1.1
Lagen om förvaltningens gemensamma stödtjänster för e-tjänster
1 kap. Allmänna bestämmelser
1 §.Lagens syfte och tillämpningsområde. Enligt förslaget till 1 § 1 mom. är lagens syfte att förbättra tillgången och kvaliteten på offentliga tjänster, att förbättra tjänsternas informationssäkerhet och interoperabilitet samt styrningen av tjänsterna och att främja effektiviteten och produktiviteten inom den offentliga förvaltningens verksamhet. Den föreslagna lagens syfte motsvarar i huvudsaken syftet med lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen. Syftet med den föreslagna lagen är i synnerhet att bidra till att förbättra kostnadseffektiviteten inom tjänsteproduktionen samt säkerställa tjänsternas kvalitet och interoperabilitet med hjälp av gemensamma stödtjänster för e-tjänster inom förvaltningen när det föreskrivs om gemensam produktion och användning av stödtjänsterna.
I förslaget till 2 mom. föreskrivs om lagens tillämpningsområde, och enligt det innehåller lagen bestämmelser om den offentliga förvaltningens gemensamma stödtjänster för e-tjänster, om kraven på stödtjänsterna, om åligganden som hänför sig till produktionen av stödtjänster samt om behandlingen av personuppgifter och andra uppgifter i samband med produktionen. I lagen finns dessutom bestämmelser om rätten och skyldigheten att använda stödtjänster och om förutsättningarna för att använda tjänsterna.
Enligt förslaget till 3 mom. ska personuppgiftslagen tillämpas på behandlingen av personuppgifter vid produktionen av gemensamma stödtjänster för e-tjänster och offentlighetslagen på sekretess för och utlämnande av personuppgifter samt informationssamhällsbalken på behandlingen av meddelanden och förmedlingsuppgifter, inom inte något annat föreskrivs i den förslagna lagen eller i någon annan lag. De nämnda lagarna är generella lagar som gäller behandlingen av personuppgifter och kommunikationsuppgifter, om inte något annat följer av t.ex. förslaget till 3 kap. Bestämmelsen innehåller också en hänvisning till annan lagstiftning som eventuellt innehåller bestämmelser som preciserar personuppgiftslagen. Exempelvis lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster är en speciallag som tillämpas på behandlingen av uppgifter i befolkningsdatassystemet.
Förslaget till 4 mom. innehåller en informativ hänvisning till informationsförvaltningslagen, där det också föreskrivs om de krav på främjande och säkerställande av informationssystemens interoperabilitet som ska iakttas i fråga om gemensamma stödtjänster för e-tjänster.
2 §. Definitioner. Enligt 1 punkten avses med stödtjänst en sådan gemensam stödtjänst för e-tjänst som användarorganisationen använder som stöd för sina elektroniska tjänster eller för någon annan uppgift som den har eller tjänst som den tillhandahåller. Stödtjänster är de tjänster som avses i 3 § samt de tjänster som nämns i 27 § och som upphör eller överförs under övergångsperioden.
Med serviceproducent avses enligt 2 punkten en producent av stödtjänster. Kraven på serviceproducenter gäller i regel också de aktörer som producerar tjänster med stöd av övergångsbestämmelsen.
Med användarorganisation avses enligt den föreslagna 3 punkten en sådan myndighet, annan aktör som sköter offentliga uppdrag eller privat aktör som använder stödtjänster. Användarorganisation kan vara antingen en aktör som ålagts att använda stödtjänster, såsom ett statligt ämbetsverk, eller en aktör som har rätt att använda tjänsterna, såsom en annan sammanslutning som sköter offentliga förvaltnings- eller serviceuppgifter, eller en privat aktör på det sätt som föreskrivs särskilt i 2 kap.
Med elektroniska tjänster avses enligt 4 punkten e-tjänster som en användarorganisation ansvarar för. Som exempel på elektroniska tjänster kan nämnas skatteförvaltningens skattekortstjänst samt arbets- och näringsministeriets rådgivningstjänst Mitt Företagsfinland, dit användaren i fortsättningen kan förflytta sig via servicevyn så att uppgifter om användarens identitet som verifierats med hjälp av tjänsten för identifiering av en fysisk person överförs tillsammans med användaren till den elektroniska tjänsten, om användningen förutsätter identifiering. Avsikten är att definitionen av elektroniska tjänster ska täcka alla sådana tjänster där en person kommunicerar eller sköter förvaltnings- eller andra ärenden elektroniskt i riktning mot en användarorganisation. Även t.ex. sådana tjänster där en person endast granskar uppgifter som en användarorganisation registrerat om honom eller henne är sådana elektroniska tjänster som avses i denna lag.
Enligt 5 punkten avses med användare en person som i egenskap av kund inom förvaltningen använder stödtjänster. Användare är t.ex. en person som tittar på sina uppgifter i servicevyn eller som använder den elektroniska meddelandeförmedlingstjänsten eller en person som använder tjänsten för identifiering av en fysisk person för att identifiera sig i en offentlig tjänst eller behörighetstjänsten för att ge fullmakt eller lämna någon annan viljeyttring. Definitionen av användare har använts t.ex. i definitionerna av vissa stödtjänster samt i 18 § om störningsanmälningar.
2 kap. Produktion och användning av stödtjänster
3 §.Stödtjänster. I paragrafen definieras gemensamma stödtjänster för e-tjänster.
I förslaget till 3 § 1 mom. 1 punkten definieras den nationella servicekanalen, dvs. en informationsförmedlingskanal, med hjälp av vilken användarorganisationerna kan överföra och lämna ut uppgifter som ingår i deras datalagar och tillhandahålla elektroniska tjänster. Servicekanalen är en standardiserad tjänst som stödjer informationsförmedlingen och som inte i sig har några integrationsegenskaper. Integrationstjänster produceras av såväl privata aktörer som t.ex. Valtori med stöd av TORI-lagen och TORI-förordningen. Servicekanalen baserar sig på de program som använts för X-road i Estland. I Finland har man för servicekanalen byggt upp stöd för Red Hat-linux som använts i bl.a. den finländska IT-miljön och utvecklat datakommunikationsloggar som motsvarar de finländska informationssäkerhetskraven och en funktion som övervakar utredningen av fel. Syftet med dessa är att stärka servicekanalens informationssäkerhet och tekniska tillförlitlighet.
Servicekanalen omfattar en centralserver, samt certifikatlösningar för att identifiera parterna och hemlighålla information samt en tidsmärkning. Centralservern och anslutna servrar identifierar varandra med hjälp av certifikatlösningarna. I servicekanalen finns en centraliserad anslutningskatalog, via vilken alla anslutningar till servicekanalen jämte tekniska och administrativa beskrivningar hittas. Med servicekanalen förenas t.ex. myndigheter och privata aktörer som producenter och användare av datalagret eller uppgiftslämnare. Via den ska dessutom de stödtjänster som föreskrivs i den föreslagna lagen samt myndigheternas elektroniska tjänster vara tillgängliga. I servicekanalen färdas meddelandena över internet och av denna orsak svarar servicekanalen inte för trafiken på nätnivå i det lägre skiktet.
Åtkomsträttigheten till tjänsterna eller registren bedöms separat med stöd av den lagstiftning som gäller denna. Servicekanalen används för överföring av information förutsatt att bägge parterna har godkänt överföringen. Personuppgiftsdirektivet (95/46/EG) förutsätter fri rörlighet mellan medlemsstaterna för personuppgifter. En användarorganisation kan utnyttja kanalen även för överföring av uppgifter vid internationella relationer, om det är tillåtet med stöd av lagstiftning eller t.ex. ett internationellt avtal.
I 1 mom. 2 punkten definieras servicedatalager, dvs. en tjänst som samlar enhetligt presenterade uppgifter som gäller användarorganisationens tjänster och erbjuder centraliserad och offentlig tillgång till och användning av dem.
I 1 mom. 3 punkten föreskrivs om servicevyn. Servicevyn förenar tjänsten Suomi.fi som sammanför tjänster som den offentliga förvaltningen tillhandahåller medborgarna och tjänsten Företagsfinland.fi som sammanför tjänster för företag till en enda tjänst. I servicevyn kan användaren granska uppgifter i servicedatalagret samt annat offentligt material. En identifierad användare kan dessutom granska uppgifter som införts i användarorganisationernas register om honom eller henne eller en fysisk person eller organisation som han eller hon företräder. Helheten för granskning av uppgifter om det företag personen företräder kallas servicevyn för företag. Helheten av uppgifter om den myndighet personen företräder kallas servicevyn för myndigheter.
Servicevyn kan personifieras t.ex. med hjälp av uppgift om användarens boningsort så att användaren med hjälp av den kartfunktion som ingår i tjänsten som standardvärde ser de tjänster som finns i närheten – samtidigt är det dock möjligt att söka tjänster även på andra ställen. I servicevyn kan användaren också förflytta sig till olika användarorganisationers elektroniska tjänster samt använda den elektroniska meddelandeförmedlingstjänsten.
I den föreslagna 4 punkten föreskrivs om en tjänst för identifiering av fysiska personer, som möjliggör stark autentisering av en person med hjälp av identifieringsverktyg som avses i identifieringslagen. Identifieringstjänsten administrerar identifieringstransaktionen och lämnar ut identifieringsuppgifter om en person ur befolkningsdatasystemet till användarorganisationen. Bestämmelser om utlämnande av identifieringsuppgifter föreslås i 12 § 3 mom.
Administreringen av identifieringstransaktionen gör det möjligt för användaren att under en nätverksavsökning förflytta sig från en offentlig förvaltningsorganisations tjänst till en annan, t.ex. från servicevyn till en elektronisk tjänst och tillbaka utan att behöva identifiera sig på nytt. Det är fråga om en s.k. engångsinloggningslösning.
I förhållande till identifieringslagen är det i förslaget till såväl 4 som 5 punkten fråga om att tillhandahålla en begränsad användarkår identifieringsförmedling. I förslaget till 5 § föreskrivs om identifieringstjänstens användarorganisationer. När de föreslagna tjänsterna tillhandahålls har BRC ur identifieringstjänstens synvinkel rollen som en organisation som utnyttjar identifieringstjänster som tillhandahålls allmänheten och är således t.ex. inte med i förtroendenätet enligt identifieringslagen.
I den föreslagna 5 punkten föreskrivs om sådana identifieringstjänster och samlade förvaltningstjänster för identifiering där även någon annan metod för identifiering kan användas än en sådan tjänst som tillhandahålls av en leverantör av identifieringstjänster som gjort anmälan enligt identifieringslagen.
Tjänster som avses i bestämmelsen är t.ex. Vetuma.fi, som läggs ned efter övergångsperioden, samt KATSO-tjänsten, som BRC övertar ansvaret för efter övergångsperioden och för vars produktion även andra identifieringsverktyg än sådana som hör till identifieringslagens tillämpningsområde används – även svag autentisering. Målet är att i slutändan lägga ned KATSO-tjänsten efter att ärenden för juridiska personers räkning kan börja skötas med hjälp av den behörighetstjänst som avses i förslaget till 3 § 1 mom. 6 punkten. Utmaningen när man ska utveckla KATSO-tjänsten i riktning mot en behörighetstjänst att det tills vidare inte föreskrivits om identifieringsverktyg för identifiering av en organisation eller om övervakning av dem på motsvarande sätt som i fråga om identifiering av fysiska personer i identifieringslagen. En person vill inte nödvändigtvis använda sitt verktyg för stark autentisering som är avsett för personligt bruk när han eller hon sköter ärenden för en organisations räkning. I och med eIDAS-förordningen kan man emellertid vänta att även bestämmelserna och serviceproduktionen som gäller identifiering av organisationer utvecklas och att det uppstår förutsättningar att införliva KATSO-tjänsten i den kombinerade identifieringstjänsten och behörighetstjänsten. Till skillnad från den identifieringstjänst som avses i 4 punkten får man i identifieringstjänsten enligt den här punkten, som baserar sig på svag autentisering, inte granska uppgifter i befolkningsdatasystemet eller lämna ut uppgifter i befolkningsdatasystemet till användarorganisationerna.
BRC kunde också producera en samlad förvaltningstjänst för svag autentisering av en fysisk person för sådana tjänster där den vore nödvändig. Med svag autentisering avses annan än sådan stark autentisering som avses i identifieringslagen. Exempelvis i skolvärlden ska den som är under 15 år och ännu inte får chipförsett ID-kort eller något annat verktyg för stark autentisering identifiera sig i en elektronisk inlärningsmiljö för att kunna utföra skoluppgifter.
En samlad förvaltningstjänst för svag autentisering kunde t.ex. erbjuda användarorganisationen en centraliserad möjlighet att utnyttja tjänster med svag autentisering som tillhandahålls av sociala medier, ifall det finns användning för svag autentisering i sådana myndighetstjänster där man inte kommer åt konfidentiella personliga uppgifter om en person. Den samlade förvaltningstjänsten VIRTU för identifiering av tjänstemän och andra person som utövar offentlig makt och som produceras av Valtori är i fortsättningen en grundläggande informationsteknisk behörighetstjänst enligt TORI-förordningen.
I 1 mom. 6 punkten föreskrivs om en behörighetstjänst som tillhandahåller användarorganisationen uppgifter om personens handlingsbehörighet och behörig eller andra viljeyttringar. Bestämmelser om utlämnande av uppgifter finns i 12 § 4 mom. Behörighetstjänsten tillhandahåller information om både en persons lagstadgade behörighet och begränsningar av behörigheten och behörighet som baserar sig på en rättshandling, dvs. fullmakt, eller någon annan viljeyttring samt information om andra viljeyttringar.
Den del av behörighetstjänsten som gäller lagligt företrädande tillhandahåller genom utnyttjande av de register som avses i 9 § i den föreslagna lagen användarorganisationen information om t.ex. huruvida en fysisk persons handlingsbehörighet är begränsad och har en viss person rätt att företräda honom eller henne. I fråga om juridiska personer tillhandahålls information om ansvariga personer, dvs. har en person t.ex. rollen som styrelseordförande eller VD eller rätt att teckna företagets firma. Den tjänst som erbjuder information om lagstadgat företrädande tillhandahålls till en början för klara företrädandesituationer, såsom vårdnad om barn och rätt att ensam teckna en juridisk persons firma. Strävan är att utveckla tjänsten i sådan riktning att även mera detaljerat definierade situationer eller situationer som gäller gemensam företrädanderätt ska kunna utredas med hjälp av tjänsten.
Avsikten är att den del av behörighetstjänsten som baserar sig på viljeyttring, dvs. uppgift om behörighet i det register som avses i förslaget till 10 §, ska vara tillgänglig från början av 2017. BRC kan redan dessförinnan med stöd av bestämmelserna om fullmakt baserad på viljeyttring tillhandahålla även uppgifter om fullmakter och roller i KATSO-identifieringstjänsten för organisationer. I nuvarande utförande innehåller KATSO-tjänsten funktioner för att tilldela utländska personer KATSO-koder. KATSO-tjänsten behåller dessa funktioner tills förfarandena för elektronisk identifiering av utländska personer utvecklas t.ex. i och med att eIDAS-förordningen träder i kraft.
I 1 mom. 7 punkten föreskrivs om en meddelandeförmedlingstjänst med hjälp av vilken användarorganisationen och användaren kan skicka elektroniska meddelanden till varandra och med hjälp av vilken en handling kan delges elektroniskt eller per post. Med brevpostfunktion avses att man via meddelandeförmedlingstjänsten även kan posta pappersbrev centraliserat.
Elektronisk delgivning kan användas t.ex. i förvaltningsärenden eller domstolsärenden på det sätt som föreskrivs i lagen om elektronisk kommunikation i myndigheternas verksamhet eller någon annanstans.
Meddelandeförmedlingstjänsten ska vara tillgänglig för alla medborgare som tar emot meddelanden från myndigheterna utan att de behöver ta i bruk tjänsten särskilt, men godkännande av elektronisk delgivning ska förutsätta att man ger samtycke i tjänsten. Inloggning i tjänsten ska förutsätta att en fysisk person identifieras med hjälp av tjänsten för identifiering av fysiska personer – eller under en övergångsperiod Vetuma-tjänsten. I den elektroniska meddelandeförmedlingstjänsten för företag i servicevyn för företag identifierar man sig med hjälp av t.ex. KATSO-identifiering och i fortsättningen med hjälp av tjänsten för identifiering av fysiska personer och behörighetstjänsten. Avsikten är att tjänsten ska uppfylla kraven på förhöjd informationssäkerhet så att den även lämpar sig för förmedling av känsliga personuppgifter. I meddelandeförmedlingstjänsten ska förutom den elektroniska tjänsten finnas en ny funktion där meddelanden också kan skickas med post till den som är kund hos förvaltningen.
En person som använder tjänsten ska förutom att sköta sina egna personliga ärenden också kunna agera för ett företags räkning i meddelandeförmedlingstjänsten för företag. Tjänsten ska i enlighet med 4 § tillhandahållas av BRC, dit det elektroniska medborgarkontot som för närvarande produceras av Valtori överförs senast i slutet av 2017.
Meddelandeförmedlingstjänsten ska erbjuda användarorganisationen möjlighet att skicka s.k. notifieringar, såsom information om offentliga tjänster som står till buds i användarens livssituation. Via den elektroniska tjänsten ska användaren också kunna skicka meddelanden till användarorganisationen och inleda ett ärende hos en sådan myndighet som har en adress för mottagande av elektroniska meddelanden som skickas via meddelandeförmedlingstjänsten.
I 1 mom. 8 punkten föreskrivs om en samlad förvaltningstjänst möjliggör internetbetalning till användarorganisationen via dess elektroniska tjänster. Tjänsten ska ersätta Vetuma-tjänstens betalningstjänst före utgången av 2017.
I 1 mom. 9 punkten föreskrivs om en karttjänst för förvaltningen, som erbjuder användarorganisationen möjlighet att i sina elektroniska tjänster använda och kombinera sitt informationsmaterial och information som tillhandahålls inom ramen för den nationella infrastruktur för geografisk information som avses i lagen om en infrastruktur för geografisk information (421/2009). Tjänsten möjliggör lägesbaserad kommunikation för myndigheterna i informationsutbytet med medborgare och företag. Den geografiska informationens betydelse och möjligheterna att utnyttja den i samhällets tjänster och serviceproduktion har ökat avsevärt. Karttjänsten i den infrastruktur för geografisk information som baserar sig på en gemensam lägesreferens möjliggör lägesbaserad beskrivning och sökning av tjänster i servicedatalagret.
Omvandling av myndigheternas informationsmaterial i kartform och granskning av olika myndigheters material samtidigt i samma kartvy medför nya möjligheter att tillhandahålla elektroniska tjänster. Tjänsten enligt lagen om en infrastruktur för geografisk information säkerställer att uppgifter och tjänster som produceras av olika myndigheter är lägesmässigt interoperabla och underlättar tillhandahållandet av elektroniska tjänster.
Enligt förslaget till 3 § 2 mom. kan finansministeriet genom förordning ålägga en myndighet inom dess förvaltningsområde att producera och utveckla även andra stödtjänster än de som avses i 1 mom. förutsatt att offentlig makt inte utövas vid produktionen. Dessa andra stödtjänster innefattar inte i samma mån som de tjänster som beskrivs i 1 mom. behandling av personuppgifter om den som sköter ärenden inom förvaltningen eller andra drag av betydelse för rättsskyddet. Dylika tjänster är t.ex. den tjänst som Valtori för närvarande producerar med stöd av 5 § 4 mom. i TORI-lagen, och med vars hjälp myndigheterna skulle kunna tillhandahålla elektroniska blanketter i sina elektroniska tjänster samt tjänsten Avoindata.fi som samlar och tillhandahåller information om styrning och utveckling av interoperabiliteten samt öppet informationsmaterial. Stödtjänsten för blanketter har nått slutet på sin livscykel och avsikten är att produktionen ska upphöra under de närmaste åren. Avsikten är att tjänsten Avoindata.fi i fortsättningen ska vara en uppgift för BRC.
Stödtjänsterna enligt förslaget till 3 § 2 mom. ska kunna användas av myndigheter och andra som sköter offentliga uppdrag på det sätt som föreskrivs i 5 §. Enligt förslaget till 8 § 3 mom. utfärdas bestämmelser om tillhandahållandet av nämnda stödtjänster till privata aktörer genom förordning av finansministeriet. Tjänsterna ska vara avgiftsfria för användarorganisationen i enlighet med 25 §.
4 §.Serviceproducenter. I förslaget till 4 § föreskrivs om serviceproducenter som producerar gemensamma stödtjänster för e-tjänster. I förslaget till 27 § föreskrivs om de serviceproducenter vilkas tjänsteproduktion upphör efter övergångsperioden. Till serviceproducentens uppgifter hör enligt god förvaltningssed även att stödja användarorganisationerna och ge råd i samband med att tjänsterna införs, även om det inte nämns särskilt i den föreslagna lagen.
Enligt förslaget till 1 mom. ska BRC producera och utveckla de stödtjänster som avses i 3 § 1 mom. 1–7 punkten, dvs. den nationella servicekanalen, servicedatalagret, servicevyn, tjänsten för identifiering av fysiska personer, andra identifieringstjänster, behörighetstjänsten samt meddelandeförmedlingstjänsten.
Enligt förslaget till 2 mom. ska Statskontoret producera och utveckla den samlade förvaltningstjänsten för internetbetalning enligt 3 § 8 punkten.
Med stöd av 3 mom. ska Lantmäteriverket producera och utveckla karttjänsten för förvaltningen enligt 3 § 1 mom. 9 punkten.
I 4 mom. ingår en informativ hänvisning till TORI-lagen, där det föreskrivs om enhetlig produktion och användning av statens gemensamma informations- och kommunikationstekniska tjänster. Valtori ska ansvara för de driftstjänster som hänför sig till produktionen av de gemensamma stödtjänster för e-tjänster som avses i den föreslagna lagen på det sätt som föreskrivs i TORI-lagen och TORI-förordningen.
5 §.Användning av stödtjänster vid offentliga uppdrag. I förslaget till 5 § 1 mom. föreskrivs om skyldighet för vissa myndigheter inom den offentliga förvaltningen att använda vissa stödtjänster. Enligt bestämmelsen ska statliga förvaltningsmyndigheter, ämbetsverk, inrättningar och affärsverk använda de stödtjänster som avses i 3 § 1 mom. 1 – 4, 7 och 8 punkten när stödtjänsten är tillgänglig och det serviceavtal för en motsvarande tjänst som anskaffats självständigt har löpt ut, om inte myndigheten av tekniska eller funktionella skäl eller av skäl som hänför sig till kostnadseffektiviteten eller informationssäkerheten nödvändigtvis måste använda andra tjänster i sin verksamhet eller i en del av den. Användningsskyldigheten gäller innehållsmässigt skyldighet att använda servicekanalen, servicedatalagret, servicevyn, tjänsten för identifiering av fysiska personer, meddelandeförmedlingstjänsten samt den samlade förvaltningstjänsten för internetbetalning. Användningsskyldiga som uppräknas är förutom de ovannämnda statliga organisationerna även kommunala myndigheter i fråga om sina lagstadgade uppgifter samt domstolar och andra rättskipningsorgan.
Statliga förvaltningsmyndigheter är de statliga organ som har tillsatts för att sköta förvaltningsuppgifter. Till dem hör myndigheterna inom den centrala statsförvaltningen, dvs. statsrådet och ministerierna samt andra förvaltningsmyndigheter som lyder under statsrådet och har allmän regional behörighet. Statliga organ under de centrala förvaltningsmyndigheterna är länsstyrelserna och distriktsförvaltningsmyndigheterna, t.ex. närings-, trafik- och miljöcentralerna. Som exempel på statliga ämbetsverk och inrättningar kan nämnas statliga forskningsinstitut och forskningscentraler samt expertinrättningar, såsom Meteorologiska institutet, och bland ämbetsverken Konkurrens- och konsumentverket. Statens egentliga förvaltningsorganisation omfattar även de lokala förvaltningsmyndigheterna.
Kommunala myndigheter ska vara användningsskyldiga när de sköter lagstadgade uppgifter. Enligt förslaget till 2 mom. ska kommunala myndigheter ha rätt att använda stödtjänsterna även i sina andra uppgifter. De kommunala myndigheterna är oftast kollegiala kommunala organ, såsom fullmäktige och kommunstyrelsen samt nämnder, direktioner och kommittéer. Kommunala myndigheter och organ är också samkommuners och andra kommunala samarbetsorgans myndigheter och organ. Definitionen av kommunal myndighet är i sista hand beroende av om organet har uppgifter och behörighet som grundar sig på en rättslig norm.
Enligt förslaget till 3 mom. ska även domstolar och andra rättskipningsorgan vara skyldiga att använda stödtjänsterna.
Grunderna för undantag från skyldigheten att använda de gemensamma stödtjänsterna bör med hänsyn till lagens syfte tolkas snävt – undantaget ska vara nödvändigt enligt en objektiv bedömning av de skäl som avses i bestämmelsen. Tekniska och funktionella skäl kan betyda t.ex. att stödtjänsten inte uppfyller sådana väsentliga krav på kvalitet eller andra funktionella krav som användarorganisationen behöver för att sköta sitt uppdrag. Ett funktionellt skäl att inte använda en stödtjänst kan naturligtvis också vara att organisationen inte har något behov av stödtjänsten i sin verksamhet.
Med informationssäkerhetsskäl avses t.ex. behov av särskilt skydd för känsliga personuppgifter eller uppfyllande av kraven på behandling av säkerhetsklassificerat informationsmaterial samt bedömning av huruvida dylika uppgifter kan behandlas i stödtjänsterna och vilka specialarrangemang som eventuellt krävs. Det är t.ex. inte alltid möjligt eller ändamålsenligt att integrera system och systemmiljöer som används i verksamhet som omfattas av användningsskyldigheten i 2 och 3 § i lagen om verksamhet i den offentliga förvaltningens säkerhetsnät (10/2015) och som når upp till hög beredskaps- och säkerhetsnivå med lösningar på lägre informationssäkerhetsnivå. I nämnda verksamhet borde man i regel åtminstone inte enbart använda stödtjänster, t.ex. servicekanalen, då det är fråga om informationsutbyte som förutsätter förhöjd informationssäkerhetsnivå eller hög beredskap. Till exempel i fråga om servicekanalen kan förhöjd informationssäkerhetsnivå uppnås med särskilda arrangemang. I den övriga verksamheten, t.ex. elektroniska tjänster, är även aktörerna enligt säkerhetsnätlagen skyldiga att använda stödtjänsterna när det inte finns någon annan grund för undantag och anslutningen genomförs i enlighet med 17 § så att stödtjänstens eller de elektroniska tjänsternas informationssäkerhet eller funktion inte äventyras.
Kostnadseffektivitet kan tillsammans med funktionsprincipen komma i fråga som grund för undantag från användningsskyldigheten t.ex. då man bedömer användningsskyldigheten i relation till utnyttjandet av riksomfattande och regionala investeringar som redan gjorts. Kostnadseffektivitets- och funktionsskäl kan tala för att man samordnar systemen i stället för att ersätta tidigare lösningar. Bedömningen ska göras med hänsyn till särdragen hos å enda sidan de elektroniska tjänsterna och å andra sidan respektive gemensam stödtjänst för e-tjänster. Till exempel när tjänsten för identifiering av fysiska personer införs är kostnadsbesparingarna för användarorganisationen så betydande att kostnaderna för införandet inte torde kunna utgöra ett hinder för att införa tjänsten. Man måste också beakta att avsikten är att de befintliga samlade förvaltningstjänsterna för identifiering ska upphöra i slutet av 2017, då alla som behöver identifieringstjänster ska ha övergått till den nya tjänsten.
Enligt förslaget till 2 mom. får myndigheter inom den offentliga förvaltningen, självständiga offentligrättsliga inrättningar, riksdagen och dess ämbetsverk, fonder utanför statsbudgeten samt aktörer som genom lag, en med stöd av lag utfärdad förordning eller ett med stöd av lag utfärdat beslut av en statlig förvaltningsmyndighet har tillsatts för att självständigt sköta en offentlig förvaltningsuppgift använda alla stödtjänster för skötsel av en lagstadgad offentlig förvaltningsuppgift. Kommunala myndigheter och kommunernas samarbetsorgan får använda alla stödtjänster även i sina andra uppgifter. De stödtjänster som de har rätt att använda omfattar också de stödtjänster som det föreskrivs om i förordning som finansministeriet utfärdat med stöd av 3 § 2 mom.
I bestämmelsen avses med offentliga förvaltningsmyndigheter inte bara de aktörer som räknas upp i 1 mom. utan också andra offentliga förvaltningsmyndigheter såsom myndigheterna i landskapet Åland. Med självständiga offentligrättsliga inrättningar avses t.ex. Folkpensionsanstalten, Finlands Bank, universiteten, Arbetshälsoinstitutet och Keva.
Med aktörer som genom lag, en med stöd av lag utfärdad förordning eller ett med stöd av lag utfärdat beslut av en statlig förvaltningsmyndighet har tillsatts för skötsel av en offentlig förvaltningsuppgift avses bl.a. yrkeshögskolorna, Pensionsskyddscentralen samt Lantbruksföretagarnas pensionsanstalt. Dessa aktörer kan använda alla stödtjänster när de sköter lagstadgade offentliga förvaltningsuppgifter. I 8 § bestäms om användningen i privata uppgifter.
Enligt förslaget till 3 mom. får de som med stöd av ett avtal som baserar sig på lag eller på andra grunder än de som avses i 2 mom. sköter ett offentligt uppdrag i detta uppdrag använda de andra stödtjänsterna., utom identifieringstjänsterna och de samlade förvaltningstjänsterna för internetbetalning samt meddelandeförmedlingstjänst. När det gäller dessa tjänster beslutar den serviceproducent som producerar stödtjänsten i fråga om tillhandahållandet av tjänsten till de aktörer som avses i detta moment. Avsikten är att ange mera vidsträckt rätt än i 1 och 2 mom. för aktörer med anknytning till den offentliga förvaltningen att i regel använda stödtjänsterna i dessa offentliga uppdrag. I fråga om vissa stödtjänster har det emellertid ansetts nödvändigt att begränsa användningsrätten t.ex. med tanke på ett kostnadseffektivt utnyttjande av resurserna för stödtjänsterna, rättvist bemötande och konkurrenssynpunkter. Sådana fall som avses i momentet är t.ex. när lagen möjliggör att offentliga uppdrag sköts av en privat aktör med stöd av ett avtal om köpta tjänster eller servicesedelstjänster som ingåtts med en offentlig förvaltningsmyndighet. Enligt den föreslagna bestämmelsen ska serviceproducenten av stödtjänsten i fråga besluta om rätt för sådana aktörer att använda tjänsten för identifiering av fysiska personer, den samlade förvaltningstjänsten för internetbetalning samt meddelandeförmedlingstjänsten.
När beslut om användningsrätt fattas i enlighet med 3 mom. ska man beakta allmänna förvaltningsrättsliga principer, lagens syfte samt t.ex. karaktären av den sökandes offentliga uppdrag och vilken betydelse den tänkta användningen av stödtjänsten har för skötseln av den sökandes offentliga uppdrag och med tanke på rättvisa verksamhetsbetingelser för privata tjänster som eventuellt motsvarar stödtjänsten. Dessutom måste man beakta de tillbudsstående resurserna för produktion av stödtjänster, den tänkta användningens betydelse för tillgången och kvaliteten på offentliga tjänster, tjänsternas interoperabilitet samt den offentliga förvaltningens verksamhet och effektivitet.
6 §.Användning av servicedatalagret och servicevyn. I paragrafen föreskrivs särskilt om innehållet i skyldigheten att använda stödtjänster för att göra uppgifter tillgängliga.
Enligt 1 mom. ska en användarorganisation som är skyldig att använda stödtjänster göra offentliga uppgifter om de tjänster den producerar och om de tjänster som den ansvarar för att ordna tillgängliga i servicedatalagret. Detsamma gäller enligt bestämmelsen en användarorganisation som har rätt att använda servicedatalagret, om den beslutar att utnyttja sin rätt. Med beskrivning av uppgifter som den ansvarar för att ordna avses t.ex. att för beskrivningen av tjänster som kommunen inom ramen för sina lagstadgade uppgifter producerar i form av köpta tjänster ansvarar den kommunala myndighet som ansvarar för att ordna tjänsten.
Delegationen för informationsförvaltningen inom den offentliga förvaltningen (JUHTA), som verkar med stöd av lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen, har meddelat rekommendation JHS 183 Julkisen hallinnon palvelujen tietomalli ja ryhmittely verkkopalveluissa. Utifrån rekommendationen har det utarbetats en datamodell för servicedatalagret, som ska iakttas när uppgifter beskrivs i servicedatalagret. I servicedatalagret beskrivs bl.a. serviceproducentorganisationen, offentliga uppgifter om tjänsterna såsom målgrupper, pris och användningsvillkor samt servicekanalerna för tjänsterna, såsom elektroniska tjänster, servicepunkter och telefontjänster jämte uppgifter om öppettider och avgifter. Uppgifterna i servicedatalagret ska vara öppet tillgängliga för alla och kunna utnyttjas via ett öppet gränssnitt. Uppgifterna kan utnyttjas t.ex. i servicevyn, där användaren kan söka uppgifter om tjänster i servicedatalagret.
Enligt 2 mom. ska en användarorganisation som är skyldig att använda stödtjänster göra sådana uppgifter om fysiska personer och organisationer som införts i dess register tillgängliga i servicevyn för dem som uppgifterna gäller och för deras behöriga företrädare. Denna skyldighet gäller uppgifter som användarorganisationen även annars via datanätet gör tillgängliga för dem som uppgifterna gäller samt uppgifter som är till allmän nytta för dem som uppgifterna gäller när den sköter sina ärenden elektroniskt. Detsamma gäller en användarorganisation som har rätt att använda servicevyn, om den beslutar att utnyttja sin rätt.
Avsikten är inte att alla uppgifter i användarorganisationernas register ska göras tillgängliga i servicevyn – endast vissa uppgifter som är viktiga för användaren. Avsikten är inte heller att göra sådana personuppgifter tillgängliga i servicevyn vilkas utlämnande till den som uppgifterna gäller förutsätter prövning enligt lagstiftningen.
Enligt 3 mom. ska användarorganisationen besluta vilka registeruppgifter som görs tillgängliga i servicevyn efter att ha hört BRC. BRC ska inte ha rätt att kräva att en användarorganisation i egenskap av registeransvarig ska göra uppgifter tillgängliga i servicevyn i större utsträckning än vad den själv tolkar att den är förpliktad till enligt bestämmelsen. BRC ska ändå ha rätt att besluta om begränsning av tillhandahållandet av de uppgifter som avses i 1 och 2 mom., om en begränsning behövs med hänsyn till stödtjänstens karaktär. Det kan t.ex. vara fråga om att användarorganisationen vill göra uppgifter tillgängliga i servicedatalagret eller servicevyn i alltför stor utsträckning i förhållande till stödtjänstens karaktär. I övrigt föreskrivs det om förbud mot eller förhindrande av användning av stödtjänster i 8 § 4 mom.
7 §.Beslut som gäller skyldigheten att använda stödtjänster. I paragrafen föreskrivs om förfarandet när beslut fattas om användningen av stödtjänster.
Enligt paragrafen ska den som är skyldig att använda en stödtjänst för att få avvika från användningsskyldigheten ansöka om undantag från skyldigheten hos den serviceproducent som producerar stödtjänsten i fråga. Serviceproducenten ska innan den meddelar ett avslagsbeslut ge sökanden möjlighet att föra ärendet till finansministeriet för avgörande. Finansministeriet kan också på eget initiativ eller på begäran av serviceproducenten överta avgörandet av ett ärende, om ärendet är av betydelse för den allmänna styrningen enligt denna lag eller för styrningen av informationsförvaltningen inom den offentliga förvaltningen. Serviceproducenten ska i praktiken hålla finansminister informerat om ansökningar om undantag, för att finansministeriet vid behov ska kunna överta avgörandet av ett ärende.
Bestämmelser om användningsskyldigheten och användningsskyldiga användarorganisationer finns i förslaget till 5 § 1 mom. Användningsskyldigheten gäller de stödtjänster som avses i 3 § 1 mom. 1–4, 7 och 8 punkten, dvs. servicekanalen, servicedatalagret, servicevyn, tjänsten för identifiering av fysiska personer, meddelandeförmedlingstjänsten samt den samlade förvaltningstjänsten för internetbetalning.
8 §.Privata aktörers användningsrätt och förbud mot användning. I paragrafen föreskrivs om rätt för privata aktörer att använda stödtjänsterna samt om möjligheten att förbjuda användningen av en stödtjänst. Användningsrätten enligt förslaget till 5 § gäller endast skötseln av offentliga uppdrag. Organisationer som också bedriver privat näringsverksamhet kan även i denna verksamhet utnyttja stödtjänsterna i enlighet med 8 §.
I 1 mom. föreskrivs om rätt för privata sammanslutningar, stiftelser och näringsidkare att använda den nationella servicekanalen för att överföra information. På grund av användningsskyldigheten i förslaget till 5 § vore servicekanalen i princip den enda möjligheten för en aktör i den privata sektorn att se till att information överförs från gränssnittet med den offentliga förvaltningen. Det är motiverat att definiera gränssnittet för den offentliga förvaltningens register och tjänster på i huvudsak ett enda sätt även i riktning mot privata aktörer, eftersom det förenklar och underlättar användbarheten hos myndigheternas uppgifter samt underlättar umgänget med myndigheterna. Med hjälp av lösningen kan privata aktörers tillträde till olika myndigheters informationskällor förenhetligas. Genom att göra det möjligt för privata aktörer att använda servicekanalen även i andra situationer är aktörerna i den privata sektorn inte tvungna att bygga upp flera olika gränssnitt för informationsöverföring, åtminstone inte på grund av servicekanalen.
Enligt den föreslagna 2 mom. 1 punkten ska andra privata sammanslutningar, stiftelser och näringsidkare som tillhandahåller tjänster till allmänheten kunna använda servicedatalagret för tillhandahållande av uppgifter som gäller deras tjänster.
Enligt den föreslagna 2 punkten ska privata aktörer också kunna använda servicevyer och behörighetstjänsten om de har rätt att behandla sina kunders personbeteckning eller någon annan identifieringskod som behövs vid begäran om eller visande av uppgifter när de tillhandahåller sina tjänster. I regel ska uppgifter i enlighet med 15 § sökas på personbeteckningen, men också på t.ex. FO-nummer i servicevyn för företag. Det är också möjligt att nya söksätt utvecklas i framtiden, varför det är ändamålsenligt att bestämmelsen tillåter ett visst spelrum.
I förslaget till 3 mom. föreskrivs om bemyndigande för finansministeriet att genom förordning föreskriva om rätt för de privata aktörer som avses i paragrafen att använda de stödtjänster som avses i 3 § 2 mom. – dvs. de stödtjänster beträffande vilka det också föreskrivs om produktionsuppgiften genom förordning av finansministeriet i enlighet med 3 § 2 mom.
I förslaget till 4 mom. föreskrivs om möjlighet för BRC att genom sitt besluta förbjuda eller helt eller delvis förhindra att en stödtjänst används av en privat sammanslutning, stiftelse eller näringsidkare på vissa på förhand fastställda grunder.
Enligt den föreslagna 4 mom. 1 punkten kan användningen av en stödtjänst förbjudas eller helt eller delvis förhindras, om en privat sammanslutnings eller näringsidkares informationssystem av skäl som hänför sig till äventyrande av informationssäkerheten inte kan anslutas till stödtjänsten. Bestämmelser om krav på stödtjänsterna och deras användning, bl.a. i anslutning till informationssäkerheten, ingår i förslaget till 4 kap.
Enligt den föreslagna 4 mom. 2 punkten kan användningen av en stödtjänst förbjudas eller helt eller delvis förhindras, om en privat sammanslutning eller näringsidkare inte ser till att de uppgifter som den tillhandahåller i servicedatalagret eller servicevyn är riktiga.
Enligt den föreslagna 4 mom. 3 punkten kan användningen av en stödtjänst förbjudas eller helt eller delvis förhindras, om polis- eller åklagarmyndigheten har begärt att en privat sammanslutnings eller näringsidkares användning av stödtjänsten ska förhindras för att det finns sannolika skäl att misstänka att stödtjänsten används för att begå brott. Det kan t.ex. vara fråga om att näringsidkaren använder servicedatalagret för att tillhandahålla uppgifter i bedrägligt eller annars kriminellt syfte.
Enligt den föreslagna 4 mom. 4 punkten kan användningen av en stödtjänst förbjudas eller helt eller delvis förhindras, om en privat sammanslutnings eller näringsidkares tillhandahållande av uppgifter i servicedatalagret eller servicevyn på sannolika skäl kan anses kränka någons rätt på ett sätt som grundar skadeståndsansvar och den vars rätt kan anses ha blivit kränkt begär att användningen förbjuds och den som förbudet gäller, inte inom en tidsfrist på två veckor anger en godtagbar grund för att hålla uppgifterna tillgängliga. Det kan vara fråga om ett påstående som gäller t.ex. immaterialrätt eller skydd för personuppgifter. Om det är fråga om en sak som gjorts stridig eller brottsligt förfarande, blir i sista hand grunderna för förbjuden användning i 3 och 5 punkten tillämpliga.
Enligt den föreslagna 4 mom. 5 punkten kan användningen av en stödtjänst förbjudas eller helt eller delvis förhindras, om en privat sammanslutnings eller näringsidkares tillhandahållande av uppgift eller användning av stödtjänster har förbjudits av en domstol genom ett lagakraftvunna beslut.
3 kap. Behandling av personuppgifter och andra uppgifter inom tjänsteproduktionen
9 §.Informationskällor som regelbundet utnyttjas inom tjänsteproduktionen. I paragrafen föreskrivs om informationskällor som kan utnyttjas för produktionen av gemensamma stödtjänster för e-tjänster. För att fullgöra sina uppgifter enligt den föreslagna lagen har BRC rätt att genom en teknisk anslutning behandla de uppgifter som preciseras i fråga om varje informationssystem som nämns i paragrafen på det sätt som föreskrivs om behandlingen av uppgifter i förslaget till 3 kap. För överföringen av uppgifter används servicekanalen, om det inte av tekniska eller funktionella skäl eller informationssäkerhetsskäl är nödvändigt att använda en annan tjänst.
BRC ska ha möjlighet att utnyttja även andra register vid produktionen av stödtjänster i enlighet med den lagstiftning som gäller dessa register. Register som eventuellt kan utnyttjas i behörighetstjänsten är t.ex. näringsförbudsregistret samt konkurs- och företagssaneringsregistret åtminstone så lång som uppgifter i dessa register inte går att få utan dröjsmål ur t.ex. handelsregistret.
Begreppen basdatalager, basinformationssystem och basregister definieras inte i lagstiftningen. Basregister innehåller information om samhällets centrala basenheter och deras egenskaper samt individualiserar dessa basenheter, såsom personer, organisationer, stiftelser och fastigheter. Basregistren erbjuder tjänster och prestationer som gäller användning och förvaltning av uppgifter i anslutning till olika samhällsfunktioner. Utmärkande för basregistren är att det föreskrivs om den i en lag eller en förordning. Till dessa uppgifter hänför sig också s.k. offentlig tillförlitlighet eller någon motsvarande egenskap som garanterar att uppgifterna är tillförlitliga. Utifrån uppgifter i basregistren kan man också träffa administrativa avgöranden som påverkar individens rättigheter och skyldigheter. De basregister som uppräknas i paragrafen spelar en viktig roll vid produktionen av stödtjänster.
Enligt den föreslagna 1 punkten kan inom tjänsteproduktionen i fråga om befolkningsdatasystemet enligt lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster behandlas uppgifter om personers namn, personbeteckning, elektroniska kommunikationskod, medborgarskap, kontaktspråk, modersmål, dödsdag, intressebevakning, begränsning av handlingsbehörigheten, intressebevakningsfullmakt och vårdnad om barn samt kontaktuppgifter och uppgifter om spärrmarkering. Kontaktuppgifter som kan behandlas är t.ex. hemkommun, boningsort, kontaktadress och e-postadress. Dessa uppgifter behövs t.ex. för att personifiera servicevyn enligt användarens boningsort samt för att förmedla meddelanden i meddelandeförmedlingstjänsten. Det är nödvändigt att behandla namn, personbeteckning och uppgifter om personen är i liv i alla gemensamma elektroniska tjänster, där det är nödvändigt att tillhandahålla en person eller användarorganisation uppgifter om personen eller den person denne företrädare. I behörighetstjänsten är det dessutom nödvändigt att behandla sådana uppgifter om intressebevakning, begränsning av handlingsbehörigheten samt vårdnad om barn som innehåller all information som kan vara av betydelse för att konstatera nämnda behörigheter, såsom föräldrarnas och barnens namn och personbeteckningar, uppgifter om omhändertagande samt uppgifter om omyndighet, intressebevakningens omfattning samt uppgifter som behövs för att individualisera intressebevakaren, såsom namn och personbeteckning.
Enligt den föreslagna 2 punkten kan inom tjänsteproduktionen i fråga om registret över förmynderskapsärenden enligt lagen om förmyndarverksamhet (442/1999) behandlas uppgifter om intressebevakning för personer, begränsning av personers handlingsbehörighet och intressebevakningsfullmakter. I behörighetstjänsten är det nödvändigt att behandla sådana uppgifter om intressebevakning, begränsning av handlingsbehörigheten samt intressebevakningsfullmakter som innehåller all information som kan vara av betydelse för att konstatera nämnda behörigheter, såsom uppgifter om innehållet i begränsningen av behörigheten, omyndighet, intressebevakningens omfattning, intressebevakaren samt intressebevakningsfullmakten och den befullmäktigade.
I de föreslagna 3 – 5 punkterna föreskrivs om rätt att i tjänsteproduktionen i fråga om föreningsregistret, handelsregistret, företags- och organisationsdatasystemet och stiftelseregistret behandla uppgifter om ansvariga personer. Tillgängliga uppgifter om ansvariga personer ska kunna behandlas i behörighetstjänsten. Till de uppgifter som kan behandlas hör, i den mån uppgifterna är tillgängliga, namn och personbeteckning för personer som ensamma eller tillsammans med någon annan person har rätt att företräda den juridiska personen samt eventuellt tillgängliga uppgifter om förträdanderättens omfattning och begränsningar. Exempelvis enligt 48 § 2 mom. i föreningslagen (503/1989) ska till föreningsregistret anmälas fullständigt namn, adress, hemkommun och personbeteckning i fråga om ordföranden i föreningens styrelse och namntecknarna. Föreningens styrelse i sin helhet är dock ansvarig för föreningens förvaltning. För närvarande får man således inte uppgifter om en förenings samtliga ansvariga personer ur föreningsregistret. Behörighetstjänsten ska utnyttja tillbudsstående uppgifter. Justitieministeriet bereder ett förslag till ändring av föreningslagen och en sak som varit framme är att ändra föreningslagen så att alla medlemmar i föreningens styrelse kan antecknas i föreningsregistret. Avsikten är att ändringarna ska träda i kraft under 2016.
10 §.Registrering av fullmakter och andra viljeyttringar. I paragrafen föreskrivs om det nya register som ska föras för BRC:s produktion av behörighetstjänsten samt om förfarandet när fullmakter och andra viljeyttringar förs in i registret samt om sammankoppling av information om innehållet i en fullmakt eller annan viljeyttring och den som avgett den och om säkerställande av uppgiftshelhetens integritet.
Med stöd av förslaget till 1 mom. för BRC i syfte att tillhandahålla behörighetstjänsten ett register över sådana fullmakter att sköta ärenden och över andra viljeyttringar som avgetts av fysiska personer och på sammanslutningars vägnar. Viljeyttringar gäller en noga avgränsad behörighet och hänför sig till en viss verksamhet eller händelse – blankofullmakter ska inte kunna avges i tjänsten.
I förslaget till 1 mom. föreskrivs dessutom att behörighetstjänsten kan förmedla även andra myndigheters registrerade uppgifter om fullmakter och andra viljeyttringar, om den myndighet som registrerat dessa uppgifter har gett BRC tillstånd at förmedla uppgifterna och verksamheten inte äventyrar tillförlitligheten hos de uppgifter som förmedlas via behörighetstjänsten. I fråga om andra myndigheters register över viljeyttringar baserar sig registeransvarigheten på bestämmelserna om dessa myndigheters verksamhet, och ansvaret för registret och registreringen av viljeyttringar stannar hos myndigheten i fråga. BRC ansvarar endast för att den förmedlingstjänst som ingår i behörighetstjänsten fungerar. Möjligheterna att använda sektorspecifika viljeyttringar som avgetts t.ex. inom social- och hälsovården är ofta begränsad till dem som är verksamma på det nämnda området och det är inte möjligt att utnyttja viljeyttringarna mera allmänt. Syftet med denna punkt är att göra det möjligt att få centraliserad tillgång till dessa uppgifter via behörighetstjänsten.
I 2 mom. föreskrivs om förutsättningarna för registrering av viljeyttringar som avses i 1 mom. och om det förfarande som ska iakttas vid registreringen.
Innan en viljeyttring avges ska behörighetstjänsten identifiera den som avger viljeyttringen på ett tillförlitligt sätt med hjälp av antingen tjänsten för identifiering av fysiska personer eller med någon annan sådan metod för identifiering som är informationssäker och bevislig. Strävan med möjligheten att utnyttja även andra identifieringsmetoder än tjänsten för identifiering av fysiska personer är att man när systemet byggs upp och utvecklas på ett så smidigt sätt som möjligt ska kunna välja sådana verksamhetsformer som å ena sidan befrämjar att systemet har så många användare som möjligt t.ex. bland organisationerna, och å andra sidan garanterar tillförlitlig identifiering samt nödvändig informationssäkerhet och bevislighet. Regleringen motsvarar lösningen i 9 a kap. 1 § i jordabalken, som gäller förutsättningarna för inloggning i ett elektroniskt ärendehanteringssystem för fastighetsköp.
Dessutom granskar behörighetstjänsten i registren enligt 9 § uppgifter om fullmaktsgivarens behörighet samt eventuell begränsning av handlingsbehörigheten. Vid registreringen av en viljeyttring kan man också utnyttja uppgifterna i det register över viljeyttringar som BRC för med stöd av 1 mom., om en fullmakt som ingår i registret innehåller rätt att vidarebefullmäktiga eller avge andra viljeyttringar på huvudmannens vägnar. I oklara fall ska det inte vara möjligt att ge fullmakt. Om behörigheten är delad (t.ex. firmateckningsrätt tillsammans), ska registrering av fullmakten kräva bägge behöriga personers godkännande.
Enligt förslaget till 3 mom. godkänner BRC, efter att ha hört finansministeriet och Kommunikationsverket, de andra metoder för identifiering som avses i 3 mom. än tjänsten för identifiering av fysiska personer. BRC ska också se till att avgiftsfri information om användningen av godkända metoder finns tillgänglig via det allmänna datanätet. Bestämmelsen motsvarar regleringen i 9 a kap. 1 § i jordabalken, enligt vilken Lantmäteriverket godkänner efter att ha hört jord- och skogsbruksministeriet samt Kommunikationsverket de lösningar som används i nättjänsten för fastighetsköp samt ser till att avgiftsfri information om användningen av godkända metoder finns tillgängliga i ett allmänt datanät.
Enligt förslaget till 4 mom. ska BRC sörja för integriteten hos innehållet i den registrerade viljeyttringen och för att godkännandet av viljeyttringen och den identifiering av personen som föregår godkännande kan kopplas samman med viljeyttringens innehåll. Det är fråga om en slags lösning för elektronisk signering i ett slutet system, där uppgiften om identiteten hos den som avger viljeyttringen kopplas samman med viljeyttringen och denna uppgiftshelhets integritet säkerställs och registreras samt förvaras på det sätt som beskrivs i 14 §.
11 §.Registrering av samtycke som gäller elektroniskt delgivningsförfarande och tillförlitligheten hos en registeranteckning. I paragrafen föreskrivs om registrering av samtycke som gäller delgivningsförfarandet samt om utnyttjande av denna registrerade uppgift hos myndigheterna. Enligt lagen om elektronisk kommunikation i myndigheternas verksamhet får en handling också delges som ett elektroniskt meddelande med partens samtycke. Enligt förarbetena till lagen ställs inga formkrav för samtycket. Det är viktigt att den som ger samtycke förstår att delgivningen kan skickas elektroniskt till honom eller henne. Samtycket ska kunna avse ett enskilt ärende eller vara mer allmänt. Samtycket kan ges t.ex. så att det på en elektronisk blankett finns en särskild punkt där man kan kryssa för önskvärt delgivningssätt eller ändra det delgivningssätt som man tidigare har valt (RP 111/2010 rd). Det samtyckesregister som avses i paragrafen ska innehålla uppgifter om användarnas allmänna samtycken som gäller elektronisk delgivning av myndighetsärenden.
Enligt förslaget till 1 mom. ska serviceproducenten i fråga om en meddelandeförmedlingstjänst för elektronisk delgivning i anslutning till myndighetsverksamhet föra ett register över de allmänna samtycken som användarna gett i fråga om elektroniskt delgivningsförfarande. Registeransvarig är med stöd av 27 § Valtori tills det blir BRC:s uppgift att producera meddelandeförmedlingstjänsten.
Det elektroniska medborgarkontot har funnits sedan 2011. Det finns inga lagbestämmelser om hantering av den fullmakt som förutsätts för delgivning via medborgarkontot. Enligt användarvillkoren för medborgarkontot ger användaren när han eller hon godkänner användarvillkoren för medborgarkontot sitt allmänna samtycke till att de myndigheter som är anslutna till medborgarkontot får skicka honom eller henne delgivningar på elektronisk väg till medborgarkontot. Användaren ska godkänna användarvillkoren för medborgarkontot innan han eller hon kan ta i bruk kontot. När medborgarkontot skapades ansåg man att personens allmänna samtycke till att handlingar skickas på elektronisk väg är tillräckligt. Samtycket omfattar också mottagande av delgivning från myndigheter som ansluter sig till medborgarkontot efter att medborgaren redan tagit medborgarkontot i bruk. Innan en myndighet ansluter sig till medborgarkontot måste den emellertid i praktiken utreda om det dessutom behövs särskilt samtycke för att skicka handlingar via medborgarkontot. Om särskilt samtycke behövs måste myndigheten kunna fråga efter samtycke i sin egen elektroniska tjänst innan delgivningen skickas via medborgarkontot. I praktiken har detta lett till olika tolkningar om möjligheten att använda elektronisk delgivning via medborgarkontot.
I meddelandeförmedlingstjänsten ska användare kunna ge allmänt samtycke till elektronisk delgivning. När användaren tar den elektroniska meddelandeförmedlingstjänsten i bruk ska han eller hon uppge t.ex. e-postadress, telefonnummer eller bägge, dit användaren skickas ett notifieringsmeddelande, när han eller hon har fått en delgivning i tjänsten. Notifieringsmeddelandet kan också skickas på något annat sätt. Systemet uppmanar regelbundet användaren att kontrollera att kontaktuppgifterna är ajour. Påminnelsen om att hålla kontaktuppgifterna ajour kan synas t.ex. i servicevyn. Användaren kan när som helst återta sitt samtycke till elektronisk delgivning, varvid han eller hon får delgivningarna per post. Innan användaren ger samtycke till elektronisk delgivning informeras han eller hon om samtyckets innebörd samt om att det är viktigt att se till kontaktuppgifterna för impulsmeddelanden är ajour.
Enligt förslaget till 2 mom. ska vid registreringen av samtycken iakttas samma förfarande som vid registrering av fullmakter och viljeyttringar. Registreringen av samtycke kan också genomföras med samma tekniska lösning. Bestämmelser om behandling och utlämnande av uppgifter om samtycke ingår i 12 - 14 §.
Enligt förslaget till 3 mom. ska myndigheten vid delgivning kunna lita på en uppgift som införts i det register som avses i 1 mom. Härav följer att myndigheten i enlighet med samtycket kan delge en handling elektroniskt, om det inte med stöd av förvaltningslagen eller lagen om elektronisk kommunikation i myndigheternas verksamhet eller någon annan lag har kommit till dess kännedom att delgivningen ska verkställas på något annat sätt. För att det ska stå klart att enbart samtycke inte medför rätt till elektronisk delgivning, konstateras i slutet av bestämmelsen att i fråga om sätten för delgivning gäller särskilda bestämmelser. Myndigheten ska vara på det klara med hur dess handlingar kan delges enligt lagen.
Den myndighet som delger en handling beslutar utifrån uppgifterna i samtyckesregistret och uppgifter som den själv har samt bestämmelserna om delgivningsförfarandet, huruvida den vill att delgivningen till en fysisk person eller ett företag ska verkställas elektroniskt med hjälp av den elektroniska meddelandeförmedlingstjänsten eller per post via meddelandeförmedlingstjänsten. Postadressen kan enligt myndighetens val i meddelandeförmedlingstjänsten vara antingen hemkommunen och boningsorten enligt befolkningsdatasystemet, uppgifterna i postens adressregister eller någon annan som myndigheten själv definierat, t.ex. en kontaktadress som personen gett myndigheten. Om elektronisk delgivning är förbjuden eller belagd med strängare krav i specialbestämmelser om en viss myndighets delgivning, kan denna myndighet inte nödvändigtvis utnyttja uppgifterna i det samtyckesregister som avses i paragrafen och elektronisk delgivning.
Handlingar som delgetts elektroniskt med hjälp av meddelandeförmedlingstjänsten anses ha kommit till användarens kännedom på det sätt som föreskrivs om vanlig och bevislig delgivning i 18 och 19 § i lagen om elektronisk kommunikation i myndigheternas verksamhet. Om någon annan lag som ska tillämpas på en enstaka delgivning innehåller tidsfrister som avviker från den nämnda lagen, ska den delgivande myndigheten iaktta dem.
Meddelandeförmedlingstjänsten skickar myndigheten en maskinell kvittering när meddelandet har levererats till användarens konto. Även medborgaren har motsvarande rätt att få kvittering när han eller hon levererar ett meddelande till en myndighet. Om den serviceproducent som förvaltar meddelandeförmedlingstjänsten får kännedom om att användaren uppenbarligen inte har fått en delgivning, ska den meddela användarorganisationen att det är sannolikt att meddelandet inte har nått fram. Bevis på att meddelandet inte nått fram kan vara t.ex. att det telefonnummer eller den e-postadress som parten uppgett för medborgarkontot inte längre är i användning och att inte går att underrätta parten om att ett meddelande har levererats till medborgarkontot.
När myndigheten väljer bevislig elektronisk delgivning, ska parten kvittera att han eller hon tagit emot delgivningen innan meddelandet öppnas. Meddelandeförmedlingstjänsten skickar myndigheten en maskinell kvittering på mottagarens kvittering och mottagningstiden. En handling anses ha delgetts parten bevisligen då han eller hon har kvitterat mottagandet. Om handlingen inte har hämtats i meddelandeförmedlingstjänsten inom sju dagar i enlighet med 18 § 3 mom. i lagen om elektronisk kommunikation i myndigheternas verksamhet, ska meddelandeförmedlingstjänsten tillhandahålla myndigheten denna information, som ska delge handlingen bevisligen på något annat sätt. Därefter kan man t.ex. inleda delgivning per post, där man också utnyttjar meddelandeförmedlingstjänstens centraliserade funktion för att skicka brevpost. Det är möjligt att på förhand ange myndighets- och/eller ärendespecifikt hur man ska gå till väga om elektronisk delgivning inte har nått fram.
12 §.Behandling av uppgifter inom tjänsteproduktionen. I paragrafen föreskrivs om serviceproducenters rätt att behandla personuppgifter och andra uppgifter för att producera de gemensamma stödtjänster för e-tjänster som de tillhandahåller. I paragrafen föreskrivs om behandling och utlämnande av uppgifter i samband med serviceproduktion. I förslaget till 13 § föreskrivs om skyldighet att bevara vissa uppgifter och i 14 § om utlämnande av uppgifter som registrerats och bevarats om användningen av en tjänst efter att tjänsten producerats, dvs. det egentliga tillhandahållandet av stödtjänsten.
Enligt 1 mom. har BRC rätt att behandla personuppgifter och andra uppgifter som avses i 9 § för att producera och utveckla stödtjänster som den svarar för. I andra stödtjänster än dem som BRC producerar finns det i princip inget behov av att behandla uppgifter som avses i 9 §. Om det finns ett behov kan det bedömas och avtalas särskilt med stöd av de bestämmelser som gäller respektive basregister.
Omfattningen av BRC:s behandling av uppgifter som avses i 9 § bestäms på allmän nivå av 9 §, av beskrivningen av stödtjänsten i 3 § samt av den föreslagna paragrafens bestämmelser om utlämnande av uppgifter i samband med att tjänsten tillhandahålls.
Enligt förslaget till 2 mom. har alla serviceproducenter, även BRC, rätt att behandla uppgifter som registrerats om användningen av dess stödtjänst, i sådan utsträckning och så länge som det är nödvändigt för att verifiera uppgiftsbehandlingen eller annars för att producera, tillhandahålla, förvalta och utveckla en stödtjänst som den svarar för samt för att trygga tjänstens funktion och informationssäkerhet. I förslaget till 13 § föreskrivs särskilt om skyldigheten att bevara uppgifter som registreras om användningen av vissa stödtjänster.
Det är inte möjligt att på förhand fastställa förvaringstiden för uppgifter som registrerats om användningen av en stödtjänst. Av denna orsak betonas i bestämmelsen att de uppgifter som avses i bestämmelsen ska avföras ur registret så snart det inte längre finns någon i bestämmelsen avsedd grund för behandlingen. Dessutom ska grunden och behovet av behandling bedömas minst vart femte år, om inte något annat följer av lag. Bestämmelsens slutdel motsvarar det som föreskrivs om känsliga personuppgifter i 12 § 2 mom. i personuppgiftslagen.
Som exempel på behandling av uppgifter för att producera en tjänst kan nämnas hur uppgifter om en persons val registreras i servicevyn. Efter att personen identifierat sig kan han eller hon i servicevyn söka efter sådana uppgifter om sig i användarorganisationens register som definierats så att de kan visas i servicevyn. Servicevyn kan registrera uppgifter om en persons val så att följande gång ser personen de uppgifter som finns i samma organisationers register enligt de val av uppgifter i servicevyn som registrerats för personens del. De uppgifter som visas endast registreras av servicevyn endast under användarens session, och de söks fram ur användarorganisationens register i samband med inloggningen i tjänsten. Med tanke på informationssäkerheten och verifieringen av uppgiftsbehandlingen är det däremot nödvändigt att bevara uppgifter som registrerats om användningen av t.ex. behörighetstjänsten en längre tid – beroende på fullmaktsuppgiftens användningsändamål. Med beaktande av lagens bestämmelser fastställer serviceproducenten förvaringstiden eller bedömer den minst vart femte år. Serviceproducenten fastställer också vilka uppgifter som eventuellt måste arkiveras permanent i syfte att klarlägga om behandlingen varit korrekt.
Enligt förslaget till 3 mom. har BRC vid tillhandahållande av tjänsten för identifiering av fysiska personer rätt att till den användarorganisation som förvaltar den elektroniska tjänst som en person använder lämna ut uppgifter om personens namn, personbeteckning och elektroniska kommunikationskod, om användarorganisationen enligt lag har rätt att behandla dessa uppgifter. Samtidigt ska BRC kunna lämna ut även andra personuppgifter om personen som finns i befolkningsdatasystemet och som användarorganisationen har rätt att få. Bestämmelser om det förfarande som ska iakttas när uppgifter utlämnas finns i 4 kap. och 50 § i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster, om inte något annat följer av t.ex. en EU-skyldighet eller internationell skyldighet att lämna ut uppgifter. När uppgifter utlämnas måste man också beakta t.ex. spärrmarkeringar i befolkningsdatasystemet.
I 3 mom. bestäms om utlämnande av personbeteckning på ett sätt som motsvarar 43 § 1 mom. i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster. I 43 § 2 mom. i den lagen begränsas utlämnandet av elektronisk kommunikationskod så att den får användas endast som en uppgift som identifierar innehavaren av ett certifikat i samband med produktion av tjänster eller prestationer som baserar sig på användningen av certifikat som BRC beviljat eller som en uppgift som identifierar innehavaren av ett annat certifikat som utfärdats av en i Finland etablerad certifikatutfärdare.
I samband med att tjänsten för identifiering av fysiska personer identifierar en person ska personen underrättas om att identifieringen är i kraft även när han eller hon förflyttar sig till tjänster som tillhandahålls av användarorganisationer som utnyttjar identifieringstjänsten. Dessutom ska personen i samband med identifieringen särskilt informeras om att s.k. anonym kommunikation inte är möjligt efter identifieringen under samma session och om personen har behov av att kommunicera anonymt ska han eller hon kontakta myndigheten på något annat sätt t.ex. genom att inleda en ny nätverksavsökning. En person kan ha behov av anonym kommunikation t.ex. när han eller hon ber om allmänna råd eller vill läsa myndighetens offentliga handlingar.
Enligt 4 mom. har BRC vid tillhandahållandet av behörighetstjänsten rätt att, utifrån de uppgifter som gäller en persons handlingsbehörighet och behörighet och som sökts fram i de informationssystem inom den offentliga förvaltningen som avses i 9 § och utifrån det register över fullmakter och viljeyttringar som BRC förvaltar med stöd av 10 § 1 mom., för användarorganisationen sammankoppla och till den lämna ut nödvändiga uppgifter på påvisande av en begräsning av handlingsbehörigheten eller en befogenhet.
Även förmedling till användarorganisationen av uppgifter om viljeyttringar som en annan myndighet registrerat förutsätter att uppgiften är nödvändig för att påvisa handlingsbehörighet eller befogenhet i samband med kommunikationen. Bedömningen ska till denna del göras av den myndighet som är registeransvarig för nämnda viljeyttringar.
Behörighetstjänsten fastställer inte på användarorganisationens vägnar vem som med stöd av olika lagar har rätt att sköta ärenden för någon annans räkning och vilken slags fullmakt vem ska ha för en viss ärendetransaktion. Användarorganisationen ansvarar för att fråga om den förträdanderätt eller fullmakt eller någon annan viljeyttring, såsom samtycke, som behövs för tjänsten.
Enligt förslaget till 5 mom. har serviceproducenten vid tillhandahållandet av meddelandeförmedlingstjänsten rätt att till användarorganisationen ur det register som avses i 11 § 1 mom. lämna ut uppgifter som är nödvändiga för att verkställa delgivning och uppgifter som behövs för att verifiera delgivning som skett med hjälp av meddelandeförmedlingstjänsten.
För att verkställa delgivning behöver den myndighet som delger en handling information om huruvida användaren i samband med användning av meddelandeförmedlingstjänsten har gett samtycke till elektronisk delgivning. När det gäller vanlig delgivning behöver myndigheten dessutom information om att handlingen levererats till meddelandeförmedlingstjänsten samt när det gäller bevislig delgivning information om när parten har kvitterat att han eller hon tagit emot handlingen. Med stöd av bestämmelsen kan från meddelandeförmedlingstjänsten till myndigheten dessutom utlämnas information om de omständigheter som kan anses påvisa att handlingen inte har kunnat delges, t.ex. information om att det telefonnummer eller den e-postadress som parten uppgett för meddelandeförmedlingstjänsten inte längre är i användning och att inte går att underrätta parten om det levererade meddelandet.
Enligt förslaget till 6 mom. får de uppgifter som avses i 3 – 5 mom. lämnas ut med hjälp av en teknisk anslutning, som är den naturliga utlämningsformen vid digitala tjänster.
13 §.Bevarande av uppgifter som behandlas inom tjänsteproduktionen. I 1 mom. föreskrivs på samma sätt som i 24 § 1 mom. i lagen om stark autentisering och elektroniska signaturer om skyldighet för BRC att såsom registeransvarig för tjänsten för identifiering av fysiska personer bevara de uppgifter som behövs för att verifiera en identifieringstransaktion i fem år räknat från ingången av det kalenderår som följer efter identifieringstransaktionen. Det är motiverat att föreskriva centraliserat och kontrollerat om bevarandet av uppgifter som behövs för att verifiera en identifieringstransaktion, eftersom uppgifterna kan behövas en lång tid efter själva identifieringstransaktionen för att utreda eventuellt missbruk av en identitet i den elektroniska tjänsten och de därpå följande ansvarsfrågorna.
Den föreslagna femåriga skyldigheten att bevara uppgifter ska inte gälla andra identifieringstjänster som avses i 3 § 1 mom. 5 punkten och inte samlade förvaltningstjänster för identifiering, eftersom de kan användas även i sådana situationer där eventuella missbruk inte är lika kritiska som vad som är möjligt i tjänsten för identifiering av fysiska personer. BRC kan registrera uppgifter om användningen av andra identifieringstjänster med stöd av 12 § 2 mom. på de villkor som konstaterats i den bestämmelsen.
I 2 mom. föreskrivs om skyldighet för BRC att bevara uppgifterna i det behörighets- och viljeyttringsregister som den förvaltar med stöd av 10 § 1 mom., de uppgifter som behövs för att visa att uppgifterna i registret behandlats på riktigt sätt samt uppgifter som gäller förfrågningar som gjorts inom behörighetstjänsten och svaren på dem, om inte något annat följer av användarorganisationens skyldighet att bevara uppgifter. Uppgifterna omfattar både giltiga och föråldrade eller borttagna viljeyttringar samt uppgifter enligt 10 § 2 och 4 mom. som behövs för att verifiera den som avgett viljeyttringen och viljeyttringens integritet. Det är nödvändigt att bevara uppgifterna för att bl.a. utreda eventuella problem i elektroniska tjänster som utnyttjar behörighetstjänsten eller i ärendetransaktionerna. I behörighetstjänsten kan vid behov bevaras uppgifter om identifiering i tjänsten längre än de fem år som avses i 1 mom.
Enligt 3 mom. ska serviceproducenten bevara uppgifterna i det register som avses i 11 § 1 mom. och de uppgifter som behövs för att verifiera att behandlingen av uppgifterna i registret och delgivningen, om inte något annat följer av användarorganisationen skyldighet att bevara uppgifter. Uppgifterna omfattar både giltiga och borttagna samtycken samt uppgifter enligt 11 § 2 mom. som behövs för att verifiera den som gett samtycket och samtyckets integritet. Dessutom fastställs i 3 mom. att meddelanden som förmedlats med hjälp av meddelandeförmedlingstjänsten ska bevaras i två år.
Enligt 4 mom. ska de uppgifter som avses i 2 och 3 mom. avföras ur registret så snart det inte längre finns någon laglig grund för behandlingen. Den registeransvarige ska också bedöma behovet av att bevara nämnda uppgifter minst vart femte år, om inte något annat följer av lag. När förvaringstiden för uppgifterna fastställs ska man också beakta i vilken mån tjänsten kan producera uppgifter som användarorganisationen kan arkivera och med vilkas hjälp den kan bevisa på vad kommunikation eller delgivning som den godkänt har baserat sig. Det vilar fortfarande på användarorganisationens ansvar att verkställa delgivning och påvisa tidpunkten då den ägt rum med hjälp av bl.a. uppgifter som erhållits från meddelandeförmedlingstjänsten.
BRC fastställer med beaktande av den föreslagna lagen, personuppgiftslagen och arkivlagen den tid som de uppgifter som avses i 2 och 3 mom. ska bevaras, och den ska bedömas minst vart femte år. Dessutom ska BRC fastställa vilka uppgifter som behöver arkiveras permanent.
I 5 mom. ingår en hänvisning till arkivlagen (831/1994) i fråga om bevarandet av uppgifter.
14 §.Utlämnande av uppgifter som behandlas inom tjänsteproduktionen. I 1 mom. föreskrivs om rätt för serviceproducenten att lämna ut uppgifter som registrerats om användningen av en tjänst. I bestämmelsen är det, till skillnad från i 12 § 3 – 5 mom., i regel fråga om utlämnande av uppgifter efter att tjänsten producerats, dvs. efter det egentliga tillhandahållandet av stödtjänsten. Det är alltså inte fråga om utlämnande av uppgifter i samband med den regelbundna tjänsteproduktionen.
Enligt förslaget till 1 mom. kan utöver vad som föreskrivs i 12 § 3 – 5 mom. serviceproducenten lämna ut uppgifter som registrerats om användningen av stödtjänsten till den användarorganisation i samband med vars elektroniska tjänst uppgifterna har registrerats eller som har varit den ena parten i kommunikation som förmedlats via meddelandeförmedlingstjänsten. Villkoren för utlämnande är enligt 1 mom. 1 – 3 punkten att användarorganisationen behöver uppgifterna för att säkerställa eller förbättra funktionen hos sin elektroniska tjänst eller för att säkerställa informationssäkerheten eller utreda störningar i informationssäkerheten hos sin elektroniska tjänst. Dessutom kan uppgifter utlämnas till användarorganisationen för att utreda problem vid skötseln av ärenden eller för att visa att uppgifterna behandlats på riktigt sätt i samband med skötseln av ärenden. Det är motiverat att lämna ut uppgifterna eftersom en användarorganisation som använder stödtjänster för e-tjänster inte nödvändigtvis har de uppgifter i sina egna informationssystem som behövs för att hantera hela ärendetransaktionen. Det kan t.ex. vara fråga om att någon som kommunicerar med myndigheten påstår att en person som inte har rätt till det har skött ärenden för hans eller hennes räkning. Då kan man med hjälp av uppgifter som registrerats om användningen av tjänsten för identifiering av fysiska personer och behörighetstjänsten utreda parterna i transaktionen samt på vilken information skötseln av ärenden för en annan persons räkning har baserat sig. På användarorganisationens rätt att få upplysningar kan dessutom tillämpas vad som i informationssamhällsbalken föreskrivs om rätt till sina egna meddelanden och uppgifter om förmedlingen av dem för den som är part i kommunikation samt personuppgiftslagens bestämmelser om rätt att behandla personuppgifter.
Enligt förslaget till 2 mom. kan serviceproducenten dessutom, om inte något annat följer av 11 eller 12 § i offentlighetslagen, lämna ut uppgifter som registrerats om användningen av tjänsten till den person vars användning av stödtjänsten eller annan skötsel av ärenden uppgifterna gäller. Dessutom kan uppgifter med nämnda persons samtycke lämnas ut för ett specificerat syfte. Det är fråga om en bestämmelse som överensstämmer med den registrerades granskningsrätt enligt personuppgiftslagen samt rätten att få upplysningar om en handling som gäller en själv enligt offentlighetslagen.
I denna lag föreskrivs inte särskilt om polisens och andra förundersökningsmyndigheters rätt att få uppgifter, utan rätten bestäms i enlighet med bestämmelserna om polisens verksamhet och förundersökning. Polisens rätt att få uppgifter är förenad med begränsningar t.ex. när det gäller konfidentiell kommunikation och hälsouppgifter. Sålunda är det motiverat att låta rätten att få uppgifter vara beroende av specialbestämmelserna. Dessutom kan man konstatera att när användarorganisationen får uppgifter om sin kommunikation från stödtjänsten, tillämpas på behandlingen av dessa uppgifter i enlighet med 15 § bestämmelserna om användarorganisationen – inklusive bestämmelserna om möjlighet att lämna ut uppgifter om kommunikationen till förundersökningsmyndigheterna. Användaren har också möjlighet att lämna ut uppgifter som han eller hon erhållit, om det inte förbjuds särskilt i lag.
15 §.Behandling av uppgifter inom användarorganisationen. Enligt 1 mom. 1 punkten har användarorganisationen såsom registeransvarig rätt att oberoende av bestämmelserna i den föreslagna lagen behandla uppgifter som den fått av serviceproducenten med stöd av t.ex. 12 eller 14 §. Eftersom uppgifter lämnas ut från stödtjänsten för skötseln av användarorganisationens egen uppgift, är det motiverat att de uppgifter som lämnats ut från stödtjänsten till användarorganisationen bedöms med stöd av de bestämmelser som gäller användarorganisationens uppgift och registeransvar. Eftersom det är fråga om utlämnande av uppgifter, upphör de uppgifter som lämnats ut från stödtjänsten till användarorganisationen att omfattas av registeransvaret för den allmänna stödtjänstproduktionen och börjar omfattas av registeransvaret i anslutning till myndighetens eller en annan aktörs uppgift så att behandlingen sker i enlighet med de lagar som gäller denna uppgift.
Enligt 1 mom. 2 punkten har användarorganisationen såsom registeransvarig rätt att med hjälp av servicevyn till en person som identifierat sig i servicevyn tillhandahålla personuppgifter och andra uppgifter som gäller personen i fråga eller skötsel av ärenden för en fysisk person eller organisation som personen i fråga företräder, om inte något annat föreskrivs i lag. Registeransvaret för de uppgifter som visas i servicevyn överförs inte på serviceproducenten, utan för registerföringen och uppgifternas korrekthet svarar i regel fortfarande respektive registeransvarig, som gör personuppgifterna tillgängliga för den registrerade i servicevyn. Servicevyn sparar inte uppgifter ur olika användarorganisationers register, utan uppgifterna söks efter i det aktuella registret för varje session och visas i servicevyn för den person som använder vyn, varvid de kortvarigt registreras i servicevyns informationssystem. Servicevyn agerar för den registeransvariges räkning i fråga om de uppgifter som visas – inte som en självständig registeransvarig. Bestämmelser om serviceproducentens och användarorganisationens förfaranden för att säkerställa att stödtjänsten fungerar och är informationssäker och å andra sidan att användarorganisationens elektroniska tjänst och personuppgifterna är informationssäkra ingår förutom i 32 § i personuppgiftslagen även i 4 kap. i den föreslagna lagen.
Exempelvis bestämmelser om behandlingen av uppgifter i fordonstrafikregistret ingår i fordonslagen (1090/2002) och de förordningar som utfärdats med stöd av den. Trafiksäkerhetsverket svarar för registreringen av fordon och förvaltar fordonstrafikregistret. Trafiksäkerhetsverket vore servicevyns användarorganisation, som kan tillhandahålla en person som identifierat sig i servicevyn personuppgifter och andra uppgifter som gäller honom eller henne och hans eller hennes skötsel av ärenden, såsom uppgifter om fordonsinnehav.
Enligt 2 mom. söks de uppgifter som visas i servicevyn ur användarorganisationens register på personteckningen eller någon annan identifieringskod med hjälp av en teknisk anslutning. I regel ska uppgifterna sökas på personbeteckningen, men även på FO-nummer t.ex. i servicevyn för företag. I framtiden är det också möjligt att nya söksätt utvecklas, och därför är det ändamålsenligt att bestämmelsen tillåter ett visst spelrum. Uppgifter som sökas på andra koder får dock inte äventyra skyddet för personuppgifter eller andra uppgifter eller andra rättigheter.
Användarorganisationen ska utplåna sådana uppgifter om personbeteckning eller någon annan identifieringskod som kommit in i dess informationssystem från servicevyn, om den inte har rätt att behandla uppgifterna i fråga. Det är i första hand fråga om situationer där det på en viss kod inte hittas några uppgifter i fråga om den person som ber att hans eller hennes uppgifter ska visas i servicevyn. I synnerhet ska uppgifter inte sökas på personbeteckning i sådana register som inte har rätt att registrera personbeteckning – dvs. personbeteckning förmedlas inte till andra än sådana användarorganisationer som på grund av sin verksamhet har rätt att behandla personbeteckningar i sitt register.
Enligt 3 mom. svarar användarorganisationen såsom registeransvarig för att de uppgifter som den gjort tillgängliga i servicedatalagret och servicevyn är riktiga. Servicedatalagret och servicevyn såsom stödtjänster kan i praktiken inte kontrollera alla uppgifter om tjänsterna eller deras användning separat, utan ansvaret för innehållet i de registeruppgifter som visas ska ligga hos användarorganisationen.
I 16 § bestäms om serviceproducentens ansvar. Serviceproducenten ansvarar t.ex. för att behandlingen av uppgifter i stödtjänsten är informationssäker och för att uppgifter sammankopplas korrekt. Förutom integritet omfattar informationssäkerhet bl.a. att uppgifterna är tillgängliga endast för dem som har rätt att behandla dem.
4 kap. Krav som gäller stödtjänsterna och användningen av dem
16 §.Kvalitets- och informationssäkerhetskrav som gäller stödtjänsterna. I 1 mom. föreskrivs om serviceproducentens ansvar för kvaliteten och kostnadseffektiviteten hos den stödtjänst den producerar samt för att tjänsten är allmänt lämplig för sitt användningsändamål, välfungerande, tillförlitlig och så användarvänlig och tillgänglig som möjligt. Dessutom ska serviceproducenten vid produktionen av tjänsten iaktta den övergripande arkitekturen för den offentliga förvaltningen och beskrivningarna och definitionerna av interoperabiliteten.
Avsikten är att finansministeriet ska styra produktionen av stödtjänster så att kvaliteten på tjänsterna är säkerställd och verifierad. Vid kvalitetssäkringen och verifieringen samt utvärderingen och styrningen av sättet att ordna tjänsterna fästs särskild uppmärksamhet vid att tjänsterna och produktionen av dem är högklassig och kostnadseffektiv, att processerna för införandet av tjänsterna är standardiserade, att det har testats och verifierats att tjänsterna fungerar, att tjänsternas prestanda och driftssäkerhet har säkerställts och att tjänsterna är så användarvänliga och tillgängliga som möjligt.
Enligt förslaget till 2 mom. ska, utöver vad som förskrivs i 32 § i personuppgiftslagen om t.ex. ansvar för den registeransvarige och den som handlar för den registeransvariges räkning, serviceproducenten svara för att den sammankoppling av uppgifter som produktionen av stödtjänsten förutsätter är korrekt samt för informationssäkerheten när det gäller de uppgifter som behandlas i t.ex. servicedatalagret och servicevyn för den registeransvariges räkning. I 32 § i personuppgiftslagen föreskrivs om skyldighet att skydda personuppgifter. Om känsliga personuppgifter behandlas vid tjänsteproduktionen för antingen användarorganisationens eller serviceproducentens räkning, ska skyddet för dem ombesörjas på föreskrivet sätt och frågor om informationssäkerheten i fråga om behandlingen av uppgifter ska utredas och beaktas vid användarorganisationen ansluter sig på det sätt som föreskrivs i 17 §.
Det kan bli aktuellt att behandla känsliga personuppgifter t.ex. i servicekanalen i samband med dataöverföring samt i meddelandeförmedlingstjänsten när meddelanden förmedlas. Behörighetstjänsten ska behandla uppgifter om en persons handlingsbehörighet ur befolkningsdatasystemet och registret över förmynderskapsärenden. Även uppgifter som registrerats om användningen av identifieringstjänsten, behörighetstjänsten och meddelandeförmedlingstjänsten kan innehålla känsliga uppgifter beroende på till vilka tjänster uppgifter om en persons identitet, handlingsbehörighet eller behörighet eller meddelanden har förmedlats. Förordningen om informationssäkerheten inom statsförvaltningen (681/2010, nedan informationssäkerhetsförordningen) innehåller vissa förpliktelser som gäller behandlingen av klassificerade känsliga personuppgifter som finns i personregister, och som inte är beroende av om det har föreskrivits att uppgifterna är sekretessbelagda eller inte (informationssäkerhetsförordningen 13 § 1 mom., 14 § 4 p, 16 § 3 mom., 19 § 3 mom. och 20 § 1 mom.).
Som exempel på korrekt sammankoppling av uppgifter kan nämnas behörighetstjänsten, som söker uppgifter om en persons handlingsbehörighet och behörighet ur olika register. Serviceproducenten ansvarar i sin roll inte för att uppgifter i t.ex. en annan myndighets register är korrekta, men ansvarar för att rätta uppgifter har sammankopplats med rätt person på rätt sätt.
I förslaget till 3 mom. föreskrivs mera detaljerat om kvalitets-, funktions- och informationssäkerhetskraven på stödtjänsterna. Syftet med regleringen är att säkerställa att serviceproducenten ser till att stödtjänsten tekniskt genomförs på korrekt sätt när serviceproducenten planerar, bygger upp och förvaltar tjänsten.
Enligt den föreslagna 3 mom. 1 punkten ska tjänstens tekniska standard vara god och informationssäker. Inom serviceproduktionen ska man under hela livscykeln beakta de allmänna kraven på teknisk standard och att tjänsten möjliggör informationssäker behandling av uppgifter. Med teknisk standard avses att tjänsten genomförs och förvaltas med hjälp av allmänt kända, godkända, hållbara och tillförlitliga tekniska lösningar. Med hjälp av den tekniska standarden tryggas de egenskaper och den funktion som förväntas av tjänsten. Med informationssäkerhet avses åter att tjänstens konfidentialitet, integritet och användbarhet skyddas, dvs. såväl administrativa som tekniska åtgärder som säkerställer att de uppgifter som behandlas i stödtjänsten är tillgängliga endast för dem som har rätt att använda dem, att uppgifterna inte kan ändras av andra än dem som har rätt att göra det samt att uppgifterna och informationssystemen kan utnyttjas av dem som har rätt att använda dem.
Enligt den föreslagna 3 mom. 2 punkten ska stödtjänsten tåla sådana normala yttre störningar och hot mot informationssäkerheten som kan förväntas. Syftet med bestämmelsen är att säkerställa att stödtjänsten tål yttre störningar och hot som riktar sig mot kvaliteten, funktionen och informationssäkerheten. Det väsentliga med tanke på hållbarhetskravet är den yttre händelsens eller informationssäkerhetshotets regelbundenhet och förutsägbarhet. Avsikten är att stödtjänsten ska tåla förväntade yttre störningar och informationssäkerhetshot, som kan förutsägas med normal sakkunskap och yrkesskicklighet hos den som planerar, bygger upp eller förvaltar stödtjänsten. Yttre störningar är t.ex. sedvanliga fel hos enheter och system, naturfenomen samt skadegörelse, som inte skulle få påverka stödtjänstens funktion. Enligt bestämmelsen ska även betydelsen av kränkningar av informationssäkerheten som en faktor som äventyrar stödtjänsten beaktas och stödtjänsten ska tåla normala kränkningar och hot om sådana. Exempel på typiska kränkningar av informationssäkerheten som inte skulle få påverka stödtjänstens funktion är skadegörande program och överbelastningsattacker, som kan förutsägas med sakkunskap och yrkesskicklighet.
Enligt den föreslagna 3 mom. 3 punkten ska stödtjänstens prestanda, användbarhet, kvalitet och funktionssäkerhet följas upp. Genom uppföljningen förutser man t.ex. stödtjänstens behov och användning av kapacitet samt andra faktorer som påverkar tjänstens tillförlitlighet och som säkerställer stödtjänstens funktion och förutser utvecklings- och ändringsbehov. Med prestanda avses hur väl stödtjänsten uppfyller de krav som ställts på den. Med användbarhet avses att stödtjänsten och de uppgifter som behandlas i den vid behov är tillgängliga för och kan utnyttjas av dem som har rätt till dem. Med hjälp av kvaliteten bedöms hur väl stödtjänsten som helhet motsvarar användningsändamålet. Med uppföljning av funktionssäkerheten avses åter att serviceproducenten observerar t.ex. störningar eller fel i tjänsten.
Enligt den föreslagna 3 mom. 4 punkten ska betydande kränkningar av och hot mot informationssäkerheten som riktar sig mot stödtjänsten liksom fel och störningar som avsevärt stör stödtjänstens funktion kunna upptäckas. Syftet med punkten är att ålägga serviceproducenten skyldighet att följa, övervaka och upptäcka faktorer som skadar eller hotar stödtjänstens funktion och informationssäkerhet. Uppföljningen gör det möjligt att ingripa i problemen och på så sätt trygga en fungerande och tillförlitlig stödtjänst. När man bedömer händelsernas betydelse ska man beakta hur kränkningen eller hotet om en sådan samt driftstörningen påverkar stödtjänstens användning och tillförlitlighet. Till exempel att användarnas personuppgifter hamnar hos någon som inte har rätt att använda dem eller stödtjänsten förlorar sin integritet kan vara betydande kräkningar av informationssäkerheten. Det kan vara fråga om hot om kränkningar t.ex. när man hittat en sårbarhet i det tekniska genomförandet av stödtjänsten, som kan leda till att uppgifterna om användarna förlorar sin konfidentialitet om den utnyttjas. Fel och störningar som avsevärt stör funktionen är händelser som hindrar att stödtjänsten används eller stör den så att flera användare har problem med att utnyttja den.
Enligt den föreslagna 3 mom. 5 punkten får ändringar som görs i stödtjänsten inte orsaka oförutsedda störningar i användarorganisationens tjänster för vilka stödtjänsten utnyttjas eller i någon annan uppgift som utförs med stöd av stödtjänsten. Avsikten är att säkerställa att uppbyggnads-, underhålls- och ändringsarbeten som företas i stödtjänsten – t.ex. att ny teknik eller en ny teknisk egenskap tas i bruk – inte orsakar oförutsedda störningar t.ex. för en elektronisk tjänst som utnyttjar stödtjänsten. Ändringar som företas i stödtjänsten kan återspeglas i de funktioner som utnyttjar stödtjänsten och i deras användbarhet, och sålunda måste ändringar i stödtjänsten företas kontrollerat och med hänsyn till dem som använder stödtjänsten, så att de kan beakta de konsekvenser som en tillfällig störning eller bestående ändring innebär för deras egen verksamhet. Syftet med den föreslagna bestämmelsen är inte att förhindra ändringar, utan att säkerställa att stödtjänsten och tjänster som använder den fungerar också vid förändringar samt möjlighet för användarorganisationerna att förbereda sig på avbrott i tjänsten.
Enligt förslaget till 4 mom. ska serviceproducenten göra upp en tjänstebeskrivning av den stödtjänst som producenten tillhandahåller och hålla den uppdaterad. Av servicebeskrivningen ska det utöver tjänstens funktionalitet med tillräcklig noggrannhet även framgå på vilket sätt de krav som anges i 1–3 mom. samt de informationssäkerhetskrav som anges i 17 § 1 och 2 mom. har uppfyllts samt kraven för anslutning till stödtjänsten samt gränssnittskraven. När man beskriver hur informationssäkerhetskraven uppfyllts ska man i mån av möjlighet eftersträva öppenhet, men i offentliga handlingar bör man inte beskriva sådana detaljer i skyddet för tjänsten som kan äventyra tjänstens informationssäkerhet om de kommer till allmänhetens kännedom.
Förslaget till 5 mom. innehåller möjlighet att genom förordning av statsrådet utfärda närmare bestämmelser om de kvalitets- och informationssäkerhetskrav i fråga om tjänsterna som avses i denna paragraf.
17 §.Krav som gäller informationssystemen. Paragrafen innehåller särskilda bestämmelser om informationssäkerheten hos de informationssystem som används för tjänsteproduktionen. Det ansvar för säkerheten hos stödtjänsterna och de uppgifter som behandlas i dem som föreskrivs i 16 § omfattar i princip även säkerheten hos de informationssystem som används för serviceproduktionen. Med den föreslagna 17 § har man särskilt velat betona kraven på informationssystemen och förutsättningarna för att ansluta informationssystemen, eftersom det är fråga om tjänster som är av betydelse för behandlingen av personuppgifter för de personer som sköter ärenden – även känsliga personuppgifter. Det är också skäl att föreskriva särskilt om anslutning av användarorganisationernas informationssystem, så att anslutningen inte äventyrar informationssäkerheten hos informationssystemen eller de uppgifter som behandlas i dem.
I 1 mom. föreskrivs om skyldighet för serviceproducenten att på ändamålsenligt sätt försäkra sig om att det informationssystem som används för produktionen av dess tjänst har planerats, tillverkats och fungerar i enlighet med de lagar som gäller informationssäkerhet och dataskydd och de bestämmelser som utfärdats med stöd av lagarna samt följer de nationella definitionerna av interoperabiliteten. Med försäkra sig om avses att serviceproducenten antingen själv eller genom ett externt bedömningsorgans försorg har gått igenom de krav som ställs på informationssäkerheten och har förbundit sig att uppfylla dem. Finansministeriet kan genom handledning kräva att serviceproducenten ska begära bedömning enligt lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation (1406/2011) av sin stödtjänst eller en del av den.
I förslaget till 2 mom. föreskrivs att stödtjänsten ska produceras och utvecklas så att det vid behov finns möjlighet att skapa en sådan miljö för behandling av uppgifter som uppfyller informationssäkerhetskraven på basnivå eller förhöjd nivå.
Den informationssäkerhetsnivå som ska genomföras i olika verksamhetsmiljöer ska definieras utifrån innehållet i och betydelsen hos verksamhetsprocesserna och de uppgifter som behandlas i dem samt de hot och risker som riktar sig mot dem. Stödtjänstens praktiska säkerhetsarrangemang och deras tillräcklighet ska utifrån en riskbedömning sättas i relation till de uppgifter som ska skyddas och deras skyddsnivåkrav. Tillgodoseende av informationssäkerheten förutsätter systematisk kartläggning av de informationssäkerhetsrisker som hänför sig till stödtjänsten. Med risk avses sannolikheten för någon slags skada och följderna av den. Med informationssäkerhetsrisker avses en sådan oavsiktlig eller avsiktlig faktor som äventyrar stödtjänstens konfidentialitet, integritet eller användbarhet. En informationssäkerhetsrisk skiljer sig från ett informationssäkerhetshot på så vis att sannolikheten för risken och dess konsekvenser har bedömts. Informationssäkerhetsrisker kan orsakas av t.ex. mänskliga fel, brister i eller underlåtenhet att följa givna anvisningar, stölder eller skadegörelse, fel och driftstörningar hos enheter, system eller program, spridning av skadegörande program, förstört informationsmaterial eller fel eller försummelser i verksamheten hos en underleverantör eller en aktör som hör till partnerskapsnätverket.
Riskhantering är en process varmed syftet är att identifiera risker, minska sannolikheten för dem och/eller konsekvenserna av dem till godtagbar nivå och upprätthålla den uppnådda nivån. Genom hantering av informationssäkerhetsriskerna ska man alltså försöka åstadkomma en kombination av säkringsåtgärder för stödtjänsten, som säkerställer en tillräcklig skyddsnivå för de behandlade uppgifter och åstadkommer en tillfredsställande balans mellan användarnas behov, kostnaderna och den återstående risk som riktar sig mot säkerheten.
Enligt förslaget till 3 mom. kan serviceproducenten innan användarorganisationens informationssystem ansluts till en gemensam stödtjänst för e-tjänster kräva att användarorganisationen uppfyller behövliga krav för att informationssäkerheten och kvaliteten i fråga om stödtjänsten ska säkerställas. Serviceproducenten och användarorganisationen ska genom behövliga och på förhand överenskomna informationssäkerhetsåtgärder samt tester försäkra sig om att en anslutning inte äventyrar informationssäkerheten i fråga om användarorganisationens elektroniska tjänst eller personuppgifter eller i fråga om stödtjänsten eller det informationssystem som används för produktionen av den. I praktiken betyder detta att serviceproducenten och användarorganisationen förbinder sig att uppfylla de gällande informationssäkerhetskraven. När kraven bedöms ska man beakta t.ex. kraven på funktion och informationssäkerhet hos det informationssystem som används för att producera stödtjänsten samt å andra sidan motsvarande krav som följer av t.ex. behoven hos användarorganisationens elektroniska tjänst och behandlingen av personuppgifter.
Enligt förslaget till 4 mom. får genom förordning av statsrådet utfärdas närmare bestämmelser om kraven i fråga om informationssäkerheten hos de informationssystem som avses i 1 mom. och om konstaterande av att de uppfylls, skapandet av sådana databehandlingsmiljöer som avses i 2 mom. samt om de informationssäkerhetsåtgärder som gäller anslutning av användarorganisationens informationssystem enligt 3 mom.
18 §.Störningar och störningsanmälningar. I paragrafen föreskrivs om nödvändiga krav på förfaranden när det gäller produktionen av stödtjänster och å andra sidan produktionen av elektroniska tjänster samt annat utnyttjande av stödtjänster samt om anmälningsskyldigheter vid fel och störningar. I paragrafen föreskrivs om såväl serviceproducentens som användarorganisationens skyldigheter.
I förslaget till 1 mom. föreskrivs om ömsesidig skyldighet att vidta åtgärder för att rätta till situationen, om användarorganisationens eller serviceproducentens informationssystem orsakar olägenhet för den andra partens informationssystem, till vilket det är anslutet. Vid behov ska serviceproducenten kunna koppla bort användarorganisationens informationssystem från stödtjänsten och vice versa. Med bortkoppling avses att dataöverföringen mellan systemen upphör helt eller delvis beroende på hur allvarlig störningen är. Bortkoppling kan komma i fråga vid sådana allvarliga störningar där mindre åtgärder och den anmälningsskyldighet som beskrivs nedan inte räcker till för att trygga informationssystemens funktion eller informationssäkerheten. Efter att störningen avhjälpts kan dataöverföringen inledas på nytt efter eventuella tester.
Enligt förslaget till 2 mom. ska serviceproducenten utan dröjsmål meddela användarorganisationerna och användarna av stödtjänster om dess stödtjänst är utsatt för betydande kränkningar av eller hot mot informationssäkerheten eller för någonting annat som gör att stödtjänsten inte fungerar eller väsentligen stör den eller äventyrar informationssäkerheten. Informationssäkerheten omfattar också dataskyddet – dvs. skyddet för t.ex. personuppgifter som behandlas i tjänsten. I anmälan ska det uppges hur länge störningen eller hotet beräknas pågå och i den mån det är möjligt vilka åtgärder användarorganisationen och användaren kan vidta för att skydda sig. Dessutom ska serviceproducenten meddela användarorganisationerna och användarna när störningen eller hotet upphört. På grund av stödtjänsternas exceptionellt betydande roll för elektroniska tjänster föreskrivs dessutom motsvarande anmälningsskyldighet för serviceproducenten gentemot dem som använder dess stödtjänster. Bestämmelsen är nödvändig för de situationer och hot som avses i 1 mom., där det är viktigt att informera användarorganisationerna och användarna av stödtjänsterna.
I förslaget till 3 mom. föreskrivs på samma sätt som i 2 mom. om skyldighet för användarorganisationen att utan dröjsmål meddela serviceproducenten, om ett informationssystem som är anslutit till dennes stödtjänst är utsatt för betydande kränkningar av eller hot mot informationssäkerheten eller någonting annat som kan äventyra informationssäkerheten eller funktionen hos stödtjänsten eller väsentligt störa den. I anmälan ska det uppges vad störningen eller hotet består av, hur länge störningen eller hotet beräknas pågå och i den mån det är möjligt vilka skyddsåtgärderna är. Dessutom ska användarorganisationen meddela serviceproducenten när störningen eller hotet upphört. I bestämmelsen föreskrivs till skillnad från 2 mom. inte om skyldighet för användarorganisationen att informera dem som använder dess elektroniska tjänster. Denna skyldighet är beroende av respektive myndighets bestämmelser om sina elektroniska tjänster – eller i avsaknad av särskilda bestämmelser – av förvaltningslagen (serviceprincipen) och offentlighetslagen (information).
Enligt förslaget till 4 mom. ska serviceproducenten regelbundet rapportera om funktionen och informationssäkerheten i fråga om sina tjänster samt utan dröjsmål meddela betydande avvikelser avseende detta till finansministeriet eller till den myndighet som finansministeriet anvisat.
19 §.Beredskap och störningar i tjänsteproduktionen. I 1 mom. föreskrivs om skyldighet för serviceproducenterna att genom beredskapsplaner, genom förberedande åtgärder med tanke på verksamheten vid störningar under normala förhållanden eller verksamheten under undantagsförhållanden och genom andra åtgärder se till att deras verksamhet och tjänsteproduktion fortsätter så störningsfritt som möjligt vid störningar under normala förhållanden samt under undantagsförhållanden.
Enligt förslaget till 2 mom. ska under normala förhållanden och vid störningar under normala förhållanden iakttas, om inte något annat föreskrivs i någon annan lag, av finansministeriet på förhand fastställda principer om prioritets- och skyndsamhets- samt annan viktighetsklassificering beträffande produktion och användning av tjänster som avses i denna lag. Innan principerna fastställs ska finansministeriet höra de berörda serviceproducenterna, deras kunder och ministerierna. Statsrådet beslutar om principer som är vittgående och samhälleligt betydelsefulla.
Den föreslagna regleringen motsvarar 15 § i TORI-lagen samt delvis 12 och 14 § i lagen om verksamheten i den offentliga förvaltningens säkerhetsnät (10/2015).
Förslaget till 3 mom. innehåller en informativ hänvisning till beredskapslagens bestämmelser om undantagsförhållanden. Finansministeriets och statsrådets behörighet enligt den föreslagna bestämmelsen och tillämpningen av ovannämnda principer gäller normala förhållanden och störningar under dem och ändrar således inte behörigheterna enligt 105 § i beredskapslagen (1552/2011), som tillämpas i undantagsförhållanden som avses i beredskapslagen.
20 §.Loggregister. I 1 mom. föreskrivs om skyldighet för BRC att föra ett loggregister över behandlingen av uppgifter som registrerats om användningen av de tjänster som avses i 3 § 1 mom. 1 – 7 punkten. Det är nödvändigt att föra ett loggregister för att ombesörja informationssäkerheten i fråga om behandlingen av personuppgifter, så att man i efterhand kan kontrollera vem som har behandlat uppgifter som registrerats om användningen av stödtjänsterna. Det är nödvändigt att föra loggregister särskilt i fråga om t.ex. tjänsten för identifiering av fysiska personer och tjänsten som tillhandahåller uppgifter om lagliga företrädare, eftersom användningen av tjänsterna ger upphov till uppgifter om personlig kommunikation. Uppgifterna kan även omfatta personliga personuppgifter. Det är inte nödvändigt att skriva in skyldighet att föra loggregister separat i fråga om den samlade förvaltningstjänsten för internetbetalning enligt 3 § 1 mom. 8 punkten, karttjänsten för förvaltningen eller de andra stödtjänster som avses i 3 § 2 mom. eller de stödtjänster som nämns i övergångsbestämmelsen, eftersom de antingen upphör att tillhandahållas efter övergångsperioden och/eller de är sådana tjänster vilkas användning inte på samma sätt som de tjänster som nämns i 3 § 1 mom. 1 – 7 punkten kan ge upphov till information i anslutning till integritetsskyddet för den som uträttar ärenden inom förvaltningen. I fråga om dessa andra tjänster kan tillsynen över behandlingen av uppgifter vara beroende av regleringen i den generella lagen, dvs. personuppgiftslagen – och lagen om integritetsskydd i arbetslivet.
Enligt bestämmelsen ska det i loggregistret registreras uppgifter om den som behandlat uppgifterna, tidpunkten för behandlingen och de uppgifter eller grupper av data i systemet som varit föremål för behandling. Dessutom ska uppgifter om den till vilken uppgifter som registrerats om användningen av tjänsterna lämnats ut med stöd av 14 § registreras. Om registreringen av information om den som behandlat uppgifterna förutsätter att ett separat användarregister för informationssystemet är tillgängligt, ska även detta användarregister registreras. Om information om datautlämningar registreras i ett annat register eller informationssystem (eller fast bara på papper), ska även dessa dokument registreras. Avsikten är inte att alla behandlade uppgifter ska registreras på nytt i loggregistret, utan i loggregistret ska registreras information om uppgifter som behandlaren sökt med sådan noggrannhet att man utifrån den i tillräcklig utsträckning kan sluta sig till om vilka saker och/eller personer behandlaren har behandlat uppgifter.
Enligt 2 mom. ska BRC bevara loggregistrets uppgifter i minst två år räknat från ingången av det kalenderår som följer efter tidpunkten för registreringen av uppgifterna. Tidpunkten motsvarar den tid för bevarande av loggregistret över användningen av befolkningsdatasystemet som föreskrivs i 56 § i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster samt den tid för bevarande av uppgifter om behandlingen av förmedlingsuppgifter som föreskrivs i 145 § i informationssamhällsbalken.
21 §.Användning och utlämnande av uppgifter i loggregistret. I paragrafen föreskrivs om de ändamål för vilka BRC får använda uppgifterna i loggregistret i sin verksamhet samt om till vem och för vilka ändamål den får lämna ut uppgifter.
Enligt 1 mom. får BRC använda uppgifterna i loggregistret för att följa och övervaka behandlingen av uppgifter som registrerats om användningen av tjänsterna och för att upprätthålla informationssäkerheten. Härmed avses allmän uppföljning och övervakning av användningen av och skyddet för uppgifterna i systemet, varigenom man ser till att de förpliktelser att skydda uppgifter som nämns i 32 § i personuppgiftslagen uppfylls. Det är fråga om ett centralt grundläggande behov och en användningsegenskap som hänför sig loggregistrets användningsändamål och existens.
Enligt förslaget till 2 mom. får BRC lämna ut uppgifterna i loggregistret till polis- och förundersökningsmyndigheter för utredning av ett brott som gäller lagstridig behandling av uppgifter som registrerats om användningen av en tjänst, om inte något annat föreskrivs om utlämnande av enstaka uppgifter till polisen. Med undantaget i slutet av bestämmelsen avses t.ex. att om uppgifter i loggregistret som gäller uppgifter som varit föremål för behandling avslöjar en sådan omständighet om en persons kommunikation beträffande vilken det föreskrivs särskilt om utlämnande av information till polisen, ska specialbestämmelserna iakttas i stället för den föreslagna lagen vid utlämnandet.
Enligt förslaget till 3 mom. får BRC dessutom, om inte något annat följer av 11 eller 12 § i offentlighetslagen, lämna ut uppgifter som registrerats om användningen av en tjänst till den person som de uppgifter som behandlats gäller. Dessutom kan uppgifter utlämnas med samtycke av nämnda person samt den som enligt loggregistret behandlat uppgifterna för ett specificerat syfte.
5 kap. Styrning
22 §.Allmän styrning. I 1 mom. föreskrivs att finansministeriet har till uppgift att styra anordnandet av de stödtjänster som avses i den föreslagna lagen, tjänsternas kvalitet samt tjänsternas interoperabilitet och förenlighet med den övergripande arkitekturen, med iakttagande av lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen. Finansministeriet ska också svara för den allmänna administrativa och strategiska styrningen av produktionen av stödtjänster samt för styrningen av den informations- och kommunikationstekniska aktionsberedskapen, övriga beredskapen och säkerheten.
Avsikten är att dela in styransvaret för tjänsterna i en integrationshelhet, en helhet som omfattar identifiering och behörigheter samt i en helhet som omfattar servicevyerna (inkl. servicedatalagret och meddelandeförmedlingstjänsten).
Det kommer inte att utvecklas några separata strukturer för styrningen av tjänsterna, såsom en styrelse eller motsvarande grupperingar. Utvecklingen av tjänsterna utgår från de kundbehov som BRC sammanställer och från de styrande ministeriernas syn på tyngdpunkterna i den strategiska utvecklingen, målen för det internationella samarbete samt samhällsförändringarna. Styrningen kräver resursfördelning även inom ministeriet för att man ska kunna garantera moderna och kundorienterade stödtjänster av nationell betydelse för e-tjänster.
Enligt förslaget till 2 mom. svarar finansministeriet och arbets- och näringsministeriet tillsammans för den strategiska styrningen av innehållet och strukturen i fråga om den övergripande servicevyn för företag inom den servicevy som produceras av BRC.
Enligt statsrådets förordning om arbets- och näringsministeriet (1024/2007) hör främjande av näringsverksamhet och företagande samt offentliga företagsstöd och företagstjänster till ministeriets uppgifter. Av denna orsak måste ansvarsområdets egen sakkunskap beaktas vid styrningen av tjänsten. Den övergripande servicevyn för företag inom servicevyn byggs också upp utifrån innehållet i den nuvarande tjänsten Företagsfinland.fi. KEHA-centret producerar tjänsten Företagsfinland.fi högst till den 31 december 2017. I fortsättningen ska den produceras av BRC. Det är motiverat att dela styrningen av innehållet och strukturen hos den övergripande servicevyn för företag inom servicevyn med beaktande av arbets- och näringsministeriets ansvarsområde och ansvar för företagsverksamheten.
Enligt förslaget till 3 mom. svarar finansministeriet och jord- och skogsbruksministeriet tillsammans för den strategiska styrningen av innehållet och strukturen i fråga om den i 3 § 1 mom. 9 punkten avsedda helhet som gäller karttjänsten för förvaltningen och som produceras av Lantmäteriverket.
23 §.Rätt att få uppgifter. I 1 mom. föreskrivs om rätt för finansministeriet att av serviceproducenterna för sitt uppdrag få tillräckliga och behövliga uppgifter om serviceproduktionens kvalitet och kostnadseffektivitet och om de andra krav på serviceproduktionen som avses i den föreslagna lagen.
Tjänsteproducenterna ska t.ex. vara skyldiga att för finansministeriet producera statistikuppgifter om användningen av stödtjänsterna. Statistikuppgifter om användningen är nödvändiga vid styrningen t.ex. för att bedöma stödtjänsternas ekonomiska konsekvenser såsom produktivitetsnyttan.
6 kap. Särskilda bestämmelser
24 §.Begäran om omprövning. I 1 mom. föreskrivs om begäran om omprövning av beslut som serviceproducenten har fattat med stöd av t.ex. 5 § 3 mom. eller 8 § 3 mom.
I 2 mom. ingår en informativ hänvisning till förvaltningslagens bestämmelser om omprövningsförfarandet.
25 §.Kostnaderna för stödtjänsterna. I 1 mom. föreskrivs att kostnaderna för produktionen av stödtjänsterna täcks med statens medel och att användningen av tjänsterna är avgiftsfri för användarorganisationerna. Den fortlöpande servicen finansieras centraliserat ur statsbudgeten, för att tröskeln för att använda gemensamma lösningar ska vara så låg som möjligt och nyttan av omfattande användning av tjänsterna ska bli så stor som möjligt.
Enligt förslaget till 2 mom. svarar användarorganisationen dock själv för de kostnader som anslutningen till stödtjänsterna och förvaltningen av uppgifterna i servicedatalagret och servicevyn orsakar organisationen.
Enligt förslaget till 3 mom. svarar användarorganisationen för kostnaderna för de brev som den skickat via meddelandeförmedlingstjänsten. Detta är motiverat för att uppmuntra myndigheterna att använda elektroniska tjänster samt för att det på grund av budgeteffekterna är utmanande att täcka kostnaderna för brevpost centraliserat.
I förslaget till 4 mom. föreskrivs om skyldighet för användarorganisationen att själv att betala de avgifter som grundar sig på de avtal som den ingått med dem som tillhandahåller identifieringstjänster. Genom bestämmelsen klarläggs att t.ex. de avgifter som under övergångsperioden betalas till producenterna av identifieringstjänster för användningen av tjänsten Vetuma, som kommer att upphöra, inte omfattas av den centraliserade finansieringen av den nya tjänsten för identifiering av en fysisk person.
7 kap. Ikraftträdande
26 §.Ikraftträdande. Avsikten är att de lagförslag som ingår i propositionen ska träda i kraft så snabbt som möjligt, senast den 1 juli 2016.
27 §.Övergångsbestämmelse som gäller ordnandet av uppgifter. I 1 mom. föreskrivs att det högst till och med den 31 december 2017 är Valtoris uppgift att producera och utveckla den samlade förvaltningstjänst för identifiering, signering och betalning som hör till de tjänster som avses i 3 § 1 mom. 5 och 8 punkten. Det är fråga om tjänsten Vetuma, beträffande vilken produktionen är avsedd att upphöra i slutet av 2017, då användarorganisationerna har övergått till att använda den nya tjänsten för identifiering av en fysisk person eller en identifieringstjänst som avses i 3 § 1 mom. 5 punkten. Tjänsten börjar alltså inte produceras av BRC, utan BRC producerar tidsmässigt parallellt med Vetuma den nya tjänsten för identifiering av fysiska personer, som är avsedd att ersätta Vetuma.
Enligt förslaget till 2 mom. är det Valtoris uppgift att producera och utveckla den tjänst som avses i 3 § 1 mom. 7 punkten samt att föra det register som avses i 11 § högst till och med den 31 december 2017, varefter tjänsteproduktionen och registerföringen överförs till BRC. Det är fråga om en övergångsbestämmelse om medborgarkontot, dvs. i fortsättningen meddelandeförmedlingstjänsten och samtyckesregistret för elektronisk delgivning.
Enligt 3 mom. är det Statskontorets uppgift att producera och utveckla tjänsten Suomi.fi, som hör till de tjänster som avses i 3 § 1 mom. 2 punkten, högst till och med den 31 december 2017.
Enligt 4 mom. är det Skatteförvaltningens uppgift att producera och utveckla den tjänst för elektronisk identifiering som hör till de tjänster som avses i 3 § 1 mom. 5 punkten och genom vilken en myndighet eller någon annan som sköter offentliga uppdrag vid skötseln av ett offentligt uppdrag kan identifiera en organisation och den person som företräder den högst till och med den 31 december 2016. I bestämmelsen avses KATSO-tjänsten, beträffande vilken produktionsansvaret överförs på BRC senast i början av 2017.
Enligt 5 mom. är det KEHA-centrets uppgift att producera och utveckla tjänsten Företagsfinland.fi, som hör till de tjänster som avses i 3 § 1 mom. 2 och 3 punkten, högst till och med den 31 december 2017.
Enligt 6 mom. fattar finansministeriet före utgången av de tidsfrister som anges i 1-4 mom. närmare beslut om de överföringar som sker inom förvaltningsområdet – dvs. om de uppgifter och funktioner som överförs från Valtori, Statskontoret och skatteförvaltningen till BRC och om tidtabellerna.
Enligt förslaget till 7 mom. fattar statsrådet före utgången av den tidsfrist som anges i 5 mom. närmare beslut om de uppgifter och funktioner som överförs från KEHA-centret till BRC och om tidtabellerna.
28 §.Övergångsbestämmelse som gäller personalen. Enligt förslaget till 1 mom. överförs den personal i arbetsavtalsförhållande som sköter uppgifter som hänför sig till den stödtjänst som produceras av Valtori, dvs. meddelandeförmedlinstjänsten, och Avoindata.fi till tjänster vid BRC i enlighet med det beslut som finansministeriet fattar enligt 27 § 6 mom. eller den förordning som avses i 3 § 2 mom. Den personal i anställningsförhållande för viss tid som arbetar med dessa uppgifter överförs till anställningsförhållande för viss tid vid BRC. Bestämmelsen innehåller dessutom en punkt som motsvarar 5 a § i statstjänstemannalagen om överföring av personer i arbetsavtalsförhållande utan eget samtycke, om överföringen sker inom eller till personens pendlingsregion. Villkoret om pendlingsregion kommer att beaktas vid överföringar.
Enligt förslaget till 2 mom. får den anställda utan iakttagande av den uppsägningstid som annars tillämpas på anställningsförhållandet eller oavsett uppsägningstidens längd säga upp sitt arbetsavtal så att det upphör vid tidpunkten för överföringen, om Valtori eller BRC har underrättat den anställda om överföringen senast en månad före tidpunkten för överföringen. Om den anställda har underrättats om överföringen senare, får han eller hon säga upp sitt arbetsavtal så att det upphör vid tidpunkten för överföringen eller därefter, dock senast inom en månad från underrättelsen.
Enligt 2 mom. ska dessutom vid fastställandet av de förmåner som gäller i anställningsförhållandet anses att anställningsförhållandet för de personer som överförs från Valtori till BRC har fortgått oavbrutet hos staten. Det är fråga om t.ex. överföring av semester som intjänats före lagens ikraftträdande eller om semesterpenningar. På lönen för de personer i arbetsavtalsförhållande som överförs tillämpas de principer om samordning av lönesystemen som ingår i punkt 2 ”Lönen när personal förflyttas direkt med stöd av lag vid en organisationsförändring” i underteckningsprotokollet till statens tjänste- och arbetskollektivavtal.
I förslaget till 3 mom. ingår en informativ bestämmelse som gäller tillämpning av statstjänstemannalagen (750/1994) på ställningen för personal i tjänsteförhållande som förflyttas. I samband med att tjänsten Suomi.fi upphör är avsikten att från Statskontoret överföra de tjänster som hänför sig till tjänsteproduktionen och förflytta de tjänstemän som utnämnts till dem till BRC med stöd av 2 kap. i statstjänstemannalagen. Även från KEHA-centret, produktionen av tjänsten Företagsfinland.fi, är avsikten att på motsvarande sätt överföra tjänster och förflytta de tjänstemän som utnämnts till dem till BRC. Även från de produktionsuppgifter som gäller KATSO-tjänsten vid skatteförvaltningen överförs de tjänster som hänför sig till dessa uppgifter och förflyttas de tjänstemän som sköter dem till BRC.
Enligt 2 kap. 5 a § 1 och 2 mom. i statstjänstemannalagen överförs i samband med omstrukturering av funktioner inom statsförvaltningen tjänsterna och förflyttas de tjänstemän som utnämnts till tjänsterna till samma ämbetsverk som uppgifterna överförs till och tjänstemän som utnämnts till ett tjänsteförhållande för viss tid övergår till anställning vid ämbetsverket för den tid tjänsteförhållandet varar. Enligt 5 a § 3 mom. får i de situationer som avses ovan tjänsten överföras utan samtycke från tjänstemannen, om tjänsten överförs inom eller till tjänstemannens pendlingsregion. Villkoret som gäller pendlingsregion kommer att beaktas när överföringarna görs.
Enligt 5 a § 4 mom. i statstjänstemannalagen tillämpas på tjänstemännens anställningsvillkor vad som bestäms om villkoren i tjänstekollektivavtalen eller i lag. Exempelvis i fråga om lönen tillämpas på lönen för dem som förflyttas direkt med stöd av lag de principer om samordning av lönesystemen som ingår i punkt 2 ”Lönen när personal förflyttas direkt med stöd av lag vid en organisationsförändring” i underteckningsprotokollet till statens tjänste- och arbetskollektivavtal.
29 §.Övergångsbestämmelse som gäller användningsskyldigheten. I 1 mom. föreskrivs om skyldighet för de aktörer som ålagts användningsskyldighet att ta vissa stödtjänster i bruk före en viss tidpunkt. I fråga om dessa tjänster, som inte nämns i övergångsbestämmelsen (t.ex. servicekanalen), träder användningsskyldigheten i kraft när lagen träder i kraft, om inte något annat följer av grunderna för undantag i 5 §.
I den föreslagna paragrafen föreskrivs att en användarorganisation som omfattas av användningsskyldigheten ska beskriva uppgifterna om sina tjänster i servicedatalagret och införa sina registeruppgifter i servicevyn senast den 1 juli 2017, ta i bruk tjänsten för identifiering av fysiska personer och den samlade förvaltningstjänsten för internetbetalning senast den 1 januari 2018 och ta i bruk meddelandeförmedlingstjänsten senast den 1 juli 2017.
I förslaget till 2 mom. föreskrivs när rätten för privata sammanslutningar, stiftelser och näringsidkare att använda servicedatalagret träder i kraft. Rätten träder i kraft när hanteringsmodellerna för åtkomsträttigheter till servicedatalagret i fråga om privata sammanslutningar och näringsidkare är klara, senast den 1 juli 2017.
30 §.Övergångsbestämmelse som gäller avtal och andra förbindelser samt anhängiga ärenden. I paragrafen föreskrivs att när uppgifter och funktioner överförs till BRC överförs också de avtal och förbindelser som hänför sig till dessa uppgifter och funktioner, liksom därmed anknutna rättigheter och skyldigheter, samt anhängiga ärenden.