617/2009

Tässä laissa säädetään vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista sekä niihin liittyvien palveluiden tarjoamisesta niitä käyttäville palveluntarjoajille ja yleisölle.

Lakia ei sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tai yhteisön sisäiseen sähköiseen allekirjoittamiseen käytettävien palveluiden tarjontaan.

Lakia ei sovelleta myöskään, jos yhteisö käyttää omaa tunnistusmenetelmäänsä omien asiakkaidensa tunnistamiseen omissa palveluissaan.

Lakia ei sovelleta tunnistusvälineiden tai sähköisen allekirjoittamisen välineiden valmistamiseen, maahantuontiin tai myyntiin.

Tässä laissa tarkoitetaan:

Sopimusehto, joka poikkeaa tämän lain säännöksistä kuluttajan vahingoksi, on mitätön, jollei jäljempänä toisin säädetä.

Tunnistusvälineillä voidaan tehdä niiden ominaisuuksista riippuen sähköisiä allekirjoituksia ja kehittyneitä sähköisiä allekirjoituksia, jollei muualla laissa tai 18 §:ssä muuta säädetä.

Tunnistusvälinettä voidaan käyttää oikeustoimen tekemiseen, jollei muualla laissa tai 18 §:ssä muuta säädetä.

Jos oikeustoimeen vaaditaan lain mukaan allekirjoitus, vaatimuksen täyttää ainakin sellainen kehittynyt sähköinen allekirjoitus, joka perustuu laatuvarmenteeseen ja on luotu turvallisella allekirjoituksen luomisvälineellä. Sähköiseltä allekirjoitukselta ei tule kuitenkaan evätä oikeusvaikutuksia yksinomaan sen vuoksi, että se on tehty muulla kuin edellä mainitulla tavalla.

Sähköisen allekirjoituksen käytöstä hallinnossa säädetään erikseen.

Tunnistuspalvelun tarjoaja saa käsitellä tunnistusvälineen liikkeelle laskemisessa, palvelun ylläpidossa sekä tunnistustapahtuman toteuttamisessa tarvittavia henkilötietoja henkilötietolain (523/1999) 8 §:n 1 momentin 1 ja 2 kohdassa tarkoitetuilla perusteilla. Sähköisiä allekirjoituksia tarjoava varmentaja saa samoilla perusteilla käsitellä varmenteen myöntämisessä ja ylläpidossa tarvittavia henkilötietoja. Tunnistuspalvelun tarjoaja ja sähköisiä allekirjoituksia tarjoava varmentaja saavat edellä mainitussa tarkoituksessa lisäksi kerätä henkilötietoja henkilöltä itseltään.

Henkilötietoja saa käsitellä muussa kuin 1 momentissa mainitussa tarkoituksessa ainoastaan henkilötietolain 8 §:n 1 momentin 1 kohdassa tarkoitetuilla perusteilla.

Tunnistuspalvelun tarjoaja ja sähköisiä allekirjoituksia tarjoava varmentaja voi tarkistaessaan hakijan henkilöllisyyden vaatia hakijaa ilmoittamaan henkilötunnuksensa. Tunnistuspalvelun tarjoaja ja sähköisiä allekirjoituksia tarjoava varmentaja saavat käsitellä henkilötunnusta rekistereissään 1 momentissa mainitussa tarkoituksessa. Henkilötunnuksen saa sisällyttää tunnistusvälineeseen tai varmenteeseen, jos välineen tai varmenteen tietosisältö on ainoastaan sellaisen tahon saatavilla, jolle se on välttämätöntä palvelun toteuttamiseksi. Henkilötunnus ei saa olla saatavissa julkisesta hakemistosta.

Muilta osin henkilötietojen käsittelystä säädetään 19, 24, 30, 37 ja 38 §:ssä sekä henkilötietolaissa.

Tunnistuspalvelun tarjoaja ja sähköisiä allekirjoituksia tarjoava varmentaja saavat henkilötietolain 8 §:n 1 momentin 1 ja 2 kohdassa tarkoitetuilla perusteilla ja tämän lain 6 §:n 1 momentissa mainitussa tarkoituksessa hankkia henkilötietoja ja tarkastaa hakijan tai haltijan ilmoittamat henkilötiedot väestötietojärjestelmästä.

Väestötietojärjestelmästä luovutettava tieto on julkisoikeudellinen suorite. Suoritteen maksullisuudesta säädetään valtion maksuperustelaissa (150/1992).

Tunnistusmenetelmän on täytettävä seuraavat vaatimukset:

Mitä 1 momentissa säädetään, ei estä palvelun tarjoamista palvelukohtaisesti siten, että tunnistuspalvelun tarjoaja ilmoittaa tunnistuspalvelua käyttävälle palveluntarjoajalle tunnistusvälineen haltijan salanimen tai ainoastaan rajoitetun määrän henkilötietoja.

Viestintävirasto voi antaa tarkempia teknisiä määräyksiä 1 momentissa tarkoitetuista vaatimuksista.

Tunnistuspalvelun tarjoajana olevan tai sen lukuun toimivan luonnollisen henkilön, palveluntarjoajana olevan yhteisön tai säätiön hallituksen tai hallintoneuvoston jäsenten ja varajäsenten, toimitusjohtajan, vastuunalaisen yhtiömiehen taikka muussa näihin rinnastettavassa asemassa olevien on täytettävä seuraavat edellytykset:

Tunnistuspalvelun tarjoajan on oltava luotettava. Tunnistuspalvelun tarjoajaa ei pidetä luotettavana, jos 1 momentissa tarkoitettu henkilö on lainvoiman saaneella tuomiolla tuomittu viiden viimeisen vuoden aikana vankeusrangaistukseen tai kolmen viimeisen vuoden aikana sakkorangaistukseen rikoksesta, jonka voidaan katsoa osoittavan henkilön olevan ilmeisen sopimaton harjoittamaan tunnistuspalvelun tarjontaa.

Tunnistuspalvelun tarjoajaa ei pidetä luotettavana myöskään, jos 1 momentissa tarkoitettu henkilö on muutoin aikaisemmalla toiminnallaan osoittanut olevansa ilmeisen sopimaton tunnistuspalvelun tarjoajaksi.

Suomeen sijoittautuneen tunnistuspalvelun tarjoajan on ennen toiminnan aloittamista tehtävä kirjallinen ilmoitus Viestintävirastolle. Ilmoituksen voi tehdä myös sellainen palveluntarjoajien yhteenliittymä, jonka hallinnoimaa palvelua on pidettävä yhtenä tunnistuspalveluna.

Ilmoituksessa on oltava:

Tunnistuspalvelun tarjoajan on viipymättä ilmoitettava 2 momentissa tarkoitetuissa tiedoissa tapahtuneista muutoksista kirjallisesti Viestintävirastolle. Ilmoitus on tehtävä myös toiminnan lopettamisesta sekä toimintojen siirtymisestä toiselle palveluntarjoajalle.

Viestintävirasto voi antaa valvontatoiminnan kannalta tarpeellisia teknisiä määräyksiä edellä tässä pykälässä tarkoitettujen ilmoitettavien tietojen tarkemmasta sisällöstä ja niiden toimittamisesta Viestintävirastolle.

Mitä 10 §:ssä säädetään, ei estä muualle Euroopan talousalueelle sijoittautunutta tunnistuspalvelun tarjoajaa tekemästä mainitussa pykälässä tarkoitettua ilmoitusta.

Viestintävirasto ylläpitää julkista rekisteriä 10 §:n mukaisen ilmoituksen tehneistä tunnistuspalvelun tarjoajista ja niiden tarjoamista palveluista.

Viestintäviraston on 10 §:ssä tarkoitetun ilmoituksen saatuaan kiellettävä palveluntarjoajaa tarjoamasta palveluaan vahvana sähköisenä tunnistamisena, jos palvelu tai palveluntarjoaja ei täytä tässä luvussa asetettuja vaatimuksia. Jos puutteellisuutta voidaan pitää ainoastaan vähäisenä, Viestintävirasto voi kehottaa palveluntarjoajaa korjaamaan puutteellisuuden määräajassa.

Tunnistuspalvelun tarjoajan on huolehdittava siitä, että sen palveluksessa olevalla henkilöstöllä on harjoitetun toiminnan laajuuteen nähden riittävä asiantuntemus, kokemus ja pätevyys.

Tunnistuspalvelun tarjoajalla on oltava harjoitetun toiminnan laajuuteen nähden riittävät taloudelliset voimavarat toiminnan järjestämiseksi ja mahdollisen vahingonkorvausvastuun kattamiseksi. Palveluntarjoaja voi myös ryhtyä muihin tarpeellisiin toimenpiteisiin mahdollisen vahingonkorvausvastuun varalta.

Tunnistamispalvelun tarjoajan on lisäksi huolehdittava palvelujensa henkilötietolain 32 §:ssä tarkoitetusta tietojen suojaamisesta sekä riittävästä tietoturvasta.

Tunnistuspalvelun tarjoaja vastaa apunaan käyttämiensä henkilöiden tuottamien palveluiden ja tuotteiden luotettavuudesta ja toimivuudesta.

Tunnistuspalvelun tarjoajalla on oltava tunnistusperiaatteet, joissa määritellään tarkemmin, kuinka palveluntarjoaja täyttää tässä laissa tarkoitetut velvollisuutensa. Erityisesti on määriteltävä tarkemmin, kuinka tunnistuspalvelun tarjoaja toteuttaa 17 §:ssä tarkoitetun ensitunnistamisen.

Lisäksi tunnistusperiaatteissa on annettava keskeiset tiedot:

Jos tunnistusvälineillä voidaan tehdä sähköisiä allekirjoituksia tai kehittyneitä sähköisiä allekirjoituksia, tunnistuspalvelun tarjoajan on annettava tieto myös niiden toteuttamismenetelmästä, tasosta ja turvallisuustekijöistä.

Tunnistuspalvelun tarjoajan on pidettävä tunnistusperiaatteet yleisesti saatavilla ja ajantasaisina.

Tunnistuspalvelun tarjoajan on ennen tunnistusvälineen hakijan kanssa tehtävän sopimuksen tekemistä annettava hakijalle tiedot:

Edellä 1 momentissa tarkoitetut tiedot on annettava kirjallisesti tai sähköisesti siten, että tunnistusvälineen hakija voi tallentaa ja toisintaa ne muuttumattomina. Jos sopimus tehdään tunnistusvälineen hakijan pyynnöstä sellaista etäviestintä käyttäen, että tietoja ja sopimusehtoja ei voida antaa edellä tarkoitetulla tavalla ennen sopimuksen tekemistä, tiedot on annettava sanotulla tavalla viipymättä sopimuksen tekemisen jälkeen.

Henkilötietojen käsittelyä koskevasta tiedonantovelvollisuudesta säädetään henkilötietolaissa.

Tunnistuspalvelun tarjoajan on ilmoitettava ilman aiheetonta viivästystä tunnistuspalvelua käyttäville palveluntarjoajille, tunnistusvälineiden haltijoille sekä Viestintävirastolle palvelun tietoturvaan kohdistuvista merkittävistä uhkista tai häiriöistä.

Jos uhka tai häiriö kohdistuu henkilötietolain 32 §:ssä tarkoitettuun tietojen suojaamiseen, tunnistuspalvelun tarjoajan on ilmoitettava asiasta 1 momentissa tarkoitettujen tahojen lisäksi tietosuojavaltuutetulle.

Ilmoituksessa on samalla kerrottava niistä toimista, joita eri tahoilla on käytettävissään uhkien tai häiriöiden torjumiseksi sekä näistä toimenpiteistä aiheutuvista arvioiduista kustannuksista.

Ensitunnistamisen on tapahduttava henkilökohtaisesti. Tunnistuspalvelun tarjoajan on tunnistettava tunnistusvälineen hakija huolellisesti toteamalla hänen henkilöllisyytensä voimassa olevasta Euroopan talousalueen jäsenvaltion, Sveitsin tai San Marinon viranomaisen myöntämästä passista tai henkilökortista. Halutessaan tunnistuspalvelun tarjoaja voi käyttää ensitunnistamisessa myös Euroopan talousalueen jäsenvaltion viranomaisen 1 päivän lokakuuta 1990 jälkeen myöntämää voimassa olevaa ajokorttia tai muun valtion viranomaisen myöntämää voimassa olevaa passia.

Ensitunnistamisen henkilökohtaisuudesta voidaan poiketa, jos tunnistuspalvelun tarjoajat ovat tehneet keskenään sopimuksen mahdollisuudesta luottaa toistensa tekemään ensitunnistamiseen. Tunnistusvälinettä voidaan tällöin hakea sähköisesti. Tunnistuspalvelun tarjoajien on sopimuksessaan määriteltävä, kuinka vastuu mahdollisesta alkuperäisen ensitunnistamisen virheellisyydestä niiden keskinäisessä suhteessa jakaantuu. Suhteessa vahingon kärsineeseen vastaa se tunnistuspalvelun tarjoaja, joka luottaa toisen tekemään ensitunnistamiseen.

Tunnistusvälinettä voidaan hakea sähköisesti myös silloin, jos hakijalla on voimassa oleva saman tunnistuspalvelun tarjoajan antama tunnistusväline. Ensitunnistamista ei tällöin tarvitse tehdä uudelleen.

Jos tunnistusvälineen hakijan henkilöllisyyttä ei voida luotettavasti todentaa, hakemukseen liittyvän ensitunnistamisen tekee poliisi. Poliisin tekemästä ensitunnistamisesta tunnistusvälineen hakijalle aiheutuva kustannus on julkisoikeudellinen suorite. Suoritteen maksullisuudesta säädetään valtion maksuperustelaissa.

Tunnistuspalvelun tarjoajan, tunnistuspalvelua käyttävän palveluntarjoajan sekä tunnistusvälineen haltijan välisillä sopimuksilla voidaan tunnistusvälineen käyttäminen oikeustoimien tekemiseen estää. Lisäksi oikeustoimien tekemiselle voidaan asettaa sekä käyttötarkoitukseen että tapahtumien rahamääräiseen arvoon liittyviä rajoituksia.

Tunnistuspalvelun tarjoajan on huolehdittava siitä, että estot tai rajoitukset ovat kaikkien osapuolten tiedossa tai havaittavissa helpolla tavalla. Tunnistuspalvelun tarjoaja voi myös toteuttaa estot tai rajoitukset teknisin keinoin. Tunnistuspalvelun tarjoaja ei vastaa niistä toimista, jotka on tehty estojen tai rajoitusten vastaisesti siitä huolimatta, että tunnistuspalvelun tarjoaja on toiminut huolellisesti.

Tunnistuspalvelun tarjoajan on järjestettävä tunnistuspalvelua käyttävälle palveluntarjoajalle mahdollisuus tarkastaa tunnistusvälineeseen liittyvät estot tai rajoitukset ympäri vuorokauden. Velvollisuutta ei kuitenkaan ole, jos tunnistusvälineen estojen tai rajoitusten vastainen käyttö on teknisin keinoin estetty.

Tunnistuspalvelua käyttävän palveluntarjoajan on tarkastettava tunnistuspalvelun tarjoajan ylläpitämistä järjestelmistä ja rekistereistä mahdolliset estot tai rajoitukset tunnistusvälineen käytön yhteydessä. Tarkastaminen ei kuitenkaan ole tarpeen, jos tunnistusvälineen estojen tai rajoitusten vastainen käyttö on teknisin keinoin estetty.

Jos tunnistusmenetelmä perustuu varmenteeseen, tulee varmenteen sisältää ainakin:

Varmennepalvelun tarjoajan tulee omalta osaltaan varmistaa, että tunnistuspalvelua käyttävällä palveluntarjoajalla on saatavillaan varmenteen tietosisältö, jos se on tarpeen tunnistamisen toteuttamiseksi.

Tunnistusvälineen liikkeelle laskeminen perustuu tunnistusvälineen hakijan ja tunnistuspalvelun tarjoajan väliseen sopimukseen. Sopimus on tehtävä kirjallisesti. Sopimus voidaan tehdä myös sähköisesti, jos sen sisältöä ei voida yksipuolisesti muuttaa ja se säilyy osapuolten saatavilla. Tunnistuspalvelun tarjoajan tulee kohdella asiakkaitaan syrjimättä ja tunnistusvälineiden hakijoita tasapuolisesti sopimuksen tekemisen yhteydessä.

Sopimus voi olla voimassa toistaiseksi tai määräaikaisesti. Tunnistusvälineellä voi olla oma voimassaoloaikansa, joka on lyhyempi kuin sopimuksen voimassaoloaika.

Tunnistusväline annetaan aina luonnolliselle henkilölle. Tunnistusvälineen on oltava henkilökohtainen. Tunnistusvälineeseen voidaan tarvittaessa liittää tieto siitä, että henkilö voi tapauskohtaisesti myös edustaa toista luonnollista henkilöä tai oikeushenkilöä.

Tunnistuspalvelun tarjoajan on luovutettava tunnistusväline sen hakijalle siten kuin sopimuksessa on sovittu. Tunnistuspalvelun tarjoajan on riittävällä tavalla varmistettava, ettei tunnistusväline joudu oikeudettomasti toisen haltuun välinettä luovutettaessa.

Tunnistuspalvelun tarjoaja saa toimittaa tunnistusvälineen haltijalle uuden välineen ilman nimenomaista pyyntöä vain, jos aikaisemmin annettu tunnistusväline on korvattava uudella. Toimittamisessa noudatetaan tällöin 21 §:n säännöksiä.

Tunnistusvälineen haltijan on käytettävä tunnistusvälinettä sopimuksen ehtojen mukaisesti. Haltijan on säilytettävä tunnistusvälinettä huolellisesti. Haltijan velvollisuus huolehtia tunnistusvälineestä alkaa, kun hän on vastaanottanut sen.

Tunnistusvälineen haltija ei saa luovuttaa välinettä toisen käyttöön.

Tunnistuspalvelun tarjoajan on tallennettava:

Edellä 1 momentin 1 kohdassa tarkoitetut tiedot on säilytettävä viisi vuotta tunnistustapahtumasta ja 2―4 kohdassa tarkoitetut tiedot viisi vuotta tunnistuspalvelun tarjoajan ja tunnistusvälineen haltijan välisen asiakassuhteen päättymisestä.

Tunnistustapahtuman yhteydessä syntyneet henkilötiedot on hävitettävä tunnistustapahtuman jälkeen, jollei tallentaminen ole välttämätöntä yksittäisen tunnistustapahtuman todentamiseksi.

Tunnistuspalvelun tarjoaja saa käsitellä tallennettuja tietoja ainoastaan palvelun toteuttamiseksi ja ylläpitämiseksi, laskutusta varten, omien oikeuksiensa turvaamista varten riitatilanteissa sekä tunnistuspalvelua käyttävän palveluntarjoajan tai tunnistusvälineen haltijan pyynnöstä. Tunnistuspalvelun tarjoajan on tallennettava tieto käsittelyn ajankohdasta, syystä ja käsittelijästä.

Edellä 1 momentin 1 kohta ja 3 momentti eivät koske sellaista palveluntarjoajaa, joka ainoastaan laskee liikkeelle tunnistusvälineitä. Edellä 2 momentissa tarkoitettu viiden vuoden tallennusaika lasketaan tällöin tunnistusvälineen voimassaolon päättymisestä.

Tunnistusvälineen haltijan on ilmoitettava tunnistuspalvelun tarjoajalle tai tämän nimeämälle muulle taholle tunnistusvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä ilman aiheetonta viivytystä havaittuaan asian.

Tunnistuspalvelun tarjoajan on tarjottava mahdollisuus tehdä 1 momentissa tarkoitettu ilmoitus milloin tahansa. Tunnistuspalvelun tarjoajan on viipymättä peruutettava tunnistusväline tai estettävä sen käyttö saatuaan asiaa koskevan ilmoituksen.

Tunnistuspalvelun tarjoajan on asianmukaisesti ja viipymättä merkittävä järjestelmään tieto peruuttamisen tai käytön estämisen ajankohdasta. Tunnistusvälineen haltijalla on oikeus saada pyynnöstä todistus siitä, että hän on tehnyt 1 momentissa mainitun ilmoituksen. Todistusta on pyydettävä 18 kuukauden kuluessa ilmoituksesta.

Järjestelmän on oltava sellainen, että tunnistuspalvelua käyttävä palveluntarjoaja voi helposti tarkastaa siihen merkityt tiedot ympäri vuorokauden. Velvollisuutta järjestää tarkastusmahdollisuutta ei kuitenkaan ole, jos tunnistusvälineen käyttö voidaan teknisesti estää tai se voidaan sulkea.

Tunnistuspalvelua käyttävän palveluntarjoajan on tarkastettava tunnistuspalvelun tarjoajan ylläpitämistä järjestelmistä ja rekistereistä mahdolliset peruutukset ja käytön estot tunnistusvälineen käytön yhteydessä. Tarkastaminen ei kuitenkaan ole tarpeen, jos tunnistusvälineen käyttö voidaan teknisesti estää tai se voidaan sulkea.

Jos tunnistuspalvelu perustuu varmenteisiin ja peruutettuja varmenteita koskevat tiedot annetaan sulkulistan avulla, varmennepalvelun tarjoaja saa tallentaa tiedot sulkulistalta tehdystä varmenteen voimassaolon tarkastamisesta. Vaihtoehtoisesti varmentaja voi tallentaa sulkulistan.

Sen lisäksi, mitä 25 §:ssä säädetään, tunnistuspalvelun tarjoaja voi peruuttaa tunnistusvälineen tai estää sen käytön, jos:

Tunnistuspalvelun tarjoajan tulee ilmoittaa haltijalle niin pian kuin mahdollista tunnistusvälineen peruuttamisesta tai käytön estämisestä ja peruuttamisen tai käytön estämisen ajankohdasta sekä siihen johtaneista syistä.

Tunnistuspalvelun tarjoajan on palautettava mahdollisuus käyttää tunnistusvälinettä tai annettava haltijalle uusi väline välittömästi 1 momentin 2 ja 3 kohdassa tarkoitetun syyn poistuttua.

Tunnistusvälineen haltija vastaa tunnistusvälineen oikeudettomasta käytöstä vain, jos:

Tunnistusvälineen haltija ei kuitenkaan vastaa tunnistusvälineen oikeudettomasta käytöstä:

Turvallisen allekirjoituksen luomisvälineen on riittävän luotettavasti varmistettava, että:

Allekirjoituksen luomisvälineen katsotaan aina täyttävän 1 momentissa säädetyt vaatimukset, jos:

Viestintävirasto voi nimetä tarkastuslaitoksia, joiden tehtävänä on arvioida, täyttääkö allekirjoituksen luomisväline 28 §:n 1 momentissa säädetyt vaatimukset. Tarkastuslaitokset voivat olla yksityisiä tai julkisia laitoksia.

Tarkastuslaitoksen nimeämisen edellytyksenä on, että:

Viestintävirasto nimeää tarkastuslaitokset hakemuksen perusteella. Hakemuksen tulee sisältää hakijan yhteystietojen ja kaupparekisteriotteen tai vastaavan selvityksen lisäksi selvitys 2 momentissa tarkoitettujen edellytysten täyttymisestä hakijan toiminnassa. Viestintävirasto antaa tarvittaessa ohjeita hakemukseen sisällytettävistä tiedoista ja niiden toimittamisesta Viestintävirastolle.

Viestintävirasto valvoo tarkastuslaitoksen toimintaa. Jos tarkastuslaitos ei täytä säädettyjä vaatimuksia tai toimii säännösten vastaisesti, Viestintäviraston on peruutettava nimeämispäätös. Tarkastuslaitoksen on ilmoitettava Viestintävirastolle toimintansa sellaisista muutoksista, joilla on vaikutusta tarkastuslaitoksen nimeämisen edellytyksiin.

Tarkastuslaitos voi arviointitehtävässä käyttää apunaan laitoksen ulkopuolisia henkilöitä. Tarkastuslaitos vastaa myös apunaan käyttämiensä henkilöiden työstä.

Laatuvarmenteella tarkoitetaan varmennetta, joka täyttää 2 momentissa säädetyt vaatimukset ja jonka on myöntänyt 33―38 §:ssä säädetyt vaatimukset täyttävä varmentaja.

Laatuvarmenteen tulee sisältää:

Jos laatuvarmenteita tarjoava varmentaja tarjoaa myös 3 luvussa tarkoitettua tunnistuspalvelua, katsotaan 1 momentin vaatimusten täyttävän aina myös 19 §:n 1 momentissa tarkoitetut varmenteen tietosisältöä koskevat vaatimukset.

Muun kuin Suomeen sijoittautuneen varmentajan laatuvarmenteena tarjoaman varmenteen katsotaan täyttävän tässä laissa säädetyt laatuvarmennetta koskevat vaatimukset, jos:

Laatuvarmenteita tarjoavan varmentajan on ennen toiminnan aloittamista tehtävä kirjallinen ilmoitus Viestintävirastolle. Ilmoituksen tulee sisältää varmentajan nimi ja yhteystiedot sekä tiedot, joiden perusteella 30 ja 33―38 §:ssä säädettyjen vaatimusten täyttyminen voidaan varmistaa. Viestintävirasto voi antaa määräyksiä ilmoitettavien tietojen tarkemmasta sisällöstä ja niiden toimittamisesta Viestintävirastolle.

Viestintäviraston on viipymättä ilmoituksen saatuaan kiellettävä varmentajaa tarjoamasta varmenteitaan laatuvarmenteina, jos varmenne ei täytä 30 §:n 2 momentin vaatimuksia tai varmentaja ei täytä 33―38 §:ssä säädettyjä vaatimuksia.

Jos 1 momentissa tarkoitetut tiedot ovat muuttuneet, varmentajan on viipymättä ilmoitettava muutoksista kirjallisesti Viestintävirastolle.

Viestintävirasto pitää laatuvarmenteita myöntävistä varmentajista julkista rekisteriä.

Laatuvarmenteita tarjoava varmentaja voi tehdä myös 10 §:ssä tarkoitetun ilmoituksen, jos se haluaa tarjota laatuvarmenteiden lisäksi tunnistuspalvelua.

Varmentajalla on oltava harjoitetun toiminnan laajuuteen nähden riittävät tekniset taidot ja taloudelliset voimavarat. Varmentaja vastaa kaikista varmentamistoiminnan osa-alueista, myös mahdollisten varmentajan apunaan käyttämien henkilöiden tuottamien palveluiden ja tuotteiden luotettavuudesta ja toimivuudesta.

Varmentajan tulee:

Varmentaja ei saa tallentaa tai jäljentää allekirjoittajalle luovutettuja allekirjoituksen luomistietoja.

Laatuvarmenteita tarjoavan varmentajan on huolehdittava siitä, että sen käyttämät järjestelmät sekä laitteet ja ohjelmistot ovat riittävän turvallisia ja luotettavia sekä suojattu muutoksilta ja väärentämiseltä.

Sähköisiin allekirjoituksiin liittyvän laitteen tai ohjelmiston katsotaan täyttävän 1 momentissa säädetyt vaatimukset aina, jos laite tai ohjelmisto on Euroopan yhteisöjen komission vahvistamien, Euroopan unionin virallisessa lehdessä julkaistujen yleisesti tunnustettujen standardien mukainen.

Laatuvarmenteita tarjoavan varmentajan tulee huolellisesti ja luotettavalla tavalla tarkistaa laatuvarmenteen hakijan henkilöllisyys ja muut laatuvarmenteen liikkeelle laskemisessa ja ylläpidossa tarpeelliset hakijan henkilöön liittyvät tiedot. Laatuvarmenteita tarjoavan varmentajan on tunnistettava hakija henkilökohtaisesti. Varmentajan tulee kohdella asiakkaitaan syrjimättä ja laatuvarmenteiden hakijoita tasapuolisesti sopimuksen tekemisen yhteydessä.

Laatuvarmenteita tarjoavan varmentajan tulee ennen sopimuksen tekemistä antaa laatuvarmenteen hakijalle tiedot laatuvarmenteen käyttöehdoista, mukaan lukien mahdolliset käyttörajoitukset, tiedot vapaaehtoisista akkreditointijärjestelmistä, varmennetoiminnan viranomaisvalvonnasta sekä valitus- ja riitojenratkaisumenettelyistä. Tiedot tulee antaa laatuvarmenteen hakijalle kirjallisesti sellaisessa muodossa, että hakija voi ne vaivatta ymmärtää.

Allekirjoittajan on viipymättä pyydettävä laatuvarmenteen myöntäneeltä varmentajalta laatuvarmenteen peruuttamista, jos hänellä on perusteltu syy epäillä allekirjoituksen luomistietojen oikeudetonta käyttöä.

Laatuvarmenteita tarjoavan varmentajan on viipymättä peruutettava laatuvarmenne, jos allekirjoittaja sitä pyytää. Laatuvarmenteen peruuttamispyynnön katsotaan saapuneen varmentajalle silloin, kun se on ollut varmentajan käytettävissä siten, että pyyntöä voidaan käsitellä.

Laatuvarmenne voidaan peruuttaa myös, jos siihen muutoin on erityistä syytä. Laatuvarmenteen peruuttamisesta ja peruuttamisajankohdasta tulee aina ilmoittaa allekirjoittajalle.

Laatuvarmenteita tarjoavan varmentajan tulee ylläpitää rekisteriä myöntämistään laatuvarmenteista ( varmennerekisteri ). Rekisteriin tulee merkitä:

Laatuvarmenteita tarjoavan varmentajan tulee varmistaa, että laatuvarmenteella varmennettuun kehittyneeseen sähköiseen allekirjoitukseen luottavalla osapuolella on saatavilla 30 §:n 2 momentissa määritelty varmenteen tietosisältö. Edellä 1 momentin 3 kohdassa tarkoitettuja tietoja ei kuitenkaan tarvitse tallentaa varmennerekisteriin, jos varmentaja huolehtii muulla tavoin siitä, että varmenteeseen luottava osapuoli pystyy esittämään luotettavan näytön sulkulistan asianmukaisesta tarkastamisesta.

Varmentajan tulee myös ylläpitää laatuvarmenteisiin luottavien osapuolten saatavilla olevaa rekisteriä peruutetuista laatuvarmenteista ( sulkulista ). Sulkulistalle on viipymättä merkittävä tieto laatuvarmenteen peruuttamisesta sekä tarkka peruuttamisajankohta.

Edellä 2 ja 3 momentissa mainittujen tietojen on oltava ympärivuorokautisesti käytettävissä.

Laatuvarmenteita tarjoavan varmentajan tulee luotettavalla ja tarkoituksenmukaisella tavalla säilyttää varmennerekisterin tiedot 10 vuoden ajan varmenteen voimassaolon päättymisestä.

Jos laatuvarmenteita tarjoava varmentaja tarjoaa myös vahvaa sähköistä tunnistuspalvelua, se voi 24 §:n estämättä säilyttää tietoja kaikilta osin 1 momentissa tarkoitetulla tavalla.

Laatuvarmenteita tarjoava varmentaja saa tallentaa tiedot sulkulistalta tehdystä varmenteen voimassaolon tarkistamisesta. Tallennettuja tietoja saa käyttää ainoastaan varmenteiden käytön laskutuksen suorittamiseksi tai varmenteella varmennetun sähköisen allekirjoituksen avulla tehtyjen oikeustoimien todentamiseksi.

Allekirjoittaja vastaa laatuvarmenteella varmennetun kehittyneen sähköisen allekirjoituksen luomistietojen oikeudettomasta käytöstä aiheutuneesta vahingosta, kunnes varmenteen peruuttamispyyntö on saapunut varmentajalle siten kuin 36 §:n 2 momentissa säädetään.

Kuluttajalla on kuitenkin 1 momentissa säädetty vastuu vain, jos:

Laatuvarmenteita tarjoava varmentaja on vastuussa vahingosta, joka laatuvarmenteeseen luottaneelle on aiheutunut siitä, että:

Varmentaja vapautuu 1 momentissa säädetystä vastuusta, jos se näyttää, että vahinko ei ole aiheutunut sen omasta tai sen apunaan käyttämän henkilön huolimattomuudesta.

Varmentaja ei vastaa vahingosta, joka aiheutuu laatuvarmenteeseen sisältyvän käyttörajoituksen vastaisesta käytöstä.

Muilta osin laatuvarmenteita yleisölle tarjoavan varmentajan vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974).

Mitä tässä pykälässä säädetään, sovelletaan myös varmentajaan, joka takaa yleisölle varmenteen laatuvarmenteeksi.

Vahvan sähköisen tunnistamisen ja sähköisten allekirjoitusten yleinen ohjaus ja kehittäminen kuuluvat liikenne- ja viestintäministeriölle.

Viestintäviraston tehtävänä on valvoa tämän lain noudattamista lukuun ottamatta 1 §:n 3 momenttia. Viestintävirasto antaa tarvittaessa teknisiä määräyksiä tunnistuspalvelun tarjoajien ja laatuvarmenteita tarjoavien varmentajien toiminnan luotettavuus- ja tietoturvallisuusvaatimuksista.

Tietosuojavaltuutetun tehtävänä on valvoa tämän lain henkilötietoja koskevien säännösten noudattamista.

Viestintävirastolla on oikeus salassapitosäännösten estämättä saada tunnistuspalvelun tarjoajilta ja laatuvarmenteita tarjoavilta varmentajilta, 29 §:ssä tarkoitetuilta tarkastuslaitoksilta sekä heidän apunaan toimivilta henkilöiltä 42 §:ssä säädettyjen tehtävien suorittamiseksi tarpeelliset tiedot.

Tietosuojavaltuutetulla on tehtäväänsä suorittaessaan henkilötietolaissa tarkoitetut tiedonsaantioikeudet.

Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) säädetään, Viestintävirastolla ja tietosuojavaltuutetulla on oikeus luovuttaa salassapitosäännösten estämättä Finanssivalvonnalle sellaisia tietoja, jotka ovat tarpeen sen tehtävien suorittamiseksi. Finanssivalvonnalla on vastaava oikeus luovuttaa salassapitosäännösten estämättä Viestintävirastolle ja tietosuojavaltuutetulle tietoja, jotka ovat tarpeen niiden tässä laissa säädettyjen tehtävien suorittamiseksi.

Viestintäviraston ja tietosuojavaltuutetun on tämän lain mukaisia tehtäviä hoitaessaan toimittava tarvittaessa tarkoituksenmukaisessa yhteistyössä Finanssivalvonnan, kilpailuviraston ja Kuluttajaviraston kanssa sekä keskenään.

Jos joku rikkoo tätä lakia tai sen nojalla annettuja määräyksiä, Viestintävirasto voi velvoittaa tämän korjaamaan virheensä tai laiminlyöntinsä. Päätöksen tehosteeksi voidaan asettaa uhkasakko tai uhka, että toiminta keskeytetään osaksi tai kokonaan taikka että tekemättä jätetty toimenpide teetetään asianomaisen kustannuksella. Uhkasakosta, keskeyttämisuhasta ja teettämisuhasta säädetään uhkasakkolaissa (1113/1990).

Teettämällä suoritetun toimenpiteen kustannukset suoritetaan valtion varoista ja peritään laiminlyöjältä siinä järjestyksessä kuin verojen ja maksujen täytäntöönpanosta annetussa laissa (706/2007) säädetään.

Viestintävirastolla on oikeus tehdä tunnistuspalvelun tarjoajaa ja sen tarjoamaa palvelua, 29 §:ssä tarkoitettua tarkastuslaitosta ja sen toimintaa taikka laatuvarmenteita tarjoavaa varmentajaa ja sen tarjoamaa palvelua koskeva tarkastus, jos sillä on syytä epäillä, että ne ovat olennaisesti rikkoneet tätä lakia tai sen nojalla annettuja määräyksiä.

Viestintävirasto tekee vuosittain laatuvarmenteita tarjoavan varmentajan ja sen tarjoamaa palvelua koskevan tarkastuksen.

Viestintävirasto määrää tarkastajan toimittamaan edellä 1 tai 2 momentissa tarkoitetun tarkastuksen. Tarkastusta toimittavalla henkilöllä on oikeus tutkia tunnistuspalvelun tarjoajan ja laatuvarmenteita tarjoavan varmentajan tai niiden apunaan käyttämien henkilöiden laitteet ja ohjelmistot, joilla voi olla merkitystä tämän lain tai sen nojalla annettujen määräysten noudattamisen valvonnassa.

Tunnistuspalvelun tarjoajien ja laatuvarmenteita tarjoavien varmentajien tai niiden apunaan käyttämien henkilöiden on tarkastusta varten päästettävä 3 momentissa tarkoitettu tarkastaja muihin kuin kotirauhan piiriin kuuluviin valmistus-, liike- ja varastotiloihin.

Viestintävirastolla on oikeus saada virka-apua poliisilta tässä pykälässä tarkoitetun tarkastuksen suorittamiseksi.

Tietosuojavaltuutetulla on tehtäväänsä suorittaessaan henkilötietolaissa tarkoitetut tarkastusoikeudet.

Edellä 10 §:ssä tarkoitetun ilmoituksen tehneen tunnistuspalvelun tarjoajan tai palveluntarjoajien yhteenliittymän on suoritettava Viestintävirastolle 5 000 euron rekisteröimismaksu. Lisäksi tunnistuspalvelun tarjoajan tai yhteenliittymän on suoritettava Viestintävirastolle vuosittain 12 000 euron valvontamaksu.

Edellä 32 §:ssä tarkoitetun ilmoituksen tehneen laatuvarmenteita tarjoavan varmentajan on suoritettava Viestintävirastolle 5 000 euron rekisteröimismaksu. Lisäksi laatuvarmenteita tarjoavan varmentajan on suoritettava Viestintävirastolle vuosittain 40 000 euron valvontamaksu. Jos laatuvarmenteita tarjoava varmentaja tekee myös 10 §:ssä tarkoitetun ilmoituksen, on sen maksettava 1 momentissa tarkoitettu rekisteröimismaksu.

Edellä 29 §:n mukaisesti nimetyn tarkastuslaitoksen on suoritettava Viestintävirastolle 10 000 euron nimeämismaksu. Lisäksi tarkastuslaitoksen on suoritettava Viestintävirastolle vuosittain 15 000 euron valvontamaksu.

Rekisteröimismaksu, nimeämismaksu ja valvontamaksu vastaavat niitä kustannuksia, jotka aiheutuvat Viestintävirastolle tässä laissa säädettyjen tehtävien hoitamisesta 46 §:n 1 momentissa tarkoitettuja tehtäviä lukuun ottamatta. Valvontamaksu on suoritettava täysimääräisesti myös toiminnan ensimmäisenä vuotena, vaikka toiminta aloitettaisiin kesken vuotta. Valvontamaksua ei palauteta, vaikka palveluntarjoaja lopettaisi toimintansa kesken vuotta.

Rekisteröimismaksun, nimeämismaksun ja valvontamaksun määrää maksettavaksi Viestintävirasto. Viestintäviraston maksun määräämistä koskevaan päätökseen saa hakea muutosta siten kuin 49 §:n 1 momentissa säädetään. Tarkempia säännöksiä maksujen täytäntöönpanosta voidaan antaa liikenne- ja viestintäministeriön asetuksella.

Rekisteröimismaksu, nimeämismaksu ja valvontamaksu saadaan periä ilman tuomiota tai päätöstä siinä järjestyksessä kuin verojen ja maksujen täytäntöönpanosta annetussa laissa säädetään. Jollei maksuja suoriteta viimeistään eräpäivänä, maksamattomalle määrälle peritään vuotuista viivästyskorkoa korkolain (633/1982) 4 §:n 1 momentissa tarkoitetun korkokannan mukaan. Viivästyskoron sijasta viranomainen voi periä viiden euron suuruisen viivästysmaksun, jos viivästyskoron määrä jää tätä pienemmäksi.

Jos tunnistuspalvelun tarjoajan toiminta joudutaan 46 §:n 1 momentin nojalla tarkastamaan, tunnistuspalvelun tarjoajalta peritään tarkastuksesta aiheutuneet kustannukset siten kuin valtion maksuperustelaissa säädetään.

Rangaistus henkilörekisteririkoksesta säädetään rikoslain (39/1889) 38 luvun 9 §:ssä ja henkilörekisteririkkomuksesta henkilötietolain 48 §:n 2 momentissa.

Muutoksen hakemisesta Viestintäviraston tämän lain nojalla tekemään päätökseen säädetään hallintolainkäyttölaissa (586/1996).

Viestintävirasto voi päätöksessään määrätä, että päätöstä on noudatettava ennen kuin se on saanut lainvoiman. Valitusviranomainen voi kuitenkin kieltää päätöksen täytäntöönpanon, kunnes valitus on ratkaistu.

Muutoksenhausta tietosuojavaltuutetun päätökseen säädetään henkilötietolaissa.

Tämä laki tulee voimaan 1 päivänä syyskuuta 2009.

Tällä lailla kumotaan 24 päivänä tammikuuta 2003 annettu laki sähköisistä allekirjoituksista (14/2003). Viestintäviraston kumottavan lain nojalla antamat määräykset ovat kuitenkin voimassa, kunnes uudet määräykset annetaan tämän lain nojalla.

Ennen lain voimaantuloa voidaan ryhtyä lain täytäntöönpanon edellyttämiin toimiin.

Tunnistuspalvelun tarjoajien on tehtävä Viestintävirastolle 10 §:ssä tarkoitettu ilmoitus kuuden kuukauden kuluessa lain voimaantulosta. Sinä aikana vahvana sähköisenä tunnistuspalveluna ja tunnistuspalvelun tarjoajana pidetään sellaista 1 §:n soveltamisalaan kuuluvaa sähköistä tunnistuspalvelua ja sähköisen tunnistuspalvelun tarjoajaa, joka täyttää 2 §:n 1 ja 4 kohdassa tarkoitetut määritelmät.

Ennen tämän lain voimaantuloa tai 1 momentissa tarkoitetun siirtymäajan kuluessa liikkeelle laskettuja tunnistusvälineitä pidetään vahvan sähköisen tunnistamisen välineinä, jos tunnistuspalvelun tarjoaja tekee 10 §:ssä tarkoitetun ilmoituksen 1 momentissa tarkoitetun ajan kuluessa. Tunnistuspalvelun ja tunnistuspalvelun tarjoajan on tällöin täytettävä kaikki tässä laissa niille asetetut vaatimukset lukuun ottamatta 17 §:ssä säädettyjä vaatimuksia.

Jos tunnistuspalvelun tarjoajat ovat tehneet 17 §:n 2 momentissa tarkoitetun sopimuksen mahdollisuudesta luottaa toistensa tekemään ensitunnistamiseen, eikä ensitunnistamisessa käytetyt tunnistusvälineet liikkeelle laskenut palveluntarjoaja ole tehnyt 10 §:ssä tarkoitettua ilmoitusta 1 momentissa tarkoitetussa ajassa, ensitunnistaminen on tällä tavoin liikkeelle laskettujen tunnistusvälineiden osalta tehtävä 17 §:ssä tarkoitetulla tavalla viivyttelemättä.

Sellaisen laatuvarmenteita tarjoavan varmentajan, joka on tehnyt sähköisistä allekirjoituksista annetun lain 9 §:n 1 momentin mukaisen ilmoituksen ja jatkanut toimintaansa keskeytyksettä tämän lain voimaan tuloon saakka, ei tarvitse tehdä uutta ilmoitusta 32 §:n 1 momentin mukaisesti. Laatuvarmenteita tarjoava varmentaja voi tällöin antaa Viestintävirastolle vapaamuotoisen kirjallisen ilmoituksen toimintansa jatkumisesta entisellään. Tämän lain voimaan tullessa laatuvarmenteita tarjoavan varmentajan on maksettava liikenne- ja viestintäministeriön Viestintäviraston eräistä maksuista annetun asetuksen (1175/2005) 12 §:ssä tarkoitettua varmennemaksua 31 päivään joulukuuta 2009 asti vapaamuotoisen kirjallisen ilmoituksen tekemisen ajankohdasta riippumatta.