Seurattu SDK 390/2016 saakka.

7.8.2009/617

Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista

Katso tekijänoikeudellinen huomautus käyttöehdoissa.

Eduskunnan päätöksen mukaisesti säädetään:

1 luku

Yleiset säännökset

1 §
Soveltamisala

Tässä laissa säädetään vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista sekä niihin liittyvien palveluiden tarjoamisesta niitä käyttäville palveluntarjoajille ja yleisölle.

Lakia ei sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tai yhteisön sisäiseen sähköiseen allekirjoittamiseen käytettävien palveluiden tarjontaan.

Lakia ei sovelleta myöskään, jos yhteisö käyttää omaa tunnistusmenetelmäänsä omien asiakkaidensa tunnistamiseen omissa palveluissaan.

Lakia ei sovelleta tunnistusvälineiden tai sähköisen allekirjoittamisen välineiden valmistamiseen, maahantuontiin tai myyntiin.

2 §
Määritelmät

Tässä laissa tarkoitetaan:

1) vahvalla sähköisellä tunnistamisella henkilön yksilöimistä ja tunnisteen aitouden ja oikeellisuuden todentamista sähköistä menetelmää käyttämällä perustuen vähintään kahteen seuraavista kolmesta vaihtoehdosta:

a) salasanaan tai johonkin muuhun sellaiseen, mitä tunnistusvälineen haltija tietää;

b) sirukorttiin tai johonkin muuhun sellaiseen, mitä tunnistusvälineen haltijalla on hallussaan; tai

c) sormenjälkeen tai johonkin muuhun tunnistusvälineen haltijan yksilöivään ominaisuuteen;

2) tunnistusvälineellä esineitä ja yksilöiviä tietoja tai ominaisuuksia, jotka yhdessä muodostavat vahvaan sähköiseen tunnistamiseen tarvittavat tunnisteet, tunnistamisen välineet ja todentamisen välineet;

3) tunnistusmenetelmällä kokonaisuutta, jonka yhdessä muodostavat tunnistusväline sekä yksittäisen vahvan sähköisen tunnistustapahtuman toteuttamiseksi tarvittava järjestelmä;

4) tunnistuspalvelun tarjoajalla palveluntarjoajaa, joka tarjoaa vahvan sähköisen tunnistamisen palveluita niitä käyttäville palveluntarjoajille tai laskee liikkeelle tunnistusvälineitä yleisölle tai molempia;

5) tunnistusvälineen haltijalla luonnollista henkilöä, jolle tunnistuspalvelun tarjoaja on sopimukseen perustuen antanut tunnistusvälineen;

6) ensitunnistamisella tunnistusvälineen hakijan henkilöllisyyden todentamista välineen hankkimisen yhteydessä;

7) varmenteella sähköistä todistusta, joka todentaa henkilöllisyyden tai todentaa henkilöllisyyden ja liittää allekirjoituksen todentamistiedot allekirjoittajaan ja jota voidaan käyttää vahvassa sähköisessä tunnistamisessa sekä sähköisessä allekirjoituksessa;

8) varmentajalla luonnollista henkilöä tai oikeushenkilöä, joka tarjoaa varmenteita yleisölle;

9) sähköisellä allekirjoituksella sähköisessä muodossa olevaa tietoa, joka on liitetty tai joka loogisesti liittyy muuhun sähköiseen tietoon ja jota käytetään allekirjoittajan henkilöllisyyden todentamisen välineenä;

10) kehittyneellä sähköisellä allekirjoituksella sähköistä allekirjoitusta:

a) joka liittyy yksiselitteisesti sen allekirjoittajaan;

b) jolla voidaan yksilöidä allekirjoittaja;

c) joka on luotu menetelmällä, jonka allekirjoittaja voi pitää yksinomaisessa valvonnassaan; ja

d) joka on liitetty muuhun sähköiseen tietoon siten, että tiedon mahdolliset muutokset voidaan havaita;

11) allekirjoituksen luomistiedoilla allekirjoittajan sähköisen allekirjoituksen luomisessa käyttämää ainutkertaista tietokokonaisuutta, kuten koodeja ja yksityisiä avaimia;

12) allekirjoituksen luomisvälineellä ohjelmistoja ja laitteita, joilla yhdessä allekirjoituksen luomistietojen kanssa luodaan sähköinen allekirjoitus; (20.2.2015/139)

13) allekirjoituksen todentamistiedoilla sähköisen allekirjoituksen todentamisessa käytettävää tietokokonaisuutta, kuten koodeja ja julkisia avaimia; (20.2.2015/139)

14) luottamusverkostolla Viestintävirastoon ilmoituksen tehneiden tunnistuspalvelun tarjoajien verkostoa. (20.2.2015/139)

2 luku

Oikeusvaikutukset ja henkilötietojen käsittely

3 §
Pakottavuus

Sopimusehto, joka poikkeaa tämän lain säännöksistä kuluttajan vahingoksi, on mitätön, jollei jäljempänä toisin säädetä.

4 §
Tunnistusvälineillä tehtävät sähköiset allekirjoitukset

Tunnistusvälineillä voidaan tehdä niiden ominaisuuksista riippuen sähköisiä allekirjoituksia ja kehittyneitä sähköisiä allekirjoituksia, jollei muualla laissa tai 18 §:ssä muuta säädetä.

5 §
Oikeustoimen tekeminen

Tunnistusvälinettä voidaan käyttää oikeustoimen tekemiseen, jollei muualla laissa tai 18 §:ssä muuta säädetä.

Jos oikeustoimeen vaaditaan lain mukaan allekirjoitus, vaatimuksen täyttää ainakin sellainen kehittynyt sähköinen allekirjoitus, joka perustuu laatuvarmenteeseen ja on luotu turvallisella allekirjoituksen luomisvälineellä. Sähköiseltä allekirjoitukselta ei tule kuitenkaan evätä oikeusvaikutuksia yksinomaan sen vuoksi, että se on tehty muulla kuin edellä mainitulla tavalla.

Sähköisen allekirjoituksen käytöstä hallinnossa säädetään erikseen.

6 §
Henkilötietojen käsittely

Tunnistuspalvelun tarjoaja saa käsitellä tunnistusvälineen liikkeelle laskemisessa, palvelun ylläpidossa sekä tunnistustapahtuman toteuttamisessa tarvittavia henkilötietoja henkilötietolain (523/1999) 8 §:n 1 momentin 1 ja 2 kohdassa tarkoitetuilla perusteilla. Sähköisiä allekirjoituksia tarjoava varmentaja saa samoilla perusteilla käsitellä varmenteen myöntämisessä ja ylläpidossa tarvittavia henkilötietoja. Tunnistuspalvelun tarjoaja ja sähköisiä allekirjoituksia tarjoava varmentaja saavat edellä mainitussa tarkoituksessa lisäksi kerätä henkilötietoja henkilöltä itseltään.

Henkilötietoja saa käsitellä muussa kuin 1 momentissa mainitussa tarkoituksessa ainoastaan henkilötietolain 8 §:n 1 momentin 1 kohdassa tarkoitetuilla perusteilla.

Tunnistuspalvelun tarjoajan ja sähköisiä allekirjoituksia tarjoavan varmentajan tulee tarkistaessaan hakijan henkilöllisyyden vaatia hakijaa ilmoittamaan henkilötunnuksensa. Tunnistuspalvelun tarjoaja ja sähköisiä allekirjoituksia tarjoava varmentaja saavat käsitellä henkilötunnusta rekistereissään 1 momentissa mainitussa tarkoituksessa. Henkilötunnuksen saa sisällyttää tunnistusvälineeseen tai varmenteeseen, jos välineen tai varmenteen tietosisältö on ainoastaan sellaisen tahon saatavilla, jolle se on välttämätöntä palvelun toteuttamiseksi. Henkilötunnus ei saa olla saatavissa julkisesta hakemistosta. (20.2.2015/139)

Muilta osin henkilötietojen käsittelystä säädetään 19, 24, 30, 37 ja 38 §:ssä sekä henkilötietolaissa.

7 § (20.2.2015/139)
Väestötietojärjestelmän tietojen käyttäminen

Tunnistuspalvelun tarjoajan ja sähköisiä allekirjoituksia tarjoavan varmentajan on hankittava ja päivitettävä tunnistuspalvelun tarjoamiseksi tarvitsemansa tiedot väestötietojärjestelmästä. Tämän lisäksi tunnistuspalvelun tarjoajan on varmistettava, että sen tunnistuspalvelun tarjoamiseksi tarvitsemat tiedot ovat ajan tasalla väestötietojärjestelmän tietojen kanssa.

Väestötietojärjestelmästä luovutettava tieto on julkisoikeudellinen suorite. Suoritteen maksullisuudesta säädetään valtion maksuperustelaissa (150/1992).

3 luku

Vahva sähköinen tunnistaminen

8 §
Tunnistusmenetelmälle asetettavat vaatimukset

Tunnistusmenetelmän on täytettävä seuraavat vaatimukset:

1) menetelmän perustana on 17 §:n mukainen ensitunnistaminen, jota koskevat tiedot ovat jälkikäteen 24 §:n mukaisesti tarkistettavissa;

2) menetelmällä voidaan yksiselitteisesti tunnistaa tunnistusvälineen haltija;

3) menetelmällä voidaan riittävällä luotettavuudella varmistua, että ainoastaan tunnistusvälineen haltija voi käyttää välinettä; ja

4) menetelmä on riittävän turvallinen ja luotettava ottaen huomioon kulloinkin käytettävissä olevaan tekniikkaan liittyvät tietoturvallisuusuhat.

Mitä 1 momentissa säädetään, ei estä palvelun tarjoamista palvelukohtaisesti siten, että tunnistuspalvelun tarjoaja ilmoittaa tunnistuspalvelua käyttävälle palveluntarjoajalle tunnistusvälineen haltijan salanimen tai ainoastaan rajoitetun määrän henkilötietoja.

Viestintävirasto voi antaa tarkempia teknisiä määräyksiä 1 momentissa tarkoitetuista vaatimuksista.

9 §
Tunnistuspalvelun tarjoajalle asetettavat vaatimukset

Tunnistuspalvelun tarjoajana olevan tai sen lukuun toimivan luonnollisen henkilön, palveluntarjoajana olevan yhteisön tai säätiön hallituksen tai hallintoneuvoston jäsenten ja varajäsenten, toimitusjohtajan, vastuunalaisen yhtiömiehen taikka muussa näihin rinnastettavassa asemassa olevien on täytettävä seuraavat edellytykset:

1) heidän on oltava täysi-ikäisiä;

2) he eivät saa olla konkurssissa; ja

3) heidän toimintakelpoisuutensa ei saa olla rajoitettu.

Tunnistuspalvelun tarjoajan on oltava luotettava. Tunnistuspalvelun tarjoajaa ei pidetä luotettavana, jos 1 momentissa tarkoitettu henkilö on lainvoiman saaneella tuomiolla tuomittu viiden viimeisen vuoden aikana vankeusrangaistukseen tai kolmen viimeisen vuoden aikana sakkorangaistukseen rikoksesta, jonka voidaan katsoa osoittavan henkilön olevan ilmeisen sopimaton harjoittamaan tunnistuspalvelun tarjontaa.

Tunnistuspalvelun tarjoajaa ei pidetä luotettavana myöskään, jos 1 momentissa tarkoitettu henkilö on muutoin aikaisemmalla toiminnallaan osoittanut olevansa ilmeisen sopimaton tunnistuspalvelun tarjoajaksi.

10 §
Tunnistuspalvelun tarjoajan velvollisuus ilmoittaa toiminnan aloittamisesta

Suomeen sijoittautuneen tunnistuspalvelun tarjoajan on ennen toiminnan aloittamista tehtävä kirjallinen ilmoitus Viestintävirastolle. Ilmoituksen voi tehdä myös sellainen palveluntarjoajien yhteenliittymä, jonka hallinnoimaa palvelua on pidettävä yhtenä tunnistuspalveluna.

Ilmoituksessa on oltava:

1) palveluntarjoajan nimi;

2) palveluntarjoajan täydelliset yhteystiedot;

3) tiedot tarjottavista palveluista;

4) tiedot 8, 9, 13 ja 14 §:ssä tarkoitetuista seikoista; ja

5) muut valvonnan kannalta tarpeelliset tiedot.

Tunnistuspalvelun tarjoajan on viipymättä ilmoitettava 2 momentissa tarkoitetuissa tiedoissa tapahtuneista muutoksista kirjallisesti Viestintävirastolle. Ilmoitus on tehtävä myös toiminnan lopettamisesta sekä toimintojen siirtymisestä toiselle palveluntarjoajalle.

Viestintävirasto voi antaa valvontatoiminnan kannalta tarpeellisia teknisiä määräyksiä edellä tässä pykälässä tarkoitettujen ilmoitettavien tietojen tarkemmasta sisällöstä ja niiden toimittamisesta Viestintävirastolle.

11 §
Muuhun Euroopan talousalueen jäsenvaltioon sijoittautunut tunnistuspalvelun tarjoaja

Mitä 10 §:ssä säädetään, ei estä muualle Euroopan talousalueelle sijoittautunutta tunnistuspalvelun tarjoajaa tekemästä mainitussa pykälässä tarkoitettua ilmoitusta.

12 §
Tunnistuspalvelun tarjoajia koskeva rekisteri

Viestintävirasto ylläpitää julkista rekisteriä 10 §:n mukaisen ilmoituksen tehneistä tunnistuspalvelun tarjoajista ja niiden tarjoamista palveluista.

Viestintäviraston on 10 §:ssä tarkoitetun ilmoituksen saatuaan kiellettävä palveluntarjoajaa tarjoamasta palveluaan vahvana sähköisenä tunnistamisena, jos palvelu tai palveluntarjoaja ei täytä tässä luvussa asetettuja vaatimuksia. Jos puutteellisuutta voidaan pitää ainoastaan vähäisenä, Viestintävirasto voi kehottaa palveluntarjoajaa korjaamaan puutteellisuuden määräajassa.

12 a § (20.2.2015/139)
Tunnistuspalvelun tarjoajien verkosto

Tunnistuspalvelun tarjoajan tehdessä 10 §:n mukaisen ilmoituksen Viestintävirastoon, tunnistuspalvelun tarjoaja liittyy osaksi luottamusverkostoa.

Luottamusverkostoon kuuluvan tunnistuspalvelun tarjoajan on noudatettava sellaisia hallinnollisia käytäntöjä, jotka mahdollistavat tunnistuspalveluita tarjoavien ja niitä hyödyntävien sähköisten palveluntarjoajien tarjoamien palveluiden yhteentoimivuuden sekä tarjottava tekniset rajapinnat, jotka luovat edellytykset tunnistuspalveluita tarjoavien ja niitä hyödyntävien toimijoiden väliselle toiminnalle.

Sähköisen tunnistuspalvelun tarjoajan lähettäessä sähköiseen tunnistusvälineeseen liittyvää tietoa toiselle sähköisen tunnistuspalvelun tarjoajalle edelleen välitettäväksi, välitettävästä tunnistetiedosta tulee suorittaa lähettäjälle korvaus. Välitettävästä tunnistetiedosta perittävä korvaus voi olla enintään 10 senttiä. Korvauksen tasoa tullaan arvioimaan vuosittain.

Tunnistuspalvelun tarjoajat vastaavat yhteistyössä teknisten rajapintojen ja hallinnollisten käytäntöjen yhteentoimivuudesta.

Luottamusverkoston hallinnollisista käytännöistä, teknisistä rajapinnoista ja hallinnollisista vastuista annetaan tarkempia säännöksiä valtioneuvoston asetuksella.

13 §
Tunnistuspalvelun tarjoajan yleiset velvollisuudet

Tunnistuspalvelun tarjoajan on huolehdittava siitä, että sen palveluksessa olevalla henkilöstöllä on harjoitetun toiminnan laajuuteen nähden riittävä asiantuntemus, kokemus ja pätevyys.

Tunnistuspalvelun tarjoajalla on oltava harjoitetun toiminnan laajuuteen nähden riittävät taloudelliset voimavarat toiminnan järjestämiseksi ja mahdollisen vahingonkorvausvastuun kattamiseksi. Palveluntarjoaja voi myös ryhtyä muihin tarpeellisiin toimenpiteisiin mahdollisen vahingonkorvausvastuun varalta.

Tunnistamispalvelun tarjoajan on lisäksi huolehdittava palvelujensa henkilötietolain 32 §:ssä tarkoitetusta tietojen suojaamisesta sekä riittävästä tietoturvasta.

Tunnistuspalvelun tarjoaja vastaa apunaan käyttämiensä henkilöiden tuottamien palveluiden ja tuotteiden luotettavuudesta ja toimivuudesta.

14 §
Tunnistusperiaatteet

Tunnistuspalvelun tarjoajalla on oltava tunnistusperiaatteet, joissa määritellään tarkemmin, kuinka palveluntarjoaja täyttää tässä laissa tarkoitetut velvollisuutensa. Erityisesti on määriteltävä tarkemmin, kuinka tunnistuspalvelun tarjoaja toteuttaa 17 §:ssä tarkoitetun ensitunnistamisen.

Lisäksi tunnistusperiaatteissa on annettava keskeiset tiedot:

1) palveluntarjoajasta;

2) tarjottavista palveluista ja niiden hinnoista;

3) palveluntarjoajan tärkeimmistä yhteistyökumppaneista;

4) ulkopuolisten arviointilaitosten suorittamista tarkastuksista; sekä

5) muista merkityksellisistä seikoista, joiden perusteella palveluntarjoajan toimintaa ja luotettavuutta voidaan arvioida.

Jos tunnistusvälineillä voidaan tehdä sähköisiä allekirjoituksia tai kehittyneitä sähköisiä allekirjoituksia, tunnistuspalvelun tarjoajan on annettava tieto myös niiden toteuttamismenetelmästä, tasosta ja turvallisuustekijöistä.

Tunnistuspalvelun tarjoajan on pidettävä tunnistusperiaatteet yleisesti saatavilla ja ajantasaisina.

15 §
Tunnistuspalvelun tarjoajan tiedonantovelvollisuus ennen sopimuksen tekemistä

Tunnistuspalvelun tarjoajan on ennen tunnistusvälineen hakijan kanssa tehtävän sopimuksen tekemistä annettava hakijalle tiedot:

1) palveluntarjoajasta;

2) tarjottavista palveluista ja hinnoista;

3) 14 §:ssä tarkoitetuista tunnistusperiaatteista;

4) osapuolten oikeuksista ja velvollisuuksista;

5) mahdollisista vastuunrajoituksista;

6) valitus- ja riitojenratkaisumenettelyistä;

7) mahdollisista 18 §:ssä tarkoitetuista estoista ja käyttörajoituksista; sekä

8) muista mahdollisista tunnistusvälineen käyttöehdoista.

Edellä 1 momentissa tarkoitetut tiedot on annettava kirjallisesti tai sähköisesti siten, että tunnistusvälineen hakija voi tallentaa ja toisintaa ne muuttumattomina. Jos sopimus tehdään tunnistusvälineen hakijan pyynnöstä sellaista etäviestintä käyttäen, että tietoja ja sopimusehtoja ei voida antaa edellä tarkoitetulla tavalla ennen sopimuksen tekemistä, tiedot on annettava sanotulla tavalla viipymättä sopimuksen tekemisen jälkeen.

Henkilötietojen käsittelyä koskevasta tiedonantovelvollisuudesta säädetään henkilötietolaissa.

16 §
Tunnistuspalvelun tarjoajan velvollisuus ilmoittaa tietoturvaan ja tietojen suojaamiseen kohdistuvista uhkista tai häiriöistä

Tunnistuspalvelun tarjoajan on ilmoitettava ilman aiheetonta viivästystä tunnistuspalvelua käyttäville palveluntarjoajille, tunnistusvälineiden haltijoille sekä Viestintävirastolle palvelun tietoturvaan kohdistuvista merkittävistä uhkista tai häiriöistä.

Jos uhka tai häiriö kohdistuu henkilötietolain 32 §:ssä tarkoitettuun tietojen suojaamiseen, tunnistuspalvelun tarjoajan on ilmoitettava asiasta 1 momentissa tarkoitettujen tahojen lisäksi tietosuojavaltuutetulle.

Ilmoituksessa on samalla kerrottava niistä toimista, joita eri tahoilla on käytettävissään uhkien tai häiriöiden torjumiseksi sekä näistä toimenpiteistä aiheutuvista arvioiduista kustannuksista.

17 § (20.2.2015/139)
Tunnistusvälineen hakijan tunnistaminen

Jos hakijalla ei ole aikaisempaa tämän lain mukaista vahvaa sähköistä tunnistusvälinettä, ensitunnistaminen tulee tehdä henkilökohtaisesti. Jos hakijalla on jo käytössään vahva sähköinen tunnistusväline, tässä laissa tarkoitettua tunnistusvälinettä voidaan hakea sähköisesti.

Henkilökohtaista ensitunnistusta tehtäessä tunnistuspalvelun tarjoajan on tunnistettava tunnistusvälineen hakija huolellisesti todentamalla hänen henkilöllisyytensä voimassa olevasta Euroopan talousalueen jäsenvaltion, Sveitsin tai San Marinon viranomaisen myöntämästä passista tai henkilökortista. Halutessaan tunnistuspalvelun tarjoaja voi käyttää ensitunnistamisessa myös Euroopan talousalueen jäsenvaltion viranomaisen 1 päivän lokakuuta 1990 jälkeen myöntämää voimassa olevaa ajokorttia tai muun valtion viranomaisen myöntämää voimassa olevaa passia.

Jos tunnistusvälineen hakijan henkilöllisyyttä ei voida luotettavasti todentaa, hakemukseen liittyvän ensitunnistamisen tekee poliisi. Poliisin tekemästä ensitunnistamisesta tunnistusvälineen hakijalle aiheutuva kustannus on julkisoikeudellinen suorite. Suoritteen maksullisuudesta säädetään valtion maksuperustelaissa.

Olemassa olevan vahvan sähköisen tunnistusvälineen avulla on voitava hakea vastaavan tasoista sähköistä tunnistusvälinettä. Aiempaan tunnistukseen luottava vahvan sähköisen tunnistuspalvelun tarjoaja vastaa mahdollisesta tunnistuksen virheellisyydestä suhteessa vahingon kärsineeseen.

18 §
Oikeustoimen tekemiseen kohdistuvat estot ja rajoitukset

Tunnistuspalvelun tarjoajan, tunnistuspalvelua käyttävän palveluntarjoajan sekä tunnistusvälineen haltijan välisillä sopimuksilla voidaan tunnistusvälineen käyttäminen oikeustoimien tekemiseen estää. Lisäksi oikeustoimien tekemiselle voidaan asettaa sekä käyttötarkoitukseen että tapahtumien rahamääräiseen arvoon liittyviä rajoituksia.

Tunnistuspalvelun tarjoajan on huolehdittava siitä, että estot tai rajoitukset ovat kaikkien osapuolten tiedossa tai havaittavissa helpolla tavalla. Tunnistuspalvelun tarjoaja voi myös toteuttaa estot tai rajoitukset teknisin keinoin. Tunnistuspalvelun tarjoaja ei vastaa niistä toimista, jotka on tehty estojen tai rajoitusten vastaisesti siitä huolimatta, että tunnistuspalvelun tarjoaja on toiminut huolellisesti.

Tunnistuspalvelun tarjoajan on järjestettävä tunnistuspalvelua käyttävälle palveluntarjoajalle mahdollisuus tarkastaa tunnistusvälineeseen liittyvät estot tai rajoitukset ympäri vuorokauden. Velvollisuutta ei kuitenkaan ole, jos tunnistusvälineen estojen tai rajoitusten vastainen käyttö on teknisin keinoin estetty.

Tunnistuspalvelua käyttävän palveluntarjoajan on tarkastettava tunnistuspalvelun tarjoajan ylläpitämistä järjestelmistä ja rekistereistä mahdolliset estot tai rajoitukset tunnistusvälineen käytön yhteydessä. Tarkastaminen ei kuitenkaan ole tarpeen, jos tunnistusvälineen estojen tai rajoitusten vastainen käyttö on teknisin keinoin estetty.

19 §
Varmenteen tietosisältö

Jos tunnistusmenetelmä perustuu varmenteeseen, tulee varmenteen sisältää ainakin:

1) tieto varmentajasta;

2) tieto varmenteen haltijasta;

3) varmenteen haltijan yksilöivä tunnus;

4) varmenteen voimassaoloaika;

5) varmenteen yksilöivä tunnus;

6) tieto varmenteen käytön mahdollisista estoista ja rajoituksista;

7) varmenteen haltijan julkinen avain ja tieto sen käyttötarkoituksesta; sekä

8) varmentajan kehittynyt sähköinen allekirjoitus.

Varmennepalvelun tarjoajan tulee omalta osaltaan varmistaa, että tunnistuspalvelua käyttävällä palveluntarjoajalla on saatavillaan varmenteen tietosisältö, jos se on tarpeen tunnistamisen toteuttamiseksi.

20 §
Tunnistusvälineen liikkeelle laskeminen

Tunnistusvälineen liikkeelle laskeminen perustuu tunnistusvälineen hakijan ja tunnistuspalvelun tarjoajan väliseen sopimukseen. Sopimus on tehtävä kirjallisesti. Sopimus voidaan tehdä myös sähköisesti, jos sen sisältöä ei voida yksipuolisesti muuttaa ja se säilyy osapuolten saatavilla. Tunnistuspalvelun tarjoajan tulee kohdella asiakkaitaan syrjimättä ja tunnistusvälineiden hakijoita tasapuolisesti sopimuksen tekemisen yhteydessä.

Sopimus voi olla voimassa toistaiseksi tai määräaikaisesti. Tunnistusvälineellä voi olla oma voimassaoloaikansa, joka on lyhyempi kuin sopimuksen voimassaoloaika.

Tunnistusväline annetaan aina luonnolliselle henkilölle. Tunnistusvälineen on oltava henkilökohtainen. Tunnistusvälineeseen voidaan tarvittaessa liittää tieto siitä, että henkilö voi tapauskohtaisesti myös edustaa toista luonnollista henkilöä tai oikeushenkilöä.

21 §
Tunnistusvälineen luovuttaminen hakijalle

Tunnistuspalvelun tarjoajan on luovutettava tunnistusväline sen hakijalle siten kuin sopimuksessa on sovittu. Tunnistuspalvelun tarjoajan on riittävällä tavalla varmistettava, ettei tunnistusväline joudu oikeudettomasti toisen haltuun välinettä luovutettaessa.

22 §
Tunnistusvälineen uusiminen

Tunnistuspalvelun tarjoaja saa toimittaa tunnistusvälineen haltijalle uuden välineen ilman nimenomaista pyyntöä vain, jos aikaisemmin annettu tunnistusväline on korvattava uudella. Toimittamisessa noudatetaan tällöin 21 §:n säännöksiä.

23 §
Tunnistusvälineen haltijan velvollisuudet

Tunnistusvälineen haltijan on käytettävä tunnistusvälinettä sopimuksen ehtojen mukaisesti. Haltijan on säilytettävä tunnistusvälinettä huolellisesti. Haltijan velvollisuus huolehtia tunnistusvälineestä alkaa, kun hän on vastaanottanut sen.

Tunnistusvälineen haltija ei saa luovuttaa välinettä toisen käyttöön.

24 §
Tunnistustapahtumaa ja tunnistusvälinettä koskevien tietojen tallentaminen ja käyttö

Tunnistuspalvelun tarjoajan on tallennettava:

1) yksittäisen tunnistustapahtuman ja sähköisen allekirjoittamisen tapahtuman todentamiseksi tarvittavat tiedot;

2) tarvittavat tiedot 17 §:ssä tarkoitetusta hakijan ensitunnistamisesta sekä siinä käytetystä asiakirjasta;

3) tiedot 18 §:ssä tarkoitetuista tunnistusvälineen käyttöön mahdollisesti liittyvistä estoista ja käyttörajoituksista; sekä

4) varmenteen osalta 19 §:ssä tarkoitettu varmenteen tietosisältö.

Edellä 1 momentin 1 kohdassa tarkoitetut tiedot on säilytettävä viisi vuotta tunnistustapahtumasta ja 2–4 kohdassa tarkoitetut tiedot viisi vuotta tunnistuspalvelun tarjoajan ja tunnistusvälineen haltijan välisen asiakassuhteen päättymisestä.

Tunnistustapahtuman yhteydessä syntyneet henkilötiedot on hävitettävä tunnistustapahtuman jälkeen, jollei tallentaminen ole välttämätöntä yksittäisen tunnistustapahtuman todentamiseksi.

Tunnistuspalvelun tarjoaja saa käsitellä tallennettuja tietoja ainoastaan palvelun toteuttamiseksi ja ylläpitämiseksi, laskutusta varten, omien oikeuksiensa turvaamista varten riitatilanteissa sekä tunnistuspalvelua käyttävän palveluntarjoajan tai tunnistusvälineen haltijan pyynnöstä. Tunnistuspalvelun tarjoajan on tallennettava tieto käsittelyn ajankohdasta, syystä ja käsittelijästä.

Edellä 1 momentin 1 kohta ja 3 momentti eivät koske sellaista palveluntarjoajaa, joka ainoastaan laskee liikkeelle tunnistusvälineitä. Edellä 2 momentissa tarkoitettu viiden vuoden tallennusaika lasketaan tällöin tunnistusvälineen voimassaolon päättymisestä.

25 §
Tunnistusvälineen peruuttamista tai käytön estämistä koskeva ilmoitus

Tunnistusvälineen haltijan on ilmoitettava tunnistuspalvelun tarjoajalle tai tämän nimeämälle muulle taholle tunnistusvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä ilman aiheetonta viivytystä havaittuaan asian.

Tunnistuspalvelun tarjoajan on tarjottava mahdollisuus tehdä 1 momentissa tarkoitettu ilmoitus milloin tahansa. Tunnistuspalvelun tarjoajan on viipymättä peruutettava tunnistusväline tai estettävä sen käyttö saatuaan asiaa koskevan ilmoituksen.

Tunnistuspalvelun tarjoajan on asianmukaisesti ja viipymättä merkittävä järjestelmään tieto peruuttamisen tai käytön estämisen ajankohdasta. Tunnistusvälineen haltijalla on oikeus saada pyynnöstä todistus siitä, että hän on tehnyt 1 momentissa mainitun ilmoituksen. Todistusta on pyydettävä 18 kuukauden kuluessa ilmoituksesta.

Järjestelmän on oltava sellainen, että tunnistuspalvelua käyttävä palveluntarjoaja voi helposti tarkastaa siihen merkityt tiedot ympäri vuorokauden. Velvollisuutta järjestää tarkastusmahdollisuutta ei kuitenkaan ole, jos tunnistusvälineen käyttö voidaan teknisesti estää tai se voidaan sulkea.

Tunnistuspalvelua käyttävän palveluntarjoajan on tarkastettava tunnistuspalvelun tarjoajan ylläpitämistä järjestelmistä ja rekistereistä mahdolliset peruutukset ja käytön estot tunnistusvälineen käytön yhteydessä. Tarkastaminen ei kuitenkaan ole tarpeen, jos tunnistusvälineen käyttö voidaan teknisesti estää tai se voidaan sulkea.

Jos tunnistuspalvelu perustuu varmenteisiin ja peruutettuja varmenteita koskevat tiedot annetaan sulkulistan avulla, varmennepalvelun tarjoaja saa tallentaa tiedot sulkulistalta tehdystä varmenteen voimassaolon tarkastamisesta. Vaihtoehtoisesti varmentaja voi tallentaa sulkulistan.

26 §
Tunnistuspalvelun tarjoajan oikeus peruuttaa tai estää tunnistusvälineen käyttö

Sen lisäksi, mitä 25 §:ssä säädetään, tunnistuspalvelun tarjoaja voi peruuttaa tunnistusvälineen tai estää sen käytön, jos:

1) tunnistuspalvelun tarjoajalla on syytä epäillä, että joku muu kuin se, jolle tunnistusväline on myönnetty, käyttää sitä;

2) tunnistusväline sisältää ilmeisen virheellisyyden;

3) tunnistuspalvelun tarjoajalla on syytä epäillä, että tunnistusvälineen käytön turvallisuus on vaarantunut;

4) tunnistusvälineen haltija käyttää tunnistusvälinettä olennaisesti sopimusehtojen vastaisella tavalla; tai

5) tunnistusvälineen haltija on kuollut.

Tunnistuspalvelun tarjoajan tulee ilmoittaa haltijalle niin pian kuin mahdollista tunnistusvälineen peruuttamisesta tai käytön estämisestä ja peruuttamisen tai käytön estämisen ajankohdasta sekä siihen johtaneista syistä.

Tunnistuspalvelun tarjoajan on palautettava mahdollisuus käyttää tunnistusvälinettä tai annettava haltijalle uusi väline välittömästi 1 momentin 2 ja 3 kohdassa tarkoitetun syyn poistuttua.

27 §
Tunnistusvälineen haltijan tunnistusvälineen oikeudetonta käyttöä koskevat vastuunrajoitukset

Tunnistusvälineen haltija vastaa tunnistusvälineen oikeudettomasta käytöstä vain, jos:

1) hän on luovuttanut tunnistusvälineen toiselle;

2) tunnistusvälineen katoaminen, joutuminen oikeudettomasti toisen haltuun tai oikeudeton käyttö johtuu hänen huolimattomuudestaan, joka ei ole lievää; tai

3) hän on laiminlyönyt ilmoittaa tunnistuspalvelun tarjoajalle tai sen ilmoittamalle muulle taholle tunnistusvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä ilman aiheetonta viivytystä sen havaittuaan.

Tunnistusvälineen haltija ei kuitenkaan vastaa tunnistusvälineen oikeudettomasta käytöstä:

1) siltä osin kuin tunnistusvälinettä on käytetty sen jälkeen, kun hän on ilmoittanut tunnistuspalvelun tarjoajalle tunnistusvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;

2) jos tunnistusvälineen haltija ei ole voinut tehdä ilmoitusta välineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä ilman aiheetonta viivytystä sen havaittuaan sen johdosta, että tunnistuspalvelun tarjoaja on laiminlyönyt 25 §:n 2 momentissa tarkoitetun velvollisuutensa huolehtia siitä, että tunnistusvälineen haltijalla on milloin tahansa mahdollisuus tehdä kyseinen ilmoitus; tai

3) tunnistuspalvelua käyttävä palveluntarjoaja on laiminlyönyt 18 §:n 4 momentin tai 25 §:n 5 momentin mukaisen velvollisuutensa tarkastaa tunnistusvälineeseen liittyvän käyttörajoituksen olemassaolon tai tiedon välineen käytön estämisestä tai sulkemisesta.

4 luku

Sähköinen allekirjoitus

28 §
Turvallinen allekirjoituksen luomisväline

Turvallisen allekirjoituksen luomisvälineen on riittävän luotettavasti varmistettava, että:

1) allekirjoituksen luomistiedot ovat käytännössä ainutkertaisia ja että ne säilyvät luottamuksellisina;

2) allekirjoituksen luomistietoja ei voida päätellä muista tiedoista;

3) allekirjoitus on suojattu väärentämiseltä;

4) allekirjoittaja voi suojata allekirjoituksen luomistiedot muiden käytöltä; sekä

5) luomisväline ei muuta allekirjoitettavia tietoja eikä estä tietojen esittämistä allekirjoittajalle ennen allekirjoittamista.

Allekirjoituksen luomisvälineen katsotaan aina täyttävän 1 momentissa säädetyt vaatimukset, jos:

1) se on Euroopan yhteisöjen komission vahvistamien ja Euroopan unionin virallisessa lehdessä julkaistujen yleisesti tunnustettujen standardien mukainen; tai

2) vaatimusten arviointitehtävään nimetty tarkastuslaitos, joka sijaitsee Suomessa tai muussa Euroopan talousalueeseen kuuluvassa valtiossa, on sen hyväksynyt.

29 §
Tarkastuslaitos

Viestintävirasto voi nimetä tarkastuslaitoksia, joiden tehtävänä on arvioida, täyttääkö allekirjoituksen luomisväline 28 §:n 1 momentissa säädetyt vaatimukset. Tarkastuslaitokset voivat olla yksityisiä tai julkisia laitoksia.

Tarkastuslaitoksen nimeämisen edellytyksenä on, että:

1) tarkastuslaitos on toiminnallisesti ja taloudellisesti riippumaton;

2) sen toiminta on luotettavaa, asianmukaista ja syrjimätöntä;

3) sillä on riittävät taloudelliset voimavarat toiminnan asianmukaiseksi järjestämiseksi sekä mahdollisen korvausvastuun kattamiseksi;

4) sillä on käytössään riittävästi ammattitaitoista ja puolueetonta henkilöstöä; sekä

5) sillä on käytössään toiminnan edellyttämät tilat ja välineistö.

Viestintävirasto nimeää tarkastuslaitokset hakemuksen perusteella. Hakemuksen tulee sisältää hakijan yhteystietojen ja kaupparekisteriotteen tai vastaavan selvityksen lisäksi selvitys 2 momentissa tarkoitettujen edellytysten täyttymisestä hakijan toiminnassa. Viestintävirasto antaa tarvittaessa ohjeita hakemukseen sisällytettävistä tiedoista ja niiden toimittamisesta Viestintävirastolle.

Viestintävirasto valvoo tarkastuslaitoksen toimintaa. Jos tarkastuslaitos ei täytä säädettyjä vaatimuksia tai toimii säännösten vastaisesti, Viestintäviraston on peruutettava nimeämispäätös. Tarkastuslaitoksen on ilmoitettava Viestintävirastolle toimintansa sellaisista muutoksista, joilla on vaikutusta tarkastuslaitoksen nimeämisen edellytyksiin.

Tarkastuslaitos voi arviointitehtävässä käyttää apunaan laitoksen ulkopuolisia henkilöitä. Tarkastuslaitos vastaa myös apunaan käyttämiensä henkilöiden työstä.

30 §
Laatuvarmenne

Laatuvarmenteella tarkoitetaan varmennetta, joka täyttää 2 momentissa säädetyt vaatimukset ja jonka on myöntänyt 33–38 §:ssä säädetyt vaatimukset täyttävä varmentaja.

Laatuvarmenteen tulee sisältää:

1) tieto siitä, että varmenne on laatuvarmenne;

2) tieto varmentajasta ja sen sijoittautumisvaltiosta;

3) allekirjoittajan nimi tai salanimi, josta ilmenee, että se on salanimi;

4) allekirjoituksen todentamistiedot, jotka vastaavat allekirjoittajan hallinnassa olevia allekirjoituksen luomistietoja;

5) laatuvarmenteen voimassaoloaika;

6) laatuvarmenteen yksilöivä tunnus;

7) varmentajan kehittynyt sähköinen allekirjoitus;

8) mahdolliset laatuvarmenteen käyttörajoitukset; sekä

9) allekirjoittajaan liittyvät erityiset tiedot, jos ne ovat tarpeen laatuvarmenteen käyttötarkoituksen kannalta.

Jos laatuvarmenteita tarjoava varmentaja tarjoaa myös 3 luvussa tarkoitettua tunnistuspalvelua, katsotaan 1 momentin vaatimusten täyttävän aina myös 19 §:n 1 momentissa tarkoitetut varmenteen tietosisältöä koskevat vaatimukset.

31 §
Muun kuin Suomeen sijoittautuneen varmentajan tarjoama laatuvarmenne

Muun kuin Suomeen sijoittautuneen varmentajan laatuvarmenteena tarjoaman varmenteen katsotaan täyttävän tässä laissa säädetyt laatuvarmennetta koskevat vaatimukset, jos:

1) varmentaja on sijoittautunut Euroopan talousalueeseen kuuluvaan valtioon ja varmenne täyttää sijoittautumisvaltiossa laatuvarmenteelle asetetut vaatimukset;

2) varmentaja on liittynyt Euroopan talousalueeseen kuuluvassa valtiossa vapaaehtoiseen akkreditointijärjestelmään ja täyttää kyseisessä valtiossa sähköisiä allekirjoituksia koskevista yhteisön puitteista annetun Euroopan parlamentin ja neuvoston direktiivin 1999/93/EY, jäljempänä sähköallekirjoitusdirektiivi, voimaan saattamiseksi säädetyt kansalliset vaatimukset;

3) varmenteen takaa sellainen varmentaja, joka on sijoittautunut Euroopan talousalueeseen kuuluvaan valtioon ja täyttää kyseisessä valtiossa sähköallekirjoitusdirektiivin voimaan saattamiseksi säädetyt kansalliset vaatimukset; tai

4) varmenne tai varmentaja on tunnustettu Euroopan yhteisön ja yhden tai useamman kolmannen maan tai kansainvälisen organisaation välisen kahden- tai monenvälisen sopimuksen nojalla.

EPNDir 1999/93/EY sähköisiä allekirjoituksia koskevista yhteisön puitteista on kumottu 1.7.2016 alkaen, ks. EPNAs (EU) N:o 910/2014 sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta.

32 §
Ilmoitus toiminnan aloittamisesta

Laatuvarmenteita tarjoavan varmentajan on ennen toiminnan aloittamista tehtävä kirjallinen ilmoitus Viestintävirastolle. Ilmoituksen tulee sisältää varmentajan nimi ja yhteystiedot sekä tiedot, joiden perusteella 30 ja 33–38 §:ssä säädettyjen vaatimusten täyttyminen voidaan varmistaa. Viestintävirasto voi antaa määräyksiä ilmoitettavien tietojen tarkemmasta sisällöstä ja niiden toimittamisesta Viestintävirastolle.

Viestintäviraston on viipymättä ilmoituksen saatuaan kiellettävä varmentajaa tarjoamasta varmenteitaan laatuvarmenteina, jos varmenne ei täytä 30 §:n 2 momentin vaatimuksia tai varmentaja ei täytä 33–38 §:ssä säädettyjä vaatimuksia.

Jos 1 momentissa tarkoitetut tiedot ovat muuttuneet, varmentajan on viipymättä ilmoitettava muutoksista kirjallisesti Viestintävirastolle.

Viestintävirasto pitää laatuvarmenteita myöntävistä varmentajista julkista rekisteriä.

Laatuvarmenteita tarjoava varmentaja voi tehdä myös 10 §:ssä tarkoitetun ilmoituksen, jos se haluaa tarjota laatuvarmenteiden lisäksi tunnistuspalvelua.

33 §
Laatuvarmenteita tarjoavan varmentajan yleiset velvollisuudet

Varmentajalla on oltava harjoitetun toiminnan laajuuteen nähden riittävät tekniset taidot ja taloudelliset voimavarat. Varmentaja vastaa kaikista varmentamistoiminnan osa-alueista, myös mahdollisten varmentajan apunaan käyttämien henkilöiden tuottamien palveluiden ja tuotteiden luotettavuudesta ja toimivuudesta.

Varmentajan tulee:

1) varmistaa, että sen henkilöstöllä on riittävä asiantuntemus, kokemus ja pätevyys;

2) huolehtia riittävistä taloudellisista voimavaroista toimintansa järjestämiseksi ja mahdollisen vahingonkorvausvastuun kattamiseksi;

3) pitää yleisesti saatavilla varmennetta ja varmennetoimintaa koskevat tiedot, joiden perusteella varmentajan toiminta ja luotettavuus voidaan arvioida; sekä

4) turvata allekirjoituksen luomistietojen luottamuksellisuus silloin, kun varmentaja itse tuottaa tiedot.

Varmentaja ei saa tallentaa tai jäljentää allekirjoittajalle luovutettuja allekirjoituksen luomistietoja.

34 §
Luotettavat laitteet ja ohjelmistot

Laatuvarmenteita tarjoavan varmentajan on huolehdittava siitä, että sen käyttämät järjestelmät sekä laitteet ja ohjelmistot ovat riittävän turvallisia ja luotettavia sekä suojattu muutoksilta ja väärentämiseltä.

Sähköisiin allekirjoituksiin liittyvän laitteen tai ohjelmiston katsotaan täyttävän 1 momentissa säädetyt vaatimukset aina, jos laite tai ohjelmisto on Euroopan yhteisöjen komission vahvistamien, Euroopan unionin virallisessa lehdessä julkaistujen yleisesti tunnustettujen standardien mukainen.

35 §
Laatuvarmenteen liikkeelle laskeminen

Laatuvarmenteita tarjoavan varmentajan tulee huolellisesti ja luotettavalla tavalla tarkistaa laatuvarmenteen hakijan henkilöllisyys ja muut laatuvarmenteen liikkeelle laskemisessa ja ylläpidossa tarpeelliset hakijan henkilöön liittyvät tiedot. Laatuvarmenteita tarjoavan varmentajan on tunnistettava hakija henkilökohtaisesti. Varmentajan tulee kohdella asiakkaitaan syrjimättä ja laatuvarmenteiden hakijoita tasapuolisesti sopimuksen tekemisen yhteydessä.

Laatuvarmenteita tarjoavan varmentajan tulee ennen sopimuksen tekemistä antaa laatuvarmenteen hakijalle tiedot laatuvarmenteen käyttöehdoista, mukaan lukien mahdolliset käyttörajoitukset, tiedot vapaaehtoisista akkreditointijärjestelmistä, varmennetoiminnan viranomaisvalvonnasta sekä valitus- ja riitojenratkaisumenettelyistä. Tiedot tulee antaa laatuvarmenteen hakijalle kirjallisesti sellaisessa muodossa, että hakija voi ne vaivatta ymmärtää.

36 §
Laatuvarmenteen peruuttaminen

Allekirjoittajan on viipymättä pyydettävä laatuvarmenteen myöntäneeltä varmentajalta laatuvarmenteen peruuttamista, jos hänellä on perusteltu syy epäillä allekirjoituksen luomistietojen oikeudetonta käyttöä.

Laatuvarmenteita tarjoavan varmentajan on viipymättä peruutettava laatuvarmenne, jos allekirjoittaja sitä pyytää. Laatuvarmenteen peruuttamispyynnön katsotaan saapuneen varmentajalle silloin, kun se on ollut varmentajan käytettävissä siten, että pyyntöä voidaan käsitellä.

Laatuvarmenne voidaan peruuttaa myös, jos siihen muutoin on erityistä syytä. Laatuvarmenteen peruuttamisesta ja peruuttamisajankohdasta tulee aina ilmoittaa allekirjoittajalle.

37 §
Laatuvarmenteita tarjoavan varmentajan ylläpitämät rekisterit

Laatuvarmenteita tarjoavan varmentajan tulee ylläpitää rekisteriä myöntämistään laatuvarmenteista (varmennerekisteri). Rekisteriin tulee merkitä:

1) 30 §:n 2 momentissa määritelty laatuvarmenteen tietosisältö;

2) 35 §:n 1 momentissa tarkoitetut hakijan henkilöön liittyvät tiedot, mukaan lukien tieto laatuvarmennetta liikkeelle laskettaessa käytetystä hakijan tunnistamismenettelystä ja tarvittavat tiedot tunnistamisessa mahdollisesti käytetystä asiakirjasta; sekä

3) 39 §:ssä tarkoitetut tiedot sulkulistalta tehdystä varmenteen voimassaolon tarkistamisesta, jos laatuvarmenteita tarjoava varmentaja käyttää 39 §:n mukaista tallennusoikeutta.

Laatuvarmenteita tarjoavan varmentajan tulee varmistaa, että laatuvarmenteella varmennettuun kehittyneeseen sähköiseen allekirjoitukseen luottavalla osapuolella on saatavilla 30 §:n 2 momentissa määritelty varmenteen tietosisältö. Edellä 1 momentin 3 kohdassa tarkoitettuja tietoja ei kuitenkaan tarvitse tallentaa varmennerekisteriin, jos varmentaja huolehtii muulla tavoin siitä, että varmenteeseen luottava osapuoli pystyy esittämään luotettavan näytön sulkulistan asianmukaisesta tarkastamisesta.

Varmentajan tulee myös ylläpitää laatuvarmenteisiin luottavien osapuolten saatavilla olevaa rekisteriä peruutetuista laatuvarmenteista (sulkulista). Sulkulistalle on viipymättä merkittävä tieto laatuvarmenteen peruuttamisesta sekä tarkka peruuttamisajankohta.

Edellä 2 ja 3 momentissa mainittujen tietojen on oltava ympärivuorokautisesti käytettävissä.

38 §
Varmennerekisterin tietojen säilyttäminen

Laatuvarmenteita tarjoavan varmentajan tulee luotettavalla ja tarkoituksenmukaisella tavalla säilyttää varmennerekisterin tiedot 10 vuoden ajan varmenteen voimassaolon päättymisestä.

Jos laatuvarmenteita tarjoava varmentaja tarjoaa myös vahvaa sähköistä tunnistuspalvelua, se voi 24 §:n estämättä säilyttää tietoja kaikilta osin 1 momentissa tarkoitetulla tavalla.

39 §
Varmenteen voimassaolon tarkistamista koskevan tiedon tallentaminen

Laatuvarmenteita tarjoava varmentaja saa tallentaa tiedot sulkulistalta tehdystä varmenteen voimassaolon tarkistamisesta. Tallennettuja tietoja saa käyttää ainoastaan varmenteiden käytön laskutuksen suorittamiseksi tai varmenteella varmennetun sähköisen allekirjoituksen avulla tehtyjen oikeustoimien todentamiseksi.

40 §
Vastuu allekirjoituksen luomistietojen oikeudettomasta käytöstä

Allekirjoittaja vastaa laatuvarmenteella varmennetun kehittyneen sähköisen allekirjoituksen luomistietojen oikeudettomasta käytöstä aiheutuneesta vahingosta, kunnes varmenteen peruuttamispyyntö on saapunut varmentajalle siten kuin 36 §:n 2 momentissa säädetään.

Kuluttajalla on kuitenkin 1 momentissa säädetty vastuu vain, jos:

1) hän on luovuttanut luomistiedot toiselle;

2) luomistietojen joutuminen niiden käyttöön oikeudettomalle on aiheutunut hänen huolimattomuudestaan, joka ei ole lievää; tai

3) hän menetettyään luomistietojen hallinnan muulla kuin 2 kohdassa mainitulla tavalla on laiminlyönyt pyytää laatuvarmenteen peruuttamista siten kuin 36 §:n 1 momentissa säädetään.

41 §
Laatuvarmenteita tarjoavan varmentajan vahingonkorvausvastuu

Laatuvarmenteita tarjoava varmentaja on vastuussa vahingosta, joka laatuvarmenteeseen luottaneelle on aiheutunut siitä, että:

1) laatuvarmenteeseen merkityt tiedot ovat varmenteen myöntämishetkellä olleet virheellisiä;

2) laatuvarmenteessa ei ole 30 §:n 2 momentissa mainittuja tietoja;

3) laatuvarmenteessa yksilöidyllä henkilöllä ei varmenteen myöntämishetkellä ollut hallussaan varmenteessa mainittuja tai määriteltyjä allekirjoituksen todentamistietoja vastaavia allekirjoituksen luomistietoja;

4) varmentajan tai sen apunaan käyttämän henkilön luomat allekirjoituksen luomis- ja todentamistiedot eivät ole yhteensopivia; taikka

5) varmentaja tai sen apunaan käyttämä henkilö ei ole peruuttanut laatuvarmennetta 36 §:ssä säädetyllä tavalla.

Varmentaja vapautuu 1 momentissa säädetystä vastuusta, jos se näyttää, että vahinko ei ole aiheutunut sen omasta tai sen apunaan käyttämän henkilön huolimattomuudesta.

Varmentaja ei vastaa vahingosta, joka aiheutuu laatuvarmenteeseen sisältyvän käyttörajoituksen vastaisesta käytöstä.

Muilta osin laatuvarmenteita yleisölle tarjoavan varmentajan vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974).

Mitä tässä pykälässä säädetään, sovelletaan myös varmentajaan, joka takaa yleisölle varmenteen laatuvarmenteeksi.

5 luku

Viranomaisvalvonta

42 §
Yleinen ohjaus ja valvonta

Vahvan sähköisen tunnistamisen ja sähköisten allekirjoitusten yleinen ohjaus ja kehittäminen kuuluvat liikenne- ja viestintäministeriölle.

Viestintäviraston tehtävänä on valvoa tämän lain noudattamista lukuun ottamatta 1 §:n 3 momenttia. Viestintävirasto antaa tarvittaessa teknisiä määräyksiä tunnistuspalvelun tarjoajien ja laatuvarmenteita tarjoavien varmentajien toiminnan luotettavuus- ja tietoturvallisuusvaatimuksista.

Tietosuojavaltuutetun tehtävänä on valvoa tämän lain henkilötietoja koskevien säännösten noudattamista.

43 §
Tiedonsaantioikeus

Viestintävirastolla on oikeus salassapitosäännösten estämättä saada tunnistuspalvelun tarjoajilta ja laatuvarmenteita tarjoavilta varmentajilta, 29 §:ssä tarkoitetuilta tarkastuslaitoksilta sekä heidän apunaan toimivilta henkilöiltä 42 §:ssä säädettyjen tehtävien suorittamiseksi tarpeelliset tiedot.

Tietosuojavaltuutetulla on tehtäväänsä suorittaessaan henkilötietolaissa tarkoitetut tiedonsaantioikeudet.

44 §
Viranomaisten välinen yhteistyö ja oikeus luovuttaa tietoja

Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) säädetään, Viestintävirastolla ja tietosuojavaltuutetulla on oikeus luovuttaa salassapitosäännösten estämättä Finanssivalvonnalle sellaisia tietoja, jotka ovat tarpeen sen tehtävien suorittamiseksi. Finanssivalvonnalla on vastaava oikeus luovuttaa salassapitosäännösten estämättä Viestintävirastolle ja tietosuojavaltuutetulle tietoja, jotka ovat tarpeen niiden tässä laissa säädettyjen tehtävien suorittamiseksi.

Viestintäviraston ja tietosuojavaltuutetun on tämän lain mukaisia tehtäviä hoitaessaan toimittava tarvittaessa tarkoituksenmukaisessa yhteistyössä Finanssivalvonnan ja Kilpailu- ja kuluttajaviraston kanssa sekä keskenään. (30.11.2012/664)

45 §
Hallintopakkokeinot

Jos joku rikkoo tätä lakia tai sen nojalla annettuja määräyksiä, Viestintävirasto voi velvoittaa tämän korjaamaan virheensä tai laiminlyöntinsä. Päätöksen tehosteeksi voidaan asettaa uhkasakko tai uhka, että toiminta keskeytetään osaksi tai kokonaan taikka että tekemättä jätetty toimenpide teetetään asianomaisen kustannuksella. Uhkasakosta, keskeyttämisuhasta ja teettämisuhasta säädetään uhkasakkolaissa (1113/1990).

Teettämällä suoritetun toimenpiteen kustannukset suoritetaan valtion varoista ja peritään laiminlyöjältä siinä järjestyksessä kuin verojen ja maksujen täytäntöönpanosta annetussa laissa (706/2007) säädetään.

46 §
Tarkastusoikeus

Viestintävirastolla on oikeus tehdä tunnistuspalvelun tarjoajaa ja sen tarjoamaa palvelua, 29 §:ssä tarkoitettua tarkastuslaitosta ja sen toimintaa taikka laatuvarmenteita tarjoavaa varmentajaa ja sen tarjoamaa palvelua koskeva tarkastus, jos sillä on syytä epäillä, että ne ovat olennaisesti rikkoneet tätä lakia tai sen nojalla annettuja määräyksiä.

Viestintävirasto tekee vuosittain laatuvarmenteita tarjoavan varmentajan ja sen tarjoamaa palvelua koskevan tarkastuksen.

Viestintävirasto määrää tarkastajan toimittamaan edellä 1 tai 2 momentissa tarkoitetun tarkastuksen. Tarkastusta toimittavalla henkilöllä on oikeus tutkia tunnistuspalvelun tarjoajan ja laatuvarmenteita tarjoavan varmentajan tai niiden apunaan käyttämien henkilöiden laitteet ja ohjelmistot, joilla voi olla merkitystä tämän lain tai sen nojalla annettujen määräysten noudattamisen valvonnassa.

Tunnistuspalvelun tarjoajien ja laatuvarmenteita tarjoavien varmentajien tai niiden apunaan käyttämien henkilöiden on tarkastusta varten päästettävä 3 momentissa tarkoitettu tarkastaja muihin kuin kotirauhan piiriin kuuluviin valmistus-, liike- ja varastotiloihin.

Viestintävirastolla on oikeus saada virka-apua poliisilta tässä pykälässä tarkoitetun tarkastuksen suorittamiseksi.

Tietosuojavaltuutetulla on tehtäväänsä suorittaessaan henkilötietolaissa tarkoitetut tarkastusoikeudet.

47 §
Viestintävirastolle maksettavat maksut

Edellä 10 §:ssä tarkoitetun ilmoituksen tehneen tunnistuspalvelun tarjoajan tai palveluntarjoajien yhteenliittymän on suoritettava Viestintävirastolle 5 000 euron rekisteröimismaksu. Lisäksi tunnistuspalvelun tarjoajan tai yhteenliittymän on suoritettava Viestintävirastolle vuosittain 12 000 euron valvontamaksu.

Edellä 32 §:ssä tarkoitetun ilmoituksen tehneen laatuvarmenteita tarjoavan varmentajan on suoritettava Viestintävirastolle 5 000 euron rekisteröimismaksu. Lisäksi laatuvarmenteita tarjoavan varmentajan on suoritettava Viestintävirastolle vuosittain 40 000 euron valvontamaksu. Jos laatuvarmenteita tarjoava varmentaja tekee myös 10 §:ssä tarkoitetun ilmoituksen, on sen maksettava 1 momentissa tarkoitettu rekisteröimismaksu.

Edellä 29 §:n mukaisesti nimetyn tarkastuslaitoksen on suoritettava Viestintävirastolle 10 000 euron nimeämismaksu. Lisäksi tarkastuslaitoksen on suoritettava Viestintävirastolle vuosittain 15 000 euron valvontamaksu.

Rekisteröimismaksu, nimeämismaksu ja valvontamaksu vastaavat niitä kustannuksia, jotka aiheutuvat Viestintävirastolle tässä laissa säädettyjen tehtävien hoitamisesta 46 §:n 1 momentissa tarkoitettuja tehtäviä lukuun ottamatta. Valvontamaksu on suoritettava täysimääräisesti myös toiminnan ensimmäisenä vuotena, vaikka toiminta aloitettaisiin kesken vuotta. Valvontamaksua ei palauteta, vaikka palveluntarjoaja lopettaisi toimintansa kesken vuotta.

Rekisteröimismaksun, nimeämismaksun ja valvontamaksun määrää maksettavaksi Viestintävirasto. Viestintäviraston maksun määräämistä koskevaan päätökseen saa hakea muutosta siten kuin 49 §:n 1 momentissa säädetään. Tarkempia säännöksiä maksujen täytäntöönpanosta voidaan antaa liikenne- ja viestintäministeriön asetuksella.

Rekisteröimismaksu, nimeämismaksu ja valvontamaksu saadaan periä ilman tuomiota tai päätöstä siinä järjestyksessä kuin verojen ja maksujen täytäntöönpanosta annetussa laissa säädetään. Jollei maksuja suoriteta viimeistään eräpäivänä, maksamattomalle määrälle peritään vuotuista viivästyskorkoa korkolain (633/1982) 4 §:n 1 momentissa tarkoitetun korkokannan mukaan. Viivästyskoron sijasta viranomainen voi periä viiden euron suuruisen viivästysmaksun, jos viivästyskoron määrä jää tätä pienemmäksi.

Jos tunnistuspalvelun tarjoajan toiminta joudutaan 46 §:n 1 momentin nojalla tarkastamaan, tunnistuspalvelun tarjoajalta peritään tarkastuksesta aiheutuneet kustannukset siten kuin valtion maksuperustelaissa säädetään.

6 luku

Erinäiset säännökset

48 §
Rangaistussäännökset

Rangaistus henkilörekisteririkoksesta säädetään rikoslain (39/1889) 38 luvun 9 §:ssä ja henkilörekisteririkkomuksesta henkilötietolain 48 §:n 2 momentissa.

49 § (7.8.2015/997)
Muutoksenhaku

Viestintäviraston päätökseen saa hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa (586/1996) säädetään.

Hallinto-oikeuden päätökseen tarkastuslaitoksen nimeämisen peruuttamista koskevassa asiassa saa hakea muutosta valittamalla siten kuin hallintolainkäyttölaissa säädetään. Hallinto-oikeuden muuhun päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan.

Viestintävirasto voi päätöksessään määrätä, että päätöstä on noudatettava ennen kuin se on saanut lainvoiman. Valitusviranomainen voi kuitenkin kieltää päätöksen täytäntöönpanon, kunnes valitus on ratkaistu.

Muutoksenhausta tietosuojavaltuutetun päätökseen säädetään henkilötietolaissa.

7 luku

Voimaantulo

50 §
Voimaantulo

Tämä laki tulee voimaan 1 päivänä syyskuuta 2009.

Tällä lailla kumotaan 24 päivänä tammikuuta 2003 annettu laki sähköisistä allekirjoituksista (14/2003). Viestintäviraston kumottavan lain nojalla antamat määräykset ovat kuitenkin voimassa, kunnes uudet määräykset annetaan tämän lain nojalla.

Ennen lain voimaantuloa voidaan ryhtyä lain täytäntöönpanon edellyttämiin toimiin.

51 §
Siirtymäsäännös

Tunnistuspalvelun tarjoajien on tehtävä Viestintävirastolle 10 §:ssä tarkoitettu ilmoitus kuuden kuukauden kuluessa lain voimaantulosta. Sinä aikana vahvana sähköisenä tunnistuspalveluna ja tunnistuspalvelun tarjoajana pidetään sellaista 1 §:n soveltamisalaan kuuluvaa sähköistä tunnistuspalvelua ja sähköisen tunnistuspalvelun tarjoajaa, joka täyttää 2 §:n 1 ja 4 kohdassa tarkoitetut määritelmät.

Ennen tämän lain voimaantuloa tai 1 momentissa tarkoitetun siirtymäajan kuluessa liikkeelle laskettuja tunnistusvälineitä pidetään vahvan sähköisen tunnistamisen välineinä, jos tunnistuspalvelun tarjoaja tekee 10 §:ssä tarkoitetun ilmoituksen 1 momentissa tarkoitetun ajan kuluessa. Tunnistuspalvelun ja tunnistuspalvelun tarjoajan on tällöin täytettävä kaikki tässä laissa niille asetetut vaatimukset lukuun ottamatta 17 §:ssä säädettyjä vaatimuksia.

Jos tunnistuspalvelun tarjoajat ovat tehneet 17 §:n 2 momentissa tarkoitetun sopimuksen mahdollisuudesta luottaa toistensa tekemään ensitunnistamiseen, eikä ensitunnistamisessa käytetyt tunnistusvälineet liikkeelle laskenut palveluntarjoaja ole tehnyt 10 §:ssä tarkoitettua ilmoitusta 1 momentissa tarkoitetussa ajassa, ensitunnistaminen on tällä tavoin liikkeelle laskettujen tunnistusvälineiden osalta tehtävä 17 §:ssä tarkoitetulla tavalla viivyttelemättä.

Sellaisen laatuvarmenteita tarjoavan varmentajan, joka on tehnyt sähköisistä allekirjoituksista annetun lain 9 §:n 1 momentin mukaisen ilmoituksen ja jatkanut toimintaansa keskeytyksettä tämän lain voimaan tuloon saakka, ei tarvitse tehdä uutta ilmoitusta 32 §:n 1 momentin mukaisesti. Laatuvarmenteita tarjoava varmentaja voi tällöin antaa Viestintävirastolle vapaamuotoisen kirjallisen ilmoituksen toimintansa jatkumisesta entisellään. Tämän lain voimaan tullessa laatuvarmenteita tarjoavan varmentajan on maksettava liikenne- ja viestintäministeriön Viestintäviraston eräistä maksuista annetun asetuksen (1175/2005) 12 §:ssä tarkoitettua varmennemaksua 31 päivään joulukuuta 2009 asti vapaamuotoisen kirjallisen ilmoituksen tekemisen ajankohdasta riippumatta.

HE 36/2009, LiVM 12/2009, EV 90/2009

Muutossäädösten voimaantulo ja soveltaminen:

30.11.2012/664:

Tämä laki tulee voimaan 1 päivänä tammikuuta 2013.

HE 108/2012, TaVM 9/2012, EV 98/2012

20.2.2015/139:

Tämä laki tulee voimaan 1 päivänä tammikuuta 2016. Sen 12 a §:ää sovelletaan kuitenkin vasta 1 päivästä toukokuuta 2017.

HE 272/2014, LiVM 33/2014, EV 257/2014

7.8.2015/997:

Tämä laki tulee voimaan 1 päivänä tammikuuta 2016.

Muutoksenhaussa ennen tämän lain voimaantuloa annettuun hallintopäätökseen sovelletaan tämän lain voimaan tullessa voimassa olleita säännöksiä.

HE 230/2014, LaVM 26/2014, EV 319/2014

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.