Beaktats t.o.m. FörfS 871/2019.

29.6.2016/571

Lag om förvaltningens gemensamma stödtjänster för e-tjänster

Se anmärkningen för upphovsrätt i användningsvillkoren.

I enlighet med riksdagens beslut föreskrivs:

1 kap

Allmänna bestämmelser

1 §
Lagens syfte och tillämpningsområde

Syftet med denna lag är att förbättra tillgången och kvaliteten på offentliga tjänster, att förbättra tjänsternas informationssäkerhet och interoperabilitet samt styrningen av tjänsterna och att främja effektiviteten och produktiviteten inom den offentliga förvaltningens verksamhet.

Denna lag innehåller bestämmelser om den offentliga förvaltningens gemensamma stödtjänster för e-tjänster, om kraven på stödtjänsterna, om åligganden som hänför sig till produktionen av stödtjänster samt om behandlingen av personuppgifter och andra uppgifter i samband med produktionen. I lagen finns dessutom bestämmelser om rätten och skyldigheten att använda gemensamma stödtjänster för e-tjänster och om förutsättningarna för att använda tjänsterna.

Om inte något annat föreskrivs i denna eller i någon annan lag ska personuppgiftslagen (523/1999) och lagen om offentlighet i myndigheternas verksamhet (621/1999) tillämpas på behandlingen av personuppgifter och andra uppgifter vid produktionen av gemensamma stödtjänster för e-tjänster samt informationssamhällsbalken (917/2014) tillämpas på förmedlingen av kommunikation och på behandlingen av meddelanden och förmedlingsuppgifter.

Bestämmelser om styrningen av informationsförvaltningen och om främjande och säkerställande av informationssystemens interoperabilitet inom den offentliga förvaltningen finns i lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen (634/2011).

2 §
Definitioner

I denna lag avses med

1) stödtjänst en sådan gemensam stödtjänst för e-tjänster som användarorganisationen använder som stöd för sina elektroniska tjänster eller för någon annan uppgift som den har eller tjänst som den tillhandahåller,

2) serviceproducent en producent av stödtjänster,

3) användarorganisation en sådan myndighet, annan aktör som sköter offentliga uppgifter eller privat aktör som använder stödtjänster,

4) elektroniska tjänster e-tjänster som en användarorganisation ansvarar för,

5) användare en person som i egenskap av kund inom förvaltningen använder stödtjänster.

2 kap

Produktion och användning av stödtjänster

3 §
Stödtjänster

De gemensamma stödtjänsterna för e-tjänster omfattar

1) en informationsförmedlingskanal, med hjälp av vilken användarorganisationerna kan överföra och lämna ut uppgifter som ingår i deras datalager och tillhandahålla elektroniska tjänster (nationell servicekanal),

2) en tjänst som samlar enhetligt presenterade uppgifter som gäller användarorganisationens tjänster och erbjuder centraliserad och offentlig tillgång till och användning av dem (servicedatalager),

3) en tjänst där användaren kan granska uppgifter som ingår i servicedatalagret samt uppgifter som införts i användarorganisationernas register om honom eller henne eller en fysisk person eller organisation som han eller hon företräder (servicevy),

4) en sådan tjänst för identifiering av fysiska personer som identifierar en fysisk person som använder den offentliga förvaltningens e-tjänster med hjälp av en tjänst som tillhandahålls av en sådan leverantör av identifieringstjänster som avses i lagen om stark autentisering och betrodda elektroniska tjänster (533/2016), administrerar identifieringstransaktionen och till användarorganisationen lämnar ut identifieringsuppgifter om en person ur befolkningsdatasystemet,

5) sådana identifieringstjänster och samlade förvaltningstjänster för identifiering där även någon annan metod för identifiering än sådan stark autentisering som avses i lagen om stark autentisering och betrodda elektroniska tjänster kan användas,

6) en behörighetstjänst som tillhandahåller användarorganisationen uppgifter om personens handlingsbehörighet och behörighet eller andra viljeyttringar,

7) en meddelandeförmedlingstjänst med hjälp av vilken användarorganisationen och användaren kan skicka elektroniska meddelanden till varandra och med hjälp av vilken en handling kan delges elektroniskt eller per post,

8) en samlad förvaltningstjänst för internetbetalning som möjliggör betalning av avgifter till användarorganisationen via dess elektroniska tjänster,

9) en karttjänst för förvaltningen som erbjuder användarorganisationen möjlighet att i sina elektroniska tjänster använda och kombinera sitt informationsmaterial och information som tillhandahålls inom ramen för den nationella infrastruktur för geografisk information som avses i lagen om en infrastruktur för geografisk information (421/2009).

Genom förordning av finansministeriet kan en myndighet inom finansministeriet förvaltningsområde åläggas att producera och utveckla också andra än i 1 mom. avsedda stödtjänster, förutsatt att tjänsten är en stödtjänst av teknisk natur som ska användas för att uträtta ärenden i förvaltningen eller hålla offentlig information tillgänglig och att offentlig makt inte utövas vid produktionen.

4 §
Serviceproducenter

Befolkningsregistercentralen producerar och utvecklar de stödtjänster som avses i 3 § 1 mom. 1–7 punkten.

Statskontoret producerar och utvecklar den stödtjänst som avses i 3 § 1 mom. 8 punkten.

Lantmäteriverket producerar och utvecklar den stödtjänst som avses i 3 § 1 mom. 9 punkten.

Bestämmelser om produktion och användning av statens gemensamma informations- och kommunikationstekniska tjänster finns i lagen om anordnande av statens gemensamma informations- och kommunikationstekniska tjänster (1226/2013).

5 §
Användning av stödtjänster vid offentliga uppdrag

Följande myndigheter inom den offentliga förvaltningen är skyldiga att använda de stödtjänster som avses i 3 § 1 mom. 1–4, 7 och 8 punkten, när stödtjänsten är tillgänglig och det serviceavtal för en tjänst som anskaffats självständigt och som motsvarar stödtjänsten i fråga har löpt ut, om inte myndigheten av tekniska eller funktionella skäl eller av skäl som hänför sig till kostnadseffektiviteten eller informationssäkerheten nödvändigtvis måste använda andra tjänster i sin verksamhet eller i en del av den:

1) statliga förvaltningsmyndigheter, ämbetsverk, inrättningar och affärsverk,

2) kommunala myndigheter, när de sköter sina lagstadgade uppgifter,

3) domstolar och andra rättskipningsorgan.

Myndigheter inom den offentliga förvaltningen, självständiga offentligrättsliga inrättningar, riksdagen och dess ämbetsverk, fonder utanför statsbudgeten samt aktörer som genom lag, en med stöd av lag utfärdad förordning eller ett med stöd av lag meddelat beslut av en statlig förvaltningsmyndighet har tillsatts för att självständigt sköta en offentlig förvaltningsuppgift får använda alla stödtjänster för skötseln av en lagstadgad offentlig förvaltningsuppgift. Kommunala myndigheter får använda alla stödtjänster även i sina andra uppgifter.

De som med stöd av ett avtal som baserar sig på lag eller på andra grunder än de som avses i 2 mom. sköter ett offentligt uppdrag får i detta uppdrag använda stödtjänster, utom identifieringstjänsterna och de samlade förvaltningstjänsterna för internetbetalning samt meddelandeförmedlingstjänsten. När det gäller dessa stödtjänster beslutar den serviceproducent som producerar stödtjänsten i fråga om tillhandahållandet av tjänsten till de organisationer som avses i detta moment och beslutar också i förekommande fall om huruvida användarorganisationen är en organisation som avses i detta moment eller i 2 mom.

6 §
Användning av servicedatalagret och servicevyn

En användarorganisation som är skyldig att använda stödtjänster ska göra offentliga uppgifter om de tjänster den producerar och om de tjänster som den har ansvar för att ordna tillgängliga i servicedatalagret. Detsamma gäller en användarorganisation som har rätt att använda servicedatalagret, om den beslutar att utnyttja sin rätt.

En användarorganisation som är skyldig att använda stödtjänster ska göra sådana uppgifter om fysiska personer och organisationer som införts i dess register tillgängliga i servicevyn för dem som uppgifterna gäller och för deras behöriga företrädare. Denna skyldighet gäller uppgifter som användarorganisationen även annars via datanätet gör tillgängliga för dem som uppgifterna gäller samt uppgifter som är till allmän nytta för dem som uppgifterna gäller när de sköter sina ärenden elektroniskt. Detsamma gäller en användarorganisation som har rätt att använda servicevyn, om den beslutar att utnyttja sin rätt.

Användarorganisationen fattar beslut om de uppgifter som avses i 2 mom. efter att ha hört Befolkningsregistercentralen. Befolkningsregistercentralen har rätt att besluta om begränsning av tillhandahållandet av de uppgifter som avses i 1 och 2 mom., om en begränsning behövs med hänsyn till stödtjänstens karaktär. Bestämmelser i övrigt om förbud mot och förhindrande av användning av stödtjänster finns i 8 § 4 mom.

7 §
Beslut som gäller skyldigheten att använda stödtjänster

Den som är skyldig att använda en stödtjänst ska för att få avvika från användningsskyldigheten ansöka om undantag från skyldigheten hos den serviceproducent som producerar stödtjänsten i fråga. Serviceproducenten ska innan den meddelar ett avslagsbeslut ge sökanden möjlighet att föra ärendet till finansministeriet för avgörande. Finansministeriet kan också på eget initiativ eller på begäran av serviceproducenten överta avgörandet av ett ärende, om ärendet är av betydelse för den allmänna styrningen enligt denna lag eller för styrningen av informationsförvaltningen inom den offentliga förvaltningen.

8 §
Privata aktörers användningsrätt och förbud mot användning

Privata sammanslutningar, stiftelser och näringsidkare får använda den nationella servicekanalen för att överföra information.

Privata sammanslutningar, stiftelser och näringsidkare får vid tillhandahållande av tjänster för allmänheten använda

1) servicedatalagret för tillhandahållande av uppgifter som gäller deras tjänster,

2) servicevyer och behörighetstjänsten, om de har rätt att behandla sina kunders personbeteckning eller någon annan identifieringskod som behövs vid begäran om eller visande av uppgifter när de tillhandahåller sina tjänster.

Bestämmelser om privata sammanslutningars och näringsidkares rätt att använda de stödtjänster som avses i 3 § 2 mom. får utfärdas genom förordning av finansministeriet.

Befolkningsregistercentralen kan fatta beslut om att helt eller delvis förbjuda eller förhindra att en stödtjänst används av en privat sammanslutning, stiftelse eller näringsidkare

1) vars informationssystem av skäl som hänför sig till äventyrande av informationssäkerheten inte kan anslutas till stödtjänsten,

2) som inte ser till att de uppgifter som den tillhandahåller i servicedatalagret eller servicevyn är riktiga,

3) vars användning av stödtjänsten en polis- eller åklagarmyndighet har begärt att ska förhindras för att det finns sannolika skäl att misstänka att stödtjänsten används för att begå brott,

4) vars tillhandahållande av uppgifter i servicedatalagret eller servicevyn på sannolika skäl kan anses kränka någons rätt på ett sätt som grundar skadeståndsansvar och den vars rätt kan anses ha blivit kränkt begär att användningen förbjuds, och den som förbudet gäller inte inom en tidsfrist på två veckor anger en godtagbar grund för att hålla uppgifterna tillgängliga,

5) vars tillgänglighållande av uppgifter eller annan användning av stödtjänster har förbjudits av en domstol genom ett lagakraftvunnet beslut.

3 kap

Behandling av personuppgifter och andra uppgifter inom tjänsteproduktionen

9 §
Informationskällor som regelbundet utnyttjas inom tjänsteproduktionen

För att fullgöra sina uppgifter enligt denna lag har Befolkningsregistercentralen, med iakttagande av detta kapitel, rätt att genom en teknisk anslutning behandla i denna paragraf avsedda uppgifter som införts i följande informationssystem:

1) i fråga om befolkningsdatasystemet enligt lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009), uppgifter om personers namn, personbeteckning, elektroniska kommunikationskod, medborgarskap, kontaktspråk, modersmål, dödsdag, intressebevakning, begränsning av handlingsbehörigheten, intressebevakningsfullmakt och vårdnad om barn samt kontaktuppgifter och uppgifter om spärrmarkering,

2) i fråga registret över förmynderskapsärenden enligt lagen om förmyndarverksamhet (442/1999), uppgifter om intressebevakning för personer, begränsning av personers handlingsbehörighet och intressebevakningsfullmakter,

3) i fråga föreningsregistret enligt föreningslagen (503/1989), uppgifter om föreningsverksamhet och ansvariga personer i föreningen,

4) i fråga om handelsregistret enligt handelsregisterlagen (129/1979) och företags- och organisationsdatasystemet enligt företags- och organisationsdatalagen (244/2001), uppgifter om aktörer som bedriver näringsverksamhet och om deras ansvariga personer,

5) i fråga stiftelseregistret enligt stiftelselagen (487/2015), uppgifter om stiftelser och om deras ansvariga personer.

10 §
Registrering av fullmakter och andra viljeyttringar

I syfte att tillhandahålla behörighetstjänsten för Befolkningsregistercentralen ett register över sådana fullmakter att sköta ärenden och över andra viljeyttringar som avgetts av fysiska personer och på sammanslutningars vägnar. Befolkningsregistercentralen kan vid tillhandahållandet av behörighetstjänsten även förmedla andra myndigheters registrerade uppgifter om fullmakter och andra viljeyttringar, om den myndighet som registrerat dessa uppgifter har gett Befolkningsregistercentralen tillstånd att förmedla uppgifterna och om verksamheten inte äventyrar tillförlitligheten hos de uppgifter som förmedlas via behörighetstjänsten.

Registrering av en viljeyttring som avses i 1 mom. förutsätter att den som avger viljeyttringen identifieras på ett tillförlitligt sätt med hjälp av tjänsten för identifiering av fysiska personer eller med någon annan sådan metod för identifiering som är informationssäker och bevislig. Registrering av viljeyttringar förutsätter dessutom att Befolkningsregistercentralen kan säkerställa personens handlingsbehörighet och vid behov behörigheten i de register som avses i 1 mom. eller i 9 §.

Befolkningsregistercentralen godkänner, efter att ha hört finansministeriet och Kommunikationsverket, de andra metoder för identifiering som avses i 2 mom. än tjänsten för identifiering av fysiska personer. Befolkningsregistercentralen ska se till att avgiftsfri information om användningen av godkända metoder finns tillgänglig via det allmänna datanätet.

Befolkningsregistercentralen ska sörja för integriteten hos innehållet i den registrerade viljeyttringen och för att uppgifterna om godkännandet av viljeyttringen och om den identifiering av personen som föregår godkännandet kan kopplas samman med viljeyttringens innehåll.

11 §
Registrering av samtycke som gäller elektroniskt delgivningsförfarande och tillförlitligheten hos en registeranteckning

I fråga om en meddelandeförmedlingstjänst ska serviceproducenten, för elektronisk delgivning i anslutning till myndighetsverksamhet, föra ett register över de allmänna samtycken som användarna gett i fråga om ett elektroniskt delgivningsförfarande.

Vid registreringen av samtycken iakttas det som i 10 § 2–4 mom. föreskrivs om förfarandet vid registrering av viljeyttringar. Vid registreringen av samtycken kan även det register som avses i 10 § tekniskt utnyttjas.

En myndighet kan vid delgivning lita på en uppgift som införts i det register som avses i 1 mom. I fråga om sätten för delgivning gäller särskilda bestämmelser.

12 §
Behandling av uppgifter inom tjänsteproduktionen

Befolkningsregistercentralen har rätt att behandla personuppgifter och andra uppgifter som avses i 9 § för att producera och utveckla stödtjänster som den svarar för.

En serviceproducent har såsom registeransvarig rätt att behandla uppgifter som registrerats om användningen av en stödtjänst som den svarar för i syfte att visa att uppgifterna behandlats på riktigt sätt i stödtjänsten eller annars för att producera och utveckla en stödtjänst som den svarar för samt för att trygga tjänstens funktion och informationssäkerhet. Uppgifterna ska avföras ur registret så snart det inte längre finns någon i detta moment avsedd grund för behandlingen. Grunden och behovet av behandling ska bedömas minst vart femte år, om inte något annat följer av lag.

Vid tillhandahållandet av tjänsten för identifiering av fysiska personer har Befolkningsregistercentralen rätt att till den användarorganisation som förvaltar den elektroniska tjänst som en person använder lämna ut uppgift om personens namn, personbeteckning och elektroniska kommunikationskod, om användarorganisationen enligt lag har rätt att behandla dessa uppgifter.

Vid tillhandahållandet av behörighetstjänsten har Befolkningsregistercentralen rätt att, utifrån de uppgifter som gäller en persons handlingsbehörighet och behörighet och som sökts fram i de informationssystem inom den offentliga förvaltningen som avses i 9 § och utifrån det register över fullmakter och viljeyttringar som Befolkningsregistercentralen förvaltar med stöd av 10 § 1 mom., för användarorganisationen sammanställa och till den lämna ut nödvändiga uppgifter för påvisande av en begränsning av handlingsbehörigheten eller en befogenhet eller någon annan viljeyttring.

Vid tillhandahållandet av meddelandeförmedlingstjänsten har serviceproducenten rätt att till användarorganisationen ur det register som avses i 11 § 1 mom. lämna ut uppgifter som är nödvändiga för att verkställa delgivning och uppgifter som behövs för att verifiera delgivning som skett med hjälp av meddelandeförmedlingstjänsten.

De uppgifter som avses i 3–5 mom. får lämnas ut med hjälp av en teknisk anslutning.

13 §
Bevarande av uppgifter som behandlas inom tjänsteproduktionen

Befolkningsregistercentralen ska såsom registeransvarig för uppgifter som behandlas i tjänsten för identifiering av fysiska personer bevara de uppgifter som behövs för att verifiera en identifieringstransaktion i fem år räknat från ingången av det kalenderår som följer efter identifieringstransaktionen.

Befolkningsregistercentralen ska bevara uppgifterna i det register som den förvaltar med stöd av 10 § 1 mom., de uppgifter som behövs för att visa att uppgifterna behandlats på riktigt sätt i registret samt uppgifter som gäller förfrågningar som gjorts inom behörighetstjänsten och svaren på dem, om inte något annat följer av användarorganisationens skyldighet att bevara uppgifter.

Serviceproducenten ska bevara uppgifterna i det register som avses i 11 § 1 mom. och de uppgifter som behövs för att verifiera behandlingen av uppgifterna i registret och delgivningen, om inte något annat följer av användarorganisationens skyldighet att bevara uppgifter. Serviceproducenten ska bevara de meddelanden som förmedlats via meddelandeförmedlingstjänsten i två år, om inte användaren har raderat dem före det.

De uppgifter som avses i 2 och 3 mom. ska avföras ur registret så snart det inte längre finns någon laglig grund för behandlingen. Den registeransvarige ska bedöma behovet av att bevara nämnda uppgifter minst vart femte år, om inte något annat följer av lag.

Bestämmelser om bevarande av uppgifter finns dessutom i arkivlagen (831/1994).

14 §
Utlämnande av uppgifter som behandlas inom tjänsteproduktionen

Utöver vad som föreskrivs i 12 § 3–5 mom. kan serviceproducenten oberoende av sekretessbestämmelserna lämna ut uppgifter som registrerats om användningen av stödtjänsten till den användarorganisation i samband med vars elektroniska tjänst eller annan skötsel av ärenden uppgifterna har registrerats eller som har varit en part i kommunikation som förmedlats via meddelandeförmedlingstjänsten, om användarorganisationen behöver uppgifterna

1) för att säkerställa eller förbättra funktionen hos sin elektroniska tjänst,

2) för att säkerställa informationssäkerheten eller utreda störningar i informationssäkerheten hos sin elektroniska tjänst,

3) för att visa att uppgifterna behandlats på riktigt sätt i samband med skötseln av ärenden eller annars för att utreda problem vid skötseln av ärenden.

Serviceproducenten kan, om inte något annat följer av 11 eller 12 § i lagen om offentlighet i myndigheternas verksamhet, lämna ut uppgifter som registrerats om användningen av stödtjänsten

1) till den person vars användning av stödtjänsten eller annan skötsel av ärenden uppgifterna gäller,

2) för något annat specificerat syfte, om den person vars användning av stödtjänsten eller annan skötsel av ärenden uppgifterna gäller uttryckligen har samtyckt till utlämnandet.

De uppgifter som avses i 1 och 2 mom. kan lämnas ut med hjälp av en teknisk anslutning.

15 §
Behandling av uppgifter inom användarorganisationen

En användarorganisation har såsom registeransvarig rätt att

1) oberoende av bestämmelserna i denna lag behandla uppgifter som den fått av en serviceproducent,

2) med hjälp av servicevyn till en person som identifierat sig i servicevyn tillhandahålla personuppgifter och andra uppgifter som gäller personen i fråga eller skötseln av ärenden för en fysisk person eller organisation som personen i fråga företräder, om inte något annat föreskrivs i lag.

De uppgifter som visas i servicevyn söks ur användarorganisationens register på personbeteckningen eller någon annan identifieringskod med hjälp av en teknisk anslutning. Användarorganisationen ska omedelbart från servicevyn utplåna sådana uppgifter om personbeteckning eller någon annan identifieringskod som kommit in i dess informationssystem, om den inte har rätt att behandla uppgifterna i fråga.

Användarorganisationen svarar såsom registeransvarig för att de uppgifter som den gjort tillgängliga i servicedatalagret och servicevyn är riktiga. Bestämmelser om serviceproducentens ansvar finns i 16 §.

4 kap

Krav som gäller stödtjänsterna och användningen av dem

16 §
Kvalitets- och informationssäkerhetskrav som gäller stödtjänsterna

Serviceproducenten svarar för kvaliteten och kostnadseffektiviteten hos den stödtjänst den producerar samt för att tjänsten är allmänt lämplig för sitt användningsändamål, välfungerande, tillförlitlig och så användarvänlig och tillgänglig som möjligt. Serviceproducenten ska vid produktionen av stödtjänsten iaktta den övergripande arkitekturen för den offentliga förvaltningen och beskrivningarna och definitionerna av interoperabiliteten.

Utöver vad som föreskrivs i 32 § i personuppgiftslagen svarar serviceproducenten för att den sammankoppling av uppgifter som produktionen av stödtjänsten förutsätter är korrekt samt för informationssäkerheten när det gäller de uppgifter som behandlas inom stödtjänsterna.

Serviceproducenten svarar för att den stödtjänst den producerar har planerats, byggts och underhållits så att

1) tjänstens tekniska standard är god och informationssäker,

2) den tål sådana normala yttre störningar och hot mot informationssäkerheten som kan förväntas,

3) dess prestanda, användbarhet, kvalitet och funktionssäkerhet följs upp,

4) mot den riktade betydande kränkningar av och hot mot informationssäkerheten kan upptäckas liksom också sådana fel och störningar som avsevärt stör dess funktion,

5) ändringar som görs i den inte orsakar oförutsedda störningar i användarorganisationens elektroniska tjänster för vilka stödtjänsten utnyttjas eller i någon annan uppgift som utförs med stöd av stödtjänsten.

Serviceproducenten ska göra upp en tjänstebeskrivning för den stödtjänst den tillhandahåller och hålla den uppdaterad. Av tjänstebeskrivningen ska det utöver tjänstens funktionalitet med tillräcklig noggrannhet även framgå på vilket sätt de krav som anges i 1–3 mom. och de informationssäkerhetskrav som anges i 17 § 1 och 2 mom. har uppfyllts samt kraven för anslutning till stödtjänsten och gränssnittskraven.

Närmare bestämmelser om de kvalitets- och informationssäkerhetskrav i fråga om stödtjänsterna som avses i denna paragraf får utfärdas genom förordning av statsrådet.

17 §
Krav som gäller informationssystemen

Serviceproducenten ska på ändamålsenligt sätt försäkra sig om att det informationssystem som används för produktionen av dess stödtjänst har planerats, tillverkats och fungerar i enlighet med de lagar som gäller informationssäkerhet och dataskydd och de bestämmelser som utfärdats med stöd av de lagarna samt följer de nationella definitionerna av interoperabilitet.

Stödtjänsten ska produceras och utvecklas så att det vid behov finns möjlighet att skapa en sådan miljö för behandling av uppgifter som uppfyller informationssäkerhetskraven på basnivå eller förhöjd nivå. Behovet av informationssäkerhetskrav och hur kraven uppfylls ska bedömas med hjälp av riskhanteringsmetoder.

Innan en användarorganisations informationssystem ansluts till stödtjänsten kan serviceproducenten kräva att användarorganisationen uppfyller behövliga krav för att informationssäkerheten och kvaliteten i fråga om stödtjänsten ska säkerställas. Serviceproducenten och användarorganisationen ska genom behövliga och på förhand överenskomna informationssäkerhetsåtgärder samt tester försäkra sig om att en anslutning inte äventyrar informationssäkerheten i fråga om användarorganisationens elektroniska tjänst eller personuppgifter eller i fråga om stödtjänsten eller det informationssystem som används för produktionen av dem.

Närmare bestämmelser om kraven i fråga om informationssäkerheten hos de informationssystem som avses i 1 mom. och om konstaterande av att de uppfylls, skapande av sådana databehandlingsmiljöer som avses i 2 mom. samt om de informationssäkerhetsåtgärder som gäller anslutning av användarorganisationens informationssystem enligt 3 mom. får utfärdas genom förordning av statsrådet.

18 §
Störningar och störningsanmälningar

Om ett informationssystem som använts för produktionen av en serviceproducents stödtjänst eller en användarorganisations informationssystem som anslutits till stödtjänsten orsakar olägenhet för funktionen eller informationssäkerheten hos det informationssystem som används för stödtjänsten eller det informationssystem som anslutits till stödtjänsten, ska den som svarar för det informationssystem som orsakat olägenheten omedelbart vidta åtgärder för att rätta till situationen. Vid behov kan serviceproducenten eller användarorganisationen koppla bort sitt informationssystem från det system som förvaltas av den andra.

Serviceproducenten ska utan dröjsmål meddela de användarorganisationer som använder dess stödtjänster och användarna av stödtjänsterna om dess stödtjänst är utsatt för betydande kränkningar av eller hot mot informationssäkerheten eller för någonting annat som gör att stödtjänsten inte fungerar eller väsentligen stör den eller äventyrar informationssäkerheten. I anmälan ska det uppges hur länge störningen eller hotet beräknas pågå och i den mån det är möjligt vilka åtgärder användarorganisationen och användaren av stödtjänsten kan vidta för att skydda sig. När störningen eller hotet upphört ska serviceproducenten dessutom meddela detta till användarorganisationerna och användarna av stödtjänsten.

Användarorganisationen ska utan dröjsmål meddela den serviceproducent till vars stödtjänst användarorganisationens informationssystem anslutits om informationssystemet i fråga är utsatt för betydande kränkningar av eller hot mot informationssäkerheten eller för någonting annat som kan äventyra informationssäkerheten eller funktionen hos stödtjänsten eller väsentligt störa den. I anmälan ska det uppges vad störningen eller hotet består av, hur länge störningen eller hotet beräknas pågå och i den mån det är möjligt vilka skyddsåtgärderna är. När störningen eller hotet upphört ska användarorganisationen dessutom meddela detta till serviceproducenten.

Serviceproducenten ska regelbundet rapportera om funktionen och informationssäkerheten i fråga om sina stödtjänster samt utan dröjsmål meddela betydande avvikelser avseende detta till finansministeriet eller till den myndighet som finansministeriet anvisat.

19 §
Beredskap och störningar i tjänsteproduktionen

Serviceproducenter ska genom beredskapsplaner, genom förberedande åtgärder med tanke på verksamheten vid störningar under normala förhållanden eller verksamheten under undantagsförhållanden och genom andra åtgärder se till att deras verksamhet och tjänsteproduktion fortsätter så störningsfritt som möjligt vid störningar under normala förhållanden samt under undantagsförhållanden.

Under normala förhållanden och vid störningar under normala förhållanden iakttas, om inte något annat föreskrivs i någon annan lag, av finansministeriet på förhand fastställda principer om prioritet och skyndsamhet samt annan viktighetsklassificering beträffande produktion och användning av tjänster som avses i denna lag. Innan principerna fastställs ska finansministeriet höra de berörda serviceproducenterna, deras kunder och ministerierna. Statsrådet beslutar om principer som är vittgående och samhälleligt betydelsefulla.

Bestämmelser om serviceproducentens skyldighet att vidta förberedelser och om styrningen av statens informationsförvaltning samt om ordnandet av elektroniska tjänster under undantagsförhållanden finns i beredskapslagen (1552/2011).

20 §
Loggregister

Befolkningsregistercentralen ska för säkerställande av lagligheten i behandlingen av uppgifterna föra ett loggregister över behandlingen av uppgifter som registrerats om användningen av de stödtjänster som avses i 3 § 1 mom. 1–7 punkten. I loggregistret ska det registreras uppgifter om den som behandlat uppgifterna, tidpunkten för behandlingen och de uppgifter eller grupper av data i systemet som varit föremål för behandling. Dessutom ska uppgifter om den till vilken uppgifterna lämnats ut med stöd av 14 § registreras.

Befolkningsregistercentralen ska bevara loggregistrets uppgifter i minst två år räknat från ingången av det kalenderår som följer efter tidpunkten för registreringen av uppgifterna.

21 §
Användning och utlämnande av uppgifter i loggregistret

Befolkningsregistercentralen får använda uppgifterna i loggregistret för att följa och övervaka behandlingen av uppgifter som registrerats om användningen av stödtjänsterna och för att upprätthålla informationssäkerheten.

Befolkningsregistercentralen får lämna ut uppgifterna i loggregistret till polis- och förundersökningsmyndigheter för utredning av brott som gäller lagstridig behandling av uppgifter som registrerats om användningen av stödtjänsterna, om inte något annat föreskrivs om utlämnande av enstaka uppgifter till polisen.

Dessutom får Befolkningsregistercentralen, om inte något annat följer av 11 eller 12 § i lagen om offentlighet i myndigheternas verksamhet, lämna ut uppgifter som registrerats i loggregistret

1) till den person som de uppgifter som behandlats gäller,

2) för något annat specificerat syfte, om den person som de uppgifter som behandlats gäller samt den som behandlat uppgifterna uttryckligen har samtyckt till utlämnandet.

5 kap

Styrning

22 §
Allmän styrning

Finansministeriet har till uppgift att styra anordnandet av de stödtjänster som avses i denna lag, tjänsternas kvalitet samt tjänsternas interoperabilitet och förenlighet med den övergripande arkitekturen, med iakttagande av lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen. Finansministeriet svarar för den allmänna administrativa och strategiska styrningen av produktionen av stödtjänster samt för styrningen av den informations- och kommunikationstekniska aktionsberedskapen, övriga beredskapen och säkerheten.

Finansministeriet och arbets- och näringsministeriet svarar tillsammans för den strategiska styrningen av innehållet och strukturen i fråga om den övergripande servicevyn för företag inom den servicevy som produceras av Befolkningsregistercentralen.

Finansministeriet och jord- och skogsbruksministeriet svarar tillsammans för den strategiska styrningen av innehållet och strukturen i fråga om den i 3 § 1 mom. 9 punkten avsedda helhet som gäller karttjänsten för förvaltningen och som produceras av Lantmäteriverket.

23 §
Rätt att få uppgifter

Finansministeriet har rätt att av serviceproducenterna för sitt uppdrag få tillräckliga och behövliga uppgifter om serviceproduktionens kvalitet och kostnadseffektivitet och om de andra krav på serviceproduktionen som avses i denna lag.

6 kap

Särskilda bestämmelser

24 §
Begäran om omprövning

Omprövning av beslut som en serviceproducent har fattat med stöd av denna lag får begäras hos serviceproducenten.

Omprövning av beslut som finansministeriet har fattat med stöd av 7 § i denna lag får begäras hos finansministeriet.

Bestämmelser om omprövningsförfarandet finns i 7 a kap. i förvaltningslagen (434/2003).

25 §
Kostnaderna för stödtjänsterna

Kostnaderna för produktionen av stödtjänsterna täcks med statens medel och användningen av stödtjänsterna är avgiftsfri för användarorganisationerna.

Användarorganisationen svarar själv för de kostnader som anslutningen till stödtjänsten och förvaltningen av uppgifterna i servicedatalagret och servicevyn orsakar organisationen.

Användarorganisationen svarar för kostnaderna för de brev som meddelandeförmedlingstjänsten skickat på användarorganisationens vägnar.

Användarorganisationen svarar själv för de avgifter som grundar sig på de avtal om tillhandahållande av identifieringstjänster som den ingått med sådana leverantörer av identifieringstjänster som avses i lagen om stark autentisering och betrodda elektroniska tjänster.

7 kap

Ikraftträdande

26 §
Ikraftträdande

Denna lag träder i kraft den 15 juli 2016.

27 §
Övergångsbestämmelse som gäller ordnandet av uppgifter

Statens center för informations- och kommunikationsteknik producerar och utvecklar högst till och med den 31 december 2017 den samlade förvaltningstjänst för identifiering, signering och betalning som hör till de tjänster som avses i 3 § 1 mom. 5 och 8 punkten.

Statens center för informations- och kommunikationsteknik producerar och utvecklar den tjänst som avses i 3 § 1 mom. 7 punkten samt för det register som avses i 11 § högst till och med den 31 december 2017, varefter serviceproduktionen och registerföringen överförs till Befolkningsregistercentralen i enlighet med 4 § 1 mom.

Statskontoret producerar och utvecklar tjänsten Suomi.fi, som hör till de tjänster som avses i 3 § 1 mom. 2 punkten, högst till och med den 31 december 2017.

Skatteförvaltningen producerar och utvecklar den tjänst för elektronisk identifiering som hör till de tjänster som avses i 3 § 1 mom. 5 punkten och genom vilken en myndighet eller någon annan som sköter offentliga uppgifter, vid skötseln av en offentlig uppgift kan identifiera en organisation och en person som företräder den, högst till och med den 31 december 2016, varefter serviceproduktionen överförs till Befolkningsregistercentralen.

Närings-, trafik- och miljöcentralernas samt arbets- och näringsbyråernas utvecklings- och förvaltningscenter producerar och utvecklar tjänsten Företagsfinland.fi, som hör till de tjänster som avses i 3 § 1 mom. 2 och 3 punkten, högst till och med den 31 december 2017.

Finansministeriet fattar före utgången av de tidsfrister som anges i 2–4 mom. närmare beslut om de uppgifter och funktioner som överförs till Befolkningsregistercentralen och om tidtabellerna.

Statsrådet fattar före utgången av den tidsfrist som anges i 5 mom. närmare beslut om de uppgifter och funktioner som överförs från närings-, trafik- och miljöcentralernas samt arbets- och näringsbyråernas utvecklings- och förvaltningscenter till Befolkningsregistercentralen och om tidtabellerna.

28 §
Övergångsbestämmelse som gäller personalen

När de uppgifter som hänför sig till en stödtjänst som Statens center för informations- och kommunikationsteknik producerar överförs till Befolkningsregistercentralen i enlighet med det beslut av finansministeriet som avses i 27 § 6 mom. eller den förordning av finansministeriet som avses i 3 § 2 mom., överförs den personal i arbetsavtalsförhållande som sköter dessa uppgifter till tjänsteförhållanden vid Befolkningsregistercentralen. Den personal i anställningsförhållande för viss tid som arbetar med dessa uppgifter överförs till tjänsteförhållande för viss tid vid Befolkningsregistercentralen för den tid deras anställningsförhållande varar. En person i arbetsavtalsförhållande får överföras utan eget samtycke, om överföringen sker inom eller till personens pendlingsregion. Med pendlingsregion avses ett område enligt 1 kap. 9 § i lagen om utkomstskydd för arbetslösa (1290/2002).

En anställd får utan iakttagande av den uppsägningstid som annars tillämpas på anställningsförhållandet eller oavsett uppsägningstidens längd säga upp sitt arbetsavtal så att det upphör vid tidpunkten för överföringen, om Statens center för informations- och kommunikationsteknik eller Befolkningsregistercentralen har underrättat den anställda om överföringen senast en månad före tidpunkten för överföringen. Om den anställda har underrättats om överföringen senare, får han eller hon säga upp sitt arbetsavtal så att det upphör vid tidpunkten för överföringen eller därefter, dock senast inom en månad från underrättelsen. Vid fastställandet av de förmåner som gäller i anställningsförhållandet anses anställningsförhållandet för de personer som överförs ha fortgått oavbrutet hos staten.

Bestämmelser om ställningen för den personal i tjänsteförhållande som sköter de i 27 § 3–5 mom. avsedda uppgifter som överförs finns i 2 kap. i statstjänstemannalagen (750/1994).

29 §
Övergångsbestämmelse som gäller användningsskyldigheten

En användarorganisation som omfattas av användningsskyldigheten ska

1) beskriva uppgifterna om sina tjänster i servicedatalagret och införa sina registeruppgifter i servicevyn senast den 1 juli 2017,

2) ta i bruk tjänsten för identifiering av fysiska personer och den samlade förvaltningstjänsten för internetbetalning senast den 1 januari 2018,

3) ta i bruk meddelandeförmedlingstjänsten senast den 1 juli 2017.

Privata sammanslutningars, stiftelsers och näringsidkares rätt att använda servicedatalagret för tillhandahållande av uppgifter som gäller deras tjänster träder i kraft när hanteringsmodellerna för åtkomsträttigheter till servicedatalagret i fråga om privata sammanslutningar och näringsidkare är klara, senast den 1 juli 2017.

30 §
Övergångsbestämmelse som gäller avtal och andra förbindelser samt anhängiga ärenden

När uppgifter och funktioner överförs till Befolkningsregistercentralen överförs också de avtal och förbindelser som hänför sig till dessa uppgifter och funktioner, liksom därmed anknutna rättigheter och skyldigheter, samt anhängiga ärenden.

RP 59/2016, FvU 13/2016, RSv 93/2016

Finlex ® är en offentlig och gratis internettjänst för rättsligt material som ägs av justitieministeriet.
Innehållet i Finlex produceras och upprätthålls av Edita Publishing Ab. Varken justitieministeriet eller Edita svarar för eventuella fel i innehållet i databaserna, för den omedelbara eller medelbara skada som orsakas av att felaktig information används eller för avbrott i användningen av eller andra störningar i Internet.