1009/2018

Helsingissä 23 päivänä marraskuuta 2018

Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain (617/2009) 2, 7 b, 10, 12, 12 a, 16, 17, 29–38, 42, 42 a, 43–45, 45 a, 46, 47, 49 ja 49 a §,

sellaisina kuin niistä ovat 2, 7 b, 16, 29–38, 42, 42 a, 45 a, 46, 49 ja 49 a § laissa 533/2016, 10 ja 47 § laeissa 533/2016 ja 816/2017, 12 a § laissa 139/2015, 17 § laeissa 139/2015, 533/2016 ja 816/2017, 43 ja 45 § osaksi laissa 533/2016, 44 § osaksi laeissa 664/2012 ja 533/2016, seuraavasti:

2 §
Määritelmät

Tässä laissa tarkoitetaan:

1) vahvalla sähköisellä tunnistamisella sellaista henkilön, oikeushenkilön tai oikeushenkilöä edustavan luonnollisen henkilön yksilöimistä ja tunnisteen aitouden ja oikeellisuuden todentamista sähköistä menetelmää käyttäen, joka täyttää sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 8 artiklan 2 kohdan b alakohdassa tarkoitetun korotetun varmuustason tai mainitun kohdan c alakohdassa tarkoitetun korkean varmuustason vaatimukset;

2) tunnistusvälineellä sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 3 artiklan 2 kohdassa tarkoitettua sähköisen tunnistamisen menetelmää;

3) tunnistuspalvelun tarjoajalla tunnistusvälityspalvelun tarjoajaa tai tunnistusvälineen tarjoajaa; 

4) tunnistusvälineen tarjoajalla palveluntarjoajaa, joka tarjoaa tai laskee liikkeelle vahvan sähköisen tunnistamisen tunnistusvälineitä yleisölle sekä tarjoaa tunnistusvälinettään tunnistusvälityspalvelun tarjoajalle välitettäväksi luottamusverkostossa;

5) tunnistusvälityspalvelun tarjoajalla palveluntarjoajaa, joka välittää vahvan sähköisen tunnistamisen tunnistustapahtumia sähköiseen tunnistukseen luottavalle osapuolelle;

6) tunnistusvälineen haltijalla luonnollista henkilöä ja oikeushenkilöä, jolle tunnistuspalvelun tarjoaja on sopimukseen perustuen antanut tunnistusvälineen;

7) ensitunnistamisella tunnistusvälineen hakijan henkilöllisyyden todentamista välineen hankkimisen yhteydessä;

8) varmenteella sähköistä todistusta, joka todentaa henkilöllisyyden tai todentaa henkilöllisyyden ja liittää luottamuspalvelun todentamistiedot luottamuspalvelun käyttäjään ja jota voidaan käyttää vahvassa sähköisessä tunnistamisessa ja luottamuspalveluissa;

9) varmentajalla luonnollista henkilöä tai oikeushenkilöä, joka tarjoaa varmenteita yleisölle;

10) luottamusverkostolla Liikenne- ja viestintäviraston ilmoituksen tehneiden tunnistuspalvelun tarjoajien verkostoa;

11) vaatimustenmukaisuuden arviointilaitoksella Liikenne- ja viestintäviraston hyväksymää tuotteiden kaupan pitämiseen liittyvää akkreditointia ja markkinavalvontaa koskevista vaatimuksista ja neuvoston asetuksen (ETY) N:o 339/93 kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 765/2008 2 artiklan 13 kohdassa tarkoitettua elintä, joka on akkreditoitu mainitun asetuksen mukaisesti.

Tässä laissa sähköisellä allekirjoituksella, luottamuspalvelulla, kehittyneellä sähköisellä allekirjoituksella, sähköisen tunnistamisen järjestelmällä sekä luottavalla osapuolella tarkoitetaan samaa kuin sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 3 artiklassa.

7 b §
Tieto passin tai henkilökortin voimassaolosta

Tunnistuspalvelun tarjoajalla on oikeus saada salassapitosäännösten estämättä rajapinnan kautta tai muutoin sähköisesti poliisin tietojärjestelmässä oleva tieto ensitunnistamisessa käytettävän passin tai henkilökortin voimassaolosta.

10 §
Tunnistuspalvelun tarjoajan velvollisuus ilmoittaa toiminnan aloittamisesta

Suomeen sijoittautuneen tunnistuspalvelun tarjoajan on ennen toimintansa aloittamista tehtävä kirjallinen ilmoitus Liikenne- ja viestintävirastolle. Ilmoituksen voi tehdä myös sellainen tunnistuspalvelun tarjoajien yhteenliittymä, jonka hallinnoimaa palvelua on pidettävä yhtenä tunnistuspalveluna.

Ilmoituksessa on oltava:

1) palveluntarjoajan nimi;

2) palveluntarjoajan täydelliset yhteystiedot;

3) tiedot tarjottavista palveluista;

4) selvitykset hakijaa ja hakijan toimintaa koskevien 8, 8 a, 9, 13 ja 14 §:ssä säädettyjen vaatimusten täyttymisestä;

5) vaatimustenmukaisuuden arviointilaitoksen, muun ulkoisen arviointilaitoksen taikka sisäisen tarkastuslaitoksen laatima tarkastuskertomus riippumattomasta arvioinnista 29 §:n mukaisesti;

6) muut valvonnan kannalta tarpeelliset tiedot.

Tunnistuspalvelun tarjoajan on viipymättä ilmoitettava 2 momentissa tarkoitetuissa tiedoissa tapahtuneista muutoksista kirjallisesti Liikenne- ja viestintävirastolle. Ilmoitus on tehtävä myös toiminnan lopettamisesta sekä toimintojen siirtymisestä toiselle palveluntarjoajalle.

12 §
Tunnistuspalvelun tarjoajia koskeva rekisteri

Liikenne- ja viestintävirasto ylläpitää julkista rekisteriä 10 §:n mukaisen ilmoituksen tehneistä tunnistuspalvelun tarjoajista ja niiden tarjoamista palveluista.

Liikenne- ja viestintävirasto on 10 §:ssä tarkoitetun ilmoituksen saatuaan kiellettävä palveluntarjoajaa tarjoamasta palveluaan vahvana sähköisenä tunnistamisena, jos palvelu tai palveluntarjoaja ei täytä tässä luvussa asetettuja vaatimuksia. Jos puutteellisuutta voidaan pitää ainoastaan vähäisenä, Liikenne- ja viestintävirasto voi kehottaa palveluntarjoajaa korjaamaan puutteellisuuden määräajassa.

12 a §
Tunnistuspalvelun tarjoajien verkosto

Tunnistuspalvelun tarjoajan tehdessä 10 §:n mukaisen ilmoituksen Liikenne- ja viestintävirastoon, tunnistuspalvelun tarjoaja liittyy osaksi luottamusverkostoa.

Luottamusverkostoon kuuluvan tunnistuspalvelun tarjoajan on noudatettava sellaisia hallinnollisia käytäntöjä, jotka mahdollistavat tunnistuspalveluita tarjoavien ja niitä hyödyntävien sähköisten palveluntarjoajien tarjoamien palveluiden yhteentoimivuuden sekä tarjottava tekniset rajapinnat, jotka luovat edellytykset tunnistuspalveluita tarjoavien ja niitä hyödyntävien toimijoiden väliselle toiminnalle.

Sähköisen tunnistuspalvelun tarjoajan lähettäessä sähköiseen tunnistusvälineeseen liittyvää tietoa toiselle sähköisen tunnistuspalvelun tarjoajalle edelleen välitettäväksi, välitettävästä tunnistetiedosta tulee suorittaa lähettäjälle korvaus. Välitettävästä tunnistetiedosta perittävä korvaus voi olla enintään 10 senttiä. Korvauksen tasoa tullaan arvioimaan vuosittain.

Tunnistuspalvelun tarjoajat vastaavat yhteistyössä teknisten rajapintojen ja hallinnollisten käytäntöjen yhteentoimivuudesta.

Luottamusverkoston hallinnollisista käytännöistä, teknisistä rajapinnoista ja hallinnollisista vastuista annetaan tarkempia säännöksiä valtioneuvoston asetuksella.

16 §
Tunnistuspalvelun tarjoajan velvollisuus ilmoittaa toimintaan ja tietojen suojaamiseen kohdistuvista uhkista tai häiriöistä

Tunnistuspalvelun tarjoajan on salassapitosäännösten estämättä ilmoitettava ilman aiheetonta viivästystä tunnistuspalveluunsa luottaville osapuolille, tunnistusvälineiden haltijoille, muille luottamusverkostossa toimiville sopimuspuolilleen sekä Liikenne- ja viestintävirastolle palvelun toimivuuteen, tietoturvaan tai sähköisen henkilöllisyyden käyttöön kohdistuvista merkittävistä uhkista tai häiriöistä. Liikenne- ja viestintävirasto voi teknisesti välittää tietoja luottamusverkostossa osapuolten välillä ilmoittajan lukuun sen estämättä, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) säädetään.

Edellä 1 momentissa tarkoitetussa ilmoituksessa on kerrottava niistä toimista, joita eri tahoilla on käytettävissään uhkien tai häiriöiden torjumiseksi sekä näistä toimenpiteistä aiheutuvista arvioiduista kustannuksista.

Tunnistuspalvelun tarjoaja saa käyttää tämän pykälän nojalla saatuja toista tunnistuspalvelun tarjoajaa koskevia tietoja vain tässä pykälässä tarkoitettuihin uhkiin tai häiriöihin varautumiseen sekä häiriötilanteiden selvittämiseen. Tietoja saavat tunnistuspalvelun tarjoajan palveluksessa käsitellä ainoastaan ne, jotka tarvitsevat tietoja välttämättä työssään. Tietoja on muutoinkin käsiteltävä siten, ettei toisen tunnistuspalvelun tarjoajan liikesalaisuuksia vaaranneta.

Tunnistuspalvelun tarjoaja, joka aiheuttaa 4 momentin vastaisella menettelyllä vahinkoa toiselle tunnistuspalvelun tarjoajalle, on velvollinen korvaamaan menettelystään aiheutuvan vahingon.

17 §
Tunnistusvälineen hakijana olevan luonnollisen henkilön tunnistaminen

Ensitunnistamisessa luonnollisen henkilön tunnistaminen tulee tehdä henkilökohtaisesti tai sähköisesti siten, että sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.1.2 korotetulle tai korkealle varmuustasolle säädetyt vaatimukset täyttyvät. Henkilön henkilöllisyyden varmentaminen voi perustua viranomaisen myöntämään henkilöllisyyttä osoittavaan asiakirjaan tai tässä laissa tarkoitettuun vahvaan sähköiseen tunnistusvälineeseen. Lisäksi henkilöllisyyden varmentaminen voi perustua julkisen tai yksityisen tahon aiemmin muuhun tarkoitukseen kuin vahvan sähköisen tunnistusvälineen myöntämiseen käyttämään menettelyyn, jonka Liikenne- ja viestintävirasto hyväksyy menettelyä koskevien säännösten ja viranomaisvalvonnan perusteella tai 28 §:n 1 kohdassa tarkoitetun vaatimustenmukaisuuden arviointilaitoksen vahvistuksen perusteella.

Ensitunnistamisessa, joka perustuu yksinomaan viranomaisen myöntämään henkilöllisyyttä osoittavaan asiakirjaan, hyväksyttäviä asiakirjoja ovat voimassa oleva Euroopan talousalueen jäsenvaltion, Sveitsin tai San Marinon viranomaisen myöntämä passi tai henkilökortti. Halutessaan tunnistusvälineen tarjoaja voi käyttää henkilöllisyyden varmentamisessa myös muun valtion viranomaisen myöntämää voimassa olevaa passia.

Jos tunnistusvälineen hakijan henkilöllisyyttä ei voida luotettavasti todentaa, hakemukseen liittyvän ensitunnistamisen tekee poliisi. Poliisin tekemästä ensitunnistamisesta tunnistusvälineen hakijalle aiheutuva kustannus on julkisoikeudellinen suorite. Suoritteen maksullisuudesta säädetään valtion maksuperustelaissa.

Olemassa olevan vahvan sähköisen tunnistusvälineen avulla on voitava hakea vastaavan tasoista sähköistä tunnistusvälinettä. Aiempaan tunnistukseen luottava vahvan sähköisen tunnistuspalvelun tarjoaja vastaa mahdollisesta tunnistuksen virheellisyydestä suhteessa vahingon kärsineeseen.

Kun tunnistusvälineen tarjoaja lähettää tiedon tekemästään ensitunnistamisesta toiselle tunnistusvälineen tarjoajalle, jotta tämä voisi myöntää sähköisen tunnistusvälineen, se saa periä oikeudenmukaisen ja kohtuullisen korvauksen.

Oikeudenmukainen ja kohtuullinen korvaus perustuu Suomessa toimivien tunnistusvälineen tarjoajien perimien ensitunnistamistietojen hintojen mediaaniin.

Liikenne- ja viestintävirasto antaa päätöksen 6 momentissa tarkoitetun oikeudenmukaisen ja kohtuullisen korvauksen enimmäistasosta sentin tarkkuudella siten, että se laskee vuosittain 25 prosenttia mutta on kuitenkin vähintään 35 senttiä ja enintään 5 euroa.

29 §
Sähköisen tunnistuspalvelun vaatimustenmukaisuuden arviointi

Tunnistuspalvelun tarjoajan on määräajoin teetettävä palvelulleen 28 §:ssä mainitun arviointielimen arviointi siitä, täyttääkö tunnistuspalvelu tässä laissa säädetyt yhteentoimivuutta, tietoturvaa, tietosuojaa ja muuta luotettavuutta koskevat vaatimukset.

Euroopan komissiolle ilmoitettavan sähköisen tunnistamisen järjestelmän vaatimustenmukaisuuden arvioinnista säädetään sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa sekä sähköisen tunnistamisen varmuustasoasetuksessa.

Liikenne- ja viestintäviraston oikeudesta antaa tarkempia määräyksiä tunnistuspalvelun vaatimustenmukaisuuden arvioinnissa käytettävistä arviointiperusteista säädetään 42 §:ssä. Liikenne- ja viestintävirasto voi määrätä arviointiperusteeksi edellä 1 ja 2 momenteissa tarkoitettujen säädösten lisäksi Euroopan unionin tai muun kansainvälisen toimielimen antamia säännöksiä tai ohjeita, julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta koskevia ohjeita ja yleisesti käytettyjä tietoturvallisuusstandardeja tai menettelyjä.

30 §
Sähköisen tunnistamisen kansallisen solmupisteen vaatimustenmukaisuuden arviointi

EU:n sähköisen tunnistamisen yhteentoimivuusjärjestelmään liittyvän kansallisen rajapinnan (kansallinen solmupiste) vaatimustenmukaisuus on osoitettava vaatimustenmukaisuuden arviointilaitoksen tai muun ulkoisen arviointilaitoksen tekemällä arvioinnilla.

Kansallisen solmupisteen vaatimuksista säädetään yhteentoimivuusjärjestelmän vahvistamisesta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 12 artiklan 8 kohdan mukaisesti annetussa komission täytäntöönpanoasetuksessa (EU) 2015/1501. Liikenne- ja viestintäviraston oikeudesta antaa tarkempia määräyksiä kansallisen solmupisteen vaatimustenmukaisuuden arvioinnissa käytettävistä arviointiperusteista säädetään 42 §:ssä.

31 §
Tarkastuskertomus

Tunnistuspalvelun tarjoajan ja Väestörekisterikeskuksen on hankittava vaatimustenmukaisuuden arvioinnista tarkastuskertomus, joka toimitetaan Liikenne- ja viestintävirastolle.

Tarkastuskertomus on voimassa arvioinnissa käytetyn standardin määrittelemän ajan, kuitenkin enintään 2 vuotta.

32 §
Luottamuspalvelun vaatimustenmukaisuuden vahvistaminen

Vaatimustenmukaisuuden arviointilaitos tarkastaa hyväksytyn luottamuspalvelun tarjoajan ja hyväksytyn luottamuspalvelun vaatimustenmukaisuuden noudattaen, mitä siitä sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa säädetään.

Liikenne- ja viestintäviraston oikeudesta antaa tarkempia määräyksiä vaatimustenmukaisuuden arvioinnissa käytettävistä arviointiperusteista säädetään 42 §:ssä. Liikenne- ja viestintävirasto voi määrätä arviointiperusteeksi Euroopan unionin tai muun kansainvälisen toimielimen antamia säännöksiä tai ohjeita, julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta koskevia ohjeita ja yleisesti käytettyjä tietoturvallisuusstandardeja tai menettelyjä.

33 §
Arviointielintä koskevat yleiset vaatimukset

Edellä 28 §:ssä mainittuja arviointielimiä koskevat seuraavat pätevyysvaatimukset:

1) se on toiminnallisesti ja taloudellisesti riippumaton arvioinnin kohteista;

2) sen henkilökunnalla on hyvä tekninen ja ammatillinen koulutus sekä riittävän laaja-alainen kokemus arviointitoimintaan kuuluvissa tehtävissä;

3) sillä on arviointitoiminnan edellyttämät laitteet, tilat, välineet ja järjestelmät;

4) sillä on asianmukaiset ohjeet toimintaansa ja sen seurantaa varten.

Liikenne- ja viestintäviraston oikeudesta antaa tarkempia määräyksiä 1 momentissa säädetyistä vaatimuksista säädetään 42 §:ssä.

Vaatimustenmukaisuuden arviointilaitoksen on osoitettava 1 momentin 1–3 kohdassa säädettyjen vaatimusten täyttyminen kansallisen akkreditointiyksikön akkreditoinnilla noudattaen, mitä siitä tuotteiden kaupan pitämiseen liittyvää akkreditointia ja markkinavalvontaa koskevista vaatimuksista ja neuvoston asetuksen (ETY) N:o 339/93 kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 765/2008 ja vaatimustenmukaisuuden arviointipalvelujen pätevyyden toteamisesta annetussa laissa (920/2005) säädetään.

Tunnistuspalvelun tarjoajan on esitettävä 10 §:ssä säädetyssä ilmoituksessa selvitys siitä, että sen vaatimustenmukaisuuden arvioinut muu ulkoinen arviointilaitos tai sisäinen tarkastuslaitos täyttää 1 momentissa säädetyt vaatimukset. Edellä 1 momentin 1–3 kohdassa säädettyjen vaatimusten täyttäminen on osoitettava 3 momentissa tarkoitetulla akkreditoinnilla tai muulla yleisesti käytettyyn standardiin perustuvalla riippumattomalla menettelyllä.

Ulkomaisen akkreditointiyksikön antama akkreditointi vastaa 3 ja 4 momentissa tarkoitettua akkreditointipäätöstä.

34 §
Vaatimustenmukaisuuden arviointilaitoksen hyväksyminen

Vaatimustenmukaisuuden arviointilaitoksen hyväksyy Liikenne- ja viestintävirasto. Arviointilaitos voidaan hyväksyä määräajaksi, jos siihen on erityinen syy. Liikenne- ja viestintävirasto voi hyväksymistä koskevaan päätökseen sisällyttää arviointilaitoksen pätevyysaluetta ja valvontaa sekä toimintaa koskevia rajoituksia ja ehtoja.

35 §
Hakemus vaatimustenmukaisuuden arviointilaitokseksi

Vaatimustenmukaisuuden arviointilaitos hyväksytään hakemuksen perusteella. Hakemukseen on liitettävä hakijaa ja sen toimintaa koskevat tiedot, joiden perusteella voidaan arvioida 33 §:ssä tarkoitettujen vaatimusten täyttyminen.

Liikenne- ja viestintävirasto voi hakemusta käsiteltäessä hankkia lausuntoja sekä antaa hakemuksen ja siinä esitettyjen tietojen arvioimisen ulkopuolisille asiantuntijoille.

36 §
Hyväksytyn sähköisen allekirjoituksen ja sähköisen leiman luontivälineen sertifiointi

Liikenne- ja viestintävirasto voi hakemuksesta nimetä sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 30 artiklassa ja 39 artiklan 2 kohdassa tarkoitettuja yksityisiä tai julkisia sertifiointilaitoksia, joiden tehtävänä on sertifioida hyväksytyn sähköisen allekirjoituksen tai hyväksytyn sähköisen leiman luontivälineitä. Sertifiointilaitos voidaan nimetä määräajaksi. Hakemuksessa on esitettävä Liikenne- ja viestintäviraston pyytämät hakemuksen käsittelemiseksi tarpeelliset tiedot.

Sertifiointilaitoksen tulee olla toiminnallisesti ja taloudellisesti sähköisen allekirjoituksen ja sähköisen leiman luontivälineiden valmistajista riippumaton. Sillä tulee olla toiminnan laajuuden kannalta riittävä vastuuvakuutus tai muu vastaava järjestely ja käytössään riittävästi ammattitaitoista henkilöstöä sekä toiminnan edellyttämät järjestelmät, laitteet ja välineet.

37 §
Vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen toiminta

Vaatimustenmukaisuuden arviointilaitos ja sertifiointilaitos voivat tehtävässään käyttää apunaan organisaation ulkopuolisia henkilöitä. Arviointilaitos ja sertifiointilaitos vastaavat myös apunaan käyttämiensä henkilöiden työstä.

Vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen on tässä laissa tarkoitettuja julkisia hallintotehtäviä hoitaessaan noudatettava, mitä hallintolaissa (434/2003), viranomaisten toiminnan julkisuudesta annetussa laissa, sähköisestä asioinnista viranomaistoiminnassa annetussa laissa (13/2003), kielilaissa (423/2003) sekä saamen kielilaissa (1086/2003) säädetään. Vaatimustenmukaisuuden arviointilaitoksen tai sertifiointilaitoksen taikka niiden käyttämän tytäryhtiön tai alihankkijan henkilöstöön sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä tässä pykälässä tarkoitettuja tehtäviä hoidettaessa. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974).

Vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen on ilmoitettava Liikenne- ja viestintävirastolle kaikista muutoksista, joilla on vaikutusta hyväksymisen tai nimeämisen edellytysten täyttymiseen.

38 §
Vaatimustenmukaisuuden arviointilaitoksen hyväksymisen tai sertifiointilaitoksen nimeämisen peruuttaminen

Jos Liikenne- ja viestintävirasto toteaa, että vaatimustenmukaisuuden arviointilaitos tai sertifiointilaitos ei täytä sille säädettyjä edellytyksiä tai toimii olennaisesti säännösten vastaisesti, Liikenne- ja viestintäviraston on asetettava sille riittävä määräaika asian korjaamiseksi.

Liikenne- ja viestintävirasto voi peruuttaa arviointilaitoksen hyväksymisen tai sertifiointilaitoksen nimeämisen, jos arviointilaitos tai sertifiointilaitos ei ole korjannut toimintaansa 1 momentin nojalla asetetussa määräajassa ja kyseessä on olennainen rikkomus tai laiminlyönti.

42 §
Yleinen ohjaus sekä Liikenne- ja viestintäviraston määräykset

Vahvan sähköisen tunnistamisen ja sähköisten luottamuspalveluiden yleinen ohjaus ja kehittäminen kuuluvat liikenne- ja viestintäministeriölle.

Liikenne- ja viestintävirasto voi antaa tarkempia määräyksiä:

1) tunnistusjärjestelmän 8 §:n 1 momentin 4 ja 5 kohdan mukaisista turvallisuutta ja luotettavuutta koskevista vaatimuksista;

2) 10 §:ssä tarkoitettujen ilmoitettavien tietojen sisällöstä ja niiden toimittamisesta Liikenne- ja viestintävirastolle;

3) 12 a §:n 2 momentissa tarkoitetuista luottamusverkoston rajapintojen ominaisuuksista;

4) siitä, milloin 16 §:ssä tarkoitettu häiriö on merkittävä sekä 16 §:n 1 momentissa tarkoitetun ilmoituksen sisällöstä, muodosta ja toimittamisesta;

5) 29, 30 ja 32 §:ssä tarkoitetuista arvioitavan tunnistus- tai luottamuspalvelun sekä kansallisen solmupisteen vaatimustenmukaisuuden arviointiperusteista;

6) 33 §:ssä säädetyistä vaatimustenmukaisuuden arviointielimen pätevyysvaatimuksista ottaen huomioon, mitä sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa säädetään;

7) 35 §:ssä tarkoitettuun hakemukseen sisällytettävistä tiedoista ja niiden toimittamisesta Liikenne- ja viestintävirastolle;

8) 36 §:ssä tarkoitettua sertifiointilaitosta koskevista vaatimuksista, sertifioinnissa noudatettavasta menettelystä sekä sähköisen allekirjoituksen ja leiman luontivälinettä koskevista vaatimuksista ottaen huomioon, mitä sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa säädetään.

42 a §
Liikenne- ja viestintäviraston tehtävät

Liikenne- ja viestintäviraston tehtävänä on valvoa tämän lain noudattamista, jollei tässä laissa muuta säädetä.

Liikenne- ja viestintäviraston tehtävänä on sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen mukaisesti:

1) osallistua Euroopan unionin jäsenvaltioiden väliseen yhteistyöhön asetuksen 12 artiklassa tarkoitetussa sähköisen tunnistamisen yhteentoimivuusjärjestelmässä ja sitä varten perustetussa yhteistyöverkostossa;

2) ilmoittaa sähköisen tunnistamisen järjestelmiä Euroopan komissiolle asetuksen 7–10 artiklan mukaisesti;

3) toimia asetuksen 17 artiklassa tarkoitettuna valvontaelimenä ja hoitaa sille asetuksessa säädettyjä tehtäviä;

4) ylläpitää ja julkaista luetteloita Suomessa hyväksytyistä luottamuspalveluiden tarjoajista ja niiden tarjoamista hyväksytyistä luottamuspalveluista asetuksen 22 artiklan mukaisesti.

Liikenne- ja viestintäviraston ratkaisuvaltaan eivät kuulu osapuolten välistä sopimussuhdetta tai korvausvastuuta koskevat asiat.

43 §
Tiedonsaantioikeus

Liikenne- ja viestintävirastolla on tämän lain mukaisia tehtäviä suorittaessaan oikeus salassapitosäännösten estämättä saada tehtäviensä suorittamiseksi tarvittavat tiedot niiltä, joiden oikeuksista ja velvollisuuksista tässä laissa säädetään ja jotka toimivat näiden lukuun.

Tietosuojavaltuutetulla on tehtäväänsä suorittaessaan luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (jäljempänä yleinen tietosuoja-asetus) tarkoitetut tiedonsaantioikeudet.

44 §
Viranomaisten välinen yhteistyö ja oikeus luovuttaa tietoja

Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa säädetään, Liikenne- ja viestintävirastolla ja tietosuojavaltuutetulla on oikeus luovuttaa salassapitosäännösten tai muiden tietojen luovuttamista koskevien rajoitusten estämättä Finanssivalvonnalle ja Kilpailu- ja kuluttajavirastolle sellaisia tietoja, jotka ovat tarpeen niiden tehtävien suorittamiseksi. Finanssivalvonnalla ja Kilpailu- ja kuluttajavirastolla on vastaava oikeus luovuttaa salassapitosäännösten estämättä Liikenne- ja viestintävirastolle ja tietosuojavaltuutetulle tietoja, jotka ovat tarpeen niiden tässä laissa säädettyjen tehtävien suorittamiseksi.

Liikenne- ja viestintäviraston ja tietosuojavaltuutetun on tämän lain mukaisia tehtäviä hoitaessaan toimittava tarvittaessa tarkoituksenmukaisessa yhteistyössä Finanssivalvonnan ja Kilpailu- ja kuluttajaviraston kanssa sekä keskenään.

45 §
Hallintopakkokeinot

Liikenne- ja viestintävirasto voi antaa huomautuksen sille, joka rikkoo tätä lakia tai sen nojalla annettuja säännöksiä, määräyksiä tai päätöksiä taikka sähköisestä tunnistamisesta ja luottamuspalveluista annettua EU:n asetusta tai sen nojalla annettuja säännöksiä, sekä velvoittaa tämän korjaamaan virheensä tai laiminlyöntinsä kohtuullisessa määräajassa. Päätöksen tehosteeksi voidaan asettaa uhkasakko tai uhka, että toiminta keskeytetään osaksi tai kokonaan taikka että tekemättä jätetty toimenpide teetetään asianomaisen kustannuksella. Uhkasakosta, keskeyttämisuhasta ja teettämisuhasta säädetään uhkasakkolaissa (1113/1990).

Teettämällä suoritetun toimenpiteen kustannukset suoritetaan valtion varoista ja peritään laiminlyöjältä siinä järjestyksessä kuin verojen ja maksujen täytäntöönpanosta annetussa laissa (706/2007) säädetään.

45 a §
Väliaikainen päätös

Jos sähköisestä tunnistamisesta ja luottamuspalveluista annettua EU:n asetusta, tätä lakia taikka niiden nojalla annettua säännöstä tai määräystä koskeva virhe tai laiminlyönti taikka tietoturvahäiriö vaarantaa välittömästi ja olennaisesti tunnistus- tai luottamuspalvelun luotettavuuden, Liikenne- ja viestintävirasto voi viipymättä päättää tarvittavista väliaikaisista toimista 45 §:ssä säädetystä määräajasta riippumatta.

Liikenne- ja viestintäviraston on ennen väliaikaisia toimia koskevan päätöksen antamista varattava sen kohteena olevalle tilaisuus tulla kuulluksi, paitsi jos kuulemista ei voida toimittaa niin nopeasti kuin asian kiireellisyys välttämättä vaatii.

Väliaikaisena toimena Liikenne- ja viestintävirasto voi kieltää tai keskeyttää:

1) tunnistusmenetelmän tarjoamisen vahvana sähköisenä tunnistamisena;

2) sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 3 artiklan 17 kohdassa tarkoitetun hyväksytyn luottamuspalvelun tarjoamisen;

3) sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 9 artiklan 1 kohdan mukaisesti ilmoitetun sähköisen tunnistamisen järjestelmän tarjoamisen;

4) sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 7 artiklan f kohdassa tarkoitetun todentamisen tarjoamisen.

Väliaikaiset toimet voivat olla voimassa enintään kolme kuukautta. Väliaikaisia toimia koskevaan päätökseen saa hakea muutosta erikseen samalla tavoin kuin 45 §:n 1 momentissa tarkoitettuun päätökseen.

46 §
Tarkastusoikeus

Liikenne- ja viestintävirastolla on oikeus tehdä tunnistuspalvelun tarjoajaa ja sen tarjoamaa palvelua, 28 §:ssä tarkoitettua arviointielintä, 36 §:ssä tarkoitettua hyväksytyn sähköisen allekirjoituksen ja sähköisen leiman luontivälineen sertifiointilaitosta ja niiden toimintaa, hyväksyttyjä varmenteita tarjoavaa varmentajaa sekä luottamuspalvelun tarjoajan ja niiden palvelua koskeva tarkastus. Tarkastus voidaan tehdä tässä laissa tai sähköistä tunnistamista ja luottamuspalveluista annetussa EU:n asetuksessa taikka niiden nojalla annetuissa säännöksissä, määräyksissä ja päätöksissä asetettujen velvoitteiden valvomiseksi. Tarkastuksesta säädetään hallintolain 39 §:ssä.

Liikenne- ja viestintävirasto määrää tarkastajan toimittamaan 1 momentissa tarkoitetun tarkastuksen. Tarkastusta toimittavalla henkilöllä on oikeus tutkia sellaiset tunnistuspalvelun tarjoajan, hyväksyttyjä varmenteita tarjoavan varmentajan ja luottamuspalvelun tarjoajan tai niiden apunaan käyttämien henkilöiden laitteet ja ohjelmistot, joilla voi olla merkitystä tämän lain tai sen nojalla annettujen säännösten tai määräysten noudattamisen valvonnassa.

Tunnistuspalvelun tarjoajien, hyväksyttyjä varmenteita tarjoavien varmentajien ja luottamuspalvelun tarjoajien tai niiden apunaan käyttämien henkilöiden on tarkastusta varten päästettävä 2 momentissa tarkoitettu tarkastaja muihin kuin pysyväisluonteiseen asumiseen tarkoitettuihin tiloihin.

47 §
Liikenne- ja viestintävirastolle maksettavat maksut

Kun 10 §:ssä tarkoitetun ilmoituksen tehnyt tunnistuspalvelun tarjoaja tai palveluntarjoajien yhteenliittymä rekisteröidään ensimmäisen kerran, sen on suoritettava Liikenne- ja viestintävirastolle 5 000 euron rekisteröimismaksu. Lisäksi tunnistuspalvelun tarjoajan tai yhteenliittymän on suoritettava Liikenne- ja viestintävirastolle vuosittain yhteensä 14 000 euron valvontamaksu kaikkien tarjoamiensa tunnistuspalveluiden valvonnasta.

Sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 21 artiklassa tarkoitetun ilmoituksen tehneen hyväksytyn luottamuspalvelun tarjoajan ja hyväksyttyä luottamuspalvelua tarjoavan varmentajan on suoritettava Liikenne- ja viestintävirastolle 5 000 euron rekisteröimismaksu kustakin tarjoamastaan luottamuspalvelusta. Lisäksi edellä mainittujen on suoritettava Liikenne- ja viestintävirastolle vuosittain 14 000 euron valvontamaksu ensimmäisestä tarjoamastaan hyväksytystä luottamuspalvelusta ja sitä seuraavista tarjoamistaan hyväksytyistä luottamuspalveluista vuosittain 9 000 euroa. Jos hyväksyttyjä luottamuspalveluja tarjoava varmentaja tekee myös 10 §:ssä tarkoitetun ilmoituksen, sen on lisäksi suoritettava 1 momentissa tarkoitettu rekisteröimismaksu.

Edellä 34 §:n mukaisesti hyväksytyn vaatimustenmukaisuuden arviointilaitoksen on suoritettava Liikenne- ja viestintävirastolle 10 000 euron nimeämismaksu. Lisäksi arviointilaitoksen on suoritettava Liikenne- ja viestintävirastolle vuosittain 15 000 euron valvontamaksu.

Edellä 36 §:n mukaisesti nimetyn sertifiointilaitoksen on suoritettava Liikenne- ja viestintävirastolle 10 000 euron nimeämismaksu. Lisäksi sertifiointilaitoksen on suoritettava vuosittain 15 000 euron valvontamaksu.

Rekisteröimismaksu, nimeämismaksu ja valvontamaksu kattavat niitä kustannuksia, joita aiheutuu Liikenne- ja viestintävirastolle tässä laissa säädettyjen tehtävien hoitamisesta 46 §:n 1 momentissa tarkoitettuja tehtäviä lukuun ottamatta. Valvontamaksu on suoritettava täysimääräisesti myös toiminnan ensimmäisenä vuotena, vaikka toiminta aloitettaisiin kesken vuotta. Valvontamaksua ei palauteta, vaikka palveluntarjoaja lopettaisi toimintansa kesken vuotta.

Rekisteröimismaksun, nimeämismaksun ja valvontamaksun määrää maksettavaksi Liikenne- ja viestintävirasto ja ne ovat suoraan ulosottokelpoisia. Liikenne- ja viestintäviraston maksun määräämistä koskevaan päätökseen saa hakea muutosta siten kuin 49 §:n 1 momentissa säädetään. Tarkempia säännöksiä maksujen täytäntöönpanosta voidaan antaa liikenne- ja viestintäministeriön asetuksella.

Rekisteröimismaksun, nimeämismaksun ja valvontamaksun perimisestä säädetään verojen ja maksujen täytäntöönpanosta annetussa laissa. Jollei maksuja suoriteta viimeistään eräpäivänä, maksamattomalle määrälle peritään vuotuista viivästyskorkoa korkolain (633/1982) 4 §:ssä tarkoitetun korkokannan mukaan. Viivästyskoron sijasta viranomainen voi periä viiden euron suuruisen viivästysmaksun, jos viivästyskoron määrä jää tätä pienemmäksi.

Edellä 46 §:n 1 momentissa tarkoitetusta tarkastuksesta peritään sen kohteena olevalta tarkastuksesta aiheutuneet kustannukset noudattaen valtion maksuperustelakia.

49 §
Muutoksenhaku viranomaisen päätökseen

Liikenne- ja viestintäviraston päätökseen, joka koskee 47 §:ssä tarkoitettua Liikenne- ja viestintävirastolle maksettavaa maksua, saa vaatia oikaisua siten kuin hallintolain 7 a luvussa säädetään.

Oikaisuvaatimuksesta annettuun Liikenne- ja viestintäviraston päätökseen sekä Liikenne- ja viestintäviraston muuhun kuin 1 momentissa tarkoitettuun päätökseen saa hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa (586/1996) säädetään.

Hallinto-oikeuden päätökseen vaatimustenmukaisuuden arviointilaitoksen hyväksymisen ja sertifiointilaitoksen nimeämisen peruuttamista koskevassa asiassa saa hakea muutosta valittamalla siten kuin hallintolainkäyttölaissa säädetään. Hallinto-oikeuden muuhun päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan.

Liikenne- ja viestintävirasto voi päätöksessään määrätä, että päätöstä on noudatettava ennen kuin se on saanut lainvoiman. Valitusviranomainen voi kuitenkin kieltää päätöksen täytäntöönpanon, kunnes valitus on ratkaistu.

49 a §
Muutoksenhaku vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen päätökseen

Vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen tämän lain nojalla tekemään päätökseen saa vaatia oikaisua Liikenne- ja viestintävirastolta siten kuin hallintolain 7 a luvussa säädetään.

Oikaisuvaatimuksesta annettuun päätökseen saa hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa säädetään. Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan.

Vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen päätöstä on muutoksenhausta huolimatta noudatettava, jollei muutoksenhakuviranomainen toisin määrää.


Tämän lain voimaantulosta säädetään erikseen lailla.

HE 61/2018
HE 104/2018
LiVM 21/2018
EV 102/2018

Helsingissä 23 päivänä marraskuuta 2018

Tasavallan Presidentti
Sauli Niinistö

Liikenne- ja viestintäministeri
Anne Berner

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.