tässä tarkoitetut muu ulkoinen arviointilaitos ja sisäinen tarkastuslaitos arvioivat 29 §:ssä tarkoitetulla tavalla sähköisten tunnistuspalveluiden tarjoajien toimintaa ja 30 §:ssä tarkoitetulla tavalla sähköisen tunnistamisen kansallisen solmupisteen toimintaa. Näiden toimijoiden antama tarkastuskertomus tunnistuspalvelun tarjoajan tulee liittää Viestintävirastolle toimitettavaan 10 §:n mukaiseen ilmoitukseen. Nämä tarkastuskertomukset auttavat Viestintävirastoa arvioimaan toimijoiden toiminnan lainmukaisuutta, eikä 28 §:n 2 ja 3 kohdassa tarkoitettujen vaatimustenmukaisuuden arviointielinten toimintaa voida pitää julkisena hallintotehtävänä.

Ehdotetussa 47 §:ssä olevia säännöksiä Viestintävirastolle maksettavista maksuista on tarkasteltava perustuslain 81 §:n valtion veroja ja maksuja koskevan sääntelyn näkökulmasta. Valtion verosta säädetään perustuslain 81 §:n 1 momentin mukaan lailla, joka sisältää säännökset verovelvollisuuden ja veron suuruuden perusteista sekä verovelvollisen oikeusturvasta. Verolaista tulee yksiselitteisesti ilmetä verovelvollisuuden piiri. Lain säännösten tulee olla myös sillä tavoin tarkkoja, että lakia soveltamisen viranomaisten harkinta veroa määrättäessä on sidottua.

Voimassa olevan lain 47 §:ssä on säädetty vastaavista maksuista, joita nyt ehdotetaan muutettaviksi. Voimassa olevan lain esitöissä (HE 36/2009) on arvioitu valtiosääntöoikeudellisesti Viestintävirastolle 47 §:n nojalla maksettavien maksujen luonnetta ja pidetty niitä enemminkin verona kuin maksuina. Tämän vuoksi ehdotetut 47 §:n säännökset on laadittu siten, että niissä ilmenevät vähintään verovelvollisuuden ja veron suuruuden perusteet, verovelvollisten oikeusturva ja verovelvollisten piiri perustuslain 81 §:ssä edellytetyllä tavalla. Kuten voimassa olevassa laissa, muista yksityiskohdista voidaan tarvittaessa säätää liikenne- ja viestintäministeriön asetuksella ja tästä ehdotetaan erillistä valtuutussäännöstä lain 47 §:n 6 momenttiin. Ehdotettu sääntely ei siten ole ristiriidassa perustuslain 81 §:n kanssa.

Edellä mainituilla perusteilla lakiehdotukset voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä.

Lakiehdotukset

1.

Eduskunnan päätöksen mukaisesti

kumotaan vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain (617/2009) 4 ja 5 §,

muutetaan nimike, 1 ja 2 §, 2 luvun otsikko, 6 §, 7 §:n 1 momentti, 8 §, 9 §:n 1 momentti, 10 §, 13 §:n 1 momentti, 14 §, 15 §:n otsikko ja 1 momentin johdantokappale, 16 §, 17 §:n otsikko ja 1 ja 2 momentti, 19 §:n 1 momentin 8 kohdan ruotsinkielinen sanamuoto, 20 §:n otsikko ja 3 momentti, 21, 22 ja 24 §, 25 §:n 1—3 momentti, 26 §, 4 luvun otsikko, 28—42 §, 43 §:n 1 momentti, 44 §:n 1 momentti, 45 §:n 1 momentti, 46, 47 ja 49 §, sellaisina kuin niistä ovat 2 ja 6 § osaksi laissa 139/2015 sekä 7 §:n 1 momentti ja 17 §:n 1 ja 2 momentti laissa 139/2015, sekä

lisätään lakiin uusi 7 a, 8 a ja 17 a §, 39 §:n edelle uusi luvun otsikko ja lakiin uusi 42 a—42 c, 45 a ja 49 a § seuraavasti:

1 §
Soveltamisala

Tässä laissa säädetään vahvasta sähköisestä tunnistamisesta sekä tunnistuspalveluiden tarjoamisesta palveluntarjoajille, yleisölle ja toisille tunnistuspalvelun tarjoajille.

Tässä laissa säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014, jäljempänä sähköisestä tunnistamisesta ja luottamuspalveluista annettu EU:n asetus, säännösten noudattamisen valvonnasta ja annetaan mainittua asetusta täydentäviä säännöksiä. Tässä laissa säädetään lisäksi tunnistus- ja luottamuspalvelujen vaatimustenmukaisuuden arvioinnista.

Euroopan komissiolle ilmoitettaviin rajat ylittäviin tunnistusjärjestelmiin sovelletaan tätä lakia vain, jollei sähköisestä tunnistamisesta ja luottamuspalveluista annetusta EU:n asetuksesta muuta johdu.

Lakia ei sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Lakia ei sovelleta myöskään yhteisöön, joka käyttää omaa tunnistusmenetelmäänsä omien asiakkaidensa tunnistamiseen omissa palveluissaan.

2 §
Määritelmät

Tässä laissa tarkoitetaan:

1) vahvalla sähköisellä tunnistamisella sellaista henkilön, oikeushenkilön tai oikeushenkilöä edustavan luonnollisen henkilön yksilöimistä ja tunnisteen aitouden ja oikeellisuuden todentamista sähköistä menetelmää käyttäen, joka täyttää sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 8 artiklan 2 kohdan b alakohdassa tarkoitetun korotetun varmuustason tai mainitun kohdan c alakohdassa tarkoitetun korkean varmuustason vaatimukset;

2) tunnistusvälineellä sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 3 artiklan 2 kohdassa tarkoitettua sähköisen tunnistamisen menetelmää;

3) tunnistuspalvelun tarjoajalla tunnistusvälityspalvelun tarjoajaa tai tunnistusvälineen tarjoajaa;

4) tunnistusvälineen tarjoajalla palveluntarjoajaa, joka tarjoaa tai laskee liikkeelle vahvan sähköisen tunnistamisen tunnistusvälineitä yleisölle sekä tarjoaa tunnistusvälinettään tunnistusvälityspalvelun tarjoajalle välitettäväksi luottamusverkostossa; 5) tunnistusvälityspalvelun tarjoajalla palveluntarjoajaa, joka välittää vahvan sähköisen tunnistamisen tunnistustapahtumia sähköiseen tunnistukseen luottavalle osapuolelle;

6) tunnistusvälineen haltijalla luonnollista henkilöä ja oikeushenkilöä, jolle tunnistuspalvelun tarjoaja on sopimukseen perustuen antanut tunnistusvälineen;

7) ensitunnistamisella tunnistusvälineen hakijan henkilöllisyyden todentamista välineen hankkimisen yhteydessä;

8) varmenteella sähköistä todistusta, joka todentaa henkilöllisyyden tai todentaa henkilöllisyyden ja liittää luottamuspalvelun todentamistiedot luottamuspalvelun käyttäjään ja jota voidaan käyttää vahvassa sähköisessä tunnistamisessa ja luottamuspalveluissa;

9) varmentajalla luonnollista henkilöä tai oikeushenkilöä, joka tarjoaa varmenteita yleisölle;

10) luottamusverkostolla Viestintävirastoon ilmoituksen tehneiden tunnistuspalvelun tarjoajien verkostoa;

11) vaatimustenmukaisuuden arviointilaitoksella, Viestintäviraston hyväksymää tuotteiden kaupan pitämiseen liittyvää akkreditointia ja markkinavalvontaa koskevista vaatimuksista ja neuvoston asetuksen (ETY) N:o 339/93 kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 765/2008 2 artiklan 13 kohdassa tarkoitettua elintä, joka on akkreditoitu mainitun asetuksen mukaisesti.

Tässä laissa sähköisellä allekirjoituksella, luottamuspalvelulla, kehittyneellä sähköisellä allekirjoituksella, sähköisen tunnistamisen järjestelmällä sekä luottavalla osapuolella tarkoitetaan samaa kuin sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 3 artiklassa.

2 luku

Lain pakottavuus ja henkilötietojen käsittely

6 §
Henkilötietojen käsittely

Tunnistuspalvelun tarjoaja saa käsitellä tunnistusvälineen liikkeelle laskemisessa, palvelun ylläpidossa sekä tunnistustapahtuman toteuttamisessa tarvittavia henkilötietoja henkilötietolain (523/1999) 8 §:n 1 momentin 1 ja 2 kohdassa säädetyillä perusteilla. Luottamuspalveluja tarjoava varmentaja saa samoilla perusteilla käsitellä varmenteen myöntämisessä ja ylläpidossa tarvittavia henkilötietoja sekä kerätä henkilötietoja henkilöltä itseltään.

Tunnistusvälityspalvelun tarjoajalla on oikeus tunnistuksen välityspalvelua tarjotessaan luovuttaa henkilötietoja sähköiseen tunnistukseen luottavalle osapuolelle, jos luottavalla osapuolella on lain perusteella oikeus käsitellä henkilötietoja.

Henkilötietoja saa käsitellä muussa kuin 1 momentissa mainitussa tarkoituksessa ainoastaan henkilötietolain 8 §:n 1 momentin 1 kohdassa säädetyillä perusteilla.

Tunnistuspalvelun tarjoajan ja luottamuspalveluja tarjoavan varmentajan tulee tarkastaessaan hakijan henkilöllisyyden vaatia hakijaa ilmoittamaan henkilötunnuksensa. Tunnistuspalvelun tarjoaja ja luottamuspalveluja tarjoava varmentaja saavat käsitellä henkilötunnusta rekistereissään 1 momentissa mainitussa tarkoituksessa. Henkilötunnuksen saa sisällyttää tunnistusvälineeseen tai varmenteeseen, jos välineen tai varmenteen tietosisältö on ainoastaan sellaisen tahon saatavilla, jolle se on välttämätöntä palvelun toteuttamiseksi. Henkilötunnus ei saa olla saatavissa julkisesta hakemistosta.

Henkilötietojen käsittelystä säädetään lisäksi 19 ja 24 §:ssä sekä henkilötietolaissa.

7 §
Väestötietojärjestelmän tietojen käyttäminen

Tunnistusvälineen tarjoajan ja luottamuspalvelua tarjoavan varmentajan on hankittava ja päivitettävä luonnollisen henkilön tunnistuspalvelun tarjoamiseksi tarvitsemansa tiedot väestötietojärjestelmästä. Tämän lisäksi tunnistuspalvelun tarjoajan on varmistettava, että sen tunnistuspalvelun tarjoamiseksi tarvitseman tiedot ovat ajan tasalla väestötietojärjestelmän tietojen kanssa.

---

7 a §
Yritys- ja yhteisörekisterien tietojen käyttäminen

Tunnistusvälineen tarjoajan ja luottamuspalvelua tarjoavan varmentajan on hankittava ja päivitettävä oikeushenkilön tunnistuspalvelun tarjoamiseksi tarvitsemansa tiedot yritys- ja yhteisörekistereistä. Tämän lisäksi tunnistuspalvelun tarjoajan on varmistettava, että sen tunnistuspalvelun tarjoamiseksi tarvitsemat tiedot ovat ajan tasalla yritys- ja yhteisörekisterien tietojen kanssa.

8 §
Sähköisen tunnistamisen järjestelmälle asetettavat vaatimukset

Sähköisen tunnistamisen järjestelmän on täytettävä seuraavat vaatimukset:

1) tunnistusmenetelmän perustana on 17 ja 17 a §:n mukainen tunnistaminen, jota koskevat tiedot ovat jälkikäteen 24 §:n mukaisesti tarkastettavissa;

2) tunnistusmenetelmällä voidaan yksiselitteisesti tunnistaa tunnistusvälineen haltija siten, että teknisten vähimmäiseritelmien ja -menettelyjen vahvistamisesta sähköisen tunnistamisen menetelmien varmuustasoja varten sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 8 artiklan 3 kohdan mukaisesti annetussa komission täytäntöönpanoasetuksen (EU) 2015/1502, jäljempänä sähköisen tunnistamisen varmuustasoasetus, liitteen kohdissa 2.1.2, 2.1.3 ja 2.1.4 vähintään korotetulle varmuustasolle säädetyt edellytykset täyttyvät;

3) tunnistusmenetelmällä voidaan varmistua, että ainoastaan tunnistusvälineen haltija voi käyttää välinettä siten, että sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdissa 2.2.1 ja 2.3 vähintään korotetulle varmuustasolle säädetyt edellytykset täyttyvät;

4) tunnistusjärjestelmä on turvallinen ja luotettava siten, että sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdissa 2.2.1, 2.3.1 ja 2.4.6 vähintään korotetulle varmuustasolle säädetyt edellytykset täyttyvät ottaen huomioon kulloinkin käytettävissä olevaan tekniikkaan liittyvät tietoturvallisuusuhat sekä tunnistuspalvelun tarjoamiseen käytettävät tilat ovat turvallisia sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.4.5 säädetyllä tavalla;

5) tietoturvallisuuden hallinnasta on huolehdittu siten, että sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdan 2.4 johdanto-osassa ja kohdissa 2.4.3 ja 2.4.7 vähintään korotetulle varmuustasolle säädetyt edellytykset täyttyvät.

Mitä 1 momentissa säädetään, ei estä palvelun tarjoamista palvelukohtaisesti siten, että tunnistuspalvelun tarjoaja ilmoittaa tunnistuspalvelua käytävälle palveluntarjoajalle tunnistusvälineen haltijan salanimen tai ainoastaan rajoitetun määrän henkilötietoja.

8 a §
Tunnistusmenetelmässä käytettävät todentamistekijät

Tunnistusmenetelmässä on käytettävä vähintään kahta seuraavista todentamistekijöistä:

1) tiedossa oloon perustuvaa todentamistekijää, jonka henkilön on osoitettava olevan tiedossaan;

2) hallussapitoon perustuvaa todentamistekijää, jonka henkilön on osoitettava olevan hallussaan;

3) luontaista todentamistekijää, joka perustuu johonkin luonnollisen henkilön fyysiseen ominaisuuteen.

Jokaisessa tunnistusmenetelmässä on käytettävä sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.3.1 tarkoitettua sellaista dynaamista todentamista, joka muuttuu jokaisessa uudessa henkilön ja hänen henkilöllisyytensä varmentavan järjestelmän välillä tapahtuvassa todentamistapahtumassa.

9 §
Tunnistuspalvelun tarjoajalle asetettavat vaatimukset

Tunnistuspalvelun tarjoajana olevan oikeushenkilön tai sen lukuun toimivan luonnollisen henkilön, palveluntarjoajana olevan yhteisön tai säätiön hallituksen tai hallintoneuvoston jäsenten ja varajäsenten, toimitusjohtajan, vastuunalaisen yhtiömiehen sekä muussa näihin rinnastettavassa asemassa olevien on täytettävä seuraavat edellytykset:

1) heidän pitää olla täysi-ikäisiä;

2) he eivät saa olla konkurssissa;

3) heidän toimintakelpoisuutensa ei saa olla rajoitettu.

---

10 §
Tunnistuspalvelun tarjoajan velvollisuus ilmoittaa toiminnan aloittamisesta

Suomeen sijoittautuneen tunnistuspalvelun tarjoajan on ennen toiminnan aloittamista tehtävä kirjallinen ilmoitus Viestintävirastolle. Ilmoituksen voi tehdä myös sellainen tunnistusvälineen tarjoajien yhteenliittymä, jonka hallinnoimaa palvelua on pidettävä yhtenä tunnistuspalveluna.

Ilmoituksessa on oltava:

1) palveluntarjoajan nimi;

2) palveluntarjoajan täydelliset yhteystiedot;

3) tiedot tarjottavista palveluista;

4) selvitykset hakijaa ja hakijan toimintaa koskevien 8, 8 a, 9, 13 ja 14 §:ssä säädettyjen vaatimusten täyttymisestä:

5) vaatimustenmukaisuuden arviointilaitoksen, muun ulkoisen arviointilaitoksen taikka sisäisen tarkastuslaitoksen laatima tarkastuskertomus riippumattomasta arvioinnista 29 §:n mukaisesti;

6) muut valvonnan kannalta tarpeelliset tiedot.

Tunnistuspalvelun tarjoajan on viipymättä ilmoitettava 2 momentissa tarkoitetuissa tiedoissa tapahtuneista muutoksista kirjallisesti Viestintävirastolle. Ilmoitus on tehtävä myös toiminnan lopettamisesta sekä toimintojen siirtymisestä toiselle palveluntarjoajalle.

13 §
Tunnistuspalveluntarjoajan yleiset velvollisuudet

Tunnistuspalvelun tarjoajan tunnistamiseen liittyvien tietojen säilyttämisen, henkilökunnan ja alihankintana käyttämien palvelujen tulee täyttää sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdissa 2.4.4 ja 2.4.5 vähintään korotetulle varmuustasolle säädetyt vaatimukset. Lisäksi tunnistuspalvelun tarjoajalla tulee olla kattava suunnitelma tunnistuspalvelun päättämisen varalta.

---

14 §
Tunnistusperiaatteet

Tunnistuspalvelun tarjoajalla on oltava tunnistusperiaatteet, joissa määritellään tarkemmin, kuinka palveluntarjoaja täyttää tässä laissa säädetyt velvollisuutensa. Erityisesti on määriteltävä tarkemmin, kuinka tunnistusvälineen tarjoaja toteuttaa 17 ja 17 a §:ssä tarkoitetun tunnistamisen tunnistusvälinettä myönnettäessä.

Lisäksi tunnistusperiaatteissa on oltava keskeiset tiedot:

1) palveluntarjoajasta;

2) tarjottavista palveluista ja niiden hinnoista;

3) kaikista sovellettavista ehdoista;

4) palveluun liittyvistä tietosuojaperiaatteista;

5) palveluntarjoajan tärkeimmistä yhteistyökumppaneista;

6) 29 §:n mukaisesta vaatimustenmukaisuuden arvioinnista;

7) muista merkityksellisistä seikoista, joiden perusteella palveluntarjoajan toimintaa ja luotettavuutta voidaan arvioida.

Jos tunnistusvälineillä voidaan tehdä sähköisiä allekirjoituksia tai kehittyneitä sähköisiä allekirjoituksia, tunnistuspalvelun tarjoajan on annettava tieto myös niiden toteuttamismenetelmästä, tasosta ja turvallisuustekijöistä.

Tunnistuspalvelun tarjoajan on pidettävä tunnistusperiaatteet yleisesti saatavilla ja ajantasaisina.

15 §
Tunnistusvälineen tarjoajan tiedonantovelvollisuus ennen sopimuksen tekemistä

Tunnistusvälineen tarjoajan on ennen tunnistusvälineen hakijan kanssa tehtävän sopimuksen tekemistä annettava hakijalle tiedot:

---

16 §
Tunnistuspalvelun tarjoajan velvollisuus ilmoittaa toimintaan ja tietojen suojaamiseen kohdistuvista uhkista tai häiriöistä

Tunnistuspalvelun tarjoajan on ilmoitettava ilman aiheetonta viivästystä tunnistuspalveluunsa luottaville osapuolille, tunnistusvälineiden haltijoille, muille luottamusverkostossa toimiville sopimuspuolilleen sekä Viestintävirastolle palvelun toimivuuteen, tietoturvaan tai sähköisen henkilöllisyyden käyttöön kohdistuvista merkittävistä uhkista tai häiriöistä. Viestintävirasto voi teknisesti välittää tietoja luottamusverkostossa osapuolten välillä ilmoittajan lukuun sen estämättä, mitä viranomaisen toiminnan julkisuudesta annetussa laissa (621/1999) säädetään.

Jos uhka tai häiriö kohdistuu henkilötietolain 32 §:ssä tarkoitettuun tietojen suojaamiseen, tunnistuspalvelun tarjoajan on ilmoitettava asiasta myös tietosuojavaltuutetulle.

Edellä 1 momentissa tarkoitetussa ilmoituksessa on kerrottava niistä toimista, joita eri tahoilla on käytettävissään uhkien tai häiriöiden torjumiseksi sekä näistä toimenpiteistä aiheutuvista arvioiduista kustannuksista.

Tunnistuspalvelun tarjoaja saa käyttää tämän pykälän nojalla saatuja toista tunnistuspalvelun tarjoajaa koskevia tietoja vain tässä pykälässä tarkoitettuihin uhkiin tai häiriöihin varautumiseen. Tietoja saavat tunnistuspalvelun tarjoajan palveluksessa käsitellä ainoastaan ne, jotka tarvitsevat tietoja välttämättä työssään. Tietoja on muutoinkin käsiteltävä siten, ettei toisen tunnistuspalvelun tarjoajan liikesalaisuuksia vaaranneta.

Tunnistuspalvelun tarjoaja, joka aiheuttaa 4 momentin vastaisella menettelyllä vahinkoa toiselle tunnistuspalvelun tarjoajalle, on velvollinen korvaamaan menettelystään aiheutuvan vahingon.

17 §
Tunnistusvälineen hakijana olevan luonnollisen henkilön tunnistaminen

Ensitunnistamisessa luonnollisen henkilön tunnistaminen tulee tehdä henkilökohtaisesti tai sähköisesti siten, että sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.1.2 korotetulle tai korkealle varmuustasolle säädetyt vaatimukset täyttyvät. Henkilön henkilöllisyyden varmentaminen voi perustua viranomaisen myöntämään henkilöllisyyttä osoittavaan asiakirjaan tai tässä laissa tarkoitettuun vahvaan sähköiseen tunnistusvälineeseen. Lisäksi henkilöllisyyden varmentaminen voi perustua julkisen tai yksityisen tahon aiemmin muuhun tarkoitukseen kuin vahvan sähköisen tunnistusvälineen myöntämiseen käyttämään menettelyyn, jonka Viestintävirasto hyväksyy menettelyä koskevien säännösten ja viranomaisvalvonnan perusteella tai tämän lain 28 §:n 1 kohdassa tarkoitetun vaatimustenmukaisuuden arviointilaitoksen vahvistuksen perusteella.

Ensitunnistamisessa, joka perustuu yksinomaan viranomaisen myöntämään henkilöllisyyttä osoittavaan asiakirjaan, hyväksyttäviä asiakirjoja ovat voimassa oleva Euroopan talousalueen jäsenvaltion, Sveitsin tai San Marinon viranomaisen myöntämä passi tai henkilökortti. Halutessaan tunnistusvälineen tarjoaja voi käyttää henkilöllisyyden varmentamisessa myös muun valtion viranomaisen myöntämää voimassa olevaa passia.

---

17 a §
Tunnistusvälineen hakijana olevan oikeushenkilön tunnistaminen

Oikeushenkilön ilmoitettu henkilöllisyys tulee varmentaa yritys- ja yhteisörekistereistä tai siten, että vähintään oikeushenkilön henkilöllisyyden todistamista ja varmentamista koskevat sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.1.3 korotetulle varmuustasolle säädetyt vaatimukset täyttyvät.

20 §
Tunnistusvälineen myöntäminen

---

Tunnistusväline myönnetään aina luonnolliselle henkilölle tai oikeushenkilölle. Luonnollisen henkilön ja oikeushenkilön tunnistusvälineiden kytkös on toteutettava sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdan 2.1.4 mukaisesti. Tunnistusvälineen on oltava henkilökohtainen. Tunnistusvälineeseen voidaan tarvittaessa liittää tieto siitä, että tunnistusvälineen haltija voi tapauskohtaisesti myös edustaa toista luonnollista henkilöä tai oikeushenkilöä.

21 §
Tunnistusvälineen luovuttaminen hakijalle

Tunnistusvälineen tarjoajan on luovutettava tunnistusväline sen hakijalle siten kuin sopimuksessa on sovittu. Tunnistuspalvelun tarjoajan on varmistettava, ettei tunnistusväline joudu oikeudettomasti toisen haltuun välinettä luovutettaessa siten, että sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.2.2 vähintään korotetulle varmuustasolle säädetyt vaatimukset täyttyvät.

22 §
Tunnistusvälineen uusiminen

Tunnistusvälineen tarjoaja saa toimittaa tunnistusvälineen haltijalle uuden välineen ilman nimenomaista pyyntöä vain, jos aikaisemmin annettu tunnistusväline on korvattava uudella. Tunnistusvälineen uusimisessa tulee noudattaa sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.2.4 vähintään korotetulle varmuustasolle säädettyjä vaatimuksia.

24 §
Tunnistustapahtumaa ja tunnistusvälinettä koskevien tietojen tallentaminen ja käyttö

Tunnistuspalvelun tarjoajan on tallennettava:

1) yksittäisen tunnistustapahtuman ja sähköisen allekirjoittamisen tapahtuman todentamiseksi tarvittavat tiedot;

2) tiedot 18 §:ssä tarkoitetuista tunnistusvälineen käyttöön liittyvistä estoista ja käyttörajoituksista;

3) varmenteen osalta 19 §:ssä tarkoitetun varmenteen tietosisältö.

Tunnistusvälineen tarjoajan on tallennettava tarvittavat tiedot 17 ja 17 a §:ssä tarkoitetusta hakijan ensitunnistamisesta ja siinä käytetystä asiakirjasta tai sähköisestä tunnistamisesta.

Edellä 1 momentin 1 kohdassa tarkoitetut tiedot on säilytettävä viiden vuoden ajan tunnistustapahtumasta. Muut 1 ja 2 momentissa tarkoitetut tiedot on säilytettävä viiden vuoden ajan vakituisen asiakassuhteen päättymisestä.

Tunnistustapahtuman yhteydessä syntyneet henkilötiedot on hävitettävä tunnistustapahtuman jälkeen, jollei tallentaminen ole välttämätöntä yksittäisen tunnistustapahtuman todentamiseksi.

Tunnistuspalvelun tarjoaja saa käsitellä tallennettuja tietoja ainoastaan palvelun toteuttamiseksi ja ylläpitämiseksi, laskutusta varten, omien oikeuksiensa turvaamista varten riitatilanteissa, väärinkäytöstilanteiden selvittämisessä sekä tunnistuspalvelua käyttävän palveluntarjoajan tai tunnistusvälineen haltijan pyynnöstä. Tunnistuspalvelun tarjoajan on tallennettava tieto käsittelyn ajankohdasta, syystä ja käsittelijästä.

Jos palveluntarjoaja ainoastaan laskee liikkeelle tunnistusvälineitä:

1) 1 momentin 1 kohtaa ja 4 momenttia ei sovelleta siihen;

2) 3 momentissa tarkoitettu viiden vuoden tallennusaika lasketaan tunnistusvälineen voimassaolon päättymisestä.

25 §
Tunnistusvälineen peruuttamista tai käytön estämistä koskeva ilmoitus

Tunnistusvälineen haltijan on ilmoitettava tunnistusvälineen tarjoajalle tai tämän nimeämälle muulle taholle tunnistusvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä ilman aiheetonta viivytystä havaittuaan asian.

Tunnistusvälineen tarjoajan on tarjottava mahdollisuus tehdä 1 momentissa tarkoitettu ilmoitus milloin tahansa. Tunnistusvälineen tarjoajan on viipymättä peruutettava tunnistusväline tai estettävä sen käyttö saatuaan asiaa koskevan ilmoituksen.

Tunnistusvälineen tarjoajan on asianmukaisesti ja viipymättä merkittävä järjestelmään tieto peruuttamisen tai käytön estämisen ajankohdasta. Tunnistusvälineen haltijalla on oikeus saada pyynnöstä todistus siitä, että hän on tehnyt 1 momentissa tarkoitetun ilmoituksen. Todistusta on pyydettävä 18 kuukauden kuluessa ilmoituksesta.

---

26 §
Tunnistusvälineen tarjoajan oikeus peruuttaa tai estää tunnistusvälineen käyttö

Sen lisäksi, mitä 25 §:ssä säädetään, tunnistusvälineen tarjoaja voi peruuttaa tunnistusvälineen tai estää sen käytön, jos:

1) tunnistusvälineen tarjoajalla on syytä epäillä, että joku muu kuin se, jolle tunnistusväline on myönnetty, käyttää sitä;

2) tunnistusväline sisältää ilmeisen virheellisyyden;

3) tunnistusvälineen tarjoajalla on syytä epäillä, että tunnistusvälineen käytön turvallisuus on vaarantunut;

4) tunnistusvälineen haltija käyttää tunnistusvälinettä olennaisesti sopimusehtojen vastaisella tavalla;

5) tunnistusvälineen haltija on kuollut.

Tunnistusvälineen tarjoajan tulee ilmoittaa haltijalle niin pian kuin mahdollista tunnistusvälineen peruuttamisesta tai käytön estämisestä ja sen ajankohdasta sekä siihen johtaneista syistä.

Tunnistusvälineen tarjoajan on palautettava mahdollisuus käyttää tunnistusvälinettä tai annettava haltijalle uusi väline välittömästi 1 momentin 2 ja 3 kohdassa tarkoitetun syyn poistuttua.

4 luku

Vaatimustenmukaisuuden arviointi

28 §
Vaatimustenmukaisuuden arviointielimet

Tämän luvun mukaisen palvelun vaatimustenmukaisuuden voivat arvioida seuraavat arviointielimet:

1) vaatimustenmukaisuuden arviointilaitos;

2) muu yleisesti käytetyn menetelmän mukaisesti toimiva ulkoinen arviointielin (muu ulkoinen arviointilaitos); tai

3) palveluntarjoajan sisäinen yleisesti käytetyn standardin mukainen riippumaton arvioija (sisäinen tarkastuslaitos).

29 §
Sähköisen tunnistuspalvelun vaatimustenmukaisuuden arviointi

Tunnistuspalvelun tarjoajan on määräajoin teetettävä palvelulleen 28 §:ssä mainitun arviointielimen arviointi siitä, täyttääkö tunnistuspalvelu tässä laissa säädetyt yhteentoimivuutta, tietoturvaa, tietosuojaa ja muuta luotettavuutta koskevat vaatimukset.Euroopan komissiolle ilmoitettavan sähköisen tunnistamisen järjestelmän vaatimusten mukaisuuden arvioinnista säädetään sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa sekä sähköisen tunnistamisen varmuustasoasetuksessa.

Viestintäviraston oikeudesta antaa tarkempia määräyksiä tunnistuspalvelun vaatimustenmukaisuuden arvioinnissa käytettävistä arviointiperusteista säädetään 42 §:ssä. Viestintävirasto voi määrätä arviointiperusteeksi edellä 1 ja 2 momenteissa tarkoitettujen säädösten lisäksi Euroopan unionin tai muun kansainvälisen toimielimen antamia säännöksiä tai ohjeita, julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta koskevia ohjeita ja yleisesti käytettyjä tietoturvallisuusstandardeja tai menettelyjä.

30 §
Sähköisen tunnistamisen kansallisen solmupisteen vaatimustenmukaisuuden arviointi

EU:n sähköisen tunnistamisen yhteentoimivuusjärjestelmään liittyvän kansallisen rajapinnan (kansallinen solmupiste) vaatimustenmukaisuus on osoitettava vaatimustenmukaisuuden arviointilaitoksen tai muun ulkoisen arviointilaitoksen tekemällä arvioinnilla.

Kansallisen solmupisteen vaatimuksista säädetään yhteentoimivuusjärjestelmän vahvistamisesta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 12 artiklan 8 kohdan mukaisesti annetussa komission täytäntöönpanoasetuksessa (EU) 2015/1501. Viestintäviraston oikeudesta antaa tarkempia määräyksiä kansallisen solmupisteen vaatimustenmukaisuuden arvioinnissa käytettävistä arviointiperusteista säädetään 42 §:ssä.

31 §
Tarkastuskertomus

Tunnistuspalveluntarjoajan ja Väestörekisterikeskuksen on hankittava vaatimustenmukaisuuden arvioinnista tarkastuskertomus, joka toimitetaan Viestintävirastolle.

Tarkastuskertomus on voimassa arvioinnissa käytetyn standardin määrittelemän ajan, kuitenkin enintään 2 vuotta.

32 §
Luottamuspalvelun vaatimustenmukaisuuden vahvistaminen

Vaatimustenmukaisuuden arviointilaitos tarkastaa hyväksytyn luottamuspalvelun tarjoajan ja hyväksytyn luottamuspalvelun vaatimustenmukaisuuden noudattaen, mitä siitä sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa säädetään.Viestintäviraston oikeudesta antaa tarkempia määräyksiä vaatimustenmukaisuuden arvioinnissa käytettävistä arviointiperusteista säädetään 42 §:ssä. Viestintävirasto voi määrätä arviointiperusteeksi Euroopan unionin tai muun kansainvälisen toimielimen antamia säännöksiä tai ohjeita, julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta koskevia ohjeita ja yleisesti käytettyjä tietoturvallisuusstandardeja tai menettelyjä.

33 §
Arviointielintä koskevat yleiset vaatimukset

Edellä 28 §:ssä mainittuja arviointielimiä koskevat seuraavat pätevyysvaatimukset:

1) se on toiminnallisesti ja taloudellisesti riippumaton arvioinnin kohteista;

2) sen henkilökunnalla on hyvä tekninen ja ammatillinen koulutus sekä riittävän laaja-alainen kokemus arviointitoimintaan kuuluvissa tehtävissä;

3) sillä on arviointitoiminnan edellyttämät laitteet, tilat, välineet ja järjestelmät;

4) sillä on asianmukaiset ohjeet toimintaansa ja sen seurantaa varten.

Viestintäviraston oikeudesta antaa tarkempia määräyksiä 1 momentissa säädetyistä vaatimuksista säädetään 42 §:ssä.

Vaatimustenmukaisuuden arviointilaitoksen on osoitettava 1 momentin 1—3 kohdassa säädettyjen vaatimusten täyttyminen kansallisen akkreditointiyksikön akkreditoinnilla noudattaen, mitä siitä tuotteiden kaupan pitämiseen liittyvää akkreditointia ja markkinavalvontaa koskevista vaatimuksista ja neuvoston asetuksen (ETY) N:o 339/93 kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 765/2008 ja vaatimustenmukaisuuden arviointipalvelujen pätevyyden toteamisesta annetussa laissa (920/2005) säädetään.

Tunnistuspalveluntarjoajan on esitettävä 10 §:ssä säädetyssä ilmoituksessa selvitys siitä, että sen vaatimustenmukaisuuden arvioinut muu ulkoinen arviointilaitos tai sisäinen tarkastuslaitos täyttää 1 momentissa säädetyt vaatimukset. Edellä 1 momentin 1—3 kohdassa säädettyjen vaatimusten täyttäminen on osoitettava 2 momentissa tarkoitetulla akkreditoinnilla tai muulla yleisesti käytettyyn standardiin perustuvalla riippumattomalla menettelyllä.

Ulkomaisen akkreditointiyksikön antama akkreditointi vastaa 3 ja 4 momentissa tarkoitettua akkreditointipäätöstä.

34 §
Vaatimustenmukaisuuden arviointilaitoksen hyväksyminen

Vaatimustenmukaisuuden arviointilaitoksen hyväksyy Viestintävirasto. Arviointilaitos voidaan hyväksyä määräajaksi, jos siihen on erityinen syy. Viestintävirasto voi hyväksymistä koskevaan päätökseen sisällyttää arviointilaitoksen pätevyysaluetta ja valvontaa sekä toimintaa koskevia rajoituksia ja ehtoja.

35 §
Hakemus vaatimustenmukaisuuden arviointilaitokseksi

Vaatimustenmukaisuuden arviointilaitos hyväksytään hakemuksen perusteella. Hakemukseen on liitettävä hakijaa ja sen toimintaa koskevat tiedot, joiden perusteella voidaan arvioida 33 §:ssä tarkoitettujen vaatimusten täyttyminen.

Viestintävirasto voi hakemusta käsiteltäessä hankkia lausuntoja sekä antaa hakemuksen ja siinä esitettyjen tietojen arvioimisen ulkopuolisille asiantuntijoille.

36 §
Hyväksytyn sähköisen allekirjoituksen ja sähköisen leiman luontivälineen sertifiointi

Viestintävirasto voi hakemuksesta nimetä sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 30 artiklassa ja 39 artiklan 2 kohdassa tarkoitettuja yksityisiä tai julkisia sertifiointilaitoksia, joiden tehtävänä on sertifioida hyväksytyn sähköisen allekirjoituksen tai hyväksytyn sähköisen leiman luontivälineitä. Sertifiointilaitos voidaan nimetä määräajaksi. Hakemuksessa on esitettävä Viestintäviraston pyytämät hakemuksen käsittelemiseksi tarpeelliset tiedot.

Sertifiointilaitoksen tulee olla toiminnallisesti ja taloudellisesti sähköisen allekirjoituksen ja sähköisen leiman luontivälineiden valmistajista riippumaton. Sillä tulee olla toiminnan laajuuden kannalta riittävä vastuuvakuutus tai muu vastaava järjestely ja käytössään riittävästi ammattitaitoista henkilöstöä sekä toiminnan edellyttämät järjestelmät, laitteet ja välineet.

37 §
Vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen toiminta

Vaatimustenmukaisuuden arviointilaitos ja sertifiointilaitos voivat tehtävässään käyttää apunaan organisaation ulkopuolisia henkilöitä. Arviointilaitos ja sertifiointilaitos vastaavat myös apunaan käyttämiensä henkilöiden työstä.

Vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen tässä laissa tarkoitettuja julkisia hallintotehtäviä hoitaessaan noudatettavista hyvän hallinnon periaatteista säädetään hallintolaissa (434/2003), viranomaisten toiminnan julkisuudesta annetussa laissa, sähköisestä asioinnista viranomaistoiminnassa annetussa laissa (13/2003), kielilaissa (423/2003) sekä saamen kielilaissa (1086/2003). Vaatimustenmukaisuuden arviointilaitoksen tai sertifiointilaitoksen taikka niiden käyttämän tytäryhtiön tai alihankkijan henkilöstöön sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä tässä pykälässä tarkoitettuja tehtäviä hoidettaessa. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974).

Vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen on ilmoitettava Viestintävirastolle kaikista muutoksista, joilla on vaikutusta hyväksymisen tai nimeämisen edellytysten täyttymiseen.

38 §
Vaatimustenmukaisuuden arviointilaitoksen hyväksymisen tai sertifiointilaitoksen nimeämisen peruuttaminen

Jos Viestintävirasto toteaa, että vaatimustenmukaisuuden arviointilaitos tai sertifiointilaitos ei täytä sille säädettyjä edellytyksiä tai toimii olennaisesti säännösten vastaisesti, Viestintäviraston on asetettava sille riittävä määräaika asian korjaamiseksi.

Viestintävirasto voi peruuttaa arviointilaitoksen hyväksymisen tai sertifiointielimen nimeämisen, jos arviointilaitos tai sertifiointielin ei ole korjannut toimintaansa 1 momentin nojalla asetetussa määräajassa ja kyseessä on olennainen rikkomus tai laiminlyönti.

4 a luku

Luottamuspalveluja koskevia säännöksiä

39 §
Varmenteen peruuttaminen

Allekirjoittajan tai sähköisen leiman haltijan on viipymättä pyydettävä hyväksytyn varmenteen myöntäneeltä varmentajalta varmenteen peruuttamista, jos hänellä on perusteltu syy epäillä allekirjoituksen tai sähköisen leiman luomistietojen oikeudetonta käyttöä.

Hyväksyttyjä varmenteita tarjoavan varmentajan on viipymättä peruutettava hyväksytty varmenne, jos allekirjoittaja tai sähköisen leiman haltija pyytää sitä. Varmenteen peruuttamispyynnön katsotaan saapuneen varmentajalle silloin, kun se on ollut varmentajan käytettävissä siten, että pyyntöä voidaan käsitellä.

40 §
Vastuu allekirjoituksen tai sähköisen leiman luomistietojen oikeudettomasta käytöstä

Allekirjoittaja ja sähköisen leiman haltija vastaa hyväksytyllä varmenteella varmennetun kehittyneen sähköisen allekirjoituksen luomistietojen ja sähköisen leiman luomistietojen oikeudettomasta käytöstä aiheutuneesta vahingosta, kunnes varmenteen peruuttamispyyntö on saapunut varmentajalle siten kuin 39 §:n 2 momentissa säädetään.

Kuluttajalla on kuitenkin 1 momentissa säädetty vastuu vain, jos:

1) hän on luovuttanut luomistiedot toiselle;

2) luomistietojen joutuminen niiden käyttöön oikeudettomalle on aiheutunut hänen huolimattomuudestaan, joka ei ole lievää; tai

3) hän menetettyään luomistietojen hallinnan muulla kuin 2 kohdassa mainitulla tavalla on laiminlyönyt pyytää varmenteen peruuttamista siten kuin 39 §:n 1 momentissa säädetään.

41 §
Luottamuspalvelun tarjoajan vastuu

Luottamuspalvelun tarjoajan vastuusta säädetään sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 13 artiklassa.

Hyväksytyn varmenteen tarjoava varmentaja on vastuussa vahingosta, joka hyväksyttyyn varmenteeseen luottaneelle on aiheutunut siitä, että varmentaja tai sen apunaan käyttämä henkilö ei ole peruuttanut varmennetta 39 §:ssä säädetyllä tavalla. Varmentaja vapautuu vastuusta, jos se näyttää, että vahinko ei ole aiheutunut sen omasta tai sen apunaan käyttämän henkilön huolimattomuudesta.

42 §
Yleinen ohjaus sekä Viestintäviraston määräykset

Vahvan sähköisen tunnistamisen ja sähköisten luottamuspalveluiden yleinen ohjaus ja kehittäminen kuuluvat liikenne- ja viestintäministeriölle.

Viestintävirasto voi antaa tarkempia määräyksiä:

1) tunnistusjärjestelmän 8 §:n 1 momentin 4 ja 5 kohdan mukaisista turvallisuutta ja luotettavuutta koskevista vaatimuksista;

2) 10 §:ssä tarkoitettujen ilmoitettavien tietojen sisällöstä ja niiden toimittamisesta Viestintävirastolle;

3) 12 a §:n 2 momentissa tarkoitetuista luottamusverkoston rajapintojen ominaisuuksista;

4) siitä, milloin 16 §:ssä tarkoitettu häiriö on merkittävä sekä 16 §:n 1 momentissa tarkoitetun ilmoituksen sisällöstä, muodosta ja toimittamisesta;

5) 29, 30 ja 32 §:ssä tarkoitetuista arvioitavan tunnistus- tai luottamuspalvelun sekä kansallisen solmupisteen vaatimustenmukaisuuden arviointiperusteista;

6) 33 §:ssä säädetyistä vaatimustenmukaisuuden arviointielimen pätevyysvaatimuksista ottaen huomioon, mitä sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa säädetään.

7) 35 §:ssä tarkoitettuun hakemukseen sisällytettävistä tiedoista ja niiden toimittamisesta Viestintävirastolle;

8) 36 §:ssä tarkoitettua sertifiointilaitosta koskevista vaatimuksista, sertifioinnissa noudatettavasta menettelystä sekä sähköisen allekirjoituksen ja leiman luontivälinettä koskevista vaatimuksista ottaen huomioon, mitä sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa säädetään.

42 a §
Viestintäviraston tehtävät

Viestintäviraston tehtävänä on valvoa tämän lain noudattamista, jollei tässä laissa muuta säädetä.

Viestintäviraston tehtävänä on sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen mukaisesti:

1) osallistua Euroopan unionin jäsenvaltioiden väliseen yhteistyöhön asetuksen 12 artiklassa tarkoitetussa sähköisen tunnistamisen yhteentoimivuusjärjestelmässä ja sitä varten perustetussa yhteistyöverkostossa;

2) ilmoittaa sähköisen tunnistamisen järjestelmiä Euroopan komissiolle asetuksen 7—10 artiklan mukaisesti;

3) toimia asetuksen 17 artiklassa tarkoitettuna valvontaelimenä ja hoitaa sille asetuksessa säädettyjä tehtäviä;

4) ylläpitää ja julkaista luetteloita Suomessa hyväksytyistä luottamuspalveluiden tarjoajista ja niiden tarjoamista hyväksytyistä luottamuspalveluista asetuksen 22 artiklan mukaisesti.

Viestintäviraston ratkaisuvaltaan eivät kuulu osapuolten välistä sopimussuhdetta tai korvausvastuuta koskevat asiat.

42 b §
Tietosuojavaltuutetun tehtävät

Tietosuojavaltuutetun tehtävänä on valvoa tämän lain henkilötietoja koskevien säännösten noudattamista.

42 c §
Väestörekisterikeskuksen tehtävät

Väestörekisterikeskuksen tehtävänä on ylläpitää 30 §:ssä tarkoitettua kansallista solmupistettä.

43 §
Tiedonsaantioikeus

Viestintävirastolla on tämän lain mukaisia tehtäviä suorittaessaan oikeus salassapitosäännösten estämättä saada tehtäviensä suorittamiseksi tarvittavat tiedot niiltä, joiden oikeuksista ja velvollisuuksista tässä laissa säädetään ja jotka toimivat näiden lukuun.

---

44 §
Viranomaisten välinen yhteistyö ja oikeus luovuttaa tietoja

Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa säädetään, Viestintävirastolla ja tietosuojavaltuutetulla on oikeus luovuttaa salassapitosäännösten tai muiden tietojen luovuttamista koskevien rajoitusten estämättä Finanssivalvonnalle ja Kilpailu- ja kuluttajavirastolle sellaisia tietoja, jotka ovat tarpeen niiden tehtävien suorittamiseksi. Finanssivalvonnalla ja Kilpailu- ja kuluttajavirastolla on vastaava oikeus luovuttaa salassapitosäännösten estämättä Viestintävirastolle ja tietosuojavaltuutetulle tietoja, jotka ovat tarpeen niiden tässä laissa säädettyjen tehtävien suorittamiseksi.

---

45 §

Hallintopakkokeinot

Viestintävirasto voi antaa huomautuksen sille, joka rikkoo tätä lakia tai sen nojalla annettuja säännöksiä, määräyksiä tai päätöksiä taikka sähköisestä tunnistamisesta ja luottamuspalveluista annettua EU:n asetusta tai sen nojalla annettuja säännöksiä, sekä velvoittaa tämän korjaamaan virheensä tai laiminlyöntinsä kohtuullisessa määräajassa. Päätöksen tehosteeksi voidaan asettaa uhkasakko tai uhka, että toiminta keskeytetään osaksi tai kokonaan taikka että tekemättä jätetty toimenpide teetetään asianomaisen kustannuksella. Uhkasakosta, keskeyttämisuhasta ja teettämisuhasta säädetään uhkasakkolaissa (1113/1990).

---

45 a §
Väliaikainen päätös

Jos sähköisestä tunnistamisesta ja luottamuspalveluista annettua EU:n asetusta, tätä lakia taikka niiden nojalla annettua säännöstä tai määräystä koskeva virhe tai laiminlyönti taikka tietoturvahäiriö vaarantaa välittömästi ja olennaisesti tunnistus- tai luottamuspalvelun luotettavuuden, Viestintävirasto voi viipymättä päättää tarvittavista väliaikaisista toimista 45 §:ssä säädetystä määräajasta riippumatta.

Viestintäviraston on ennen väliaikaisia toimia koskevan päätöksen antamista varattava sen kohteena olevalle tilaisuus tulla kuulluksi, paitsi jos kuulemista ei voida toimittaa niin nopeasti kuin asian kiireellisyys välttämättä vaatii.

Väliaikaisena toimena Viestintävirasto voi kieltää tai keskeyttää:

1) tunnistusmenetelmän tarjoamisen vahvana sähköisenä tunnistamisena;

2) sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 3 artiklan 17 kohdassa tarkoitetun hyväksytyn luottamuspalvelun tarjoamisen;

3) sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 9 artiklan 1 kohdan mukaisesti ilmoitetun sähköisen tunnistamisen järjestelmän tarjoamisen;

4) sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 7 artiklan f kohdassa tarkoitetun todentamisen tarjoamisen.

Väliaikaiset toimet voivat olla voimassa enintään kolme kuukautta. Väliaikaisia toimia koskevaan päätökseen saa hakea muutosta erikseen samalla tavoin kuin 45 §:n 1 momentissa tarkoitettuun päätökseen.

46 §
Tarkastusoikeus

Viestintävirastolla on oikeus tehdä tunnistuspalvelun tarjoajaa ja sen tarjoamaa palvelua, 28 §:ssä tarkoitettua arviointielintä, 36 §:ssä tarkoitettua hyväksytyn sähköisen allekirjoituksen ja sähköisen leiman luontivälineen sertifiointilaitosta ja niiden toimintaa, hyväksyttyjä varmenteita tarjoavaa varmentajaa sekä luottamuspalvelun tarjoajan ja niiden palvelua koskeva tarkastus. Tarkastus voidaan tehdä tässä laissa tai sähköistä tunnistamista ja luottamuspalveluista annetussa EU:n asetuksessa taikka niiden nojalla annetuissa säännöksissä, määräyksissä ja päätöksissä asetettujen velvoitteiden valvomiseksi. Tarkastuksesta säädetään hallintolain 39 §:ssä.

Viestintävirasto määrää tarkastajan toimittamaan 1 momentissa tarkoitetun tarkastuksen. Tarkastusta toimittavalla henkilöllä on oikeus tutkia sellaiset tunnistuspalvelun tarjoajan, hyväksyttyjä varmenteita tarjoavan varmentajan ja luottamuspalvelun tarjoajan tai niiden apunaan käyttämien henkilöiden laitteet ja ohjelmistot, joilla voi olla merkitystä tämän lain tai sen nojalla annettujen määräysten, säännösten tai määräysten noudattamisen valvonnassa.

Tunnistuspalvelun tarjoajien, hyväksyttyjä varmenteita tarjoavien varmentajien ja luottamuspalvelun tarjoajien tai niiden apunaan käyttämien henkiöiden on tarkastusta varten päästettävä 3 momentissa tarkoitettu tarkastaja muihin kuin pysyväisluonteiseen asumiseen tarkoitettuihin tiloihin.

Viestintävirastolla on oikeus saada virka-apua poliisilta tässä pykälässä tarkoitetun tarkastuksen suorittamiseksi.

Tietosuojavaltuutetulla on tehtäväänsä suorittaessaan henkilötietolaissa tarkoitetut tarkastusoikeudet.

47 §
Viestintävirastolle maksettavat maksut

Edellä 10 §:ssä tarkoitetun ilmoituksen tehneen tunnistuspalvelun tarjoajan ja palveluntarjoajien yhteenliittymän on suoritettava Viestintävirastolle 5 000 euron rekisteröimismaksu. Lisäksi tunnistuspalvelun tarjoajan ja yhteenliittymän on suoritettava Viestintävirastolle vuosittain 14 000 euron valvontamaksu.

Sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 21 artiklassa tarkoitetun ilmoituksen tehneen hyväksytyn luottamuspalvelun tarjoajan ja hyväksyttyä luottamuspalvelua tarjoavan varmentajan on suoritettava Viestintävirastolle 5 000 euron rekisteröimismaksu kustakin tarjoamastaan luottamuspalvelusta. Lisäksi edellä mainittujen on suoritettava Viestintävirastolle vuosittain 14 000 euron valvontamaksu ensimmäisestä tarjoamastaan hyväksytystä luottamuspalvelusta ja sitä seuraavista tarjoamistaan hyväksytyistä luottamuspalveluista vuosittain 9 000 euroa. Jos hyväksyttyjä luottamuspalveluja tarjoava varmentaja tekee myös 10 §:ssä tarkoitetun ilmoituksen, sen on lisäksi suoritettava 1 momentissa tarkoitettu rekisteröimismaksu.

Edellä 34 §:n mukaisesti hyväksytyn vaatimustenmukaisuuden arviointilaitoksen on suoritettava Viestintävirastolle 10 000 euron nimeämismaksu. Lisäksi arviointilaitoksen on suoritettava Viestintävirastolle vuosittain 15 000 euron valvontamaksu.

Edellä 36 §:n mukaisesti nimetyn sertifiointilaitoksen on suoritettava Viestintävirastolle 10 000 euron nimeämismaksu. Lisäksi sertifiointilaitoksen on suoritettava vuosittain 15 000 euron valvontamaksu.

Rekisteröimismaksu, nimeämismaksu ja valvontamaksu kattavat niitä kustannuksia, joita aiheutuu Viestintävirastolle tässä laissa säädettyjen tehtävien hoitamisesta 46 §:n 1 momentissa tarkoitettuja tehtäviä lukuun ottamatta. Valvontamaksu on suoritettava täysimääräisesti myös toiminnan ensimmäisenä vuotena, vaikka toiminta aloitettaisiin kesken vuotta. Valvontamaksua ei palauteta, vaikka palveluntarjoaja lopettaisi toimintansa kesken vuotta.

Rekisteröimismaksun, nimeämismaksun ja valvontamaksun määrää maksettavaksi Viestintävirasto ja ne ovat suoraan ulosottokelpoisia. Viestintäviraston maksun määräämistä koskevaan päätökseen saa hakea muutosta siten kuin 49 §:n 1 momentissa säädetään. Tarkempia säännöksiä maksujen täytäntöönpanosta voidaan antaa liikenne- ja viestintäministeriön asetuksella.

Rekisteröimismaksun, nimeämismaksun ja valvontamaksun perimisestä säädetään verojen ja maksujen täytäntöönpanosta annetussa laissa. Jollei maksuja suoriteta viimeistään eräpäivänä, maksamattomalle määrälle peritään vuotuista viivästyskorkoa korkolain (633/1982) 4 §:ssä tarkoitetun korkokannan mukaan. Viivästyskoron sijasta viranomainen voi periä viiden euron suuruisen viivästysmaksun, jos viivästyskoron määrä jää tätä pienemmäksi.

Edellä 46 §:n 1 momentissa tarkoitetusta tarkastuksesta peritään sen kohteena olevalta tarkastuksesta aiheutuneet kustannukset noudattaen valtion maksuperustelakia.

49 §
Muutoksenhaku viranomaisen päätökseen

Viestintäviraston päätökseen, joka koskee 47 §:ssä tarkoitettua Viestintävirastolle maksettavaa maksua, saa vaatia oikaisua siten kuin hallintolain 7 a luvussa säädetään.

Oikaisuvaatimuksesta annettuun Viestintäviraston päätökseen sekä Viestintäviraston muuhun kuin 1 momentissa tarkoitettuun päätökseen saa hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintokäyttölaissa (586/1996) säädetään.

Hallinto-oikeuden päätökseen vaatimustenmukaisuuden arviointilaitoksen hyväksymisen ja sertifiointilaitoksen nimeämisen peruuttamista koskevassa asiassa saa hakea muutosta valittamalla siten kuin hallintolainkäyttölaissa säädetään. Hallinto-oikeuden muuhun päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan.

Viestintävirasto voi päätöksessään määrätä, että päätöstä on noudatettava ennen kuin se on saanut lainvoiman. Valitusviranomainen voi kuitenkin kieltää päätöksen täytäntöönpanon, kunnes valitus on ratkaistu.

Muutoksenhausta tietosuojavaltuutetun päätökseen säädetään henkilötietolaissa.

49 a §
Muutoksenhaku vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen päätökseen

Vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen tämän lain nojalla tekemään päätökseen saa vaatia oikaisua Viestintävirastolta siten kuin hallintolain 7 a luvussa säädetään.

Oikaisuvaatimuksesta annettuun päätökseen saa hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa säädetään. Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan.

Vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen päätöstä on muutoksenhausta huolimatta noudatettava, jollei muutoksenhakuviranomainen toisin määrää.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

Tunnistusvälineen tarjoaja saa käyttää tämän lain 17 §:n 2 momentissa tarkoitettuna hyväksyttävänä asiakirjana myös Euroopan talousalueen jäsenvaltion viranomaisen 1 päivän lokakuuta 1990 jälkeen myöntämää voimassa olevaa ajokorttia 31 päivään joulukuuta 2018.Tämän lain voimaan tullessa voimassaolevat Viestintäviraston määräykset jäävät voimaan.

Lain 12 §:ssä säädettyyn rekisteriin merkityn tunnistuspalveluntarjoajan on tehtävä viimeistään kahden kuukauden kuluessa tämän lain voimaantulosta Viestintävirastolle tämän lain 10 §:n 3 momentissa tarkoitettu muutosilmoitus, jos se haluaa jatkaa vahvan sähköisen tunnistuspalvelun tarjoajana. Tämän lain 10 §:ssä edellytetyt tiedot tulee toimittaa Viestintävirastolle viimeistään 31 päivänä tammikuuta 2017.

Viestintäviraston tulee käsitellä tunnistuspalveluntarjoajan 3 momentissa tarkoitettu muutosilmoitus ja tehdä ilmoituksesta johtuvat merkinnät 12 §:ssä säädettyyn rekisteriin viimeistään kolmen kuukauden kuluessa siitä, kun se on saanut muutosilmoituksen ja muut 3 momentissa säädetyt tiedot.

Tämän lain voimaan tullessa voimassa olleiden säännösten nojalla myönnetty vahva sähköinen tunnistusväline katsotaan edelleen vahvaksi sähköiseksi tunnistusvälineeksi vähintään korotetulla varmuustasolla kahden kuukauden ajan tämän lain voimaantulosta. Jollei 7 momentista muuta johdu ja jos tunnistuspalvelun tarjoaja tekee 3 momentissa tarkoitetun muutosilmoituksen asetetussa määräajassa, tunnistuspalvelun tarjoajan ennen tämän lain voimaantuloa ja tämän lain voimaan tulon jälkeen myöntämä tunnistusväline katsotaan vahvaksi sähköiseksi tunnistusvälineeksi vähintään korotetulla varmuustasolla, kunnes Viestintävirasto on tehnyt tunnistuspalvelua koskevan merkinnän 12 §:ssä tarkoitettuun rekisteriin muutosilmoituksessa annettujen tietojen perusteella.

Sähköinen tunnistusväline, joka on myönnetty tämän lain 17 §:n mukaisesti hakijalla aikaisemmin olleen sähköisen tunnistusvälineen perusteella, katsotaan vahvaksi sähköiseksi tunnistusvälineeksi, jos:

1) tunnistusväline on myönnetty viimeistään kahden kuukauden kuluessa tämän lain voi-maan tulosta; tai

2) tunnistusväline on myönnetty kahden kuukauden jälkeen tämän lain voimaantulosta sellaisen toisen vahvan sähköisen tunnistusvälineen perusteella, jonka myöntänyt tunnistusvälineen tarjoaja on tehnyt 3 momentissa tarkoitetun muutosilmoituksen.

Sähköistä tunnistusvälinettä ei katsota enää vahvaksi sähköiseksi tunnistusvälineeksi, jos tunnistuspalveluntarjoaja ei tee 3 momentissa tarkoitettua muutosilmoitusta asetetussa määräajassa. Viestintäviraston on tällöin poistettava tunnistuspalveluntarjoaja 12 §:ssä tarkoitetusta rekisteristä ja ilmoitettava rekisteristä poistamisesta tunnistuspalvelun tarjoajalle.

---

2.

Eduskunnan päätöksen mukaisesti

muutetaan sähköisestä asioinnista viranomaistoiminnassa annetun lain (13/2003) 3, 9, 16 ja 18 §, sellaisina kuin ne ovat, 3 ja 9 § osaksi laissa 618/2009, 16 § laissa 618/2009 ja 18 § laissa 924/2010, seuraavasti:

3 §
Muu lainsäädäntö

Viranomaisasiointiin sovelletaan muutoin, mitä asian vireillepanosta, päätöksen tiedoksiannosta, viranomaisten toiminnan julkisuudesta, henkilötietojen käsittelystä, asiakirjojen arkistoinnista, asian käsittelyssä käytettävästä kielestä ja asian käsittelystä säädetään.

9 §
Kirjallisen muodon täyttyminen

Vireillepanossa ja asian muussa käsittelyssä vaatimuksen kirjallisesta muodosta täyttää myös viranomaiselle toimitettu sähköinen asiakirja.

Viranomaiselle saapunutta sähköistä asiakirjaa ei tarvitse täydentää allekirjoituksella, jos asiakirjassa on tiedot lähettäjästä eikä asiakirjan alkuperäisyyttä tai eheyttä ole syytä epäillä. Jos viranomaiselle toimitetussa sähköisessä asiakirjassa on selvitys asiamiehen toimivallasta, asiamiehen ei tarvitse toimittaa valtakirjaa. Viranomainen voi kuitenkin määrätä valtakirjan toimitettavaksi, jos viranomaisella on aihetta epäillä asiamiehen toimivaltaa tai sen laajuutta.

16 §
Päätösasiakirjan sähköinen allekirjoittaminen

Päätösasiakirja voidaan allekirjoittaa sähköisesti. Viranomaisen on allekirjoitettava asiakirja sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 26 artiklassa säädetyt vaatimukset täyttävällä kehittyneellä sähköisellä allekirjoituksella tai muuten sellaisella tavalla, että asiakirjan alkuperäisyydestä ja eheydestä voidaan varmistautua.

18 §
Todisteellinen sähköinen tiedoksianto

Asiakirja, joka lain mukaan toimitetaan postitse saantitodistusta vastaan tai muuten todisteellisesti, voidaan asianosaisen suostumuksella antaa tiedoksi myös sähköisenä viestinä, ei kuitenkaan telekopiona tai vastaavalla tavalla. Viranomaisen on tällöin ilmoitettava, että asiakirja on asianosaisen tai tämän edustajan noudettavissa viranomaisen osoittamalta palvelimelta, tietokannasta tai muusta tiedostosta.

Asianosaisen tai tämän edustajan on tunnistauduttava asiakirjaa noutaessaan. Tunnistautumisessa on tällöin käytettävä tunnistautumistekniikkaa, joka on tietoturvallinen ja todisteellinen.

Asiakirja katsotaan annetun tiedoksi, kun asiakirja on noudettu viranomaisen 1 momentin mukaisesti osoittamalta yhteydeltä. Jos asiakirjaa ei ole noudettu seitsemän päivän kuluessa viranomaisen ilmoituksesta, tiedoksiannossa noudatetaan, mitä siitä muualla laissa säädetään.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

3.

Eduskunnan päätöksen mukaisesti

muutetaan viestintähallinnosta annetun lain (625/2001) 2 §:n 1 kohta, sellaisena kuin se on laissa 730/2004, seuraavasti:

2 §
Viestintäviraston tehtävät

Viestintäviraston tehtävänä on:

huolehtia tietoyhteiskuntakaaressa (917/2014), postilaissa (415/2011), valtion televisio- ja radiorahastosta annetussa laissa (745/1998), vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009), kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa (588/2004), turvallisuusselvityslaissa (726/2014), tietoturvallisuuden arviointilaitoksista annetussa laissa (1405/2011) sekä viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetussa laissa (1406/2011) sille säädetyistä tehtävistä;

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

4.

Eduskunnan päätöksen mukaisesti

muutetaan maakaaren (540/1995) 9 a luvun 1 §:n 1 momentti, sellaisena kuin se on laissa 96/2011, seuraavasti:

1 §
Asiointijärjestelmän käyttö ja sähköinen tunnistaminen asiointijärjestelmässä

Sähköisten asiakirjojen laatiminen ja hyväksyminen asiointijärjestelmässä sekä asiointijärjestelmän muu käyttö edellyttävät, että käyttäjä tunnistetaan luotettavasti vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009) tarkoitetulla vahvan sähköisen tunnistuspalvelun tarjoajan tarjoamalla tunnistamismenetelmällä tai sähköisen allekirjoituksen hyväksytyllä varmenteella, josta säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 28 artiklassa, taikka muulla sellaisella tunnistautumistekniikalla, joka on tietoturvallinen ja todisteellinen.

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

5.

Eduskunnan päätöksen mukaisesti

muutetaan rahanpesun ja terrorismin rahoittamisen estämisestä ja selvittämisestä annetun lain (503/2008) 18 §:n 3 kohta, sellaisena kuin se on laissa 621/2009, seuraavasti:

18 §
Etätunnistamiseen liittyvä tehostettu tuntemisvelvollisuus

Jos asiakas ei ole läsnä tunnistettaessa ja henkilöllisyyttä todennettaessa (etätunnistaminen), ilmoitusvelvollisen tulee rahanpesun ja terrorismin rahoittamisen riskin vähentämiseksi:

---

3) todentaa asiakkaan henkilöllisyys vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009) tarkoitetulla tunnistusvälineellä tai sähköisen allekirjoituksen hyväksytyllä varmenteella, josta säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 28 artiklassa, taikka muun sähköisen tunnistamistekniikan avulla, joka on tietoturvallinen ja todisteellinen.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

6.

Eduskunnan päätöksen mukaisesti

muutetaan väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain (661/2009) 2 §:n 2 momentin 2 kohta, 6 §:n 2 momentti, 43 §:n 2 momentin 2 kohta, 61 §:n 3 momentti, 62 §, 66 §:n 3 momentti, 67 §:n 1 momentti ja 68 §:n 1 momentti, sellaisina kuin ne ovat laissa 983/2010, seuraavasti:

2 §
Lain soveltamisala

---

Jollei tässä laissa toisin säädetä, sovelletaan:

---

2) varmennetussa sähköisessä asioinnissa ja tässä laissa tarkoitetun varmennerekisterin tietojen käsittelyssä sähköisestä asioinnista viranomaistoiminnassa annettua lakia (13/2003) ja vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettua lakia (617/2009).

6 §
Väestörekisterikeskuksen varmennettu sähköinen asiointi ja sen tarkoitus

---

Väestörekisterikeskus pitää myöntämistään henkilövarmenteista varmennerekisteriä, josta säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 910/2014, jäljempänä sähköisestä tunnistamisesta ja luottamuspalveluista annettu EU:n asetus. Väestörekisterikeskus on tämän varmennerekisterin rekisterinpitäjä.

---

43 §
Tunnuksen luovuttaminen

---

Väestötietojärjestelmään talletettu sähköinen asiointitunnus voidaan luovuttaa vain, jos:

---

muu Suomeen sijoittunut varmentaja käyttää tunnusta vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa tarkoitetussa tai vastaavassa tunnistamistarkoitukseen käytettävässä varmenteessa varmenteen haltijan yksilöivänä tunnistetietona.

---

61 §
Varmennetun sähköisen asioinnin palvelut

---

Kansalaisvarmenteella tarkoitetaan Väestörekisterikeskuksen luonnolliselle henkilölle myöntämää varmennetta, joka sisältyy henkilökorttilaissa (829/1999) tarkoitettuun henkilökorttiin tai muuhun siihen verrattavaan viranomaisen asiakirjaan tai tekniseen alustaan, ja jota käytetään henkilön todentamista, sähköisen allekirjoituksen tekemistä sekä asiakirjojen ja viestien salausta varten. Kansalaisvarmenteella tarkoitetaan myös muuhun viranomaisen asiakirjaan tai tekniseen alustaan sisältyvää Väestörekisterikeskuksen myöntämää varmennetta, jota käytetään edellä mainittuun tarkoitukseen ja joka täyttää sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa asetetut vaatimukset.

62 §
Varmennetussa sähköisessä asioinnissa käytettävien varmenteiden tiedot

Kansalaisvarmenteeseen ja muuhun Väestörekisterikeskuksen luonnolliselle henkilölle myöntämään varmenteeseen sisältyvistä tiedoista säädetään vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa sekä sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa. Kansalaisvarmenteessa on varmenteen haltijan yksilöivänä tunnistetietona sähköinen asiointitunnus. Muussa Väestörekisterikeskuksen luonnolliselle henkilölle myöntämässä varmenteessa on varmenteen haltijan yksilöivänä tunnistetietona sähköinen asiointitunnus tai muu sellainen henkilön yksilöivä tunniste, joka ei sisällä henkilöön liittyviä tietoja. Kansalaisvarmenteeseen ja muuhun Väestörekisterikeskuksen luonnolliselle henkilölle myöntämään varmenteeseen voi sisältyä myös muita varmenteen käytössä tarvittavia välttämättömiä teknisiä tietoja. Väestörekisterikeskus päättää näistä tiedoista.

Sähköinen asiointitunnus voi sisältyä myös vahvasta sähköisestä tunnistamisesta ja luottamuspalveluista annetussa laissa tarkoitettuun muuhun luonnollisen henkilön varmenteeseen varmenteen haltijan yksilöivänä tunnistetietona.

66 §
Kansalaisvarmenteen hakeminen ja myöntäminen

---

Hakemuksen vastaanottajan on noudatettava henkilötietolaissa säädettyjä henkilötietojen käsittelyä sekä vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa ja sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa asetettuja varmenteen myöntämistä koskevia vaatimuksia.

67 §
Muun varmenteen hakeminen ja myöntäminen

Väestörekisterikeskuksen tuottama muu luonnollisen henkilön varmenne kuin kansalaisvarmenne voidaan myöntää vain Suomen kansalaiselle sekä kotikuntalain mukaisesti Suomessa vakinaisesti asuvalle ulkomaalaiselle, jonka tiedot on talletettu väestötietojärjestelmään ja jonka henkilöllisyys on voitu luotettavasti todeta. Väestörekisterikeskuksen tuottama muu luonnollisen henkilön varmenne kuin kansalaisvarmenne voidaan erityisestä ja perustellusta syystä myöntää myös henkilölle, jonka henkilöllisyys on voitu luotettavasti todeta, mutta joka ei täytä muita edellä tarkoitettuja varmenteen myöntämisen edellytyksiä. Tällainen varmenne voi hakijan pyynnöstä sisältyä sähköisessä asioinnissa käytettävään viranomaisen, yrityksen tai yhteisön myöntämään asiakirjaan, korttiin tai tekniseen alustaan. Väestörekisterikeskus voi sopia asiakirjan tai teknisen alustan myöntävän viranomaisen, yrityksen tai yhteisön kanssa, että varmennetta koskeva hakemus voidaan jättää tälle henkilökohtaisesti Väestörekisterikeskukselle edelleen toimitettavaksi. Väestörekisterikeskuksen on tällöin varmistettava, että hakemuksen vastaanottaja noudattaa henkilötietolain henkilötietojen käsittelyä sekä sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen varmenteen myöntämistä koskevia säännöksiä.

---

68 §
Varmenteen hakemista ja myöntämistä koskeva menettely eräissä tapauksissa

Henkilökohtaisen käynnin sijasta kansalaisvarmenteen uusimista koskeva hakemus voidaan tehdä myös sähköisesti ja allekirjoittaa hakijan käytössä olevalla kansalaisvarmenteella ja muun Väestörekisterikeskuksen tuottaman varmenteen uusimista koskeva hakemus hakijan käytössä olevalla sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa tarkoitetulla hyväksytyllä varmenteella, jos tällainen palvelu on käytössä. Muuten hakemuksen käsittelyssä noudatetaan sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen varmenteen myöntämistä koskevia säännöksiä.

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

7.

Eduskunnan päätöksen mukaisesti

muutetaan sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsitellystä annetun lain (159/2007) 2 §:n 3 momentti, 9 § ja 14 §:n 3 momentti, sellaisena kuin ne ovat, 2 §:n 3 momentti laissa 250/2014, 9 § laissa 619/2009 ja 14 §:n 3 momentti laissa 255/2015, seuraavasti:

2 §
Soveltamisala

---

Jollei tästä tai muusta laista muuta johdu, asiakastietojen käsittelyyn sovelletaan, mitä potilaan asemasta ja oikeuksista annetussa laissa (785/1992), jäljempänä potilaslaki, sosiaalihuollon asiakkaan asemasta ja oikeuksista annetussa laissa (812/2000), jäljempänä asiakaslaki, henkilötietolaissa (523/1999), viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999), sähköisestä asioinnista viranomaistoiminnassa annetussa laissa (13/2003), vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009), väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetussa laissa (661/2009) sekä arkistolaissa (831/1994) tai näiden nojalla säädetään. Lisäksi asiakastietojen käsittelyssä ja tämän lain mukaisia palveluja ja toimintoja järjestettäessä on noudatettava, mitä kielilaissa (423/2003) ja sen nojalla säädetään. Jos terveydenhuollon asiakas- ja potilastietoja käsittelevä tietojärjestelmä on terveydenhuollon laitteista ja tarvikkeista annetussa laissa (629/2010) tarkoitettu terveydenhuollon laite, tietojärjestelmään sovelletaan myös mainittua lakia ja sen mukaisia vaatimuksia.

9 §
Asiakirjan sähköinen allekirjoittaminen

Asiakastietojen eheys, muuttumattomuus ja kiistämättömyys tulee varmistaa sähköisellä allekirjoituksella tietojen sähköisessä käsittelyssä, tiedonsiirrossa ja säilytyksessä. Luonnollisen henkilön sähköisessä allekirjoittamisessa tulee käyttää kehittynyttä sähköistä allekirjoitusta, josta säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 910/2014. Organisaation ja tietoteknisten laitteiden allekirjoituksessa on käytettävä luotettavuudeltaan vastaavaa sähköistä allekirjoitusta.

14 §
Valtakunnalliset tietojärjestelmäpalvelut

---

Väestörekisterikeskus toimii sosiaali- ja terveydenhuollon ammattihenkilöiden ja muun henkilöstön, palvelujen antajien sekä näiden palvelujen antamiseen osallistuvien organisaatioiden, niiden henkilöstön ja tietoteknisten laitteiden vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa tarkoitettuna varmentajana. Väestörekisterikeskuksella on oikeus saada näiden tehtäviensä hoitamiseksi Sosiaali- ja terveysalan lupa- ja valvontavirastolta sen ylläpitämästä terveydenhuollon ammattihenkilöiden keskusrekisteristä varmenteen myöntämiseen ja peruuttamiseen, varmenteeseen, varmenteen tekniseen alustaan ja varmenteen toimittamiseen tarvittavat tiedot. Sosiaali- ja terveysalan lupa- ja valvontavirastolla on vastaavasti oikeus saada lakisääteisten tehtäviensä hoitamiseksi Väestörekisterikeskukselta tiedot sen edellä mainituin perustein myöntämistä varmenteista. Tiedot voidaan luovuttaa teknisen käyttöyhteyden välityksellä.

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

8.

Eduskunnan päätöksen mukaisesti

muutetaan verotusmenettelystä annetun lain (1558/1995) 93 a §:n 2 momentti, sellaisena kuin se on laissa 623/2009, seuraavasti:

93 a §
Sähköinen asiointi ja allekirjoittaminen

---

Ilmoitukset ja muut asiakirjat, jotka voidaan toimittaa veroviranomaiselle sähköisesti ja jotka on allekirjoitettava, on varmennettava sähköisellä allekirjoituksella tai muulla hyväksyttävällä tavalla.

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

9.

Eduskunnan päätöksen mukaisesti

muutetaan varainsiirtoverolain (931/1996) 56 b §:n 2 momentti, sellaisena kuin se on laissa 622/2009, seuraavasti:

56 b §
Sähköinen asiointi ja allekirjoittaminen

---

Ilmoitukset ja muut asiakirjat, jotka voidaan toimittaa veroviranomaiselle sähköisesti ja jotka on allekirjoitettava, on varmennettava sähköisellä allekirjoituksella tai muulla hyväksyttävällä tavalla.

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

10.

Eduskunnan päätöksen mukaisesti

muutetaan ennakkoperintälain (1118/1996) 6 a §:n 2 momentti, sellaisena kuin se on laissa 624/2009, seuraavasti:

6 a §
Sähköinen asiointi ja allekirjoittaminen

---

Ilmoitukset ja muut asiakirjat, jotka voidaan toimittaa veroviranomaiselle sähköisesti ja jotka on allekirjoitettava, on varmennettava sähköisellä allekirjoituksella tai muulla hyväksyttävällä tavalla.

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

11.

Eduskunnan päätöksen mukaisesti

muutetaan veripalvelulain (197/2005) 11 §, sellaisena kuin se on laissa 777/2009, seuraavasti:

11 §
Luovuttajiin liittyvät tiedot

Veren ja sen osan luovuttajalle on ennen luovutusta annettava luovutukseen liittyvät tarpeelliset tiedot sekä henkilötietolain (523/1999) 24 §:n mukaiset tiedot ja luovuttajaa on informoitava tietojen salassapidosta. Luovuttajalta on pyydettävä hänen yksilöintiään koskevat tiedot, luovutuskelpoisuutta arvioitaessa hänen terveydentilaansa liittyvät ja välttämättömät luovuttajan luovutuskelpoisuutta koskevat tiedot sekä luovuttajan omakätinen allekirjoitus tai kehittynyt sähköinen allekirjoitus, josta säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 910/2014.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

12.

Eduskunnan päätöksen mukaisesti

muutetaan arvonlisäveronlain (1501/1993) 165 §:n 2 momentti, sellaisena kuin se on laissa 886/2009, seuraavasti:

165 §

---

Edellä 162 e §:ssä tarkoitetut ilmoitukset ja muut asiakirjat, jotka voidaan toimittaa veroviranomaiselle sähköisesti ja jotka on allekirjoitettava, on varmennettava sähköisellä allekirjoituksella tai muulla hyväksyttävällä tavalla.

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

13.

Eduskunnan päätöksen mukaisesti

muutetaan verotililain (604/2009) 7 §:n 2 momentti, sellaisena kuin se on laissa 746/2009, seuraavasti:

7 §
Kausiveroilmoituksen antaminen

---

Ilmoitusvelvollisen on allekirjoitettava kausiveroilmoitus. Sähköisesti annettu kausiveroilmoitus on varmennettava sähköisellä allekirjoituksella tai muulla hyväksyttävällä tavalla. Verohallinto antaa tarkemmat määräykset siitä, mitä sähköistä menettelyä käyttäen ja mitä varmenne- tai tunnistusmenetelmää käyttäen sähköinen kausiveroilmoitus voidaan antaa.

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

14.

Eduskunnan päätöksen mukaisesti

muutetaan rakennusten energiatodistustietojärjestelmästä annetun lain (147/2015) 4 §:n 1 momentti seuraavasti:

4 §
Energiatodistuksen laatiminen ja allekirjoittaminen

Energiatodistus laaditaan siten, että energiatodistuksen laatija tallentaa energiatodistusrekisteriin todistuksen laatimisessa tarvittavat tiedot ja allekirjoittaa energiatodistuksen kehittyneellä sähköisellä allekirjoituksella, josta säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 910/2014. Energiatodistus katsotaan valvontaviranomaiselle toimitetuksi silloin, kun se on allekirjoitettu edellä mainitulla tavalla.

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

15.

Eduskunnan päätöksen mukaisesti

muutetaan valmisteverotuslain (182/2010) 32 §:n 3 momentti, sellaisena kuin se on laissa 495/2014, seuraavasti:

32 §
Veroilmoituksen antamistapa

---

Sähköinen veroilmoitus on varmennettava sähköisellä allekirjoituksella tai muulla hyväksyttävällä tavalla. Verovelvollisen on allekirjoitettava paperilomakkeella annettu veroilmoitus.

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

Helsingissä 4 päivänä toukokuuta 2016

Pääministeri
Juha Sipilä

Liikenne- ja viestintäministeri
Anne Berner