7.1
Lagen om stark autentisering och betrodda elektroniska tjänster
6 §.Behandling av personbeteckningar. Det föreslås att paragrafen och rubriken för den ändras. De gällande 1–3 mom. innehåller särskilda bestämmelser om behandling av personuppgifter i förhållande till personuppgiftslagen. Bestämmelserna är föråldrade och behandlingsgrunderna överlappar bestämmelserna i den allmänna dataskyddsförordningen. Den allmänna dataskyddsförordningen är en direkt tillämplig EU-förordning som ger den nationella lagstiftaren endast ett begränsat handlingsutrymme. Bestämmelser om laglig behandling av personuppgifter finns i artikel 6 i förordningen. Enligt artikel 6.1 b är behandling av personuppgifter laglig om den är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. Den allmänna dataskyddsförordningen medger inget nationellt handlingsutrymme till denna del, och den möjliggör således inte särskilda nationella bestämmelser av det slag som de som finns i 1–3 mom. i den gällande lagen.
Identifieringstjänstens kärnuppgift är att verifiera uppgifter som identifierar en person vid e-tjänster, och syftet med certifikat för elektronisk underskrift är att identifiera undertecknaren. Båda ska på ett tillförlitligt sätt koppla identifieringsuppgifterna till den tekniska identifieringsmetod eller det certifikat för underskrifter som användaren fått tillgång till, så att man vid e-tjänster kan lita på verifieringen av personens uppgifter. Användaren av ett identifieringsverktyg har ett avtal med leverantören av sitt identifieringsverktyg, och en e-tjänst som förlitar sig på identifiering har ett avtal med en tjänst för identifieringsförmedling. Mellan leverantörer av identifieringsverktyg och tjänster för identifieringsförmedling finns det avtal enligt lagens 12 a och 12 b §. När användaren bland de identifieringsverktyg som finns inom en e-tjänst väljer det verktyg som han eller hon vill använda, sker identifieringstransaktionerna vid användning av bankkoder och mobilcertifikat via parterna i denna avtalskedja. Vid användning av medborgarcertifikat kan e-tjänsten själv verifiera identifieringen med hjälp av Myndigheten för digitalisering och befolkningsdatas certifikattjänster. Eftersom tjänsten baserar sig på avtal och användarinitiering är det motiverat att i första hand bedöma grunden för behandling av personuppgifter med tanke på en avtalsenlig behandlingsgrund enligt den allmänna dataskyddsförordningen. En behandlingsgrund som hänför sig till en lagstadgad uppgift kan också vara möjlig eftersom lagen om stark autentisering och betrodda elektroniska tjänster innehåller bestämmelser om tvingande krav på stark autentisering.
Enligt grundlagsutskottet bör skyddet för personuppgifter härefter i första hand tillgodoses med stöd av den allmänna dataskyddsförordningen och dataskyddslagen (1050/2018), som kompletterar och preciserar den (GrUU 14/2018 rd). Den allmänna dataskyddsförordningen kan också nu anses utgöra en tillräcklig rättslig behandlingsgrund med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen. Bestämmelserna om behandling av personuppgifter i gällande 6 § 1–3 mom. föreslås bli upphävda och ska inte längre ingå i den ändrade 6 §, utan behandlingen bedöms numera med stöd av den allmänna dataskyddsförordningen.
Således upphävs paragrafen som obehövlig till den del den innehåller bestämmelser om olika faser av behandling av personuppgifter inom identifierings- eller certifikattjänster (gällande 1 mom.). Grunden för behandling och kravet på ändamålsbegränsning i den allmänna dataskyddsförordningen gäller all behandling, dvs. utgivning av identifieringsverktyg, upprätthållande av tjänster och genomförande av identifieringstransaktioner. Paragrafen föreslås också bli upphävd till den del den innehåller en bestämmelse om överlåtelse av personuppgifter (gällande 2 mom.), vilket är en form av behandling av personuppgifter. En leverantör av identifieringstjänster ska sörja för överlåtelsens lagenlighet liksom även för den övriga behandlingen. Även grunden för de e-tjänster som använder identifieringstjänster att allmänt behandla personuppgifter bedöms i enlighet med den allmänna dataskyddsförordningen. Dessutom föreslås paragrafen bli upphävd till den del den innehåller en bestämmelse om grunden för behandling av personuppgifter i andra syften än egentlig identifiering eller verifiering av underskrifter (gällande 3 mom.). Ändamålsbegränsning enligt den allmänna dataskyddsförordningen för egentliga identifieringstjänster och certifikattjänster hindrar att de personuppgifter som behövs för identifiering eller verifiering används i andra syften. Om det är fråga om tillagda personuppgifter som behandlats i samband med identifiering eller verifiering, ska grunden för behandlingen av dem bedömas separat i enlighet med den allmänna dataskyddsförordningen.
Den föreslagna paragrafen ska i fortsättningen enbart innehålla bestämmelser om de skyldigheter som leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller betrodda tjänster har när det gäller behandling av personbeteckningar. De föreslagna bestämmelserna motsvarar i sak den första meningen i 4 mom. i den gällande paragrafen. Artikel 87 i den allmänna dataskyddsförordningen ger medlemsstaterna möjlighet att närmare bestämma om ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering. Sådana preciserande bestämmelser finns i 29 § i dataskyddslagen. Enligt den paragrafen får en personbeteckning behandlas, om det är viktigt att entydigt identifiera den registrerade för att tillgodose den registrerades eller den personuppgiftsansvariges rättigheter och uppfylla den registrerades eller den personuppgiftsansvariges skyldigheter, eller om det föreskrivs om behandlingen i lag. Det är nödvändigt att behandla personbeteckningar i samband med identifieringstjänster och i samband med certifikattjänster för identifiering eller för elektroniska underskrifter eftersom det för att tjänsterna ska kunna tillhandahållas på ett tillförlitligt sätt krävs att man på ett säkert sätt kan skilja mellan olika personer. Som det konstateras ovan är identifieringstjänstens kärnuppgift att verifiera uppgifter som identifierar en person vid e-tjänster, och syftet med certifikat för elektronisk underskrift är att identifiera undertecknaren. Behandlingen av personbeteckningar är således en viktig del av den uppgift som identifieringstjänster och certifikattjänster har enligt lagen om stark autentisering och betrodda elektroniska tjänster och eIDAS-förordningen. Behandlingen av en personbeteckning för att utreda en sökandes identitet ska fortfarande omfattas av bestämmelser som är förpliktande för tjänsteleverantörerna, till skillnad från den bestämmelse i 29 § i dataskyddslagen som möjliggör behandling av en personbeteckning. Leverantören av ett identifieringsverktyg ansvarar för att personbeteckningen kontrolleras, men tjänsten för identifieringsförmedling ska också behandla personbeteckningen för att kunna förmedla identifieringstransaktioner.
Till övriga delar upphävs den särskilda bestämmelse om behandling av personbeteckningar som ingår i det gällande 4 mom. som obehövlig, eftersom det är meningen att den allmänna dataskyddsförordningen och dataskyddslagen ska ha samma verkan. Den bestämmelse som gäller användning av personbeteckning i själva identifieringsverktyget eller certifikatet och som föreslås bli upphävd hänger samman med hur personbeteckningen ska skyddas så att den inte röjs för någon annan än de parter som har samband med ändamålet för användningen av beteckningen. I de tidigare förarbetena till lagen (RP 36/2009 rd, s. 49) sägs det bl.a. att om tjänsten är sådan att den inte kan tillhandahållas utan en offentlig katalog, måste tjänsteleverantören använda någon annan identifierande kod. Då kan t.ex. en elektronisk kommunikationskod i fortsättningen tas in i certifikatet. Exempelvis de krav på ändamålsbegränsning och på konfidentialitet och säkerhet i samband med behandlingen av uppgifter som ingår i den allmänna dataskyddsförordningen påverkar också behandlingen av personbeteckningar. Enligt artikel 87 i den allmänna dataskyddsförordningen ska ett identifikationsnummer eller ett annat sätt för identifiering endast användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt den förordningen. I 29 § 4 mom. i dataskyddslagen föreskrivs det om anteckning av en personbeteckning i handlingar som skrivs ut eller upprättas på basis av ett personregister. Dessutom innehåller 43 § i lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata (661/2009) bestämmelser om behandling av personbeteckningar.
Det gällande 5 mom. innehåller enbart informativa hänvisningar, som inte längre behöver ingå i den ändrade paragrafen.
Rubriken för paragrafen föreslås bli ändrad för att bättre motsvara paragrafens ändrade innehåll.
13 §.Allmänna skyldigheter för leverantörer av identifieringstjänster. Paragrafens 3 mom. föreslås bli upphävt som obehövligt. Momentet innehåller en informativ hänvisning till den upphävda personuppgiftslagen och till den säkerhet i samband med behandlingen av personuppgifter som avses i den lagen. Motsvarande bestämmelser finns numera i artikel 32 i den allmänna dataskyddsförordningen. Artikeln är direkt tillämplig på all behandling av personuppgifter som omfattas av förordningen. Paragrafens övriga moment ändras inte.
15 §.Skyldighet för leverantörer av identifieringsverktyg att lämna uppgifter innan avtal ingås. Paragrafens 3 mom. föreslås bli upphävt som obehövligt. Momentet innehåller en informativ hänvisning till den upphävda personuppgiftslagen i fråga om skyldigheten att lämna uppgifter vid behandlingen av personuppgifter. Bestämmelser om de personuppgiftsansvarigas skyldighet att tillhandahålla information finns i artiklarna 12–14 i den allmänna dataskyddsförordningen. Artiklarna är direkt tillämpliga på all behandling av personuppgifter som omfattas av förordningen. Paragrafens övriga moment ändras inte.
42 §. Allmän styrning samt Transport- och kommunikationsverkets föreskrifter. I 2 mom. 3 punkten föreslås det en lagstiftningsteknisk korrigering. Den gällande hänvisningen till egenskaperna enligt 12 a § hos förtroendenätets gränssnitt föreslås bli korrigerad eftersom bestämmelsen om detta numera finns i 12 a § 3 mom. och inte i paragrafens 2 mom. I övrigt ändras paragrafen inte.
42 a §.Transport- och kommunikationsverkets uppgifter. Det föreslås att ett nytt 2 mom. fogas till paragrafen, varvid de nuvarande 2 och 3 mom. blir nya 3 och 4 mom. Transport- och kommunikationsverket får enligt det föreslagna 2 mom. en ny uppgift, att samla och sammanställa statistisk information om marknaden för stark autentisering och om tillhandahållande av identifieringstjänster. Syftet med den statistiska informationen är dels att göra det möjligt att följa upp regleringens konsekvenser, dels att producera information för kommunikationsministeriets allmänna styrning av den elektroniska identifieringen och utveckling av lagstiftningen.
Den nya uppgiften är till sin karaktär en myndighetsuppgift som hänför sig till informationsproduktion. Den stöder också verkets allmänna uppgift enligt 1 mom., att utöva tillsyn över efterlevnaden av lagen. I 12 a–12 c och 17 § i lagen om stark autentisering och betrodda elektroniska tjänster finns det bestämmelser om avtalsskyldigheter mellan leverantörer av tjänster för stark autentisering. Syftet med dessa skyldigheter är att främja tillhandahållandet av och tillgången till stark autentisering samt skäliga priser för de e-tjänster och användare av identifieringsverktyg som behöver identifieringstjänster. Den föreslagna uppgiften stöder tillsynen över avtalsskyldigheterna enligt lagen och gör det möjligt att samla information om utvecklingen av marknaden för, tillhandahållandet av, tillgången till och priserna på identifieringstjänster. Informationen behövs för att ministeriet ska kunna följa upp lagstiftningens konsekvenser för utbudet av och efterfrågan på identifieringstjänster på marknaden. Informationen stöder också Transport- och kommunikationsverkets uppföljning och utveckling av de tillsyns- och styrningsåtgärder som hänför sig till verkställigheten av lagstiftningen.
Information om marknaden för stark autentisering och om tillhandahållandet av, tillgången till och priserna på identifieringstjänster ska hänföra sig till information mellan leverantörer av identifieringstjänster eller till tillhandahållandet av identifieringstjänster för parter som förlitar sig på elektronisk identifiering, dvs. e-tjänster, och för användare. Uppgifter ska gälla i lagen reglerade priser och oreglerade detaljpriser för förtroendenätet, inkomster från identifieringsverksamheten och omsättningen samt volymen av identifieringstransaktionerna och antalet kundavtal. Det ska också kunna handla om andra liknande uppgifter som de som anges ovan, förutsatt att informationen behövs för att statistikföringen ska vara tillförlitlig. Med information som behövs för att statistiken ska vara tillförlitlig avses att man begär sådan information med vars hjälp man kan försäkra sig om att den information eller de siffror som fås av olika aktörer kan jämföras med varandra. Den föreslagna skyldigheten att lämna information har således, på det sätt som grundlagsutskottet förutsatt i sin utlåtandepraxis, bundits till kravet på behövlighet och innehållet i den information som ska lämnas har preciserats i paragrafen (t.ex. GrUU 21/2020 rd). Det är emellertid ingen uttömmande förteckning av den anledningen att det inom uppgiften att samla information ska vara möjligt att beakta utvecklingen på marknaden. Den begärda informationen ska ändå alltid uppfylla det krav på behövlighet som anges i paragrafen. Utifrån denna information ska Transport- och kommunikationsverket kunna göra bedömningar av marknadens storlek, marknadsandelarna, prisnivån och dessa faktorers utveckling under den gällande regleringen.
Transport- och kommunikationsverket ska ordna insamlingen av information så att den är förutsägbar för leverantörerna av identifieringstjänster, baserar sig på information som leverantörerna i regel redan har i sin affärsverksamhet och inte medför någon onödig administrativ börda. För att effekterna ska kunna följas behöver insamlingen av information ändå ske regelbundet och varje år, och förändringarna på marknaden behöver beaktas i tillräcklig utsträckning. Det är inte meningen att insamlingen av information ska överlappa den årliga bedömningen enligt 12 c § 1 mom. av nivån på prisregleringen för förtroendenätet. Båda uppgifterna ska utföras på det sätt som Transport- och kommunikationsverket anser vara ändamålsenligt och vid behov genom att uppgifterna att samla information kombineras så att verket eller leverantörerna av identifieringstjänster inte orsakas någon extra administrativ börda.
Transport- och kommunikationsverket har enligt 43 § när det fullgör sina uppgifter enligt lagen rätt att trots sekretessbestämmelserna få den information som behövs för skötseln av uppgifterna. För leverantörer av identifieringstjänster innebär den nya uppgift som nu föreslås att de på begäran ska samla och lämna ut information till Transport- och kommunikationsverket trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av uppgifter. Bestämmelser om verkets rätt att lämna ut sekretessbelagd information till andra myndigheter finns i 44 §. Propositionen innehåller inget förslag om en utvidgning av rätten att lämna ut sekretessbelagd information till att gälla kommunikationsministeriet, utan Transport- och kommunikationsverket ska analysera den information som det samlat och sammanställa statistisk information, såsom ekonomiska nyckeltal som gäller omsättning, volymer och marknadsandelar och som beskriver marknaden och dess utveckling. Verket ska också kunna producera information för publicering i större utsträckning om utvecklingen på marknaden för identifieringstjänster. När information lämnas ut eller publiceras ska Transport- och kommunikationsverket bedöma informationens offentlighet och sekretess enligt lagen om offentlighet i myndigheternas verksamhet (621/1999). Den lagen innehåller bl.a. bestämmelser om sekretess för företagshemligheter.
43 §.Rätt till information. Paragrafens 2 mom. föreslås bli upphävt som obehövligt. Det är fråga om en informativ hänvisning till den allmänna dataskyddsförordningen, som dataombudsmannens rätt att få information bestäms enligt.
48 §.Straffbestämmelser. Paragrafen föreslås bli upphävd som obehövlig. Den gällande paragrafen innehåller föråldrade hänvisningar till personregisterbrott och personregisterförseelse och till den upphävda personuppgiftslagen. Det är fråga om en informativ hänvisning som inte längre behöver ingå i lagen. Bestämmelser om behandling av personuppgifter finns numera i den direkt tillämpliga allmänna dataskyddsförordningen och i dataskyddslagen, som kompletterar den. Dessa ska beaktas också när personuppgifter behandlas i verksamhet som avses i lagen om stark autentisering och betrodda elektroniska tjänster. I 26 § i dataskyddslagen finns hänvisningar till bestämmelser i strafflagen som kan komma i fråga som straffrättsliga påföljder för brott mot lagen. Exempelvis finns bestämmelser om straff för dataskyddsbrott för närvarande i 38 kap. 9 § i strafflagen och bestämmelser om straff för dataintrång och grovt dataintrång i 38 kap. 8 och 8 a § i den lagen.