Eduskunnan päätöksen mukaisesti
kumotaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain (617/2009) 30, 32 ja 36 §, 4 a luku sekä 42 c §, sellaisina kuin ne ovat, 30, 32 ja 36 § laissa 1009/2018, 4 a luku laissa 533/2016 ja 42 c § laissa 1188/2019,
muutetaan lain nimike, 1, 2 ja 7 b §, 17 §:n 2 momentti, 24 §:n 2 momentti, 29 §, 31 §:n 1 momentti, 37, 38, 42 ja 42 a §, 45 §:n 1 momentti sekä 45 a, 46, 47 ja 49 a §,
sellaisina kuin ne ovat, nimike, 1 § ja 24 §:n 2 momentti laissa 533/2016, 2 ja 7 b §, 17 §:n 2 momentti, 29, 37 ja 38 §, 45 §:n 1 momentti, 45 a, 46 sekä 47 § laissa 1009/2018, 31 §:n 1 momentti laissa 1188/2019, 42 § laeissa 1009/2018 ja 230/2021, 42 a § laissa 230/2021 sekä 49 a § laissa 1542/2019, sekä
lisätään lakiin uusi 12 e, 21 a ja 46 a § seuraavasti:
1 §
Soveltamisala
Tässä laissa säädetään:
1) vahvasta sähköisestä tunnistamisesta;
2) tunnistuspalveluiden tarjoamisesta palveluntarjoajille, yleisölle ja toisille tunnistuspalvelun tarjoajille;
3) tunnistuspalvelujen vaatimustenmukaisuuden arvioinnista.
Lakia ei sovelleta:
1) yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan;
2) yhteisöön, joka käyttää omaa tunnistusmenetelmäänsä omien asiakkaidensa tunnistamiseen omissa palveluissaan.
Eräistä rajat ylittävän sähköisen asioinnin mahdollistavista palveluista annetussa laissa ( / ) säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014, jäljempänä eIDAS-asetus, sellaisena kuin se on viimeksi muutettuna asetuksella (EU) 2024/1183 säännösten noudattamisen valvonnasta ja annetaan mainittua asetusta täydentäviä säännöksiä.
2 §
Määritelmät
Tässä laissa tarkoitetaan:
1) vahvalla sähköisellä tunnistamisella sellaista henkilön, oikeushenkilön tai oikeushenkilöä edustavan luonnollisen henkilön yksilöimistä ja tunnisteen aitouden ja oikeellisuuden todentamista sähköistä menetelmää käyttäen, joka täyttää eIDAS-asetuksen 8 artiklan 2 kohdan b alakohdassa tarkoitetun korotetun varmuustason tai mainitun kohdan c alakohdassa tarkoitetun korkean varmuustason vaatimukset;
2) tunnistusvälineellä eIDAS-asetuksen 3 artiklan 2 alakohdassa tarkoitettua sähköisen tunnistamisen menetelmää;
3) tunnistuspalvelun tarjoajalla tunnistusvälityspalvelun tarjoajaa ja tunnistusvälineen tarjoajaa;
4) tunnistusvälineen tarjoajalla palveluntarjoajaa, joka tarjoaa tai laskee liikkeelle vahvan sähköisen tunnistamisen tunnistusvälineitä yleisölle sekä tarjoaa tunnistusvälinettään tunnistusvälityspalvelun tarjoajalle välitettäväksi luottamusverkostossa;
5) tunnistusvälityspalvelun tarjoajalla palveluntarjoajaa, joka välittää vahvan sähköisen tunnistamisen tunnistustapahtumia sähköiseen tunnistukseen luottavalle osapuolelle;
6) tunnistusvälineen haltijalla luonnollista henkilöä ja oikeushenkilöä, jolle tunnistuspalvelun tarjoaja on sopimukseen perustuen antanut tunnistusvälineen;
7) ensitunnistamisella tunnistusvälineen hakijan henkilöllisyyden todentamista välineen hankkimisen yhteydessä;
8) varmenteella sähköistä todistusta, joka todentaa henkilöllisyyden tai todentaa henkilöllisyyden ja liittää luottamuspalvelun todentamistiedot luottamuspalvelun käyttäjään ja jota voidaan käyttää vahvassa sähköisessä tunnistamisessa ja luottamuspalveluissa;
9) varmentajalla luonnollista henkilöä tai oikeushenkilöä, joka tarjoaa varmenteita yleisölle;
10) luottamusverkostolla Liikenne- ja viestintäviraston ilmoituksen tehneiden tunnistuspalvelun tarjoajien verkostoa;
11) vaatimustenmukaisuuden arviointilaitoksella Liikenne- ja viestintäviraston hyväksymää tuotteiden kaupan pitämiseen liittyvää akkreditointia ja markkinavalvontaa koskevista vaatimuksista ja neuvoston asetuksen (ETY) N:o 339/93 kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 765/2008 2 artiklan 13 kohdassa tarkoitettua elintä, joka on akkreditoitu mainitun asetuksen mukaisesti;
12) eurooppalaisella digitaalisen identiteetin lompakolla eIDAS-asetuksen 3 artiklan 42 alakohdassa tarkoitettua eurooppalaista digitaalisen identiteetin lompakkoa;
13) sähköisen tunnistamisen järjestelmällä samaa kuin eIDAS-asetuksen 3 artiklan 4 alakohdassa;
14) luottavalla osapuolella samaa kuin eIDAS-asetuksen 3 artiklan 6 alakohdassa.
7 b §
Tieto passin, henkilökortin tai digitaalisen henkilöllisyystodistuksen voimassaolosta
Tunnistuspalvelun tarjoajalla on oikeus saada salassapitosäännösten estämättä teknisen rajapinnan kautta tai muutoin sähköisesti poliisin tietojärjestelmässä oleva tieto ensitunnistamisessa käytettävän passin tai henkilökortin voimassaolosta sekä Digi- ja väestötietoviraston tietojärjestelmässä oleva tieto ensitunnistamisessa käytettävän digitaalisesta henkilöllisyystodistuksesta annetussa laissa ( / ) tarkoitetun digitaalisen henkilöllisyystodistuksen tiedot sisältävän hyväksytyn sähköisen attribuuttitodistuksen voimassaolosta.
Tunnistusvälineen tarjoaja on velvollinen varmistamaan 1 momentissa tarkoitetut tiedot ensitunnistamisessa käytettävän asiakirjan voimassaolosta. Tunnistusvälineen tarjoajan on varmistettava, että tunnistusväline ei ole käytettävissä ennen kuin asiakirjan voimassaolo on varmistettu.
12 e §
Eurooppalaiseen digitaalisen identiteetin lompakkoon perustuvien tunnistustapahtumien välittäminen
Tunnistusvälityspalvelun tarjoajat voivat välittää eurooppalaiseen digitaalisen identiteetin lompakkoon perustuvia tunnistustapahtumia sähköiseen tunnistukseen luottavalle osapuolelle, vaikka lompakkoon tai sen tarjoajaan ei sovelleta tämän lain säännöksiä.
17 §
Tunnistusvälineen hakijana olevan luonnollisen henkilön tunnistaminen
Muuttamaton osa säädöstekstistä on jätetty pois
Ensitunnistamisessa, joka perustuu yksinomaan viranomaisen myöntämään henkilöllisyyttä osoittavaan asiakirjaan, hyväksyttäviä asiakirjoja ovat voimassa oleva Euroopan talousalueen jäsenvaltion, Sveitsin tai San Marinon viranomaisen myöntämä passi tai henkilökortti. Tunnistusvälineen tarjoaja voi hyväksyä henkilöllisyyttä osoittavaksi asiakirjaksi myös digitaalisesta henkilöllisyystodistuksesta annetussa laissa tarkoitetun digitaalisen henkilöllisyystodistuksen. Halutessaan tunnistusvälineen tarjoaja voi käyttää henkilöllisyyden varmentamisessa lisäksi muun valtion viranomaisen myöntämää voimassa olevaa passia.
Muuttamaton osa säädöstekstistä on jätetty pois
21 a §
Tunnistusvälineen uudelleenaktivointi
Tunnistusvälineen uudelleenaktivoinnissa tulee noudattaa sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.2.3 säädettyjä vaatimuksia.
24 §
Tunnistustapahtumaa ja tunnistusvälinettä koskevien tietojen tallentaminen ja käyttö
Muuttamaton osa säädöstekstistä on jätetty pois
Tunnistusvälineen tarjoajan on tallennettava tarvittavat tiedot 17 ja 17 a §:ssä tarkoitetusta hakijan ensitunnistamisesta ja siinä käytetystä asiakirjasta tai sähköisestä tunnistamisesta. Jos ensitunnistamiseen käytetään toisen tunnistusvälineen tarjoajan tunnistusvälinettä, ensitunnistustapahtumasta on välitettävä tieto kyseiselle tunnistusvälineen tarjoajalle tunnistustapahtuman yhteydessä.
Muuttamaton osa säädöstekstistä on jätetty pois
29 §
Sähköisen tunnistuspalvelun vaatimustenmukaisuuden arviointi
Tunnistuspalvelun tarjoajan on määräajoin teetettävä palvelulleen 28 §:ssä tarkoitetun arviointielimen arviointi siitä, täyttääkö tunnistuspalvelu tässä laissa säädetyt yhteentoimivuutta, tietoturvaa, tietosuojaa ja muuta luotettavuutta koskevat vaatimukset.
Liikenne- ja viestintäviraston oikeudesta antaa tarkempia määräyksiä tunnistuspalvelun vaatimustenmukaisuuden arvioinnissa käytettävistä arviointiperusteista säädetään 42 §:ssä. Liikenne- ja viestintävirasto voi määrätä arviointiperusteeksi 1 momentissa tarkoitettujen säädösten lisäksi Euroopan unionin tai muun kansainvälisen toimielimen antamia säännöksiä tai ohjeita, julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta koskevia ohjeita ja yleisesti käytettyjä tietoturvallisuusstandardeja tai menettelyjä.
31 §
Tarkastuskertomus
Tunnistuspalvelun tarjoajan on hankittava vaatimustenmukaisuuden arvioinnista tarkastuskertomus, joka toimitetaan Liikenne- ja viestintävirastolle.
Muuttamaton osa säädöstekstistä on jätetty pois
37 §
Vaatimustenmukaisuuden arviointilaitoksen toiminta
Vaatimustenmukaisuuden arviointilaitos voi tehtävässään käyttää apunaan organisaation ulkopuolisia henkilöitä. Arviointilaitos vastaa myös apunaan käyttämiensä henkilöiden työstä.
Vaatimustenmukaisuuden arviointilaitoksen tässä laissa tarkoitettuja julkisia hallintotehtäviä hoitaessaan noudatettavista hyvän hallinnon periaatteista säädetään hallintolaissa (434/2003), viranomaisten toiminnan julkisuudesta annetussa laissa, sähköisestä asioinnista viranomaistoiminnassa annetussa laissa (13/2003), kielilaissa (423/2003) sekä saamen kielilaissa (1086/2003). Vaatimustenmukaisuuden arviointilaitoksen ja sen käyttämän tytäryhtiön tai alihankkijan henkilöstöön sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä tässä pykälässä tarkoitettuja tehtäviä hoidettaessa. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974).
Vaatimustenmukaisuuden arviointilaitoksen on ilmoitettava Liikenne- ja viestintävirastolle kaikista muutoksista, joilla on vaikutusta hyväksymisen edellytysten täyttymiseen.
38 §
Vaatimustenmukaisuuden arviointilaitoksen hyväksymisen peruuttaminen
Jos Liikenne- ja viestintävirasto toteaa, että vaatimustenmukaisuuden arviointilaitos ei täytä sille säädettyjä edellytyksiä tai toimii olennaisesti säännösten vastaisesti, Liikenne- ja viestintäviraston on asetettava sille riittävä määräaika asian korjaamiseksi.
Liikenne- ja viestintävirasto voi peruuttaa arviointilaitoksen hyväksymisen, jos arviointilaitos ei ole korjannut toimintaansa 1 momentin nojalla asetetussa määräajassa ja kyseessä on olennainen rikkomus tai laiminlyönti.
42 §
Liikenne- ja viestintäviraston määräykset
Liikenne- ja viestintävirasto voi antaa tarkempia määräyksiä:
1) tunnistusjärjestelmän 8 §:n 1 momentin 4 ja 5 kohdan mukaisista turvallisuutta ja luotettavuutta koskevista vaatimuksista;
2) 10 §:ssä tarkoitettujen ilmoitettavien tietojen sisällöstä ja niiden toimittamisesta Liikenne- ja viestintävirastolle;
3) 12 a §:n 3 momentissa tarkoitetuista luottamusverkoston teknisten rajapintojen ominaisuuksista;
4) siitä, milloin 16 §:ssä tarkoitettu häiriö on merkittävä sekä mainitun pykälän 1 momentissa tarkoitetun ilmoituksen sisällöstä, muodosta ja toimittamisesta;
5) 24 §:n 2 momentissa tarkoitetuista hakijan ensitunnistamisesta ja siinä käytetystä asiakirjasta tai sähköisestä tunnistamisesta tallennettavista tarvittavista tiedoista;
6) 29 §:ssä tarkoitetuista arvioitavan tunnistuspalvelun vaatimustenmukaisuuden arviointiperusteista;
7) 33 §:ssä säädetyistä vaatimustenmukaisuuden arviointielimen pätevyysvaatimuksista;
8) 35 §:ssä tarkoitettuun hakemukseen sisällytettävistä tiedoista ja niiden toimittamisesta Liikenne- ja viestintävirastolle.
42 a §
Liikenne- ja viestintäviraston tehtävät
Liikenne- ja viestintäviraston tehtävänä on valvoa tämän lain noudattamista, jollei tässä laissa muuta säädetä.
Liikenne- ja viestintäviraston tehtävänä on vuosittain kerätä ja tilastoida tietoa vahvan sähköisen tunnistamisen markkinasta sekä tunnistuspalveluiden tarjonnasta, saatavuudesta ja hinnoista. Tunnistuspalvelun tarjoajilta kerättävien tietojen on oltava tarpeellisia sääntelyn vaikutusten seuraamista varten. Tietojen tulee koskea tunnistustapahtumien määriä, tunnistuspalveluiden välisiä hintoja, tunnistuspalveluiden vähittäishintoja tai asiakasmääriä, tunnistuspalveluista saatuja tuloja taikka muita vastaavia seikkoja, jotka ovat tarpeellisia tilastoinnin luotettavuuden kannalta.
Liikenne- ja viestintäviraston ratkaisuvaltaan eivät kuulu osapuolten välistä sopimussuhdetta tai korvausvastuuta koskevat asiat.
45 §
Hallintopakkokeinot
Liikenne- ja viestintävirasto voi antaa huomautuksen sille, joka rikkoo tätä lakia tai sen nojalla annettuja säännöksiä, määräyksiä tai päätöksiä, sekä velvoittaa tämän korjaamaan virheensä tai laiminlyöntinsä kohtuullisessa määräajassa. Päätöksen tehosteeksi voidaan asettaa uhkasakko tai uhka, että toiminta keskeytetään osaksi tai kokonaan taikka että tekemättä jätetty toimenpide teetetään asianomaisen kustannuksella.
Muuttamaton osa säädöstekstistä on jätetty pois
45 a §
Väliaikainen päätös
Jos tätä lakia tai sen nojalla annettua säännöstä tai määräystä koskeva virhe tai laiminlyönti taikka tietoturvahäiriö vaarantaa välittömästi ja olennaisesti tunnistuspalvelun luotettavuuden, Liikenne- ja viestintävirasto voi viipymättä kieltää tai keskeyttää tunnistusmenetelmän tarjoamisen vahvana sähköisenä tunnistamisena 45 §:ssä säädetystä määräajasta riippumatta.
Liikenne- ja viestintäviraston on ennen väliaikaisia toimia koskevan päätöksen antamista varattava sen kohteena olevalle tilaisuus tulla kuulluksi, paitsi jos kuulemista ei voida toimittaa niin nopeasti kuin asian kiireellisyys välttämättä vaatii.
Väliaikaiset toimet voivat olla voimassa enintään kolme kuukautta. Väliaikaisia toimia koskevaan päätökseen saa hakea muutosta erikseen samalla tavoin kuin 45 §:n 1 momentissa tarkoitettuun päätökseen.
46 §
Tarkastusoikeus
Liikenne- ja viestintävirastolla on oikeus tehdä tunnistuspalvelun tarjoajaa ja sen tarjoamaa palvelua sekä 28 §:ssä tarkoitettua arviointielintä ja sen toimintaa koskeva tarkastus. Tarkastus voidaan tehdä tässä laissa tai sen nojalla annetuissa säännöksissä, määräyksissä ja päätöksissä asetettujen velvoitteiden valvomiseksi. Tarkastukseen sovelletaan hallintolain 39 §:ää.
Liikenne- ja viestintävirasto määrää tarkastajan toimittamaan 1 momentissa tarkoitetun tarkastuksen. Tarkastusta toimittavalla henkilöllä on oikeus tutkia sellaiset tunnistuspalvelun tarjoajan tai sen apunaan käyttämän henkilön laitteet ja ohjelmistot, joilla voi olla merkitystä tämän lain tai sen nojalla annettujen säännösten tai määräysten noudattamisen valvonnassa.
Tunnistuspalvelun tarjoajien ja niiden apunaan käyttämien henkilöiden on tarkastusta varten päästettävä 2 momentissa tarkoitettu tarkastaja muihin kuin pysyväisluonteiseen asumiseen tarkoitettuihin tiloihin.
46 a §
Liikenne- ja viestintäviraston valvontatehtävien tärkeysjärjestys ja asian tutkimatta jättäminen
Liikenne- ja viestintävirasto voi asettaa tässä laissa säädetyt valvontatehtävänsä tärkeysjärjestykseen sen mukaan, mikä merkitys tehtävällä on tässä laissa tai sen nojalla annetuissa säännöksissä tai määräyksissä säädettyjen tai määrättyjen velvollisuuksien noudattamisen kannalta.
Liikenne- ja viestintävirasto voi jättää asian tutkimatta, jos asialla on epäillystä virheestä tai laiminlyönnistä huolimatta vain vähäinen merkitys 1 momentissa tarkoitettujen velvollisuuksien noudattamisen kannalta. Liikenne- ja viestintäviraston on tehtävä päätös tutkimatta jättämisestä heti, kun se on mahdollista.
47 §
Liikenne- ja viestintävirastolle maksettavat maksut
Tunnistuspalvelun tarjoajan tai yhteenliittymän on suoritettava Liikenne- ja viestintävirastolle vuosittain yhteensä 17 000 euron valvontamaksu kaikkien tarjoamiensa tunnistuspalveluiden valvonnasta.
Edellä 34 §:n mukaisesti hyväksytyn vaatimustenmukaisuuden arviointilaitoksen on suoritettava Liikenne- ja viestintävirastolle vuosittain 18 000 euron valvontamaksu.
Valvontamaksu on suoritettava täysimääräisesti myös toiminnan ensimmäisenä vuotena, vaikka toiminta aloitettaisiin kesken vuotta. Valvontamaksua ei palauteta, vaikka palveluntarjoaja lopettaisi toimintansa kesken vuotta.
Valvontamaksun määrää maksettavaksi Liikenne- ja viestintävirasto ja se on suoraan ulosottokelpoinen. Muutoksenhausta maksun määräämistä koskevaan päätökseen säädetään 49 §:ssä.
Valvontamaksun perimisestä säädetään verojen ja maksujen täytäntöönpanosta annetussa laissa. Jollei maksua suoriteta viimeistään eräpäivänä, maksamattomalle määrälle peritään vuotuista viivästyskorkoa korkolain (633/1982) 4 §:ssä säädetyn korkokannan mukaan. Viivästyskoron sijasta viranomainen voi periä viiden euron suuruisen viivästysmaksun, jos viivästyskoron määrä jää tätä pienemmäksi.
Edellä 10 §:ssä tarkoitetun ilmoituksen ja 35 §:ssä tarkoitetun hakemuksen käsittelystä sekä 46 §:n 1 momentissa tarkoitetusta tarkastuksesta perittävästä maksusta säädetään valtion maksuperustelaissa.
49 a §
Muutoksenhaku vaatimustenmukaisuuden arviointilaitoksen päätökseen
Vaatimustenmukaisuuden arviointilaitoksen tämän lain nojalla tekemään päätökseen saa vaatia oikaisua Liikenne- ja viestintävirastolta. Oikaisuvaatimuksesta säädetään hallintolaissa.
Muutoksenhausta hallintotuomioistuimeen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa.
Vaatimustenmukaisuuden arviointilaitoksen päätöstä on muutoksenhausta huolimatta noudatettava, jollei muutoksenhakuviranomainen toisin määrää.
Voimaantulopykälä tai –säännös alkaa
Tämä laki tulee voimaan päivänä kuuta 20 .
Lain 7 b § ja 17 §:n 2 momentti tulevat kuitenkin voimaan vasta 1 päivänä tammikuuta 2027.