412/2019

Avtalsvillkor mellan leverantörer av identifieringstjänster som avviker från bestämmelserna i denna lag är ogiltiga.

En leverantör av identifieringstjänster ansluter sig till förtroendenätet när leverantören gör en anmälan enligt 10 § till Transport- och kommunikationsverket.

En leverantör av identifieringsverktyg ska erbjuda leverantörer av tjänster för identifieringsförmedling tillträdesrätt till sina identifieringstjänster så att leverantörerna kan förmedla identifieringstransaktioner till en part som förlitar sig på en elektronisk identifiering. En leverantör av identifieringsverktyg ska upprätta leveransvillkor för tillträdesrätt till sin identifieringstjänst och tillämpa dem vid ingående av avtal med leverantörer av tjänster för identifieringsförmedling. Villkoren för tillträdesrätten ska vara förenliga med denna lag samt rimliga och icke-diskriminerande. Leverantören av identifieringsverktyg ska godkänna en begäran av en leverantör av tjänster för identifieringsförmedling om att ingå ett avtal enligt leveransvillkoren samt bevilja tillträdesrätt till identifieringstjänsten utan dröjsmål och senast inom en månad efter att begäran har gjorts. Leverantören av identifieringsverktyg kan vägra ingå avtal endast om leverantören av tjänster för identifieringsförmedling handlar i strid med denna lag eller de bestämmelser som utfärdats eller de föreskrifter som meddelats med stöd av den eller om det finns andra vägande skäl för vägran.

Leverantörer av identifieringstjänster ska samarbeta för att säkerställa att de tekniska gränssnitten mellan medlemmarna i förtroendenätet är kompatibla och att de gör det möjligt att tillhandahålla gränssnitt som följer allmänt kända standarder för de förlitande parterna.

Leverantörer av identifieringstjänster ska genomföra underhålls-, ändrings- och informationssäkerhetsåtgärder på ett sådant sätt att åtgärderna innebär minsta möjliga olägenhet för identifieringstjänsternas övriga leverantörer, användare och förlitande parter. Utöver det som föreskrivs i 25 och 26 § får en leverantör av identifieringstjänster tillfälligt utan en annan leverantörs samtycke avbryta tillhandahållandet av en identifieringstjänst eller begränsa dess användning, om det är nödvändigt för att de åtgärder som avses ovan ska kunna genomföras framgångsrikt. Övriga leverantörer av identifieringstjänster vilkas tjänster kan påverkas av avbrott och ändringar ska effektivt informeras om dessa.

En leverantör av identifieringstjänster får använda sådan information om en annan leverantör av identifieringstjänster som den erhållit i samband med överlåtelse av tillträdesrätt eller med stöd av 16 § endast för det ändamål för vilket informationen har lämnats till leverantören av identifieringstjänster. Uppgifterna får behandlas endast av den som arbetar hos eller för en leverantör av identifieringstjänster och som nödvändigt behöver uppgifterna i sitt arbete. Uppgifterna ska också annars behandlas så att företagshemligheter som tillhör en annan leverantör av identifieringstjänster inte röjs. En leverantör av identifieringstjänster som genom att handla i strid med detta moment vållar en annan leverantör av identifieringstjänster skada är skyldig att ersätta skadan.

Närmare bestämmelser om förtroendenätets administrativa praxis, tekniska gränssnitt och administrativa ansvar utfärdas genom förordning av statsrådet.

En leverantör av identifieringsverkstyg ska offentliggöra leveransvillkoren för tillträdesrätt till sin identifieringstjänst samt annan information som är relevant för överlåtelse av tillträdesrätt och identifieringstjänsternas kompatibilitet på sin webbplats. Leverantören av identifieringsverktyg ska offentliggöra åtminstone följande information:

Leverantörer av tjänster för identifieringsförmedling ska betala en ersättning på högst 3 cent per förmedlad identifieringstransaktion för tillträdesrätt till identifieringstjänsten. Ersättningen omfattar alla personidentifieringsuppgifter som gäller det elektroniska identifieringsverktyget. Transport- och kommunikationsverket ska bedöma nivån på ersättningen årligen.

Ingen annan ersättning får tas ut för tillträdesrätt till identifieringstjänsten. Den ersättning som anges i 1 mom. ska omfatta fakturering och tillträdesrätter till alla sådana gränssnitt, funktioner, tjänster, programvaror och informationssystem som förvaltas av leverantören av identifieringsverktyget och som behövs för förmedling av identifiering till en förlitande part.

En leverantör av identifieringstjänster som uppsåtligen eller av oaktsamhet handlar i strid med de skyldigheter som anges i 12 a § 2 och 3 mom. eller i bestämmelser som utfärdats med stöd av 12 § 6 mom. eller de skyldigheter som anges i 12 b eller 12 c § eller 17 § 4 mom. är skyldig att ersätta en annan leverantör av identifieringstjänster för skada som har tillfogats denna.

Skadeståndet omfattar ersättning för kostnader, prisskillnad samt annan direkt ekonomisk skada som orsakats av leverantörens i 1 mom. avsedda verksamhet.

Skadeståndet kan jämkas, om fullt skadeståndsansvar bedöms som oskäligt tungt med tanke på förseelsens art, skadans omfattning, parternas situation och andra omständigheter.

Rätten till skadestånd preskriberas om skadeståndstalan inte har väckts inom tre år från det att leverantören av identifieringstjänster fick eller borde ha fått kännedom om uppkomsten av skadan.

Vid prövning av en skadeståndstalan som avses i 1 mom. kan domstolen begära yttrande av Transport- och kommunikationsverket.

En leverantör av identifieringstjänster ska trots sekretessbestämmelserna utan ogrundat dröjsmål anmäla betydande hot och störningar som riktas mot tjänsternas funktion, informationssäkerheten eller användningen av en elektronisk identitet till de tjänsternas förlitande parter, till innehavarna av identifieringsverktyg, till övriga avtalsparter i förtroendenätet och till Transport- och kommunikationsverket. I anmälan ska det redogöras för de åtgärder som olika aktörer har tillgång till för att avvärja hot eller störningar samt de beräknade kostnaderna för åtgärderna.

Leverantören av identifieringstjänster får trots sekretessbestämmelserna underrätta alla medlemmar i förtroendenätet om hot och störningar som avses i 1 mom. samt om tjänsteleverantörer som skäligen kan misstänkas för att eftersträva orättmätig ekonomisk vinning, lämna betydelsefull osann eller vilseledande information eller behandla personuppgifter på ett olagligt sätt.

Transport- och kommunikationsverket får för anmälarens räkning på teknisk väg förmedla uppgifterna mellan parterna i förtroendenätet trots vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet (621/1999).

En leverantör av identifieringsverktyg ska göra det möjligt för en annan leverantör av identifieringsverktyg att använda ett identifieringsverktyg för stark autentisering som beviljats av den förstnämnda för inledande identifiering vid ansökan om ett identifieringsverktyg för stark autentisering på motsvarande eller lägre tillitsnivå. Vad som i 12 a och 12 b § föreskrivs om överlåtelse av tillträdesrätt till identifieringstjänsten och publicering av leveransvillkoren tillämpas också på i detta moment avsedd användning av identifieringsverktyg vid inledande identifiering.

Den leverantör av identifieringsverktyg som litar på en tidigare inledande identifiering bär ansvaret i förhållande till den skadelidande om den inledande identifieringen är felaktig.

Om en leverantör av identifieringsverktyg som litar på en tidigare inledande identifiering blir ansvarig för en skada med stöd av 5 mom., har leverantören rätt att få ersättning för sin skada av den leverantör av identifieringsverktyg som begått felet vid den inledande identifieringen, om inte den sistnämnda leverantören visar att skadan inte har berott på uppsåt eller grov oaktsamhet.

Vad som i 12 c § föreskrivs om ersättning för förmedling av identifieringstransaktioner tillämpas också på i 4 mom. avsedd användning av identifieringsverktyg vid inledande identifiering.

Användningen av identifieringsverktyg för att utföra rättshandlingar får förhindras genom avtal mellan leverantörer av identifieringstjänster, tjänsteleverantörer som använder tjänsterna och innehavare av identifieringsverktyg. Dessutom får utförandet av rättshandlingar begränsas både när det gäller användningsändamål och transaktionernas värde i pengar. Hinder och begränsningar får inte gälla enskilda tjänsteleverantörer och de får inte vara beroende av vilken leverantör av tjänster för identifieringsförmedling som förmedlar identifieringstransaktionen.

Leverantören av identifieringstjänster ska se till att alla parter känner till hindren eller begränsningarna eller att de är lätta att upptäcka och meddelas på ett klart och lättbegripligt sätt. Leverantören av identifieringsverktyg får även införa hinder eller begränsningar med tekniska medel. Leverantören svarar inte för de åtgärder som har vidtagits i strid med hindren eller begränsningarna trots att leverantören har handlat på ett omsorgsfullt sätt.

Leverantören av identifieringsverktyg ska se till att en tjänsteleverantör som använder identifieringstjänsterna har möjlighet att dygnet runt kontrollera de hinder och begränsningar som gäller identifieringsverktyget. Denna skyldighet föreligger dock inte om användning av identifieringsverktyget i strid med hindren och begränsningarna har förhindrats med hjälp av tekniska medel.

En tjänsteleverantör som använder identifieringstjänster ska i samband med användningen av ett identifieringsverktyg kontrollera eventuella hinder eller begränsningar i de system och register som leverantören av identifieringstjänsterna har. Detta behöver dock inte göras om användning av identifieringsverktyget i strid med hindren och begränsningarna har förhindrats med hjälp av tekniska medel.