412/2019

Helsingissä 29 päivänä maaliskuuta 2019

Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain muuttamisesta ja väliaikaisesta muuttamisesta

Eduskunnan päätöksen mukaisesti

kumotaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain (617/2009) 17 §:n 7 momentti, sellaisena kuin se on laissa 1009/2018,

muutetaan 12 a ja 16 §, 17 §:n 4–6 momentti ja 18 §, sellaisina kuin niistä ovat 12 a ja 16 § sekä 17 §:n 4–6 momentti laissa 1009/2018, sekä

lisätään 3 §:ään uusi 2 momentti, lakiin uusi 12 b–12 d § ja 17 §:ään, siitä tällä lailla kumotun 7 momentin tilalle väliaikaisesti uusi 7 momentti seuraavasti:

3 §
Pakottavuus

Tunnistuspalvelun tarjoajien välinen sopimusehto, joka poikkeaa tämän lain säännöksistä, on mitätön.

12 a §
Tunnistuspalvelun tarjoajien luottamusverkosto

Tunnistuspalvelun tarjoaja liittyy osaksi luottamusverkostoa tehdessään 10 §:n mukaisen ilmoituksen Liikenne- ja viestintävirastolle.

Tunnistusvälineen tarjoajan on tarjottava tunnistuspalvelunsa käyttöoikeutta tunnistusvälityspalvelun tarjoajille siten, että ne voivat välittää tunnistustapahtumia sähköiseen tunnistukseen luottavalle osapuolelle. Tunnistusvälineen tarjoajan on laadittava tunnistuspalvelunsa käyttöoikeuden toimitusehdot ja käytettävä niitä tehdessään sopimuksia tunnistusvälityspalveluiden tarjoajien kanssa. Käyttöoikeuden ehtojen on oltava tämän lain mukaisia sekä kohtuullisia ja syrjimättömiä. Tunnistusvälineen tarjoajan on hyväksyttävä tunnistusvälityspalvelun tarjoajan pyyntö toimitusehtojen mukaisen sopimuksen tekemisestä sekä annettava käyttöoikeus tunnistuspalveluun viipymättä ja viimeistään kuukauden kuluessa pyynnön tekemisestä. Tunnistusvälineen tarjoaja voi kieltäytyä sopimuksen tekemisestä ainoastaan, jos tunnistusvälityspalvelun tarjoaja toimii vastoin tätä lakia tai sen nojalla annettuja säännöksiä tai määräyksiä taikka kieltäytymiselle on muu painava peruste.

Tunnistuspalvelun tarjoajien on tehtävä yhteistyötä sen varmistamiseksi, että luottamusverkoston jäsenten väliset tekniset rajapinnat ovat yhteen toimivia ja että ne mahdollistavat yleisesti tunnettujen standardien mukaisten rajapintojen tarjoamisen luottaville osapuolille.

Tunnistuspalvelun tarjoajan on toteutettava ylläpito-, muutos- ja tietoturvatoimenpiteet muille tunnistuspalvelun tarjoajille, käyttäjille ja luottaville osapuolille mahdollisimman vähän haittaa aiheuttavalla tavalla. Sen lisäksi, mitä 25 ja 26 §:ssä säädetään, tunnistuspalvelun tarjoaja saa tilapäisesti ilman toisen tunnistuspalvelun tarjoajan suostumusta keskeyttää tunnistuspalvelun tarjonnan tai rajoittaa sen käyttöä, jos se on välttämätöntä edellä tarkoitetun toimenpiteen onnistumiseksi. Keskeytyksestä ja muutoksesta on tiedotettava tehokkaasti niille muille tunnistuspalvelun tarjoajille, joiden palveluihin se voi vaikuttaa.

Tunnistuspalvelun tarjoaja saa käyttää käyttöoikeuden luovutuksen tai 16 §:n nojalla saatuja toista tunnistuspalvelun tarjoajaa koskevia tietoja vain siihen tarkoitukseen, jota varten ne on tunnistuspalvelun tarjoajalle annettu. Tietoja saavat tunnistuspalvelun tarjoajan palveluksessa tai sen lukuun käsitellä ainoastaan ne, jotka tarvitsevat tietoja välttämättä työssään. Tietoja on muutoinkin käsiteltävä siten, ettei toisen tunnistuspalvelun tarjoajan liikesalaisuuksia vaaranneta. Tunnistuspalvelun tarjoaja, joka aiheuttaa tämän momentin vastaisella menettelyllä vahinkoa toiselle tunnistuspalvelun tarjoajalle, on velvollinen korvaamaan menettelystään aiheutuvan vahingon.

Luottamusverkoston hallinnollisista käytännöistä, teknisistä rajapinnoista ja hallinnollisista vastuista annetaan tarkempia säännöksiä valtioneuvoston asetuksella.

12 b §
Tunnistuspalvelun käyttöoikeuden toimitusehdot ja tunnistusvälineen tarjoajan tiedonantovelvollisuus 

Tunnistusvälineen tarjoajan on julkaistava tunnistuspalvelunsa käyttöoikeuden toimitusehdot sekä muut käyttöoikeuden luovuttamisen ja tunnistuspalveluiden yhteentoimivuuden kannalta merkitykselliset tiedot verkkosivuillaan. Tunnistusvälineen tarjoajan on julkaistava vähintään seuraavat tiedot:

1) kuvaus tunnistusvälineestä mukaan lukien tieto saatavilla olevista yhteentoimivuusjärjestelmän vahvistamisesta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 12 artiklan 8 kohdan mukaisesti annetun komission täytäntöönpanoasetuksen (EU) 2015/1501 liitteen mukaisista henkilön tunnistetiedoista;

2) tunnistusvälineeseen liittyvät mahdolliset 18 §:ssä tarkoitetut estot ja rajoitukset sekä tieto siitä, miten ne ovat luottavien osapuolten tiedossa tai havaittavissa, taikka tiedot käyttörajoituksen teknisestä toteuttamisesta;

3) kuvaus tunnistustapahtumien välityksen teknisistä rajapinnoista ja testausjärjestelystä siltä osin kuin ne eivät sisällä liikesalaisuuksia tai tietoturvaa vaarantavia tietoja;

4) tunnistustapahtuman hinta;

5) tarjottu palvelutaso;

6) tieto siitä, miten huolto- ja muutostöistä ilmoitetaan;

7) kuvaus laskutusmenettelystä;

8) vahingonkorvausvastuuta koskevat ehdot;

9) tavaramerkkien ja muiden immateriaalioikeuksien käytön ehdot;

10) henkilötietojen käsittelyn periaatteet luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) mukaisena rekisterinpitäjänä;

11) mahdolliset perusteet, joilla toimitusehtoja voidaan yksipuolisesti muuttaa;

12) riidanratkaisun menetelmä;

13) mahdolliset muut luottamusverkoston toiminnan kannalta välttämättömät ehdot.

12 c §
Korvaus tunnistuspalvelun käyttöoikeudesta

Tunnistusvälityspalvelun tarjoajan on suoritettava tunnistuspalvelun käyttöoikeudesta korvaus, joka on enintään 3 senttiä edelleen välitettävältä tunnistustapahtumalta. Korvaus kattaa kaikki sähköiseen tunnistusvälineeseen liittyvät henkilön tunnistetiedot. Liikenne- ja viestintävirasto arvioi korvauksen tasoa vuosittain.

Tunnistuspalvelun käyttöoikeudesta ei saa periä muuta korvausta. Laskutuksen sekä kaikkien sellaisten tunnistusvälineen tarjoajan rajapintojen, toimintojen, palvelujen, ohjelmistojen ja tietojärjestelmien käyttöoikeudet, joita tarvitaan tunnistuksen välittämiseen luottavalle osapuolelle, tulee sisältyä 1 momentissa säädettyyn korvaukseen.

12 d §
Luottamusverkoston jäsenten välinen vahingonkorvausvelvollisuus

Tunnistuspalvelun tarjoaja, joka tahallaan tai huolimattomuudesta toimii 12 a §:n 2 tai 3 momentissa taikka 6 momentin nojalla annetuissa säännöksissä, 12 b tai 12 c §:ssä taikka 17 §:n 4 momentissa säädettyjen velvollisuuksien vastaisesti, on velvollinen korvaamaan toiselle tunnistuspalvelun tarjoajalle aiheuttamansa vahingon.

Vahingonkorvaus käsittää korvauksen kuluista, hinnanerosta sekä muusta välittömästä taloudellisesta vahingosta, joka tunnistuspalvelun tarjoajan 1 momentissa tarkoitetusta toiminnasta on aiheutunut.

Korvausta voidaan sovitella, jos täysi korvausvelvollisuus harkitaan kohtuuttoman raskaaksi rikkomuksen laatu, vahingon laajuus, osapuolten olosuhteet ja muut seikat huomioon ottaen.

Oikeus korvaukseen vanhenee, jollei korvauskannetta ole pantu vireille kolmen vuoden kuluessa siitä, kun tunnistuspalvelun tarjoaja sai tiedon tai sen olisi pitänyt saada tieto vahingon ilmenemisestä.

Käsitellessään 1 momentissa tarkoitettua korvauskannetta tuomioistuin voi pyytää Liikenne- ja viestintäviraston lausuntoa asiassa.

16 §
Tunnistuspalvelun tarjoajan ilmoitukset toimintaan ja tietojen suojaamiseen kohdistuvista uhkista tai häiriöistä

Tunnistuspalvelun tarjoajan on salassapitosäännösten estämättä ilmoitettava ilman aiheetonta viivästystä tunnistuspalveluunsa luottaville osapuolille, tunnistusvälineiden haltijoille, muille luottamusverkostossa toimiville sopimuspuolilleen sekä Liikenne- ja viestintävirastolle palvelun toimivuuteen, tietoturvaan tai sähköisen henkilöllisyyden käyttöön kohdistuvista merkittävistä uhkista tai häiriöistä. Ilmoituksessa on kerrottava niistä toimista, joita eri tahoilla on käytettävissään uhkien tai häiriöiden torjumiseksi sekä näistä toimenpiteistä aiheutuvista arvioiduista kustannuksista.

Tunnistuspalvelun tarjoaja voi salassapitosäännösten estämättä ilmoittaa kaikille luottamusverkoston jäsenille 1 momentissa tarkoitetuista uhkista ja häiriöistä sekä palvelun tarjoajista, joiden on syytä epäillä tavoittelevan oikeudetonta taloudellista hyötyä, antavan merkityksellisiä totuudenvastaisia tai harhaanjohtavia tietoja tai käsittelevän henkilötietoja lainvastaisesti.

Liikenne- ja viestintävirasto voi teknisesti välittää tietoja luottamusverkostossa osapuolten välillä ilmoittajan lukuun sen estämättä, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) säädetään.

17 §
Tunnistusvälineen hakijana olevan luonnollisen henkilön tunnistaminen

Tunnistusvälineen tarjoajan on mahdollistettava se, että toinen tunnistusvälineen tarjoaja voi käyttää sen myöntämää vahvaa sähköistä tunnistusvälinettä ensitunnistamiseen haettaessa vastaavan tai alemman varmuustason vahvaa sähköistä tunnistusvälinettä. Mitä 12 a ja 12 b §:ssä säädetään tunnistuspalvelun käyttöoikeuden luovutuksesta ja toimitusehtojen julkaisemisesta, sovelletaan myös tässä momentissa tarkoitettuun tunnistusvälineen käyttämiseen ensitunnistamisessa.

Aiempaan ensitunnistamiseen luottava tunnistusvälineen tarjoaja vastaa mahdollisesta aiemman ensitunnistamisen virheellisyydestä aiheutuvasta vahingosta suhteessa vahinkoa kärsineeseen.

Jos aiempaan ensitunnistamiseen luottava tunnistusvälineen tarjoaja joutuu vastuuseen vahingosta 5 momentin nojalla, sillä on oikeus saada korvaus vahingostaan ensitunnistamisessa virheen tehneeltä tunnistusvälineen tarjoajalta, ellei tämä osoita, että vahinko ei ole aiheutunut sen tahallisuudesta tai törkeästä huolimattomuudesta.

Mitä 12 c §:ssä säädetään tunnistustapahtuman välittämisestä suoritettavasta korvauksesta, sovelletaan myös 4 momentissa tarkoitettuun tunnistusvälineen käyttämiseen ensitunnistamisessa.

18 §
Oikeustoimen tekemiseen kohdistuvat estot ja rajoitukset

Tunnistuspalvelun tarjoajan, tunnistuspalvelua käyttävän palveluntarjoajan sekä tunnistusvälineen haltijan välisillä sopimuksilla voidaan tunnistusvälineen käyttäminen oikeustoimien tekemiseen estää. Lisäksi oikeustoimien tekemiselle voidaan asettaa sekä käyttötarkoitukseen että tapahtumien rahamääräiseen arvoon liittyviä rajoituksia. Estot tai rajoitukset eivät saa kohdistua yksittäisiin palveluntarjoajiin, eivätkä ne saa riippua siitä, mikä tunnistusvälityspalvelun tarjoaja välittää tunnistustapahtuman.

Tunnistuspalvelun tarjoajan on huolehdittava siitä, että estot tai rajoitukset ovat kaikkien osapuolten tiedossa tai havaittavissa helpolla sekä selvällä ja ymmärrettävällä tavalla. Tunnistusvälineen tarjoaja voi myös toteuttaa estot tai rajoitukset teknisin keinoin. Tunnistuspalvelun tarjoaja ei vastaa niistä toimista, jotka on tehty estojen tai rajoitusten vastaisesti siitä huolimatta, että tunnistuspalvelun tarjoaja on toiminut huolellisesti.

Tunnistusvälineen tarjoajan on järjestettävä tunnistuspalvelua käyttävälle palveluntarjoajalle mahdollisuus tarkastaa tunnistusvälineeseen liittyvät estot tai rajoitukset ympäri vuorokauden. Velvollisuutta ei kuitenkaan ole, jos tunnistusvälineen estojen tai rajoitusten vastainen käyttö on teknisin keinoin estetty.

Tunnistuspalvelua käyttävän palveluntarjoajan on tarkastettava tunnistuspalvelun tarjoajan ylläpitämistä järjestelmistä ja rekistereistä mahdolliset estot tai rajoitukset tunnistusvälineen käytön yhteydessä. Tarkastaminen ei kuitenkaan ole tarpeen, jos tunnistusvälineen estojen tai rajoitusten vastainen käyttö on teknisin keinoin estetty.


Tämä laki tulee voimaan 1 päivänä huhtikuuta 2019. Sen 17 §:n 7 momentti on voimassa kaksi vuotta lain voimaantulosta.

Tunnistusvälineen tarjoajan on laadittava ja julkaistava tunnistuspalvelunsa käyttöoikeuden toimitusehdot kahden kuukauden kuluessa tämän lain voimaantulosta.

Tämän lain voimaan tullessa voimassa olleet tunnistuspalvelun tarjoajien väliset sopimukset on saatettava lain mukaisiksi kolmen kuukauden kuluessa tämän lain voimaantulosta.

Tämän lain voimaan tullessa voimassa olleen 12 a §:n 5 momentin nojalla annettu valtioneuvoston asetus jää voimaan.

HE 264/2018
LiVM 44/2018
EV 289/2018

Helsingissä 29 päivänä maaliskuuta 2019

Tasavallan Presidentti
Sauli Niinistö

Liikenne- ja viestintäministeri
Anne Berner

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.