14/2003

Syftet med denna lag är att främja användningen av elektroniska signaturer och tillhandahållandet av produkter för elektroniska signaturer och tjänster i anslutning till dem samt att främja datasekretessen och dataskyddet vid elektronisk handel och elektronisk kommunikation.

I denna lag avses med

Denna lag tillämpas på elektroniska signaturer samt på dem som tillhandahåller allmänheten produkter för elektroniska signaturer och tjänster i anslutning till dem.

I fråga om användningen av elektroniska signaturer inom förvaltningen gäller dessutom vad som bestäms särskilt.

I denna lag avsedda produkter för elektroniska signaturer och tjänster i anslutning till dem skall ha fri rörlighet på den inre marknaden.

En säker anordning för signaturframställning skall på ett tillräckligt tillförlitligt sätt säkerställa att

En anordning för signaturframställning anses alltid uppfylla kraven i 1 mom., om

Kommunikationsverket kan utse kontrollorgan med uppgift att bedöma om anordningar för signaturframställning uppfyller kraven i 5 § 1 mom. Kontrollorganen kan vara privata eller offentliga inrättningar.

En inrättning kan utses till kontrollorgan under förutsättning att

Kommunikationsverket utser kontrollorganen på ansökan. Ansökan skall utöver sökandens kontaktuppgifter och handelsregisterutdrag eller motsvarande utredning innehålla uppgift om huruvida sökandens verksamhet uppfyller kraven i 2 mom. Kommunikationsverket meddelar vid behov anvisningar om de uppgifter som skall ingå i ansökan och om inlämnandet av dem till Kommunikationsverket.

Kommunikationsverket övervakar kontrollorganens verksamhet. Om ett kontrollorgan inte uppfyller fastställda krav eller om det bryter mot bestämmelserna, skall Kommunikationsverket återkalla beslutet genom vilket det utsett kontrollorganet. Kontrollorganen skall underrätta Kommunikationsverket om sådana ändringar i verksamheten som inverkar på förutsättningarna för att bli utsedd till kontrollorgan.

Vid bedömningen av anordningar kan kontrollorganet anlita utomstående personer. Kontrollorganet svarar också för det arbete som dessa utför.

Med kvalificerat certifikat avses ett certifikat som uppfyller kraven i 2 mom. och som har utfärdats av en certifikatutfärdare som uppfyller kraven i 10–15 §.

Ett kvalificerat certifikat skall innehålla

Ett certifikat som anges vara kvalificerat och som tillhandahålls av en certifikatutfärdare som inte är etablerad i Finland anses uppfylla kraven på kvalificerat certifikat i denna lag, om

En certifikatutfärdare som avser att tillhandahålla allmänheten kvalificerade certifikat skall innan verksamheten inleds göra en skriftlig anmälan till Kommunikationsverket. Anmälan skall innehålla certifikatutfärdarens namn och kontaktuppgifter samt de uppgifter som behövs för att säkerställa att kraven i 7 § och 10–15 § uppfylls. Kommunikationsverket kan meddela för tillsynen behövliga föreskrifter och rekommendationer om det närmare innehållet i de uppgifter som skall lämnas och om inlämnandet av dem till Kommunikationsverket.

Kommunikationsverket skall utan dröjsmål efter det att anmälan inkommit förbjuda certifikatutfärdaren att tillhandahålla certifikat som anges vara kvalificerade, om certifikaten inte uppfyller kraven i 7 § 2 mom. eller om certifikatutfärdaren inte uppfyller kraven i 10–15 §.

Certifikatutfärdaren skall utan dröjsmål skriftligen underrätta Kommunikationsverket, om de uppgifter som avses i 1 mom. har ändrats.

Kommunikationsverket för ett offentligt register över certifikatutfärdare som utfärdar kvalificerade certifikat.

En certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat bör bedriva verksamheten på ett omsorgsfullt, tillförlitligt och ändamålsenligt sätt samt bemöta sina kunder på ett icke-diskriminerande sätt. Certifikatutfärdaren skall ha tillräckliga tekniska kunskaper och ekonomiska resurser med tanke på verksamhetens omfattning. Certifikatutfärdaren svarar för alla delområden av verksamheten, även för att tjänster och produkter som produceras av personer som certifikatutfärdaren eventuellt anlitar är tillförlitliga och fungerar.

Certifikatutfärdaren skall

Certifikatutfärdaren får inte lagra eller kopiera de signaturframställningsdata som överlåtits till en undertecknare.

En certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat skall se till att de system samt maskinvaror och programvaror som används är tillräckligt säkra och tillförlitliga samt skyddade mot ändringar och mot förfalskning.

En maskinvara eller programvara avsedd för elektroniska signaturer anses alltid uppfylla kraven i 1 mom., om den överensstämmer med de allmänt erkända standarder som Europeiska gemenskapernas kommission har fastställt och som har publicerats i Europeiska gemenskapernas officiella tidning.

En certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat skall omsorgsfullt och på ett tillförlitligt sätt kontrollera identiteten hos den som ansöker om kvalificerat certifikat och andra uppgifter som hänför sig till sökandens person och som är relevanta för utfärdandet och upprätthållandet av det kvalificerade certifikatet. Certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat skall identifiera sökanden personligen.

En certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat skall innan ett avtal ingås informera sökanden om villkoren för användning av det kvalificerade certifikatet, inbegripet eventuella begränsningar av användningen, om frivilliga ackrediteringssystem, myndighetstillsynen över verksamheten samt förfarandena för klagomål och avgörande av tvister. Informationen skall ges skriftligen i sådan form att sökanden kan förstå den utan svårighet. Informationen skall ges åtminstone på finska eller svenska enligt sökandens val.

Undertecknaren skall omedelbart begära att den certifikatutfärdare som utfärdat ett kvalificerat certifikat skall återkalla det, om undertecknaren har grundad anledning att anta att signaturframställningsdata används på obehörigt sätt.

En certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat skall omedelbart återkalla ett kvalificerat certifikat, om undertecknaren begär det. Begäran om återkallande av ett kvalificerat certifikat anses ha inkommit till certifikatutfärdaren då den har stått till utfärdarens förfogande så att begäran kan behandlas.

Ett kvalificerat certifikat kan också återkallas om det annars finns särskild anledning till det. Undertecknaren skall alltid underrättas om att det kvalificerade certifikatet har återkallats och om tidpunkten för återkallandet.

En certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat skall föra register över utfärdade kvalificerade certifikat ( certifikatregister ). I registret skall införas

En certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat skall säkerställa att den som förlitar sig på en avancerad elektronisk signatur som är baserad på ett kvalificerat certifikat har tillgång till certifikatets i 7 § 2 mom. definierade innehåll. De uppgifter som avses ovan i 1 mom. 3 punkten behöver dock inte införas i certifikatregistret, om certifikatutfärdaren på annat sätt ser till att den som förlitar sig på certifikatet kan förete tillförlitligt bevis på behörig kontroll av spärrlistan.

Certifikatutfärdaren skall också föra ett register över återkallade kvalificerade certifikat ( spärrlista ) som skall vara tillgängligt för dem som förlitar sig på kvalificerade certifikat. På spärrlistan skall på lämpligt sätt och utan dröjsmål införas uppgift om att ett kvalificerat certifikat har återkallats samt exakt tidpunkt för återkallandet.

De uppgifter som nämns i 2 och 3 mom. skall vara tillgängliga dygnet runt.

En certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat skall på ett tillförlitligt och ändamålsenligt sätt förvara uppgifterna i certifikatregistret i 10 år från det certifikatet upphörde att gälla.

En certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat är ansvarig för skada som åsamkats den som förlitat sig på ett kvalificerat certifikat, om skadan uppkommit genom att

Certifikatutfärdaren är fri från ansvar enligt 1 mom., om utfärdaren visar att skadan inte har orsakats av vårdslöshet hos utfärdaren själv eller någon som denne har anlitat.

En certifikatutfärdare ansvarar inte för skada som orsakats av att ett kvalificerat certifikat har använts i strid med de begränsningar av användningen som ingår i det.

I fråga om skadeståndsansvaret för certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat gäller i övrigt vad som bestäms i skadeståndslagen (412/1974) .

Vad som bestäms i denna paragraf tillämpas också på en certifikatutfärdare som för allmänheten garanterar att ett certifikat är ett kvalificerat certifikat.

Undertecknaren ansvarar för skada som orsakats av obehörig användning av signaturframställningsdata för skapande av en avancerad elektronisk signatur som är baserad på ett kvalificerat certifikat tills en begäran om återkallande av certifikatet har inkommit till certifikatutfärdaren så som anges i 13 § 2 mom.

En konsument har emellertid ansvar enligt 1 mom. endast om

Ett avtalsvillkor som till konsumentens nackdel avviker från bestämmelserna i 2 mom. är utan verkan.

Om det beträffande en rättshandling i lag ställs krav på underskrift, uppfylls detta krav åtminstone genom en sådan avancerad elektronisk signatur som baserar sig på ett kvalificerat certifikat och har skapats med en säker anordning för signaturframställning.

En certifikatutfärdare som tillhandahåller allmänheten certifikat får inhämta de personuppgifter som är nödvändiga för att utfärda och upprätthålla ett certifikat endast hos undertecknaren själv. När det gäller certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat ingår närmare bestämmelser om utfärdandet av kvalificerade certifikat, de register som skall föras och förvaringen av uppgifter i 2 kap.

När identiteten hos den som ansöker om certifikat kontrolleras får certifikatutfärdaren kräva att sökanden uppger sin personbeteckning. Undertecknarens personbeteckning får inte tas in i certifikatet.

Endast med undertecknarens uttryckliga samtycke får personuppgifter

I fråga om behandlingen av personuppgifter gäller dessutom vad som bestäms i personuppgiftslagen (523/1999) .

Certifikatutfärdaren har med uttryckligt samtycke av den som ansöker om certifikat rätt att ur befolkningsdatasystemet skaffa och i det kontrollera de personuppgifter som lämnats av sökanden.

Uppgifterna i befolkningsdatasystemet lämnas ut som en offentligrättslig prestation enligt lagen om grunderna för avgifter till staten (150/1992) .

Certifikatutfärdaren får registrera uppgifter om kontroll av certifikatens giltighet som gjorts på spärrlistan. De registrerade uppgifterna får användas endast för fakturering av användningen av certifikat och för verifiering av rättshandlingar som företagits med hjälp av elektroniska signaturer som är baserade på certifikat.

Den allmänna styrningen samt utvecklandet av certifikatverksamheten ankommer på kommunikationsministeriet.

Kommunikationsverket skall övervaka att denna lag iakttas. Kommunikationsverket meddelar vid behov tekniska föreskrifter och rekommendationer om kraven på tillförlitlighet och datasäkerhet i verksamheten när det gäller certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat som hänför sig till elektroniska signaturer.

I fråga om avgifter för Kommunikationsverkets tillsyn och andra prestationer gäller vad som föreskrivs i lagen om grunderna för avgifter till staten.

Dataombudsmannen skall övervaka att bestämmelserna om personuppgifter i denna lag iakttas. Vid fullgörandet av uppgiften har dataombudsmannen rätt att få information och utöva tillsyn i enlighet med personuppgiftslagen. Bestämmelser om sökande av ändring när det gäller dataombudsmannens verksamhet finns i personuppgiftslagen.

Utan hinder av bestämmelserna om tystnadsplikt har Kommunikationsverket rätt att av certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat som hänför sig till elektroniska signaturer och av dem som dessa certifikatutfärdare anlitar få de upplysningar som behövs för fullgörande av de uppgifter som anges i 22 §.

En inspektör som Kommunikationsverket har förordnat för uppgiften har rätt att utföra inspektioner för tillsynen över att denna lag och föreskrifter som meddelats med stöd av lagen följs. Den som utför inspektionen har rätt att hos en certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat som hänför sig till elektroniska signaturer och hos dem som denne anlitar undersöka sådana maskinvaror och programvaror som kan vara av betydelse vid tillsynen över att denna lag och föreskrifter som meddelats med stöd av lagen följs.

En certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat som hänför sig till elektroniska signaturer, och de personer som denne anlitat, skall för inspektion ge en inspektör som avses i 1 mom. tillträde till andra produktions- och affärslokaler samt lagerutrymmen än sådana som omfattas av hemfriden.

Kommunikationsverket har rätt att få handräckning av polisen för utförande av inspektion enligt 1 och 2 mom.

De som fullgör uppgifter enligt denna lag har tystnadsplikt enligt vad som bestäms i lagen om offentlighet i myndigheternas verksamhet (621/1999) .

Bestämmelser om straff för personregisterbrott finns i 38 kap. 9 § strafflagen (39/1889) och bestämmelser om straff för personregisterförseelse finns i 48 § 2 mom. personuppgiftslagen.

Om någon bryter mot denna lag eller mot föreskrifter som har utfärdats med stöd av den, kan Kommunikationsverket ålägga denne att rätta sitt fel eller sin försummelse. Beslutet kan förenas med vite eller med hot om att verksamheten kommer att avbrytas helt eller delvis eller att den försummade åtgärden kommer att vidtas på den försumliges bekostnad. Beträffande vite, hot om avbrytande och hot om tvångsutförande gäller vad som föreskrivs i viteslagen (1113/1990) .

Kostnaderna för en åtgärd som vidtagits på den försumliges bekostnad betalas av statens medel och indrivs hos den försumlige i den ordning som bestäms i lagen om indrivning av skatter och avgifter i utsökningsväg (367/1961) .

I beslut som Kommunikationsverket har fattat med stöd av denna lag får ändring sökas enligt förvaltningsprocesslagen (586/1996) .

Kommunikationsverket kan i sitt beslut bestämma att beslutet skall iakttas innan det har vunnit laga kraft. Besvärsmyndigheten kan dock förbjuda verkställigheten av beslutet tills besvären har avgjorts.

Denna lag träder i kraft den 1 februari 2003.

Åtgärder som verkställigheten av lagen förutsätter får vidtas innan lagen träder i kraft.

En certifikatutfärdare som har börjat tillhandahålla allmänheten kvalificerade certifikat innan denna lag har trätt i kraft skall inom tre månader från ikraftträdandet göra en anmälan enligt 9 §.