Regeringens proposition
RP
32
2019 rd
Regeringens proposition till riksdagen med förslag till lag om ändring av lagen om förvaltningens gemensamma stödtjänster för e-tjänster och till vissa lagar som har samband med den
PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL
I denna proposition föreslås det att lagen om förvaltningens gemensamma stödtjänster för e-tjänster ändras. För främjandet av elektronisk identifiering av utländska personer föreslås det att det till lagen fogas en möjlighet för Myndigheten för digitalisering och befolkningsdata att i samband med tillhandahållandet av tjänsten för identifiering av fysiska personer identifiera personer också med hjälp av sådana metoder för identifiering som omfattas av det europeiska ömsesidiga erkännandet av identifieringsverktyg. Dessutom ska Myndigheten för digitalisering och befolkningsdata med stöd av bestämmelser som fogas till lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster kunna bevilja sådana identifieringsverktyg som utländska medborgare kan använda för att identifiera sig exempelvis när de ansöker om registrering av en fullmakt eller en annan viljeyttring. 
Enligt förslaget ska Myndigheten för digitalisering och befolkningsdata få möjlighet att överföra biträdande uppgifter som gäller registrering av viljeyttringar och beviljande av identifieringsverktyg för utländska medborgare till att skötas inom ramen för samservice enligt lagen om samservice inom den offentliga förvaltningen. Bestämmelser om de nya uppgiftshelheter som ska skötas inom ramen för samservice tas in i lagen om förvaltningens gemensamma stödtjänster för e-tjänster och i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster. Det föreslås en ändring i lagen om samservice inom den offentliga förvaltningen så att det inom samservicen också kan skötas andra i lag angivna uppgifter, såsom de föreslagna biträdande uppgifterna. 
Det föreslås att det i lagen om förvaltningens gemensamma stödtjänster för e-tjänster tas in en skyldighet att använda behörighetstjänsten, så att skyldigheten gäller användningen av den del av behörighetstjänsten som tillhandahåller uppgifter om personers lagliga företrädare. Användningsskyldigheten föreslås inte gälla uppgifter om fullmakter och andra viljeyttringar. Kretsen av aktörer som är skyldiga att använda stödtjänster förblir enligt förslaget oförändrad. 
I lagen tas det vidare in en möjlighet att av användarorganisationerna ta ut avgifter för användning av identifieringstjänster, den samlade förvaltningstjänsten för internetbetalning och behörighetstjänsten.  
Propositionen hänför sig till budgetpropositionen för 2020 och avses bli behandlad i samband med den. 
Lagarna avses träda i kraft den 1 januari 2020. 
ALLMÄN MOTIVERING
1
Inledning
Enligt regeringsprogrammet för statsminister Rinnes regering hör utvecklingen av fungerande identifieringslösningar som möjliggör användningen av identifieringsverktyg till målsättningarna för regeringsperioden. Dessutom är en målsättning att främja möjligheten till elektronisk identifiering för de finska medborgarna men också för alla som bor i Finland samt att göra det lättare för utländska forskare, studerande och personer som avlagt högskoleexamen i Finland samt deras familjer att stanna i landet bland annat genom att förnya tillståndspraxis och göra uppehållstillståndsprocesserna smidigare. 
Denna proposition innehåller flera ändringar, vars syfte är att främja användningen av e-tjänster inom den offentliga förvaltningen och till viss del även inom privat service. 
Målsättningen är för det första att förbättra möjligheten för utländska medborgare att identifiera sig i de finska myndigheternas tjänster genom att föreskriva om till exempel en ny tjänst för identifiering av utländska medborgare. 
För det andra föreslås det ändringar genom vilka det blir möjligt att registrera de elektroniska fullmakter som finns tillgängliga i det elektroniska registret på annat sätt än i den e-tjänst som Myndigheten för digitalisering och befolkningsdata tillhandahåller. I propositionen föreslås det också att biträdande uppgifter som gäller ansökan om ett identifieringsverktyg och registrering av elektroniska fullmakter för utländska medborgare kan skötas inom samservicen. Genom dessa ändringar försöker man bidra till att göra det möjligt även för dem som inte kan använda e-tjänster samt för andra än fysiska personer – såsom dödsbon eller sådana organisationer i fråga om vilka rätten att företräda fullmaktsgivaren inte kan kontrolleras i de basregister som fullmaktstjänsten använder – att via behörighetstjänsten befullmäktiga någon annan att sköta ärenden för sin räkning, antingen i en e-tjänst eller genom personligt besök. 
Vissa myndigheter åläggs att använda den del av behörighetstjänsten som tillhandahåller uppgifter om en persons lagliga företrädare. 
Propositionen innehåller några ändringar av de bestämmelser som gäller behandlingen av personuppgifter. I samband med propositionen har man bedömt lagstiftningens förenlighet med Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG, nedan dataskyddsförordningen
Dessutom föreslås en möjlighet att ta ut avgifter av användarorganisationerna för användningen av vissa stödtjänster. Internetbetalningstjänsten, som utvecklats av Statskontoret, ska bli avgiftsbelagd från ingången av 2020. 
2
Nuläge
2.1
Lagstiftning
Bestämmelser om behörighetstjänsten finns i lagen om förvaltningens gemensamma stödtjänster för e-tjänster (571/2016, nedan lagen om stödtjänster). Enligt 3 § 1 mom. 6 punkten i den lagen avses med behörighetstjänst en tjänst som tillhandahåller användarorganisationen uppgifter om en persons handlingsbehörighet och behörighet eller andra viljeyttringar. Det finns ingen skyldighet att använda behörighetstjänsten, men enligt 5 och 8 § får alla användarorganisationer, inklusive privata användarorganisationer, använda tjänsten om de så vill. Befolkningsregistercentralen producerar tjänsten med stöd av lagens 4 §. 
Befolkningsregistercentralen producerar, med stöd av 3 § 1 mom. 4 punkten i lagen om stödtjänster, en sådan tjänst för identifiering av fysiska personer som identifierar en fysisk person som använder den offentliga förvaltningens e-tjänster med hjälp av en tjänst som tillhandahålls av en sådan leverantör av identifieringstjänster som avses i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009, nedan autentiseringslagen). Med leverantörer av identifieringstjänster avses i autentiseringslagen främst de leverantörer av identifieringstjänster som förts in i Transport- och kommunikationsverkets register. 
I artikel 6 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (nedan eIDAS-förordningen) finns bestämmelser om ömsesidigt erkännande av medel för elektronisk identifiering. Enligt artikel 6 ska, när det enligt nationell rätt eller enligt nationella administrativa förfaranden krävs en elektronisk identifiering där medel för elektronisk identifiering och autentisering används för att få åtkomst till en nättjänst som tillhandahålls av ett offentligt organ i en medlemsstat, de medel för elektronisk identifiering som utfärdats i en annan medlemsstat erkännas i den första medlemsstaten för gränsöverskridande autentisering för den tjänsten via internet, förutsatt att medlet för elektronisk identifiering är utfärdat inom ramen för ett system för elektronisk identifiering som ingår i den förteckning som offentliggjorts av kommissionen enligt artikel 9. Det ömsesidiga erkännandet gäller sådana medel för elektronisk identifiering vars tillitsnivå motsvarar en tillitsnivå som är lika hög som eller högre än den tillitsnivå som det berörda offentliga organet kräver för åtkomst till denna nättjänst i den första medlemsstaten. 
Sådana identifieringstransaktioner från andra medlemsstater som omfattas av ömsesidigt erkännande enligt eIDAS-förordningen förmedlas i nuläget inte i tjänsten för identifiering av fysiska personer enligt lagen om stödtjänster, trots att Befolkningsregistercentralen enligt autentiseringslagens 42 c § har som uppgift att upprätthålla det nationella gränssnitt som hör till EU:s interoperabilitetsramverk för elektronisk identifiering (den nationella noden) enligt eIDAS-förordningen. 
Enligt 3 § 1 mom. 5 punkten i lagen om stödtjänster kan Befolkningsregistercentralen producera identifieringstjänster där man även kan använda någon annan metod för identifiering än sådan stark autentisering som avses i autentiseringslagen. Tjänster som avses i bestämmelsen är till exempel den avskaffade tjänsten Vetuma samt tjänsten Katso, som Befolkningsregistercentralen numera ansvarar för och som används för identifiering av organisationer och personer som företräder en organisation. I produktionen av Katso-tjänsten används också andra identifieringsmetoder än stark autentisering. Avsikten är att också Katso-tjänsten ska avskaffas och att de centrala funktionerna i tjänsten ska ersättas av behörighetstjänsten. 
I lagens 9 § föreskrivs det – dock inte uttömmande – om de informationskällor/register som används vid produktionen av stödtjänsterna (bland annat behörighetstjänsten). Till dem hör befolkningsdatasystemet, registret över förmynderskapsärenden, föreningsregistret, handelsregistret, företags- och organisationsdatasystemet samt stiftelseregistret. Befolkningsregistercentralen har i produktionen av stödtjänsterna möjlighet att utnyttja också andra register i enlighet med den lagstiftning som gäller dem. Andra register som används inom behörighetstjänsten är till exempel näringsförbudsregistret samt konkurs- och företagssaneringsregistret, så länge som uppgifter i dessa register inte utan fördröjning kan fås ur exempelvis handelsregistret. 
I lagens 10 § finns bestämmelser om ett fullmaktsregister som förvaltas av Befolkningsregistercentralen, där fullmakter och andra viljeyttringar som avser skötsel av ärenden och som avgetts av fysiska personer och på sammanslutningars vägnar registreras. Enligt bestämmelsen kan Befolkningsregistercentralen under vissa förutsättningar vid tillhandahållandet av behörighetstjänsten även förmedla uppgifter om fullmakter och andra viljeyttringar som andra myndigheter har registrerat. Med stöd av 10 § kan fullmakter för närvarande utfärdas endast elektroniskt så att fullmaktsgivaren identifierar sig på elektronisk väg i behörighetstjänstens e-tjänst. Befolkningsregistercentralens uppgift är att sörja för integriteten hos innehållet i den registrerade viljeyttringen och för att uppgifterna om godkännandet av viljeyttringen och om den identifiering av personen som föregår godkännandet kan kopplas samman med viljeyttringens innehåll. 
Med stöd av den övergångsbestämmelse i 27 § 4 mom. i lagen om stödtjänster som gäller ordnande av uppgifterna producerar och utvecklar Skatteförvaltningen den tjänst för elektronisk identifiering som hör till de tjänster som avses i lagens 3 § 1 mom. 5 punkt och genom vilken en myndighet eller någon annan som sköter offentliga uppgifter, vid skötseln av en offentlig uppgift kan identifiera en organisation och en person som företräder den, högst till och med den 31 december 2016, varefter serviceproduktionen överförs till Befolkningsregistercentralen. Ansvaret för serviceproduktionen i den berörda tjänsten – det vill säga Katso-organisationens identifieringstjänst – överfördes till Befolkningsregistercentralen vid utgången av 2016. Skatteförvaltningen deltar i produktionen av stödet inom tjänsten på det sätt som anges i Skatteförvaltningens och Befolkningsregistercentralens samarbetsavtal om Katso-tjänsten. Avsikten är att de centrala funktioner som ingår i Katso-tjänsten ska ersättas av behörighetstjänsten. 
I lagen om stödtjänster finns inga bestämmelser om den rättsliga betydelsen av en fullmakt eller annan viljeyttring som registrerats i fullmaktsregistret. Möjligheten att använda en elektroniskt avgiven fullmakt eller annan viljeyttring i samband med skötseln av ärenden avgörs på grundval av annan lagstiftning. 
En fullmakt är en ensidig rättshandling. Bestämmelser om fullmakter finns i 2 kap. i lagen om rättshandlingar på förmögenhetsrättens område (228/1929, nedan rättshandlingslagen). I rättshandlingslagen finns inga bestämmelser om formen för en fullmakt. En fullmakt kan i regel formuleras fritt. Bestämmelser om formen för en fullmakt kan emellertid ingå i annan lagstiftning. I rättshandlingslagen har det inte heller föreskrivits om hur en fullmakt upprättas. På det sätt som indirekt framgår av bestämmelserna i rättshandlingslagens 12–15 §, som gäller återkallelse av en fullmakt, kan en fullmakt upprättas genom en skriftlig handling, genom att saken meddelas till motparten eller fullmäktigen eller genom att fullmaktshandlingen offentliggörs. (Saarnilehto Ari, Sopimusoikeuden perusteet, 2009, s. 86–92) 
Tidpunkten då olika viljeyttringars rättsverkan inträder beror på sakförhållandena. I fråga om de flesta förmögenhetsrättsliga rättshandlingar gäller att den som avger viljeyttringen bör vidta en särskild åtgärd för att delge andra sin vilja. (Saarnilehto Ari, Sopimusoikeuden perusteet, 2009, s. 19–20) 
En fullmakt eller annan viljeyttring som avgetts elektroniskt i behörighetstjänsten registreras i behörighetstjänstens fullmaktsregister, där användarorganisationerna kan kontrollera dem när en fullmaktshavare behöver sköta ärenden för sin huvudmans räkning. 
I situationer där det inte har ställts några särskilda krav på formen för en fullmakt eller annan viljeyttring, exempelvis i fråga om vittnenas underskrifter, kan också en sådan fullmakt som finns i behörighetstjänstens fullmaktsregister betraktas som en skriftlig fullmakt. 
Enligt 12 § i förvaltningslagen ska ett ombud förete fullmakt eller på något annat tillförlitligt sätt visa att han eller hon har rätt att företräda huvudmannen. Fullmakten ska på myndighetens anmodan specificeras, om det råder oklarhet om behörigheten eller dess omfattning. En advokat och ett offentligt rättsbiträde ska förete fullmakt endast om myndigheten bestämmer det. 
Enligt 9 § i lagen om elektronisk kommunikation i myndigheters verksamhet (13/2003) uppfyller också elektroniska dokument som sänts till en myndighet kravet på skriftlig form vid anhängiggörande och behandling av ärenden. Ett elektroniskt dokument som sänts till en myndighet behöver inte kompletteras med en underskrift, om dokumentet innehåller uppgifter om avsändaren och om det inte finns anledning att betvivla dokumentets autenticitet och integritet. Om ett elektroniskt dokument som sänts till en myndighet innehåller utredning om ett ombuds behörighet, behöver ombudet inte lämna in fullmakt. Myndigheten kan dock förordna att en fullmakt ska lämnas in, om den har anledning att betvivla ombudets behörighet eller behörighetens omfattning. 
Utifrån det som konstateras ovan kan man dra slutsatsen att en elektronisk fullmakt som registrerats i fullmaktsregistret också med stöd av den allmänna regel som gäller förvaltningsförfaranden i regel är tillräcklig för att visa behörigheten att företräda fullmaktsgivaren. 
I vissa lagar, till exempel jordabalken, ställs det särskilda formkrav på fullmakter, eller också har det föreskrivits om särskilda förfaranden för avgivande av elektroniska fullmakter. I fråga om exempelvis fastighetsköp utfärdas elektroniska fullmakter i Lantmäteriverkets elektroniska system för hantering av fastighetsköpsärenden. I sådana situationer är det enligt gällande lagstiftning inte möjligt att använda en fullmakt som avgetts i behörighetstjänsten. 
I 5 § 1 mom. i lagen om stödtjänster åläggs bland annat statliga förvaltningsmyndigheter, ämbetsverk, inrättningar och affärsverk, kommunala myndigheter när de sköter sina lagstadgade uppgifter samt domstolar och andra rättskipningsorgan att använda vissa stödtjänster. I nuläget gäller skyldigheten att använda stödtjänster inte behörighetstjänsten. 
I lagens 12–14 § föreskrivs det om behandling av uppgifter inom produktionen av stödtjänsterna och i 15 § om behandling av uppgifter inom användarorganisationen. Bestämmelser om kvalitets- och informationssäkerhetskrav som gäller stödtjänsterna och som ställs på Befolkningsregistercentralen i egenskap av serviceproducent finns i 16 §, medan krav som gäller informationssystem finns i lagens 17 §. 
Med en samlad förvaltningstjänst för internetbetalning avses enligt 3 § 1 mom. 8 punkten i lagen om stödtjänster en tjänst som möjliggör betalning av avgifter till användarorganisationen via dess elektroniska tjänster. Med en tjänst för identifiering av fysiska personer avses enligt lagens 3 § 1 mom. 4 punkt en tjänst som identifierar en fysisk person som använder den offentliga förvaltningens e-tjänster med hjälp av en tjänst som tillhandahålls av en sådan leverantör av identifieringstjänster som avses i autentiseringslagen, administrerar identifieringstransaktionen och till användarorganisationen lämnar ut identifieringsuppgifter om en person ur befolkningsdatasystemet. 
I nuläget kan användarorganisationen i enlighet med lagens 25 § 1 mom. avgiftsfritt använda nämnda tjänster samt behörighetstjänsten. Enligt lagens 4 § är det Statskontoret som ska producera och utveckla den samlade förvaltningstjänsten för internetbetalning, medan Befolkningsregistercentralen ansvarar för identifieringstjänsten och behörighetstjänsten. 
Dataskyddsförordningen trädde i kraft den 24 maj 2016. Dataskyddsförordningen blev direkt tillämplig i medlemsstaterna den 25 maj 2018. Genom förordningen upphävdes Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, som i Finland har genomförts genom personuppgiftslagen. Dataskyddslagen (1050/2018), som kompletterar dataskyddsförordningen, trädde i kraft den 1 januari 2019. 
I lagen om stödtjänster har det genom lag 926/2019, som träder i kraft den 1 januari 2020, gjorts vissa hänvisningsändringar som beror på att dataskyddsförordningen trädde i kraft och på att namnet på informationssamhällsbalken (917/2014) ändrades till lagen om tjänster inom elektronisk kommunikation. 
I lagen om samservice inom den offentliga förvaltningen (223/2007, nedan samservicelagen) föreskrivs om hur de kundservicefunktioner som ankommer på statliga myndigheter, kommunala myndigheter och Folkpensionsanstalten ordnas och sköts genom samarbete mellan dessa myndigheter. För att samservice ska ordnas förutsätts det enligt 4 § i lagen att det för att trygga tillgången till tjänster och effektivisera verksamheten inom förvaltningen är ändamålsenligt och behövligt att ordna och sköta kundservicefunktioner i samarbete. I lagen föreskrivs det bland annat om de uppgifter som sköts inom ramen för samservice, samserviceavtal och de helheter det ska avtalas om samt om ersättningen för samservice. Dessutom föreskrivs det om utbildningen för servicerådgivarna och om expertstöd till dessa samt om samserviceregistret och om skyldigheten för parterna inom samservicen att informera allmänheten om tillhandahållandet av samservice, serviceutbudet, öppettiderna och annat som hänför sig till servicen. 
2.2
Praxis
För närvarande kan fullmakter och andra viljeyttringar med stöd av 10 § i lagen om stödtjänster avges genom att fullmaktsgivaren identifierar sig elektroniskt i behörighetstjänstens e-tjänst. I samband med utvecklandet av den behörighetstjänst (Suomi.fi-fullmakter) som Befolkningsregistercentralen tillhandahåller med stöd av lagen om stödtjänster har man dryftat hur möjligheten att använda behörighetstjänsten kunde utsträckas till en så bred användarkrets som möjligt på ett tillförlitligt och flexibelt sätt. 
I Katso-organisationens identifieringstjänst kan man avge fullmakter även vid ett verksamhetsställe samt genom att sända dokumenten per post. Avsikten är att de centrala delarna av den omfattande möjlighet att sköta ärenden för en organisations räkning som ges inom ramen för Katso-tjänsten ska genomföras i behörighetstjänsten före utgången av 2019. 
En utmaning vid inloggning i den offentliga förvaltningens tjänster har visat sig vara att varken de nationella identifieringslösningarna enligt autentiseringslagen eller de medel för elektronisk identifiering som omfattas av ömsesidigt erkännande enligt eIDAS-förordningen i tillräckligt hög grad kan utnyttjas av den grupp huvudsakligen utländska fysiska personer som behöver identifiera sig i den offentliga förvaltningens e-tjänster. Man har alltså märkt att det finns ett behov av att utveckla en metod för inledande identifiering med hjälp av vilken dessa personer kan beviljas ett annat identifieringsverktyg än ett identifieringsverktyg för stark autentisering. Befolkningsregistercentralen har med stöd av 3 § 1 mom. 5 punkten i lagen om stödtjänster möjlighet att producera också andra identifieringstjänster än sådana som baserar sig på sådan stark autentisering som avses i autentiseringslagen. 
För närvarande täcks kostnaderna för produktionen av tjänsten för identifiering av fysiska personer, behörighetstjänsten och den samlade förvaltningstjänsten för internetbetalning med statens medel. Användningen av stödtjänster är avgiftsfri för användarorganisationerna – dock så att användarorganisationerna själva svarar för de kostnader som anslutningen till stödtjänsterna föranleder dem. 
Den samlade förvaltningstjänsten för internetbetalning (Suomi.fi-betalningar) är en samlad betalningstjänst som är kopplad till e-tjänster och nätbutiker som drivs av organisationerna inom den offentliga förvaltningen. Tjänsten överför myndighetsavgifter från medborgarna till de offentliga organisationerna. Tjänsten kan kopplas till en befintlig e-tjänst eller till en ny tjänst som är under utbyggnad, eller också kan tjänsten ersätta skötsel av ärenden vid ett verksamhetsställe. Tjänsten Suomi.fi-betalningar godkänner olika betalningssätt, till exempel olika bankers internetbetalningar, Visa- och Mastercard debet- och kreditkort samt American Express betalkort. För närvarande produceras tjänsten av Paytrail Oyj, som Statskontoret har valt till tjänsteproducent genom anbudsförfarande. Kostnaderna för internetbetalning består utöver driftskostnader av transaktions- och provisionsavgifter för transaktioner samt av e-tjänstens månadsavgift. 
Internetbetalningstjänsten används av 63 organisationer inom 112 e-tjänster. Före utgången av år 2019 beräknas antalet stiga till 120 e-tjänster. Efter detta förväntas användarantalet öka med ungefär tolv e-tjänster per år. 
I nuläget medför användningen av behörighetstjänsten inga kostnader för användarorganisationerna. Befolkningsregistercentralen svarar för kostnaderna för behövliga förfrågningar i basregister och andra register samt för utvecklingen av tjänsterna. Användarorganisationerna svarar själva för de systemförändringar som krävs för att deras e-tjänster ska kunna kopplas till behörighetstjänsten och utnyttjas inom den. Dessutom svarar användarorganisationerna för kostnaderna för anvisningar och stöd till slutanvändarna i samband med skötsel av ärenden för annans räkning inom användarorganisationens egen e-tjänst. 
Behörighetstjänsten används för närvarande inom ca 70 e-tjänster. Antalet förfrågningar inom behörighetstjänsten är drygt 1,5 miljoner per månad. Varje månad ansluter sig 3–5 nya e-tjänster till behörighetstjänsten. 
Dessutom kommer de för närvarande ungefär hundra e-tjänster som använder Katso-tjänsten att behöva övergå till att använda behörighetstjänsten före utgången av 2019. När de e-tjänster som använder Katso-tjänsten ansluter sig till behörighetstjänsten kommer antalet förfrågningar ungefär att fördubblas. I den oberoende bedömning som gjordes 2015 inom ramen för programmet för genomförande av en nationell servicearkitektur (KaPA) bedömdes det att digitaliseringen av skötseln av ärenden för annans räkning skulle ge en besparing på 6–8 euro per e-besök jämfört med skötsel av ärenden för annans räkning vid ett serviceställe. 
De kostnader som tjänsten för identifiering av fysiska personer föranleder Befolkningsdataregistret består utöver driftskostnader av avgifter för identifieringstransaktioner som betalas till dem som tillhandahåller identifieringstjänster. 
Suomi.fi-identifikationen används av 424 organisationer. Enligt uppgifterna den 31 juli 2019 hade 1 062 e-tjänster registrerat sig för Suomi.fi-identifikation. Det genomsnittliga antalet identifieringstransaktioner var 4,75 miljoner per månad år 2017. År 2019 var det genomsnittliga antalet identifieringstransaktioner 9,49 miljoner per månad vid ingången av augusti. 
2.3
Den internationella utvecklingen samt lagstiftningen i utlandet och i EU
2.3.1
Den internationella utvecklingen i fråga om elektronisk identifiering av personer
Syftet med eIDAS-förordningen är att öka förtroendet för elektroniska transaktioner på den inre marknaden genom att tillhandahålla en gemensam grund för säker elektronisk växelverkan mellan medborgare, företag och myndigheter. Genom detta förbättras funktionaliteten inom unionen när det gäller nättjänsterna för offentliga och privata aktörer, den elektroniska affärsverksamheten och e-handeln. 
I artikel 6 i eIDAS-förordningen föreskrivs det om ömsesidigt erkännande av medel för elektronisk identifiering. Enligt artikel 6 ska, när det enligt nationell rätt eller enligt nationella administrativa förfaranden krävs en elektronisk identifiering där medel för elektronisk identifiering och autentisering används för att få åtkomst till en nättjänst som tillhandahålls av ett offentligt organ i en medlemsstat, de medel för elektronisk identifiering som utfärdats i en annan medlemsstat erkännas i den första medlemsstaten för gränsöverskridande autentisering för den tjänsten via internet, förutsatt att medlet för elektronisk identifiering är utfärdat inom ramen för ett system för elektronisk identifiering som ingår i den förteckning som offentliggjorts av kommissionen enligt artikel 9. Det ömsesidiga erkännandet gäller sådana medel för elektronisk identifiering vilkas tillitsnivå motsvarar en tillitsnivå som är lika hög som eller högre än den tillitsnivå som det berörda offentliga organet kräver för åtkomst till denna nättjänst i den första medlemsstaten. I förordningen finns det bestämmelser om hurdana system för elektronisk identifiering medlemsstaterna kan anmäla till kommissionen, hur anmälan görs och vilka krav som ställts på de system för elektronisk identifiering som ska anmälas. I förordningen och i de genomförandeakter som utfärdats med stöd av förordningen har det fastställts att medlen för elektronisk identifiering har tre tillitsnivåer: låg, väsentlig och hög. 
Före hösten 2019 hade Tyskland, Italien, Estland, Spanien, Kroatien, Luxemburg, Belgien, Portugal och Förenade kungariket meddelat kommissionen om sina egna system för elektronisk identifiering. Dessutom har flera andra medlemsstater inlett anmälningsprocessen. Trots att medlemsstaterna redan har anmält sina system för elektronisk identifiering eller inlett anmälningsprocessen har det ömsesidiga erkännandet enligt eIDAS-förordningen inte framskridit så snabbt som man hade önskat. I februari 2019 öppnades en förbindelse mellan Finlands och Tysklands noder och målet är att inom eIDAS-förordningens tidsramar öppna förbindelser även med de andra medlemsstater som anmält sina medel för elektronisk identifiering. Det ömsesidiga erkännandet förutsätter också att de organisationer som tillhandahåller e-tjänster möjliggör stark autentisering av EU-medborgare enligt eIDAS-förordningen i sina e-tjänster. Även om en medborgare från en annan medlemsstat kan identifiera sig i e-tjänsten via medlemsstaternas noder, lyckas dock inte skötseln av ärenden i tjänsten om inte användarorganisationen har gjort de tekniska förändringar som krävs. Exempelvis avsaknaden av en personbeteckning ger upphov till utmaningar vid identifiering i de nationella e-tjänsterna genom ett medel för elektronisk identifiering från en annan medlemsstat. 
Som sådan löser eIDAS-förordningen åtminstone inte än de utmaningar som finns i anslutning den elektroniska identifieringen av personer vid gränsöverskridande skötsel av ärenden. Utöver eIDAS-förordningen har Europaparlamentets och rådets förordning (EU) 2018/1724 om inrättande av en gemensam digital ingång för tillhandahållande av information, förfaranden samt hjälp- och problemlösningstjänster och om ändring av förordning (EU) nr 1024/2012 (nedan förordningen om en digital ingång) som syfte att minska de administrativa bördorna för sådana medborgare och företag som vill utöva sina rättigheter på den inre marknaden, till exempel medborgarnas fria rörlighet. Förordningen om en digital ingång stöder sig i fråga om genomförandet av elektronisk identifiering på eIDAS-förordningen och på de krav på elektronisk identifiering som det föreskrivs om i den. Förordningen om en digital ingång förutsätter att om en användare i en situation som är exklusivt begränsad till en enda medlemsstat kan utföra ett förfarande elektroniskt inom ett område som hör till förordningens tillämpningsområde, ska en användare från en annan medlemsstat kunna utföra förfarandet elektroniskt, genom att använda antingen samma tekniska lösning eller en alternativ, tekniskt separat lösning som får samma resultat, utan diskriminerande hinder. Ett diskriminerande hinder kan till exempel vara att ett medel för elektronisk identifiering som beviljats i en annan medlemsstat inte godkänns. En förutsättning för att genomföra den digitala inre marknaden effektivt i hela EU är därmed att medlemsstaterna aktivt utvecklar e-tjänsterna och främjar de ömsesidigt godkända medlen för elektronisk identifiering. 
För att främja e-tjänsterna i de nordiska och de baltiska länderna har man grundat samarbetsprojektet NOBID. Det är ett projekt mellan de nordiska och de baltiska länderna, och med hjälp av projektet försöker man främja interoperabiliteten mellan de landsspecifika medlen för identifiering och säkra att medborgarna kan använda andra länders offentliga tjänster. 
2.3.2
Den internationella utvecklingen i fråga om tjänster för elektroniskt befullmäktigande
Befolkningsregistercentralen deltog 2018–2019 i projektet Semantic Interoperability for Representation Powers and Mandates, som ingår i EU:s ISA2-program. Inom projektet gjordes en jämförelse mellan medlemsstaternas färdiga behörighetstjänster eller behörighetstjänster i utvecklingsskedet. I jämförelsen deltog Nederländerna, Belgien, Spanien, Österrike, Portugal och Finland. En av de mer betydande likheter som upptäcktes i jämförelsen var att de flesta medlemsstaterna hade utvecklat ett centraliserat elektroniskt system som stöder skötseln av ärenden för någon annans räkning. Systemet hade fogats till det nationella identifieringssystemet och det var tillgängligt i samtliga applikationer inom den offentliga servicen. Processen för att skapa rätten att sköta ärenden för någon annans räkning var fullständigt digital. Inom den elektroniska identifieringen grundade sig personens identitet på personuppgifter ur det centraliserade nationella personregistret när det gällde samtliga medlemsstater som deltog i jämförelsen. Tillitsnivån för de olika medel för identifiering som utnyttjas vid den elektroniska skötseln av ärenden för någon annans räkning i de olika medlemsstaterna framgår inte av jämförelsen. 
I de andra nordiska länderna och de övriga EU-länderna har man vid myndigheternas verksamhetsställen veterligen inte manuellt registrerat fullmakter som utnyttjas elektroniskt. Således är det inte heller känt att uppgifter i anslutning till detta skulle ha ordnats som ett samarbete mellan myndigheter. Den behörighetstjänst som Befolkningsregistercentralen tillhandahåller med stöd av lagen om stödtjänster är uppbyggd utgående från de nationella behoven och utgångspunkterna. Av de nationella utgångspunkterna följer att information om handlingsbehörighet och behörighet bör överföras till elektronisk form manuellt på basis av styrkande dokumentation, om dessa uppgifter inte kan fås ur basregistren med hjälp av automatisk databehandling. 
En internationell jämförelse försvåras av att fast man i de övriga nordiska länderna och i andra EU-länder har genomfört tjänster som möjliggör skötseln av ärenden för någon annans räkning elektroniskt, av vilka till exempel Norges genomförande är mycket nära Finlands motsvarighet, är de olika ländernas praxis och uppgiftsinnehåll i fråga om basregistren olika varandra. Dessutom finns det semantiska olikheter i fråga om de olika ländernas tjänster för avgivande av elektroniska fullmakter och i fullmakternas innehåll. Det är alltså inte klart om det nödvändigtvis finns ett behov av en motsvarande manuell registrering av elektroniska fullmakter i andra länder eller om det behövs i motsvarande omfattning. För den finska modellen där en tjänsteman hjälper till vid registreringen av elektroniska viljeyttringar finns det således inga klara internationella jämförelsepunkter. Den finska modellen har däremot väckt uppmärksamhet i Norden och EU. 
2.4
Bedömning av nuläget
Elektronisk identifiering av utländska medborgare i förvaltningens tjänster förutsätter att lagen om stödtjänster ändras. Trots målsättningarna i eIDAS-förordningen är det inte möjligt att identifiera alla utländska medborgare med sådana europeiska medel för elektronisk identifiering som omfattas av ömsesidigt erkännande, utan det finns ett behov av att erbjuda också andra typer av möjligheter för identifiering. 
Också möjligheterna att sköta ärenden för en annan persons räkning behöver främjas, och det ska göras möjligt att registrera elektroniska fullmakter även på andra sätt än genom att identifiera sig elektroniskt i behörighetstjänsten. 
När det gäller transaktionerna inom tjänsten för elektronisk identifiering av fysiska personer och internetbetalningstjänsten och delvis också inom behörighetstjänsten finns det sådana kostnader som är knutna till antalet transaktioner och i fråga om vilka finansieringen ännu inte har lösts. Det råder stor osäkerhet i fråga om de transaktionsspecifika kostnaderna inom dessa tjänster, och de kan variera beroende på förändringar i volymerna. Av denna orsak är det ändamålsenligt att i lagstiftningen göra det möjligt att ta ut avgifter för användningen av dessa stödtjänster. 
3
Målsättning och de viktigaste förslagen
3.1
Främjande av elektronisk identifiering av utländska medborgare
Det föreslås att det till lagen om stödtjänster fogas en möjlighet för Myndigheten för digitalisering och befolkningsdata att vid tillhandahållandet av tjänsten för identifiering av fysiska personer identifiera kunder inte bara genom stark autentisering enligt autentiseringslagen, utan också genom sådana medel för elektronisk identifiering som beviljats i andra medlemsstater och som omfattas av det ömsesidiga erkännandet enligt eIDAS-förordningen. 
Enligt artikel 6 i eIDAS-förordningen ska myndigheterna i medlemsstaterna erkänna de till kommissionen anmälda medel för elektronisk identifiering av tillitsnivån väsentlig eller hög som utfärdats i en annan medlemsstat och som behövs för åtkomst till en nättjänst och vars tillitsnivå är lika hög som eller högre än den tillitsnivå som det berörda offentliga organet kräver för åtkomst till denna nättjänst. I praktiken innebär detta att finska myndigheter ska godkänna identifiering i sina egna e-tjänster med andra medlemsstaters identifieringsmetoder av tillitsnivån väsentlig eller hög. Det är ändamålsenligt att tillhandahålla dessa identifieringsmetoder för samlad förmedling till myndigheterna via tjänsten för identifiering av fysiska personer, eftersom myndigheterna även annars använder tjänsten för att identifiera kunder inom förvaltningen. 
De identifieringsmetoder som omfattas av ömsesidigt erkännande ska förmedlas till tjänsten för identifiering av fysiska personer via den nationella noden, som Myndigheten för digitalisering och befolkningsdata producerar med stöd av 42 c § i autentiseringslagen. 
Dessutom föreslås det att det föreskrivs att tillhandahållandet av en tjänst för identifiering av utländska medborgare och ett identifieringsverktyg för identifiering av utländska medborgare sköts av Myndigheten för digitalisering och befolkningsdata. Identifieringsverktyg kan enligt förslaget beviljas personer som saknar finsk personbeteckning och som därför inte kan få ett verktyg för stark autentisering enligt autentiseringslagen. Ett ytterligare krav är att den utländska medborgaren inte heller kan få ett utländskt ömsesidigt erkänt identifieringsverktyg enligt eIDAS-förordningen. Bestämmelser om rätten för Myndigheten för digitalisering och befolkningsdata att tillhandahålla denna typ av identifieringstjänster som baserar sig också på andra identifieringsmetoder än sådan stark autentisering som avses i autentiseringslagen finns i 3 § 1 mom. 5 punkten i lagen om stödtjänster. 
Det föreslås att bestämmelser om identifieringstjänsten, om beviljande av identifieringsverktyg och om registret över identifieringsverktyg för utländska medborgare fogas till lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009, nedan befolkningsdatalagen). Detta är motiverat eftersom det identifieringsverktyg som beviljas en utländsk medborgare fogas till personens identitet, som kan utnyttjas i stor utsträckning inom den offentliga förvaltningens tjänster. Utöver personens identifieringskod innehåller identiteten också bland annat en uppgift om med vilka handlingar för verifiering av identiteten och med vilka utgångsuppgifter identiteten har genererats. Det centrala i det nya registret över identifieringsverktyg för utländska medborgare är att identiteten bevaras under en lång tid och att andra myndigheter litar på den identitet som skapats av Myndigheten för digitalisering och befolkningsdata precis som när det gäller uppgifterna i befolkningsdatasystemet. Behovet av gränsöverskridande e-tjänster kommer att accentueras under de närmaste åren, och bland annat förordningen om en digital ingång kommer att förplikta medlemsstaterna att ordna en möjlighet att uträtta ärenden i ett betydande antal av den offentliga förvaltningens tjänster. 
Dessutom föreskrivs det om de certifikat som Myndigheten för digitalisering och befolkningsdata erbjuder allmänheten i befolkningsdatalagen och i flera andra lagar, till exempel autentiseringslagen. Även av denna orsak är det motiverat att i befolkningsdatalagen föreskriva om beviljandet av identifieringsverktyg och om frågor som gäller registerföring. I lagen om stödtjänster föreskrivs det i regel om de stödtjänster för e-tjänster som tillhandahålls för förvaltningen, och en sådan är också den identifieringstjänst som ska erbjudas för identifiering av utländska medborgare genom utnyttjande av det nya identifieringsverktyget. 
Den inledande identifiering, det vill säga kontroll av identiteten hos den som ansöker om ett identifieringsverktyg, som ska föregå beviljandet av ett identifieringsverktyg åt en utländsk medborgare ska inte bara kunna göras i den elektroniska tjänst för identifiering på distans som producerats av Myndigheten för digitalisering och befolkningsdata utan också genom att de dokument som är en förutsättning för inledande identifiering kontrolleras vid ett verksamhetsställe. Dessutom ska kontrollen av identiteten hos den som ansöker om ett identifieringsverktyg kunna grunda sig på ett sådant fastställande av sökandens identitet som gjorts med hjälp av en elektronisk identifieringsmetod som godkänts av Myndigheten för digitalisering och befolkningsdata. Avsikten är att det beviljade identifieringsverktyget ska vara tillräckligt informationssäkert och bevisligt för att personen ska kunna använda det för att logga in i behörighetstjänstens e-tjänst för att hantera sina fullmakter och i olika e-tjänster för att använda de fullmakter personen själv har fått. 
Avsikten är inte att denna nya identifieringstjänst ska ersätta tjänster för stark autentisering, utan det ska fortsättningsvis i regel vara dem man använder för att uträtta ärenden i förvaltningen. Till exempel är utgångspunkten i 6 § i lagen om tillhandahållande av digitala tjänster (306/2019) att ett verktyg för stark autentisering ska användas i en e-tjänst, om det i tjänsten är möjligt att få se och använda sekretessbelagt datainnehåll. När det gäller den nya identifieringstjänsten är det fråga om att bevilja uttryckligen ett annat identifieringsverktyg än ett verktyg för stark autentisering åt utländska personer som inte får ett finskt verktyg för stark autentisering och som inte heller exempelvis kan identifieras i en EU-medlemsstat genom ömsesidigt erkända identifieringsmetoder i enlighet med eIDAS-förordningen. Enligt lagen om tillhandahållande av digitala tjänster är det möjligt att av vägande och motiverande skäl använda någon annan motsvarande informationssäker identifieringstjänst för att få se och använda sekretessbelagt datainnehåll. 
3.2
Registrering av fullmakt eller annan viljeyttring på annat sätt än i en e-tjänst
Det finns behov av att utnyttja behörighetstjänstens register över elektroniska fullmakter och andra viljeyttringar också när ärenden sköts på annat sätt än elektroniskt, exempelvis vid besök eller skriftligen. Det är möjligt enligt gällande lagstiftning. En person kan alltså på basis av en elektronisk fullmakt som lagrats i fullmaktsregistret sköta ärenden för en annans räkning också på annat sätt än elektroniskt. 
Däremot förutsätter en registrering av en fullmakt på annat sätt än elektroniskt att bestämmelserna om förutsättningarna för registrering uppfylls, så att personens identitet och behörighet kan kontrolleras också på annat sätt än genom att hämta de uppgifter som behövs ur basregistren. 
3.3
Skötsel av uppgifter som gäller registrering inom ramen för samservice
Myndigheten för digitalisering och befolkningsdata kan med stöd av lagstiftningen om uträttande av ärenden i förvaltningen registrera viljeyttringar och bevilja identifieringsverktyg på basis av exempelvis skriftlig, muntlig eller elektronisk kommunikation. I praktiken registrerar Myndigheten för digitalisering och befolkningsdata viljeyttringar enbart i behörighetstjänstens e-tjänst. Myndigheten för digitalisering och befolkningsdata har inte heller ett tillräckligt omfattande nätverk av verksamhetsställen eller tillräckligt med resurser för att viljeyttringar ska kunna registreras eller ansökningar om nya identifieringsverktyg för identifiering av utländska medborgare lämnas in i heltäckande grad. För de användarorganisationer som utnyttjar behörighetstjänsten och för förvaltningens kunder skulle det vara ändamålsenligt att ansökningar om registrering av en viljeyttring kan lämnas in i samband med att en person sköter andra ärenden, till exempel hos den myndighet som är en användarorganisation i behörighetstjänsten och hos vilken personen sköter ärenden i varje enskilt fall. 
Av denna orsak föreslås det att Myndigheten för digitalisering och befolkningsdata ska kunna överföra uppgifter som gäller registreringen av viljeyttringar och beviljande av de identifieringsverktyg för utländska medborgare som krävs bland annat vid registrering av viljeyttringar till att skötas inom ramen för samservice. Till dessa uppgifter kan utöver rådgivning höra registrering av viljeyttringar och kontroll av förutsättningarna för registrering samt radering av viljeyttringar ur registret på begäran av den som avgett viljeyttringen eller den befullmäktigade. Uppgifter i anslutning till beviljandet av identifieringsverktyg är kontroll av personuppgifterna för den som ansöker om ett identifieringsverktyg och registrering av uppgifter i registret över identifieringsverktyg för utländska medborgare. Inom ramen för samservice ska dessutom ett identifieringsverktyg kunna återkallas på begäran av innehavaren. 
Statliga myndigheter, kommunala myndigheter och Folkpensionsanstalten kan enligt samservicelagen vara uppdragstagare (och uppdragsgivare) inom samservicen. Genom de nu föreslagna bestämmelserna görs det möjligt för Myndigheten för digitalisering och befolkningsdata att överföra uppgifter som gäller registrering av fullmakter och beviljande av identifieringsverktyg till exempelvis Skatteförvaltningen eller en annan myndighet som utnyttjar behörighetstjänsten eller en annan myndighet som hör till samservicelagens tillämpningsområde. 
I lagen om stödtjänster och befolkningsdatalagen ska det föreskrivas om en uppgiftshelhet som är ny i förhållande till samservicelagens 6 §. Uppgiftshelheten ska inte nämnvärt avvika från de uppgifter som sköts i enlighet med samservicelagen och helheten ska inte heller innehålla uppgifter som innebär myndighetsutövning. Delvis kan de uppgifter som avses i förslaget skötas enligt den redan gällande samservicelagen. För tydlighetens skull föreslås det ändå att det utfärdas bestämmelser om dessa uppgifter på ett heltäckande sätt som en egen helhet. 
De uppgifter som sköts inom ramen för samservicen ska handla om registrering av uppgifter och radering av uppgifter ur registret enligt vissa förutsättningar som anges i lagen. Om samservicens uppdragstagare anser att den inte kan utföra registreringen eller raderingen av uppgifter ur registret ska uppdragstagaren överföra ärendet till Myndigheten för digitalisering och befolkningsdata för behandling. Det föreslås att det till lagen om stödtjänster och befolkningsdatalagen fogas bestämmelser om hur Myndigheten för digitalisering och befolkningsdata ska förfara i situationer när en registeranteckning inte kan göras eller raderas eller när ett identifieringsverktyg inte kan beviljas i enlighet med ansökan. Detsamma gäller när en registrerad motsätter sig en registeranteckning eller återkallelsen eller förhindrandet av användningen av ett identifieringsverktyg. 
Till lagen fogas enligt förslaget även bestämmelser om när Myndigheten för digitalisering och befolkningsdata raderar fullmakter och andra viljeyttringar ur registret, antingen på begäran av den som avgett viljeyttringen eller den befullmäktigade eller utan begäran, om det finns anledning att misstänka att viljeyttringen har registrerats på felaktiga grunder. Enligt förslaget ska Myndigheten för digitalisering och befolkningsdata på ansökan av innehavaren av ett identifieringsverktyg för utländska medborgare som myndigheten beviljat eller på eget initiativ kunna återkalla identifieringsverktyget, om det finns anledning att misstänka att säkerheten vid användningen av identifieringsverktyget äventyras. 
Samservicens uppdragstagare kan också sköta sådana uppgifter där en fullmakt raderas ur registret eller ett identifieringsverktyg återkallas på begäran. Däremot ska endast Myndigheten för digitalisering och befolkningsdata kunna avgöra om det på grund av missbruk finns anledning att förhindra att en viljeyttring införs i registret eller att ett identifieringsverktyg används eller om det finns anledning att radera eller återkalla dessa slutgiltigt. 
De fullmakter och andra viljeyttringarna som registreras i behörighetstjänstens register är inte formfria, utan de innehåller en eller flera så kallade fullmaktskoder som fastställts på förhand och som anger den befullmäktigades behörighet att sköta ärenden för sin huvudmans räkning. Koderna används i sådana e-tjänster som godkänner skötsel av ärenden för annans räkning med stöd av dessa koder. Fullmaktskoden eller fullmaktskoderna ska framgå tydligt i begäran om registrering liksom också i den skriftliga fullmakt på basis av vilken registrering begärs. På så vis inbegriper registreringen av fullmaktens innehåll inte prövningsrätt. Vid ett verksamhetsställe ska den som avger en viljeyttring ha möjlighet att få rådgivning av kundrådgivaren i fråga om registrering av fullmakten. När begäran om registrering av en fullmakt lämnas in vid ett verksamhetsställe är risken för att fullmaktens innehåll ska missförstås således i princip inte större än i en situation där fullmaktsgivaren själv skapar fullmakten elektroniskt i den e-tjänst som tillhandahålls av Myndigheten för digitalisering och befolkningsdata. 
Dessutom ska det i lagen om stödtjänster och befolkningsdatalagen föreskrivas om möjligheten att avvika från den betalning av ersättning till uppdragstagaren enligt självkostnadsprincipen som avses i 5 a § i samservicelagen. Enligt de föreslagna bestämmelserna kan man också komma överens om att en myndighet som är användarorganisation i behörighetstjänsten deltar i ersättningarna för uppdragstagarens kostnader. De föreslagna bestämmelserna behövs eftersom uppdragstagaren kan vara en sådan aktör som vill bistå vid registreringen av elektroniska fullmakter för att förbättra sina egna e-tjänster. I det sammanhanget är det motiverat att göra det möjligt för uppdragstagaren att helt eller delvis stå för de kostnader som samservicen medför. Av samma anledning ska det vara möjligt för en myndighet som är användarorganisation att delta i kostnaderna i sådana situationer där Myndigheten för digitalisering och befolkningsdata i egenskap av uppdragsgivare överlåter en uppgift till en sådan tredje myndighet till vilken det är motiverat att betala ersättning för kostnaderna för uppgiften. 
Med undantag för de nya uppgiftshelheterna och undantaget som gäller ersättning för kostnader ska bestämmelserna i samservicelagen tillämpas på samservicen. Enligt 5 b § i samservicelagen svarar exempelvis uppdragsgivaren, som i detta fall är Myndigheten för digitalisering och befolkningsdata, inom sitt verksamhetsområde för inskolning och utbildning av uppdragstagarens servicerådgivare och för att servicerådgivarna har möjlighet att vid behov få expertstöd för skötseln av kundservicefunktioner. 
De allmänna författningar som garanterar rättssäkerheten inom förvaltningen blir tillämpliga inom samservicen utan separat lagstiftning. Sådana författningar är bland annat förvaltningslagen (434/2003), språklagen (423/2003), lagen om offentlighet i myndigheternas verksamhet (621/1999) och samiska språklagen (1086/2003). De anställda inom samservicen handlar under tjänsteansvar vid skötseln av offentliga uppdrag och därför föreskrivs det inte om tjänsteansvaret eller skyldigheten att följa förvaltningsrättsliga bestämmelser i samservicelagen för de personer som sköter dessa uppgifter. Det föreslås inte heller att det föreskrivs separat om detta i lagen om stödtjänster eller i befolkningsdatalagen. 
Enligt 8 § i samservicelagen ska ett uppdragsavtal mellan två eller flera myndigheter om ordnande av samservice ingås skriftligen för viss tid eller tills vidare. I avtalet ska det överenskommas bland annat om vilka kundservicefunktioner avtalet gäller och i vilken omfattning de sköts inom ramen för samservice. Dessutom ska det överenskommas om till exempel de praktiska arrangemangen kring skyldigheter vid behandlingen av sekretessbelagda uppgifter och personuppgifter. 
I samband med att det avtalas om behandling av personuppgifter ska givetvis de krav som följer av den allmänna dataskyddsförordningen iakttas. I artikel 28 i dataskyddsförordningen finns bland annat bestämmelser om den personuppgiftsansvariges och personuppgiftsbiträdenas skyldigheter. Enligt artikeln ska uppdragsförhållandet fastställas genom ett avtal om behandling eller genom någon annan rättsakt enligt unionsrätten eller medlemsstaternas nationella rätt, om inte användarorganisationens uppgifter entydigt regleras genom lag. Även om den personuppgiftsansvarige i princip bär ansvaret för behandlingen av personuppgifter och för de personer den anlitar som personuppgiftsbiträden, kan enligt förordningen också biträdena själva omfattas av personligt ansvar om de bryter mot bestämmelserna i förordningen. 
Enligt förslaget kommer Myndigheten för digitalisering och befolkningsdata att vara personuppgiftsansvarig i fråga om det register som avses i 10 § i lagen om stödtjänster och i fråga om den behandling av personuppgifter inom ramen för uppgiften att registrera fullmakter som anknyter till registret. I verksamheten för samservicens uppdragstagare rör det sig om behandling av personuppgifter på den personuppgiftsansvariges vägnar och för dennes räkning. 
Möjligheten att registrera en fullmakt eller annan viljeyttring inom samservicen och utnyttjandet av kontroll av dokumentation i samband med registreringen gör att en bredare krets av användare kan utnyttja behörighetstjänsten och andra tjänster som tillhandahålls i en elektronisk miljö. Att fullmakter kan skapas också på andra sätt än i e-tjänster gör det möjligt även för dem som inte kan använda e-tjänster samt för andra än fysiska personer – såsom dödsbon eller sådana organisationer i fråga om vilka rätten att företräda fullmaktsgivaren inte kan kontrolleras i de basregister som fullmaktstjänsten använder – att via behörighetstjänsten befullmäktiga någon annan att sköta ärenden för sin räkning, antingen i en e-tjänst eller genom personligt besök. En förutsättning för registrering av en elektronisk fullmakt är att rätten att företräda dessa organisationer kan verifieras i samband med ansökan om registrering, antingen genom tillförlitliga register eller utifrån styrkande dokumentation. 
Avsikten är att Myndigheten för digitalisering och befolkningsdata för skötseln av uppgiften att registrera viljeyttringar och radera viljeyttringar ur registret ska skapa ett så kallat handläggargränssnitt, som ska erbjuda en samlad lösning för kontrollen av uppgifterna i fullmaktsregistret och förmedlingen av uppgifter om registrering och radering av fullmakter till Myndigheten för digitalisering och befolkningsdata. Handläggargränssnittet öppnar för att en tredje part, det vill säga ”handläggaren”, för fullmaktsgivarens räkning kan göra en fullmakt genom vilken en fullmakt upprättas mellan två parter, fullmaktsgivaren och den befullmäktigade, i enlighet med fullmaktsgivarens viljeyttring. 
Genom att viljeyttringar kan registreras också på annat sätt än i den e-tjänst som Myndigheten för digitalisering och befolkningsdata tillhandahåller vill man utöka möjligheterna att sköta ärenden elektroniskt också för sådana personer och organisationer vars uppgifter eller behörighet inte kan verifieras elektroniskt i de basregister som används inom behörighetstjänsten eller som inte har möjlighet att identifiera sig elektroniskt. Exempel på sådana personkategorier är personer som inte har möjlighet att använda verktyg för elektronisk identifiering eller e-tjänster. I fråga om organisationer kan motsvarande situation föreligga om en företrädare för en organisation vill skapa en elektronisk fullmakt för organisationens räkning men saknar möjlighet att göra detta i en e-tjänst för registrering av fullmakter till exempel på grund av bristande tillgång på registeruppgifter. Att begäran och uppgifterna om registrering av en fullmakt kan tas emot och att de kan kontrolleras manuellt innebär i en sådan situation att det trots allt är möjligt att utfärda en fullmakt. Därmed utvidgas möjligheterna att sköta ärenden för en annans räkning. 
Organisationer ska också ha möjlighet att begära registrering av fullmakter som möjliggör vidarebefullmäktigande (fullmakt att ge fullmakt). I visst hänseende skulle det således röra sig om en överföring av behörigheten att utfärda fullmakt, så att en organisations lagliga företrädare (en eller flera) kan ge någon eller några personer inom organisationen rätt att för företrädarens räkning förvalta uppgifter om dem som har rätt att sköta ärenden för organisationens räkning. Det skulle i viss mån röra sig om en elektronisk motsvarighet till den ställningsfullmakt som beskrivs i 10 § 2 mom. i rättshandlingslagen, dock så att organisationen och den person som organisationen har gett behörighet att förvalta fullmakterna ska ansvara för att förteckningen över personer som sköter ärenden för organisationens räkning hålls uppdaterad. En sådan funktion har redan möjliggjorts i identifieringstjänsten för Katso-tjänsten, och avsikten är att möjliggöra den också inom behörighetstjänsten. Fullmakten att ge fullmakt gör det möjligt att på ett flexibelt sätt i form av självbetjäning i fullmaktsregistret förvalta uppgifter om sådana personer som har rätt att sköta ärenden för organisationens räkning. Den gör det också möjligt för dem som har dessa rättigheter att använda e-tjänster som är avsedda för organisationer. 
För närvarande finns det ingen samlad funktion som registrerar uppgifter om dem som får företräda offentliga organisationer. I samband med sådan registrering av fullmakter som grundar sig på kontroll av dokument ska det efter en tillräcklig utredning vara möjligt att göra en registeranteckning om att ge en företrädare för offentliga organisationer rätt att befullmäktiga andra personer inom den berörda organisationen att agera för organisationens räkning i de noggrant specificerade och avgränsade ärenden som fullmaktskoden anger. Företrädaren ska också kunna ges rätt att befullmäktiga dessa personer att i sin tur befullmäktiga andra personer i den berörda organisationen eller aktörer utanför den offentliga organisationen, i den omfattning det är tillåtet att utfärda fullmakter inom den offentliga organisationens verksamhet. 
Som ett tredje exempel kan nämnas kontroll av rätten att representera ett utländskt företag. Kontrollen kan ofta inte göras elektroniskt, antingen för att registeruppgifterna är bristfälliga eller för att registeruppgifter inte kan fås från utlandet via ett tekniskt gränssnitt eller på något annat sätt elektroniskt. En servicerådgivare hos samservicens uppdragstagare ska, på samma sätt som för närvarande görs i Katso-tjänsten, vid ett verksamhetsställe kunna registrera sådana fullmakter som utfärdats av en utländsk organisation. En elektronisk fullmakt kan också vara exempelvis behörighet för en räkenskapsbyrå att sköta skatteärenden för en utländsk organisations räkning. 
En fjärde viktig grupp vars möjligheter att använda e-tjänster klart behöver förbättras är dödsbon. Eftersom det i nuläget inte går att få sådana registeruppgifter om delägare i dödsbon som skulle möjliggöra användning av e-tjänster, föreslås det att man utifrån en tillräcklig styrkande dokumentation ska kunna registrera en elektronisk fullmakt för dem som sköter ärenden för ett dödsbos räkning att i egenskap av företrädare för dödsboet sköta ärenden i den omfattning som fullmakten tillåter. 
3.4
Skyldigheten att använda behörighetstjänsten
Inom ramen för behörighetstjänsten kontrolleras rätten att sköta ärenden för annans räkning både i de så kallade basregistren (exempelvis befolkningsdatasystemet och handelsregistret) och i behörighetstjänstens fullmaktsregister. Det föreslås att det till lagen om stödtjänster fogas en bestämmelse om att de organisationer som är skyldiga att använda vissa stödtjänster även är skyldiga att använda den del av behörighetstjänsten som tillhandahåller uppgifter om personers lagliga företrädare. Användningsskyldigheten föreslås inte gälla uppgifter om fullmakter och andra viljeyttringar. Skyldigheten att använda behörighetstjänsten, som utgår från basregistren och innehåller uppgifter om handlingsbehörighet och behörighet, för att kontrollera en persons rätt att sköta ärenden för en persons eller organisations räkning, kommer att minska behovet av att bygga ut eller ta i bruk förfrågningsfunktioner som överlappar varandra och producerar samma information. I praktiken innebär detta att en användarorganisation för att verifiera att en person är behörig att sköta ärenden för en annans räkning inte kommer att behöva ta i bruk flera olika informationstjänster exempelvis hos Myndigheten för digitalisering och befolkningsdata och Patent- och registerstyrelsen, om organisationen använder behörighetstjänsten. I vissa fall kan det dock vara befogat att användarorganisationen tar i bruk separata förfrågningstjänster i stället för behörighetstjänsten. 
Att organisationen redan tillämpar en sektorsspecifik eller myndighetsspecifik lösning kan vara ett motiverat skäl att avvika från skyldigheten att använda behörighetstjänsten i enlighet med de villkor som anges i lagens 5 § 1 mom. Enligt bestämmelsen inträder användningsskyldigheten när stödtjänsten är tillgänglig och det serviceavtal för en tjänst som anskaffats självständigt och som motsvarar stödtjänsten i fråga har löpt ut, om inte myndigheten av tekniska eller funktionella skäl eller av skäl som hänför sig till kostnadseffektiviteten eller informationssäkerheten nödvändigtvis måste använda andra tjänster i sin verksamhet eller i en del av den. 
3.5
Behandling av personuppgifter
I lagen om stödtjänster finns det relativt detaljerade bestämmelser om behandlingen av personuppgifter inom produktionen av stödtjänster. Bestämmelserna grundar sig i hög grad på det krav i 10 § 1 mom. i grundlagen enligt vilket närmare bestämmelser om skydd för personuppgifter ska utfärdas genom lag och på grundlagsutskottets tidigare tolkningspraxis när det gäller detta och skyddet för privatlivet. Med hänsyn till artikel 6.3 och artikel 9 i dataskyddsförordningen kan regleringen anses vara tillåten inom ramen för det nationella handlingsutrymmet. 
När det gäller sådan behandling av personuppgifter som omfattas av dataskyddsförordningen är det möjligt med nationell lagstiftning som preciserar förordningen i de fall då förordningen uttryckligen ger medlemsstaterna nationellt handlingsutrymme. Flera artiklar i dataskyddsförordningen medger ett nationellt handlingsutrymme. 
Handlingsutrymmet kan användas när behandlingen av personuppgifter grundar sig på artikel 6.1 c eller e i dataskyddsförordningen, det vill säga när behandlingen behövs för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Syftet med behandlingen bestäms i den rättsliga grunden för behandlingen. Preciserande lagstiftning kan i dessa fall innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen, bland annat bestämmelser om förutsättningarna för behandlingens lagenlighet, typen av uppgifter som behandlas, registrerade, bevaringstider, ändamålsbegränsning och behandlingsåtgärder. Medlemsstaternas nationella rätt ska enligt artikel 6 uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Med beaktande av dataskyddsförordningens direkta tillämplighet och grundlagsutskottets tolkningspraxis under senare tid när det gäller bestämmelser i lag (se särskilt GrUU 14/2018 rd) bör användningen av speciallagstiftning begränsas enbart till det nödvändigaste. 
Utifrån ovannämnda kriterier kan redan gällande lagstiftning mot bakgrund av artikel 6.3 och artikel 9 i dataskyddsförordningen anses vara tillåten inom ramen för det nationella handlingsutrymmet. Därför föreslås det inga ändringar i lagen om stödtjänster med anledning av dataskyddsförordningen. Genom lag 926/2019 har det gjorts sådana hänvisningsändringar i lagen om stödtjänster som beror på ikraftträdandet av dataskyddsförordningen. 
Beviljande av ett identifieringsverktyg till en utländsk medborgare förutsätter behandling av personuppgifterna för de personer som har beviljats identifieringsverktyg och att det förs register över de beviljade identifieringsverktygen. Med stöd av dessa registeruppgifter ska det vara möjligt att entydigt identifiera ett identifieringsverktyg och dess innehavare. Att behandla personuppgifter i samband med beviljandet av ett identifieringsverktyg och tillhandahållandet av tjänsten är därmed oundvikligt. Behandlingen av personuppgifter i samband med detta ska grunda sig på 3 § 1 mom. 5 punkten i lagen om stödtjänster och den föreslagna nya 69 a § i befolkningsdatalagen. På detta sätt är behandlingen laglig med stöd av artikel 6.1 c i dataskyddsförordningen. När behandlingen grundar sig på den personuppgiftsansvariges lagstadgade uppgift kan den nationella lagstiftaren använda det nationella handlingsutrymmet för att närmare ange till exempel vilken typ av uppgifter som ska behandlas eller bevaringstiden. När det gäller användningen av handlingsutrymmet ska dock grundlagsutskottets tolkningspraxis under senare tid beaktas, i enlighet med vilket användningen av speciallagstiftning bör begränsas enbart till det nödvändigaste. 
I befolkningsdatalagen och delvis i lagen om stödtjänster föreslås närmare bestämmelser om hur personuppgifter om innehavaren av ett identifieringsverktyg kan behandlas i samband med beviljandet av ett identifieringsverktyg och tillhandahållandet av identifieringstjänsten. I samband med bedömningen av behovet av reglering har grundlagsutskottets utlåtanden beaktats. Enligt utskottet är det i princip tillräckligt att regleringen som gäller skyddet och behandlingen av personuppgifter är förenlig med dataskyddsförordningen. Enligt utskottets uppfattning gör de detaljerade bestämmelserna i förordningen det också möjligt att i fråga om myndighetsverksamhet lagstifta betydligt mer generellt om skydd för och behandling av personuppgifter jämfört med vår nuvarande nationella regleringsmodell (GrUU 14/2018 rd, s. 4). 
Därför föreslås det att det i befolkningsdatalagen i samband med produktionen av en identifieringstjänst för utländska medborgare ska föreskrivas om vilka personuppgifter som ska registreras enligt personuppgiftstyp. Regleringen är inte uttömmande men den bidrar till att ge den registrerade en uppfattning om vilka personuppgifter som behandlas i samband med produktionen av tjänsten. Vilka uppgifter som faktiskt behandlas beror på syftet med behandlingen. Behandlingen av personuppgifter ska i enlighet med dataskyddsförordningen under alla omständigheter vara motiverad och nödvändig i förhållande till användningsändamålet. 
I identifieringstjänsten för utländska medborgare kan ett identifieringsverktyg beviljas utgående från ett fotografi eller en kopia av ett pass. Fotografier omfattas enligt dataskyddsförordningen av definitionen för biometriska uppgifter endast i sådana fall där de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person. Sådana här personuppgifter bör inte behandlas om inte behandlingen tillåts i enlighet med de särskilda fall som fastställts i dataskyddsförordningen eller till exempel för att uppfylla en rättslig förpliktelse. Utöver de särskilda kraven för sådan behandling, bör de allmänna principerna och andra bestämmelser i dataskyddsförordningen tillämpas, särskilt när det gäller villkoren för laglig behandling. Därför ska befolkningsdatalagen innehålla bestämmelser om behandlingen av fotografier och biometriska uppgifter som anknyter till dessa i samband med produktionen av tjänsten. I befolkningsdatalagen ska det utöver det som föreskrivs i 6 § 2 mom. i dataskyddslagen föreskrivas om lämpliga och särskilda åtgärder för att skydda den registrerades grundläggande rättigheter och intressen och för att minska det hot och den risk som behandlingen av uppgifterna medför. Åtgärder av detta slag är de krav på minimering av behandlingen som föreslås i 69 c § i befolkningsdatalagen. 
3.6
Användarorganisationernas och serviceproducenternas rätt att lämna ut uppgifter
I lagen föreslås en bestämmelse om användarorganisationens rätt att lämna Myndigheten för digitalisering och befolkningsdata de uppgifter som den behöver till exempel när det skett ett fel eller en fråga utreds, på motsvarande sätt som det har föreskrivits om rätten för Myndigheten för digitalisering och befolkningsdata att lämna ut uppgifter till användarorganisationer. En sådan rättighet behövs till exempel för att man ska kunna utreda tekniska och andra fel som skett i samband med skötseln av ärenden. 
Dessutom föreslås i lagen en bestämmelse om att serviceproducenten ska ha rätt att lämna ut uppgifter som registrerats om användningen av stödtjänsten även till en sådan person för vars räkning någon har använt stödtjänsten eller i övrigt skött ärenden. Genom bestämmelsen möjliggörs utlämnandet av uppgifter ur behörighetstjänsten också till dem för vars räkning någon behörigen eller obehörigen har skött ärenden. I fråga om utlämnande av uppgifter ska iakttas det som i 11 och 12 § i offentlighetslagen föreskrivs om en parts rätt att ta del av en handling och rätt att ta del av en handling som gäller en själv. 
3.7
Vissa avgiftsbelagda stödtjänster
Det föreslås att de bestämmelser som gäller identifieringstjänster, behörighetstjänsten och den samlade förvaltningstjänsten för internetbetalning ändras så att Statskontoret och Myndigheten för digitalisering och befolkningsdata har möjlighet att hos användarorganisationerna ta ut avgifter för användningen av tjänsten i enlighet med lagen om grunderna för avgifter till staten (150/1992). 
Det har inte varit möjligt att på målsatt sätt tillsammans med de banker som hör till det så kallade förtroendenätet få till stånd ett avtal med fast pris, som skulle begränsa kostnaderna för produktionen av identifieringstjänsten. Enligt aktuella bedömningar kommer kostnaderna i värsta fall att stiga till ungefär det dubbla jämfört med det gällande avtalet. Avsikten är att identifieringstjänsterna ska tillhandahållas avgiftsfritt så länge som de anslag som anvisats Myndigheten för digitalisering och befolkningsdata för att producera tjänsten räcker till. Därefter ska det beslutas om eventuella avgifter för identifieringstjänster. 
Det föreslås att det ska bli möjligt att ta ut avgifter också för sådana nya identifieringstjänster enligt 3 § 1 mom. 5 punkten som det är meningen att i framtiden ska användas för identifiering av utländska personer som inte har en finsk personbeteckning och som inte omfattas av eIDAS-identifieringen. Till skillnad från identifieringstjänsten för stark autentisering har ingen identifieringstjänst för utländska medborgare beaktats i anslagen till identifieringstjänsten, och i budgeten för Myndigheten för digitalisering och befolkningsdata har det inte anvisats några anslag för vare sig transaktionskostnader för inledande identifiering och identifieringstransaktioner eller månadsavgifter för identifieringstjänster för utländska medborgare. Om det i budgeten för Myndigheten för digitalisering och befolkningsdata inte anvisas några anslag för produktion av en identifieringstjänst för utländska medborgare, måste det hos användarorganisationerna tas ut avgifter som motsvarar kostnaderna för produktionen av tjänsten. 
Inom behörighetstjänsten kan införandet av en avgift närmast motiveras av att det vid tillhandahållandet av tjänsten i samband med behörighetsprövningen kommer att utnyttjas uppgifter i andra register än nationella register, och för sådant utlämnande av uppgifter betalar Myndigheten för digitalisering och befolkningsdata en avgift. I sådana fall ska Myndigheten för digitalisering och befolkningsdata debitera användarorganisationen de kostnader som myndigheten föranleds av behörighetskontrollen. En möjlig grund för att ta ut avgifter för användning av uppgifter om fullmakter kunde även vara att Myndigheten för digitalisering och befolkningsdata inte lyckas ingå ett avtal med användarorganisationerna om skötsel av en biträdande uppgift inom ramen för samservice eller om ersättning för kostnaderna, utan att den manuella hanteringen av ansökningarna om registrering av fullmakter bekostas av Myndigheten för digitalisering och befolkningsdata. 
I Statskontorets budget har det inte anvisats några anslag som motsvarar kostnaderna för produktionen av internetbetalningstjänsten. För att främja kostnadseffektiviteten är det ändamålsenligt att användarorganisationerna i regel svarar för de kostnader som deras betalningstransaktioner föranleder. Avsikten är att den samlade förvaltningstjänsten för internetbetalning ska bli avgiftsbelagd vid ingången av 2020. 
Det föreslås att den summa om 500 000 euro som utgör baskalkylen för Statskontorets omkostnader i budgetpropositionen för 2020 flyttas till ett nytt moment för reservationsanslag som ska grundas för att användas 2020–2022 till att sänka kostnaderna för förvaltningens internetbetalning fram tills avtalsperioden för det nuvarande avtalet med Paytrail Oyj löper ut. 
4
Propositionens konsekvenser
4.1
Skötsel av uppgifter som gäller registrering inom ramen för samservice
De föreslagna ändringar i behörighetstjänsten som möjliggör registrering av fullmakter också på annat sätt än elektroniskt bedöms föranleda Myndigheten för digitalisering och befolkningsdata utvecklingskostnader till ett belopp av sammanlagt 100 000 euro 2018–2019. Kostnaderna betalas med poster som överförs från det anslag som beviljades under moment 28.70.03 i budgeten för 2017. 
Myndigheten för digitalisering och befolkningsdata ska inom ramen för sina nuvarande anslag svara för kostnaderna för fortsatt service i samband med registrering av viljeyttringar. Om Myndigheten för digitalisering och befolkningsdata överför denna registreringsuppgift till en uppdragstagare inom ramen för samservice står Myndigheten för digitalisering och befolkningsdata också för dessa kostnader inom ramen för sina nuvarande anslag. I praktiken innebär detta att Myndigheten för digitalisering och befolkningsdata inom ramen för sina anslag kan sköta registreringen eller överföra den till att skötas inom ramen för samservice. 
När uppgifter enligt lagen om stödtjänster och befolkningsdatalagen sköts inom ramen för samservice ska det enligt förslaget vara möjligt att avvika från den betalning av ersättning till uppdragstagaren enligt självkostnadsprincipen som avses i 5 a § i samservicelagen. Enligt de föreslagna bestämmelserna kan man också komma överens om att en myndighet som är användarorganisation i behörighetstjänsten deltar i ersättningarna för uppdragstagarens kostnader. De föreslagna bestämmelserna behövs eftersom uppdragstagaren kan vara en sådan aktör som vill bistå vid registreringen av elektroniska fullmakter för att förbättra sina egna e-tjänster. I det sammanhanget är det motiverat att göra det möjligt för uppdragstagaren att helt eller delvis stå för de kostnader som samservicen medför och för en myndighet som är användarorganisation att delta i kostnaderna i sådana situationer där Myndigheten för digitalisering och befolkningsdata som uppdragsgivare överlåter en uppgift till en sådan tredje myndighet till vilken det är motiverat att ersätta kostnaderna för uppgiften. Att avtala om samservice är i regel frivilligt och därför kan varje part delta i utförandet av uppgifter inom ramen för sina egna anslag. Att sköta biträdande uppgifter ska således vara frivilligt, och det ska basera sig på en bedömning som uppdragstagaren eller den användarorganisation som deltar i ersättningen av kostnaderna har gjort av vilken nytta som kan uppnås med verksamheten, det vill säga bättre service samt kostnadsbesparingar. Uppdragstagaren kommer i allmänhet att sköta uppgifterna i samband med annan kundservice. Om till exempel en organisation som sköter ärenden hos Skatteförvaltningen vill ge en fysisk person eller en räkenskapsbyrå rätt att sköta också andra ärenden än skatteärenden för organisationens räkning, behöver Skatteförvaltningen sannolikt inga betydande tilläggsresurser för att registrera rätten att sköta ärenden för en persons eller organisations räkning. 
Det bör noteras att om en myndighet inte själv utför registreringar vid sitt verksamhetsställe, och inte heller någon annan aktör utför registrering av sådana fullmaktskoder för fullmakter eller andra viljeyttringar som behövs för att sköta ärenden hos den berörda myndigheten, ska myndigheten se till att de eventuella kunder som inte har tillgång till sådana elektroniska fullmakter som skapas direkt i behörighetstjänsten kan sköta ärenden på annat sätt. Sådana kunder är i synnerhet de grupper som anges i avsnitt 3.3. 
Skötseln av ärenden för annans räkning och den nytta det kan ge beräknas öka avsevärt under de närmaste åren. De utvidgade möjligheterna att registrera fullmakter bedöms leda till en ökning av andelen ärenden som sköts för annans räkning med 15 procent. De bedöms också leda till en betydande förbättring av vissa persongruppers möjligheter att sköta ärenden för annans räkning. Någon bedömning av nyttan räknat i pengar har inte gjorts. 
Möjligheten att registrera elektroniska bemyndiganden på annat sätt än i en e-tjänst kan ge nytta för personer och organisationer som saknar verktyg för elektronisk identifiering och/eller i fråga om vilka det inte går att ta fram registeruppgifter om behörigheten att företräda fullmaktsgivaren. Behörighetstjänsten ger de myndigheter som tillhandahåller e-tjänster möjlighet till kostnadsbesparingar i och med att användningen av e-tjänster ökar. Att ansökningar om registrering av fullmakter kan lämnas in genom personligt besök eller skriftligen breddar kretsen av aktörer som använder e-tjänster och gör det möjligt också för sådana personer som inte kan använda e-tjänster samt för andra än fysiska personer – till exempel dödsbon eller sådana organisationer i fråga om vilka rätten att företräda fullmaktsgivaren inte kan kontrolleras i de basregister som fullmaktstjänsten använder – att genom besök vid ett verksamhetsställe via behörighetstjänsten ge någon annan fullmakt att sköta ärenden för sin räkning antingen i en e-tjänst eller genom personliga besök. Detta främjar också likabehandlingen av medborgarna och organisationerna. 
4.2
Skyldigheten att använda behörighetstjänsten
Att skyldigheten att använda behörighetstjänsten i fortsättningen ska omfatta också den del av tjänsten som tillhandahåller uppgifter om personers lagliga företrädare motiveras av de kostnadsbesparingar som kan uppnås samt av att möjligheterna att sköta ärenden för annans räkning ökar. Via stödtjänsten får användarorganisationerna med en enda anslutning samlad information om lagliga företrädare ur flera basregister. Användningsskyldigheten innebär att man inte behöver bygga ut anslutningar för enskilda basregister i användarorganisationernas e-tjänster och att man uppnår kostnadsbesparingar vid sökning av uppgifter ur dem. 
Användningen av behörighetstjänsten ska i princip vara avgiftsfri, även om det i lagen föreslås bestämmelser om en möjlighet att ta ut avgifter för användningen av tjänsten. En avgift ska kunna tas ut främst i sådana situationer där avgiftsbelagda registerförfrågningar behöver göras inom ramen för tillhandahållandet av behörighetstjänsten. Även användningen av den del av tjänsten som tillhandahåller fullmaktsuppgifter ska kunna vara avgiftsbelagd, om den (manuella) registrering av fullmakter som baserar sig på styrkande dokumentation föranleder Myndigheten för digitalisering och befolkningsdata kostnader som Myndigheten för digitalisering och befolkningsdata inte har fått anslag för. Användarorganisationerna ska själva svara för de kostnader som anslutningen till tjänsten föranleder dem. 
Att en myndighet blir skyldig att använda behörighetstjänsten innebär inte i sig att myndigheten på den grunden skulle vara skyldig att ge fysiska eller juridiska personers lagliga företrädare möjlighet att sköta ärenden för sin huvudmans räkning i digitala tjänster. Detta bestäms på basis av annan lagstiftning. Om ovannämnda rättigheter inte kan kopplas till myndighetens digitala tjänst, kan man anse att detta de facto även utgör ett funktionellt skäl att inte använda behörighetstjänsten. När nya system byggs ut bör skyldigheten att använda behörighetstjänsten beaktas, och man ska sträva efter att i första hand möjliggöra skötsel av ärenden för annans räkning genom användning av behörighetstjänsten. 
Av ovannämnda orsaker torde användningsskyldigheten inte ha några nämnvärda ekonomiska konsekvenser för myndigheternas verksamhet. 
4.3
Vissa avgiftsbelagda stödtjänster
Med tanke på statsfinanserna är den stora utmaningen den att stödtjänsterna ökar statens utgifter. De nuvarande förfaranden som stödtjänsterna kommer att ersätta finansieras av staten. I ibruktagandet av stödtjänsterna ingår ingen plan för hur de manuella funktioner som nu försvinner ska utmynna i besparingar för staten. I stället kommer de nuvarande utgifterna att utgöra grunden för de anslag som staten beviljar. Det finns två alternativ för att lösa frågan, nämligen att göra stödtjänsterna avgiftsbelagda eller att dra ned på anslagen. 
När det gäller transaktionerna inom den elektroniska identifieringen av fysiska personer och internetbetalningstjänsterna och delvis också inom behörighetstjänsten finns det kostnader som är knutna till antalet transaktioner. I fråga om dessa har finansieringen ännu inte lösts. Det råder stor osäkerhet i fråga om de transaktionsspecifika kostnaderna inom dessa tjänster, och de kan variera beroende på förändringar i volymerna. Med stöd av 5 § 2 mom. i lagen om stödtjänster får kommunala myndigheter använda alla stödtjänster även i sina andra uppgifter. Detta kan på medellång sikt betydligt öka användningsvolymerna och kostnaderna för identifieringstjänsten och internetbetalningstjänsten. 
I fråga om identifieringstjänsten föranleds kostnader förutom av driftskostnader också av identifieringstransaktioner som upphandlas hos kommersiella leverantörer av identifieringstjänster. Kostnaderna för den fortlöpande servicen inom identifieringstjänsten och behörighetstjänsten föranleds av de servrar som används för att producera tjänsterna och av servermiljön samt av gemensamma tjänster såsom administrationstjänster, kontrollplattformar, databaser och verifieringar som används gemensamt inom de Suomi.fi-tjänster som Myndigheten för digitalisering och befolkningsdata tillhandahåller. En del av de gemensamma kostnaderna är dessutom sådana som uppkommer av tjänster som utnyttjas inom alla de tjänster som Myndigheten för digitalisering och befolkningsdata producerar, det vill säga befolkningsdatasystemet, certifikattjänster och Suomi.fi-tjänster, inklusive förvaltning av de register som används vid produktionen av de tjänster som Myndigheten för digitalisering och befolkningsdata tillhandahåller. 
Servicekostnaderna för den fortlöpande servicen inom Suomi.fi-identifikationen är för servrarnas del för närvarande ca 600 000 euro per år. Dessutom uppskattas kostnaderna för programutveckling uppgå till ungefär 750 000 euro år 2019. Därtill är kostnaderna för de gemensamma tjänsterna ca 1,2 miljoner euro per år. Summan fördelas på alla Suomi.fi-tjänster som Myndigheten för digitalisering och befolkningsdata producerar. 
Suomi.fi-identifikationen används av 424 organisationer. Enligt uppgifterna den 31 juli 2019 hade 1 062 e-tjänster registrerat sig för Suomi.fi-identifikation. Antalet identifieringstransaktioner per månad var år 2017 i genomsnitt 4,75 miljoner och år 2018 7,3 miljoner. Under de sju första månaderna av 2019 var antalet identifieringstransaktioner i medeltal 9,49 miljoner per månad. 
Det har inte varit möjligt att på målsatt sätt tillsammans med de banker som hör till det så kallade förtroendenätet få till stånd ett avtal med fast pris, som skulle begränsa kostnaderna för produktionen av identifieringstjänsten. Enligt aktuella bedömningar kommer kostnaderna i värsta fall att stiga till ungefär det dubbla jämfört med det gällande avtalet. Enligt gällande avtal är priset på identifieringstransaktioner 3,5–6,8 cent per transaktion beroende på identifieringstjänsten. 
Myndigheten för digitalisering och befolkningsdata konkurrensutsatte våren 2018 identifieringstjänsterna bland aktörerna i förtroendenätet. Konkurrensutsättningen utmynnade i ett avtal för perioden 2019–2020, där Myndigheten för digitalisering och befolkningsdata upphandlade en del av de finska tjänsterna för stark autentisering. Med vissa banker som stod utanför avtalet förhandlade man hösten 2018 fram avtal om köp av identifieringstjänster för åren 2019–2020. 
Finansministeriet tillsatte den 1 oktober 2018 en styrgrupp för en förstudie om ordnandet av tjänster för stark elektronisk autentisering inom den offentliga förvaltningen. Målet var att ta fram en verksamhetsmodell där hela befolkningen i så stor utsträckning som möjligt har tillgång till elektronisk identifiering i den offentliga förvaltningens tjänster på ett icke-diskriminerande sätt oavsett personens ålder eller fysiska begränsningar. Förstudien skulle också ta ställning till elektronisk identifiering av utländska personer. I förstudien kartlades kostnaderna och fördelarna med olika lösningar. Syftet var att finna en sådan verksamhetsmodell som för den offentliga sektorn möjliggör en elektronisk identifieringslösning med hållbara totalekonomiska effekter. Förstudien om olika autentiseringsalternativ blev klar i mars 2019. I förstudien föreslår Myndigheten för digitalisering och befolkningsdata tre alternativa möjligheter till verksamhetsmodell för identifieringen. Enligt studien är de möjliga utvecklingsförslagen att staten tillhandahåller ett identifieringsverktyg bara för den offentliga förvaltningen, att statens identifieringsverktyg även kan förmedlas till marknadsaktörer inom förtroendenätet samt att användaren administrerar en identitetsplånbok. Avsikten är att man ska gå vidare med utredningsarbetet utifrån dessa tre alternativ. 
Samtidigt som förstudien om elektronisk identifiering gjordes beredde kommunikationsministeriet en lag om ändring av autentiseringslagen (412/2019), där bland annat skyldigheten att ingå avtal för de tjänsteleverantörer som ingår i förtroendenätet klargjordes och det högsta möjliga priset för förmedling av identifieringstransaktioner sänktes. Myndigheten för digitalisering och befolkningsdata ska efter att lagen har trätt i kraft inleda en ny konkurrensutsättning av identifieringstjänsterna i förtroendenätet för åren 2020-2021. 
I den tredje tilläggsbudgeten för 2017 beviljades Myndigheten för digitalisering och befolkningsdata en fullmakt att i fråga om identifieringstjänster ingå förbindelser så att de 2017–2021 orsakar staten kostnader till ett belopp av högst 20 miljoner euro, vilket i praktiken betyder högst 5 miljoner euro per år 2018–2021. I budgetarna för 2018 och 2019 har fullmakten förnyats inom ramen för det totala beloppet för fullmakten. I planen för de offentliga finanserna 2020–2023 har det reserverats ett årligt förslagsanslag på 5 miljoner euro för identifieringsavgifter. 
Anslag från de aktörer som har betalat mest avgifter till dem som tillhandahåller identifieringstjänster, nämligen från Folkpensionsanstalten, Skatteförvaltningen och arbets- och näringsministeriets förvaltningsområde, har överförts till Myndigheten för digitalisering och befolkningsdata. Dessa anslagsöverföringar räcker inte till för att täcka de nuvarande och framtida kostnaderna för att producera identifieringstjänsten, med beaktande av den breda kretsen av användare inom stödtjänsten och det ökande antalet transaktioner som följer av användningen av e-tjänster. Betydelsen av de anslag som överförts från ovannämnda aktörer kommer även att bedömas i samband med utarbetandet av planen för de offentliga finanserna, om man stannar för att ta ut avgifter för identifieringstjänster av användarorganisationerna. 
Produktionen av en identifieringstjänst för utländska medborgare ingår inte i de årliga förslagsanslagen på 5 miljoner euro som föreslagits för Myndigheten för digitalisering och befolkningsdata för att producera identifieringstjänsten Suomi.fi. Avsikten är att identifieringstjänsten för utländska medborgare ska ersätta den identifiering av personer som i nuläget görs i Katso-tjänsten. Identifieringstjänsten för utländska medborgare ska i fortsättningen användas för att ersätta Katso-tjänsten tillsammans med behörighetstjänsten. Eftersom det har visat sig vara en utmaning vid inloggning i den offentliga förvaltningens tjänster att varken de nationella identifieringslösningarna eller eIDAS-identifieringen i tillräckligt hög grad kan utnyttjas av den grupp fysiska personer som behöver identifiera sig i den offentliga förvaltningens e-tjänster, kan man även se att utländska personers behov av att identifiera sig i framtiden inte kommer att begränsas bara till användning av behörighetstjänsten. Användningen av identifieringstjänster kan då öka avsevärt. Det är därför ändamålsenligt att även göra det möjligt att av de organisationer som använder tjänsten ta ut avgifter som motsvarar kostnaderna för produktion av tjänsten. 
Också i fråga om behörighetstjänsten är det i vissa situationer en utmaning att täcka kostnaderna med samlad finansiering av statens medel. Detta kan vara fallet exempelvis om man vid behörighetsprövningen inom serviceproduktionen utnyttjar uppgifter i andra register än nationella register och Myndigheten för digitalisering och befolkningsdata betalar för att få dessa uppgifter. I sådana fall ska Myndigheten för digitalisering och befolkningsdata debitera användarorganisationen de kostnader som myndigheten föranleds av behörighetskontrollen. 
Registreringen av fullmakter och andra viljeyttringar vid verksamhetsställen kan föranleda Myndigheten för digitalisering och befolkningsdata kostnader, om de myndigheter som hör till samservicelagens tillämpningsområde inte vill avtala om skötseln av registreringsuppgiften på egen bekostnad och Myndigheten för digitalisering och befolkningsdata själv måste svara för kostnaderna för registreringen. Då ska det också vara möjligt att för användningen av behörighetstjänstens uppgifter om fullmakter ta ut avgifter som motsvarar dessa kostnader. Det bör dock beaktas att användningen av den del av behörighetstjänsten som gäller fullmakter och andra viljeyttringar alltjämt ska vara frivillig för myndigheterna. 
Kostnaderna för internetbetalningar består utöver av driftskostnader även av transaktions- och provisionsavgifter samt av e-tjänsternas månadsavgifter. 
För den samlade förvaltningstjänsten för internetbetalning har det sedan 2017 beviljats 500 000 euro för Statskontorets omkostnader under moment 28.20.01. Finansministeriet har 2018 anvisat Statskontoret nyttjanderätt till anslagen under momenten 28.20.06 och 28.70.03 till ett belopp av sammanlagt 1,34 miljoner euro och 2,22 miljoner euro. Anslagen får användas för att centraliserat betala serviceavgifterna inom internetbetalningstjänsten (avgifter för betalningstransaktioner och månadsavgifter för e-tjänsterna) för de kunder som redan har anslutit sig till tjänsten. I Statskontorets budget har det inte anvisats några anslag som motsvarar kostnaderna för produktionen av internetbetalningstjänsten. För att främja kostnadseffektiviteten är det ändamålsenligt att användarorganisationerna i regel svarar för de kostnader som deras betalningstransaktioner föranleder. 
Utifrån utfallet av totalkostnaderna inom den samlade förvaltningstjänsten för internetbetalning har Statskontoret bedömt att totalkostnaderna kommer att utvecklas så att de är ca 3,2 miljoner euro år 2019, ca 3,6 miljoner euro år 2020, ca 5 miljoner euro år 2021 och ca 5,5 miljoner euro år 2022. Utifrån det som kundorganisationerna har anmält till Statskontoret har man bedömt att serviceavgifterna som mest kan komma att öka så att kostnaderna år 2022 är ca 8 miljoner euro. Bedömningen av serviceavgifternas belopp påverkas av i vilken omfattning de organisationer som har anslutit sig till tjänsten har digitaliserat sin service, vilka lagändringar som eventuellt görs och vilket betalningsbeteende slutkunderna uppvisar. 
Anslag har inte tagits bort av andra aktörer på den grunden att internetbetalningarna är avgiftsfria för dem. Därför torde propositionen inte har några ekonomiska konsekvenser för de offentliga organisationer som använder stödtjänsten. Det bedöms att man genom att ordna en samlad stödtjänst kan uppnå kostnadsnytta jämfört med att de offentliga aktörerna själva skulle avtala om och ordna sina internetbetalningstjänster. 
Det föreslås att den summa om 500 000 euro som utgör baskalkylen för Statskontorets omkostnader i budgetpropositionen för 2020 flyttas till ett nytt moment för reservationsanslag som ska grundas för att användas 2020–2022 till att sänka kostnaderna för förvaltningens internetbetalning fram tills avtalsperioden för det nuvarande avtalet med Paytrail Oyj löper ut. 
Skyldiga att använda den samlade förvaltningstjänsten för internetbetalningar är enligt 5 § 1 mom. i lagen om stödtjänster statliga förvaltningsmyndigheter, ämbetsverk, inrättningar och affärsverk, kommunala myndigheter när de sköter sina lagstadgade uppgifter samt domstolar och andra rättskipningsorgan. En samlad internetbetalningstjänst är i regel kostnadseffektivare än betalningstjänster som upphandlats av de enskilda användarorganisationerna. Om en användarorganisation ändå har en kostnadseffektivare möjlighet att få tjänsten på något annat sätt, kan användarorganisationen ansöka om undantag från skyldigheten att använda den samlade förvaltningstjänsten för internetbetalning. 
För de organisationer som använder internetbetalningstjänsten uppkommer det kostnader av anslutningen till tjänsten och i fortsättningen, efter den ändring som föreslås i 25 § 1 mom. i lagen om stödtjänster, av en avgift för användning av tjänsten, som i regel innefattar kostnaderna för användningen av tjänsten, såsom driftskostnader, månadsavgifter och transaktionsspecifika avgifter. Avsikten är att användarorganisationerna huvudsakligen själva ska betala dessa avgifter med de anslag de förfogar över. Tjänsten bedöms bli avgiftsbelagd från ingången av 2020, vilket innebär att användarorganisationerna kan förutse avgifterna i sina omkostnader. De samhällsekonomiska konsekvenserna av ändringen av betalningsgrunden för internetbetalningstjänsten är dock sannolikt neutrala i förhållande till statsbudgeten. 
I fråga om totalkostnaderna är e-tjänsterna kostnadseffektiva för användarorganisationerna. Exempelvis måste internetbetalning anses vara ett förmånligt sätt att samla in myndighetsavgifter, och tjänsterna för elektronisk identifiering och skötsel av ärenden för annans räkning gör det möjligt att sköta ärenden i e-tjänster. 
5
Beredningen av propositionen
Propositionen har beretts vid finansministeriet. I samband med beredningen före remissbehandlingen har man hört Myndigheten för digitalisering och befolkningsdata, Statskontoret och de största användarorganisationer som utnyttjar behörighetstjänsten. 
Ett utkast till propositionen var första gången på remiss från den 28 juni till den 10 augusti 2018. Propositionen har behandlats i den strategiska styrgruppen för Suomi.fi-tjänsterna den 24 april 2018. Efter den första remissbehandlingen har propositionen behandlats på nytt den 23 oktober 2018 i ovannämnda styrgrupp samt i delegationen för kommunal ekonomi och kommunalförvaltning. Propositionen hann inte lämnas till riksdagen under höstsessionen 2018. Efter den första remissbehandlingen har propositionen kompletterats exempelvis i fråga om bestämmelserna om identifiering och ändrats i fråga om ansvarsfördelningen mellan de biträdande organisationerna och Befolkningsregistercentralen och i fråga om proceduren vid registrering av fullmakter. Därför skickades propositionen på remiss igen under våren 2019. 
Yttrandena från den första remissbehandlingen och ett sammandrag av dem har offentliggjorts i statsrådets tjänst för projektinformation under projektnumret VM093:00/2018. 
5.1
Begäran om yttranden och erhållna yttranden
Utkastet till regeringsproposition var på en ny remissbehandling från den 17 maj till den 20 juni 2019. 
På sändlistan fanns ministerierna, Ålands landskapsregering, statens ämbetsverk på Åland, regionförvaltningsverken, riksdagens kansli, riksdagens justitieombudsman, Finlands näringsliv, närings-, trafik- och miljöcentralerna, närings-, trafik- och miljöcentralernas samt arbets- och näringsbyråernas utvecklings- och förvaltningscenter (KEHA), Pensionärsförbundens intresseorganisation PIO rf, Pensionsskyddscentralen, Esbo stad, Finanssiala ry, Hansel Ab, Helsingfors förvaltningsdomstol, Helsingfors hovrätt, Helsingfors stad, Försörjningsberedskapscentralen, Tavastehus förvaltningsdomstol, Östra Finlands hovrätt, Folkpensionsanstalten, Kehitysvammaisten tukiliitto ry, KEVA, Konkurrens- och konsumentverket, Högsta förvaltningsdomstolen, Högsta domstolen, Tröskeln rf, Lahtis stad, Lempäälä kommun, Transport- och kommunikationsverket, S:t Michels stad, Synskadades förbund rf, Justitiekanslersämbetet, Rättsregistercentralen, Uleåborgs stad, Patent- och registerstyrelsen, Polisstyrelsen, Finlands Kommunförbund, Företagarna i Finland rf, Tammerfors stad, Republikens presidents kansli, Teknologiindustrin rf, Tietoliikenteen ja tietotekniikan keskusliitto FiCom ry, Dataombudsmannens byrå, Statistikcentralen, Tullen, Åbo förvaltningsdomstol, Åbo hovrätt, Vasa förvaltningsdomstol, Vasa hovrätt, Försäkringsdomstolen, Delegationen för rättigheter för personer med funktionsnedsättning VANE, Riksåklagarämbetet, Riksfogdeämbetet, Statskontoret, Statens center för informations- och kommunikationsteknik Valtori, Handikappforum, Vanda stad, Skatteförvaltningen och Befolkningsregistercentralen. 
Propositionen har även sänts till rådet för bedömning av lagstiftningen. 
Sammanlagt 36 yttranden lämnades in. Yttranden lämnades av Ålands landskapsstyrelse, Statens ämbetsverk på Åland, riksdagens biträdande justitieombudsman, Pensionärsförbundens intresseorganisation PIO rf, Pensionsskyddscentralen, Regionsförvaltningsverket i Södra Finland, Hansel Ab, Tavastehus förvaltningsdomstol, Folkpensionsanstalten, KEVA, Konkurrens- och konsumentverket, Högsta förvaltningsdomstolen, Finlands Kommunförbund, kommunikationsministeriet, Transport- och kommunikationsverket, jord- och skogsbruksministeriet, Lantmäteriverket, S:t Michels stad, justitieministeriet, Rättsregistercentralen, Uleåborgs stad, Polisstyrelsen, försvarsministeriet, inrikesministeriet, social- och hälsovårdsministeriet, Företagarna i Finland rf, Teknologiindustrin rf, Dataombudsmannen, Tullen, Säkerhets- och kemikalieverket, arbets- och näringsministeriet, Riksåklagarämbetet, Statskontoret, finansministeriet (Avdelningen för utveckling av statsförvaltningen), Skatteförvaltningen och Befolkningsregistercentralen. 
5.2
Det viktigaste innehållet i yttrandena
Helhetsintrycket av yttrandena är att den föreslagna lagstiftningen anses vara behövlig. 
Alla remissinstanser som tog ställning till förmedlingen av de identifieringstransaktioner som omfattas av ömsesidigt erkännande enligt eIDAS-förordningen i tjänsten för identifiering av fysiska personer (det föreslagna 3 § 2 mom. i lagen om stödtjänster) understödde förslaget. I några yttranden framfördes det att förutsättningarna för beviljandet av ett nytt identifieringsverktyg för utländska medborgare behövde preciseras. 
Största delen av de kommentarer som gällde registreringen av fullmakter eller andra viljeyttringar hänförde sig till frågor om rättshandlingsläran och förvaltningsrätten samt överföringen av offentliga förvaltningsuppgifter till privata aktörer. 
I yttrandena fästes det dessutom uppmärksamhet vid bestämmelserna om datasekretess och delvis vid förhållandet mellan bestämmelserna om behandlingen av personuppgifter i lagen om stödtjänster och bestämmelserna i dataskyddsförordningen. 
De användarorganisationer som använder stödtjänster understödde inte den föreslagna ändring som innebär att driftskostnaderna för stödtjänsterna överförs till användarorganisationerna. I yttrandena betonades att det är viktigt att den ökning av myndigheternas kostnader som användningen av stödtjänsterna ger upphov till beaktas genom en motsvarande ökning av finansieringen i budgeten. 
5.3
Beaktandet av yttrandena samt övrig fortsatt beredning
Utifrån yttrandena och den övriga fortsatta beredningen gjordes bland annat följande preciseringar, korrigeringar och kompletteringar i propositionen. 
Regleringen om identifieringstjänsten för utländska medborgare preciserades, och den reglering som gäller förutsättningarna för beviljande av identifieringsverktyg och registreringen av identifieringsverktyg flyttades till befolkningsdatalagen. Samtidigt preciserades förutsättningarna för beviljande av identifieringsverktyg. 
Bestämmelserna om biträdande uppgifter i anslutning till registreringen av viljeyttringar och beviljandet av identifieringsverktyg förtydligades så att överföringen av uppgifter i regel görs i enlighet med principerna i samservicelagen. Möjligheten att överföra biträdande uppgifter till privata aktörer ströks ur propositionen. 
Den bestämmelse genom vilken det skulle ha gjorts ett undantag från den allmänna dataskyddsförordningens artikel 18, som gäller den registrerades rätt att kräva att den personuppgiftsansvarige begränsar behandlingen av uppgifter, ströks ur propositionen. Motiveringarna i fråga om förhållandet mellan bestämmelserna om behandlingen av personuppgifter och den allmänna dataskyddsförordningen utvidgades och preciserades. 
Regleringen om de avgifter som ska tas ut för användningen av vissa stödtjänster förenklades så att på avgifterna tillämpas lagen om grunderna för avgifter till staten. Dessutom kompletterades den allmänna motiveringen inklusive bedömningen av propositionens ekonomiska konsekvenser, och den allmänna motiveringen samordnades med budgetpropositionen för 2020. 
Med beaktande av de juridiska bedömningar och de övriga utredningar som utfördes vid den fortsatta beredningen av propositionen ansågs inte alla de ändringsförslag som lagts fram i yttrandena möjliga att genomföra. 
Lagförslagen på finska och svenska har granskats av laggranskningen vid justitieministeriet. 
6
Samband med andra propositioner
Propositionen hänför sig till budgetpropositionen för 2020 och avses bli behandlad i samband med den. 
Den 15 november 2018 överlämnade regeringen till riksdagen en proposition (RP 233/2018 rd) med förslag till lag om Myndigheten för digitalisering och befolkningsdata och lag om upphävande av 4 § 2 mom. 2 punkten i lagen om regionförvaltningsverken. I den propositionen föreslogs det att magistraternas, Befolkningsregistercentralens och magistraternas styrnings- och utvecklingsenhets uppgifter skulle sammanföras i Befolkningsregistercentralen till en ny helhet och att den nya myndigheten skulle ha namnet Myndigheten för digitalisering och befolkningsdata. Riksdagen godkände propositionen i februari 2019 gav sitt svar i mars 2019 (RSv 269/2018 rd). Lagen om Myndigheten för digitalisering och befolkningsdata (304/2019) träder i kraft den 1 januari 2020. Enligt 10 § 4 mom. blir Befolkningsregistercentralen Myndigheten för digitalisering och befolkningsdata när lagen träder i kraft. På grundval av detta används i denna proposition namnet Myndigheten för digitalisering och befolkningsdata, som träder i kraft den 1 januari 2020, istället för Befolkningsregistercentralen. Det nu gällande namnet har dock använts på de ställen som gäller nuläget. 
Propositionen har även samband med regeringens proposition till riksdagen om ändring av lagar som gäller Myndigheten för digitalisering och befolkningsdatas ansvarsområde (RP 10/2019 rd), genom vilken det föreslås att de bestämmelser i lagen om stödtjänster och i befolkningsdatalagen som gäller Befolkningsregistercentralen ska gälla Myndigheten för digitalisering och befolkningsdata. I fråga om den sistnämnda lagen föreslås det också rubriken ändras. Ändringarna föreslås träda i kraft den 1 januari 2020. De ändringar som föreslås i denna proposition, vilka föreslås träda i kraft samtidigt, gäller delvis samma bestämmelser i fråga om lagen om stödtjänster på ett sådant sätt att bestämmelsernas övriga innehåll ändras. Av denna orsak kommer de ändringar som föreslås i denna regeringsproposition vid lagarnas ikraftträdande samtidigt att ersätta de motsvarande bestämmelser som föreslås bli ändrade genom proposition 10/2019. 
DETALJMOTIVERING
1
Lagförslag
1.1
Lagen om förvaltningens gemensamma stödtjänster för e-tjänster
3 §.Stödtjänster. Det föreslås att det till paragrafen fogas ett nytt 2 mom. som gör det möjligt att tillhandahålla myndigheter som använder tjänsten för identifiering av fysiska personer sådana identifieringstransaktioner som sker genom sådana metoder för identifiering som beviljats i andra medlemsstater och som omfattas av ömsesidigt erkännande av medel för elektronisk identifiering enligt eIDAS-förordningen. Enligt artikel 6 i eIDAS-förordningen ska myndigheterna i medlemsstaterna erkänna de anmälda medel för elektronisk identifiering av tillitsnivån väsentlig eller hög som utfärdats i en annan medlemsstat och som behövs för åtkomst till en nättjänst och vars tillitsnivå är lika hög som eller högre än den tillitsnivå som det berörda offentliga organet kräver för åtkomst till denna nättjänst. I praktiken innebär detta att finska myndigheter i sina egna e-tjänster ska godkänna identifiering med andra medlemsstaters identifieringsmetoder av tillitsnivån väsentlig eller hög. Det är därför ändamålsenligt att tillhandahålla dessa identifieringsmetoder för samlad förmedling till myndigheterna via tjänsten för identifiering av fysiska personer. Identifieringsmetoderna ska förmedlas till tjänsten för identifiering av fysiska personer via den nationella noden, som Myndigheten för digitalisering och befolkningsdata producerar med stöd av 42 c § i autentiseringslagen. 
5 §.Användning av stödtjänster vid offentliga uppdrag. Det föreslås att paragrafens 1 mom. ändras så att de som enligt bestämmelsen är skyldiga att använda stödtjänster blir skyldiga att också använda behörighetstjänstens uppgifter om lagliga företrädare. Användningsskyldigheten ska omfatta uppgifter om en persons handlingsbehörighet och behörighet som grundar sig direkt på lag, när uppgifterna kan fås ur basregister och andra register med hjälp av behörighetstjänsten. Användningsskyldigheten ska inte omfatta den del av behörighetstjänsten som tillhandahåller de uppgifter i fullmaktsregistret som gäller fullmakter och andra viljeyttringar. 
En förutsättning för att skyldigheten att använda behörighetstjänsten ska gälla är på det sätt som anges i 5 § 1 mom. att stödtjänsten är tillgänglig och att serviceavtalet för en tjänst som anskaffats självständigt och som motsvarar stödtjänsten i fråga har löpt ut. Användningsskyldigheten ska inte heller gälla om myndigheten av tekniska eller funktionella skäl eller av skäl som hänför sig till kostnadseffektivitet eller informationssäkerhet nödvändigtvis måste använda andra tjänster i sin verksamhet eller i en del av den. 
10 §.Register över fullmakter och andra viljeyttringar samt förutsättningar för registrering. Det föreslås att paragrafens rubrik ändras så att det framgår att paragrafen uttryckligen gäller registret över fullmakter och andra viljeyttringar samt förutsättningarna för registrering. Dessa förutsättningar ska gälla registrering av viljeyttringar både när registreringen görs i den e-tjänst som tillhandahålls av Myndigheten för digitalisering och befolkningsdata och när den görs vid ett verksamhetsställe. 
Enligt förslaget fogas till paragrafens 1 mom. förtydliganden i fråga om vilka viljeyttringar som kan registreras, så att viljeyttringar kan avges också på rättsliga gemenskapers (exempelvis dödsbons) vägnar och så att det handlar om ensidiga viljeyttringar, såsom samtycken och fullmakter, och inte till exempel om att ingå avtal i behörighetstjänsten. 
Dessutom föreslås det för tydlighetens skull att det till 1 mom. fogas att Myndigheten för digitalisering och befolkningsdata på förhand ska specificera vilka fullmakter och andra ensidiga viljeyttringar som det över huvud taget är möjligt att registrera i behörighetstjänsten. I praktiken är således fullmakterna och viljeyttringarna inte formfria, utan de innehåller en eller flera så kallade fullmaktskoder som fastställts på förhand och som anger den befullmäktigades behörighet att sköta ärenden för sin huvudmans räkning. Koderna kan användas i sådana e-tjänster som godkänner skötsel av ärenden för annans räkning med stöd av dessa koder. Avsikten är att Myndigheten för digitalisering och befolkningsdata ska fastställa dessa koder i samarbete med användarorganisationerna. Vidare föreslås det att bestämmelserna om vem som är personuppgiftsansvarig preciseras så att Myndigheten för digitalisering och befolkningsdata inte blir personuppgiftsansvarig när den förmedlar sådana uppgifter som en annan myndighet har registrerat, utan att den andra myndigheten fortfarande är personuppgiftsansvarig. Det görs dessutom en förbättring av den finska språkdräkten i slutet av momentet. 
Bestämmelserna i 2 mom. om identifiering av den som avger viljeyttringen föreslås inte bli ändrade, eftersom de andra informationssäkra och bevisliga identifieringsmetoder som anges i bestämmelsen också innefattar andra metoder som eventuellt kan användas vid skötsel av ärenden vid ett verksamhetsställe än elektroniska identifieringsmetoder. Till exempel kan en person identifieras utifrån identitetshandlingar som utfärdats av en myndighet. Den bestämmelse i 2 mom. som gäller kontroll av registeruppgifter föreslås bli ändrad så att de uppgifter som krävs för registrering av exempelvis utländska personers och dödsbons samt offentliga organisationers viljeyttringar ska kunna kontrolleras i utländska register eller med hjälp av till riktigheten bestyrkta dokument som baserar sig på uppgifter i dessa register eller med hjälp av andra dokument som på ett tillförlitligt sätt påvisar behörigheten eller handlingsbehörigheten. I formuleringarna om förutsättningarna för registrering föreslås dessutom vissa språkliga preciseringar, som samtidigt gör formuleringarna mer koncisa. 
Den föreslagna regleringen gör det möjligt att registrera även utländska personers fullmakter och viljeyttringar genom att personen identifieras med hjälp av en till riktigheten bestyrkt kopia av exempelvis passet och så att personens handlingsbehörighet och behörighet vid behov kontrolleras även i utländska register eller med hjälp av till riktigheten bestyrkta dokument som baserar sig på dem. Dokumenten kan till exempel efter att en elektronisk ansökan har gjorts sändas till serviceleverantören eller till den biträdande organisationen exempelvis per post. 
Exempelvis bör en person för att aktivera en organisationskod i webbtjänsten Katso styrka sin identitet genom att inom tre veckor från det att koden skapats posta en av notarius publicus, polisen, rättsinstansen eller ambassaden till riktigheten bestyrkt kopia av sitt pass till supporttjänsten för Katso. Kopian ska ha myndighetens underskrift och stämpel i original. Den som har firmateckningsrätt i ett utländskt företag kan skapa sig en Katso-kod på ovan avsett sätt. Till koden kan fogas behörighet som huvudanvändare. Den person som har firmateckningsrätt i ett utländskt företag kan vara utlänning eller finländare. Den som har behörighet som huvudanvändare kan hantera företagsinformationen i Katso-tjänsten samt bevilja och ta emot auktoriseringar (fullmakter). För att aktivera huvudanvändarens behörighet ska personen posta en av notarius publicus eller registermyndigheten till riktigheten bestyrkt kopia av firmateckningsrätten (ett handelsregisterutdrag eller motsvarande dokument på finska, svenska eller engelska) till supporttjänsten för Katso. Handelsregisterutdraget ska ha myndighetens underskrift och stämpel i original. Dokumenten ska postas inom tre veckor från det att koden skapats. När en huvudanvändare för Katso-tjänsten skapas kan företagets momsnummer eller nationella företagsnummer användas. Merparten av de utländska företag som använder Katso-tjänsten har emellertid ett finskt FO-nummer. 
Det är inte meningen att det i behörighetstjänsten ska vara möjligt att skapa firmateckningsrätt eller sådana rättigheter att agera för ett företags räkning som anger allmän behörighet enbart utifrån sådan styrkande dokumentation av vilken personens firmateckningsrätt framgår, eftersom man inte i samband med tjänsteproduktionen kommer att ha möjlighet att i det ursprungliga utländska registret kontrollera att uppgifterna är aktuella. Däremot ska det vara möjligt att exempelvis i fråga om utländska företag såsom fullmakt registrera en med fullmaktskod avgränsad rätt att sköta ärenden på annans vägnar, så att fullmakten kan användas endast i sådana e-tjänster som godkänner skötsel av ärenden på annans vägnar i enlighet med den berörda koden. Då är det inte nödvändigt att i behörighetstjänsten kontrollera att uppgiften om firmateckningsrätt i fråga om ett utländskt företag är aktuell, utan den organisation som utfärdar fullmakten ska själv se till att den vid organisationsförändringar gör behövliga ändringar i fullmakterna. En fullmakt som avgetts för organisationens räkning förblir i kraft även om de personer som har firmateckningsrätt i organisationen byts ut. 
Det kan vara så gott som omöjligt att kontrollera en utländsk persons handlingsbehörighet. Det är inte heller alltid ändamålsenligt att kontrollera handlingsbehörigheten, exempelvis om personens behörighet att företräda en organisation kan kontrolleras. Därför föreslås det att det till slutet av 2 mom. fogas en bestämmelse enligt vilken personens handlingsbehörighet inte behöver kontrolleras, om uppgifterna inte finns att tillgå i de finska register som avses i 9 §. 
I det föreslagna nya 3 mom. föreskrivs det om möjligheten att begära registrering av en fullmakt eller annan viljeyttring som baserar sig på en skriftlig fullmakt eller på någon annan viljeyttring, om det inte finns anledning att betvivla den skriftliga fullmaktens eller andra viljeyttringens autenticitet och integritet. Detta gör det möjligt att begära registrering av en fullmakt eller annan viljeyttring utifrån ett skriftligt dokument. Den skriftliga fullmaktens autenticitet och integritet bör särskilt bekräftas i samband med registreringen av fullmakten, till exempel genom att man hör fullmaktsgivaren. Genom att kräva att en kopia av identitetskortet eller passet bifogas till begäran om registrering möjliggör man att underskriften (namnteckningsprovet) i identitetshandlingen kan jämföras med underskriften i fullmakten eller den andra viljeyttringen. Vid registrering på basis av en skriftlig fullmakt är det inte fråga om registrering av formfria fullmakter eller av generella fullmakter. I samband med registrering av en skriftlig fullmakt bör man även säkerställa att fullmaktsgivaren vill att fullmakten registreras uttryckligen som en elektronisk fullmakt i behörighetstjänsten. Utöver underskriften ska av fullmakten också framgå detaljerade specificerings- och kontaktuppgifter. Dessutom ska de uppgifter framgå som också ska framgå av de fullmakter som registreras direkt i e-tjänsten. Av fullmakten ska till exempel tydligt framgå vilken eller vilka av de av Myndigheten för digitalisering och befolkningsdata på förhand fastställda fullmakter att sköta ärenden (fullmaktskoder) man har för avsikt att registrera. 
Paragrafens nuvarande 3 mom. blir 4 mom. Bestämmelserna i 4 mom. föreslås vidare bli ändrade så att Myndigheten för digitalisering och befolkningsdata ska höra finansministeriet och Transport- och kommunikationsverket i fråga om andra identifieringstjänster endast när det gäller elektroniska identifieringsmetoder. Myndigheten för digitalisering och befolkningsdata ska till exempel utan att höra andra få fatta beslut om möjligheten att identifiera en person personligen utifrån dokumentation. Kommunikationsverket och vissa funktioner vid Trafikverket slogs samman till ett nytt ämbetsverk, Transport- och kommunikationsverket, den 1 januari 2019. Av denna anledning föreslås det att hänvisningen till Kommunikationsverket i bestämmelsen ändras till en hänvisning till Transport- och kommunikationsverket. 
Den nya identifieringstjänst för utländska medborgare som Myndigheten för digitalisering och befolkningsdata ska producera med stöd av 3 § 1 mom. 5 punkten i lagen om stödtjänster ska inte vara en sådan tjänst för stark autentisering som avses i autentiseringslagen, men avsikten är att den ska uppfylla de krav på en informationssäker och bevislig metod för identifiering som gäller i behörighetstjänsten. Vid behov kan även en utomstående aktör göra en bedömning av tjänsten. 
Paragrafens 4 mom. blir 5 mom., men ändras i övrigt inte. 
10 a §.Radering av viljeyttringar ur registret. Paragrafen är ny. I den föreslås bestämmelser om radering av viljeyttringar ur det register som avses i 10 § 1 mom. Enligt det föreslagna 1 mom. ska en viljeyttring som registrerats i det register som avses i 10 § 1 mom. raderas ur registret på begäran av den som avgett viljeyttringen eller den befullmäktigade. Begäran ska kunna framställas i den e-tjänst som tillhandahålls av Myndigheten för digitalisering och befolkningsdata eller på annat sätt, dock så att 10 § 2, 3 och 5 mom. iakttas vid identifieringen av den som begär radering av viljeyttringen och vid kontrollen av förutsättningarna för radering. Detta betyder att man före raderingen ska kontrollera identiteten på den som begär radering och dennes behörighet att exempelvis företräda en viss organisation, på motsvarande sätt som när fullmakter registreras. 
Enligt det föreslagna 2 mom. ska Myndigheten för digitalisering och befolkningsdata också utan begäran kunna radera en fullmakt eller annan viljeyttring ur registret eller tillfälligt förhindra användningen av uppgifterna om viljeyttringen, om myndigheten har skäl att misstänka att fullmakten eller viljeyttringen har registrerats på felaktiga grunder. Innan viljeyttringen raderas ska Myndigheten för digitalisering och befolkningsdata höra den som avgett viljeyttringen. Användningen av uppgifterna ska kunna förhindras tillfälligt utan att den som avgett viljeyttringen hörs, om användningen behöver förhindras skyndsamt till exempel för att trygga den befullmäktigades rättigheter. Ett skyndsamt förfarande kan krävas exempelvis i situationer där det är uppenbart att viljeyttringen har avgetts obehörigen så att någon utgett sig för att vara huvudmannen eller där det vid avgivandet av viljeyttringen har skett något annat väsentligt och uppenbart fel som äventyrar huvudmannens rättigheter. 
10 b §.Skötsel av uppgifter som gäller registrering av viljeyttringar inom ramen för samservice. Paragrafen är ny. I den föreslås bestämmelser om möjligheten att sköta biträdande uppgifter som gäller registrering av viljeyttringar inom ramen för samservice enligt samservicelagen. Enligt det föreslagna 1 mom. kan dessa uppgifter utöver rådgivning omfatta registrering av viljeyttringar och kontroll av förutsättningarna för registrering samt radering av viljeyttringar ur registret på begäran av den som avgett viljeyttringen eller den befullmäktigade. Rådgivningen ska även omfatta att uppdragstagarens servicerådgivare, efter att en person har identifierats, kan kontrollera dennes personuppgifter i fullmaktsregistret och lämna ut dem till personen i fråga. 
Genom de föreslagna bestämmelserna blir det möjligt för Myndigheten för digitalisering och befolkningsdata att överföra uppgifter som gäller registrering av fullmakter och beviljande av identifieringsverktyg exempelvis till Skatteförvaltningen eller en annan myndighet som använder behörighetstjänsten eller till någon annan myndighet som omfattas av samservicelagens tillämpningsområde. 
I lagen om stödtjänster ska det föreskrivas om en uppgiftshelhet som är ny i förhållande till samservicelagens 6 §. Delvis kan de uppgifter som avses i förslaget skötas redan enligt den gällande samservicelagen. För tydlighetens skull föreslås det ändå att det utfärdas bestämmelser om dessa uppgifter på ett heltäckande sätt som en egen helhet. Den föreslagna uppgiftshelheten skiljer sig inte nämnvärt från de uppgifter som sköts i enlighet med samservicelagen, och helheten ska inte heller omfatta uppgifter som innebär myndighetsutövning. 
Enligt det föreslagna 2 mom. ska samservicens uppdragstagare överföra ärendet till Myndigheten för digitalisering och befolkningsdata för behandling, om uppdragstagaren inte ens efter tilläggsutredningar kan registrera viljeyttringen eller radera viljeyttringen ur registret i enlighet med begäran. Det ska i regel vara uppdragstagarens uppgift att begära de utredningar som krävs för registrering och radering ur registret och de utredningar som man i samserviceavtalet närmare kommit överens om när det gäller behandlingen av personuppgifter. Inom ramen för samservice kan det ändå inte fattas några negativa beslut om registrering eller radering ur registret, utan ärenden som gäller något av dessa måste överföras till den behöriga myndigheten, det vill säga Myndigheten för digitalisering och befolkningsdata. 
Enligt 3 mom. ska man i ett samserviceavtal om skötsel av sådana uppgifter som avses i lagen om stödtjänster få göra avvikelse från den bestämmelse i 5 a § i samservicelagen enligt vilken ersättning ska betalas för uppdragstagarens kostnader. I samserviceavtalet ska det också kunna bestämmas att en myndighet som är användarorganisation i behörighetstjänsten deltar i ersättningarna för uppdragstagarens kostnader. De föreslagna bestämmelserna behövs eftersom uppdragstagaren kan vara en sådan aktör som vill bistå vid registreringen av elektroniska fullmakter för att förbättra sina egna e-tjänster. I det sammanhanget är det motiverat att göra det möjligt för uppdragstagaren att helt eller delvis stå för de kostnader som samservicen medför. Av samma anledning bör det vara möjligt för en myndighet som är användarorganisation att delta i kostnaderna i sådana situationer där Myndigheten för digitalisering och befolkningsdata i egenskap av uppdragsgivare överlåter en uppgift till en sådan tredje myndighet till vilken det är motiverat att betala ersättning för kostnaderna för uppgiften. Då kan man avtala om de ersättningar som ska betalas för kostnaderna för samservicen och om vem som ska betala ersättningarna, med hänsyn till vilken myndighets e-tjänster som huvudsakligen kommer att främjas genom att den biträdande uppgiften utförs inom ramen för samservicen. 
På uppgifter som utförs inom ramen för samservice ska i övrigt tillämpas vad som föreskrivs i samservicelagen. Enligt 8 § i samservicelagen ska ett avtal mellan två eller flera myndigheter om ordnande av samservice ingås skriftligen för viss tid eller tills vidare. I avtalet ska det överenskommas bland annat om vilka kundservicefunktioner avtalet gäller och i vilken omfattning de sköts inom ramen för samservice. Dessutom ska det överenskommas om till exempel de praktiska arrangemangen kring skyldigheter vid behandlingen av sekretessbelagda uppgifter och personuppgifter. 
I samband med att det avtalas om behandling av personuppgifter ska de krav som följer av den allmänna dataskyddsförordningen iakttas. I artikel 28 i dataskyddsförordningen finns bland annat bestämmelser om den personuppgiftsansvariges och personuppgiftsbiträdenas skyldigheter. Enligt artikeln ska uppdragsförhållandet fastställas genom ett avtal om behandling eller genom någon annan rättsakt enligt unionsrätten eller medlemsstaternas nationella rätt, om inte användarorganisationens uppgifter entydigt regleras genom lag. Även om den personuppgiftsansvarige i princip bär ansvaret för behandlingen av personuppgifter och för de personer den anlitar som personuppgiftsbiträden, kan enligt förordningen också biträdena själva omfattas av personligt ansvar om de bryter mot bestämmelserna i förordningen. 
I samserviceavtalet ska det bland annat avtalas närmare om hur de förutsättningar för registrering och radering ur registret som avses i 10 och 10 a § ska kontrolleras i enlighet med instruktioner från den personuppgiftsansvarige. Enligt förslaget kommer Myndigheten för digitalisering och befolkningsdata att vara personuppgiftsansvarig i fråga om det register som avses i 10 § i lagen om stödtjänster och i fråga om den behandling av personuppgifter inom ramen för uppgiften att registrera fullmakter som anknyter till registret. Samservicens uppdragstagare ska sköta behandlingen av personuppgifter på den personuppgiftsansvariges vägnar och för dennes räkning. 
10 c §.Förfarandet vid registrering av viljeyttringar och radering av viljeyttringar ur registret. I paragrafen föreslås bestämmelser om de situationer med anknytning till registrering av viljeyttringar och radering av viljeyttringar ur registret där Myndigheten för digitalisering och befolkningsdata ska meddela ett separat beslut i ärendet och om de situationer där det ska räcka med att den som avgett viljeyttringen informeras om saken. 
Enligt det föreslagna 1 mom. ska Myndigheten för digitalisering och befolkningsdata eller samservicens uppdragstagare i samband med registrering och radering ur registret informera den som avgett viljeyttringen om att viljeyttringen registrerats eller raderats. 
Enligt det föreslagna 2 mom. ska ett beslut meddelas i saken, om registrering eller radering av en i 10 § 1 mom. avsedd viljeyttring inte på begäran av den som begär registrering eller radering har kunnat göras ens efter en begäran om tilläggsutredning, eller om en i 10 a § 2 mom. avsedd radering av en viljeyttring på grund av felaktiga registeruppgifter är obefogad enligt avgivarens uppfattning. I samband med delgivningen av beslutet ska den berörda personen informeras om möjligheten att begära omprövning av beslutet i enlighet med lagens 24 §. 
Enligt det föreslagna 3 mom. ska Myndigheten för digitalisering och befolkningsdata i fråga om sådan radering av en viljeyttring ur registret eller sådant förhindrande av användning av en viljeyttring som gjorts utan begäran även informera dem som enligt myndighetens uppgift har förlitat sig på viljeyttringens giltighet. Med information till dem som förlitat sig på viljeyttringens giltighet ska i praktiken avses att Myndigheten för digitalisering och befolkningsdata ska anmäla saken till de användarorganisationer som har en fullmaktskod eller kod för annan viljeyttring eller någon motsvarande kod som hänför sig till den berörda återkallade fullmakten eller viljeyttringen och som har begärt den berörda fullmakten i samband med uträttande av ett ärende. Informationsskyldigheten föreslås för att användarorganisationerna ska få information om att det på grund av felaktiga fullmaktsuppgifter eventuellt har inträffat fel i förfarandet när någon skött ärenden hos organisationen. 
12 §.Behandling av uppgifter inom tjänsteproduktionen. Det föreslås att det till paragrafens 3 mom., som gäller behandlingen av uppgifter i tjänsten för identifiering av fysiska personer, fogas en bestämmelse enligt vilken Myndigheten för digitalisering och befolkningsdata, vid tillhandhållandet av den identifieringstjänst för utländska medborgare som avses i 69 a § 1 mom. i befolkningsdatalagen, har rätt att till den användarorganisation som tillhandahåller den elektroniska tjänst som en person använder lämna ut de uppgifter som behövs för att identifiera personen, om användarorganisationen enligt lag har rätt att behandla dessa uppgifter. De uppgifter som ska få lämnas ut är exempelvis namnuppgifter, födelsetid och identifieringskoden för identifieringsverktyget. I regeringens proposition 10/2019 har det föreslagits att namnet på befolkningsdatalagen ska ändras till lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata. I bestämmelsen används det föreslagna nya namnet på lagen. 
Den föreslagna regleringen om utlämnande av uppgifter i samband med identifieringstransaktioner i identifieringstjänsten för utländska medborgare motsvarar bestämmelserna i autentiseringslagen. Enligt 6 § 2 mom. i autentiseringslagen har en leverantör av tjänster för identifieringsförmedling rätt att när en sådan tjänst tillhandahålls överlåta personuppgifter till en part som förlitar sig på en elektronisk identifiering, om den förlitande parten enligt lag har rätt att behandla personuppgifter. 
13 §.Bevarande av uppgifter som behandlas inom tjänsteproduktionen. Enligt 1 mom. ska Myndigheten för digitalisering och befolkningsdata såsom personuppgiftsansvarig för uppgifter som behandlas i tjänsten för identifiering av fysiska personer bevara de uppgifter som behövs för att verifiera en identifieringstransaktion i fem år räknat från ingången av det kalenderår som följer efter identifieringstransaktionen. Det föreslås att samma bevaringstid ska gälla identifieringstjänsten för utländska medborgare. Bevaringstiden motsvarar den lagringstid som föreskrivs för motsvarande uppgifter i autentiseringslagens 24 §. I den svenska ordalydelsen byts termen registeransvarig ut mot termen personuppgiftsansvarig för att överensstämma med dataskyddsförordningen. 
14 §.Utlämnande av uppgifter som behandlas inom tjänsteproduktionen. Paragrafen förslås bli ändrad så att det till paragrafen fogas ett nytt 2 mom. som gäller användarorganisationernas rätt att lämna ut uppgifter till Myndigheten för digitalisering och befolkningsdata. Paragrafens gällande 2 mom. blir då 3 mom., och momentet kompletteras med en ny 2 punkt där det föreskrivs om serviceproducentens rätt att lämna ut uppgifter som registrerats om användningen av stödtjänsten till den person för vars räkning någon har använt stödtjänsten eller i övrigt skött ärenden. 
I det nya 2 mom. föreslås bestämmelser om användarorganisationens rätt att lämna Myndigheten för digitalisering och befolkningsdata de uppgifter den behöver exempelvis när det skett ett fel eller en fråga utreds, på motsvarande sätt som det har föreskrivits om rätten för Myndigheten för digitalisering och befolkningsdata att lämna ut uppgifter till användarorganisationerna. 
Paragrafens gällande 2 mom. blir 3 mom. Momentet kompletteras med en ny 2 punkt där det föreskrivs om serviceproducentens rätt att under de förutsättningar som anges i 11 och 12 § i offentlighetslagen lämna ut uppgifter som registrerats om användningen av stödtjänsten även till en sådan person för vars räkning någon har använt stödtjänsten eller i övrigt skött ärenden. Bestämmelsen har samband med exempelvis det föreslagna nya 10 a § 2 mom., som gäller radering av en viljeyttring ur registret, där det föreslås bestämmelser om skyldighet för Myndigheten för digitalisering och befolkningsdata att höra den som avgett viljeyttringen innan viljeyttringen raderas ur registret. Den person till vilken uppgifterna får lämnas ut kan vara en fysisk person eller en juridisk person beroende på om stödtjänsten har använts (eller ärendet i övrigt skötts) för en fysisk eller en juridisk persons räkning. Bestämmelsen har även samband med dataskyddsförordningens artikel 15, enligt vilken den registrerade har rätt att få tillgång till uppgifter. Avsikten är inte att den föreslagna bestämmelsen ska avvika från denna rättighet enligt dataskyddsförordningen. Det är snarast fråga om en informativ bestämmelse om de begränsningar i utlämnandet av uppgifter som eventuellt kan följa av offentlighetslagens 11 och 12 §. I momentets 3 punkt (tidigare 2 punkt) ändras formuleringen ”något annat specificerat syfte” till ”ett specificerat syfte”. 
Paragrafens gällande 3 mom. har upphävts genom lag 926/2019, som träder i kraft den 1 januari 2020. 
25 §.Kostnaderna för stödtjänsterna. I 1 mom. ingår en huvudregel om att användningen av stödtjänsterna är avgiftsfri för användarorganisationerna. Det föreslås att till momentet fogas en bestämmelse om möjligheten att ta ut avgifter för användningen av vissa stödtjänster (identifieringstjänsterna, behörighetstjänsten och den samlade förvaltningstjänsten för internetbetalning). Ändringen motiveras av att driftskostnaderna för dessa stödtjänster till vissa delar är svåra att förutse. Saken har motiverats i avsnitt 3.7 i den allmänna motiveringen och i avsnitt 4.3 som gäller propositionens konsekvenser. På avgifterna ska tillämpas lagen om grunderna för avgifter till staten. Finansministeriet ska med stöd av 8 § 2 mom. i den lagen besluta om för vilka prestationer eller grupper av prestationer avgiften bestäms enligt självkostnadsvärdet och vilka som prissätts på företagsekonomiska grunder. Utgångspunkten i lagen om grunderna för avgifter till staten är att det för en i 6 § avsedd offentligrättslig prestation tas ut en avgift som motsvarar beloppet av statens totalkostnader för prestationen (självkostnadsvärde). Enligt lagens 6 § 3 mom. är det ändå av särskilda skäl möjligt att för vissa grupper bestämma att avgift ska uppbäras till ett lägre eller högre belopp än prestationens självkostnadsvärde. Avsikten är att det för användningen av den samlade förvaltningstjänsten för internetbetalning, som produceras av Statskontoret, ska tas ut avgifter av användarorganisationerna från ingången av 2020. Genom de anslag till Statskontoret som föreslås i budgetpropositionen för 2020 ska kostnaderna för förvaltningens internetbetalning sänkas åren 2020–2022. 
1.2
Lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster
Det föreslås att det till befolkningsdatalagen fogas ett nytt 6 a kap. med nya 69 a–69 d §. Det skulle ha varit möjligt att foga de föreslagna paragraferna också till 6 kap. Ett nytt 6 a kap. är dock motiverat eftersom begreppet ”tjänster som tillhandahålls vid certifierad elektronisk kommunikation” i 6 kap. inte entydigt kan anses omfatta den föreslagna nya identifieringstjänsten för utländska medborgare och beviljandet av identifieringsverktyg. Dessutom handlar den nya tjänsten åtminstone inledningsvis om en tjänstehelhet som baserar sig på en annan teknisk lösning än de tjänster som produceras med hjälp av certifikat – även om begreppet certifikat inte heller är helt entydigt. Ett nytt kapitel ses som ett tydligare alternativ än att foga de nya bestämmelserna till 6 kap. 
69 a §.Identifieringstjänsten för utländska medborgare. Paragrafen är ny. I 1 mom. ges Myndigheten för digitalisering och befolkningsdata i uppgift att producera, tillhandahålla och administrera en identifieringstjänst för verifiering och identifiering av utländska medborgare. 
Enligt 2 mom. tillhandahåller Myndigheten för digitalisering och befolkningsdata identifieringstjänsten för utländska medborgare som en sådan stödtjänst som avses i 3 § 1 mom. 5 punkten i lagen om stödtjänster. Enligt 4 § i lagen om stödtjänster ska Myndigheten för digitalisering och befolkningsdata producera och utveckla de stödtjänster som avses i 3 § 1 mom. 1–7 punkten. Enligt 3 § 1 mom. 5 punkten omfattar stödtjänsterna sådana identifieringstjänster och samlade förvaltningstjänster för identifiering där även någon annan metod för identifiering än sådan stark autentisering som avses i lagen om stark autentisering och betrodda elektroniska tjänster kan användas. 
Att tjänsten tillhandahålls som en stödtjänst i enlighet med lagen om stödtjänster innebär bland annat att tjänsten kan användas av offentliga organisationer i enlighet med 5 § i lagen om stödtjänster. Genom de bestämmelser som fogas till befolkningsdatalagen föreskrivs det närmare om förutsättningarna för beviljande av identifieringsverktyg och om förandet av register över identifieringsverktyg och innehavare av dem. Bestämmelserna i lagen om stödtjänster å sin sida ska tillämpas på tillhandahållandet av den identifieringstjänst som grundar sig på de nya identifieringsverktygen för utländska medborgare. Lagen om stödtjänster ska också tillämpas på behandlingen av uppgifter i den nya identifieringstjänsten, på de tekniska och funktionella kraven på tjänsten och på styrningen av tjänsteproduktionen. 
69 b §.Beviljande och återkallelse av identifieringsverktyg för utländska medborgare. Paragrafen är ny. Den innehåller bestämmelser om förutsättningarna för beviljande och återkallelse av identifieringsverktyg för utländska medborgare och om förfarandet vid beviljande och återkallelse. 
Enligt det föreslagna 1 mom. beviljar Myndigheten för digitalisering och befolkningsdata, för användning av identifieringstjänsten, på ansökan ett identifieringsverktyg till en utländsk medborgare som saknar finsk personbeteckning och som inte kan identifieras med hjälp av den tjänst för identifiering av fysiska personer som avses i 3 § 1 mom. 4 punkten i lagen om stödtjänster. Detta betyder i praktiken personer som inte kan få ett finskt verktyg för stark autentisering och inte heller ett identifieringsverktyg som är kopplat till en sådan identifieringsmetod som enligt eIDAS-förordningen ska godkännas ömsesidigt i EU:s medlemsstater och som anmälts till kommissionen. 
Om innehavaren av ett identifieringsverktyg för stark autentisering enligt autentiseringslagen eller av ett identifieringsverktyg som hör till en identifieringsmetod som anmälts till kommissionen i enlighet med eIDAS-förordningen skulle identifiera sig i nationella nättjänster både med ett sådant identifieringsverktyg och med ett identifieringsverktyg som beviljats av Myndigheten för digitalisering och befolkningsdata, skulle personen i fråga få flera identiteter i myndigheternas tjänster. Personens åtgärder hos myndigheterna skulle då inte hänföras till en och samma identitet, vilket i sin tur skulle orsaka missförstånd i myndigheternas tjänster. Identifieringsverktyget för utländska medborgare möjliggör därför identifiering bara för utländska medborgare som inte har faktiska möjligheter att skaffa ett identifieringsverktyg som omfattas av tjänsten för identifiering av fysiska personer. 
Enligt det föreslagna 2 mom. kan kontrollen av identiteten hos den som ansöker om identifieringsverktyget (så kallad inledande identifiering) vid beviljande av ett identifieringsverktyg grunda sig på en sådan informationssäker och bevislig elektronisk identifieringsmetod som godkänts av Myndigheten för digitalisering och befolkningsdata eller på en identitetshandling som utfärdats av en myndighet. 
Identifieringsverktyget kan beviljas exempelvis genom att en utländsk medborgare på sin smarttelefon laddar ner en applikation som används som identifieringsverktyg och som till en början inte innehåller de identifieringsuppgifter om personen som behövs för elektronisk identifiering. Aktiveringen av identifieringsverktyget ska i första hand ske med hjälp av en metod som grundar sig på elektronisk identifiering på distans. Den inledande identifieringen på distans ska kunna göras exempelvis genom att sökanden i applikationen för in sitt fotografi och en bild av en identitetshandling som utfärdats av en myndighet. Applikationen kontrollerar med tekniska metoder att handlingen är äkta. Bilden i handlingen jämförs med tekniska metoder med det fotografi som personen själv tagit. Om fotografiet i handlingen och det fotografi som personen tagit anses stämma överens med tillräcklig noggrannhet, får personen inom ramen för processen för inledande identifiering en separat identifieringskod, som kopplas till den fysiska personen i fråga. Därefter kan identifieringsverktyget användas för identifiering med den identifieringstjänst för utländska medborgare som Myndigheten för digitalisering och befolkningsdata tillhandahåller. 
Elektronisk verifiering av identiteten kan också ske genom andra sådana elektroniska identifieringsmetoder som Myndigheten för digitalisering och befolkningsdata har godkänt och anser vara tillräckligt säkra. En sådan metod kan vara till exempel en identifieringstjänst som producerats i en annan av EU:s medlemsstater och som anses vara säker, men där identifieringsmetoden av någon orsak ändå inte har anmälts till kommissionen för ömsesidigt erkännande i medlemsstaterna. 
Om den elektroniska inledande identifieringen av användaren inte lyckas genom identifiering på distans eller genom en identifieringstjänst som produceras av en annan tjänstetillhandahållare, ska identifieringsverktyget beviljas genom en så kallad manuell process utifrån en av en myndighet utfärdad handling som på ett tillförlitligt sätt styrker identiteten eller utifrån en till riktigheten bestyrkt kopia av en sådan handling. De handlingar som kan användas för inledande identifiering räknas inte upp i bestämmelsen, men i regel ska som tillförlitliga handlingar betraktas motsvarande handlingar som i autentiseringslagens 17 §, som innehåller bestämmelser om inledande identifiering för beviljande av identifieringsverktyg för stark autentisering. Det är ändå ändamålsenligt att göra det möjligt att använda också tillförlitliga identitetskort som har utfärdats av myndigheter i andra stater än medlemsstater inom Europeiska ekonomiska samarbetsområdet, Schweiz eller San Marino. 
Den inledande identifieringen ska kunna ske genom kontroll av de pappershandlingar som förutsätts vid inledande identifiering. Vid inledande identifiering kan personen själv vara närvarande, eller också kan personen styrka sin identitet genom att via e-tjänsten eller per post sända en av notarius publicus, polisen, rättsinstansen, ambassaden eller motsvarande behörig myndighet till riktigheten bestyrkt kopia av sitt pass eller identitetskort. En tjänsteman utför då den inledande identifieringen utifrån identitetshandlingen och utfärdar en identifieringskod för personen, varefter det identifieringsverktyg som Myndigheten för digitalisering och befolkningsdata beviljat kan användas för identifiering. 
Enligt 3 mom. ska Myndigheten för digitalisering och befolkningsdata återkalla en utländsk medborgares identifieringsverktyg på begäran av innehavaren av identifieringsverktyget. Vidare ska Myndigheten för digitalisering och befolkningsdata utan begäran kunna återkalla eller förhindra användningen av ett identifieringsverktyg, om myndigheten har skäl att misstänka att identifieringsverktyget används av någon annan än den det har beviljats till eller att säkerheten vid användningen av identifieringsverktyget annars har äventyrats. 
Myndigheten för digitalisering och befolkningsdata ska så snart som möjligt underrätta innehavaren av ett identifieringsverktyg om att identifieringsverktyget har återkallats eller användningen av det förhindrats samt om tidpunkten för och orsakerna till detta. Den sista meningen i momentet motsvarar autentiseringslagens 26 § 2 mom., enligt vilket leverantören av ett identifieringsverktyg så snart som möjligt ska underrätta innehavaren av identifieringsverktyget om att identifieringsverktyget har återkallats eller användningen av det förhindrats samt om tidpunkten för och orsakerna till detta. 
I det föreslagna 4 mom. föreskrivs det om förfarandet i de fall där ett identifieringsverktyg inte kan beviljas eller återkallas på det sätt sökanden eller innehavaren vill. Myndigheten för digitalisering och befolkningsdata ska då fatta ett beslut om saken och informera den som ansökt om identifieringsverktyget eller om återkallelsen av identifieringsverktyget, eller den som är missnöjd med en sådan återkallelse av ett identifieringsverktyg som gjorts utan begäran, om sitt beslut och om möjligheten att begära omprövning av beslutet. Bestämmelser om begäran om omprövning finns i befolkningsdatalagens 76 a §. 
I 5 mom. föreskrivs det enligt förslaget att Myndigheten för digitalisering och befolkningsdata, i fråga om sådan återkallelse av ett identifieringsverktyg som gjorts utan begäran, även ska informera dem som enligt myndighetens uppgift har förlitat sig på identifieringsverktygets giltighet. Syftet med bestämmelsen är att minimera de ofördelaktiga följder för myndigheterna och förvaltningens kunder som kan uppkomma av felaktiga inledande identifieringar och andra orsaker, såsom uppsåtligt missbruk (identitetsstöld), samt att göra det möjligt för användarorganisationerna att ingripa vid behov. 
69 c §.Registret över identifieringsverktyg för utländska medborgare. Enligt det föreslagna 1 mom. ska Myndigheten för digitalisering och befolkningsdata, för tillhandahållandet av identifieringstjänsten för utländska medborgare, föra ett register över de utländska medborgarna och de identifieringsverktyg som beviljats dem. Paragrafen innehåller bestämmelser om vilka typer av personuppgifter som får registreras i samband med beviljande av identifieringsverktyg för utländska medborgare. Regleringen är inte uttömmande, men den bidrar till att ge den registrerade en uppfattning om vilka personuppgifter som behandlas. Vilka uppgifter som faktiskt behandlas beror på syftet med behandlingen. Behandlingen av personuppgifter ska i enlighet med dataskyddsförordningen under alla omständigheter vara motiverad och nödvändig i förhållande till användningsändamålet. 
I registret får enligt punkt 1 registreras de personuppgifter som ingår i den av en myndighet utfärdade identitetshandling som använts för kontroll av identiteten samt uppgifter som specificerar identitetshandlingen. Dessa uppgifter kan komma in för registrering antingen genom identifiering på distans eller genom inledande identifiering som grundar sig enbart på en identitetshandling som utfärdats av en myndighet. I praktiken registreras också en bild eller en till riktigheten bestyrkt kopia av identitetshandlingen eller en fotokopia av den. 
Enligt 2 punkten ska de personuppgifter få registreras som förmedlas i samband med den elektroniska identifieringsmetod som använts för kontroll av identiteten. Det gäller till exempel uppgifter som Myndigheten för digitalisering och befolkningsdata får av sökanden vid inledande identifiering på distans och sådana uppgifter som förmedlas till Myndigheten för digitalisering och befolkningsdata när den för inledande identifiering använder en identifieringsmetod från en annan tillhandahållare av identifieringstjänster. Dessutom ska det få registreras uppgifter om den identifieringsmetod som använts. 
Enligt 3 punkten ska det fotografi få registreras som personen har tagit vid elektronisk identifiering på distans. Också biometriska uppgifter om fotografiet ska få registreras, såsom de tekniska uppgifter utifrån vilka man har säkerställt att fotografiet motsvarar den bild av personen som finns i passet eller i den andra av en myndighet utfärdade identitetshandling som använts vid identifieringen. 
Biometriska uppgifter hör till de särskilda kategorier av personuppgifter som avses i artikel 9 i dataskyddsförordningen och som i regel inte får behandlas. Enligt 6 § 1 mom. 2 punkten i dataskyddslagen tillämpas artikel 9.1 i dataskyddsförordningen inte på sådan behandling av uppgifter som regleras i lag eller som föranleds av en uppgift som direkt har ålagts den personuppgiftsansvarige i lag. I detta sammanhang föreslås det att behandlingen av denna särskilda kategori av personuppgifter ska regleras i lag, och behandlingen ska därmed inte bara föranledas av en uppgift som ålagts i lag. Grundlagsutskottet anser att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter. (GrUU 14/2018 rd, s. 5). 
Dataskyddslagens 6 § 2 mom. innehåller de bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen som dataskyddsförordnigen kräver. Dessa krav i fråga om behandlingen av särskilda kategorier av personuppgifter ska tillämpas utöver dataskyddsförordningen när Myndigheten för digitalisering och befolkningsdata behandlar biometriska uppgifter som gäller fotografier. Dessutom föreslås det i paragrafens 2 mom. att biometriska uppgifter ska få behandlas bara för kontroll av identiteten. 
I de föreslagna 1 mom. 4–6 punkterna föreskrivs det att en identifieringskod för personen, en identifieringskod för identifieringsverktyget och kontaktuppgifter ska registreras, för att det ska vara möjligt att exempelvis meddela innehavaren av ett identifieringsverktyg om att identifieringsverktyget har återkallats eller användningen av det förhindrats. 
I 7 punkten ska det föreskrivas om möjligheten att registrera också andra uppgifter som behövs för tillhandahållandet av identifieringstjänsten för utländska medborgare. Eftersom det är en tjänst som kommer att fortsätta utvecklas, är det inte möjligt att på ett uttömmande sätt fastställa alla de uppgifter som får behandlas. Beroende till exempel på metoden för inledande identifiering kan också andra uppgifter än de som avses i 1–6 punkten behöva behandlas för tillhandahållandet av identifieringstjänsten. Dessutom bör det beaktas att det vid tillhandahållandet av identifieringstjänsten till exempel kan uppstå ett behov av att komplettera en persons uppgifter med sådana uppgifter som inkommit av personen själv men som inte framkommer av den av en myndighet utfärdade identitetshandlingen eller som inte förmedlas från en annan tjänstetillhandahållares identifieringstjänst som används för elektronisk inledande identifiering. 
Enligt det föreslagna 2 mom. får Myndigheten för digitalisering och befolkningsdata behandla fotografier och de uppgifter som skapas vid teknisk jämförelse av fotografier (biometriska uppgifter) endast för kontroll av identiteten. Genom bestämmelsen begränsas behandlingen av biometriska uppgifter till vad som är absolut nödvändigt. Kontroll av identiteten omfattar också behandling efter den inledande identifieringen, om behandlingen behövs för att kontrollera identiteten till exempel vid misstanke om att registreringen har gjorts på felaktiga grunder. 
Enligt det föreslagna 3 mom. får uppgifterna i registret över identifieringsverktyg för utländska medborgare bevaras i fem år räknat från ingången av det kalenderår som följer efter den sista identifieringstransaktion som gjorts med identifieringsverktyget. Om identifieringsverktyget inte alls har använts, ska uppgifterna få bevaras i fem år räknat från ingången av det kalenderår som följer efter beviljandet av identifieringsverktyget. Den föreslagna bevaringstiden på fem år är proportionerlig och ändamålsenligt också därför att de uppgifter som behövs för att verifiera en identifieringstransaktion ska bevaras i fem år enligt den föreslagna 12 § i lagen om stödtjänster. En lagringstid på fem år har ansetts vara ändamålsenlig för de uppgifter som behövs för att verifiera en identifieringstransaktion också i 24 § 3 mom. i autentiseringslagen. 
Enligt det föreslagna 4 mom. finns bestämmelser om behandling av personuppgifter inom tjänsteproduktionen i fråga om identifieringstjänsten för utländska medborgare, om krav som gäller identifieringstjänsten och användningen av den och om styrningen av tjänsteproduktionen i 3–5 kap. i lagen om stödtjänster. Eftersom identifieringstjänsten ska tillhandahållas allmänheten som en stödtjänst enligt lagen om stödtjänster, är det ändamålsenligt att bestämmelser om behandlingen av uppgifter inom tjänsteproduktionen, krav som gäller tjänsteproduktionen och styrningen av tjänsteproduktionen finns i lagen om stödtjänster. 
69 d §.Skötsel av uppgifter som gäller beviljande och återkallelse av identifieringsverktyg inom ramen för samservice. Den föreslagna paragrafen innehåller sådana bestämmelser om beviljande och återkallelse av identifieringsverktyg som gäller de uppgifter som sköts inom ramen för samservice på motsvarande sätt som den föreslagna 10 b § i lagen om stödtjänster innehåller bestämmelser om skötsel av uppgifter som gäller registrering av viljeyttringar inom ramen för samservice. Enligt det föreslagna 1 mom. kan dessa uppgifter utöver rådgivning och stödtjänster omfatta också verifiering av identiteten hos dem som ansöker om identifieringsverktyg och hos innehavare av identifieringsverktyg, registrering i det register som avses i 69 c § av personuppgifterna för dem som ansöker om identifieringsverktyg och för innehavare av identifieringsverktyg samt återkallelse av identifieringsverktyg på begäran av innehavaren av identifieringsverktyget. 
Identifieringsverktyget för utländska medborgare kan vara till exempel en applikation som sökanden laddar ner på sin smarttelefon och som Myndigheten för digitalisering och befolkningsdata sedan ger sökanden rätt att använda som identifieringsverktyg. Myndigheten för digitalisering och befolkningsdata ska svara för den inledande aktiveringen av identifieringsverktyget i de fall där den inledande identifieringen av sökanden grundar sig på en elektronisk identifieringsmetod. I situationer som kräver manuell utredning av de identitetshandlingar som används för identifieringen ska däremot samservicens servicerådgivare registrera de personuppgifter som krävs för aktivering av identifieringsverktyget i registret över identifieringsverktyg för utländska medborgare. 
Stödtjänsterna kan till exempel handla om att uppdatera de personuppgifter för innehavaren av identifieringsverktyget som finns i registret och att hjälpa innehavaren exempelvis för att låsa upp ett identifieringsverktyg som låst sig på grund av att fel PIN-kod angetts. 
Den föreslagna uppgiftshelheten skiljer sig inte nämnvärt från de uppgifter som sköts i enlighet med samservicelagen, och helheten ska inte heller innehålla uppgifter som innebär utövning av offentlig makt. 
Enligt det föreslagna 2 mom. ska samservicens uppdragstagare överföra ärendet till Myndigheten för digitalisering och befolkningsdata för behandling, om uppdragstagaren inte ens efter tilläggsutredningar kan verifiera sökandens eller innehavarens identitet eller återkalla identifieringsverktyget på begäran av innehavaren. 
Enligt 3 mom. ska man, liksom enligt lagen om stödtjänster i fråga om uppgifter som sköts inom ramen för samservice, också i fråga om skötsel av uppgifter som gäller beviljande och återkallelse av identifieringsverktyg få göra avvikelse från den bestämmelse i 5 a § i samservicelagen enligt vilken ersättning ska betalas för uppdragstagarens kostnader. I ett samserviceavtal ska det också kunna bestämmas att en myndighet som använder identifieringstjänsten för utländska medborgare deltar i ersättningarna för uppdragstagarens kostnader. De föreslagna bestämmelserna behövs eftersom uppdragstagaren kan vara en sådan aktör som vill bistå vid beviljande och återkallelse av identifieringsverktyg för att förbättra sina egna e-tjänster. I det sammanhanget är det motiverat att göra det möjligt för uppdragstagaren att helt eller delvis stå för de kostnader som samservicen medför. Av samma anledning bör det vara möjligt för en myndighet som använder identifieringstjänsten att i egenskap av användarorganisation delta i kostnaderna i sådana situationer där Myndigheten för digitalisering och befolkningsdata i egenskap av uppdragsgivare överlåter en uppgift till en sådan tredje myndighet till vilken det är motiverat att betala ersättning för kostnaderna för uppgiften. Då kan parterna sinsemellan avtala om exempelvis de ersättningar som ska betalas för kostnaderna för samservicen och om vem som ska betala ersättningarna, med hänsyn till vilken myndighets e-tjänster som huvudsakligen kommer att främjas genom den biträdande uppgift som utförs inom ramen för samservicen. 
På motsvarande sätt som i fråga om överföringen av uppgifter i enlighet med lagen om stödtjänster ska på uppgifter som utförs inom ramen för samservice i övrigt tillämpas vad som föreskrivs i samservicelagen. Enligt 8 § i samservicelagen ska ett avtal mellan två eller flera myndigheter om ordnande av samservice ingås skriftligen för viss tid eller tills vidare. I avtalet ska det överenskommas bland annat om vilka kundservicefunktioner avtalet gäller och i vilken omfattning de sköts inom ramen för samservice. Dessutom ska det överenskommas om till exempel de praktiska arrangemangen kring skyldigheter vid behandlingen av sekretessbelagda uppgifter och personuppgifter. 
När man kommer överens om behandlingen av personuppgifter ska naturligtvis kraven enligt dataskyddsförordningen beaktas. I artikel 28 i dataskyddsförordningen finns bland annat bestämmelser om den personuppgiftsansvariges och personuppgiftsbiträdenas skyldigheter. Enligt artikeln ska uppdragsförhållandet fastställas genom ett avtal om behandling eller genom någon annan rättsakt enligt unionsrätten eller medlemsstaternas nationella rätt, om inte användarorganisationens uppgifter entydigt regleras genom lag. Även om den personuppgiftsansvarige i princip bär ansvaret för behandlingen av personuppgifter och för de personer den anlitar som personuppgiftsbiträden, kan enligt förordningen också biträdena själva omfattas av personligt ansvar om de bryter mot bestämmelserna i förordningen. 
I samserviceavtalet ska det bland annat avtalas närmare om hur de förutsättningar för beviljande av identifieringsverktyg som avses i 69 b § ska kontrolleras i enlighet med instruktioner från den personuppgiftsansvarige. Myndigheten för digitalisering och befolkningsdata ska enligt förslaget vara personuppgiftsansvarig i fråga om registret över identifieringsverktyg för utländska medborgare och i fråga om behandlingen av personuppgifter vid registreringen. Samservicens uppdragstagare ska sköta behandlingen av personuppgifter på den personuppgiftsansvariges vägnar och för dennes räkning. Inom ramen för samservice ska bland annat de personuppgifter få behandlas som behövs för inledande identifiering och vid rådgivning, och samservicens servicerådgivare ska därmed ha rätt att få tillgång till fastställda uppgifter i användarregistret. 
Inom ramen för samservice ska man inte ha tillgång till det fotografi som vid inledande identifiering används för kontroll av personens identitet med tekniska metoder, och inte heller till uppgifter som skapas vid teknisk jämförelse av fotografier. Det ska inom ramen för samservice inte finnas något behov av att behandla biometriska uppgifter som gäller personers fotografier, eftersom man inom ramen för samservice inte ska kontrollera personers identitet med sådana elektroniska metoder för identifiering på distans som kräver behandling av biometriska uppgifter, exempelvis teknisk jämförelse av en persons fotografi med fotografiet i en identitetshandling som utfärdats av en myndighet. 
1.3
Lagen om samservice inom den offentliga förvaltningen
6 §.Uppgifter som sköts inom ramen för samservice. Det föreslås att det till förteckningen i 6 § 1 mom. över uppgifter som sköts inom ramen för samservice fogas en möjlighet att inom ramen för samservicen sköta också andra i lag angivna uppgifter. Sådana uppgifter är till exempel de nu föreslagna uppgifterna för biträdande organisationer. 
Enligt 2 § 2 mom. i samservicelagen får en myndighet inte i den verksamhet som avses i paragrafens 1 mom. utföra uppgifter som innebär utövande av offentlig makt eller som enligt lag förutsätter att den som anlitar servicen personligen besöker den behöriga myndigheten, om inte något annat föreskrivs. De ändringar som nu föreslås i lagen om stödtjänster omfattar bestämmelser om en möjlighet att inom ramen för samservicen också sköta uppgifter som eventuellt förutsätter personligt besök vid ett verksamhetsställe. Det är fråga om biträdande registreringsuppgifter som har samband med utövning av offentlig makt. 
Eftersom det till momentet fogas en ny 9 punkt, ändras 8 punkten så att bestämmelsen avslutas med ett kommatecken. 
2
Ikraftträdande
Lagarna föreslås träda i kraft den 1 januari 2020. 
3
Förhållande till grundlagen samt lagstiftningsordning
3.1
Inledning
Propositionen har granskats med avseende på skyddet för privatlivet enligt grundlagens 10 § och med avseende på grundlagsrelaterade frågor som gäller överföring av uppgifter mellan myndigheter. 
3.2
Skydd för privatlivet
Regleringen av behandlingen av personuppgifter samt det nationella handlingsutrymme som dataskyddsförordningen medger 
Lagen om stödtjänster och de föreslagna ändringarna i lagen om stödtjänster och i befolkningsdatalagen innehåller bestämmelser som är av betydelse med tanke på det skydd för personuppgifter och för privatlivet som tryggas i 10 § i grundlagen. 
Enligt 10 § 1 mom. i grundlagen ska närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Grundlagsutskottet har ansett det viktigt att det föreskrivs åtminstone om registreringens syfte, innehållet i de registrerade personuppgifterna, tillåtna användningsändamål för uppgifterna inklusive rätten att lämna ut uppgifterna, bevaringstiden för uppgifterna i personregister och de registrerades rättssäkerhet (GrUU 25/1998 rd). Det har dessutom krävts att regleringen av dessa faktorer på lagnivå ska vara omfattande och detaljerad. I sitt utlåtande om den lagstiftning som kompletterar dataskyddsförordningen (GrUU 14/2018 rd) har grundlagsutskottet sett det som motiverat att justera sin tidigare ståndpunkt till lagstiftningen om skyddet för personuppgifter på vissa punkter och ansett att vi med tanke på tydligheten bör förhålla oss restriktivt när det gäller att införa nationell speciallagstiftning. Enligt utskottet bör sådan lagstiftning vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger. 
Utskottet har framhållit att det i regeringens propositioner finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (GrUU 26/2017 rd, s. 42, GrUU 2/2017 rd, s. 2 och GrUU 44/2016 rd, s. 4). Det relevanta i en konstitutionell analys av användningen av det nationella handlingsutrymmet är dels de innehållsliga krav som skyddet för privatlivet och personuppgifter ställer, dels relationen mellan skyddet för övriga informationsrelaterade grundläggande fri- och rättigheter och skyddet för privatlivet och personuppgifter. Dessutom finns det konstitutionella frågor relaterade till garantierna för rättssäkerhet och god förvaltning, som kräver nationell lagstiftning (se GrUU 14/2018 rd, s. 7). 
I lagen om stödtjänster finns det relativt detaljerade bestämmelser om behandlingen av personuppgifter inom produktionen av stödtjänster. Bestämmelserna grundar sig i hög grad på det krav i 10 § 1 mom. i grundlagen enligt vilket närmare bestämmelser om skydd för personuppgifter ska utfärdas genom lag och på grundlagsutskottets tidigare tolkningspraxis när det gäller detta och skyddet för privatlivet. 
Med hänsyn till artikel 6.3 och artikel 9 i dataskyddsförordningen kan bestämmelserna om behandling av personuppgifter i lagen om stödtjänster anses vara tillåten inom ramen för det nationella handlingsutrymmet. Handlingsutrymmet kan användas när behandlingen av personuppgifter grundar sig på artikel 6.1 c eller e i dataskyddsförordningen, det vill säga när behandlingen behövs för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Syftet med behandlingen bestäms i den rättsliga grunden för behandlingen. Preciserande lagstiftning kan i dessa fall innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen, bland annat bestämmelser om förutsättningarna för behandlingens lagenlighet, typen av uppgifter som behandlas, registrerade, bevaringstider, ändamålsbegränsning och behandlingsåtgärder. Medlemsstaternas nationella rätt ska enligt artikel 6 uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. 
Produktionen av stödtjänster gäller stödtjänster som utnyttjas inom hela den offentliga förvaltningen och delvis även inom den privata sektorn. Användningen av stödtjänsterna ger tjänsteproducenten, det vill säga Myndigheten för digitalisering och befolkningsdata, mycket information exempelvis om hos vilken myndighet och för vems räkning förvaltningens kunder har uträttat ärenden eller med vilken myndighet kunderna har kommunicerat via meddelandeförmedlingstjänsten. I den sistnämnda tjänsten behandlas också sådan information om hur den elektroniska delgivningen lyckas som är viktig för genomförandet av delgivningen. Förvaltningens kunders skydd för privatlivet och rättsskydd samt myndighetsuppgifter av hög kvalitet förutsätter att vissa i lag fastställda uppgifter behandlas, och även bevaras, inom produktionen av stödtjänster. Bestämmelserna om behandlingen av personuppgifter är också av betydelse när det gäller att klargöra arten av de olika stödtjänsterna i lagstiftningen. Bestämmelserna i fråga om produktionen av stödtjänster, exempelvis de bestämmelser om förutsättningarna för registrering som gäller registerföring, kontroll, behandling, utlämnande och bevaring av uppgifter, kan därför anses nödvändiga för att trygga förutsättningarna för skyddet för privatlivet, rättssäkerheten och god förvaltning. 
I lagen om stödtjänster har det genom lag 926/2019 gjorts hänvisningsändringar som beror på ikraftträdandet av dataskyddsförordningen och som träder i kraft den 1 januari 2020. I befolkningsdatalagen har det genom lag 55/2019 gjorts ändringar som beror på dataskyddsförordningen. Lagen trädde i kraft den 1 februari 2019. 
Mot bakgrunden av det ovannämnda föreslås det inte att det görs några ändringar i lagen om stödtjänster eller i befolkningsdatalagen med anledning av dataskyddsförordningen. Både de gällande bestämmelserna och de föreslagna bestämmelserna kan anses vara tillåtna inom ramen för det nationella handlingsutrymme dataskyddsförordningen medger. Lagförslagen bedöms också uppfylla de krav som följer av 10 § i grundlagen i enlighet med grundlagsutskottets justerade tolkning. 
Uppgifter inom särskilda kategorier av personuppgifter
I identifieringstjänsten för utländska medborgare ska ett identifieringsverktyg kunna beviljas utifrån ett fotografi eller en kopia av ett pass. Fotografier omfattas i enlighet med dataskyddsförordningen av definitionen för biometriska uppgifter i sådana fall där de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person. Avsikten är att fotografier i samband med beviljande av ett identifieringsverktyg för en utländsk medborgare ska jämföras med hjälp av särskild teknik för att identiteten hos den som ansöker om identifieringsverktyg ska kunna fastställas. 
Biometriska uppgifter hör till de särskilda kategorier av personuppgifter som avses i dataskyddsförordningens artikel 9. Sådana personuppgifter som hör till de särskilda kategorierna av personuppgifter bör inte behandlas om inte behandlingen tillåts i de särskilda fall som fastställts i dataskyddsförordningen eller till exempel för att uppfylla en rättslig förpliktelse. Utöver de särskilda kraven för sådan behandling, bör de allmänna principerna och andra bestämmelser i dataskyddsförordningen tillämpas, särskilt när det gäller villkoren för laglig behandling. Nationellt handlingsutrymme i fråga om behandling av särskilda kategorier av personuppgifter ingår också i artikel 9.2 b, g, h, i och j och artikel 9.4 i dataskyddsförordningen. När det gäller artikel 9.2 är det led g som är tillämpligt, det vill säga att den nationella behandlingen behövs av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. En ytterligare förutsättning är att behandlingen ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. 
Grundlagsutskottet har i sitt utlåtande (GrUU 14/2018 rd) konstaterat att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandlingen av känsliga uppgifter. Enligt grundlagsutskottet måste bestämmelser om behandling av känsliga personuppgifter vara detaljerade och heltäckande inom den ram som dataskyddsförordningen tillåter (GrUU 17/2018 rd). 
Det föreslås att bestämmelser om behandlingen av fotografier av utländska medborgare och biometriska uppgifter som anknyter till fotografierna utöver i 6 § 1 mom. 2 punkten i dataskyddslagen ska finnas också i befolkningsdatalagen. I befolkningsdatalagen ska det utöver det som föreskrivs i 6 § 2 mom. i dataskyddslagen föreskrivas om lämpliga och särskilda åtgärder för att skydda den registrerades grundläggande rättigheter och intressen och för att minska det hot och den risk som behandlingen av uppgifterna medför. Åtgärder av detta slag är de krav på minimering av behandlingen och på bevaringstiden som föreslås i 69 c § i befolkningsdatalagen. 
På ovannämnda grunder kan de i 6 a kap. föreslagna bestämmelserna om behandlingen av fotografier och av biometriska uppgifter som anknyter till fotografierna anses vara tillåtna inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger. Lagförslagen bedöms också uppfylla med krav som följer av grundlagens 10 §. 
3.3
Överföring av uppgifter mellan myndigheter
Enligt förslaget ska i lag fastställda uppgifter som gäller registerföringen vid Myndigheten för digitalisering och befolkningsdata kunna produceras i samarbete mellan myndigheter inom ramen för samservice enligt samservicelagen. Grundlagsutskottet har i flera av sina utlåtanden tagit ställning till föreslagna bestämmelser som gäller överföring av uppgifter mellan myndigheter. Utskottet har förhållit sig restriktivt till reglering som möjliggör obegränsad överföring av uppgifter till andra myndigheter. Utskottet har särskilt i samband med sådan reglering som har kopplingar till de grundläggande fri- och rättigheterna ansett att det är nödvändigt att den behöriga myndigheten entydigt eller annars exakt framgår av lagen eller att åtminstone utgångspunkten för myndigheternas behörighetsförhållanden och villkoren för att överföra behörighet framgår tillräckligt exakt av lagen (exempelvis GrUU 7/2001 rd, GrUU 21/2001 rd, GrUU 45/2001 rd, GrUU 47/2001 rd, GrUU 52/2001 rd, GrUU 17/2004 rd, GrUU 18/2004 rd, GrUU 24/2006 rd, GrUU 51/2006 rd, GrUU 19/2009 rd och GrUU 21/2009 rd). Dessutom har utskottet i samband med reglering om överföring av uppgifter fäst uppmärksamhet vid att bestämmelserna om ansvaret för registerföringen när det gäller personregister ska vara tydliga och lagenliga (exempelvis GrUU 19/2009 rd). 
Grundlagsutskottet har förhållit sig återhållsamt till reglering som möjliggör avtalsenlig överföring av behörigheter som omfattar utövning av offentlig makt. Grundlagsutskottet har i sitt utlåtande (GrUU 11/2004 rd) konstaterat att det inte är oproblematiskt att genom avtal föra över en förvaltningsuppgift som anförtrotts en myndighet till en annan myndighet. Till de bestämmelser som är av betydelse för saken hör grundlagens 21 §, enligt vilken var och en har rätt att få sin sak behandlad av en myndighet som är behörig enligt lag, och grundlagens 2 § 3 mom., enligt vilket all utövning av offentlig makt ska bygga på lag och lag noggrant ska iakttas i all offentlig verksamhet (GrUU 14/2003 rd, GrUU 52/2001 rd, GrUU 11/2002 rd och GrUU 72/2002 rd). 
Grundlagsutskottet har även tagit ställning till föreslagna bestämmelser om överföring genom avtal av förvaltningsuppgifter som ankommer på en myndighet till någon annan än en myndighet. Grundlagsutskottet har i sin tolkningspraxis ansett att uppgiften att bistå en myndighet med stöd av grundlagens 124 § kan överföras genom avtal på andra än myndigheter, när överföringen av uppgiften handlar varken om utövning av offentlig makt eller om betydande utövning av offentlig makt (GrUU 11/2006 rd och GrUU 47/2005 rd). 
Enligt förslaget ska de uppgifter som gäller registrering och som sköts inom ramen för samservice fastställas i lag. Uppgifterna är i förhållande till samservicelagen nya registrerings- och rådgivningsuppgifter som gäller registrering av personuppgifter som gäller fullmakter och andra viljeyttringar samt innehavare av identifieringsverktyg. Dessa uppgifter skiljer sig inte nämnvärt från de uppgifter som har kunnat överföras enligt samservicelagen. Uppdragstagaren enligt samservicelagen ska sköta de i lag fastställda registreringsuppgifterna i enlighet med de förutsättningar som anges i lag och i enlighet med vad man i samserviceavtalet närmare kommit överens om samt i enlighet med de instruktioner som Myndigheten för digitalisering och befolkningsdata gett. 
Uppdragstagarens servicerådgivare ska till exempel vid registrering av fullmakter ha till uppgift att identifiera den som avgett viljeyttringen, att kontrollera avgivarens behörighet att utfärda fullmakt och att med hjälp av fullmaktskoder registrera innehållet i viljeyttringen i fullmaktsregistret. Dessa uppgifter är förvaltningsuppgifter som ankommer på en myndighet, men de är till sin natur biträdande uppgifter som en annan organisation utför åt uppdragsgivaren, det vill säga Myndigheten för digitalisering och befolkningsdata. Uppdragsgivaren Myndigheten för digitalisering och befolkningsdata ska dessutom ha till uppgift att ge uppdragstagarens anställda de instruktioner och den utbildning som behövs för uppgiften. Uppgiften omfattar inte utövning av offentlig makt, eftersom Myndigheten för digitalisering och befolkningsdata fortfarande är personuppgiftsansvarig och har beslutanderätt i fall där förvaltningens kunder ska meddelas beslut. Om samservicens uppdragstagare på grund av bristfälliga utredningar inte ens efter tilläggsutredningar kan registrera en fullmakt eller uppgifter om innehavaren av ett identifieringsverktyg, ska den överföra ärendet till Myndigheten för digitalisering och befolkningsdata för behandling. Myndigheten för digitalisering och befolkningsdata ska vid behov meddela ett beslut om att fullmakten inte registreras eller om att identifieringsverktyget inte beviljas. 
Lagen ger också Myndigheten för digitalisering och befolkningsdata en möjlighet att på eget initiativ radera en felaktig registeranteckning, om det finns skäl att misstänka att registeranteckningen inte har gjorts på riktigt sätt. I sådana fall ska myndigheten höra den registrerade (vid radering av en viljeyttring) eller meddela den registrerade om raderingen (vid återkallelse eller förhindrande av användning av ett identifieringsverktyg). 
De anställda inom samservice enligt samservicelagen handlar under tjänsteansvar vid skötseln av offentliga uppdrag, och i all deras verksamhet tillämpas lagstiftning som tryggar en god förvaltning. Därför innehåller samservicelagen inga bestämmelser om tjänsteansvaret eller skyldigheten att följa allmänna förvaltningsrättsliga bestämmelser för dem som sköter dessa uppgifter, och det föreslås inte heller några särskilda bestämmelser om saken i detta sammanhang. 
Enligt 119 § 2 mom. i grundlagen ska de allmänna grunderna för statsförvaltningens organ regleras genom lag, om deras uppgifter omfattar utövning av offentlig makt. Enligt motiveringen till bestämmelsen avses med allmänna grunder närmast enhetens namn, bransch och huvudsakliga uppgifter samt dess behörighet. Möjligheten till samservice i fråga om de nya uppgiftshelheterna har inga konsekvenser för de uppgifter och behörigheter som enligt speciallagstiftning ankommer på de myndigheter som fungerar som uppdragsgivare och uppdragstagare. 
Det är ändamålsenligt att göra det möjligt att sköta de föreslagna biträdande uppgifterna inom ramen för samservice. Det faktum att man med stöd av lag och samserviceavtal kan registrera fullmakter och andra viljeyttringar och identifiera dem som ansöker om identifieringsverktyg också hos andra myndigheter och att styrkande dokumentation kan utnyttjas vid registreringen gör att en bredare krets av användare kan utnyttja behörighetstjänsten och andra tjänster som tillhandahålls i en elektronisk miljö. Även de som inte kan använda e-tjänster samt andra än fysiska personer – såsom dödsbon eller sådana organisationer i fråga om vilka rätten att företräda fullmaktsgivaren inte kan kontrolleras i de basregister som fullmaktstjänsten använder – kan via behörighetstjänsten befullmäktiga någon annan att sköta ärenden för sin räkning, antingen i en e-tjänst eller genom personligt besök. 
Genom att bland annat genom samservicen främja möjligheten att registrera elektroniska fullmakter och bevilja identifieringsverktyg på annat sätt än i en e-tjänst kan man uppnå nytta för personer och organisationer som saknar verktyg för elektronisk identifiering och/eller i fråga om vilka det inte går att ta fram registeruppgifter om behörigheten att företräda fullmaktsgivaren. Möjligheten att sköta ärenden elektroniskt och utnyttja behörighetstjänsten ger de myndigheter som tillhandahåller e-tjänster möjligheter till kostnadsbesparingar i och med att användningen av e-tjänster ökar. För förvaltningens kunder medför e-tjänsterna att ärenden kan uträttas lättare och snabbare och i allmänhet billigare. Främjandet av möjligheten att sköta ärenden för andras räkning och registreringen av elektroniska fullmaktsuppgifter gynnar inte bara de fysiska personer som vill bemyndiga någon annan att sköta personens ärenden fysiskt eller elektroniskt, utan också sammanslutningar och rättsliga gemenskaper, för vilkas räkning ärenden kan skötas smidigare. De föreslagna bestämmelserna om möjligheten att registrera fullmakter och viljeyttringar inom ramen för samservice främjar också likabehandlingen av medborgarna och organisationerna. 
3.4
Bedömning av lagstiftningsordningen
Propositionen innehåller inga bestämmelser som skulle förutsätta grundlagsordning. Lagförslaget kan således behandlas i vanlig lagstiftningsordning. 
Med stöd av vad som anförts ovan föreläggs riksdagen följande lagförslag: 
Lagförslag
1. 
Lag 
om ändring av lagen om förvaltningens gemensamma stödtjänster för e-tjänster 
I enlighet med riksdagens beslut 
ändras i lagen om förvaltningens gemensamma stödtjänster för e-tjänster (571/2016) det inledande stycket i 5 § 1 mom. samt 10 §, 12 § 3 mom., 13 § 1 mom., 14 § och 25 § 1 mom., av dem 14 § sådan den lyder delvis ändrad i lag 926/2019, samt  
fogas till 3 § ett nytt 2 mom., varvid det nuvarande 2 mom. blir 3 mom., och till lagen nya 10 a–10 c § som följer: 
3 § 
Stödtjänster 
I tjänsten för identifiering av fysiska personer får en person identifieras också med en sådan metod för identifiering som hör till de medel för elektronisk identifiering som ska erkännas ömsesidigt enligt artikel 6 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG. I det fallet får det ur tjänsten för identifiering av fysiska personer till användarorganisationen lämnas ut också sådana identifieringsuppgifter om en person som i samband med identifieringstransaktionen förmedlas från en annan medlemsstat. 
5 § 
Användning av stödtjänster vid offentliga uppdrag 
Följande myndigheter inom den offentliga förvaltningen är skyldiga att använda de stödtjänster som avses i 3 § 1 mom. 1–4, 7 och 8 punkten samt de uppgifter i behörighetstjänsten som gäller personers behörighet som lagliga företrädare, när stödtjänsten är tillgänglig och det serviceavtal för en tjänst som anskaffats självständigt och som motsvarar stödtjänsten i fråga har löpt ut, om inte myndigheten av tekniska eller funktionella skäl eller av skäl som hänför sig till kostnadseffektiviteten eller informationssäkerheten nödvändigtvis måste använda andra tjänster i sin verksamhet eller i en del av den: 
10 § 
Register över fullmakter och andra viljeyttringar samt förutsättningar för registrering  
I syfte att tillhandahålla behörighetstjänsten för Myndigheten för digitalisering och befolkningsdata ett register över sådana fullmakter att sköta ärenden och andra ensidiga viljeyttringar som Myndigheten för digitalisering och befolkningsdata specificerat på förhand och som avgetts av fysiska personer och på sammanslutningars och rättsliga gemenskapers vägnar. Myndigheten för digitalisering och befolkningsdata kan vid tillhandahållandet av behörighetstjänsten även förmedla sådana uppgifter om fullmakter och andra viljeyttringar som andra myndigheter har registrerat och förvaltar i egenskap av personuppgiftsansvariga, om den myndighet som registrerat dessa uppgifter har gett Myndigheten för digitalisering och befolkningsdata tillstånd att förmedla uppgifterna och om verksamheten inte äventyrar tillförlitligheten hos de uppgifter som förmedlas via behörighetstjänsten. 
Registrering av en viljeyttring som avses i 1 mom. förutsätter att den som avger viljeyttringen identifieras på ett tillförlitligt sätt med hjälp av tjänsten för identifiering av fysiska personer eller med någon annan sådan metod för identifiering som är informationssäker och bevislig. Registreringen förutsätter dessutom att personens handlingsbehörighet och vid behov behörighet kan kontrolleras i de register som avses i 1 mom. eller i 9 § eller motsvarande utländska register eller i till riktigheten bestyrkta dokument som baserar sig på uppgifter i dessa register eller andra dokument som på ett tillförlitligt sätt påvisar behörigheten eller handlingsbehörigheten. Personens handlingsbehörighet behöver inte kontrolleras, om uppgifterna inte finns att tillgå i de register som avses i 9 §. 
Registrering av en viljeyttring kan även basera sig på en skriftlig fullmakt eller annan viljeyttring, om det inte finns anledning att betvivla dokumentets autenticitet och integritet. 
Myndigheten för digitalisering och befolkningsdata godkänner de andra metoder för identifiering som avses i 2 mom. än tjänsten för identifiering av fysiska personer. Innan elektroniska metoder för identifiering godkänns, ska Myndigheten för digitalisering och befolkningsdata höra finansministeriet och Transport- och kommunikationsverket. Myndigheten för digitalisering och befolkningsdata ska se till att avgiftsfri information om användningen av godkända metoder finns tillgänglig via det allmänna datanätet. 
Myndigheten för digitalisering och befolkningsdata ska sörja för integriteten hos innehållet i den registrerade viljeyttringen och för att uppgifterna om godkännandet av viljeyttringen och om den identifiering av personen som föregår godkännandet kan kopplas samman med viljeyttringens innehåll. 
10 a § 
Radering av viljeyttringar ur registret 
En viljeyttring som registrerats i det register som avses i 10 § 1 mom. ska raderas ur registret på begäran av den som avgett viljeyttringen eller den befullmäktigade. Vid identifieringen av den som begär radering av viljeyttringen och vid kontrollen av förutsättningarna för radering ska 2, 3 och 5 mom. i den paragrafen iakttas.  
Myndigheten för digitalisering och befolkningsdata kan utan begäran radera en viljeyttring ur registret eller tillfälligt förhindra användningen av uppgifterna om viljeyttringen, om myndigheten har skäl att misstänka att viljeyttringen har registrerats på felaktiga grunder. Innan viljeyttringen raderas ur registret, ska Myndigheten för digitalisering och befolkningsdata höra den som avgett viljeyttringen. 
10 b § 
Skötsel av uppgifter som gäller registrering av viljeyttringar inom ramen för samservice 
Utöver vad som i 6 § i lagen om samservice inom den offentliga förvaltningen (223/2007), nedan samservicelagen, föreskrivs om uppgifter som sköts inom ramen för samservice, får Myndigheten för digitalisering och befolkningsdata överföra biträdande uppgifter som gäller registrering av viljeyttringar till att skötas inom ramen för samservice. Dessa uppgifter kan omfatta 
1) registrering av viljeyttringar och kontroll av de i 10 § i denna lag avsedda förutsättningarna för registrering, vid behov genom tilläggsutredningar, 
2) radering av viljeyttringar ur registret på begäran av den som avgett viljeyttringen eller den befullmäktigade samt kontroll av de i 10 a § i denna lag avsedda förutsättningarna för radering av viljeyttringar ur registret, vid behov genom tilläggsutredningar, 
3) rådgivning i samband med registrering av viljeyttringar. 
Om samservicens uppdragstagare inte ens efter tilläggsutredningar kan registrera viljeyttringen eller radera viljeyttringen ur registret i enlighet med begäran, ska den överföra ärendet till Myndigheten för digitalisering och befolkningsdata för behandling. 
I ett samserviceavtal om skötsel av sådana uppgifter som avses i denna lag får avvikelse göras från den bestämmelse i 5 a § i samservicelagen enligt vilken ersättning ska betalas för uppdragstagarens kostnader. I avtalet kan det också bestämmas att en myndighet som är användarorganisation i behörighetstjänsten deltar i ersättningarna för uppdragstagarens kostnader. 
10 c § 
Förfarandet vid registrering av viljeyttringar och radering av viljeyttringar ur registret  
Myndigheten för digitalisering och befolkningsdata eller samservicens uppdragstagare ska informera den som avgett en viljeyttring om att viljeyttringen registrerats eller raderats ur registret. 
Om registrering av en viljeyttring eller radering av en viljeyttring ur registret inte ens efter en begäran om tilläggsutredning har kunnat göras i enlighet med begäran om registrering eller radering ur registret, eller om radering av en viljeyttring ur registret utan begäran är obefogad enligt den som avgett viljeyttringen, ska Myndigheten för digitalisering och befolkningsdata fatta ett beslut om saken och informera den som begärt registrering av viljeyttringen eller radering av viljeyttringen ur registret eller den som är missnöjd med en sådan radering av viljeyttringen ur registret som gjorts utan begäran om sitt beslut och om möjligheten att begära omprövning av beslutet. 
I fråga om sådan radering av en viljeyttring ur registret eller ett sådant förhindrande av användning av en viljeyttring som gjorts utan begäran ska Myndigheten för digitalisering och befolkningsdata även informera dem som enligt myndighetens uppgift har förlitat sig på viljeyttringens giltighet. Bestämmelser om utlämnande av uppgifter som behandlas inom tjänsteproduktionen finns i 14 §. 
12 § 
Behandling av uppgifter inom tjänsteproduktionen 
Vid tillhandahållandet av tjänsten för identifiering av fysiska personer har Myndigheten för digitalisering och befolkningsdata rätt att till den användarorganisation som förvaltar den elektroniska tjänst som en person använder lämna ut uppgift om personens namn, personbeteckning och elektroniska kommunikationskod, om användarorganisationen enligt lag har rätt att behandla dessa uppgifter. Vid tillhandhållandet av den identifieringstjänst för utländska medborgare som avses i 69 a § 1 mom. i lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata, har Myndigheten för digitalisering och befolkningsdata rätt att till den användarorganisation som tillhandahåller den elektroniska tjänst som en person använder lämna ut de uppgifter som behövs för att identifiera personen, om användarorganisationen enligt lag har rätt att behandla dessa uppgifter. 
13 § 
Bevarande av uppgifter som behandlas inom tjänsteproduktionen 
Myndigheten för digitalisering och befolkningsdata ska såsom personuppgiftsansvarig för uppgifter som behandlas i tjänsten för identifiering av fysiska personer och i identifieringstjänsten för utländska medborgare bevara de uppgifter som behövs för att verifiera en identifieringstransaktion i fem år räknat från ingången av det kalenderår som följer efter identifieringstransaktionen. 
14 § 
Utlämnande av uppgifter som behandlas inom tjänsteproduktionen 
Utöver vad som föreskrivs i 12 § 3–5 mom. får serviceproducenten trots sekretessbestämmelserna lämna ut uppgifter som registrerats om användningen av stödtjänsten till den användarorganisation i samband med vars elektroniska tjänst eller annan skötsel av ärenden uppgifterna har registrerats eller som har varit en part i kommunikation som förmedlats via meddelandeförmedlingstjänsten, om användarorganisationen behöver uppgifterna 
1) för att säkerställa eller förbättra funktionen hos sin elektroniska tjänst, 
2) för att säkerställa informationssäkerheten eller utreda störningar i informationssäkerheten hos sin elektroniska tjänst, 
3) för att visa att uppgifterna behandlats på riktigt sätt i samband med skötseln av ärenden eller annars för att utreda problem vid skötseln av ärenden.  
Användarorganisationen får trots sekretessbestämmelserna lämna ut uppgifter som registrerats om användningen av dess elektroniska tjänst till den serviceproducent vars stödtjänst används inom den elektroniska tjänsten, om serviceproducenten behöver uppgifterna 
1) för att säkerställa eller förbättra funktionen hos en stödtjänst, 
2) för att säkerställa informationssäkerheten eller utreda störningar i informationssäkerheten hos en stödtjänst, 
3) för att visa att uppgifterna behandlats på riktigt sätt i samband med skötseln av ärenden eller annars för att utreda problem vid skötseln av ärenden. 
Serviceproducenten får, om inte något annat följer av 11 eller 12 § i lagen om offentlighet i myndigheternas verksamhet, lämna ut uppgifter som registrerats om användningen av stödtjänsten 
1) till den person vars användning av stödtjänsten eller annan skötsel av ärenden uppgifterna gäller, 
2) till den person för vars räkning någon har använt stödtjänsten eller i övrigt skött ärenden, 
3) för ett specificerat syfte, om den person vars användning av stödtjänsten eller annan skötsel av ärenden uppgifterna gäller uttryckligen har samtyckt till utlämnandet. 
25 § 
Kostnaderna för stödtjänsterna 
Kostnaderna för produktionen av stödtjänsterna täcks med statens medel och användningen av stödtjänsterna är avgiftsfri för användarorganisationerna, med undantag för användningen av de tjänster som avses i 3 § 4–6 och 8 punkten, för vilken serviceproducenten kan ta ut en avgift av användarorganisationen. Bestämmelser om avgifterna finns i lagen om grunderna för avgifter till staten (150/1992). 
Denna lag träder i kraft den 20 .  
2. 
Lag 
om ändring av lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster 
I enlighet med riksdagens beslut 
fogas till lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009) ett nytt 6 a kap. som följer: 
6 a kap. 
Identifieringstjänsten för utländska medborgare 
69 a § 
Identifieringstjänsten för utländska medborgare 
Myndigheten för digitalisering och befolkningsdata ska producera, tillhandahålla och administrera en identifieringstjänst för verifiering och identifiering av utländska medborgare (identifieringstjänsten för utländska medborgare). 
Myndigheten för digitalisering och befolkningsdata tillhandahåller identifieringstjänsten för utländska medborgare som en sådan stödtjänst som avses i 3 § 1 mom. 5 punkten i lagen om förvaltningens gemensamma stödtjänster för e-tjänster (571/2016), nedan lagen om stödtjänster
69 b § 
Beviljande och återkallelse av identifieringsverktyg för utländska medborgare 
Myndigheten för digitalisering och befolkningsdata beviljar, för användning av identifieringstjänsten, på ansökan ett identifieringsverktyg till en utländsk medborgare som saknar finsk personbeteckning och som inte kan identifieras med hjälp av den tjänst för identifiering av fysiska personer som avses i 3 § 1 mom. 4 punkten i lagen om stödtjänster. 
Vid beviljande av ett identifieringsverktyg kan kontrollen av identiteten hos den som ansöker om identifieringsverktyget grunda sig på en sådan informationssäker och bevislig elektronisk identifieringsmetod som godkänts av Myndigheten för digitalisering och befolkningsdata eller på en identitetshandling som utfärdats av en myndighet. 
Myndigheten för digitalisering och befolkningsdata ska återkalla en utländsk medborgares identifieringsverktyg på begäran av innehavaren av identifieringsverktyget. Myndigheten för digitalisering och befolkningsdata kan utan begäran återkalla eller förhindra användningen av ett identifieringsverktyg, om myndigheten har skäl att misstänka att identifieringsverktyget används av någon annan än den det har beviljats till eller att säkerheten vid användningen av identifieringsverktyget annars har äventyrats. Myndigheten för digitalisering och befolkningsdata ska så snart som möjligt underrätta innehavaren av identifieringsverktyget om att identifieringsverktyget har återkallats eller användningen av det förhindrats samt om tidpunkten för och orsakerna till detta. 
Om ett identifieringsverktyg inte kan beviljas eller återkallas på begäran av den som ansöker om detta, ens efter en begäran om tilläggsutredning, eller om återkallelse av ett identifieringsverktyg utan begäran är obefogad enligt innehavaren av identifieringsverktyget, ska Myndigheten för digitalisering och befolkningsdata fatta ett beslut om saken och informera den som ansökt om identifieringsverktyget eller om återkallelsen av identifieringsverktyget, eller den som är missnöjd med en sådan återkallelse av ett identifieringsverktyg som gjorts utan begäran, om sitt beslut och om möjligheten att begära omprövning av beslutet. 
I fråga om sådan återkallelse av ett identifieringsverktyg som gjorts utan begäran ska Myndigheten för digitalisering och befolkningsdata även informera dem som enligt myndighetens uppgift har förlitat sig på identifieringsverktygets giltighet. 
69 c § 
Registret över identifieringsverktyg för utländska medborgare 
Myndigheten för digitalisering och befolkningsdata ska, för tillhandahållandet av identifieringstjänsten för utländska medborgare, föra ett register över de utländska medborgarna och de identifieringsverktyg som beviljats dem. I registret får följande uppgifter om utländska medborgare registreras: 
1) de personuppgifter, inklusive fotografi, som ingår i den av en myndighet utfärdade identitetshandling som använts för kontroll av identiteten samt uppgifter som specificerar identitetshandlingen, 
2) de personuppgifter som förmedlas i samband med den elektroniska identifieringsmetod som använts för kontroll av identiteten samt uppgifter om den elektroniska identifieringsmetoden, 
3) det fotografi som används för kontroll av identiteten med tekniska metoder samt uppgifter som skapas vid teknisk jämförelse av fotografier, 
4) en identifieringskod för personen, 
5) en identifieringskod för identifieringsverktyget, 
6) kontaktuppgifter, 
7) andra än i 1–6 punkten avsedda uppgifter som behövs för tillhandahållandet av identifieringstjänsten. 
Myndigheten för digitalisering och befolkningsdata får behandla fotografier av personer och de uppgifter som skapas vid teknisk jämförelse av fotografier endast för kontroll av identiteten.  
Uppgifterna i registret över identifieringsverktyg för utländska medborgare får bevaras i fem år räknat från ingången av det kalenderår som följer efter den sista identifieringstransaktion som gjorts med identifieringsverktyget. Om identifieringsverktyget inte har använts, får uppgifterna bevaras i fem år räknat från ingången av det kalenderår som följer efter beviljandet av identifieringsverktyget. 
Bestämmelser om behandling av personuppgifter inom tjänsteproduktionen i fråga om identifieringstjänsten för utländska medborgare, om krav som gäller identifieringstjänsten och användningen av den och om styrningen av tjänsteproduktionen finns i 3–5 kap. i lagen om stödtjänster. 
69 d § 
Skötsel av uppgifter som gäller beviljande och återkallelse av identifieringsverktyg inom ramen för samservice 
Utöver vad som i 6 § i lagen om samservice inom den offentliga förvaltningen (223/2007), nedan samservicelagen, föreskrivs om uppgifter som sköts inom ramen för samservice, får Myndigheten för digitalisering och befolkningsdata överföra biträdande uppgifter som gäller beviljande och återkallelse av identifieringsverktyg och uppdatering av registeruppgifter om identifieringsverktyg till att skötas inom ramen för samservice. Dessa uppgifter kan omfatta 
1) verifiering av identiteten hos dem som ansöker om identifieringsverktyg och hos innehavare av identifieringsverktyg, 
2) registrering i det register som avses i 69 c § i denna lag av personuppgifterna för dem som ansöker om identifieringsverktyg och för innehavare av identifieringsverktyg, 
3) återkallelse av identifieringsverktyg på begäran av innehavaren av identifieringsverktyget, 
4) rådgivnings- och stödtjänster i samband med ansökan om och återkallelse av identifieringsverktyg. 
Om samservicens uppdragstagare inte ens efter tilläggsutredningar kan verifiera sökandens eller innehavarens identitet eller återkalla identifieringsverktyget på begäran av innehavaren, ska uppdragstagaren överföra ärendet till Myndigheten för digitalisering och befolkningsdata för behandling. 
I ett samserviceavtal om skötsel av sådana uppgifter som avses i denna lag får avvikelse göras från den bestämmelse i 5 a § i samservicelagen enligt vilken ersättning ska betalas för uppdragstagarens kostnader. I avtalet kan det också bestämmas att en myndighet som använder identifieringstjänsten för utländska medborgare deltar i ersättningarna för uppdragstagarens kostnader. 
Denna lag träder i kraft den 20 .  
3. 
Lag 
om ändring av 6 § i lagen om samservice inom den offentliga förvaltningen 
I enlighet med riksdagens beslut 
ändras i lagen om samservice inom den offentliga förvaltningen (223/2007) 6 § 1 mom. 8 punkten, sådan den lyder i lag 247/2017, och 
fogas till 6 § 1 mom., sådant det lyder i lag 247/2017, en ny 9 punkt som följer: 
6 §  
Uppgifter som sköts inom ramen för samservice 
Följande kundservicefunktioner får skötas som samservice: 
8) försäljning av uppdragsgivarens produkter samt omedelbar vidarebefordran av betalningarna och uppgifterna om dem till uppdragsgivaren, 
9) andra än i 1–8 punkten avsedda uppgifter som anges i lag. 
Denna lag träder i kraft den 20 . 
Helsingfors den 7 oktober 2019 
Statsminister
Antti
Rinne
Finansminister
Mika
Lintilä
Senast publicerat 07-10-2019 12:33