617/2009

Tässä laissa säädetään vahvasta sähköisestä tunnistamisesta sekä tunnistuspalveluiden tarjoamisesta palveluntarjoajille, yleisölle ja toisille tunnistuspalvelun tarjoajille.

Tässä laissa säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014, jäljempänä sähköisestä tunnistamisesta ja luottamuspalveluista annettu EU:n asetus , säännösten noudattamisen valvonnasta ja annetaan mainittua asetusta täydentäviä säännöksiä. Tässä laissa säädetään lisäksi tunnistus- ja luottamuspalvelujen vaatimustenmukaisuuden arvioinnista.

Euroopan komissiolle ilmoitettaviin rajat ylittäviin tunnistusjärjestelmiin sovelletaan tätä lakia vain, jollei sähköisestä tunnistamisesta ja luottamuspalveluista annetusta EU:n asetuksesta muuta johdu.

Lakia ei sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Lakia ei sovelleta myöskään yhteisöön, joka käyttää omaa tunnistusmenetelmäänsä omien asiakkaidensa tunnistamiseen omissa palveluissaan.

Tässä laissa tarkoitetaan:

Tässä laissa sähköisellä allekirjoituksella, luottamuspalvelulla, kehittyneellä sähköisellä allekirjoituksella, sähköisen tunnistamisen järjestelmällä sekä luottavalla osapuolella tarkoitetaan samaa kuin sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 3 artiklassa.

Sopimusehto, joka poikkeaa tämän lain säännöksistä kuluttajan vahingoksi, on mitätön, jollei jäljempänä toisin säädetä.

Tunnistuspalvelun tarjoajien välinen sopimusehto, joka poikkeaa tämän lain säännöksistä, on mitätön. (29.3.2019/412)

4 § on kumottu L:lla 29.6.2016/533 .

5 § on kumottu L:lla 29.6.2016/533 .

Tunnistuspalvelun tarjoajan ja luottamuspalveluja tarjoavan varmentajan tulee tarkastaa hakijalta tämän henkilötunnus tarkastaessaan hakijan henkilöllisyyden.

Tunnistusvälineen tarjoajan ja luottamuspalvelua tarjoavan varmentajan on hankittava ja päivitettävä luonnollisen henkilön tunnistuspalvelun tarjoamiseksi tarvitsemansa tiedot väestötietojärjestelmästä. Tämän lisäksi tunnistuspalvelun tarjoajan on varmistettava, että sen tunnistuspalvelun tarjoamiseksi tarvitsemat tiedot ovat ajan tasalla väestötietojärjestelmän tietojen kanssa. (29.6.2016/533)

Väestötietojärjestelmästä luovutettava tieto on julkisoikeudellinen suorite. Suoritteen maksullisuudesta säädetään valtion maksuperustelaissa (150/1992) .

Tunnistusvälineen tarjoajan ja luottamuspalvelua tarjoavan varmentajan on hankittava ja päivitettävä oikeushenkilön tunnistuspalvelun tarjoamiseksi tarvitsemansa tiedot yritys- ja yhteisörekistereistä. Tämän lisäksi tunnistuspalvelun tarjoajan on varmistettava, että sen tunnistuspalvelun tarjoamiseksi tarvitsemat tiedot ovat ajan tasalla yritys- ja yhteisörekisterien tietojen kanssa.

Tunnistuspalvelun tarjoajalla on oikeus saada salassapitosäännösten estämättä rajapinnan kautta tai muutoin sähköisesti poliisin tietojärjestelmässä oleva tieto ensitunnistamisessa käytettävän passin tai henkilökortin voimassaolosta.

Sähköisen tunnistamisen järjestelmän on täytettävä seuraavat vaatimukset:

Mitä 1 momentissa säädetään, ei estä palvelun tarjoamista palvelukohtaisesti siten, että tunnistuspalvelun tarjoaja ilmoittaa tunnistuspalvelua käytävälle palveluntarjoajalle tunnistusvälineen haltijan salanimen tai ainoastaan rajoitetun määrän henkilötietoja.

Tunnistusmenetelmässä on käytettävä vähintään kahta seuraavista todentamistekijöistä:

Jokaisessa tunnistusmenetelmässä on käytettävä sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.3.1 tarkoitettua sellaista dynaamista todentamista, joka muuttuu jokaisessa uudessa henkilön ja hänen henkilöllisyytensä varmentavan järjestelmän välillä tapahtuvassa todentamistapahtumassa.

Tunnistuspalvelun tarjoajana olevan oikeushenkilön tai sen lukuun toimivan luonnollisen henkilön, palveluntarjoajana olevan yhteisön tai säätiön hallituksen tai hallintoneuvoston jäsenten ja varajäsenten, toimitusjohtajan, vastuunalaisen yhtiömiehen sekä muussa näihin rinnastettavassa asemassa olevien on täytettävä seuraavat edellytykset:

(29.6.2016/533)

Tunnistuspalvelun tarjoajan on oltava luotettava. Tunnistuspalvelun tarjoajaa ei pidetä luotettavana, jos 1 momentissa tarkoitettu henkilö on lainvoiman saaneella tuomiolla tuomittu viiden viimeisen vuoden aikana vankeusrangaistukseen tai kolmen viimeisen vuoden aikana sakkorangaistukseen rikoksesta, jonka voidaan katsoa osoittavan henkilön olevan ilmeisen sopimaton harjoittamaan tunnistuspalvelun tarjontaa.

Tunnistuspalvelun tarjoajaa ei pidetä luotettavana myöskään, jos 1 momentissa tarkoitettu henkilö on muutoin aikaisemmalla toiminnallaan osoittanut olevansa ilmeisen sopimaton tunnistuspalvelun tarjoajaksi.

Suomeen sijoittautuneen tunnistuspalvelun tarjoajan on ennen toimintansa aloittamista tehtävä kirjallinen ilmoitus Liikenne- ja viestintävirastolle. Ilmoituksen voi tehdä myös sellainen tunnistuspalvelun tarjoajien yhteenliittymä, jonka hallinnoimaa palvelua on pidettävä yhtenä tunnistuspalveluna.

Ilmoituksessa on oltava:

Tunnistuspalvelun tarjoajan on viipymättä ilmoitettava 2 momentissa tarkoitetuissa tiedoissa tapahtuneista muutoksista kirjallisesti Liikenne- ja viestintävirastolle. Ilmoitus on tehtävä myös toiminnan lopettamisesta sekä toimintojen siirtymisestä toiselle palveluntarjoajalle.

Mitä 10 §:ssä säädetään, ei estä muualle Euroopan talousalueelle sijoittautunutta tunnistuspalvelun tarjoajaa tekemästä mainitussa pykälässä tarkoitettua ilmoitusta.

Liikenne- ja viestintävirasto ylläpitää julkista rekisteriä 10 §:n mukaisen ilmoituksen tehneistä tunnistuspalvelun tarjoajista ja niiden tarjoamista palveluista.

Liikenne- ja viestintävirasto on 10 §:ssä tarkoitetun ilmoituksen saatuaan kiellettävä palveluntarjoajaa tarjoamasta palveluaan vahvana sähköisenä tunnistamisena, jos palvelu tai palveluntarjoaja ei täytä tässä luvussa asetettuja vaatimuksia. Jos puutteellisuutta voidaan pitää ainoastaan vähäisenä, Liikenne- ja viestintävirasto voi kehottaa palveluntarjoajaa korjaamaan puutteellisuuden määräajassa.

Tunnistuspalvelun tarjoaja liittyy osaksi luottamusverkostoa tehdessään 10 §:n mukaisen ilmoituksen Liikenne- ja viestintävirastolle.

Tunnistusvälineen tarjoajan on tarjottava tunnistuspalvelunsa käyttöoikeutta tunnistusvälityspalvelun tarjoajille siten, että ne voivat välittää tunnistustapahtumia sähköiseen tunnistukseen luottavalle osapuolelle. Tunnistusvälineen tarjoajan on laadittava tunnistuspalvelunsa käyttöoikeuden toimitusehdot ja käytettävä niitä tehdessään sopimuksia tunnistusvälityspalveluiden tarjoajien kanssa. Käyttöoikeuden ehtojen on oltava tämän lain mukaisia sekä kohtuullisia ja syrjimättömiä. Tunnistusvälineen tarjoajan on hyväksyttävä tunnistusvälityspalvelun tarjoajan pyyntö toimitusehtojen mukaisen sopimuksen tekemisestä sekä annettava käyttöoikeus tunnistuspalveluun viipymättä ja viimeistään kuukauden kuluessa pyynnön tekemisestä. Tunnistusvälineen tarjoaja voi kieltäytyä sopimuksen tekemisestä ainoastaan, jos tunnistusvälityspalvelun tarjoaja toimii vastoin tätä lakia tai sen nojalla annettuja säännöksiä tai määräyksiä taikka kieltäytymiselle on muu painava peruste.

Tunnistuspalvelun tarjoajien on tehtävä yhteistyötä sen varmistamiseksi, että luottamusverkoston jäsenten väliset tekniset rajapinnat ovat yhteen toimivia ja että ne mahdollistavat yleisesti tunnettujen standardien mukaisten rajapintojen tarjoamisen luottaville osapuolille.

Tunnistuspalvelun tarjoajan on toteutettava ylläpito-, muutos- ja tietoturvatoimenpiteet muille tunnistuspalvelun tarjoajille, käyttäjille ja luottaville osapuolille mahdollisimman vähän haittaa aiheuttavalla tavalla. Sen lisäksi, mitä 25 ja 26 §:ssä säädetään, tunnistuspalvelun tarjoaja saa tilapäisesti ilman toisen tunnistuspalvelun tarjoajan suostumusta keskeyttää tunnistuspalvelun tarjonnan tai rajoittaa sen käyttöä, jos se on välttämätöntä edellä tarkoitetun toimenpiteen onnistumiseksi. Keskeytyksestä ja muutoksesta on tiedotettava tehokkaasti niille muille tunnistuspalvelun tarjoajille, joiden palveluihin se voi vaikuttaa.

Tunnistuspalvelun tarjoaja saa käyttää käyttöoikeuden luovutuksen tai 16 §:n nojalla saatuja toista tunnistuspalvelun tarjoajaa koskevia tietoja vain siihen tarkoitukseen, jota varten ne on tunnistuspalvelun tarjoajalle annettu. Tietoja saavat tunnistuspalvelun tarjoajan palveluksessa tai sen lukuun käsitellä ainoastaan ne, jotka tarvitsevat tietoja välttämättä työssään. Tietoja on muutoinkin käsiteltävä siten, ettei toisen tunnistuspalvelun tarjoajan liikesalaisuuksia vaaranneta. Tunnistuspalvelun tarjoaja, joka aiheuttaa tämän momentin vastaisella menettelyllä vahinkoa toiselle tunnistuspalvelun tarjoajalle, on velvollinen korvaamaan menettelystään aiheutuvan vahingon.

Luottamusverkoston hallinnollisista käytännöistä, teknisistä rajapinnoista ja hallinnollisista vastuista annetaan tarkempia säännöksiä valtioneuvoston asetuksella.

Tunnistusvälineen tarjoajan on julkaistava tunnistuspalvelunsa käyttöoikeuden toimitusehdot sekä muut käyttöoikeuden luovuttamisen ja tunnistuspalveluiden yhteentoimivuuden kannalta merkitykselliset tiedot verkkosivuillaan. Tunnistusvälineen tarjoajan on julkaistava vähintään seuraavat tiedot:

Tunnistusvälityspalvelun tarjoajan on suoritettava tunnistuspalvelun käyttöoikeudesta korvaus, joka on enintään 3 senttiä edelleen välitettävältä tunnistustapahtumalta. Korvaus kattaa kaikki sähköiseen tunnistusvälineeseen liittyvät henkilön tunnistetiedot. Liikenne- ja viestintävirasto arvioi korvauksen tasoa vuosittain.

Tunnistuspalvelun käyttöoikeudesta ei saa periä muuta korvausta. Laskutuksen sekä kaikkien sellaisten tunnistusvälineen tarjoajan rajapintojen, toimintojen, palvelujen, ohjelmistojen ja tietojärjestelmien käyttöoikeudet, joita tarvitaan tunnistuksen välittämiseen luottavalle osapuolelle, tulee sisältyä 1 momentissa säädettyyn korvaukseen.

Tunnistuspalvelun tarjoaja, joka tahallaan tai huolimattomuudesta toimii 12 a §:n 2 tai 3 momentissa taikka 6 momentin nojalla annetuissa säännöksissä, 12 b tai 12 c §:ssä taikka 17 §:n 4 momentissa säädettyjen velvollisuuksien vastaisesti, on velvollinen korvaamaan toiselle tunnistuspalvelun tarjoajalle aiheuttamansa vahingon.

Vahingonkorvaus käsittää korvauksen kuluista, hinnanerosta sekä muusta välittömästä taloudellisesta vahingosta, joka tunnistuspalvelun tarjoajan 1 momentissa tarkoitetusta toiminnasta on aiheutunut.

Korvausta voidaan sovitella, jos täysi korvausvelvollisuus harkitaan kohtuuttoman raskaaksi rikkomuksen laatu, vahingon laajuus, osapuolten olosuhteet ja muut seikat huomioon ottaen.

Oikeus korvaukseen vanhenee, jollei korvauskannetta ole pantu vireille kolmen vuoden kuluessa siitä, kun tunnistuspalvelun tarjoaja sai tiedon tai sen olisi pitänyt saada tieto vahingon ilmenemisestä.

Käsitellessään 1 momentissa tarkoitettua korvauskannetta tuomioistuin voi pyytää Liikenne- ja viestintäviraston lausuntoa asiassa.

Tunnistuspalvelun tarjoajan tunnistamiseen liittyvien tietojen säilyttämisen, henkilökunnan ja alihankintana käyttämien palvelujen tulee täyttää sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdissa 2.4.4 ja 2.4.5 vähintään korotetulle varmuustasolle säädetyt vaatimukset. Lisäksi tunnistuspalvelun tarjoajalla tulee olla kattava suunnitelma tunnistuspalvelun päättämisen varalta. (29.6.2016/533)

Tunnistuspalvelun tarjoajalla on oltava harjoitetun toiminnan laajuuteen nähden riittävät taloudelliset voimavarat toiminnan järjestämiseksi ja mahdollisen vahingonkorvausvastuun kattamiseksi. Palveluntarjoaja voi myös ryhtyä muihin tarpeellisiin toimenpiteisiin mahdollisen vahingonkorvausvastuun varalta.

3 momentti on kumottu L:lla 26.3.2021/230 .

Tunnistuspalvelun tarjoaja vastaa apunaan käyttämiensä henkilöiden tuottamien palveluiden ja tuotteiden luotettavuudesta ja toimivuudesta.

Tunnistuspalvelun tarjoajalla on oltava tunnistusperiaatteet, joissa määritellään tarkemmin, kuinka palveluntarjoaja täyttää tässä laissa säädetyt velvollisuutensa. Erityisesti on määriteltävä tarkemmin, kuinka tunnistusvälineen tarjoaja toteuttaa 17 ja 17 a §:ssä tarkoitetun tunnistamisen tunnistusvälinettä myönnettäessä.

Lisäksi tunnistusperiaatteissa on oltava keskeiset tiedot:

Jos tunnistusvälineillä voidaan tehdä sähköisiä allekirjoituksia tai kehittyneitä sähköisiä allekirjoituksia, tunnistuspalvelun tarjoajan on annettava tieto myös niiden toteuttamismenetelmästä, tasosta ja turvallisuustekijöistä.

Tunnistuspalvelun tarjoajan on pidettävä tunnistusperiaatteet yleisesti saatavilla ja ajantasaisina.

Tunnistusvälineen tarjoajan on ennen tunnistusvälineen hakijan kanssa tehtävän sopimuksen tekemistä annettava hakijalle tiedot: (29.6.2016/533)

Edellä 1 momentissa tarkoitetut tiedot on annettava kirjallisesti tai sähköisesti siten, että tunnistusvälineen hakija voi tallentaa ja toisintaa ne muuttumattomina. Jos sopimus tehdään tunnistusvälineen hakijan pyynnöstä sellaista etäviestintä käyttäen, että tietoja ja sopimusehtoja ei voida antaa edellä tarkoitetulla tavalla ennen sopimuksen tekemistä, tiedot on annettava sanotulla tavalla viipymättä sopimuksen tekemisen jälkeen.

3 momentti on kumottu L:lla 26.3.2021/230 .

Tunnistuspalvelun tarjoajan on salassapitosäännösten estämättä ilmoitettava ilman aiheetonta viivästystä tunnistuspalveluunsa luottaville osapuolille, tunnistusvälineiden haltijoille, muille luottamusverkostossa toimiville sopimuspuolilleen sekä Liikenne- ja viestintävirastolle palvelun toimivuuteen, tietoturvaan tai sähköisen henkilöllisyyden käyttöön kohdistuvista merkittävistä uhkista tai häiriöistä. Ilmoituksessa on kerrottava niistä toimista, joita eri tahoilla on käytettävissään uhkien tai häiriöiden torjumiseksi sekä näistä toimenpiteistä aiheutuvista arvioiduista kustannuksista.

Tunnistuspalvelun tarjoaja voi salassapitosäännösten estämättä ilmoittaa kaikille luottamusverkoston jäsenille 1 momentissa tarkoitetuista uhkista ja häiriöistä sekä palvelun tarjoajista, joiden on syytä epäillä tavoittelevan oikeudetonta taloudellista hyötyä, antavan merkityksellisiä totuudenvastaisia tai harhaanjohtavia tietoja tai käsittelevän henkilötietoja lainvastaisesti.

Liikenne- ja viestintävirasto voi teknisesti välittää tietoja luottamusverkostossa osapuolten välillä ilmoittajan lukuun sen estämättä, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) säädetään.

Ensitunnistamisessa luonnollisen henkilön tunnistaminen tulee tehdä henkilökohtaisesti tai sähköisesti siten, että sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.1.2 korotetulle tai korkealle varmuustasolle säädetyt vaatimukset täyttyvät. Henkilön henkilöllisyyden varmentaminen voi perustua viranomaisen myöntämään henkilöllisyyttä osoittavaan asiakirjaan tai tässä laissa tarkoitettuun vahvaan sähköiseen tunnistusvälineeseen. Lisäksi henkilöllisyyden varmentaminen voi perustua julkisen tai yksityisen tahon aiemmin muuhun tarkoitukseen kuin vahvan sähköisen tunnistusvälineen myöntämiseen käyttämään menettelyyn, jonka Liikenne- ja viestintävirasto hyväksyy menettelyä koskevien säännösten ja viranomaisvalvonnan perusteella tai 28 §:n 1 kohdassa tarkoitetun vaatimustenmukaisuuden arviointilaitoksen vahvistuksen perusteella.

Ensitunnistamisessa, joka perustuu yksinomaan viranomaisen myöntämään henkilöllisyyttä osoittavaan asiakirjaan, hyväksyttäviä asiakirjoja ovat voimassa oleva Euroopan talousalueen jäsenvaltion, Sveitsin tai San Marinon viranomaisen myöntämä passi tai henkilökortti. Halutessaan tunnistusvälineen tarjoaja voi käyttää henkilöllisyyden varmentamisessa myös muun valtion viranomaisen myöntämää voimassa olevaa passia.

Jos tunnistusvälineen hakijan henkilöllisyyttä ei voida luotettavasti todentaa, hakemukseen liittyvän ensitunnistamisen tekee poliisi. Poliisin tekemästä ensitunnistamisesta tunnistusvälineen hakijalle aiheutuva kustannus on julkisoikeudellinen suorite. Suoritteen maksullisuudesta säädetään valtion maksuperustelaissa.

Tunnistusvälineen tarjoajan on mahdollistettava se, että toinen tunnistusvälineen tarjoaja voi käyttää sen myöntämää vahvaa sähköistä tunnistusvälinettä ensitunnistamiseen haettaessa vastaavan tai alemman varmuustason vahvaa sähköistä tunnistusvälinettä. Mitä 12 a ja 12 b §:ssä säädetään tunnistuspalvelun käyttöoikeuden luovutuksesta ja toimitusehtojen julkaisemisesta, sovelletaan myös tässä momentissa tarkoitettuun tunnistusvälineen käyttämiseen ensitunnistamisessa. (29.3.2019/412)

Aiempaan ensitunnistamiseen luottava tunnistusvälineen tarjoaja vastaa mahdollisesta aiemman ensitunnistamisen virheellisyydestä aiheutuvasta vahingosta suhteessa vahinkoa kärsineeseen. (29.3.2019/412)

Jos aiempaan ensitunnistamiseen luottava tunnistusvälineen tarjoaja joutuu vastuuseen vahingosta 5 momentin nojalla, sillä on oikeus saada korvaus vahingostaan ensitunnistamisessa virheen tehneeltä tunnistusvälineen tarjoajalta, ellei tämä osoita, että vahinko ei ole aiheutunut sen tahallisuudesta tai törkeästä huolimattomuudesta. (29.3.2019/412)

7 momentti on kumottu L:lla 29.3.2019/412 .

Oikeushenkilön ilmoitettu henkilöllisyys tulee varmentaa yritys- ja yhteisörekistereistä tai siten, että vähintään oikeushenkilön henkilöllisyyden todistamista ja varmentamista koskevat sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.1.3 korotetulle varmuustasolle säädetyt vaatimukset täyttyvät.

Tunnistuspalvelun tarjoajan, tunnistuspalvelua käyttävän palveluntarjoajan sekä tunnistusvälineen haltijan välisillä sopimuksilla voidaan tunnistusvälineen käyttäminen oikeustoimien tekemiseen estää. Lisäksi oikeustoimien tekemiselle voidaan asettaa sekä käyttötarkoitukseen että tapahtumien rahamääräiseen arvoon liittyviä rajoituksia. Estot tai rajoitukset eivät saa kohdistua yksittäisiin palveluntarjoajiin, eivätkä ne saa riippua siitä, mikä tunnistusvälityspalvelun tarjoaja välittää tunnistustapahtuman.

Tunnistuspalvelun tarjoajan on huolehdittava siitä, että estot tai rajoitukset ovat kaikkien osapuolten tiedossa tai havaittavissa helpolla sekä selvällä ja ymmärrettävällä tavalla. Tunnistusvälineen tarjoaja voi myös toteuttaa estot tai rajoitukset teknisin keinoin. Tunnistuspalvelun tarjoaja ei vastaa niistä toimista, jotka on tehty estojen tai rajoitusten vastaisesti siitä huolimatta, että tunnistuspalvelun tarjoaja on toiminut huolellisesti.

Tunnistusvälineen tarjoajan on järjestettävä tunnistuspalvelua käyttävälle palveluntarjoajalle mahdollisuus tarkastaa tunnistusvälineeseen liittyvät estot tai rajoitukset ympäri vuorokauden. Velvollisuutta ei kuitenkaan ole, jos tunnistusvälineen estojen tai rajoitusten vastainen käyttö on teknisin keinoin estetty.

Tunnistuspalvelua käyttävän palveluntarjoajan on tarkastettava tunnistuspalvelun tarjoajan ylläpitämistä järjestelmistä ja rekistereistä mahdolliset estot tai rajoitukset tunnistusvälineen käytön yhteydessä. Tarkastaminen ei kuitenkaan ole tarpeen, jos tunnistusvälineen estojen tai rajoitusten vastainen käyttö on teknisin keinoin estetty.

Jos tunnistusmenetelmä perustuu varmenteeseen, tulee varmenteen sisältää ainakin:

Varmennepalvelun tarjoajan tulee omalta osaltaan varmistaa, että tunnistuspalvelua käyttävällä palveluntarjoajalla on saatavillaan varmenteen tietosisältö, jos se on tarpeen tunnistamisen toteuttamiseksi.

Tunnistusvälineen liikkeelle laskeminen perustuu tunnistusvälineen hakijan ja tunnistuspalvelun tarjoajan väliseen sopimukseen. Sopimus on tehtävä kirjallisesti. Sopimus voidaan tehdä myös sähköisesti, jos sen sisältöä ei voida yksipuolisesti muuttaa ja se säilyy osapuolten saatavilla. Tunnistuspalvelun tarjoajan tulee kohdella asiakkaitaan syrjimättä ja tunnistusvälineiden hakijoita tasapuolisesti sopimuksen tekemisen yhteydessä.

Sopimus voi olla voimassa toistaiseksi tai määräaikaisesti. Tunnistusvälineellä voi olla oma voimassaoloaikansa, joka on lyhyempi kuin sopimuksen voimassaoloaika.

Tunnistusväline myönnetään aina luonnolliselle henkilölle tai oikeushenkilölle. Luonnollisen henkilön ja oikeushenkilön tunnistusvälineiden kytkös on toteutettava sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdan 2.1.4 mukaisesti. Tunnistusvälineen on oltava henkilökohtainen. Tunnistusvälineeseen voidaan tarvittaessa liittää tieto siitä, että tunnistusvälineen haltija voi tapauskohtaisesti myös edustaa toista luonnollista henkilöä tai oikeushenkilöä. (29.6.2016/533)

Tunnistusvälineen tarjoajan on luovutettava tunnistusväline sen hakijalle siten kuin sopimuksessa on sovittu. Tunnistuspalvelun tarjoajan on varmistettava, ettei tunnistusväline joudu oikeudettomasti toisen haltuun välinettä luovutettaessa siten, että sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.2.2 vähintään korotetulle varmuustasolle säädetyt vaatimukset täyttyvät.

Tunnistusvälineen tarjoaja saa toimittaa tunnistusvälineen haltijalle uuden välineen ilman nimenomaista pyyntöä vain, jos aikaisemmin annettu tunnistusväline on korvattava uudella. Tunnistusvälineen uusimisessa tulee noudattaa sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.2.4 vähintään korotetulle varmuustasolle säädettyjä vaatimuksia.

Tunnistusvälineen haltijan on käytettävä tunnistusvälinettä sopimuksen ehtojen mukaisesti. Haltijan on säilytettävä tunnistusvälinettä huolellisesti. Haltijan velvollisuus huolehtia tunnistusvälineestä alkaa, kun hän on vastaanottanut sen.

Tunnistusvälineen haltija ei saa luovuttaa välinettä toisen käyttöön.

Tunnistuspalvelun tarjoajan on tallennettava:

Tunnistusvälineen tarjoajan on tallennettava tarvittavat tiedot 17 ja 17 a §:ssä tarkoitetusta hakijan ensitunnistamisesta ja siinä käytetystä asiakirjasta tai sähköisestä tunnistamisesta.

Edellä 1 momentin 1 kohdassa tarkoitetut tiedot on säilytettävä viiden vuoden ajan tunnistustapahtumasta. Muut 1 ja 2 momentissa tarkoitetut tiedot on säilytettävä viiden vuoden ajan vakituisen asiakassuhteen päättymisestä.

Tunnistustapahtuman yhteydessä syntyneet henkilötiedot on hävitettävä tunnistustapahtuman jälkeen, jollei tallentaminen ole välttämätöntä yksittäisen tunnistustapahtuman todentamiseksi.

Tunnistuspalvelun tarjoaja saa käsitellä tallennettuja tietoja ainoastaan palvelun toteuttamiseksi ja ylläpitämiseksi, laskutusta varten, omien oikeuksiensa turvaamista varten riitatilanteissa, väärinkäytöstilanteiden selvittämisessä sekä tunnistuspalvelua käyttävän palveluntarjoajan tai tunnistusvälineen haltijan pyynnöstä. Tunnistuspalvelun tarjoajan on tallennettava tieto käsittelyn ajankohdasta, syystä ja käsittelijästä.

Jos palveluntarjoaja ainoastaan laskee liikkeelle tunnistusvälineitä:

Tunnistusvälineen haltijan on ilmoitettava tunnistusvälineen tarjoajalle tai tämän nimeämälle muulle taholle tunnistusvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä ilman aiheetonta viivytystä havaittuaan asian. (29.6.2016/533)

Tunnistusvälineen tarjoajan on tarjottava mahdollisuus tehdä 1 momentissa tarkoitettu ilmoitus milloin tahansa. Tunnistusvälineen tarjoajan on viipymättä peruutettava tunnistusväline tai estettävä sen käyttö saatuaan asiaa koskevan ilmoituksen. (29.6.2016/533)

Tunnistusvälineen tarjoajan on asianmukaisesti ja viipymättä merkittävä järjestelmään tieto peruuttamisen tai käytön estämisen ajankohdasta. Tunnistusvälineen haltijalla on oikeus saada pyynnöstä todistus siitä, että hän on tehnyt 1 momentissa tarkoitetun ilmoituksen. Todistusta on pyydettävä 18 kuukauden kuluessa ilmoituksesta. (29.6.2016/533)

Järjestelmän on oltava sellainen, että tunnistuspalvelua käyttävä palveluntarjoaja voi helposti tarkastaa siihen merkityt tiedot ympäri vuorokauden. Velvollisuutta järjestää tarkastusmahdollisuutta ei kuitenkaan ole, jos tunnistusvälineen käyttö voidaan teknisesti estää tai se voidaan sulkea.

Tunnistuspalvelua käyttävän palveluntarjoajan on tarkastettava tunnistuspalvelun tarjoajan ylläpitämistä järjestelmistä ja rekistereistä mahdolliset peruutukset ja käytön estot tunnistusvälineen käytön yhteydessä. Tarkastaminen ei kuitenkaan ole tarpeen, jos tunnistusvälineen käyttö voidaan teknisesti estää tai se voidaan sulkea.

Jos tunnistuspalvelu perustuu varmenteisiin ja peruutettuja varmenteita koskevat tiedot annetaan sulkulistan avulla, varmennepalvelun tarjoaja saa tallentaa tiedot sulkulistalta tehdystä varmenteen voimassaolon tarkastamisesta. Vaihtoehtoisesti varmentaja voi tallentaa sulkulistan.

Sen lisäksi, mitä 25 §:ssä säädetään, tunnistusvälineen tarjoaja voi peruuttaa tunnistusvälineen tai estää sen käytön, jos:

Tunnistusvälineen tarjoajan tulee ilmoittaa haltijalle niin pian kuin mahdollista tunnistusvälineen peruuttamisesta tai käytön estämisestä ja sen ajankohdasta sekä siihen johtaneista syistä.

Tunnistusvälineen tarjoajan on palautettava mahdollisuus käyttää tunnistusvälinettä tai annettava haltijalle uusi väline välittömästi 1 momentin 2 ja 3 kohdassa tarkoitetun syyn poistuttua.

Tunnistusvälineen haltija vastaa tunnistusvälineen oikeudettomasta käytöstä vain, jos:

Tunnistusvälineen haltija ei kuitenkaan vastaa tunnistusvälineen oikeudettomasta käytöstä:

Tämän luvun mukaisen palvelun vaatimustenmukaisuuden voivat arvioida seuraavat arviointielimet siten kuin jäljempänä säädetään:

Tunnistuspalvelun tarjoajan on määräajoin teetettävä palvelulleen 28 §:ssä mainitun arviointielimen arviointi siitä, täyttääkö tunnistuspalvelu tässä laissa säädetyt yhteentoimivuutta, tietoturvaa, tietosuojaa ja muuta luotettavuutta koskevat vaatimukset.

Euroopan komissiolle ilmoitettavan sähköisen tunnistamisen järjestelmän vaatimustenmukaisuuden arvioinnista säädetään sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa sekä sähköisen tunnistamisen varmuustasoasetuksessa.

Liikenne- ja viestintäviraston oikeudesta antaa tarkempia määräyksiä tunnistuspalvelun vaatimustenmukaisuuden arvioinnissa käytettävistä arviointiperusteista säädetään 42 §:ssä. Liikenne- ja viestintävirasto voi määrätä arviointiperusteeksi edellä 1 ja 2 momenteissa tarkoitettujen säädösten lisäksi Euroopan unionin tai muun kansainvälisen toimielimen antamia säännöksiä tai ohjeita, julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta koskevia ohjeita ja yleisesti käytettyjä tietoturvallisuusstandardeja tai menettelyjä.

EU:n sähköisen tunnistamisen yhteentoimivuusjärjestelmään liittyvän kansallisen rajapinnan ( kansallinen solmupiste ) vaatimustenmukaisuus on osoitettava vaatimustenmukaisuuden arviointilaitoksen tai muun ulkoisen arviointilaitoksen tekemällä arvioinnilla.

Kansallisen solmupisteen vaatimuksista säädetään yhteentoimivuusjärjestelmän vahvistamisesta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 12 artiklan 8 kohdan mukaisesti annetussa komission täytäntöönpanoasetuksessa (EU) 2015/1501. Liikenne- ja viestintäviraston oikeudesta antaa tarkempia määräyksiä kansallisen solmupisteen vaatimustenmukaisuuden arvioinnissa käytettävistä arviointiperusteista säädetään 42 §:ssä.

Tunnistuspalvelun tarjoajan ja Digi- ja väestötietoviraston on hankittava vaatimustenmukaisuuden arvioinnista tarkastuskertomus, joka toimitetaan Liikenne- ja viestintävirastolle. (29.11.2019/1188)

Tarkastuskertomus on voimassa arvioinnissa käytetyn standardin määrittelemän ajan, kuitenkin enintään 2 vuotta.

Vaatimustenmukaisuuden arviointilaitos tarkastaa hyväksytyn luottamuspalvelun tarjoajan ja hyväksytyn luottamuspalvelun vaatimustenmukaisuuden noudattaen, mitä siitä sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa säädetään.

Liikenne- ja viestintäviraston oikeudesta antaa tarkempia määräyksiä vaatimustenmukaisuuden arvioinnissa käytettävistä arviointiperusteista säädetään 42 §:ssä. Liikenne- ja viestintävirasto voi määrätä arviointiperusteeksi Euroopan unionin tai muun kansainvälisen toimielimen antamia säännöksiä tai ohjeita, julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta koskevia ohjeita ja yleisesti käytettyjä tietoturvallisuusstandardeja tai menettelyjä.

Edellä 28 §:ssä mainittuja arviointielimiä koskevat seuraavat pätevyysvaatimukset:

Liikenne- ja viestintäviraston oikeudesta antaa tarkempia määräyksiä 1 momentissa säädetyistä vaatimuksista säädetään 42 §:ssä.

Vaatimustenmukaisuuden arviointilaitoksen on osoitettava 1 momentin 1–3 kohdassa säädettyjen vaatimusten täyttyminen kansallisen akkreditointiyksikön akkreditoinnilla noudattaen, mitä siitä tuotteiden kaupan pitämiseen liittyvää akkreditointia ja markkinavalvontaa koskevista vaatimuksista ja neuvoston asetuksen (ETY) N:o 339/93 kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 765/2008 ja vaatimustenmukaisuuden arviointipalvelujen pätevyyden toteamisesta annetussa laissa (920/2005) säädetään.

Tunnistuspalvelun tarjoajan on esitettävä 10 §:ssä säädetyssä ilmoituksessa selvitys siitä, että sen vaatimustenmukaisuuden arvioinut muu ulkoinen arviointilaitos tai sisäinen tarkastuslaitos täyttää 1 momentissa säädetyt vaatimukset. Edellä 1 momentin 1–3 kohdassa säädettyjen vaatimusten täyttäminen on osoitettava 3 momentissa tarkoitetulla akkreditoinnilla tai muulla yleisesti käytettyyn standardiin perustuvalla riippumattomalla menettelyllä.

Ulkomaisen akkreditointiyksikön antama akkreditointi vastaa 3 ja 4 momentissa tarkoitettua akkreditointipäätöstä.

Vaatimustenmukaisuuden arviointilaitoksen hyväksyy Liikenne- ja viestintävirasto. Arviointilaitos voidaan hyväksyä määräajaksi, jos siihen on erityinen syy. Liikenne- ja viestintävirasto voi hyväksymistä koskevaan päätökseen sisällyttää arviointilaitoksen pätevyysaluetta ja valvontaa sekä toimintaa koskevia rajoituksia ja ehtoja.

Vaatimustenmukaisuuden arviointilaitos hyväksytään hakemuksen perusteella. Hakemukseen on liitettävä hakijaa ja sen toimintaa koskevat tiedot, joiden perusteella voidaan arvioida 33 §:ssä tarkoitettujen vaatimusten täyttyminen.

Liikenne- ja viestintävirasto voi hakemusta käsiteltäessä hankkia lausuntoja sekä antaa hakemuksen ja siinä esitettyjen tietojen arvioimisen ulkopuolisille asiantuntijoille.

Liikenne- ja viestintävirasto voi hakemuksesta nimetä sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 30 artiklassa ja 39 artiklan 2 kohdassa tarkoitettuja yksityisiä tai julkisia sertifiointilaitoksia, joiden tehtävänä on sertifioida hyväksytyn sähköisen allekirjoituksen tai hyväksytyn sähköisen leiman luontivälineitä. Sertifiointilaitos voidaan nimetä määräajaksi. Hakemuksessa on esitettävä Liikenne- ja viestintäviraston pyytämät hakemuksen käsittelemiseksi tarpeelliset tiedot.

Sertifiointilaitoksen tulee olla toiminnallisesti ja taloudellisesti sähköisen allekirjoituksen ja sähköisen leiman luontivälineiden valmistajista riippumaton. Sillä tulee olla toiminnan laajuuden kannalta riittävä vastuuvakuutus tai muu vastaava järjestely ja käytössään riittävästi ammattitaitoista henkilöstöä sekä toiminnan edellyttämät järjestelmät, laitteet ja välineet.

Vaatimustenmukaisuuden arviointilaitos ja sertifiointilaitos voivat tehtävässään käyttää apunaan organisaation ulkopuolisia henkilöitä. Arviointilaitos ja sertifiointilaitos vastaavat myös apunaan käyttämiensä henkilöiden työstä.

Vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen on tässä laissa tarkoitettuja julkisia hallintotehtäviä hoitaessaan noudatettava, mitä hallintolaissa (434/2003) , viranomaisten toiminnan julkisuudesta annetussa laissa, sähköisestä asioinnista viranomaistoiminnassa annetussa laissa (13/2003) , kielilaissa (423/2003) sekä saamen kielilaissa (1086/2003) säädetään. Vaatimustenmukaisuuden arviointilaitoksen tai sertifiointilaitoksen taikka niiden käyttämän tytäryhtiön tai alihankkijan henkilöstöön sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä tässä pykälässä tarkoitettuja tehtäviä hoidettaessa. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974) .

Vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen on ilmoitettava Liikenne- ja viestintävirastolle kaikista muutoksista, joilla on vaikutusta hyväksymisen tai nimeämisen edellytysten täyttymiseen.

Jos Liikenne- ja viestintävirasto toteaa, että vaatimustenmukaisuuden arviointilaitos tai sertifiointilaitos ei täytä sille säädettyjä edellytyksiä tai toimii olennaisesti säännösten vastaisesti, Liikenne- ja viestintäviraston on asetettava sille riittävä määräaika asian korjaamiseksi.

Liikenne- ja viestintävirasto voi peruuttaa arviointilaitoksen hyväksymisen tai sertifiointilaitoksen nimeämisen, jos arviointilaitos tai sertifiointilaitos ei ole korjannut toimintaansa 1 momentin nojalla asetetussa määräajassa ja kyseessä on olennainen rikkomus tai laiminlyönti.

Allekirjoittajan tai sähköisen leiman haltijan on viipymättä pyydettävä hyväksytyn varmenteen myöntäneeltä varmentajalta varmenteen peruuttamista, jos hänellä on perusteltu syy epäillä allekirjoituksen tai sähköisen leiman luomistietojen oikeudetonta käyttöä.

Hyväksyttyjä varmenteita tarjoavan varmentajan on viipymättä peruutettava hyväksytty varmenne, jos allekirjoittaja tai sähköisen leiman haltija pyytää sitä. Varmenteen peruuttamispyynnön katsotaan saapuneen varmentajalle silloin, kun se on ollut varmentajan käytettävissä siten, että pyyntöä voidaan käsitellä.

Allekirjoittaja ja sähköisen leiman haltija vastaa hyväksytyllä varmenteella varmennetun kehittyneen sähköisen allekirjoituksen luomistietojen ja sähköisen leiman luomistietojen oikeudettomasta käytöstä aiheutuneesta vahingosta, kunnes varmenteen peruuttamispyyntö on saapunut varmentajalle siten kuin 39 §:n 2 momentissa säädetään.

Kuluttajalla on kuitenkin 1 momentissa säädetty vastuu vain, jos:

Luottamuspalvelun tarjoajan vastuusta säädetään sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 13 artiklassa.

Hyväksytyn varmenteen tarjoava varmentaja on vastuussa vahingosta, joka hyväksyttyyn varmenteeseen luottaneelle on aiheutunut siitä, että varmentaja tai sen apunaan käyttämä henkilö ei ole peruuttanut varmennetta 39 §:ssä säädetyllä tavalla. Varmentaja vapautuu vastuusta, jos se näyttää, että vahinko ei ole aiheutunut sen omasta tai sen apunaan käyttämän henkilön huolimattomuudesta.

Vahvan sähköisen tunnistamisen ja sähköisten luottamuspalveluiden yleinen ohjaus ja kehittäminen kuuluvat liikenne- ja viestintäministeriölle.

Liikenne- ja viestintävirasto voi antaa tarkempia määräyksiä:

Liikenne- ja viestintäviraston tehtävänä on valvoa tämän lain noudattamista, jollei tässä laissa muuta säädetä.

Liikenne- ja viestintäviraston tehtävänä on vuosittain kerätä ja tilastoida tietoa vahvan sähköisen tunnistamisen markkinasta sekä tunnistuspalveluiden tarjonnasta, saatavuudesta ja hinnoista. Tunnistuspalvelun tarjoajilta kerättävien tietojen on oltava tarpeellisia sääntelyn vaikutusten seuraamista tai 42 §:n 1 momentissa tarkoitettua ohjaus- ja kehittämistehtävän hoitamista varten. Tietojen tulee koskea tunnistustapahtumien määriä, tunnistuspalveluiden välisiä hintoja, tunnistuspalveluiden vähittäishintoja tai asiakasmääriä, tunnistuspalveluista saatuja tuloja taikka muita vastaavia seikkoja, jotka ovat tarpeellisia tilastoinnin luotettavuuden kannalta.

Liikenne- ja viestintäviraston tehtävänä on sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen mukaisesti:

Liikenne- ja viestintäviraston ratkaisuvaltaan eivät kuulu osapuolten välistä sopimussuhdetta tai korvausvastuuta koskevat asiat.

Tietosuojavaltuutetun tehtävänä on valvoa tämän lain henkilötietoja koskevien säännösten noudattamista.

Digi- ja väestötietoviraston tehtävänä on ylläpitää 30 §:n 1 momentissa tarkoitettua kansallista solmupistettä.

Liikenne- ja viestintävirastolla on tämän lain mukaisia tehtäviä suorittaessaan oikeus salassapitosäännösten estämättä saada tehtäviensä suorittamiseksi tarvittavat tiedot niiltä, joiden oikeuksista ja velvollisuuksista tässä laissa säädetään ja jotka toimivat näiden lukuun.

2 momentti on kumottu L:lla 26.3.2021/230 .

Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa säädetään, Liikenne- ja viestintävirastolla ja tietosuojavaltuutetulla on oikeus luovuttaa salassapitosäännösten tai muiden tietojen luovuttamista koskevien rajoitusten estämättä Finanssivalvonnalle ja Kilpailu- ja kuluttajavirastolle sellaisia tietoja, jotka ovat tarpeen niiden tehtävien suorittamiseksi. Finanssivalvonnalla ja Kilpailu- ja kuluttajavirastolla on vastaava oikeus luovuttaa salassapitosäännösten estämättä Liikenne- ja viestintävirastolle ja tietosuojavaltuutetulle tietoja, jotka ovat tarpeen niiden tässä laissa säädettyjen tehtävien suorittamiseksi.

Liikenne- ja viestintäviraston ja tietosuojavaltuutetun on tämän lain mukaisia tehtäviä hoitaessaan toimittava tarvittaessa tarkoituksenmukaisessa yhteistyössä Finanssivalvonnan ja Kilpailu- ja kuluttajaviraston kanssa sekä keskenään.

Liikenne- ja viestintävirasto voi antaa huomautuksen sille, joka rikkoo tätä lakia tai sen nojalla annettuja säännöksiä, määräyksiä tai päätöksiä taikka sähköisestä tunnistamisesta ja luottamuspalveluista annettua EU:n asetusta tai sen nojalla annettuja säännöksiä, sekä velvoittaa tämän korjaamaan virheensä tai laiminlyöntinsä kohtuullisessa määräajassa. Päätöksen tehosteeksi voidaan asettaa uhkasakko tai uhka, että toiminta keskeytetään osaksi tai kokonaan taikka että tekemättä jätetty toimenpide teetetään asianomaisen kustannuksella. Uhkasakosta, keskeyttämisuhasta ja teettämisuhasta säädetään uhkasakkolaissa (1113/1990) .

Teettämällä suoritetun toimenpiteen kustannukset suoritetaan valtion varoista ja peritään laiminlyöjältä siinä järjestyksessä kuin verojen ja maksujen täytäntöönpanosta annetussa laissa (706/2007) säädetään.

Jos sähköisestä tunnistamisesta ja luottamuspalveluista annettua EU:n asetusta, tätä lakia taikka niiden nojalla annettua säännöstä tai määräystä koskeva virhe tai laiminlyönti taikka tietoturvahäiriö vaarantaa välittömästi ja olennaisesti tunnistus- tai luottamuspalvelun luotettavuuden, Liikenne- ja viestintävirasto voi viipymättä päättää tarvittavista väliaikaisista toimista 45 §:ssä säädetystä määräajasta riippumatta.

Liikenne- ja viestintäviraston on ennen väliaikaisia toimia koskevan päätöksen antamista varattava sen kohteena olevalle tilaisuus tulla kuulluksi, paitsi jos kuulemista ei voida toimittaa niin nopeasti kuin asian kiireellisyys välttämättä vaatii.

Väliaikaisena toimena Liikenne- ja viestintävirasto voi kieltää tai keskeyttää:

Väliaikaiset toimet voivat olla voimassa enintään kolme kuukautta. Väliaikaisia toimia koskevaan päätökseen saa hakea muutosta erikseen samalla tavoin kuin 45 §:n 1 momentissa tarkoitettuun päätökseen.

Liikenne- ja viestintävirastolla on oikeus tehdä tunnistuspalvelun tarjoajaa ja sen tarjoamaa palvelua, 28 §:ssä tarkoitettua arviointielintä, 36 §:ssä tarkoitettua hyväksytyn sähköisen allekirjoituksen ja sähköisen leiman luontivälineen sertifiointilaitosta ja niiden toimintaa, hyväksyttyjä varmenteita tarjoavaa varmentajaa sekä luottamuspalvelun tarjoajan ja niiden palvelua koskeva tarkastus. Tarkastus voidaan tehdä tässä laissa tai sähköistä tunnistamista ja luottamuspalveluista annetussa EU:n asetuksessa taikka niiden nojalla annetuissa säännöksissä, määräyksissä ja päätöksissä asetettujen velvoitteiden valvomiseksi. Tarkastuksesta säädetään hallintolain 39 §:ssä.

Liikenne- ja viestintävirasto määrää tarkastajan toimittamaan 1 momentissa tarkoitetun tarkastuksen. Tarkastusta toimittavalla henkilöllä on oikeus tutkia sellaiset tunnistuspalvelun tarjoajan, hyväksyttyjä varmenteita tarjoavan varmentajan ja luottamuspalvelun tarjoajan tai niiden apunaan käyttämien henkilöiden laitteet ja ohjelmistot, joilla voi olla merkitystä tämän lain tai sen nojalla annettujen säännösten tai määräysten noudattamisen valvonnassa.

Tunnistuspalvelun tarjoajien, hyväksyttyjä varmenteita tarjoavien varmentajien ja luottamuspalvelun tarjoajien tai niiden apunaan käyttämien henkilöiden on tarkastusta varten päästettävä 2 momentissa tarkoitettu tarkastaja muihin kuin pysyväisluonteiseen asumiseen tarkoitettuihin tiloihin.

Kun 10 §:ssä tarkoitetun ilmoituksen tehnyt tunnistuspalvelun tarjoaja tai palveluntarjoajien yhteenliittymä rekisteröidään ensimmäisen kerran, sen on suoritettava Liikenne- ja viestintävirastolle 5 000 euron rekisteröimismaksu. Lisäksi tunnistuspalvelun tarjoajan tai yhteenliittymän on suoritettava Liikenne- ja viestintävirastolle vuosittain yhteensä 14 000 euron valvontamaksu kaikkien tarjoamiensa tunnistuspalveluiden valvonnasta.

Sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 21 artiklassa tarkoitetun ilmoituksen tehneen hyväksytyn luottamuspalvelun tarjoajan ja hyväksyttyä luottamuspalvelua tarjoavan varmentajan on suoritettava Liikenne- ja viestintävirastolle 5 000 euron rekisteröimismaksu kustakin tarjoamastaan luottamuspalvelusta. Lisäksi edellä mainittujen on suoritettava Liikenne- ja viestintävirastolle vuosittain 14 000 euron valvontamaksu ensimmäisestä tarjoamastaan hyväksytystä luottamuspalvelusta ja sitä seuraavista tarjoamistaan hyväksytyistä luottamuspalveluista vuosittain 9 000 euroa. Jos hyväksyttyjä luottamuspalveluja tarjoava varmentaja tekee myös 10 §:ssä tarkoitetun ilmoituksen, sen on lisäksi suoritettava 1 momentissa tarkoitettu rekisteröimismaksu.

Edellä 34 §:n mukaisesti hyväksytyn vaatimustenmukaisuuden arviointilaitoksen on suoritettava Liikenne- ja viestintävirastolle 10 000 euron nimeämismaksu. Lisäksi arviointilaitoksen on suoritettava Liikenne- ja viestintävirastolle vuosittain 15 000 euron valvontamaksu.

Edellä 36 §:n mukaisesti nimetyn sertifiointilaitoksen on suoritettava Liikenne- ja viestintävirastolle 10 000 euron nimeämismaksu. Lisäksi sertifiointilaitoksen on suoritettava vuosittain 15 000 euron valvontamaksu.

Rekisteröimismaksu, nimeämismaksu ja valvontamaksu kattavat niitä kustannuksia, joita aiheutuu Liikenne- ja viestintävirastolle tässä laissa säädettyjen tehtävien hoitamisesta 46 §:n 1 momentissa tarkoitettuja tehtäviä lukuun ottamatta. Valvontamaksu on suoritettava täysimääräisesti myös toiminnan ensimmäisenä vuotena, vaikka toiminta aloitettaisiin kesken vuotta. Valvontamaksua ei palauteta, vaikka palveluntarjoaja lopettaisi toimintansa kesken vuotta.

Rekisteröimismaksun, nimeämismaksun ja valvontamaksun määrää maksettavaksi Liikenne- ja viestintävirasto ja ne ovat suoraan ulosottokelpoisia. Liikenne- ja viestintäviraston maksun määräämistä koskevaan päätökseen saa hakea muutosta siten kuin 49 §:n 1 momentissa säädetään. Tarkempia säännöksiä maksujen täytäntöönpanosta voidaan antaa liikenne- ja viestintäministeriön asetuksella.

Rekisteröimismaksun, nimeämismaksun ja valvontamaksun perimisestä säädetään verojen ja maksujen täytäntöönpanosta annetussa laissa. Jollei maksuja suoriteta viimeistään eräpäivänä, maksamattomalle määrälle peritään vuotuista viivästyskorkoa korkolain (633/1982) 4 §:ssä tarkoitetun korkokannan mukaan. Viivästyskoron sijasta viranomainen voi periä viiden euron suuruisen viivästysmaksun, jos viivästyskoron määrä jää tätä pienemmäksi.

Edellä 46 §:n 1 momentissa tarkoitetusta tarkastuksesta peritään sen kohteena olevalta tarkastuksesta aiheutuneet kustannukset noudattaen valtion maksuperustelakia.

Liikenne- ja viestintäviraston päätökseen, joka koskee 47 §:ssä tarkoitettua Liikenne- ja viestintävirastolle maksettavaa maksua, saa vaatia oikaisua. Oikaisuvaatimuksesta säädetään hallintolaissa.

Muutoksenhausta hallintotuomioistuimeen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa (808/2019) .

Liikenne- ja viestintävirasto voi päätöksessään määrätä, että päätöstä on noudatettava ennen kuin se on saanut lainvoiman. Valitusviranomainen voi kuitenkin kieltää päätöksen täytäntöönpanon, kunnes valitus on ratkaistu.

Vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen tämän lain nojalla tekemään päätökseen saa vaatia oikaisua Liikenne- ja viestintävirastolta. Oikaisuvaatimuksesta säädetään hallintolaissa.

Muutoksenhausta hallintotuomioistuimeen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa.

Vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen päätöstä on muutoksenhausta huolimatta noudatettava, jollei muutoksenhakuviranomainen toisin määrää.

Tämä laki tulee voimaan 1 päivänä syyskuuta 2009.

Tällä lailla kumotaan 24 päivänä tammikuuta 2003 annettu laki sähköisistä allekirjoituksista (14/2003) . Viestintäviraston kumottavan lain nojalla antamat määräykset ovat kuitenkin voimassa, kunnes uudet määräykset annetaan tämän lain nojalla.

Ennen lain voimaantuloa voidaan ryhtyä lain täytäntöönpanon edellyttämiin toimiin.

Tunnistuspalvelun tarjoajien on tehtävä Viestintävirastolle 10 §:ssä tarkoitettu ilmoitus kuuden kuukauden kuluessa lain voimaantulosta. Sinä aikana vahvana sähköisenä tunnistuspalveluna ja tunnistuspalvelun tarjoajana pidetään sellaista 1 §:n soveltamisalaan kuuluvaa sähköistä tunnistuspalvelua ja sähköisen tunnistuspalvelun tarjoajaa, joka täyttää 2 §:n 1 ja 4 kohdassa tarkoitetut määritelmät.

Ennen tämän lain voimaantuloa tai 1 momentissa tarkoitetun siirtymäajan kuluessa liikkeelle laskettuja tunnistusvälineitä pidetään vahvan sähköisen tunnistamisen välineinä, jos tunnistuspalvelun tarjoaja tekee 10 §:ssä tarkoitetun ilmoituksen 1 momentissa tarkoitetun ajan kuluessa. Tunnistuspalvelun ja tunnistuspalvelun tarjoajan on tällöin täytettävä kaikki tässä laissa niille asetetut vaatimukset lukuun ottamatta 17 §:ssä säädettyjä vaatimuksia.

Jos tunnistuspalvelun tarjoajat ovat tehneet 17 §:n 2 momentissa tarkoitetun sopimuksen mahdollisuudesta luottaa toistensa tekemään ensitunnistamiseen, eikä ensitunnistamisessa käytetyt tunnistusvälineet liikkeelle laskenut palveluntarjoaja ole tehnyt 10 §:ssä tarkoitettua ilmoitusta 1 momentissa tarkoitetussa ajassa, ensitunnistaminen on tällä tavoin liikkeelle laskettujen tunnistusvälineiden osalta tehtävä 17 §:ssä tarkoitetulla tavalla viivyttelemättä.

Sellaisen laatuvarmenteita tarjoavan varmentajan, joka on tehnyt sähköisistä allekirjoituksista annetun lain 9 §:n 1 momentin mukaisen ilmoituksen ja jatkanut toimintaansa keskeytyksettä tämän lain voimaan tuloon saakka, ei tarvitse tehdä uutta ilmoitusta 32 §:n 1 momentin mukaisesti. Laatuvarmenteita tarjoava varmentaja voi tällöin antaa Viestintävirastolle vapaamuotoisen kirjallisen ilmoituksen toimintansa jatkumisesta entisellään. Tämän lain voimaan tullessa laatuvarmenteita tarjoavan varmentajan on maksettava liikenne- ja viestintäministeriön Viestintäviraston eräistä maksuista annetun asetuksen (1175/2005) 12 §:ssä tarkoitettua varmennemaksua 31 päivään joulukuuta 2009 asti vapaamuotoisen kirjallisen ilmoituksen tekemisen ajankohdasta riippumatta.