7.1
Lag om vissa tjänster som möjliggör gränsöverskridande e-tjänster
1 kap. Allmänna bestämmelser
1 §.Tillämpningsområde. Enligt propositionen föreskrivs det i paragrafen om tillämpningsområdet för lagen om vissa tjänster som möjliggör gränsöverskridande e-tjänster, dvs. eIDAS-lagen. Enligt 1 mom. föreskrivs det i lagen om tillsynen över efterlevnaden av bestämmelserna i förordning (EU) Nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG, sådan den lyder senast ändrad genom förordning (EU) 2024/1183, samt om bestämmelser som kompletterar förordningen i fråga.
Vid revideringen av eIDAS-förordningen var det inte fråga om en helhetsreform där den ursprungliga eIDAS-förordningen upphävdes och en ny förordning antogs i dess ställe. Däremot antogs en reviderad förordning (EU) 2024/1183, där en del av de befintliga artiklarna i eIDAS-förordningen ändrades och nya artiklar togs in i förordningen. Således är en del av de ursprungliga artiklarna i eIDAS-förordningen fortfarande giltiga i oförändrad form och den kompletterande nationella reglering som gäller dem behövs fortsättningsvis. Den nationella reglering som kompletterar eIDAS-förordningen har emellertid tidigare ingått i autentiseringslagen. Det föreslås att dessa bestämmelser flyttas från autentiseringslagen till denna lag, så att all nationell kompletterande reglering som gäller eIDAS-förordningen i fortsättningen finns i en och samma lag. Denna lag innehåller alltså bestämmelser både om sådant för vilket det har funnits och fortfarande finns ett behov av nationell reglering för tillämpningen av den ursprungliga eIDAS-förordningen och om sådant som det behövs nationell reglering om för tillämpningen av den reviderade eIDAS-förordningen.
I 2 mom. föreskrivs det att lagen tillämpas endast på europeiska digitala identitetsplånböcker som tillhandahålls i Finland. Med europeisk digital identitetsplånbok som tillhandahålls i Finland avses en plånbok som tillhandahållits i Finland på något av de sätt som avses i artikel 5a.2 i eIDAS-förordningen. Enligt artikeln i fråga kan plånböcker tillhandahållas direkt av en medlemsstat, på uppdrag av en medlemsstat eller oberoende av en medlemsstat men med den medlemsstatens erkännande. I praktiken kan en europeisk digital identitetsplånbok alltså tillhandahållas av den offentliga sektorn, men också av den privata sektorn så att plånboken är erkänd i Finland. I den föreslagna 33 § föreskrivs det att Transport- och kommunikationsverket har till uppgift att anmäla europeiska digitala identitetsplånböcker som tillhandahålls i Finland. En plånbok betraktas som erkänd och tillhandahållen i Finland när Transport- och kommunikationsverket har gjort anmälan i fråga till Europeiska kommissionen. Enligt bestämmelsen tillämpas lagen således inte på europeiska digitala identitetsplånböcker som tillhandahålls av någon annan medlemsstat. Exempelvis bestämmelserna om åldersgränsen för ibruktagande av plånboken eller eventuell avgift för elektronisk underskrift med plånboken tillämpas inte på plånböcker som tillhandahålls av en annan medlemsstat. Bestämmelsen begränsar emellertid inte möjligheten att i Finland använda plånböcker som tillhandahålls av andra medlemsstater.
I 3 mom. föreskrivs det att på gränsöverskridande system för elektronisk identifiering som ska anmälas till Europeiska kommissionen tillämpas autentiseringslagen, om inte något annat följer av denna lag eller eIDAS-förordningen. I eIDAS-förordningen föreskrivs det också i fortsättningen om de tre tillitsnivåerna för elektronisk identifiering (låg, väsentlig och hög) och i förordningen om tillitsnivåer för elektronisk identifiering specificeras kraven på system för elektronisk identifiering på olika tillitsnivåer. System för elektronisk identifiering ska uppfylla något krav som gäller tillitsnivån för att identifieringssystemen i fråga ska kunna anmälas till Europeiska kommissionen för gränsöverskridande bruk. Bestämmelser om anmälandet finns i artikel 9 i eIDAS-förordningen och enligt den ska den anmälande medlemsstaten anmäla exempelvis uppgifter om det tillämpliga systemet för tillsyn och information om systemet för skadeståndsansvar.
Det har bestämts att kraven på nationella identifieringsverktyg för stark autentisering ska harmoniseras med kraven enligt tillitsnivån väsentlig som avses i eIDAS-förordningen. Med detta avses att nationella identifieringsverktyg för stark autentisering förutsätts uppfylla minst kraven enligt tillitsnivån väsentlig. I Finland tillhandahålls emellertid också identifieringsverktyg som uppfyller kraven enligt tillitsnivån hög. Avsikten med att harmonisera kraven var att göra det lättare för aktörer inom stark autentisering i Finland att för sitt eget identifieringsverktyg ansöka om ställning som så kallat gränsöverskridande identifieringsverktyg (RP 74/2016 rd, s. 12). Bestämmelser om dessa krav finns i autentiseringslagen. Till denna del är det dock inte fråga om reglering som kompletterar eIDAS-förordningen och som ska ingå i den föreslagna eIDAS-lagen, utan om reglering av den nationella starka autentiseringen. När kraven emellertid har harmoniserats med kraven enligt tillitsnivån väsentlig i eIDAS-förordningen och regleringen i autentiseringslagen således innehåller alla de element som förutsätts när ett elektroniskt identifieringssystem anmäls enligt eIDAS-förordningen, ska tillhandahållaren av identifieringstjänsten tillämpa regleringen i autentiseringslagen vid tillhandahållande av sitt identifieringsverktyg om tillhandahållaren vill anmäla identifieringsverktyget i enlighet med eIDAS-förordningen.
2 §.Definitioner. Enligt förslaget föreskrivs det i paragrafen om de centrala definitioner som används i lagen. Definitionerna motsvarar till vissa delar definitionerna i den reviderade eIDAS-förordningen.
I 1 punkten definieras europeisk digital identitetsplånbok. Med detta avses detsamma som med den europeiska digitala identitetsplånbok som definieras i artikel 3.42 i den reviderade eIDAS-förordningen Enligt artikeln i fråga avser detta ett medel för elektronisk identifiering som gör det möjligt för användaren att på ett säkert sätt lagra, hantera och validera personidentitetsuppgifter och elektroniska attributsintyg i syfte att tillhandahålla dem till förlitande parter och andra användare av europeiska digitala identitetsplånböcker, och att underteckna med kvalificerade elektroniska underskrifter eller att stämpla med kvalificerade elektroniska stämplar.
I 2 punkten definieras identifieringsuppgifter för personer. Dessa avser i enlighet med artikel 3.3 i den reviderade eIDAS-förordningen uppgifter som gör det möjligt att fastställa identiteten på en fysisk eller juridisk person eller på en fysisk person som företräder en annan fysisk person eller en juridisk person. Uppgifter för personidentifiering har i fråga om elektroniska identifieringssystem definierats i bilagan till kommissionens genomförandeförordning (EU) 2015/1501 och i fråga om den europeiska digitala identitetsplånboken i bilagan till kommissionens genomförandeförordning (EU) 2024/2977. Identifieringsuppgifter för personer indelas i obligatoriska och frivilliga uppgifter för personidentifiering. I plånboken är obligatoriska identifieringsuppgifter för en fysisk person personens nuvarande förnamn, nuvarande efternamn, födelsedatum och födelseort samt nationalitet.
I 3 punkten definieras förlitande part. Med det avses i enlighet med artikel 3.6 i den reviderade eIDAS-förordningen en fysisk eller juridisk person som förlitar sig på elektronisk identifiering, europeiska digitala identitetsplånböcker eller andra medel för elektronisk identifiering eller på en betrodd tjänst. Förlitande parter är t.ex. e-tjänster inom den offentliga eller den privata sektorn, där den europeiska digitala identitetsplånboken kan utnyttjas för identifiering av kunder i tjänsten.
I 4 punkten definieras nationell nod. Detta avser i enlighet med kommissionens genomförandeförordning (EU) 2015/1501 en förbindelsepunkt som utgör en del av den interoperativa arkitekturen för elektronisk identifiering och som medverkar vid gränsöverskridande autentisering av personer och som har förmågan att känna igen och behandla eller vidarebefordra överföringar till andra noder genom att bringa den nationella elektroniska identifieringsinfrastrukturen i en medlemsstat i kontakt med nationella elektroniska identifieringsinfrastrukturer i andra medlemsstater. Med nationell nod avses i praktiken alltså ett nationellt gränssnitt genom vilket identifieringstransaktioner som föreskrivs i eIDAS-förordningen förmedlas mellan Finland och andra länder. Den nationella noden upprätthålls enligt den föreslagna 19 § av Myndigheten för digitalisering och befolkningsdata.
Med organ för bedömning av överensstämmelse avses i enlighet med 5 punkten de organ för bedömning av överensstämmelse som avses i artikel 3.18 i eIDAS-förordningen och de certifieringsorgan som avses i de bestämmelser som utfärdats med stöd av artikel 5 c. Enligt artikel 3.18 i eIDAS-förordningen avses med organ för bedömning av överensstämmelse ett organ enligt definitionen i artikel 2.13 i förordning (EG) nr 765/2008 som i enlighet med den förordningen är ackrediterat för överensstämmelsebedömning av en kvalificerad tillhandahållare av en betrodd tjänst och den kvalificerade betrodda tjänst som denne tillhandahåller eller för att certifiera europeiska digitala identitetsplånböcker eller medel för elektronisk identifiering. Enligt artikel 2.9 i den genomförandeförordning som antagits med stöd av artikel 5c.6 i eIDAS-förordningen, dvs. förordningen om certifiering av plånböcker avses med ett certifieringsorgan ett externt organ för bedömning av överensstämmelse som ansvarar för certifieringsordningens funktion. I praktiken avses med organ för bedömning av överensstämmelse ett organ som Transport- och kommunikationsverket utser med stöd av 26 § och anmäler till kommissionen och som ackrediterats vara behörig att bedöma överensstämmelse av en kvalificerad tillhandahållare av en betrodd tjänst och den betrodda tjänst som denne tillhandahåller eller att certifiera europeiska digitala identitetsplånböcker eller metoder för elektronisk identifiering.
Med teknisk utrustning avses enligt 6 punkten en mobil enhet eller annan motsvarande utrustning som användaren av den europeiska digitala identitetsplånboken innehar och i vilken plånboken har tagits i bruk. I praktiken kan det vara fråga om exempelvis en mobiltelefon eller en pekplatta.
2 kap. Europeisk digital identitetsplånbok och medel för elektronisk identifiering
3 §. Utfärdande av identifieringsuppgifter för fysiska personer. Enligt förslaget föreskrivs det i paragrafen om utfärdande av identifieringsuppgifter för fysiska personer. Identifieringsuppgifter för personer definieras i 2 § 2 punkten. Uppgifter för personidentifiering definieras i fråga om den europeiska digitala identitetsplånboken närmare i bilagan till kommissionens genomförandeförordning (EU) 2024/2977. I plånboken är obligatoriska identifieringsuppgifter för en fysisk person personens nuvarande förnamn, nuvarande efternamn, födelsedatum och födelseort samt nationalitet. Regleringen behövs för genomförande av de skyldigheter för medlemsstaterna som anges i artikel 5a i den reviderade eIDAS-förordningen och i kommissionens genomförandeförordning (EU) 2024/2977, som antagits med stöd av den. I genomförandeförordningen definieras tillhandahållare av personidentifieringsuppgifter och enligt definitionen ansvarar tillhandahållaren för att utfärda och återkalla personidentifieringsuppgifter och säkerställa att en användares personidentifieringsuppgifter är kryptografiskt bundna till en plånboksenhet.
Enligt 1 mom. utfärdas identifieringsuppgifter för fysiska personer av Myndigheten för digitalisering och befolkningsdata. I praktiken är alltså Myndigheten för digitalisering och befolkningsdata i fråga om identifieringsuppgifter för fysiska personer den tillhandahållare av personidentifieringsuppgifter som avses i kommissionens genomförandeförordning (EU) 2024/2977. När det gäller uppgifter för personidentifiering handlar det i praktiken, på det sätt som beskrivs ovan, om basuppgifter om personens identitet. I Finland betraktas befolkningsdatasystemet som ett register över basuppgifter om personer, och det är ändamålsenligt att de identifieringsuppgifter för fysiska personer som utfärdas för europeiska digitala identitetsplånböcker som tillhandahålls från Finland bygger på uppgifterna i befolkningsdatasystemet. Eftersom Myndigheten för digitalisering och befolkningsdata är personuppgiftsansvarig för befolkningsdatasystemet är det motiverat att myndigheten också utfärdar identifieringsuppgifter för fysiska personer. I praktiken innebär detta att en förutsättning för att identifieringsuppgifter för fysiska personer ska utfärdas är att personen är registrerad i befolkningsdatasystemet. Bestämmelser om utfärdande av identifieringsuppgifter för juridiska personer finns i 5 §.
Utfärdande av identifieringsuppgifter för fysiska personer för plånböcker förutsätter att användaren har installerat en applikation för en europeisk digital identitetsplånbok på en teknisk utrustning, t.ex. en telefon, och att applikationen har aktiverats så att det går att ladda ner identifieringsuppgifterna för personen och andra uppgifter. I praktiken erhålls identifieringsuppgifterna för personen så att användaren startar ibruktagandet av identifieringsuppgifter i applikationen. Myndigheten för digitalisering och befolkningsdata begär i egenskap av tillhandahållare av identifieringsuppgifter för fysiska personer via plånboken användaren att identifiera sig i enlighet med villkoren för säkerhetsnivån hög. Efter en godkänd identifiering utfärdar myndigheten identifieringsuppgifterna. Identifieringsuppgifter för personer kan utfärdas också på ett serviceställe med assistans av en tjänsteperson. Användaren ska då styrka sin identitet för tjänstepersonen med en handling som styrker identiteten, såsom pass, identitetskort eller en jämförbar handling. Tjänstepersonen ska på ett tillförlitligt sätt länka samman användaren, den handling som styrker användarens identitet och användarens europeiska digitala identitetsplånbok. Användaren får till sin europeiska digitala identitetsplånbok information om att identifieringsuppgifterna för person har utfärdats.
I 2 mom. föreskrivs det om möjligheterna för en användare av en europeisk digital identitetsplånbok att ansöka om identifieringsuppgifter för en fysisk person genom ett besök hos en finsk beskickning eller Statens ämbetsverk på Åland. Det är fråga om en sådan situation som beskrivs ovan när identifieringsuppgifter för en person utfärdas med assistans av en tjänsteperson vid ett serviceställe. Med finländska beskickningar avses de ambassader, legationer, generalkonsulat, konsulat, vicekonsulat och konsularagenturer som räknas upp i 9 § 1 mom. i lagen om konsulära tjänster (498/1999). Myndigheten för digitalisering och befolkningsdata utfärdar också i dessa situationer identifieringsuppgifter för fysiska personer, men den finländska beskickningen eller Statens ämbetsverk på Åland identifierar personerna och tar emot de uppgifter som behövs för utfärdande av identifieringsuppgifter samt registrerar dem i det system som Myndigheten för digitalisering och befolkningsdata använder vid utfärdande av identifieringsuppgifter för fysiska personer. Den finländska beskickningen eller Statens ämbetsverk på Åland ansvarar för att de uppgifter som registreras där är tillförlitliga och korrekta. Det är fråga om en mycket begränsad och till karaktären assisterande uppgift i processen för utfärdande av identifieringsuppgifter för fysiska personer.
Enligt 3 mom. ska Myndigheten för digitalisering och befolkningsdata utfärda identifieringsuppgifter för fysiska personer för sådana europeiska digitala identitetsplånböcker som Transport- och kommunikationsverket har anmält till Europeiska kommissionen i enlighet med 33 §. De plånböcker för vilka anmälan i fråga har gjorts anses vara plånböcker som tillhandahållits från Finland. Enligt artikel 5a.2 i den reviderade eIDAS-förordningen kan en europeisk digital identitetsplånbok tillhandahållas direkt av en medlemsstat, på uppdrag av en medlemsstat eller oberoende av en medlemsstat men med den aktuella medlemsstatens erkännande. I praktiken är utfärdandet av identifieringsuppgifter för fysiska personer alltså knutet till att plånboken har anmälts till kommissionen.
Enligt 3 mom. kan Myndigheten för digitalisering och befolkningsdata utfärda identifieringsuppgifter för fysiska personer också för andra än i Finland tillhandahållna europeiska digitala identitetsplånböcker. Myndigheten för digitalisering och befolkningsdata har ändå inte någon skyldighet till detta. Med andra europeiska digitala identitetsplånböcker avses i praktiken plånböcker som tillhandahålls av andra EU-medlemsstater. Myndigheten för digitalisering och befolkningsdata offentliggör emellertid en förteckning över alla europeiska digitala identitetsplånböcker som den stöder i egenskap av tillhandahållare av identifieringsuppgifter för fysiska personer. Enligt artikel 3.6 i kommissionens genomförandeförordning (EU) 2024/277, som antagits med stöd av artikel 5a i den reviderade eIDAS-förordningen ska medlemsstaterna offentliggöra en förteckning över plånbokslösningar som stöds av tillhandahållare av personidentifieringsuppgifter som ingår i den medlemsstatens system för elektronisk identifiering. I momentet föreskrivs det att denna skyldighet är en uppgift för Myndigheten för digitalisering och befolkningsdata. Detta innebär att Myndigheten för digitalisering och befolkningsdata ska upprätthålla en förteckning över de tillhandahållare av plånböcker som den i egenskap av tillhandahållare av identifieringsuppgifter för fysiska personer godkänner.
4 §. Registret över identifieringsuppgifter för fysiska personer. Paragrafen föreslås innehålla bestämmelser om ett register i anslutning till utfärdandet av identifieringsuppgifter för fysiska personer, som Myndigheten för digitalisering och befolkningsdata för i anslutning till sin uppgift enligt 3 § att utfärda identifieringsuppgifter för fysiska personer. Rättsgrunden för behandling av personuppgifter i anslutning till registerföringen är artikel 6.1 c i dataskyddsförordningen, där det anges att behandlingen av personuppgifter i situationer som avses där är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Artikel 5a.4 led a i den reviderade eIDAS-förordningen förutsätter att användaren på olika sätt ska kunna hantera uppgifter för personidentifiering med den europeiska digitala identitetsplånboken. Enligt artikel 3.1 i kommissionens genomförandeförordning (EU) 2024/2977, som antagits med stöd av artikel 5a i den reviderade eIDAS-förordningen ska tillhandahållare av personidentifieringsuppgifter utfärda personidentifieringsuppgifter för plånboksenheter samt i enlighet med artikel 5 möjliggöra återkallande av personidentifieringsuppgifter. I bilagan till kommissionens genomförandeförordning (EU) 2024/2977 föreskrivs det om obligatoriska personidentifieringsuppgifter för fysiska personer som varje medlemsstat ska tillhandahålla för europeiska digitala identitetsplånböcker samt frivilliga personidentifieringsuppgifter som medlemsstaterna tillhandahåller enligt eget övervägande. Ovan i 3 § föreskrivs det som komplettering till den reviderade eIDAS-förordningen att Myndigheten för digitalisering och befolkningsdata utfärdar identifieringsuppgifter för fysiska personer för europeiska digitala identitetsplånböcker. Således bildar den reviderade eIDAS-förordningen, kommissionens genomförandeförordning som antagits med stöd av förordningen och den kompletterande nationella lagstiftningen tillsammans en rättslig förpliktelse som åvilar Myndigheten för digitalisering och befolkningsdata.
Enligt 1 mom. införs i registret de uppgifter som behövs för utfärdande, giltighet, uppdatering och återkallande avseende identifieringsuppgifter för fysiska personer med beaktande av artikel 5a i eIDAS-förordningen och de bestämmelser som utfärdats med stöd av den. I registret införs t.ex. en individualiserande uppgift om utfärdade personidentifieringsuppgifter, en individualiserande uppgift om den europeiska digitala identitetsplånbok för vilken uppgifterna har utfärdats samt användarens kontaktinformation. I registret införs dessutom uppgifter om status för identifieringsuppgifterna för en fysisk person, dvs. uppgift om huruvida identifieringsuppgifterna är giltiga. I registret införs också uppgift om huruvida personidentifieringsuppgifterna har återkallats.
I 2 mom. föreskrivs det om bevaringstiden för uppgifterna i registret över identifieringsuppgifter för fysiska personer. Uppgifterna i anslutning till identifieringsuppgifter för fysiska personer bevaras så länge som uppgifterna är giltiga. När identifieringsuppgifterna har upphört att gälla bevaras de i ytterligare fem år. Det kan vara nödvändigt att i efterhand verifiera t.ex. för vilken europeisk digital identitetsplånbok identifieringsuppgifterna för en fysisk person har tagits i bruk och vilket innehållet i de utfärdade identifieringsuppgifterna har varit. Verifiering av dessa uppgifter kan vara nödvändigt, t.ex. för att det ska kunna utredas om rätt person har tagit i bruk den europeiska digitala identitetsplånboken eller om plånboken är i rätt persons besittning.
5 §.Utfärdande av identifieringsuppgifter för juridiska personer. Enligt förslaget föreskrivs det i paragrafen om utfärdande av identifieringsuppgifter för juridiska personer. Enligt paragrafen har Patent- och registerstyrelsen rätt att utfärda identifieringsuppgifter för juridiska personer för europeiska digitala identitetsplånböcker. Formuleringen avviker från det förslag som gäller identifieringsuppgifter för fysiska personer så till vida att regleringen möjliggör utfärdande av identifieringsuppgifter för juridiska personer. Det är ännu osäkert om det kommer att skapas europeiska digitala identitetsplånböcker för juridiska personer. Patent- och registerstyrelsen ges som ny uppgift att enligt 3.3 i eIDAS-förordningen utfärda identifieringsuppgifter för juridiska personer, om sådana tillhandahålls i framtiden. I fråga om innehållet i identifieringsuppgifterna ska Patent- och registerstyrelsen följa det som föreskrivs i kommissionens genomförandeförordning (EU) 2024/2977. Identifieringsuppgifterna för juridiska personer definieras i punkt 2 i bilagan till genomförandeförordningen och de ska alltid innehålla minst den juridiska personens juridiska namn och en unik identifieringskod. Dessutom kan identifieringsuppgifterna innehålla valfria element.
Identifieringsuppgifterna förs inte in i handelsregistret eller i företags- och samfundsdatasystemet och uppgifterna är således inte allmänt offentliga på motsvarande sätt som uppgifter som gäller de ovannämnda registren. Samtidigt föreskrivs det inte att identifieringsuppgifterna för juridiska personer är sekretessbelagda. Det ska dock noteras att om eIDAS-förordningen eller genomförandeförordningen medför krav som gäller identifieringsuppgifternas offentlighet eller utlämnandet av uppgifterna, ska dessa iakttas.
Patent- och registerstyrelsen får inte i uppgift att tillhandahålla en europeisk digital identitetsplånbok och det föreskrivs inte heller något annat om tillhandahållande av plånböcker i fråga om juridiska personer. Detta blir en uppgift som ska genomföras av privata aktörer. Ett villkor för utfärdande av identifieringsuppgifter är emellertid att den juridiska personen har en plånbok som identifieringsuppgifterna kan kopplas till.
I 2 mom. föreskrivs det om ansökan om identifieringsuppgifter och om de villkor som gäller juridiska personer. Identifieringsuppgifter utfärdas inte å tjänstens vägnar, utan erhållandet förutsätter en ansökan från den juridiska personen. I fråga om ansökan tillämpas bestämmelserna om att företräda en juridisk person, och inte t.ex. vad som i företags- och organisationsdatalagen (244/2001) föreskrivs om att göra anmälan till handelsregistret. När det gäller sökande av ändring i beslut som fattats om ansökan tillämpas vad som föreskrivs i lagen om Patent- och registerstyrelsen (578/2013). För handläggning av ansökan påförs en avgift i enlighet med lagen om avgifter för patent- och registerstyrelsens prestationer (1032/1992).
Identifieringsuppgifter för juridiska personer kan utfärdas endast för juridiska personer som är införda i handelsregistret. När det gäller ett företag eller samfund som är infört i handelsregistret kan det ur registret fås uppgifter bl.a. om dem som har rätt att företräda företaget eller samfundet och om den juridiska personens status, såsom likvidation eller konkurs. Några hundra föreningar och stiftelser är införda i handelsregistret på den grunden att de bedriver näringsverksamhet. I handelsregistret införs emellertid inte föreningars och stiftelsers ansvarspersoner, utan de framgår endast av förenings- och stiftelseregistret. Med hänsyn till att utfärdandet av identifieringsuppgifter i detta skede inte omfattar förenings- och stiftelseregistret utesluts också sådana föreningar och stiftelser från lagens tillämpningsområde som ingår förutom i förenings- och stiftelseregistret även i handelsregistret. Eftersom kravet är att det ska vara fråga om en juridisk person, är det inte möjligt att med en bifirma som är införd i handelsregistret få identifieringsuppgifter, i och med att det är fråga om en utländsk juridisk persons bifirma som inte är en självständig juridisk person. Identifieringsuppgifter ska inte heller utfärdas för utländska juridiska personer. Likaså utesluts privata näringsidkare som inte är juridiska personer från lagens tillämpningsområde. Med hänsyn till hur avgränsade de införda uppgifterna är utfärdas identifieringsuppgifter inte heller till samfund som betraktas som juridiska personer och som är registrerade endast i företags- och organisationsdatasystemet. I företags- och organisationsdatasystemet införs exempelvis inte ansvarspersoner.
Det behövs ingen separat reglering om återkallande av juridiska personers identifieringsuppgifter, utan till den delen tillämpar Patent- och registerstyrelsen vad som föreskrivs i eIDAS-förordningen och genomförandeförordningen (EU) 2024/2977, särskilt i artikel 5.
I 3 mom. föreskrivs det på motsvarande sätt som i 3 § om utfärdande av identifieringsuppgifter för fysiska personer om att Patent- och registerstyrelsen gör en förteckning över alla europeiska digitala identitetsplånböcker som den stöder i egenskap av tillhandahållare av identifieringsuppgifter för juridiska personer.
I 4 mom. föreskrivs det om utlämnande av personuppgifter som framgår av en ansökan om identifieringsuppgifter. Det ska inte anses finnas ett likadant behov för allmän offentlighet för denna typ av personuppgifter som för exempelvis de ansvarspersoner som är införda i det handelsregister som Patent- och registerstyrelsen för. Således föreskrivs det i 4 mom. att Patent- och registerstyrelsen får lämna ut personuppgifter om fysiska personer som framgår av en ansökan som avses i 2 mom. till andra än företrädare för den juridiska personen med iakttagande av vad som i 2 § 2 mom. i handelsregisterlagen (564/2023) föreskrivs om utlämnande av en i handelsregistret införd personbetecknings slutled och en utomlands bosatt fysisk persons hemadress. I 2 § 2 mom. i handelsregisterlagen föreskrivs det att registermyndigheten får lämna ut i handelsregistret införda uppgifter om personbeteckningens slutled och en utomlands bosatt fysisk persons hemadress endast om mottagaren har en sådan grund för behandling av uppgifter som avses i 29 § i dataskyddslagen. Sådana uppgifter får också på det sätt som föreskrivs i 1 mom. lämnas ut elektroniskt i ett krypterat eller på annat sätt skyddat format. En förutsättning är dessutom att den som begär uppgifterna lämnar registermyndigheten en redogörelse för att uppgifterna skyddas på behörigt sätt. När det gäller personuppgifter som framgår av ansökan tillämpas de villkor som anges i 2 § 2 mom. i handelsregisterlagen på alla personuppgifter som framgår av ansökan, inte bara på personbeteckningens slutled eller hemadressen. Företrädare för den juridiska person som har gjort ansökan har emellertid rätt att få uppgifterna utan grund enligt 29 § i dataskyddslagen.
6 §. Registret över identifieringsuppgifter för juridiska personer. Den föreslagna paragrafen motsvarar det som föreslås i 4 § om registret över identifieringsuppgifter för fysiska personer, men Patent- och registerstyrelsen är personuppgiftsansvarig i fråga om identifieringsuppgifterna för juridiska personer. Enligt 1 mom. för Patent- och registerstyrelsen register över de identifieringsuppgifter för juridiska personer som den har utfärdat. I registret införs de uppgifter som behövs för utfärdande, giltighet, uppdatering och återkallande avseende identifieringsuppgifter för juridiska personer med beaktande av artikel 5a i eIDAS-förordningen och de bestämmelser som utfärdats med stöd av den. Sådana uppgifter som ska införas i registret kan i fråga om identifieringsuppgifter för juridiska personer vara exempelvis företagets FO-nummer, den sökande och dennes personbeteckning och ställning, åtgärder som myndigheten vidtagit och individualiseringsuppgifter för plånboken. Även andra nödvändiga uppgifter kan införas i registret. Enligt 2 mom. bevaras identifieringsuppgifter för juridiska personer som införts i registret fem år efter att giltigheten för den juridiska personens identifieringsuppgifter har upphört. Regleringen motsvarar till innehållet det som föreslås om bevarande av identifieringsuppgifter för fysiska personer.
7 §. Tillhandahållande av europeiska digitala identitetsplånböcker. Enligt förslaget föreskrivs det i 1 mom. att Myndigheten för digitalisering och befolkningsdata har till uppgift att tillhandahålla europeiska digitala identitetsplånböcker. Det är fråga om tillhandahållande av en plånbok som används av fysiska personer. Myndigheten för digitalisering och befolkningsdata ska tillämpa kraven i språklagen när den tillhandahåller europeiska digitala identitetsplånböcker och således tillhandahålls plånboken också på svenska. Myndigheten för digitalisering och befolkningsdata åläggs uppgiften att tillhandahålla plånböckerna av den anledningen att en utredning som finansministeriet har låtit göra visar att verksamheten på marknaden för europeiska digitala identitetsplånböcker under de närmaste åren bedöms vara bristfällig. Med detta avses att sedvanlig marknadsverksamhet saknas och att det inte inom utsatt tid kommer att finnas ett utbud på plånböcker som uppfyller kraven enligt den reviderade eIDAS-förordningen (marknadsbrist). I Finland säkerställs det alltså att skyldigheten enligt artikel 5a.1 i den reviderade eIDAS-förordningen att tillhandahålla en nationell europeisk digital identitetsplånbok fullgörs genom att Myndigheten för digitalisering och befolkningsdata i lag åläggs uppgiften att producera en europeisk digital identitetsplånbok. Det är möjligt att följa utvecklingen på marknaden och den fortgående marknadsbristen utifrån information om vilka plånböcker Transport- och kommunikationsverket har anmält till Europeiska kommissionen med stöd av 33 § 2 punkten i den föreslagna eIDAS-lagen. Avsikten med propositionen är inte att avvika från den i 4 a kap. i konkurrenslagen föreskrivna rätten för Konkurrens- och konsumentverket att ingripa i ett förfarande eller en verksamhetsstruktur som tillämpas i den ekonomiska verksamhet som bedrivs av en kommun, en samkommun, ett välfärdsområde, en välfärdssammanslutning eller staten, eller av en enhet som de har bestämmande inflytande över.
I 2 mom. föreskrivs det att också andra aktörer kan producera plånböcker som avses i 1 mom. Enligt paragrafen begränsar bestämmelserna i 1 mom. inte andra myndigheters eller juridiska eller fysiska personers möjligheter att tillhandahålla europeiska digitala identitetsplånböcker. eIDAS-förordningen möjliggör också plånböcker som producerats av andra aktörer. Vid beredningen av propositionen har det bedömts att om aktörer inom den privata sektorn vill tillhandahålla europeiska digitala identitetsplånböcker ska detta inte regleras genom lag på det sätt som avses i 124 § i grundlagen. Grundlagsutskottet har i sin utlåtandepraxis ansett att karaktären av de affärsekonomiska tjänster som avses i autentiseringslagen till den grad har distanserat sig från karakteristika som gäller för offentliga myndighetsuppdrag, att verksamheten inte längre kan betraktas som en offentlig förvaltningsuppgift trots att verktygen för stark elektronisk autentisering och certifiering har betydelse för parternas ställning i olika typer av rättshandlingar (GrUU 16/2009 rd, s. 2). Som det beskrivs ovan under propositionens konsekvenser för konkurrensrätten är funktionerna i den europeiska digitala identitetsplånboken motsvarande som i den starka autentisering och kvalificerade elektroniska underskrift som redan är tillgängliga på marknaden. Om andra aktörer i framtiden tillhandahåller plånböcker ska de uppfylla villkoren i eIDAS-förordningen och den föreslagna eIDAS-lagen.
I 3 mom. föreskrivs det om anmälningsskyldighet för tillhandahållare av europeiska digitala identitetsplånböcker. Med tillhandahållare avses den som tillhandahåller en europeisk digital plånbok i Finland på något av de sätt som avses i artikel 5a.2 i eIDAS-förordningen. Den reviderade eIDAS-förordningen definierar inte tillhandahållare av plånböcker, utan dessa definieras i kommissionens genomförandeförordningar som kompletterar förordningen. En tillhandahållare av en europeisk digital identitetsplånbok ska innan den börjar tillhandahålla plånboken göra en anmälan till Transport- och kommunikationsverket. Anmälningsskyldigheten behövs, eftersom Transport- och kommunikationsverket enligt den föreslagna 33 § 2 punkten informerar Europeiska kommissionen och den samarbetsgrupp som inrättats i enlighet med artikel 46e.1 i den reviderade eIDAS-förordningen om europeiska digitala identitetsplånböcker som i enlighet med artikel 5a tillhandhållits i Finland. Anmälan till Transport- och kommunikationsverket är i praktiken en anmälan om att aktören har för avsikt att börja tillhandahålla en europeisk digital identitetsplånbok. På basis av anmälan kan Transport- och kommunikationsverket innan tillhandahållandet av plånboken inleds säkerställa att tillhandahållaren och plånboken uppfyller kraven i den reviderade eIDAS-förordningen.
De uppgifter som ska anmälas anges detaljerat i 5a.18 b och 5d i eIDAS-förordningen samt i kommissionens genomförandeförordningar (EU) 2024/2980 och (EU) 2025/849 som antagits med stöd av artiklarna. De uppgifter som avses i dessa punkter i förordningen är t.ex. organ som ansvarar för tillhandahållande av europeiska digitala identitetsplånböcker samt certifikat för certifierade europeiska digitala identitetsplånböcker och rapporter om certifieringsbedömning, beskrivningar av det system för elektronisk identifiering där plånboken tillhandahålls samt om det tillsynssystem som tillämpas. I momentet finns emellertid ingen direkt hänvisning till förordningarna i fråga, eftersom kommissionen har uttryckt att den eventuellt ändrar förordningarna under de närmaste åren. Därför hänvisas det i momentet bara till artiklarna i eIDAS-förordningen och den reglering som antagits med stöd av dem.
Enligt det föreslagna 4 mom. ska tillhandahållaren av en europeisk digital identitetsplånbok utan dröjsmål underrätta Transport- och kommunikationsverket om ändringar i de uppgifter som avses i 3 mom. Transport- och kommunikationsverket får utfärda närmare föreskrifter om hur de uppgifter som avses i 2 och 3 mom. ska lämnas.
8 §. Personuppgiftsansvarig för den europeiska digitala identitetsplånbok som Myndigheten för digitalisering och befolkningsdata tillhandahåller. Enligt förslaget föreskrivs det i paragrafen att Myndigheten för digitalisering och befolkningsdata är personuppgiftsansvarig för den europeiska digitala identitetsplånbok som myndigheten tillhandahåller med stöd av 7 § och för behandlingen av personuppgifter i samband med tillhandahållandet av plånboken. Rättsgrunden för behandlingen av personuppgifter i samband med tillhandahållandet av plånboken är artikel 6.1 c i dataskyddsförordningen, som anger att behandling av personuppgifter i en situation enligt ledet är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Artikel 5a.1 i den reviderade eIDAS-förordningen förutsätter att varje medlemsstat tillhandahåller en plånbok som uppfyller kraven i förordningen. Ovan i 7 § föreskrivs det som komplettering till den reviderade eIDAS-förordningen att Myndigheten för digitalisering och befolkningsdata har till uppgift att tillhandahålla en europeisk digital identitetsplånbok i Finland. Således bildar den reviderade eIDAS-förordningen och den kompletterande nationella lagstiftningen tillsammans en rättslig förpliktelse som åvilar Myndigheten för digitalisering och befolkningsdata.
Myndigheten för digitalisering och befolkningsdata tillhandahåller alltså med stöd av den föreslagna 7 § en plånbok i enlighet med den reviderade eIDAS-förordningen. Tillhandahållandet av plånboken går ut på att erbjuda en applikation som användaren laddar ner på sin mobila enhet samt att genomföra de system och tjänster som tillhandahållandet av applikationen förutsätter. I praktiken leder tillhandahållandet av plånboken till att det vid Myndigheten för digitalisering och befolkningsdata uppkommer flera nya register som innehåller personuppgifter och som förutsätter att dessa behandlas. Myndigheten för digitalisering och befolkningsdata ska exempelvis föra ett register över plånboksenheter som innehåller uppgifter om plånboksinstanserna i den plånbok som myndigheten tillhandahåller.
Det är med stöd av dataskyddsförordningen möjligt att föreskriva om den personuppgiftsansvarige. Med personuppgiftsansvarig avses enligt artikel 4.7 i dataskyddsförordningen en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. I paragrafen föreslås det en uttrycklig bestämmelse om att Myndigheten för digitalisering och befolkningsdata är personuppgiftsansvarig för den europeiska digitala identitetsplånbok som myndigheten tillhandahåller och för registren i anslutning till tillhandahållandet av plånboken. Regleringen behövs för att inget ska bli oklart i fråga om personuppgiftsansvaret när hänsyn tas särskilt till principerna om plånbokens funktioner och till användarens rättigheter.
Ställningen för Myndigheten för digitalisering och befolkningsdata som personuppgiftsansvarig begränsar inte vad som i den reviderade eIDAS-förordningen föreskrivs om plånbokens användares rätt att kontrollera sina uppgifter i plånboken. Avsikten är samtidigt inte heller att genom den föreslagna regleringen ändra vad den allmänna dataskyddsförordningen föreskriver om den personuppgiftsansvarige och dennes skyldigheter. Den europeiska digitala identitetsplånboken bygger på så kallad egen kontroll över uppgifter. Det handlar om en modell för behandling av personuppgifter där en person själv kan hantera tillhandahållandet av sina personuppgifter från sig själv eller betrodd tredjepart till e-tjänster där personuppgifterna behövs.
Egen kontroll över uppgifter framgår av den reviderade eIDAS-förordningen på flera ställen, såsom artikel 5a.4 a, enligt vilken användaren med hjälp av plånböcker på ett säkert sätt ska kunna begära, erhålla, välja, kombinera, lagra, radera, dela och visa, under användarens egen kontroll, uppgifter för personidentifiering och andra uppgifter. Dessutom konstateras det i artikel 5a.14 att användaren ska ha full kontroll över användningen av, och uppgifterna i, sin europeiska digitala identitetsplånbok. Tillhandahållaren av plånboken får inte samla in uppgifter om användningen av plånboken som inte är nödvändiga för tillhandahållandet av tjänsterna i plånboken, och inte kombinera identifieringsuppgifter för personen eller andra personuppgifter som har lagrats i eller som är relaterade till användningen av plånboken med andra personuppgifter som erhållits ur tillhandahållarens tjänster och som inte är nödvändiga för tillhandahållandet av tjänsterna i plånboken.
Den egna kontroll över uppgifterna i den europeiska digitala identitetsplånboken som föreskrivs i den reviderade eIDAS-förordningen påverkar i praktiken hur omfattande personuppgiftsansvar Myndigheten för digitalisering och befolkningsdata har. Exempelvis ansvaret enligt den allmänna dataskyddsförordningen för att personuppgifterna är korrekta hör i regel till den personuppgiftsansvarige, och ansvaret kan inte överföras på någon annan myndighet. I Helsingfors förvaltningsdomstols beslut 8.6.2023 3396/2023 Dnr 26393/03.04.04.04.01/2021 konstaterades i anslutning till detta att domstolarna enligt 6 och 7 § i lagen om justitieförvaltningens nationella informationsresurs (955/2020) ska föra in sina avgöranden eller uppgifter om slutresultatet i Rättsregistercentralens register över avgöranden och meddelanden om avgöranden. I det sammanhanget ska domstolen se till att de uppgifter den för in motsvarar avgörandet och anteckningarna i domstolens egna register, att behövliga anteckningar har gjorts i informationsresursen för att uppgifterna ska överföras på rätt sätt och att anteckningarna har gjorts i enlighet med de tekniska krav som den personuppgiftsansvarige har ställt. Förvaltningsdomstolen ansåg liksom biträdande dataombudsmannen att de skyldigheter som i 7 § i lagen om justitieförvaltningens nationella informationsresurs föreskrivs för domstolarna inte utesluter den personuppgiftsansvariges, dvs. Rättsregistercentralens, skyldighet att sörja för att de personuppgifter som förts in i dess register är korrekta och att vidta alla tänkbara rimliga åtgärder för att säkerställa uppgifternas riktighet.
Det ansvar som Myndigheten för digitalisering och befolkningsdata bär för att uppgifterna är korrekta i relation till den plånbok som myndigheten tillhandahåller och till de anknytande registren är ändå annorlunda än i det ovan beskrivna fallet. Myndigheten för digitalisering och befolkningsdata är i egenskap av tillhandahållare av den europeiska digitala identitetsplånboken inte på det sätt som beskrivs ovan part när uppgifter överförs till plånboken, utan parter är den som använder plånboken och den aktör som överlåter uppgifterna. På motsvarande sätt är Myndigheten för digitalisering och befolkningsdatas personuppgiftsansvar i nuläget begränsat i samband med Suomi.fi-meddelanden. I dataskyddsbeskrivningen för tjänsten Suomi.fi-meddelanden konstateras det att Myndigheten för digitalisering och befolkningsdata inte är en part i elektronisk kommunikation i egenskap av tjänsteproducent för Suomi.fi-meddelanden och myndigheten har i regel inte rätt att läsa meddelanden som anlänt till personer eller företag eller meddelanden som dessa skickat i tjänsten. Kundorganisationerna som använder Suomi.fi-meddelanden är registeransvariga för innehållet i de meddelanden som de skickar. Suomi.fi-meddelanden fungerar endast som en plattform för förmedling av kundorganisationernas meddelanden. I fråga om genomförandet av plånboken är det fråga om en situation av samma slag med tanke på Myndigheten för digitalisering och befolkningsdatas personuppgiftsansvar.
Som det beskrivits ovan ska uppgifterna i plånboken alltså vara i användarens uteslutande besittning och under dennes egen fulla kontroll. I praktiken är uppgifterna i plånboken personens egna uppgifter, vilket innebär att den som överför uppgifterna inte efter detta har möjlighet att bestämma eller följa var och för vilka ändamål personen visar sina egna uppgifter. Olika uppgifter som gäller användare av en europeisk digital identitetsplånbok tillhandahålls för plånboken i regel som elektroniska attributsintyg, som är en ny betrodd tjänst i enlighet med den reviderade eIDAS-förordningen. Bestämmelser om tillhandahållare av elektroniska attributsintyg och även om de elektroniska attributsintygen finns i den reviderade eIDAS-förordningen. Det är fråga om en tjänst som är separat från plånboken, även om plånboken i praktiken fungerar som användningsplattform för attributsintygen. Tillhandahållaren av ett elektroniskt attributsintyg ansvarar för att uppgifterna i intyget är korrekta.
Myndigheten för digitalisering och befolkningsdata ansvarar i regel endast för att de uppgifter är korrekta som myndigheten själv har överlåtit för personens bruk i den europeiska digitala identitetsplånboken. Det finns emellertid väldigt begränsat med uppgifter av det här slaget när Myndigheten för digitalisering och befolkningsdata har rollen som tillhandahållare av plånboken, och det är främst fråga om uppgifter som av tekniska och praktiska skäl behövs för tillhandahållandet av plånboken. Exempelvis kunde det finnas skäl att i det ovannämnda registret för plånboksenheter föra in vissa personuppgifter, såsom användaruppgifter, med hjälp av vilka användaren kan logga in i den användarportal som Myndigheten för digitalisering och befolkningsdata tillhandahåller och t.ex. återkalla giltigheten för en plånbok i sitt bruk. Myndigheten för digitalisering och befolkningsdata ansvarar också för att de identifieringsuppgifter för fysiska personer som myndigheten har utfärdat för personen enligt den föreslagna 3 § är korrekta, och detsamma gäller uppgifter som myndigheten har tillhandahållit användaren av plånboken som elektroniskt attributsintyg. I dessa situationer har Myndigheten för digitalisering och befolkningsdata emellertid inte rollen som tillhandahållare av plånboken, utan som tillhandahållare av identifieringsuppgifter för fysiska personer samt en betrodd tjänst som tillhandahåller elektroniska attributsintyg.
Omfattningen av det personuppgiftsansvar som beskrivs ovan är i regel motsvarande också när plånboken tillhandahålls av en aktör inom den privata sektorn.
9 §.Bevaringstid för information om tillhandahållande av europeiska digitala identitetsplånböcker. Enligt förslaget innehåller paragrafen bestämmelser om bevaringstiden för uppgifter som gäller tillhandahållande av europeiska digitala identitetsplånböcker. Paragrafen gäller både Myndigheten för digitalisering och befolkningsdata när den tillhandahåller en europeisk digital identitetsplånbok med stöd av den föreslagna 7 § och eventuella aktörer inom den privata sektorn när de tillhandahåller en plånbok. I den reviderade eIDAS-förordningen och kommissionens genomförandeförordningar som antagits med stöd av den åläggs aktörer som tillhandahåller plånböcker flera olika skyldigheter, och för att kunna fullgöra dessa krävs det i praktiken att aktörerna för olika register som innehåller också personuppgifter. Den reviderade eIDAS-förordningen fastställer emellertid inte hur länge sådana uppgifter ska bevaras och därför behövs den föreslagna regleringen.
I 1 mom. föreskrivs det att tillhandahållare av en europeisk digital identitetsplånbok ska bevara informationen om plånboken och informationen om tillhandahållandet av den i fem år från det att plånboken upphörde att gälla. Det kan finnas behov av att i efterhand verifiera exempelvis på vilken enhet plånboken har tagits i bruk.
I 2 mom. anges det hur länge transaktionsloggarna över en europeisk digital identitetsplånbok ska finnas tillgängliga. Bestämmelser om transaktionsloggar finns i artikel 5a.4 d i den reviderade eIDAS-förordningen, enligt vilken användare ska kunna få tillgång till en logg över alla transaktioner som utförts genom den europeiska digitala identitetsplånboken via en gemensam instrumentpanel. Enligt artikel 9.6 i kommissionens genomförandeförordning (EU) 2024/2979, som antagits med stöd av artikel 5a i den reviderade eIDAS-förordningen, ska loggarna förbli tillgängliga så länge som krävs enligt unionsrätten eller nationell rätt. Det föreskrivs dock inte om bevarandetiden för uppgifterna i unionsrätten och därför behövs det nationell kompletterande reglering. I transaktionsloggarna finns information om alla transaktioner som utförts genom plånboken och med förlitande parter eller andra europeiska digitala identitetsplånböcker. Det föreslås i momentet att informationen ska finnas tillgänglig i två år från ingången av kalenderåret efter den tidpunkt då informationen registrerades. Användaren kan i efterhand behöva verifiera och få information om transaktioner som utförts via plånboken exempelvis i fall som är relaterade till missbruk av plånboken eller för att tillgodose sina egna rättigheter. Informationsmängden kan emellertid vara betydande, beroende på hur aktivt användaren använder sin plånbok. Av den anledningen förutsätts det inte att informationen finns tillgänglig längre än två år.
10 §.Ibruktagande av en europeisk digital identitetsplånbok för en minderårig. Den reviderade eIDAS-förordningen fastställer inte någon åldersgräns för ibruktagande av en europeisk digital identitetsplånbok, varför saken måste regleras genom nationell lagstiftning och allmänna krav som gäller ibruktagande av plånböcker. Paragrafen föreslås innehålla en uttrycklig bestämmelse om möjligheten för en minderårig att självständigt ta i bruk en plånbok som tillhandahålls i Finland. Den som fyllt tretton år kan ta i bruk en europeisk digital identitetsplånbok utan vårdnadshavarens samtycke.
Det finns nationella bestämmelser i flera olika lagar om vårdnadshavarnas beslutanderätt i ärenden som gäller minderåriga samt om minderårigas rätt att delta i beslutsfattande och sköta ärenden självständigt vid en viss ålder. Enligt 6 § 3 mom. i grundlagen ska barn bemötas som jämlika individer och de ska ha rätt till medinflytande enligt sin utvecklingsnivå i frågor som gäller dem själva. Enligt motiveringen till bestämmelsen vill man genom bestämmelsen bl.a. understryka att barn i förhållande till vuxenbefolkningen ska bemötas som jämlika individer som i princip har lika grundläggande fri- och rättigheter. Samtidigt erkänns det i grundlagen att barn behöver särskilt skydd och särskild omsorg, eftersom de är omyndiga och som grupp svagare än samhällets vuxna befolkning (RP 309/1993, s. 49).
I 5 § i dataskyddslagen föreskrivs det om den åldersgräns som tillämpas när informationssamhällets tjänster erbjuds till barn. Enligt paragrafen är, när personuppgifter behandlas med samtycke enligt artikel 6.1 a i dataskyddsförordningen och det är fråga om informationssamhällets tjänster enligt artikel 4.25 i dataskyddsförordningen som erbjuds direkt till ett barn, behandlingen av barnets personuppgifter lagenlig, om barnet är minst 13 år. Informationssamhällets tjänster är exempelvis mobilapplikationer eller tjänster i sociala medier. En europeisk digital identitetsplånbok är i regel en mobilapplikation, även om också webbläsarversioner av plånboken är möjliga. När aktörer inom den privata sektorn tillhandahåller en plånbok är den anknytande grunden för behandling av personuppgifter det samtycke som avses i artikel 6.1 a i den allmänna dataskyddsförordningen och som det hänvisas till i paragrafen. Det är alltså fråga om ett samtycke enligt den allmänna dataskyddsförordningen, och inte om ett samtycke som tillämpas som skyddsåtgärd i samband med behandling av personuppgifter. När behandlingsgrunden är samtycke, kan aktörer inom den privata sektorn i regel tillhandahålla en europeisk digital identitetsplånbok för 13-åringar. I fråga om barn som är yngre än så ska en aktör inom den privata sektorn kontrollera att barnet har föräldrarnas samtycke. I samband med att dataskyddslagen stiftades konstaterade förvaltningsutskottet i fråga om åldersgränsen att genomförandet av dataskyddsförordningen och lagstiftningen är ett slags balanserande mellan att skydda barnet och barnets rätt att delta. Barns och ungas rätt att utnyttja informationssamhällets tjänster och medverka i den digitala kulturen ska ändå inte begränsas i onödan. Samtidigt vill utskottet ytterligare inskärpa betydelsen av andra åtgärder för att inverka på att barn och ungdomar kan agera tryggt i den virtuella världen (FvUB 13/2018 rd s. 30).
Bestämmelser om barns möjlighet att delta i behandlingen av ett förvaltningsärende finns i förvaltningslagens (434/2003) 14 § som gäller omyndigas talan. Enligt 1 mom. förs en omyndigs talan av den omyndigas intressebevakare, vårdnadshavare eller någon annan laglig företrädare. En omyndig har dock rätt att ensam föra sin talan i ärenden som gäller sådan inkomst eller förmögenhet som han eller hon råder över. Enligt 3 mom. har en minderårig som har fyllt femton år och hans eller hennes vårdnadshavare eller någon annan laglig företrädare rätt att var för sig föra talan i ett ärende som gäller den minderårigas person eller personliga fördel eller rätt. En minderårig som har fyllt 15 år kan alltså agera självständigt vid sidan av sin vårdnadshavare eller en annan laglig företrädare. När Myndigheten för digitalisering och befolkningsdata tillhandahåller en europeisk digital identitetsplånbok är den anknytande grunden för behandling av personuppgifter artikel 6.1 c i dataskyddsförordningen, där det anges att behandling av personuppgifter är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. På en plånbok som tillhandahålls av Myndigheten för digitalisering och befolkningsdata tillämpas således inte åldersgränsen på 13 år enligt 5 § i dataskyddslagen. Däremot tillämpar Myndigheten för digitalisering och befolkningsdata vid ibruktagande av plånboken regleringen i förvaltningslagen och den ovan beskrivna åldersgränsen på 15 år. Det är alltså på denna grund möjligt för en minderårig som har fyllt 15 år att självständigt ta i bruk en plånbok som Myndigheten för digitalisering och befolkningsdata tillhandahåller.
Regleringen i paragrafen behövs för att personer i samma ålder ska kunna ta i bruk plånboken självständigt oavsett om plånboken tillhandahålls av Myndigheten för digitalisering och befolkningsdata eller av en aktör inom den privata sektorn. Utan den föreslagna regleringen förutsätter självständigt ibruktagande av den plånbok som Myndigheten för digitalisering och befolkningsdata tillhandahåller en högre ålder än ibruktagande av en plånbok som tillhandahålls inom den privata sektorn. Eftersom plånboken ändå till sina funktioner och krav är likadan oavsett tillhandahållaren är det inte motiverat att det ska vara möjligt att ta en plånbok i bruk självständigt vid olika ålder beroende på vilken tillhandahållaren är.
När det i regel är fråga om informationssamhällets tjänster som avses i dataskyddslagen är det motiverat att vid självständigt ibruktagande tillämpa åldersgränsen på 13 år i enlighet med dataskyddslagen. Detta ökar konsekvensen med tanke på regleringen av den digitala miljön. Trots att fallen av missbruk och brott som sker på nätet har ökat kan det ändå antas att en 13-åring inte ens på elektronisk väg kan utföra rättshandlingar med betydande förmögenhetsvärde. Ändå kan en 13-åring ha svårigheter att förstå eller gestalta konsekvenserna av sina förbindelser och ansvaren i anslutning till användningen av tjänsten. Det bör emellertid noteras att propositionen inte innehåller något förslag om att utvidga 13-åringars rättigheter att utföra rättshandlingar, utan denna rätt fastställs också i fortsättningen med stöd av annan lagstiftning. Däremot främjar en åldersgräns på 13 år minderårigas likvärdiga möjligheter att sköta ärenden och styrka sin identitet elektroniskt. Exempelvis inom social- och hälsovården är det möjligt för en 13-åring att sköta ärenden självständigt utan vårdnadshavare, och för dessa situationer behövs det en självständig möjlighet för 13-åringar att styrka identiteten och göra elektroniska underskrifter.
Dessutom bör det noteras att den ålder på 13 år som föreslås i paragrafen gäller endast ibruktagande av en europeisk digital identitetsplånbok i en minderårigs mobila enhet. I praktiken är det fråga om att ladda ned en applikation för en europeisk digital identitetsplånbok på användarens tekniska utrustning samt att ta i bruk identifieringsuppgifter för personen. För varje elektroniskt attributsintyg tillämpas emellertid den reglering som gäller intyget och dess tillhandahållare. Också plånbokens förlitande parter ska själv bedöma om en minderårig i varje enskilt fall kan sköta ärendet självständigt eller om ärendet kräver separat samtycke av vårdnadshavaren. Att plånboken laddas ned i den minderårigas mobila enhet innebär således inte nödvändigtvis att den minderåriga med hjälp av plånboken kan sköta ärenden självständigt i varje situation, utan detta fastställs enligt annan reglering.
Samtidigt har den europeiska digitala identitetsplånboken också ansetts möjliggöra bättre skydd för minderåriga vid elektronisk kommunikation. Diskussionen om skydd för minderåriga i elektroniska tjänster har under den senaste tiden blivit allt viktigare i och med att olika plattformar för sociala medier samt användningen av videospel ökar. Med hjälp av plånboken är det möjligt att styrka användarens ålder på ett tillförlitligt sätt, vilket kan möjliggöra övervakning av åldersgränser i anslutning till olika elektroniska tjänster och kanaler på sociala medier. Dessutom kan minderåriga med plånboken styrka sin egen identitet på motsvarande sätt som med de nuvarande verktygen för stark autentisering. I den regeringsproposition som stiftandet av autentiseringslagen stödde sig på konstaterades det att stark autentisering är säkrare att använda än svag autentisering såväl för användaren som för tjänsteleverantören. Metoderna för stark autentisering är bättre än metoderna för svag autentisering t.ex. när det gäller att bekämpa identitetsstölder (RP 36/2009 rd, s. 10). Vid svag autentisering kan en person själv skapa sig eller ges flera elektroniska s.k. identiteter, som också kan avvika från personens faktiska egenskaper. Personen kan uppge felaktiga uppgifter om t.ex. sin ålder eller sitt kön (RP 36/2009 rd, s. 8). Den föreslagna åldersgränsen främjar alltså också i detta avseende möjligheterna för yngre personer än tidigare att använda ett säkert sätt för att styrka sin identitet elektroniskt.
Om en person som är under 13 år vill ta i bruk en europeisk digital identitetsplånbok kräver det vårdnadshavarens samtycke. Enligt 5 § 1 mom. i lagen angående vårdnad om barn och umgängesrätt (361/1983) ansvarar barnets vårdnadshavare gemensamt för de uppgifter som hör till vårdnaden om barnet och fattar gemensamt beslut som gäller barnet, om inte annorlunda är stadgat eller bestämt. Enligt den föreslagna paragrafen räcker emellertid samtycke från en vårdnadshavare för ibruktagande av plånboken. Tillhandahållaren av plånboken ska bedöma på vilket sätt vårdnadshavarens samtycke inhämtas. Vårdnadshavarens samtycke till ibruktagande av plånboken ska ges senast i samband med att identifieringsuppgifterna för personen tas i bruk.
11 §.Utlämnande av källkoder för europeiska digitala identitetsplånböcker. I paragrafen föreslås det bestämmelser om utnyttjande av nationellt handlingsutrymme i fråga om utlämnande av källkoder för applikationer för europeiska digitala identitetsplånböcker. Bestämmelser om nationellt handlingsutrymme finns i artikel 5a.3 i den reviderade eIDAS-förordningen. Innehållet i handlingsutrymmet beskrivs närmare i avsnitt 2.2.1. Enligt paragrafen behöver en tillhandahållare av en europeisk digital identitetsplånbok inte lämna ut en källkod för en plånboks komponenter som inte har installerats på den tekniska utrustningen av en användare för den europeiska digitala identitetsplånboken, om det föreligger vederbörligen motiverade skäl för detta. Det är alltså möjligt att begränsa utlämnandet av källkoden i fråga om olika bakomliggande system, såsom de bibliotek och kommunikationskanaler som används.
Enligt formuleringen i paragrafen behöver tillhandahållaren av plånboken inte överlåta källkoden för den europeiska digitala identitetsplånboken om det finns vederbörligen motiverade skäl för att låta bli att överlåta källkoden. Det är således fråga om möjliggörande reglering så att tillhandahållaren av plånboken ändå alltid enligt sitt övervägande kan låta bli att tillämpa de föreslagna bestämmelserna och överlåta källkoden för plånboken. När det nationella handlingsutrymmet utnyttjas är det fråga om ett undantag. Därmed ska förekomsten av ett vederbörligen motiverat skäl tolkas snävt. Tillhandahållaren av plånboken ska bedöma om det finns ett vederbörligen motiverat skäl som gör att källkoden för plånboken inte behöver överlåtas. Myndigheten för digitalisering och befolkningsdata ska också vid tillhandahållande av en europeisk digital identitetsplånbok följa lagen om offentlighet i myndigheternas verksamhet (621/1999, nedan offentlighetslagen). Källkoden för plånboken kan anses vara en myndighetshandling som avses i 5 § i offentlighetslagen. I 24 § i offentlighetslagen föreskrivs det om sekretessbelagda myndighetshandlingar, och i 1 mom. uppräknas olika grunder för sekretessen. Offentlighetslagen stiftades med medverkan av grundlagsutskottet och godtagbarheten av grunderna för sekretess i förhållande till offentlighetspresumtionen samt till andra grundläggande fri- och rättigheter bedömdes i lagens förarbeten (RP 30/1998 rd). Det är inte ändamålsenligt att i detta sammanhang avvika från de framförda bedömningarna, och som sådana vederbörligen motiverade skäl som avses i paragrafen kan alltså i regel betraktas grunderna för sekretess enligt 24 § i offentlighetslagen. Myndigheten för digitalisering och befolkningsdata kan således låta bli att lämna ut källkoden för den plånbok som myndigheten tillhandahåller i fråga om sådana komponenter som inte har lagrats på användarens utrustning när någon av grunderna för sekretess enligt 24 § i offentlighetslagen råder.
Offentlighetslagen tillämpas inte på privata tjänstetillhandahållares handlingar. Därmed kan ett vederbörligen motiverat skäl inte på motsvarande sätt direkt härledas ur grunderna för sekretess enligt 24 § 1 mom. i offentlighetslagen när en europeisk digital identitetsplånbok tillhandahålls av en privat tjänstetillhandahållare. Vid bedömningen av ett vederbörligen motiverat skäl kan det ändå vara möjligt att hämta stöd i grunderna för sekretess enligt offentlighetslagen, t.ex. i grunden för sekretess i relation till privata affärshemligheter enligt 24 § 1 mom. 20 punkten. Vid bedömningen ska det dessutom läggas vikt vid de aspekter som eftersträvas genom öppenhet hos källkoden för plånböckerna. Enligt skäl 33 i den reviderade eIDAS-förordningen är avsikten med öppenheten hos källkoden att främja det samhälleliga förtroendet för plånböckerna och plånböckernas godkännande bland användarna. Dessutom är avsikten att säkerställa att plånboken fungerar så transparent som möjligt i synnerhet med tanke på behandlingen av personuppgifter. Med öppenheten hos källkoden för plånböckerna vill man också säkerställa deras säkerhet.
12 §. Avgifter för kvalificerade elektroniska underskrifter i europeiska digitala identitetsplånböcker.I paragrafen föreslås det bestämmelser om utnyttjande av nationellt handlingsutrymme i fråga om avgifter för elektroniska underskrifter. Bestämmelser om det nationella handlingsutrymmet finns i artikel 5a.5 andra delen i den reviderade eIDAS-förordningen. Innehållet i handlingsutrymmet beskrivs närmare i avsnitt 2.2.1. Om det nationella handlingsutrymmet inte utnyttjas är elektronisk underskrift med hjälp av plånboken alltid avgiftsfri för fysiska personer. En kvalificerad elektronisk underskrift är emellertid en betrodd tjänst enligt eIDAS-förordningen som i nuläget vanligen tillhandahålls mot avgift av leverantörer av betrodda tjänster inom EU. Också enligt artikel 3.16 i den reviderade eIDAS-förordningen avses med betrodda tjänster elektroniska tjänster som i allmänhet tillhandahålls mot vederlag. Att det föreskrivs att tjänsten ska vara avgiftsfri innebär alltså redan i sig ett undantag från att tjänster i allmänhet är avgiftsbelagda. Syftet med att utnyttja det nationella handlingsutrymmet är att minska de negativa konsekvenserna för verksamheten hos de leverantörer av betrodda tjänster som tillhandahåller kvalificerade elektroniska underskrifter. Avsikten är ändå inte att genom bestämmelsen begränsa eller på annat sätt ta ställning till för vilka användningsändamål elektronisk underskrift som görs med en europeisk digital identitetsplånbok kan eller inte kan användas. Avsikten med bestämmelsen är endast att göra det möjligt att ta ut en avgift när elektronisk underskrift görs för undertecknarens yrkesmässiga ändamål.
Enligt paragrafen kan en tillhandahållare av en europeisk digital identitetsplånbok eller en kvalificerad betrodd tjänst som producerar en kvalificerad underskrift för plånboken ta ut en avgift för kvalificerad elektronisk underskrift som görs med plånboken när de villkor som avses i paragrafen uppfylls. Med tanke på det praktiska genomförandet kan kvalificerad underskrift produceras för plånboken av en annan aktör än den som tillhandahåller den egentliga plånboken. Av denna anledning kan rätten att besluta om avgiften höra också till den kvalificerade tillhandahållare av den betrodda tjänsten som producerar funktionen i fråga.
Enligt paragrafen kan avgift tas ut i första hand när det går att tillförlitligt verifiera att den som använder plånboken är kopplad till en organisation. I praktiken innehåller en europeisk digital identitetsplånbok en anordning för att skapa en kvalificerad elektronisk underskrift. Alternativt går det att med hjälp av plånboken använda en extern kvalificerad anordning för att skapa en elektronisk underskrift. När plånboken används av en fysisk person är anordningen för att skapa en kvalificerad elektronisk underskrift i regel personlig. Därför kan man i regel i en sådan situation inte sluta sig till att den fysiska personen har en koppling till en organisation, vilket krävs t.ex. för underskrift i tjänsteuppdrag. Då är användningen av elektronisk underskrift i regel jämförbar med den nuvarande användningen av underskriftscertifikat som finns i identitetskort. Det ska emellertid vara möjligt att påvisa en tillförlitlig koppling till en organisation t.ex. genom användning av Suomi.fi-fullmakter, med ett separat elektroniskt attributsintyg eller med kvalificerad elektronisk stämpel. Avsikten är emellertid att bestämmelsen ska vara teknikneutral och därför anges där inte det tekniska sättet för genomförandet av kopplingen.
En tillförlitlig koppling till en organisation kan styrkas också genom utveckling av sådana europeiska digitala identitetsplånböcker vars användare är fysiska personer som sköter ärenden för en organisations räkning. Då kan genom en kvalificerad underskrift som gjorts med plånboken utöver undertecknarens identitet också kopplingen till organisationen verifieras tillförlitligt. Detta tillvägagångssätt är i någon mån jämförbart med elektronisk underskrift med underskriftscertifikat som finns i de nuvarande organisationskorten. Verifieringen av organisationskopplingen bör göras samtidigt som personen beviljas det underskriftscertifikat som behövs för att göra underskrift. Organisationskopplingen kan verifieras antingen av certifierarens bakomliggande system t.ex. mot ett externt register eller alternativt så att undertecknaren styrker de uppgifter som behövs för verifiering av organisationskopplingen genom sin egen plånbok, t.ex. med hjälp av ett elektroniskt attributsintyg.
Enligt paragrafen kan en avgift tas ut förutom för elektronisk underskrift med plånboken också i situationer där man tillförlitligt kan verifiera att underskriften är kopplad till ett yrkesmässigt ändamål. Det är möjligt att påvisa kopplingen exempelvis med ett separat elektroniskt attributsintyg. Alternativt kan kopplingen och avgiften bygga på samlad information i informationssystemet för den part som begär underskriften. Det kan vara fråga om ett yrkesmässigt ändamål t.ex. om underskriften görs som en del av näringsverksamheten för användaren av den europeiska digitala identitetsplånboken. I den gällande lagstiftningen har i allmänhet yrkesmässighet och kontinuitet betraktats som kännetecken för näringsverksamhet. Icke-yrkesmässig verksamhet har däremot ansetts vara förknippad med en viss slumpmässighet. Det är emellertid möjligt att det också finns situationer där yrkesmässigheten är småskalig, men kontinuerlig, såsom vid företagande som bisyssla.
13 §. Skyldigheter för tillhandahållare av europeiska digitala identitetsplånböcker i situationer med säkerhetsincidenter. Paragrafen föreslås innehålla bestämmelser om skyldigheterna för tillhandahållare av europeiska digitala identitetsplånböcker i situationer där plånboken, de valideringsmekanismer som avses i artikel 5a.8 eller det system för elektronisk identifiering där plånboken tillhandahålls är föremål för en säkerhetsincident eller deras säkerhet delvis har äventyrats. Regleringen behövs för att förtydliga vilken aktör som ansvarar för fullgörandet av de skyldigheter som åläggs medlemsstaterna i den reviderade eIDAS-förordningens artikel 5e, som gäller säkerhetsincidenter med europeiska digitala identitetsplånböcker (se närmare om skyldigheternas innehåll i avsnitt 2.2.1).
I 1 mom. anges det att tillhandahållaren av en europeisk digital identitetsplånbok i fråga om den plånbok som denne tillhandahåller svarar för att medlemsstatens skyldigheter enligt artikel 5e i eIDAS-förordningen och bestämmelser som utfärdats med stöd av den artikeln fullgörs. Tillhandahållaren av plånboken har de bästa förutsättningarna att observera och hantera säkerhetsincidenter i fråga om den plånbok den tillhandahåller samt att vidta de åtgärder som avses i artikel 5e. Av denna anledning är det ändamålsenligt att den som tillhandahåller en europeisk digital identitetsplånbok svarar för skyldigheterna enligt artikeln i fråga om den plånbok som den tillhandahåller. Medlemsstaternas skyldigheter preciseras i kommissionens genomförandeförordning (EU) 2025/847. I genomförandeförordningen föreskrivs det exempelvis om kriterierna för bedömning av en säkerhetsincident eller äventyrande samt om upphävande av tillhandahållandet och användningen av plånboken och om andra åtgärder samt om återupprättande av användningen. I momentet finns dock ingen direkt hänvisning till förordningen i fråga, eftersom kommissionen har uttryckt att den eventuellt ändrar förordningen under de närmaste åren, och därför hänvisas det i momentet bara till eIDAS-förordningen och den reglering som antagits med stöd av den.
I 2 mom. föreskrivs det om situationer där en tillhandahållare av en europeisk digital identitetsplånbok av tekniska skäl inte kan fullgöra medlemsstatens skyldighet att anmäla säkerhetsincidenter. Då görs anmälan av Transport- och kommunikationsverket. Enligt artikel 10 i kommissionens genomförandeförordning (EU) 2025/847 ska anmälningarna göras via systemet för analys och rapportering av cyberincidenter, (Cyber Incident Reporting and Analysis System, CIRAS) som drivs av Enisa, eller ett likvärdigt system som överenskommits av medlemsstaterna och kommissionen. I regel är det inte möjligt för någon annan än en aktör inom den offentliga sektorn att göra anmälningar via CIRAS-systemet. I praktiken innebär detta att när plånboken tillhandahålls av en aktör inom den privata sektorn, är det inte möjligt för aktören att fullgöra medlemsstaternas anmälningsskyldigheter i situationer som avses i artikel 5e. Av denna anledning behövs det reglering om att anmälan i dessa situationer görs av Transport- och kommunikationsverket. Tillhandahållaren av plånboken har en skyldighet att utan obefogat dröjsmål lämna alla behövliga uppgifter till Transport- och kommunikationsverket. När det gäller att lämna uppgifter ska de tidsfrister för anmälan som avses i kommissionens genomförandeförordningen (EU) 2025/847 beaktas och det ska säkerställas att Transport- och kommunikationsverket ges en rimlig tid för att göra anmälan.
14 §. Skyldigheter för användare av europeiska digitala identitetsplånböcker. Det föreslås att paragrafen innehåller bestämmelser om skyldigheterna för användaren av en europeisk digital identitetsplånbok när det gäller förvaring och användning av plånboken. I artikel 3.5a i den reviderade eIDAS-förordningen definieras användare, som avser en fysisk eller juridisk person, eller en fysisk person som företräder en annan fysisk person eller en juridisk person, som använder betrodda tjänster eller medel för elektronisk identifiering som tillhandahålls i enlighet med eIDAS-förordningen. Dessutom definieras användare i kommissionens genomförandeförordningar som utfärdats med stöd av den reviderade eIDAS-förordningen och med termen avses en användare som innehar en plånboksenhet.
Den reviderade eIDAS-förordningen reglerar inte det ansvar som användaren av en europeisk digital identitetsplånbok har, varför saken ska regleras enligt nationellt övervägande. Enligt 1 mom. ska användaren av en europeisk digital identitetsplånbok använda plånboken omsorgsfullt. Skyldigheten att använda plånboken omsorgsfullt gäller särskilt de individualiserande uppgifter med vilka plånboken kan användas, så som PIN-kod eller annan motsvarande kod eller identifieringskod. Vid bedömning av hurdana försiktighetsåtgärder det är rimligt att förutsätta av användaren ska det beaktas att plånboken i många fall ingår i personens mobila enhet som han eller hon använder ofta och bär på sig. Till rimliga försiktighetsåtgärder hör exempelvis att på det sätt som omständigheterna förutsätter hålla reda på den enhet där plånboken finns. Hur omsorgsfulla försiktighetsåtgärderna är bedöms som helhet. Skyldigheten att använda plånboken omsorgsfullt börjar när plånboken har tagits i bruk. Med användning av plånboken avses användning av vilken som helst av funktionerna i plånboken. Skyldigheten att vara omsorgsfull gäller således elektronisk identifiering med hjälp av plånboken och elektronisk underskrift samt användning av elektroniska attributsintyg. Om användaren alltså gör en elektronisk underskrift eller sätter en stämpel med hjälp av plånboken tillämpas på detta inte de skyldigheter som föreskrivs i den föreslagna 16 §.
I 1 mom. föreskrivs det dessutom om förbud mot att överlåta den europeiska digitala identitetsplånboken för att användas av någon annan. Plånboken är avsedd endast för att styrka identiteten för den person som är kopplad till plånboken och den personens fastställda uppgifter. Regleringen behövs med tanke på fastställandet av det ansvar som användaren av plånboken har, och motsvarande bestämmelse ingår i 23 § 2 mom. i autentiseringslagen. Plånboken gör det möjligt för användaren att identifiera sig elektroniskt och även att använda andra uppgifter som är kopplade till personen själv. För att e-tjänster ska kunna lita på den identifiering som bygger på plånboken och på de uppgifter som styrks med plånboken är det nödvändigt att plånboken och de ärenden som sköts med dess hjälp med säkerhet gäller bara en person. Avsikten med regleringen är dessutom att göra det tydligt för användaren att även om den europeiska digitala identitetsplånboken i regel är en applikation som fungerar i en mobil enhet, vilket i nuläget är ett rätt vardagligt fenomen, är den avsedd att användas enbart av användaren själv. Att bestämmelserna överensstämmer med autentiseringslagen stöder målet i den föreslagna regleringen att förtydliga för användarna att den europeiska digitala plånboken och användningen av den är förknippad med motsvarande skyldighet att ta hand om plånboken som den skyldighet som gäller de nuvarande identifieringsverktygen för stark autentisering.
Det föreslagna 1 mom. innehåller ingen uttrycklig bestämmelse om att förbudet mot att överlåta den europeiska digitala identitetsplånboken för att användas av någon annan inte gäller situationer där användaren behöver hjälp av en personlig assistent för att använda plånboken. Enligt artikel 5a.21 i den reviderade eIDAS-förordningen ska europeiska digitala identitetsplånböcker emellertid göras tillgängliga för användning av personer med funktionsnedsättning, på samma villkor som andra användare, i enlighet med Europaparlamentets och rådets direktiv (EU) 2019/882. Det föreslagna 1 mom. begränsar inte detta krav enligt eIDAS-förordningen. Med tillgänglighet avses att hinder för användning av produkter och tjänster undanröjs och uppkomsten av hinder förebyggs. Tillgänglighet innebär att personer med funktionsnedsättning kan observera, använda och förstå produkter och tjänster på samma villkor som andra. Enligt 15 § i diskrimineringslagen (1325/2014) ska myndigheter och de som tillhandahåller varor eller tjänster göra sådana ändamålsenliga och rimliga anpassningar som behövs i det enskilda fallet för att göra det möjligt för personer med funktionsnedsättning att på lika villkor som andra använda myndigheters tjänster samt få varor och tjänster som tillhandahålls allmänheten. När anpassningarnas rimlighet bedöms beaktas utöver behoven hos en människa med funktionsnedsättning också aktörens storlek och ekonomiska ställning, verksamhetens art och omfattning samt de uppskattade kostnaderna för anpassningarna och det stöd som finns att få för anpassningarna.
I enlighet med kundens behov kan tänkbara anpassningsformer vara bland annat redigering av handlingar i punktskrift, tillhandahållande av nyckeltal i elektronisk form, identifiering med fingeravtryck eller tillåtande av att personlig assistent används. När en plånbok tillhandahålls måste det emellertid bedömas hurdana anpassningar som är möjliga inom ramen för eIDAS-förordningen och reglering som antagits med stöd av den samt den nationella certifieringsordningen, för att en person med funktionsnedsättning på lika villkor som andra ska kunna använda en europeisk digital identitetsplånbok. Om det vid tillhandahållande av en plånbok har gjorts anpassningar som möjliggör användning av plånboken på lika villkor möjliggjort exempelvis anlitande av personlig assistent ska dessa anpassningar beaktas när man bedömer om användaren har överlåtit plånboken för att användas av någon annan. Det är t.ex. i regel inte fråga om överlåtande av plånboken för att användas av någon annan om det som en rimlig anpassning har gjorts möjligt att anlita personlig assistent. Den föreslagna regleringens förhållande till jämlikhet behandlas närmare i avsnitt 12.1.
I 2 mom. föreskrivs det om skyldigheten för den som använder en europeisk digital identitetsplånbok att göra en anmälan om att den tekniska utrustningen obehörigen har kommit i någon annans besittning eller om obehörig användning av plånboken. Anmälan ska göras till tillhandahållaren av plånboken utan obefogat dröjsmål när användaren har noterat saken. Ansvaret för användaren av plånboken för obehörig användning upphör efter att anmälan har gjorts. Huruvida användaren har gjort anmälan utan obefogat dröjsmål bedöms från fall till fall med hänsyn till omständigheterna. Ingen fastställd form anges för anmälan.
15 §.Användarens ansvar för obehörig användning av en europeisk digital identitetsplånbok. Enligt förslaget föreskrivs det i paragrafen om ansvaret för användaren av en europeisk digital identitetsplånbok i situationer där en annan person använder eller har använt plånboken obehörigen. Paragrafen tillämpas exempelvis när en mobil enhet där den europeiska digitala identitetsplånboken har tagits i bruk har förkommit eller blivit stulen och den person som hittat eller stulit plånboken lyckas använda den och de uppgifter den innehåller. Autentiseringslagens gällande 27 § innehåller motsvarande bestämmelser om vilket ansvar innehavaren av ett identifieringsverktyg har för obehörig användning av verktyget. På motsvarande sätt innehåller betaltjänstlagen (290/2010) bestämmelser om vilket ansvar användaren av en betaltjänst har för obehörig användning av betalningsmedlet och 7 kap. 40 § i konsumentskyddslagen bestämmelser om vilket ansvar konsumenten har för obehörig användning av ett kreditkort eller annan kod som berättigar till användning av kredit.
I 1 mom. föreskrivs det uttömmande om de situationer där användaren av en europeisk digital identitetsplånbok ansvarar för obehörig användning av plånboken. Med användning av plånboken avses användning av vilken som helst av funktionerna i plånboken. Skyldigheten att vara omsorgsfull gäller således stark autentisering med hjälp av plånboken och elektronisk underskrift samt användning av elektroniska attributsintyg. Om elektronisk underskrift eller stämpling inte görs med plånboken tillämpas på detta alltså inte det ansvar som föreskrivs i 15 §. Användaren kan enligt 1 mom. bli ansvarig för sådan obehörig användning som beror på att användaren av den europeiska digitala identitetsplånboken själv har överlåtit plånboken för att användas av någon annan. Det handlar om sådan överlåtelse som avses i bestämmelsen när användaren av plånboken medvetet och frivilligt överlåter besittningen av plånboken till någon annan. Bestämmelsen gäller således t.ex. inte situationer där användaren av plånboken tillfälligt överlåter den mobila enhet där plånboken har tagits i bruk till någon annan för förvaring. Tillämpningen av bestämmelsen förutsätter att uppgifter som behövs för hantering av plånboken har överlåtits, t.ex. den sifferkod eller någon annan kod som behövs för att applikationen ska kunna användas.
Vid bedömning av om personen själv har överlåtit plånboken för att användas av någon annan ska det emellertid på det sätt som beskrivs ovan i 14 § tas hänsyn till om det vid tillhandahållande av plånboken har gjorts anpassningar som möjliggör användning av plånboken på lika villkor och t.ex. gjorts möjligt att anlita personliga assistent. Det är i regel inte fråga om överlåtande av plånboken för att användas av någon annan om det som en rimlig anpassning har gjorts möjligt att anlita personlig assistent. Den föreslagna regleringens förhållande till jämlikhet behandlas närmare i avsnitt 12.1.
Enligt 2 punkten kan användaren bli ansvarig för obehörig användning av plånboken om den obehöriga användningen beror på användarens oaktsamhet som inte är lindrig. Enligt 3 punkten kan användaren därtill bli ansvarig för obehörig användning av plånboken om han eller hon har försummat sin skyldighet enligt den föreslagna 14 § att utan obefogat dröjsmål anmäla till tillhandahållaren av plånboken att den tekniska utrustningen obehörigen har kommit i någon annans besittning eller om obehörig användning av plånboken.
I 2 mom. föreskrivs det om situationer där användaren av en europeisk digital identitetsplånbok dock inte ansvarar för obehörig användning av plånboken, trots att någon av grunderna för ansvar enligt 1 mom. uppfylls. Enligt 1 punkten ansvarar användaren inte för obehörig användning av plånboken till den del plånboken har använts efter att användaren har gjort en anmälan enligt 14 §. Enligt 2 punkten ansvarar användaren inte heller för användningen av plånboken om han eller hon inte har kunnat göra anmälan enligt den föreslagna 14 § på grund av att tillhandahållaren av plånboken har försummat att sörja för att det är möjligt att göra anmälan.
I 3 mom. föreskrivs det om ansvarsregleringens tvingande natur till skydd för konsumenten. Motsvarande bestämmelse finns i 3 § i autentiseringslagen.
16 §.Nationellt register över europeiska digitala identitetsplånböckers förlitande parter. Enligt förslaget föreskrivs det i 1 mom. att Transport- och kommunikationsverket ska inrätta och vara personuppgiftsansvarig för det nationella register över europeiska digitala identitetsplånböckers förlitande parter som avses i artikel 5b i den reviderade eIDAS-förordningen. Regleringen behövs eftersom den reviderade eIDAS-förordningen föreskriver om en skyldighet för förlitande parter att registrera sig i den medlemsstat där de är etablerade. Dessutom förutsätts det i artikel 3.1 i kommissionens genomförandeförordning (EU) 2025/843, som antagits med stöd av artikel 5b, att varje medlemsstat inrättar minst ett nationellt register för plånböckers förlitande parter. Paragrafen innehåller ändå inte någon uttrycklig hänvisning till kommissionens genomförandeförordning, eftersom kommissionen har meddelat att den kommer att ändra genomförandeförordningarna i anslutning till genomförandet av den europeiska digitala identitetsplånboken. Enligt artikel 5b i den reviderade eIDAS-förordningen eller kommissionens genomförandeförordning som antagits med stöd av den är det ändå inte klart vilken aktör i Finland som ska säkerställa att denna skyldighet fullgörs. Av den anledningen behövs det nationell kompletterande reglering.
I 1 mom. föreskrivs det dessutom att Transport- och kommunikationsverket är personuppgiftsansvarig i fråga om registrering av förlitande parter. Förlitande parter är i regel juridiska personer, men de kan också vara fysiska personer och registret över förlitande parter kan vara förknippat med behandling av personuppgifter. Rättsgrunden för behandlingen av personuppgifter är artikel 6.1 c i den allmänna dataskyddsförordningen, som anger att behandling av personuppgifter i en situation enligt ledet är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Kommissionens genomförandeförordning (EU) 2025/848, som antagits med stöd av artikel 5b i den reviderade eIDAS-förordningen förutsätter att varje medlemsstat utser minst en personuppgiftsansvarig för att administrera och inrätta ett nationellt register över plånbokens förlitande parter. I paragrafen föreskrivs det alltså som komplettering till den reviderade eIDAS-förordningen att Transport- och kommunikationsverket har till uppgift att inrätta och vara personuppgiftsansvarig för ett register i Finland över förlitande parter. Således bildar den reviderade eIDAS-förordningen och den kompletterande nationella lagstiftningen tillsammans en rättslig förpliktelse som åvilar Transport- och kommunikationsverket.
Det är ändamålsenligt att Transport- och kommunikationsverket anvisas uppgiften, eftersom ämbetsverket är tillsynsmyndighet i fråga om europeiska digitala identitetsplånböcker och det enligt 46a.4 led f i den reviderade eIDAS-förordningen hör till Transport- och kommunikationsverkets uppgifter som tillsynsmyndighet att i vissa situationer registrera förlitande parter eller tillfälligt eller permanent upphäva registreringen och inkluderingen av förlitande parter i den gemensamma mekanism som avses i 5b.7 För att Transport- och kommunikationsverket ska kunna utföra också dessa uppgifter effektivt är det ändamålsenligt att ämbetsverket inrättar ett register över förlitande parter.
I 2 mom. föreskrivs det att Transport- och kommunikationsverket svarar för medlemsstatens skyldigheter i Finland enligt artikel 5b i eIDAS-förordningen och bestämmelser som utfärdats med stöd av den. I kommissionens genomförandeförordning (EU) 2025/848 föreskrivs det att medlemsstaten ska göra informationen om registrerade förlitande parter allmänt tillgänglig online. Dessutom ska medlemsstaterna säkerställa att de inrättade nationella registren över plånböckernas förlitande parter är förenliga med relevanta gemensamma registreringsprinciper. Transport- och kommunikationsverket har som personuppgiftsansvarig de bästa förutsättningarna att fullgöra medlemsstatens föreskrivna skyldigheter och därför föreskrivs det att det nationella genomförandet är en uppgift för ämbetsverket.
I 3 mom. föreskrivs det om ett nytt bemyndigande för Transport- och kommunikationsverket att utfärda närmare föreskrifter om genomförandet av förlitandepartcertifikat och förlitandepartregistreringscertifikat för en europeisk digital identitetsplånbok samt om certifikatspolicy och certifieringspraxis för dem, med iakttagande av de bestämmelser som utfärdats med stöd av artikel 5b i eIDAS-förordningen. I kommissionens genomförandeförordning (EU) 2025/848 föreskrivs det om grundläggande krav som gäller båda de ovannämnda certifikaten. Medlemsstaterna ges emellertid i uppgift att verkställa den certifikatsrelaterade certifikatspolicyn och fastställa vissa relaterade krav. Certifikaten i fråga är nära anknutna till inrättandet av det nationella registret över plånböckernas förlitande parter.
17 §. Valideringsmekanismer för ramverket för den europeiska digitala identitetsplånboken. Enligt förslaget innehåller paragrafen bestämmelser om genomförandet i Finland av valideringsmekanismerna enligt artikel 5a.8 i den reviderade eIDAS-förordningen. De valideringsmekanismer som föreskrivs i paragrafen ska tillhandahållas avgiftsfritt. I 1 mom. föreskrivs det om skyldigheten för Myndigheten för digitalisering och befolkningsdata att tillhandahålla den valideringsmekanism som säkerställer att europeiska digitala identitetsplånböckers äkthet och giltighet kan kontrolleras.
I 2 mom. föreskrivs det om Transport- och kommunikationsverkets skyldighet att tillhandahålla den valideringsmekanism enligt artikel 5a.8 b i den reviderade eIDAS-förordningen som gör det möjligt för användare att kontrollera äkthet och giltighet för identiteten hos de förlitande parter som registrerats i enlighet med artikel 5b. I den föreslagna 16 § föreskrivs det att Transport- och kommunikationsverket ska inrätta och vara personuppgiftsansvarig för det nationella registret över europeiska digitala identitetsplånböckers förlitande parter. Transport- och kommunikationsverket genomför den valideringsmekanism som avses i momentet som en del av det nationella registret över plånbokens förlitande parter genom att upprätta ett offentligt gränssnitt där vem som helst kan göra förfrågningar till det nationella registret över förlitande parter. Detta offentliga gränssnitt erbjuder både maskin- och människoläsbara gränssnitt där det går att kontrollera äkthet och giltighet för identiteten hos de förlitande parterna.
18 §. Identitetsmatchning. Det föreslås att paragrafen innehåller bestämmelser om genomförande av identitetsmatchning i Finland. Identitetsmatchning beskrivs närmare i avsnitt 2.2.2. Artikel 11a i den reviderade eIDAS-förordningen förutsätter att medlemsstaterna säkerställer otvetydig identitetsmatchning för fysiska personer som använder anmälda medel för elektronisk identifiering eller europeiska digitala identitetsplånböcker. Det är ändå inte på grundval av bestämmelserna i den reviderade eIDAS-förordningen klart hur skyldigheten ska fullgöras eller vilken eller vilka aktörer i Finland som ska göra det. Därför behövs nationell kompletterande reglering.
Enligt 1 mom. genomförs identitetsmatchning i Finland centraliserat av Myndigheten för digitalisering och befolkningsdata. Den reviderade eIDAS-förordningen gör det möjligt att fullgöra skyldigheten också decentraliserat så att varje förlitande part själv sörjer för att fullgöra skyldigheten. I Finland genomförs identitetsmatchningen emellertid som en centraliserad lösning där Myndigheten för digitalisering och befolkningsdata genomför identitetsmatchningen för alla de e-tjänster som omfattas av skyldigheten. Vid beredningen av propositionen bedömdes en centraliserad lösning vara den mest kostnadseffektiva och ändamålsenliga lösningen för att genomföra identitetsmatchning i Finland. Identitetsmatchning tillhandahålls enligt 1 mom. både myndigheter och andra som sköter offentliga förvaltningsuppdrag, eftersom artikel 11a förutsätter identitetsmatchning i situationer där en medlemsstat är förlitande part.
I praktiken genomför Myndigheten för digitalisering och befolkningsdata informationstjänsten för identitetsmatchning, där e-tjänsten ska registrera sig. Identifieringstjänsten Suomi.fi är en e-tjänst som utnyttjar identitetsmatchning och svarar därmed för att begära att informationstjänsten gör identitetsmatchningen för de e-tjänster som använder identifieringstjänsten Suomi.fi. Informationstjänsten för identitetsmatchning försöker göra identitetsmatchningen i förhållande till de uppgifter som finns i befolkningsdatasystemet. För att identitetsmatchningen ska kunna göras förutsätts därmed att personen är registrerad i befolkningsdatasystemet. Vid identitetsmatchning skapas inga nya registeridentiteter i befolkningsdatasystemet, utan den gällande regleringen ska också i fortsättningen tillämpas vid registrering av personer i befolkningsdatasystemet.
Myndigheten för digitalisering och befolkningsdata ska genomföra identitetsmatchningen med iakttagande av artikel 11a i eIDAS-förordningen och bestämmelser som utfärdats med stöd av den. Kommissionen har antagit en genomförandeförordning (EU) 2025/846 om tillämpningsreglerna vid gränsöverskridande identitetsmatchning för fysiska personer. I genomförandeförordningen fastställs de allmänna kraven på processen i fråga om såväl skyldigheterna för förlitande parter eller ett centraliserat system som dessa använder i anslutning till matchningsprocessens olika slutresultat. Dessutom föreskrivs det om den processrelaterade matchningsloggen. Bestämmelsen innehåller emellertid ingen uttrycklig hänvisning till genomförandeförordningen i fråga, eftersom kommissionen har uttryckt att den eventuellt kommer att ändra de genomförandeförordningar som den redan antagit.
Enligt det föreslagna 2 mom. ska Myndigheten för digitalisering och befolkningsdata bevara sådana uppgifter i identitetsmatchningsprocessen som avses i bestämmelser som utfärdats med stöd av artikel 11a i eIDAS-förordningen i högst två år från ingången av kalenderåret efter den tidpunkt då uppgifterna registrerades.
I 3 mom. föreskrivs det om rätten för aktörer inom den privata sektorn att använda identitetsmatchning som tillhandahålls av Myndigheten för digitalisering och befolkningsdata. Enligt kommissionens ovannämnda genomförandeförordning (EU) 2025/846 kan medlemsstaterna om de så vill möjliggöra identitetsmatchning också till e-tjänster inom den privata sektorn. I e-tjänster inom den privata sektorn är det på motsvarande sätt viktigt att identitetsmatchning av dem som sköter ärenden från andra medlemsstater kan göras med uppgifter som redan finns om dem. Identitetsmatchningen är viktig i synnerhet för sådana sammanslutningar och företag som har verksamhet som överskrider medlemsstaternas gränser. Enligt bestämmelsen får privata sammanslutningar, stiftelser och näringsidkare använda identitetsmatchning som tillhandahålls av Myndigheten för digitalisering och befolkningsdata. I praktiken förutsätter detta att de registrerar sig som användare av informationstjänsten för identitetsmatchning. Myndigheten för digitalisering och befolkningsdata kan av aktörer inom den privata sektorn ta ut en avgift för användningsrätt till eller användning av informationstjänsten för identitetsmatchning. Paragrafens 3 mom. tillämpas enligt den föreslagna ikraftträdandebestämmelsen först fr.o.m. den 1 januari 2028.
19 §. Nationell nod. Enligt förslaget föreskrivs det i paragrafen att den nationella noden upprätthålls av Myndigheten för digitalisering och befolkningsdata. Bestämmelsen motsvarar den tidigare 42 c § i autentiseringslagen. Den reviderade eIDAS-förordningen påverkade inte nämnvärt det interoperabilitetsramverk som föreskrivs i artikel 12 i förordningen och i vilket den nationella noden ingår. Det behövs således fortfarande reglering i den nationella kompletterande lagstiftningen om Myndigheten för digitalisering och befolkningsdatas uppgift att upprätthålla den nationella noden.
3 kap. Betrodda tjänster
Kapitlets 20–22 § motsvarar 4 a kap., dvs. 39–41 § i den gällande autentiseringslagen. I fortsättningen ingår all reglering som kompletterar eIDAS-förordningen, inklusive den kompletterande regleringen om betrodda tjänster, i den nya eIDAS-lag som nu föreslås. Den reviderade eIDAS-förordningen kräver inga ändringar i dessa bestämmelser i den kompletterande nationella lagstiftningen om betrodda tjänster. De överförs därmed nästan som sådana från autentiseringslagen. Det görs endast små terminologiska preciseringar i bestämmelserna. I fråga om 20–22 § i den föreslagna eIDAS-lagen gäller det som i specialmotiveringen i den ursprungliga regeringspropositionen om autentiseringslagen (RP 36/2009 rd) samt i regeringspropositionen om ändring av autentiseringslagen (RP 74/2016 rd) konstaterades om 39–41 § i autentiseringslagen.
23 §. Myndigheten för digitalisering och befolkningsdatas anvisningar för kontroll av attribut mot autentiska källor. Enligt förslaget föreskrivs det i paragrafen att Myndigheten för digitalisering och befolkningsdata har till uppgift att utarbeta anvisningar om de elektroniska medel som kvalificerade leverantörer av betrodda tjänster kan använda när de vill kontrollera de attribut som avses i bilaga VI till eIDAS-förordningen mot autentiska källor i Finland. Genom regleringen genomförs skyldigheten enligt artikel 45 e i den reviderade eIDAS-förordningen, enligt vilken medlemsstaterna för de attribut som avses i bilaga VI kan säkerställa att åtgärder vidtas för att göra det möjligt för kvalificerade leverantörer av betrodda tjänster för elektroniska attributsintyg att på användarens begäran på elektronisk väg kontrollera dessa attribut, om attributen i fråga grundar sig på register som förs inom den offentliga sektorn. Kommissionen har antagit en genomförandeförordning (EU) 2025/1569 som kompletterar artikeln, där medlemsstaterna enligt artikel 9.1 ska inrätta mekanismer som möjliggör den kontroll som avses i artikel 45 e i den reviderade eIDAS-förordningen. Enligt samma artikel får medlemsstaterna tillgängliggöra gemensamma kontrollpunkter.
I 1 mom. fastställs en skyldighet för Myndigheten för digitalisering och befolkningsdata att utarbeta anvisningar. I Finland tillgängliggörs således inte någon gemensam kontrollpunkt där kvalificerade leverantörer av betrodda tjänster kan kontrollera alla attribut som avses i bilaga VI. Däremot har den mekanism som inrättas i Finland formen av anvisningar som styr kvalificerade leverantörer av betrodda tjänster till det relevanta offentliga registret för varje attribut och den kvalificerade tillhandahållaren av betrodda tjänster avtalar direkt med registret i fråga om hur det är möjligt att kontrollera uppgifterna i registret. Vid beredningen av propositionen har det bedömts att det inte är ändamålsenligt att inrätta en gemensam kontrollpunkt, eftersom registren inom den offentliga sektorn i Finland redan i stor utsträckning är i elektronisk form och det finns elektroniska gränssnitt till dem, genom vilka den skyldighet som avses i artikel 45 e i den reviderade eIDAS-förordningen kan fullgöras. Hur attributen kontrolleras fastställs alltså för varje attribut enligt förfarandena, de tekniska gränssnitten och regleringen för det befintliga registret.
I 2 mom. finns det närmare bestämmelser om vad de anvisningar som Myndigheten för digitalisering och befolkningsdata utarbetar ska innehålla. Anvisningarna ska åtminstone innehålla en beskrivning av de autentiska källorna i Finland för de attribut som avses i bilaga VI till eIDAS-förordningen samt en beskrivning av de tekniska gränssnitt som är tillgängliga för de autentiska källorna. Syftet är att en kvalificerad leverantör av betrodda tjänster genom anvisningarna ska kunna få tillräcklig information om i vilket register vart och ett av de attribut som avses i bilaga VI finns i Finland samt om de grundläggande tekniska förutsättningarna för att kontrollera attributen. En kvalificerad leverantör av betrodda tjänster kan på grundval av anvisningarna bedöma vilka dess förutsättningar i praktiken är att kontrollera attributen t.ex. i förhållande till det tekniska genomförandet av dess befintliga tjänster.
4 kap. Bedömning av överensstämmelse
24 §.Bedömning av överensstämmelse av den nationella noden. Paragrafen innehåller bestämmelser om bedömning av överensstämmelse av den nationella noden. Enligt den föreslagna 19 § har Myndigheten för digitalisering och befolkningsdata till uppgift att upprätthålla den nationella noden.
I artikel 10.1 i kommissionens genomförandeförordning (EU) 2015/1501 om interoperabilitetsramverket enligt artikel 12.8 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden konstateras att nodoperatörer som tillhandahåller autentisering ska visa att noden, vad gäller dess deltagande i interoperabilitetsramverket, uppfyller kraven för standarden ISO/IEC 27001 genom certifiering, eller genom en likvärdig bedömningsmetod, eller genom att följa nationell lagstiftning.
Enligt 1 mom. i paragrafen ska Myndigheten för digitalisering och befolkningsdata genom en bedömning som görs av ett godkänt bedömningsorgan för informationssäkerhet som avses i lagen om bedömningsorgan för informationssäkerhet (1405/2011), av ett organ för bedömning av överensstämmelse eller av Transport- och kommunikationsverket visa att den nationella nod som myndigheten upprätthåller med stöd av 19 § uppfyller kraven enligt eIDAS-förordningen och bestämmelser som utfärdats med stöd av den. Myndigheten för digitalisering och befolkningsdata ska också skaffa en bedömningsrapport över bedömningen och lämna den till Transport- och kommunikationsverket, om bedömningen görs av ett bedömningsorgan för informationssäkerhet eller ett organ för bedömning av överensstämmelse.
Nodens verksamhet är kritisk med tanke på gränsöverskridande elektronisk identifiering. Med stöd av 3 § i lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation (1406/2011) får statsförvaltningsmyndigheterna för bedömning av informationssäkerheten i sina informationssystem och sin datakommunikation bara använda sig av Transport- och kommunikationsverkets tjänster eller av ett sådant bedömningsorgan som har godkänts av Kommunikationsverket enligt lagen om bedömningsorgan. I motiveringen till bestämmelsen (RP 45/2011 rd, s. 11) konstateras det att avsikten är att säkerställa att statsförvaltningsmyndigheterna anlitar bara tillförlitliga externa tjänster för bedömning av informationssäkerheten och att bestämmelsen behövs för att informationssäkerheten inom statsförvaltningen ska utvecklas på ett enhetligt sätt och utan kostnader vars grund är osaklig. Av dessa skäl föreslås det att som nationellt förfarande i Finland när det gäller påvisande av överensstämmelse av noden betraktas en bedömning som görs av ett godkänt bedömningsorgan för informationssäkerhet, av ett organ för bedömning av överensstämmelse (som utsetts och anmälts för bedömning av uppfyllelse av kraven enligt eIDAS-förordningen) eller av Transport- och kommunikationsverket.
I 2 mom. föreskrivs det om Transport- och kommunikationsverkets befogenhet att utfärda närmare föreskrifter om bedömningsgrunderna för bedömning av överensstämmelse av den nationella noden med iakttagande av vad som föreskrivs i eIDAS-förordningen och bestämmelser som utfärdats med stöd av den. Bemyndigandet att meddela föreskrifter motsvarar gällande 30 § 2 mom. i autentiseringslagen.
25 §.Nationell certifieringsordning för europeiska digitala identitetsplånböcker. I artikel 3 i den förordning om certifiering av plånböcker som utfärdats med stöd av artikel 5c i eIDAS-förordningen förutsätts att en ägare till den nationella certifieringsordningen ska utses. I 1 mom. föreslås det att den nationella certifieringsordning för en europeisk digital identitetsplånbok som avses i artikel 5c i eIDAS-förordningen och i bestämmelser som utfärdats med stöd av den i Finland ägs av Transport- och kommunikationsverket. Det kan anses vara ändamålsenligt att uppgiften åläggs Transport- och kommunikationsverket, eftersom verket har kompetens inom och erfarenhet av tillsynen över och bedömningen av överensstämmelse av aktörer för elektronisk identifiering.
Enligt artikel 7.2 i förordningen om certifiering av plånböcker får systemägarna lägga ut hela eller delar av sina uppgifter på en tredje part. Systemägarna ska förbli ansvariga för all verksamhet som läggs ut på entreprenad och som utförs av deras underleverantörer. Av dessa skäl föreskrivs det i 2 mom. om Transport- och kommunikationsverkets rätt att i anslutning till sin uppgift enligt 1 mom. samt i anslutning till utseendet av ett organ för bedömning av överensstämmelse anförtro en biträdande uppgift till en underleverantör som har tillräckliga tekniska förutsättningar och tillräcklig kompetens för uppgiften och som uppfyller vad som föreskrivs i eIDAS-förordningen och bestämmelser som utfärdats med stöd av den samt i denna lag och föreskrifter som utfärdats med stöd av den. Den föreslagna 32 § innehåller bestämmelser om underleverantörers straffrättsliga tjänsteansvar. Underleverantörerna utför sin uppgift på uppdrag av Transport- och kommunikationsverket, vilket innebär att de omfattas av det som i offentlighetslagen föreskrivs om den som utför ett myndighetsuppdrag.
Enligt 3 mom. får Transport- och kommunikationsverket utfärda närmare föreskrifter om den nationella certifieringsordningen för en europeisk digital identitetsplånbok samt om bedömningsgrunderna för bedömning av överensstämmelse av plånboken och om det förfarande som ska iakttas vid bedömning av överensstämmelse, med iakttagande av vad som föreskrivs i eIDAS-förordningen och bestämmelser som har utfärdats med stöd av den. Bemyndigandet att utfärda föreskrifter behövs, eftersom förordningen om certifiering av plånböcker innehåller mycket detaljerade bestämmelser om vilka krav i fråga om olika aktörer och tjänster som ska ingå i den nationella certifieringsordningen. I genomförandeförordningen upprepas delvis kraven enligt standarderna för bedömning av överensstämmelse. Det är ändamålsenligt att certifieringsordningen som regel beskrivs (t.ex. genom hänvisningar till relevanta bestämmelser och standarder) genom lagstiftning på lägre nivå. Det hör till Transport- och kommunikationsverket att bedöma om och i vilken utsträckning en förpliktande föreskrift ska utfärdas om de ovannämnda frågorna eller huruvida det räcker med en anvisning som beskriver de förfaranden som ska följas och som hänvisar till bestämmelser och standarder som gäller dessa förfaranden. Det föreskrivs om bemyndiganden att utfärda föreskrifter som gäller ett organ för bedömning av överensstämmelse i 26 § 4 mom.
26 §.Utseende och anmälan av organ för bedömning av överensstämmelse. Enligt 1 mom. har Transport- och kommunikationsverket till uppgift att på ansökan av ett organ för bedömning av överensstämmelse utse och till Europeiska kommissionen anmäla ett i Finland etablerat organ för bedömning av överensstämmelse i enlighet med eIDAS-förordningen och bestämmelser som utfärdats med stöd av den. Bestämmelser om utseende och anmälan av organ finns i artiklarna 5c, 12a och 20 i eIDAS-förordningen.
Enligt 2 mom. är en förutsättning för utseende och anmälan att organet för bedömning av överensstämmelse uppfyller de krav som föreskrivs i eIDAS-förordningen och bestämmelser som utfärdats med stöd av den samt i denna lag och föreskrifter som utfärdats med stöd av den och att det har beviljats ett ackrediteringsintyg utfärdat av Säkerhets- och kemikalieverkets ackrediteringsenhet (ackrediteringstjänsten FINAS) eller en utländsk ackrediteringsenhet, enligt vilket organet för bedömning av överensstämmelse inom sitt behörighetsområde uppfyller de angivna kraven. Bestämmelser om de krav som ställs på organ för bedömning av överensstämmelse finns i eIDAS-förordningen och bl.a. i förordningen om certifiering av plånböcker samt i kommissionens genomförandeförordning (EU) 2025/2162 om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller ackreditering av organ för bedömning av överensstämmelse som utför bedömning av kvalificerade tillhandahållare av betrodda tjänster och de kvalificerade betrodda tjänster som de tillhandahåller, rapporten om bedömning av överensstämmelse och systemet för bedömning av överensstämmelse.
Bestämmelser om förutsättningarna för ackreditering finns förutom i eIDAS-förordningen och bestämmelser som utfärdats med stöd av den även i lagen om konstaterande av tillförlitligheten hos tjänster för bedömning av överensstämmelse med kraven (920/2005) samt i förordningen om ackreditering, dvs. Europaparlamentets och rådets förordning (EG) nr 765/2008 om krav för ackreditering och marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93.
I de ovannämnda genomförandeförordningarna föreskrivs det om möjligheten för organ för bedömning av överensstämmelse att anlita en underleverantör. Av denna anledning kan ett organ för bedömning av överensstämmelse enligt 3 mom. i sitt uppdrag anlita en underleverantör för vars arbete organet ansvarar som för sitt eget. Underleverantören ska ha tillräckliga tekniska förutsättningar och tillräcklig kompetens för uppgiften och uppfylla de krav för uppgiften som föreskrivs i eIDAS-förordningen och bestämmelser som utfärdats med stöd av den samt i denna lag och föreskrifter som utfärdats med stöd av den. I 32 § föreskrivs det om straffrättsligt tjänsteansvar för anställda hos underleverantörer och personer verksamma i beslutande organ hos underleverantörer. Bestämmelser om hur offentlighetslagen ska tillämpas på verksamheten finns i 31 §.
Enligt 4 mom. får Transport- och kommunikationsverket utfärda närmare föreskrifter om förutsättningarna för att utse ett organ för bedömning av överensstämmelse och de uppgifter som ska ingå i en ansökan om utseende av ett organ för bedömning av överensstämmelse och inlämnandet av uppgifterna till Transport- och kommunikationsverket. Dessutom får Transport- och kommunikationsverket utfärda föreskrifter om grunderna för bedömning av överensstämmelse i fråga om system för elektronisk identifiering och betrodda tjänster och förfarandet vid bedömning av överensstämmelse. Föreskrifterna ska utfärdas med iakttagande av eIDAS-förordningen och bestämmelser som utfärdats med stöd av den. Kommissionen har genom genomförandeakter fastställt att vissa krav och standarder ska följas vid ackreditering och utseende av organ för bedömning av överensstämmelse. Det kan dock delvis finnas behov av kompletterande föreskrifter av Transport- och kommunikationsverket.
27 §.Tillsyn över organ för bedömning av överensstämmelse. Enligt 1 mom. övervakar Transport- och kommunikationsverket att ett av verket utsett och anmält organ för bedömning av överensstämmelse i sin verksamhet uppfyller de förutsättningar för utseende som avses i 26 § och på behörigt sätt utför de uppgifter som föreskrivs i eIDAS-förordningen och bestämmelser som utfärdats med stöd av den samt i denna lag och föreskrifter som utfärdats med stöd av den.
Enligt 2 mom. ska ett organ för bedömning av överensstämmelse underrätta Transport- och kommunikationsverket om varje ändring som kan ha betydelse för uppfyllandet av villkoren för att utses. Ackrediteringen av organ för bedömning av överensstämmelse är också förknippad med en tillsynsmekanism, utifrån vilken det t.ex. är möjligt att återkalla ett ackrediteringsintyg, varvid bedömningsorganet inte längre uppfyller villkoren för att utses.
Enligt 3 mom. ska Transport- och kommunikationsverket, om inte något annat följer av vad som föreskrivs i eller med stöd av eIDAS-förordningen, ålägga organet för bedömning av överensstämmelse att avhjälpa sina fel eller försummelser inom en skälig tid. Om bestämmelser om ett annat förfarande utfärdas med stöd av eIDAS-förordningen ska dessa följas i stället för denna lag.
I 4 mom. konstateras det att om organet för bedömning av överensstämmelse inte korrigerar sin verksamhet inom utsatt tid och ett fel eller en försummelse är väsentlig ska Transport- och kommunikationsverket, om inte något annat följer av vad som föreskrivs i eller med stöd av eIDAS-förordningen, återkalla utseendet av organet för bedömning av överensstämmelse och till Europeiska kommissionen anmäla att organet inte längre uppfyller kraven för anmälan.
28 §. Certifierare av anordningar för skapande av elektroniska underskrifter och elektroniska stämplar. I denna paragraf föreskrivs det om de certifierare av anordningar för skapande av elektroniska underskrifter och elektroniska stämplar som avses i artiklarna 30 och 39 i eIDAS-förordningen. Bestämmelserna i 1 och 2 mom. motsvarar gällande 36 § i autentiseringslagen. I 3 mom. konstateras det att på tillsynen över certifierare och den certifiering som de utför tillämpas vad som i 27, 29 och 30 § föreskrivs om tillsynen över organ för bedömning av överensstämmelse, organets tillsynsuppgifter och tillsynsmetoder samt återkallande av intyg om överensstämmelse. Om något annat föreskrivs om tillsynen över certifierare eller certifieringen med stöd av eIDAS-förordningen ska de bestämmelserna tillämpas i stället för denna lag.
Bemyndigandet att utfärda föreskrifter i 4 mom. motsvarar gällande 42 § 8 punkten i autentiseringslagen. Transport- och kommunikationsverket har med stöd av den gällande lagen meddelat en föreskrift om elektroniska identifieringstjänster och betrodda tjänster (M72 B/2022). I 8 kap. i föreskriften, som gäller certifiering av kvalificerade anordningar för skapande av elektroniska underskrifter och stämplar, konstateras det att för att kraven enligt 36 § i autentiseringslagen ska kunna uppfyllas, krävs tillräcklig kompetens och resurser i fråga om den anordning som certifieras för verifiering av kraven som ställs i eIDAS-förordningen och kommissionens genomförandebeslut (EU) 2016/650 eller ett beslut som ersätter det. Att certifieringsorganet uppfyller kraven kan visas genom en ackreditering eller någon annan oberoende utredning. Ett bevis på kompetens kan också vara att visa att organen omfattas av SOGIS-MRA-avtalet mellan vissa certifieringsorgan i EU-medlemsstater eller i medlemsstater i EES-området (Senior Officers Group for Information Systems, Mutual Recognition Agreement).
29 §.Tillsynsuppgift och tillsynsmetoder för organ för bedömning av överensstämmelse. Den föreslagna paragrafen innehåller nya bestämmelser, som följer av artikel 16 i förordningen om certifiering av plånböcker. Enligt denna artikel ska de nationella certifieringsordningarna innehålla krav på att organen för bedömning av överensstämmelse (i genomförandeförordningen i fråga ”certifieringsorganen") genomför viss kontrollverksamhet, som regleras närmare i förordningen, i fråga om innehavare av ett intyg om överensstämmelse. Kraven på kontrollverksamhet ingår i allmänhet i standarderna för bedömning av överensstämmelse och certifiering, men med stöd av eIDAS-förordningen har ovannämnda genomförandeförordning antagits, och den kan av nationella konstitutionella skäl inte genomföras t.ex. genom att rätten för organet för bedömning av överensstämmelse att få och kontrollera uppgifter fastställs i en föreskrift om ett nationellt certifieringssystem som Transport- och kommunikationsverket utfärdat med stöd av 25 § 3 mom. eller genom anvisningar.
Enligt 1 mom. ska ett organ för bedömning av överensstämmelse utöva tillsyn över att en innehavare av ett intyg om överensstämmelse uppfyller villkoren för erhållande av intyget. Momentet innehåller en definition av innehavare av intyg om överensstämmelse. Med innehavare av intyg om överensstämmelse avses den som ett organ för bedömning av överensstämmelse har beviljat ett intyg om överensstämmelse, dvs. i praktiken en innehavare av intyg om överensstämmelse som avses i Europeiska kommissionens genomförandeakter som antagits med stöd av eIDAS-förordningen. I förordningen om certifiering av plånböcker föreskrivs om innehavaren av ett intyg om överensstämmelse samt om de krav som gäller innehavaren och som ska ingå i den nationella certifieringsordningen. I kommissionens genomförandeförordning (EU) 2025/2162 om tillämpningsföreskrifter för Europaparlamentets och rådets förordning (EU) nr 910/2014 vad gäller ackreditering av organ för bedömning av överensstämmelse som utför bedömning av kvalificerade tillhandahållare av betrodda tjänster och de kvalificerade betrodda tjänster som de tillhandahåller, rapporten om bedömning av överensstämmelse och systemet för bedömning av överensstämmelse avses med intyg om överensstämmelse en handling med vilken ett organ för bedömning av överensstämmelse verifierar ett certifieringsbeslut, där det fastställs att en viss kvalificerad tillhandahållare av betrodda tjänster och de kvalificerade tjänster som denna tillhandahåller uppfyller de krav som anges i eIDAS-förordningen och som är förenliga med artikel 21 i NIS 2-direktivet. I praktiken är innehavare av intyg om överensstämmelse tillhandahållare av europeiska digitala identitetsplånböcker, tillhandahållare av kvalificerade betrodda tjänster samt aktörer som tillhandahåller anordningar för skapande av elektroniska underskrifter eller elektroniska stämplar.
I 2 mom. föreskrivs det på det sätt som förutsätts i förordningen om certifiering av plånböcker om rätten för organ för bedömning av överensstämmelse att få uppgifter. Innehavaren av ett intyg om överensstämmelse ska underrätta organet för bedömning av överensstämmelse om varje ändring som kan ha betydelse för uppfyllandet av villkoren för erhållande av intyget.
Enligt 3 mom. har ett organ för bedömning av överensstämmelse för fullgörande av sin tillsynsuppgift enligt 1 mom. rätt att utföra inspektion av innehavaren av ett intyg om överensstämmelse och av den produkt eller tjänst som innehavaren tillhandahåller och som är föremål för bedömningen.
30 §. Återkallande av intyg om överensstämmelse. På samma sätt som 29 § innehåller också 30 § nya bestämmelser, som följer av artikel 17 i förordningen om certifiering av plånböcker. Enligt den artikeln ska de nationella certifieringsordningarna fastställa konsekvenserna av att en certifierad plånbokslösning och det system för elektronisk identifiering inom ramen för vilket den tillhandahålls inte uppfyller kraven i denna förordning. Kraven på återkallande av certifiering ingår i allmänhet i standarderna för bedömning av överensstämmelse och certifiering, men med stöd av eIDAS-förordningen har ovannämnda genomförandeförordning antagits, och den kan av nationella konstitutionella skäl inte genomföras t.ex. genom att rätten för organet för bedömning av överensstämmelse att förplikta en innehavare av intyg om överensstämmelse eller att återkalla ett intyg om överensstämmelse fastställs i en föreskrift om ett nationellt certifieringssystem som Transport- och kommunikationsverket utfärdat med stöd av 25 § 3 mom.
I 1 mom. föreskrivs det att ett organ för bedömning av överensstämmelse ska ge en uppmaning om att avhjälpa brister, om det konstaterar att innehavaren av ett intyg om överensstämmelse eller den produkt eller tjänst som bedömningen gäller inte uppfyller villkoren för erhållande av intyget om överensstämmelse eller att intyget annars inte borde ha utfärdats.
Enligt 2 mom. ska organet för bedömning av överensstämmelse återkalla intyget om överensstämmelse för viss tid eller helt och hållet eller utfärda det med begränsningar, om inte innehavaren av intyget om överensstämmelse avhjälper bristerna inom utsatt tid.
Om det med stöd av eIDAS-förordningen föreskrivs om något annat förfarande för bedömning av överensstämmelse ska det tillämpas i stället för 1 och 2 mom.
Enligt 3 mom. ska ett organ för bedömning av överensstämmelse underrätta Transport- och kommunikationsverket om de tillsynsåtgärder som avses i 1 och 2 mom. Rapporteringsskyldigheten grundar sig förutom på den ovannämnda genomförandeförordningen även på att Transport- och kommunikationsverket har till uppgift att övervaka innehavare av intyg om överensstämmelse, dvs. exempelvis tillhandahållare av europeiska digitala identitetsplånböcker och tillhandahållare av kvalificerade betrodda tjänster.
31 §.Tillämpning av lagstiftningen om offentlighet samt utlämnande av uppgifter vid bedömning av överensstämmelse. I artikel 20 i förordningen om certifiering av plånböcker konstateras det att enligt de nationella certifieringsordningarna ska alla personer eller organisationer som beviljas tillgång till information vid utförandet av verksamhet inom ramen för den nationella certifieringsordningen vara skyldiga att säkerställa säkerheten för och skyddet av företagshemligheter och annan konfidentiell information, samt att bevara immateriella rättigheter, och vidta nödvändiga och lämpliga tekniska och organisatoriska åtgärder för att säkerställa denna konfidentialitet. Enligt 4 § 2 mom. i offentlighetslagen gäller vad som sägs om en myndighet även sammanslutningar, inrättningar, stiftelser och enskilda personer som utövar offentlig makt och som enligt en lag, en bestämmelse eller en föreskrift som meddelats med stöd av en lag eller en förordning utför ett offentligt uppdrag.
Enligt 1 mom. tillämpas offentlighetslagen på sådana organ för bedömning av informationssäkerhet som avses i 24 §, på organ för bedömning av överensstämmelse och av dem använda underleverantörer samt på certifierare, också när det inte är fråga om utövning av offentlig makt. Offentlighetslagen tillämpas på dessa i fråga om uppgifter i anslutning till verkställigheten av eIDAS-förordningen och bestämmelser som utfärdats med stöd av den samt av denna lag och föreskrifter som utfärdats med stöd av denna lag. Momentet innehåller dessutom en informativ allmän hänvisning till andra allmänna förvaltningslagars lämplighet på det sätt som föreskrivs särskilt i dessa lagar.
I 2 mom. konstateras det att på tystnadsplikten och förbudet mot att utnyttja uppgifter för en person som är anställd hos en i 1 mom. avsedd aktör eller verksam i aktörens beslutande organ och som behandlar sekretessbelagda uppgifter som hänför sig till bedömningsverksamheten tillämpas vad som i 23 § i lagen om offentlighet i myndigheternas verksamhet föreskrivs om tystnadsplikt och förbud mot utnyttjande för den som är anställd hos en myndighet.
Enligt 3 mom. har en i 1 mom. avsedd aktör trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av uppgifter rätt att på eget initiativ lämna ut handlingar som aktören fått eller upprättat i samband med skötseln av sina uppgifter enligt det momentet samt att röja sekretessbelagd information för Transport- och kommunikationsverket för skötseln av uppgifter som föreskrivs i eIDAS-förordningen eller bestämmelser som utfärdats med stöd av den eller i eIDAS-lagen. Momentet innehåller dessutom en informativ hänvisning till 35 § om Transport- och kommunikationsverkets rätt att få information.
32 §.Straffrättsligt tjänsteansvar vid bedömning av överensstämmelse. I 1 mom. föreskrivs det på det sätt som förutsätts i grundlagen att bestämmelserna om straffrättsligt tjänsteansvar för tjänstemän tillämpas på anställda hos aktörer som sköter en offentlig förvaltningsuppgift och personer verksamma i beslutande organ hos dessa, när de sköter uppgifter som föreskrivs i eIDAS-förordningen eller bestämmelser som utfärdats med stöd av den eller i den föreslagna eIDAS-lagen.
I 2 mom. ingår en informativ hänvisning till skadeståndslagen (412/1974).
5 kap. Tillsyn
33 §. Transport- och kommunikationsverkets uppgifter. I paragrafen föreskrivs det om Transport- och kommunikationsverkets uppgifter i anslutning till eIDAS-förordningen och kompletterande nationell lagstiftning, till den del det inte föreskrivs om dessa ovan i den föreslagna eIDAS-lagen. En del av uppgifterna regleras redan i 42 a § i autentiseringslagen som komplement till den ursprungliga eIDAS-förordningen. Vissa uppgifter är nya, och det är nödvändigt att föreskriva om dessa för att skyldigheterna enligt den reviderade eIDAS-förordningen ska uppfyllas.
En ny uppgift är för det första att utöva tillsyn över efterlevnaden av den föreslagna lagen, vilket det föreskrivs om i den första meningen i paragrafen. Denna bestämmelse ger Transport- och kommunikationsverket behörighet att övervaka att kraven enligt den nationella kompletterande lagstiftningen iakttas.
I 1 punkten åläggs Transport- och kommunikationsverket den nya uppgiften att informera Europeiska kommissionen om de uppgifter som avses i artikel 5a.18 och de bestämmelser som utfärdats med stöd av den artikeln i eIDAS-förordningen. Enligt artikel 5a.18 i den reviderade eIDAS-förordningen förutsätts medlemsstaterna informera kommissionen om det organ som ansvarar för att upprätta och underhålla förteckningen över registrerade förlitande parter som förlitar sig på de europeiska digitala identitetsplånböckerna, de organ som ansvarar för tillhandahållandet av de europeiska digitala identitetsplånböckerna, de organ som ansvarar för att säkerställa att uppgifterna för personidentifiering är kopplade till den europeiska digitala identitetsplånboken, den mekanism som gör det möjligt att validera uppgifter för personidentifiering och de förlitande parternas identitet samt mekanismen för validering av de europeiska digitala identitetsplånböckernas äkthet och giltighet. I kommissionens genomförandeförordning (EU) 2024/2980 preciseras vilka uppgifter som ska lämnas. Paragrafen innehåller dock ingen hänvisning till genomförandeförordningen i fråga, eftersom det är möjligt att genomförandeförordningarna revideras under de närmaste åren. För att Transport- och kommunikationsverket ska kunna lämna de uppgifter som krävs föreskrivs det i 7 § 3 mom. i eIDAS-lagen om skyldigheten för dem som tillhandahåller plånböcker att lämna uppgifterna i fråga till Transport- och kommunikationsverket.
I 2 punkten föreskrivs det också om en ny uppgift för Transport- och kommunikationsverket att informera Europeiska kommissionen och den samarbetsgrupp som avses i artikel 46e.1 om de uppgifter som avses i artikel 5d i den reviderade eIDAS-förordningen och i bestämmelser som utfärdats med stöd av den artikeln. I artikel 5d.2 i den reviderade eIDAS-förordningen föreskrivs det om den information som medlemsstaterna ska lämna. Som exempel kan nämnas certifikatet och rapporten om certifieringsbedömningen för den certifierade europeiska digitala identitetsplånboken, en beskrivning av det system för elektronisk identifiering inom ramen för vilket den europeiska digitala identitetsplånboken tillhandahålls och det tillämpliga tillsynssystemet. I kommissionens genomförandeförordning (EU) 2025/849 preciseras vilka uppgifter som ska lämnas. Paragrafen innehåller dock ingen hänvisning till genomförandeförordningen i fråga, eftersom det är möjligt att genomförandeförordningarna revideras under de närmaste åren. Uppgifterna måste lämnas för att kommissionen ska kunna upprätta en förteckning över alla EU-certifierade plånböcker. Förteckningen och de uppgifter som förs in i den är av avgörande betydelse för att säkerställa förtroendet, öppenheten och enhetligheten i det europeiska plånboksekosystemet som helhet.
För att Transport- och kommunikationsverket ska kunna lämna de uppgifter som krävs föreskrivs det i 7 § i den föreslagna lagen om skyldigheten för dem som tillhandahåller plånböcker att lämna uppgifterna i fråga till Transport- och kommunikationsverket. En tillhandahållare kan inte tillhandahålla sin plånbok som en europeisk digital identitetsplånbok förrän Transport- och kommunikationsverket har lämnat den information som avses i den föreslagna 33 § 2 punkten. När informationen lämnas är det således samtidigt fråga om ett nationellt erkännande av en plånbok. Genom skyldigheten att lämna information får Transport- och kommunikationsverket reda på vilka plånböcker som kommer att tillhandahållas i Finland, och dessutom kan verket göra tillhandahållaren och den plånbok som denna tillhandahåller föremål för tillsynsverksamhet på förhand på det sätt som krävs i artikel 46a i den reviderade eIDAS-förordningen.
Andra nya uppgifter är uppgiften enligt 6 punkten att vara tillsynsorgan enligt artikel 46a i den reviderade eIDAS-förordningen och uppgiften enligt 7 punkten att vara den gemensamma kontaktpunkt som avses i artikel 46c i den reviderade eIDAS-förordningen. I artikel 46a i den reviderade eIDAS-förordningen föreskrivs det om tillsynen över ramverket för den europeiska digitala identitetsplånboken, och i artikel 46a.1 åläggs medlemsstaterna att utse ett eller flera tillsynsorgan som är etablerade på deras territorium. Tillsynen över ramverket för den europeiska digitala identitetsplånboken går i första hand ut på att övervaka plånböckerna och deras tillhandahållare, men tillsynsorganet har t.ex. också uppgifter som gäller tillsynen över förlitande parter. I artikel 46c i den reviderade eIDAS-förordningen föreskrivs det om gemensamma kontaktpunkter, och i artikel 46a.1 åläggs medlemsstaterna att utse en gemensam kontaktpunkt. De gemensamma kontaktpunkterna ska underlätta gränsöverskridande samarbete och kontakter.
I 8 punkten föreskrivs det också om en ny uppgift för Transport- och kommunikationsverket att offentliggöra och till Europeiska kommissionen lämna uppgifter som avses i artikel 48a.2 i eIDAS-förordningen med iakttagande av artikel 48a.3 och 48a.4 i förordningen. Artikeln i fråga i den reviderade eIDAS-förordningen gäller medlemsstaternas rapporteringskrav och förutsätter att medlemsstaterna varje år lämnar en rapport till kommissionen med de uppgifter som anges i artikeln. Transport- och kommunikationsverket har till uppgift att offentliggöra och lämna uppgifterna i fråga till kommissionen. Transport- och kommunikationsverket begär med stöd av den rätt att få uppgifter som fastställs i 35 § de uppgifter som ska rapporteras av de aktörer som har uppgifterna i fråga. I regel fås de uppgifter som avses i artikel 48a hos andra myndigheter och hos Transport- och kommunikationsverket själva.
Till Transport- och kommunikationsverkets uppgifter hör redan nu de uppgifter som avses i punkterna 3–5 samt den i 6 punkten avsedda uppgiften att vara det tillsynsorgan som avses i artikel 46b i den reviderade eIDAS-förordningen. I den artikeln föreskrivs det om tillsyn över betrodda tjänster och artikeln motsvarar i stort sett artikel 17 i den ursprungliga eIDAS-förordningen, med stöd av vilken Transport- och kommunikationsverkets nuvarande uppgift att övervaka betrodda tjänster regleras i 42 b § i autentiseringslagen. Som det beskrivits ovan i avsnitt 4.1 kommer i fortsättningen alla bestämmelser som kompletterar eIDAS-förordningen att ingå i den nya eIDAS-lagen som föreslås. Av denna anledning överförs Transport- och kommunikationsverkets befintliga uppgifter i anslutning till eIDAS-förordningen från autentiseringslagen till den nya lag som föreslås i propositionen.
34 §. Prioritetsordning för Transport- och kommunikationsverkets uppgifter och lämnande av ett ärende utan prövning. I 1 mom. föreskrivs det om Transport- och kommunikationsverkets rätt att ställa sina uppgifter enligt den föreslagna eIDAS-lagen i viktighetsordning i enlighet med uppgiftens betydelse för fullgörandet av de skyldigheter som föreskrivs i den föreslagna eIDAS-lagen eller eIDAS-förordningen eller i bestämmelser eller föreskrifter som utfärdats med stöd av dem. Det är fråga om en procedurbestämmelse, enligt vilken prioritetsordningen fastställs utifrån hur viktiga ärendena är. Ju viktigare ett ärende är, desto högre prioritet har det.
Enligt 2 mom. får Transport- och kommunikationsverket lämna ett ärende utan prövning, om ärendet trots en misstanke om fel eller försummelser endast har en ringa betydelse. Transport- och kommunikationsverket ska dock sträva efter att finna en lösning i ärendet t.ex. genom rådgivning. Transport- och kommunikationsverket ska genast när det är möjligt fatta beslut om att inte ta upp ett ärende till prövning. I många fall kan man redan i ett tidigt skede efter att ett ärende blivit anhängigt bedöma om ärendet har ringa betydelse och på denna grund ska lämnas utan prövning. Det är emellertid också möjligt att fatta ett beslut om att inte ta upp ärendet till prövning senare, oberoende av om ärendet redan har utretts en längre tid.
Syftet med paragrafen är att Transport- och kommunikationsverket ska kunna rikta sina resurser på sådana ärenden som är av störst betydelse för att uppnå målen för den föreslagna eIDAS-lagen eller eIDAS-förordningen. Motsvarande prioriteringsbestämmelser finns i 313 § i lagen om tjänster inom elektronisk kommunikation, 27 § i cybersäkerhetslagen, 12 § i lagen om tillsyn över förvaltningen och delningen av data samt 7 § i lagen om Konkurrens- och konsumentverket.
35 §. Rätt att få information. Paragrafen innehåller bestämmelser om Transport- och kommunikationsverkets rätt att få information. Enligt paragrafen har Transport- och kommunikationsverket trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information rätt att av andra myndigheter, tillhandahållare av en europeisk digital identitetsplånbok och plånbokens användare, förlitande parter, tillhandahållare av en betrodd tjänst och användare av tjänsten, organ för bedömning av överensstämmelse, certifierare, tillhandahållare av system för elektronisk identifiering och av dem som handlar för deras räkning få de uppgifter som är nödvändiga för att verket ska kunna utföra sina uppgifter enligt denna lag och eIDAS-förordningen samt bestämmelser som utfärdats med stöd av dem.
Den föreslagna regleringen är nödvändig för att Transport- och kommunikationsverket ska kunna utföra de uppgifter som det åläggs i den föreslagna eIDAS-lagen och den reviderade eIDAS-förordningen. Enligt artikel 46a.4 b i den reviderade eIDAS-förordningen hör det till tillsynsorganets uppgifter att begära information som är nödvändig för att övervaka efterlevnaden av den förordningen. Dessutom förutsätts det i artikel 24.2 andra stycket i den reviderade eIDAS-förordningen att tillsynsorganet ska få begära även andra uppgifter än de som avses i artikel 24.2 första stycket. Vidare har Transport- och kommunikationsverket enligt den föreslagna 33 § flera uppgifter som hänför sig till lämnande av information, och rätten att få information har också samband med fullgörandet av dessa uppgifter. Syftet med regleringen är också att mer allmänt säkerställa att tillsynsmyndigheten på det sätt som avses i artiklarna 46a och 46b i den reviderade eIDAS-förordningen har de befogenheter som krävs för att utföra sina uppgifter.
Det är inte möjligt att på förhand fastställa eller ge en uttömmande förteckning över den information som krävs för utförandet av uppgifterna. Följaktligen är rätten att få information i denna paragraf bunden vid att den information som rätten gäller är nödvändig för skötseln av uppgifterna i enlighet med grundlagsutskottets utlåtandepraxis (bl.a. GrUU 13/2023 rd, GrUU 17/2016 rd). Rätten att få information gäller också sekretessbelagd information, om denna är nödvändig för skötseln av uppgifterna.
36 §. Rätt att lämna ut sekretessbelagd information. Enligt paragrafen har Transport- och kommunikationsverket rätt att trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information rätt att lämna ut information till vissa andra myndigheter samt att själv behandla den i vissa uppgifter enligt andra lagar och EU-bestämmelser. Den föreslagna regleringen behövs för att Transport- och kommunikationsverket ska kunna fullgöra de skyldigheter som i artiklarna 46a–46d i eIDAS-förordningen åläggs den gemensamma kontaktpunkten och tillsynsmyndigheten. Det är i praktiken nödvändigt att säkerställa ett smidigt samarbete mellan myndigheterna i form av utlämnande eller användning av information, eftersom dataombudsmannen och Transport- och kommunikationsverket i egenskap av tillsynsmyndighet enligt NIS 2-direktivet, dvs. cybersäkerhetslagen, och myndighet för cybersäkerhetscertifiering inom ramen för sin behörighet övervakar samma tillhandahållare av tjänster. Olika störningar och säkerhetsincidenter kan gälla ärenden som övervakas av flera olika myndigheter. Utlämnandet och användningen av uppgifterna begränsas till de uppgifter som är nödvändiga för respektive behörig myndighets uppgifter.
Enligt 1 mom. 1 punkten har Transport- och kommunikationsverket trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information rätt att på eget initiativ eller på begäran lämna ut handlingar som verket fått eller upprättat i samband med skötseln av sina uppgifter enligt den föreslagna eIDAS-lagen och eIDAS-förordningen samt att röja sekretessbelagd information till dataombudsmannen, om det är nödvändigt för skötseln av dennes lagstadgade tillsynsuppgifter. När det gäller att på det sätt som avses i artikel 46a.4 g och artikel 46b.4 f i eIDAS-förordningen informera en behörig myndighet som inrättats enligt artikel 51 i dataskyddsförordningen ska denna information i en situation där en omständighet observeras i samband med tillsyn som sker i Finland lämnas till dataombudsmannen, även om den tillsynsmyndighet som i situationen i fråga är behörig med stöd av den allmänna dataskyddsförordningen är etablerad i en annan EU-medlemsstat. Dataombudsmannen överväger med stöd av den allmänna dataskyddsförordningen och dataskyddslagen de åtgärder som behövs i situationen. Tillsynsmyndighetens skyldighet att informera dataombudsmannen påverkar dock inte aktörernas skyldigheter och uppfyller således inte t.ex. den personuppgiftsansvariges skyldighet att anmäla personuppgiftsincidenter.
Enligt 1 mom. 2 punkten har Transport- och kommunikationsverket motsvarande rätt att lämna ut information till tillsynsmyndigheter i andra medlemsstater i Europeiska unionen som avses i artiklarna 46a och 46b i eIDAS-förordningen och gemensamma kontaktpunkter i andra medlemsstater i Europeiska unionen som avses i artikel 46c i den förordningen, om det är nödvändigt för skötseln av de uppgifter som föreskrivs i eIDAS-förordningen.
Enligt 2 mom. har Transport- och kommunikationsverket i den utsträckning det är nödvändigt rätt att använda sekretessbelagda handlingar och uppgifter som verket upprättat och fått i samband med skötseln av sina uppgifter enligt denna lag och eIDAS-förordningen för skötseln av de uppgifter som tillhör verket som tillsynsmyndighet enligt 26 § i cybersäkerhetslagen (124/2025), som CSIRT-enhet enligt 19 § i den lagen och som gemensam kontaktpunkt enligt 18 § i den lagen samt som myndighet för cybersäkerhetscertifiering enligt 21 § i lagen om cyberresiliens för vissa produkter och om cybersäkerhetscertifiering. Regeringens proposition till riksdagen med förslag till lagstiftning om genomförande av cyberresiliensförordningen (RP 179/2025 rd) har överlämnats till riksdagen. I propositionen föreslås det att det stiftas en ny lag om cyberresiliens för vissa produkter och om cybersäkerhetscertifiering, där det föreskrivs bl.a. om Transport- och kommunikationsverkets uppgifter i egenskap av myndighet för cybersäkerhetscertifiering enligt cybersäkerhetsakten (EU) 2019/881.
37 §. Rätt att utföra inspektioner. I paragrafen föreskrivs det om Transport- och kommunikationsverkets inspektionsrätt. Bestämmelserna motsvarar till stor del den rätt som Transport- och kommunikationsverket enligt 46 § i autentiseringslagen har att utföra inspektioner i anslutning till tillsynen över leverantörer av identifieringstjänster och tillhandahållare av betrodda tjänster. Bestämmelserna behövs också i denna lag för att Transport- och kommunikationsverket ska kunna genomföra inspektioner på det sätt som avses i artikel 46a.4 d och artikel 46b.4 e i den reviderade eIDAS-förordningen.
Enligt 1 mom. har Transport- och kommunikationsverket rätt att utföra inspektioner av en tillhandahållare av en europeisk digital identitetsplånbok och en plånbok som denne tillhandahåller, av ett organ för bedömning av överensstämmelse eller av en certifierare och deras verksamhet, av en tillhandahållare av betrodda tjänster och den betrodda tjänst som denne tillhandahåller samt av dem som handlar för deras räkning. Inspektioner kan utföras för att övervaka att skyldigheterna enligt denna lag eller föreskrifter som utfärdats med stöd av den eller enligt eIDAS-förordningen eller bestämmelser som utfärdats med stöd av den iakttas. Med bestämmelser som utfärdats med stöd av eIDAS-förordningen avses kommissionens genomförandeförordningar.
Enligt 2 mom. förordnar Transport- och kommunikationsverket en inspektör att utföra inspektionen. Inspektören ska vara en tjänsteperson vid Transport- och kommunikationsverket. Inspektioner kan utföras i aktörens lokaler eller informationssystem. En inspektion av ett informationssystem kan t.ex. gå ut på att fastställa informationssäkerheten och tillförlitligheten hos system, produkter eller programvaror. En inspektion av aktörens lokaler kan omfatta t.ex. en inspektion på grundval av skriftligt material, såsom granskning av anvisningar som aktören utarbetat eller beskrivningar av administrativa förfaranden eller kontroll av överensstämmelse i anslutning till lokalsäkerheten. Inspektioner får dock inte förrättas i utrymmen som är avsedda för boende av permanent natur. För att bestämmelserna ska vara tydliga finns det en uttrycklig bestämmelse i momentet om att den som utför en inspektion trots sekretessbestämmelserna eller andra begränsningar i fråga om utlämnande av uppgifter har rätt att få granska sådana uppgifter som är nödvändiga för tillsynsuppgiften. Uttryckliga bestämmelser om Transport- och kommunikationsverkets rätt att få information finns i 35 §.
I 3 mom. finns en materiell hänvisning enligt vilken det som i förvaltningslagen föreskrivs om inspektion också ska iakttas vid sådan inspektion som avses i paragrafen.
38 §. Anmärkning och tillsynsbeslut. I 1 mom. föreskrivs det om Transport- och kommunikationsverkets behörighet att uppmärksamma en aktör som verket utövar tillsyn över med stöd av eIDAS-lagen på brister eller ålägga aktören att inom skälig tid avhjälpa brister i iakttagandet av skyldigheterna enligt denna lag eller föreskrifter som utfärdats med stöd av den eller enligt eIDAS-förordningen eller bestämmelser som utfärdats med stöd av dem. Bestämmelserna motsvarar Transport- och kommunikationsverkets gällande befogenheter enligt 45 § i autentiseringslagen i anslutning till tillsynen över leverantörer av identifieringstjänster och tillhandahållare av betrodda tjänster. Bestämmelserna behövs också i denna lag för att säkerställa att Transport- och kommunikationsverket kan utföra de tillsynsuppgifter som avses i eIDAS-förordningen.
Enligt paragrafen kan Transport- och kommunikationsverket uppmärksamma en aktör på brister i iakttagandet av de skyldigheter som anges i den föreslagna eIDAS-lagen eller eIDAS-förordningen eller i bestämmelser som utfärdats med stöd av dem. Med aktör avses vilken aktör som helst som Transport- och kommunikationsverket övervakar i enlighet med den föreslagna 33 §. I praktiken är det alltså fråga om en aktör som tillhandahåller tjänster enligt eIDAS-lagen eller eIDAS-förordningen eller som bedriver verksamhet enligt dem eller på annat sätt fullgör de skyldigheter som anges i denna lag eller eIDAS-förordningen. Det kan handla om bl.a. en tillhandahållare av europeiska digitala identitetsplånböcker, en förlitande part eller en kvalificerad tillhandahållare av betrodda tjänster. Med bestämmelser som utfärdats med stöd av eIDAS-förordningen avses kommissionens genomförandeförordningar som antagits med stöd av förordningen.
En anmärkning kan ges t.ex. i sådana fall där det inte finns skäl att vidta strängare åtgärder eller när det är fråga om en brist av så ringa betydelse när det gäller iakttagandet av skyldigheterna att det inte är nödvändigt att i efterhand övervaka att verksamheten korrigeras eller att det inte är nödvändigt att särskilt i efterhand anvisa Transport- och kommunikationsverket att avhjälpa bristen. En anmärkning blir således aktuell särskilt vid kortvariga och obetydliga överträdelser av bestämmelserna. Transport- och kommunikationsverket fattar dock också ett tillsynsbeslut om anmärkningen, i vilket ändring kan sökas på det sätt som föreskrivs i 52 § i lagen.
Utöver anmärkningar kan Transport- och kommunikationsverket genom beslut ålägga den som bryter mot eller försummar sina skyldigheter enligt den lagstiftning som avses i paragrafen att inom en skälig tid rätta till sin verksamhet. Bestämmelserna behövs för att Transport- och kommunikationsverket på det sätt som avses i artikel 46a.4 e i den reviderade eIDAS-förordningen ska kunna kräva att tillhandahållare av europeiska digitala identitetsplånböcker ska avhjälpa eventuella brister i uppfyllandet av kraven enligt den förordningen och på det sätt som avses i artikel 46b.4 j ska kunna kräva att tillhandahållare av betrodda tjänster ska avhjälpa eventuella brister i uppfyllandet av kraven enligt den förordningen. Om Transport- och kommunikationsverket således upptäcker fel, försummelser eller andra brister i iakttagandet av skyldigheterna, kan det således ålägga aktören att rätta till sin verksamhet inom utsatt tid. Transport- och kommunikationsverket kan ålägga aktören att avhjälpa konstaterade brister eller försummelser eller att upphöra med verksamhet som strider mot skyldigheterna och att avstå från motsvarande verksamhet i framtiden.
I 2 mom. föreskrivs det om Transport- och kommunikationsverkets behörighet att ålägga aktören att avbryta eller upphöra med tillhandahållandet av tjänsten eller i fråga om kvalificerade betrodda tjänster återkalla tjänstetillhandahållarens eller den av tjänstetillhandahållaren tillhandahållna tjänstens kvalificerade status. Bestämmelserna behövs för att Transport- och kommunikationsverket på det sätt som avses i artikel 46a.5 i den reviderade eIDAS-förordningen ska kunna ålägga tillhandahållaren att tillfälligt eller permanent upphöra med tillhandahållandet av den europeiska digitala identitetsplånboken och på det sätt som avses i artikel 46b.4 g ska kunna återkalla status som kvalificerad tillhandahållare av betrodda tjänster och till de tjänster som de tillhandahåller. Innan Transport- och kommunikationsverket fattar ett beslut som avses i momentet ska verket ålägga aktören att inom en skälig tid rätta till sin verksamhet genom ett beslut enligt 1 mom., och endast om tjänstetillhandahållaren inte iakttar beslutet i fråga kan Transport- och kommunikationsverket överväga att meddela ett föreläggande om avbrytande eller avslutande av tillhandahållandet av tjänsten. Transport- och kommunikationsverket ska särskilt beakta överträdelsens omfattning, varaktighet och konsekvenser. Ett föreläggande om att avbryta eller avsluta tillhandahållandet av en tjänst eller återkalla kvalificerad status är endast tillämpligt om det föreligger betydande och långvariga brister i iakttagandet av de skyldigheter som följer av bestämmelserna.
Paragrafens 3 mom. gäller endast kvalificerade tillhandahållare av betrodda tjänster och kvalificerade betrodda tjänster som tillhandahålls av dem. I momentet konstateras det att om en behörig myndighet som utsetts eller inrättats med stöd av Europaparlamentets och rådets direktiv (EU) 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) eller ett övervakningsorgan som utsetts eller inrättats med stöd av den allmänna dataskyddsförordningen gör en anmälan till Transport- och kommunikationsverket om att en tjänstetillhandahållare eller en tjänst som denna tillhandahåller inte uppfyller de krav som anges i NIS 2-direktivet eller i den allmänna dataskyddsförordningen, får Transport- och kommunikationsverket återkalla statusen som kvalificerad för den kvalificerade tillhandahållaren av betrodda tjänster eller för den berörda tillhandahållna tjänsten. Bestämmelserna behövs för att Transport- och kommunikationsverket ska kunna vidta de åtgärder som avses i artikel 20.3 a och 20.3 b i den reviderade eIDAS-förordningen. I båda fallen ska hänsyn tas till omfattningen, varaktigheten och konsekvenserna av underlåtenheten att uppfylla de föreskrivna kraven. Återkallande av kvalificerad status är endast tillämpligt om det är fråga om betydande och långvarig underlåtenhet att uppfylla kraven.
39 §. Interimistiska beslut. I paragrafen föreskrivs det om Transport- och kommunikationsverkets behörighet att fatta interimistiska beslut. Bestämmelserna motsvarar vad som i 45 a § i autentiseringslagen föreskrivs om Transport- och kommunikationsverkets behörighet att fatta interimistiska beslut. Bestämmelserna behövs, eftersom tillhandahållandet av europeiska digitala identitetsplånböcker, elektroniska identifieringssystem och betrodda tjänster kan vara förknippat med överträdelser och störningar som får så allvarliga konsekvenser att tillsynsmyndigheten behöver fatta beslut om interimistiska åtgärder. Det är fråga om sådana överträdelser av skyldigheter som leder till de mest betydande konsekvenserna eller som är allvarligare än överträdelser som är föremål för en anmärkning eller ett tillsynsbeslut enligt 38 §, eftersom Transport- och kommunikationsverket som en interimistisk åtgärd direkt kan förbjuda eller avbryta tillhandahållandet av en viss tjänst utan uppmaning att vidta korrigerande åtgärder. Paragrafen gör det också möjligt att delvis förbjuda eller avbryta tillhandahållandet av en tjänst.
Bestämmelserna behövs också för att säkerställa att medlemsstaternas skyldigheter enligt artikel 5e i den reviderade eIDAS-förordningen och kommissionens genomförandeförordning som utfärdats med stöd av den fullgörs. I 13 § föreskrivs det att tillhandahållaren av en europeisk digital identitetsplånbok i regel ansvarar för medlemsstatens skyldigheter enligt artikel 5e, t.ex. att avbryta användningen och tillhandahållandet av en europeisk digital identitetsplånbok. Transport- och kommunikationsverket kan dock vid behov genom ett interimistiskt beslut säkerställa att de åtgärder som avses i artikel 5e och artikel 10 i den reviderade eIDAS-förordningen vidtas, om tillhandahållaren av plånboken eller systemet för elektronisk identifiering inte vidtar de åtgärder som förordningen förutsätter.
40 §. Vite, hot om tvångsutförande och hot om avbrytande. I paragrafen föreskrivs det om Transport- och kommunikationsverkets möjlighet att förena ett beslut med vite, hot om tvångsutförande eller hot om avbrytande. Bestämmelser om föreläggande och verkställande av administrativa sanktioner finns i viteslagen (1113/1990).
41 §. Avgifter till Transport- och kommunikationsverket. Paragrafen föreslås innehålla bestämmelser om avgifter till Transport- och kommunikationsverket. De tillsynsavgifter som föreslås i paragrafen täcker de kostnader som Transport- och kommunikationsverket orsakas för skötseln av de tillsynsuppgifter som anges i eIDAS-förordningen, bestämmelser som utfärdats med stöd av den och den föreslagna eIDAS-lagen. Med stöd av eIDAS-förordningen utfärdas flera genomförandeakter som påverkar myndigheternas uppgifter. Bestämmelserna i paragrafen motsvarar delvis 47 § i den gällande autentiseringslagen och har ett nära samband med de ändringar som i det andra lagförslaget föreslås i 47 § i autentiseringslagen. Paragrafen behövs för det första av den orsaken att alla bestämmelser som kompletterar eIDAS-förordningen i framtiden kommer att finnas i den nya eIDAS-lagen. Därför föreslås det att avgifterna i anslutning till betrodda tjänster enligt 47 § i den gällande autentiseringslagen, de organ som ska bedöma deras överensstämmelse och certifieringsorganet (certifierare i den föreslagna eIDAS-lagen) upphävs i autentiseringslagen och överförs till den nya eIDAS-lagen. I eIDAS-lagen föreskrivs det dock inte om avgifter för nationella identifieringstjänster, utan dessa regleras alltjämt i 47 § i autentiseringslagen. För det andra innehåller paragrafen också bestämmelser om en helt ny avgift, dvs. en avgift för tillhandahållare av europeiska digitala identitetsplånböcker.
I 1 mom. föreskrivs det att en tillhandahållare av europeiska digitala identitetsplånböcker ska betala Transport- och kommunikationsverket en årlig tillsynsavgift på 17 000 euro. Det är fråga om en nationell bestämmelse som motsvarar 47 § 1 mom. i autentiseringslagen, där det föreskrivs om en tillsynsavgift för leverantörer av identifieringstjänster. Den föreslagna avgiften motsvarar också till sin storlek den tillsynsavgift som föreslås för leverantörer av identifieringstjänster i 47 § 1 mom. i det andra lagförslaget. Tillsynsavgiften betraktas konstitutionellt sett som skatt, vilket innebär att det ska föreskrivas om den i lag. Utöver den årliga tillsynsavgiften kan Transport- och kommunikationsverket för behandlingen av en anmälan som lämnats av en plånbokstillhandahållare enligt det föreslagna 7 § 3 mom. i eIDAS-lagen ta ut en avgift för behandling av anmälan enligt lagen om grunderna för avgifter till staten. Det föreslås att avgiftens storlek fastställs på förordningsnivå, dvs. i förordningen om avgifter för elektronisk kommunikation. Vid behandlingen av anmälan är det fråga om att tillsynsmyndigheten bedömer erkännandet av en tillhandahållare av en europeisk digital identitetsplånbok och meddelar bedömningen vidare till Europeiska kommissionen, dvs. en prestation. Bestämmelser om de allmänna grunderna för när statens prestationer ska vara avgiftsbelagda och för storleken av avgifterna finns i lagen om grunderna för avgifter till staten. Förhållandet mellan skatter och avgifter behandlas mer ingående i avsnitt 12.6 om lagstiftningsordningen.
Det föreslås att bestämmelserna om tillsynsavgifter för kvalificerade tillhandahållare av betrodda tjänster i 47 § 2 mom. i den gällande autentiseringslagen flyttas till 2 mom. Tillsynsavgiftens storlek höjs på motsvarande sätt som andra avgifter för identifieringstjänster och betrodda tjänster som redan är i kraft i enlighet med ökningen av kostnadsnivån, och språkliga korrigeringar görs i bestämmelserna. En kvalificerad tillhandahållare av betrodda tjänster ska betala Transport- och kommunikationsverket en årlig tillsynsavgift på 17 000 euro (nu 14 000 euro) för den första kvalificerade betrodda tjänst som den tillhandahåller och en årlig tillsynsavgift på 11 000 euro (nu 9 000 euro) för varje därpå följande kvalificerade betrodda tjänst som den tillhandahåller. Höjningarna baserar sig på Transport- och kommunikationsverkets beräkningar, som bygger på Statistikcentralens prisindex för offentliga utgifter. När man räknar med en höjning enligt delindexet för löner och andra personalkostnader i prisindexet för offentliga utgifter från 2016 års nivå till 2024 års nivå och en liten avrundning blir den tillsynsavgift som ska betalas för den första tjänsten 17 000 euro om den införs vid utgången av 2026, när lagen ska träda i kraft. Höjningen kan därför anses vara rimlig och motiverad på grundval av den allmänna ökningen av kostnadsnivån och de faktiska kostnader som Transport- och kommunikationsverket orsakas av tillsynen. Utöver tillsynsavgiften tar Transport- och kommunikationsverket ut en ansökningsavgift för behandlingen av en anmälan om inledande av tillhandahållande av tjänster, vars storlek i framtiden bestäms med stöd av förordningen om avgifter för elektronisk kommunikation. I nuläget föreskrivs det om denna avgift i 47 § 2 mom. i autentiseringslagen, där den kallas för registreringsavgift, men det föreslås att bestämmelsen upphävs på lagnivå, eftersom det anses vara fråga om en prestation, dvs. konstitutionellt sett en avgift.
Enligt 3 mom. ska ett organ för bedömning av överensstämmelse betala Transport- och kommunikationsverket en årlig tillsynsavgift på 18 000 euro. Bestämmelsen grundar sig på 47 § 3 mom. i den gällande autentiseringslagen och motsvarar 47 § 2 mom. som föreslås bli ändrat i det andra lagförslaget. Konstitutionellt sett är det fråga om en skatt som ska regleras på lagnivå. Tillsynsavgiftens storlek (nu 15 000 euro) höjs med 3 000 euro, vilket motsvarar den allmänna ökningen av kostnadsnivån.
Enligt 4 mom. ska också en certifierare som utsetts enligt den föreslagna eIDAS-lagen betala Transport- och kommunikationsverket en årlig tillsynsavgift på 18 000 euro. Bestämmelsen grundar sig på 47 § 3 mom. i den gällande autentiseringslagen. Den nuvarande tillsynsavgiften på 15 000 euro höjs med 3 000 euro, vilket motsvarar ökningen av kostnadsnivån. I fortsättningen kan en avgift för behandling av ansökan enligt lagen om grunderna för avgifter till staten tas ut för utseende av ett organ för bedömning av överensstämmelse och en certifierare, och avgiftens storlek fastställs i förordningen om avgifter för elektronisk kommunikation. Därför föreskrivs det inte om dessa i den föreslagna lagen.
I 5 mom. föreskrivs det på motsvarande sätt som i 47 § i autentiseringslagen om vissa detaljer i anslutning till skyldigheten att betala tillsynsavgift. Tillsynsavgiften ska betalas till fullt belopp också under det första verksamhetsåret, även om verksamheten inleds senare under året. Tillsynsavgiften återbetalas inte även om tjänsteleverantören upphör med sin verksamhet under året.
I 6 mom. föreskrivs det om vissa förfaranden i anslutning till tillsynsavgiften. Tillsynsavgiften påförs av Transport- och kommunikationsverket och avgiften är direkt utsökbar. Momentet innehåller också för tydlighetens skull en informativ hänvisning till paragrafen om sökande av ändring. En motsvarande bestämmelse föreslås ingå i 47 § i autentiseringslagen.
I 7 mom. föreslås en informativ hänvisning till lagen om verkställighet av skatter och avgifter (706/2007), som tillämpas på indrivning av tillsynsavgifter. Momentet innehåller dessutom en bestämmelse om dröjsmålsränta. En motsvarande bestämmelse föreslås ingå i 47 § i autentiseringslagen.
Slutligen föreslås i 8 mom. en informativ hänvisning enligt vilken bestämmelser om avgifter för vissa i momentet särskilt angivna prestationer finns i lagen om grunderna för avgifter till staten. Denna informativa hänvisning ansågs vid beredningen vara nödvändig, eftersom syftet är att förtydliga att utöver de tillsynsavgifter som det föreskrivs om i paragrafen kan även andra avgifter som hänför sig till tillhandahållandet av tjänster enligt den reviderade eIDAS-förordningen, såsom avgifter för behandling av anmälan eller ansökan eller registrering av förtroendevalda parter, tas ut i enlighet med lagen om grunderna för avgifter till staten. Avgifternas storlek fastställs i förordningen om avgifter för elektronisk kommunikation enligt kostnadsmotsvarighetsprincipen, som ingår i lagen om grunderna för avgifter till staten, dvs. avgiftens storlek motsvarar de totala kostnader som utförandet av prestationen orsakar staten. I fråga om avgifter som tas ut för prestationer som gäller identifieringsuppgifter för juridiska personer innehåller momentet en informativ hänvisning till lagen om avgifter för patent- och registerstyrelsens prestationer (1032/1992). Avgifterna kan gälla både ansökningsavgifter, årsavgifter och andra prestationer som hänför sig till identifieringsuppgifter för juridiska personer.
6 kap. Påföljdsavgifter
I 42–46 § föreskrivs det om överträdelser och försummelser av skyldigheterna i den reviderade eIDAS-förordningen som kan leda till att den behöriga myndigheten påför tillhandahållare av betrodda tjänster en påföljdsavgift. Dessa påföljder anknyter till genomförandet av artikel 16.2 i den reviderade eIDAS-förordningen. Enligt den artikeln ska medlemsstaterna säkerställa att överträdelser av denna förordning som begås av kvalificerade och icke-kvalificerade tillhandahållare av betrodda tjänster medför administrativa sanktionsavgifter.
Transport- och kommunikationsverkets behörighet att påföra påföljdsavgifter. I 42–46 § finns bestämmelser om Transport- och kommunikationsverkets behörighet att påföra tillhandahållare av betrodda tjänster påföljdsavgifter. Transport- och kommunikationsverket har varit och är även i fortsättningen den myndighet som övervakar kvalificerade och icke-kvalificerade tillhandahållare av betrodda tjänster och har därmed sakkunskap och kompetens om dessa. Därför är det lämpligast att verket ges behörighet att påföra påföljdsavgifter. Enligt 7 a § i lagen om Transport- och kommunikationsverket (935/2018) har Transport- och kommunikationsverket ett påföljdskollegium som har till uppgift att påföra påföljdsavgifter som omfattas av verkets behörighet i sådana fall när påföljdsavgiften överstiger 100 000 euro. Den föreslagna regleringen om Transport- och kommunikationsverkets behörighet att påföra påföljdsavgifter enligt paragrafen behövs emellertid, eftersom den ovannämnda paragrafen inte innehåller bestämmelser om behörigheten att påföra påföljdsavgifter, utan det ska föreskrivas om detta annanstans i lag.
42 §.Påföljdsavgifter för tillhandahållare av betrodda tjänster. Paragrafen innehåller en påföljdsavgift för de artiklar som varje tillhandahållare av betrodda tjänster kan bryta mot. Med tanke på tillämpningen av paragrafen är det således inte relevant om den som tillhandahåller betrodda tjänster är kvalificerad eller inte, eller vilken betrodd tjänst denna tillhandahåller. Enligt paragrafen kan en tillhandahållare av betrodda tjänster påföras en påföljdsavgift om tillhandahållaren bryter mot eller försummar den i artikel 15 i den reviderade eIDAS-förordningen föreskrivna skyldigheten att tillhandahålla sina tjänster på ett klart och begripligt språk i enlighet med Förenta nationernas konvention om rättigheter för personer med funktionsnedsättning (FördrS 27/2016) och tillgänglighetskraven i Europaparlamentets och rådets direktiv (EU) 2019/882 (tillgänglighetsdirektivet). Det är fråga om viktiga skyldigheter med tanke på användarna av tjänsterna. Kraven på tillgänglighet enligt artikel 15 främjar en bred tillgång till betrodda tjänster, vilket i sin tur bidrar till att olika elektroniska processer och förfaranden används i olika tjänster.
43 §. Påföljdsavgifter för icke-kvalificerade tillhandahållare av betrodda tjänster. Paragrafen innehåller en påföljdsavgift för de artiklar som icke-kvalificerade tillhandahållare av betrodda tjänster kan bryta mot och som är tillräckligt tydligt formulerade och avgränsade samt väsentliga med tanke på målen i den reviderade eIDAS-förordningen. Bestämmelser om krav som gäller icke-kvalificerade tillhandahållare av betrodda tjänster finns i artikel 19a i den reviderade eIDAS-förordningen, och i denna paragraf föreskrivs det om påförande av påföljdsavgift för överträdelse av den i artikel 19 a föreskrivna skyldigheten för icke-kvalificerade tillhandahållare av betrodda tjänster att underrätta olika parter om säkerhetsincidenter eller störningar vid tillhandahållandet av tjänsten eller vid genomförandet av de åtgärder som avses i artikel 19a.1. Det är fråga om skyldigheter som är viktiga både för tillhandahållandet av tjänster och ur tillsynsmyndighetens synvinkel. Enligt artikel 46b.3 b övervakar tillsynsmyndigheterna icke-kvalificerade tillhandahållare av betrodda tjänster genom tillsynsverksamhet endast i efterhand, om de tar del av påståenden att dessa icke-kvalificerade tillhandahållare av betrodda tjänster eller de betrodda tjänster som de tillhandahåller inte uppfyller kraven i denna förordning. Skyldigheten att rapportera om säkerhetsincidenter eller störningar i tjänsterna eller i de åtgärder som avses i punkt 1 i den artikeln bidrar till att säkerställa att tillsynsmyndigheten kan vidta tillsynsåtgärder mot en tjänstetillhandahållare för att säkerställa att denna har handlat i enlighet med de krav som ställs på tjänstetillhandahållare och eventuellt kräva korrigerande åtgärder för att undvika framtida säkerhetsincidenter. Det är också viktigt att andra berörda parter informeras om säkerhetsincidenter, så att de genom sina egna åtgärder kan sträva efter att minimera konsekvenserna av incidenterna.
44 §. Påföljdsavgifter för kvalificerade tillhandahållare av betrodda tjänster. Paragrafen innehåller en påföljdsavgift för de artiklar som kvalificerade tillhandahållare av betrodda tjänster kan bryta mot och som är tillräckligt tydligt formulerade och avgränsade samt väsentliga med tanke på målen i den reviderade eIDAS-förordningen. I 1 punkten föreskrivs det om påförande av påföljdsavgift för överträdelse av skyldigheten enligt artikel 20.1 att lämna in en rapport om bedömning av överensstämmelse till tillsynsorganet eller skyldigheten enligt artikel 20.1a att informera tillsynsorganet om en planerad revision. Det är fråga om skyldigheter som är viktiga ur tillsynsmyndighetens synvinkel. Rapporten om bedömning av överensstämmelse beskriver den kvalificerade betrodda tjänstens överensstämmelse och är därför ett viktigt dokument när tillsynsmyndigheten beviljar en tillhandahållare av betrodda tjänster statusen kvalificerad eller bedömer upprätthållandet av statusen.
I 2 punkten föreskrivs det om påförande av påföljdsavgift för överträdelse av skyldigheten enligt artikel 21.1 att informera tillsynsorganet om sin avsikt att börja tillhandahålla en kvalificerad betrodd tjänst och samtidigt lämna in en rapport om bedömning av överensstämmelse. Det är fråga om skyldigheter som är viktiga ur tillsynsmyndighetens synvinkel. Enligt artikel 46b.3 a i den reviderade eIDAS-förordningen ska tillsynsmyndigheten genom tillsynsverksamhet på förhand och i efterhand säkerställa att de kvalificerade tillhandahållarna av betrodda tjänster och de kvalificerade betrodda tjänster som de tillhandahåller uppfyller kraven i den reviderade eIDAS-förordningen. Om de kvalificerade tillhandahållarna av betrodda tjänster inte på förhand informerar om att de har för avsikt att börja tillhandahålla tjänsten kan tillsynsmyndigheten inte utöva sådan tillsynsverksamhet på förhand som krävs enligt förordningen.
I 3 punkten föreskrivs det om påförande av påföljdsavgift för överträdelse av skyldigheten enligt artikel 23.2 att se till att en länk till den relevanta förteckningen över betrodda tjänsteleverantörer finns på dess webbplats, när tillhandahållaren av betrodda tjänster använder EU-förtroendemärket. Det är fråga om viktiga skyldigheter med tanke på tjänstens tillförlitlighet. Enligt artikel 23.1 i den reviderade eIDAS-förordningen får kvalificerade tillhandahållare av betrodda tjänster använda sig av EU-förtroendemärket för att på ett enkelt, igenkännligt och tydligt sätt ange de kvalificerade betrodda tjänster som de tillhandahåller. EU-förtroendemärket bör inte användas på villkor som direkt eller indirekt leder till uppfattningen att icke-kvalificerade betrodda tjänster som tillhandahålls av dessa tillhandahållare är kvalificerade. Länken till den relevanta förteckningen över betrodda tjänsteleverantörer anger att EU-förtroendemärket används korrekt, dvs. för att påvisa att tjänsten har statusen kvalificerad.
I 4 punkten föreskrivs det om påförande av påföljdsavgift för överträdelse av skyldigheterna enligt artikel 24.2 ledvis. För det första föreskrivs det om påförande av påföljdsavgift för överträdelse av skyldigheten för en kvalificerad tillhandahållare av betrodda tjänster att informera tillsynsorganet innan en ändring av tillhandahållandet av dess kvalificerade betrodda tjänster genomförs eller dess verksamhet upphör. Dessutom föreskrivs det om påförande av påföljdsavgift för överträdelse av tillhandahållarens skyldighet att innan ett avtalsförhållande ingås informera om de exakta villkoren och förutsättningarna för användningen av den kvalificerade betrodda tjänsten samt att använda tillförlitliga system för att lagra uppgifter som har lämnats till den. Det är fråga om viktiga skyldigheter både ur tillsynsmyndighetens och användarens perspektiv och med tanke på dataskyddet. Enligt artikel 46b.3 a i den reviderade eIDAS-förordningen ska tillsynsmyndigheten genom tillsynsverksamhet på förhand och i efterhand säkerställa att de kvalificerade tillhandahållarna av betrodda tjänster och de kvalificerade betrodda tjänster som de tillhandahåller uppfyller kraven i den reviderade eIDAS-förordningen. Om en tillhandahållare av betrodda tjänster genomför ändringar i sina tjänster kan detta inverka på tjänsternas överensstämmelse, vilket tillsynsmyndigheten ska kontrollera. Ur användarens synvinkel är det viktigt att i samband med att tjänsten tas i bruk ha en tydlig uppfattning om villkoren och förutsättningarna för användningen av tjänsten, så att användaren kan agera enligt dessa.
Vidare föreskrivs det om påförande av påföljdsavgift för överträdelse av skyldigheten enligt artikel 24.2 f b att anmäla incidenter eller störningar vid tillhandahållandet av tjänsten eller genomförandet av de åtgärder som avses i artikel 24.2 f a till tillsynsorganet, de identifierbara berörda personerna, vid behov andra relevanta behöriga organ och, på begäran av tillsynsorganet, allmänheten om det ligger i allmänt intresse. Det är fråga om skyldigheter som är viktiga både för tillhandahållandet av tjänster och ur tillsynsmyndighetens synvinkel. Skyldigheten att anmäla incidenter eller störningar i genomförandet av de åtgärder som avses i artikel 24.2 f a bidrar till att säkerställa att tillsynsmyndigheten kan vidta tillsynsåtgärder mot en tjänstetillhandahållare för att säkerställa att denna har handlat i enlighet med de krav som ställs på tjänstetillhandahållare och eventuellt kräva korrigerande åtgärder för att undvika framtida säkerhetsincidenter. Det är också viktigt att andra berörda parter informeras om säkerhetsincidenter, så att de genom sina egna åtgärder kan sträva efter att minimera konsekvenserna av incidenterna.
Dessutom föreskrivs det om påförande av påföljdsavgift för överträdelse av skyldigheten att registrera och tillgänglighålla all relevant information om uppgifter som den kvalificerade tillhandahållaren av betrodda tjänster har utfärdat och tagit emot. Slutligen föreskrivs det om påförande av påföljdsavgift för överträdelse av skyldigheten enligt artikel 24.2 i att ha en uppdaterad plan för verksamhetens upphörande. Det är fråga om skyldigheter som är viktiga med tanke på dataskyddet och tjänstens allmänna tillförlitlighet. Det är viktigt att alla uppgifter som en tillhandahållare av betrodda tjänster samlat in registreras, eftersom betrodda tjänster kan vara av sådan karaktär att åtgärder som genomförts med hjälp av betrodda tjänster måste kunna verifieras även efter flera år och t.ex. i situationer där tillhandahållandet av tjänsten har upphört. En uppdaterad plan för verksamhetens upphörande gör det möjligt att vid behov avsluta tillhandahållandet av betrodda tjänster som en kontrollerad åtgärd. Betrodda tjänster kan vara kritiska för många användares affärsverksamhet, och med tanke på det är det viktigt att användarna ges möjlighet att vidta åtgärder om en tillhandahållare av betrodda tjänster upphör med sin verksamhet.
45 §. Påföljdsavgift för kvalificerade tillhandahållare av betrodda tjänster som tillhandahåller kvalificerade certifikat. Paragrafen innehåller en påföljdsavgift för de artiklar som kvalificerade tillhandahållare av betrodda tjänster som tillhandahåller kvalificerade certifikat kan bryta mot och som är tillräckligt tydligt formulerade och avgränsade samt väsentliga med tanke på målen i den reviderade eIDAS-förordningen. I paragrafen föreskrivs det om påförande av påföljdsavgift för överträdelse av den i artikel 24.1 föreskrivna skyldigheten att kontrollera identiteten och eventuella andra attribut för den fysiska eller juridiska person för vilken det kvalificerade certifikatet utfärdas. Dessutom föreskrivs det om påförande av påföljdsavgift för överträdelse av skyldigheten enligt artikel 24.2 k att upprätta och uppdatera en certifikatdatabas, skyldigheten enligt artikel 24.3 att registrera ett återkallande av certifikat i sin certifikatdatabas och offentliggöra återkallandet eller skyldigheten enligt artikel 24.4 att informera om giltigheten eller statusen som återkallad hos kvalificerade certifikat. Det är fråga om skyldigheter som är viktiga med tanke på hanteringen av livscykeln för kvalificerade certifikat och användningen av certifikat. Den tillförlitliga användningen av ett certifikat äventyras om det inte informeras i rätt tid om certifikatets giltighet eller eventuella status som återkallad. Med andra ord, om dessa uppgifter inte finns tillgängliga i rätt tid, kan det äventyra såväl certifikatanvändarens intressen och rättigheter som intressen hos dem som utnyttjar certifikaten i sina tjänster. Den som utnyttjar certifikat i sina tjänster ska dessutom kunna lita på att certifikatet har utfärdats uttryckligen till den fysiska eller juridiska person vars uppgifter förmedlas med certifikatet.
46 §. Påföljdsavgift för kvalificerade tillhandahållare av betrodda tjänster som tillhandahåller kvalificerade elektroniska attributsintyg. Paragrafen innehåller en påföljdsavgift för de artiklar som kvalificerade tillhandahållare av betrodda tjänster som tillhandahåller kvalificerade elektroniska attributsintyg kan bryta mot och som är tillräckligt tydligt formulerade och avgränsade samt väsentliga med tanke på målen i den reviderade eIDAS-förordningen. I paragrafen föreskrivs det om påförande av påföljdsavgift för överträdelse av den i artikel 24.1 föreskrivna skyldigheten att kontrollera identiteten och eventuella andra attribut för den fysiska eller juridiska person till vilken ett kvalificerat elektroniskt attributsintyg utfärdas. Dessutom föreskrivs det om påförande av påföljdsavgift för överträdelse av den i artikel 24.4a föreskrivna skyldigheten att iaktta kraven i artikel 24.3 och 24.4 vid återkallelse av kvalificerade elektroniska attributsintyg. Tillhandahållare av ett elektroniskt attributsintyg som kvalificerats med stöd av artikel 24.4a ska i rätt tid registrera en återkallelse av det kvalificerade elektroniska attributsintyget och offentliggöra statusen återkallad för intyget. När det gäller sådana elektroniska attributsintyg som endast gäller en viss tid ska det i regel anses att ett beslut om återkallande som avses i artikeln inte ska fattas, utan att intyget ska upphöra att gälla efter att tidsfristen löpt ut. Tillhandahållare av ett elektroniskt attributsintyg som kvalificerats med stöd av artikel 24.4a ska dessutom informera alla förlitande parter om giltigheten eller statusen som återkallad hos de kvalificerade elektroniska attributsintyg som de utfärdat.
Det är fråga om skyldigheter som är viktiga med tanke på hanteringen av livscykeln för kvalificerade elektroniska attributsintyg och användningen av elektroniska attributsintyg. Den tillförlitliga användningen av ett elektroniskt attributsintyg äventyras om det inte informeras i rätt tid om det elektroniska attributsintygets giltighet eller eventuella status som återkallad. Med andra ord, om dessa uppgifter inte finns tillgängliga i rätt tid, kan det äventyra såväl attributsintygsanvändarens intressen och rättigheter som intressen hos dem som utnyttjar elektroniska attributsintyg i sina tjänster. Den som utnyttjar elektroniska attributsintyg i sina tjänster ska kunna lita på att intyget har utfärdats uttryckligen till den fysiska eller juridiska person vars uppgifter förmedlas med det elektroniska attributsintyget.
47 §.Påföljdsavgiftens storlek. I paragrafen föreskrivs det om påförande av påföljdsavgift och bedömning av påföljdsavgiftens storlek i enskilda fall. Enligt 1 mom. grundar sig påförandet av påföljdsavgift och påföljdsavgiftens belopp på en helhetsbedömning, och alla väsentliga omständigheter ska beaktas i bedömningen av påföljdsavgiftens storlek. I skäl 44 i den reviderade eIDAS-förordningen konstateras det att vid fastställandet av sanktionerna bör vederbörlig hänsyn tas till de berörda enheternas storlek, deras affärsmodeller och överträdelsernas allvar. Enligt paragrafen ska dessutom andra omständigheter beaktas i helhetsbedömningen, såsom det allmänintresse som eftersträvas med påföljden, de åtgärder som tillhandahållaren av betrodda tjänster vidtagit för att lindra eller avhjälpa den skada som överträdelsen orsakat samt eventuella tidigare överträdelser. Det är motiverat att beakta denna typ av omständigheter för att säkerställa att påföljdsavgiften står i proportion till gärningen eller försummelsen. Även i andra EU-förordningar som gäller samhällstjänster och som i viss mån kan jämställas med tillhandahållare av betrodda tjänster har det förutsatts att motsvarande omständigheter ska beaktas. Som exempel kan nämnas Europaparlamentets och rådets förordning (EU) 2022/2065 av den 19 oktober 2022 om en inre marknad för digitala tjänster och om ändring av direktiv 2000/31/EG (förordningen om digitala tjänster) och Europaparlamentets och rådets förordning (EU) 2023/2854 av den 13 december 2023 om harmoniserade regler för skälig åtkomst till och användning av data och om ändring av förordning (EU) 2017/2394 och direktiv (EU) 2020/1828 (dataförordningen). Frågan om huruvida en överträdelse eller försummelse är klandervärd ska särskilt bedömas mot bakgrund av de rättsobjekt som den föreslagna lagen och den reviderade eIDAS-förordningen syftar till att skydda.
I vilket fall som helst baserar sig påföljdsavgiften alltid på en helhetsbedömning, där den ska användas i sista hand i förhållande till mindre påföljder eller andra tillsynsåtgärder. I synnerhet i inledningsskedet ska rådgivning och handledning från tillsynsmyndigheten vara det främsta sättet att ingripa i överträdelser av förordningen. Detta gäller särskilt i fråga om mindre tillhandahållare av betrodda tjänster, vars juridiska kompetens och resurser vanligtvis är mer begränsade än hos större tillhandahållare av betrodda tjänster.
Enligt 2 mom. är den påföljdsavgift som påförs en tillhandahållare av betrodda tjänster minst 1 000 euro om påföljdsavgiften påförs en fysisk person, och i annat fall minst 10 000 euro. För att påföljden ska ha en tillräcklig förebyggande effekt ska avgiften vara tillräckligt stor. Den högsta påföljdsavgiften är det lägsta tillåtna maximibeloppet enligt den nivå som förutsätts i artikel 16.2 i den reviderade eIDAS-förordningen. I fråga om fysiska personer fastställs maximibeloppet som ett belopp i euro och i fråga om juridiska personer antingen som ett belopp i euro eller som en procentuell andel av omsättningen, beroende på vilket belopp som är högst. Eftersom påföljdsavgifter av straffkaraktär till sin stränghet kan jämställas med bötesstraff, föreslås det att ingen dröjsmålsränta eller annan dröjsmålspåföljd ska tas ut.
Med omsättning avses enligt 3 mom. omsättning enligt 4 kap. 1 § i bokföringslagen (1336/1997). Med motsvarande omsättning avses i sin tur en omsättning som bedöms på grundval av någon annan utredning. Bestämmelsen gäller eventuella situationer där bokslutet ännu inte är färdigt i samband med fastställandet av påföljdsavgiften eller där ett bokslut ännu inte finns att tillgå, på grund av att affärsverksamheten nyligen har inletts. Vidare gäller bestämmelsen situationer där en administrativ påföljd påförs en myndighet som tillhandahåller betrodda tjänster. Myndigheter har inte en sådan omsättning som avses i bokföringslagen, vilket innebär att när en påföljdsavgift ska fastställas enligt det maximibelopp som anges i paragrafen ska storleken på en procent bestämmas på basis av en avkastning som motsvarar omsättning.
48 §.Avstående från påförande av påföljdsavgift. Paragrafen innehåller bestämmelser om situationer där ingen påföljdsavgift ska påföras en tillhandahållare av betrodda tjänster. Grundlagsutskottet har i sin praxis förutsatt att myndighetens prövning vid beslut om att inte påföra påföljdsavgift ska vara bunden till prövning på ett sådant sätt att påföljdsavgift inte påförs om de villkor som anges i lag är uppfyllda.
Enligt 1 mom. 1 punkten påförs påföljdsavgift inte om överträdelsen av en skyldighet ska anses vara ringa. En överträdelse eller underlåtenhet kan anses som ringa t.ex. om en aktör på eget initiativ eller omedelbart efter att ha upptäckt sin överträdelse eller underlåtenhet har vidtagit åtgärder för att korrigera sitt förfarande och de slutliga konsekvenserna därmed förblivit obetydliga. Det kan också vara fråga om en mindre överträdelse eller underlåtenhet om det rör sig om en engångsöverträdelse och det inte handlar om ett kontinuerligt eller återkommande tillvägagångssätt för en tillhandahållare av betrodda tjänster.
Enligt 1 mom. 2 punkten ska påföljdsavgift inte heller påföras om det ska anses vara uppenbart oskäligt. Det är fråga om en övergripande bedömning där hänsyn kan tas exempelvis till orsakerna till och konsekvenserna av det felaktiga förfarandet, aktörens individuella omständigheter samt frågan huruvida aktören är en fysisk person.
I 2 mom. föreskrivs det om situationer där överträdelser av förordningen samtidigt uppfyller brottsrekvisiten. För sådana situationer är det nödvändigt att föreskriva att påföljdsavgift inte kan påföras den som misstänks för samma gärning i en förundersökning, en åtalsprövning eller ett brottmål som behandlas i domstol eller den som för samma gärning redan har meddelats en lagakraftvunnen dom. Bestämmelsen motsvarar den s.k. ne bis in idem-principen, förbudet mot att påföra flera påföljder av straffkaraktär för samma gärning. Bestämmelsen behövs eftersom påföljdsavgiften till sin storlek kan vara av straffkaraktär.
I 3 mom. finns det bestämmelser om preskribering av rätten att påföra en påföljdsavgift. Rätten att påföra påföljdsavgift preskriberas om mer än fem år har förflutit sedan överträdelsen eller försummelsen inträffade. Om överträdelsen eller försummelsen har varit fortlöpande räknas preskriptionstiden från det att överträdelsen eller försummelsen upphörde.
49 §.Verkställighet av påföljdsavgift. Enligt paragrafen verkställs en administrativ påföljdsavgift som påförts med stöd av den föreslagna eIDAS-lagen med iakttagande av lagen om verkställighet av böter (672/2002). Rättsregistercentralen ansvarar för verkställigheten av påföljdsavgiften. Den gällande lagen om verkställighet av böter innehåller en allmän bestämmelse om när en administrativ påföljd av straffkaraktär förfaller, och därför är det inte nödvändigt att i denna lag separat föreskriva om när en påföljdsavgift förfaller. Även bestämmelser om den myndighet som tar emot påföljdsavgiften finns i fortsättningen i lagen om verkställighet av böter.
7 kap. Särskilda bestämmelser
50 §. Avvikelse från förvaltningslagens procedurbestämmelser. Enligt 43 § i förvaltningslagen ska förvaltningsbeslut ges skriftligen. Enligt 47 § i förvaltningslagen ska besvärsanvisning fogas till ett beslut som får överklagas genom besvär. Om det enligt en särskild bestämmelse är förbjudet att anföra besvär eller om beslutet inte är överklagbart, ska enligt lagens 48 § den bestämmelse som ligger till grund för detta anges i beslutet. I 46 § i förvaltningslagen föreskrivs det om skyldigheten att ge anvisningar om hur man begär omprövning. I paragrafen föreskrivs det om de beslut om utfärdande av identifieringsuppgifter för en person och tillhandahållande av betrodda tjänster i fråga om vilka Patent- och registerstyrelsen och Myndigheten för digitalisering och befolkningsdata inte behöver meddela ett separat förvaltningsbeslut, anvisningar om hur man begär omprövning eller upplysning om besvärsförbud. Denna bestämmelse motsvarar vad som i 13 och 14 § i det tredje lagförslaget föreskrivs om beviljande och indragning av e-legitimation på ansökan. Det är inte heller möjligt att söka ändring i eller begära omprövning av de beslut som avses i paragrafen. Bestämmelser om detta finns i de föreslagna 51 och 52 §.
Enligt 1 mom. ges inte något förvaltningsbeslut eller några anvisningar om hur man begär omprövning eller någon upplysning om besvärsförbud när identifieringsuppgifter för fysiska och juridiska personer enligt 3 och 5 § i denna lag utfärdas eller återkallas i enlighet med ansökan. Utfärdandet av identifieringsuppgifter för fysiska personer beskrivs ovan i motiveringen till den föreslagna 3 § och utfärdandet av identifieringsuppgifter för juridiska personer i motiveringen till den föreslagna 5 §.
Enligt 2 mom. ges inte något förvaltningsbeslut eller några anvisningar om hur man begär omprövning eller någon upplysning om besvärsförbud i fråga om tillhandahållande av betrodda tjänster för en europeisk digital identitetsplånbok eller avbrytande eller avslutande av tillhandahållandet i enlighet med tjänstemottagarens ansökan. I enlighet med artikel 3.16 i eIDAS-förordningen avses med betrodda tjänster t.ex. skapande och validering av elektroniska underskrifter och elektroniska stämplar. Myndigheten för digitalisering och befolkningsdata tillhandahåller för plånboken en tjänst för skapande och validering av en kvalificerad elektronisk underskrift. Med hjälp av plånboken ska det vara möjligt att genomföra en kvalificerad elektronisk underskrift som uppfyller kraven i eIDAS-förordningen och genomförandeförordningarna.
Identifieringsuppgifter och betrodda tjänster tillhandahålls på begäran av användaren. I de flesta fall återkallas också uppgifter och tjänster på begäran. Dessa situationer inbegriper inte ett sådant avgörande i ett förvaltningsärende som skulle kräva ett förvaltningsbeslut eller möjlighet att söka ändring. Av denna anledning föreskrivs det i lagen, avvikande från förvaltningslagen, att sökanden i dessa ärenden inte ska ges något förvaltningsbeslut eller några anvisningar om hur man begär omprövning eller någon upplysning om besvärsförbud, om identifieringsuppgifter utfärdas eller återkallas i enlighet med ansökan eller om betrodda tjänster tillhandahålls eller tillhandahållandet av dessa tjänster upphör i enlighet med ansökan. Den föreslagna regleringens förhållande till rättsskyddet behandlas närmare i avsnitt 12.3 nedan. Eftersom det i 68 § i BDS-lagen föreskrivs att beslut om utfärdande av sådana certifikat som Myndigheten för digitalisering och befolkningsdata producerar får undertecknas maskinellt, finns det i den föreslagna bestämmelsen ett behov av att avvika från den paragrafen, eftersom det enligt förslaget inte ska ges något förvaltningsbeslut om betrodda tjänster (t.ex. certifikat) som beviljats för plånboken i enlighet med ansökan.
Enligt 34 § 2 mom. 5 punkten i förvaltningslagen får ett ärende avgöras utan att en part hörs, om ett yrkande som inte rör någon annan part godkänns eller om hörandet av någon annan orsak är uppenbart onödigt. I praktiken behöver en part inte heller höras i dessa fall, där inget förvaltningsbeslut ges. Ett undantag utgör utfärdandet av identifieringsuppgifter för personer under 13 år, vilket kräver vårdnadshavarens samtycke.
51 §.Begäran om omprövning. I paragrafen föreskrivs det om begäran om omprövning i ärenden där det är ändamålsenligt att föreskriva att omprövningsförfarande ska vara det första steget vid sökande av ändring.
Enligt 1 mom. får omprövning begäras av andra avgöranden som Myndigheten för digitalisering och befolkningsdata och Patent- och registerstyrelsen har meddelat med stöd av eIDAS-lagen än sådana som avses i 50 §. Ovannämnda myndigheter ska med stöd av lagen avgöra ärenden som gäller erhållande av identifieringsuppgifter för en person. Dessutom ska Myndigheten för digitalisering och befolkningsdata avgöra andra frågor som gäller tjänster som ska fogas till plånboken. Dessa frågor kan avgöras genom massbeslut och delvis automatiserat. Enligt 53 f § 1 mom. i förvaltningslagen är en förutsättning för automatiserade avgöranden att den fysiska person som avgörandet avser avgiftsfritt till alla delar får begära omprövning av avgörandet genom en omprövningsbegäran enligt 7 a kap. eller ett jämförbart rättsmedel som behandlas hos den myndighet som har fattat beslutet eller hos en myndighet som hör till samma personuppgiftsansvarige som den beslutande myndigheten. Även av denna anledning finns det skäl att föreskriva om möjligheten att begära omprövning av dessa avgöranden. Omprövning får inte begäras när det gäller avgöranden som Myndigheten för digitalisering och befolkningsdata och Patent- och registerstyrelsen fattar med stöd av 50 § – dvs. beslut i enlighet med ansökan där det enligt den paragrafen inte ska ges något förvaltningsbeslut eller några anvisningar om hur man begär omprövning eller någon upplysning om besvärsförbud. Enligt 53 f § 2 mom. i förvaltningslagen tillämpas möjligheten att begära omprövning när det gäller rättsmedel vid automatiserade avgöranden dock inte, om en parts yrkande, som inte rör någon annan part, godkänns genom ett automatiserat avgörande. Således kan även dessa avgöranden i enlighet med sökandens ansökan vid behov automatiseras.
Enligt 2 mom. får omprövning begäras av ett beslut av Transport- och kommunikationsverket som gäller en avgift som ska betalas till Transport- och kommunikationsverket. Transport- och kommunikationsverkets avgiftsbeslut fattas utan att parterna hörs enligt de grunder för avgifterna som fastställs i lag. Om det uppstår ett fel i ett sådant beslut är omprövningsförfarande det lämpligaste sättet att avhjälpa det.
I paragrafen föreslås det inte att omprövning får begäras i Transport- och kommunikationsverkets övriga beslut, såsom anmärkningar eller tillsynsbeslut. Tillsynsbeslut är ofta komplexa helheter som kräver en lång utredningsprocess. Vid beredningen av tillsynsbeslut ska parterna alltid höras under beredningen av beslutet och vid behov separat ges tillfälle att yttra sig. Om omprövning föreskrivs vara det primära rättsmedlet när det gäller tillsynsbeslut kan detta i onödan fördröja tillgodoseendet av rättsskyddet för den som är föremål för tillsynsbeslutet, eftersom ändring i beslutet inte får sökas genom besvär. Eftersom förvaltningslagen, särskilt dess 6 kap., iakttas vid beredningen av tillsynsbeslut, och parterna ges tillfälle att bli hörda innan beslutet meddelas i enlighet med 34 § i förvaltningslagen, är det osannolikt att sådana fel uppstår i beslutet som kan avhjälpas genom begäran om omprövning.
Enligt 3 mom. ska omprövningsförfarande vara det första steget vid sökande av ändring i ett beslut som fattats av ett organ för bedömning av överensstämmelse eller av en aktör som utför certifieringar av anordningar för skapande av elektroniska underskrifter och elektroniska stämplar, dvs. certifierare. Omprövning av ett beslut som fattats med stöd av eIDAS-lagen eller eIDAS-förordningen eller bestämmelser som utfärdats med stöd av den får begäras hos Transport- och kommunikationsverket. När ett organ för bedömning av överensstämmelse eller en aktör som utför certifieringar av anordningar för skapande av elektroniska underskrifter och elektroniska stämplar fattar ett beslut om överensstämmelse, är avgörandet av betydelse med tanke på rättsskyddet för den som är föremål för bedömningen. Enligt 2 § 3 mom. i förvaltningslagen tillämpas lagen, inklusive bestämmelserna om meddelande av förvaltningsbeslut, också på enskilda då de sköter offentliga förvaltningsuppgifter.
Enligt 49 d § i förvaltningslagen ska en begäran om omprövning göras skriftligen hos den myndighet som fattat beslutet eller hos den som sköter en offentlig förvaltningsuppgift och som fattat beslutet. Det föreslagna 3 mom. är alltså en specialbestämmelse i förhållande till förvaltningslagen, eftersom ändring ska sökas hos någon annan än den som fattat beslutet. Enligt specialmotiveringen till 49 d § i förvaltningslagen kan det exempelvis i situationer där ett förvaltningsbeslut meddelas av en privat förening vara ändamålsenligt att omprövningsbegäran i stället för av denna förening avgörs av den myndighet som övervakar eller styr föreningen i fråga (RP 230/2014 rd, s. 58). Beslut som fattas av ett organ för bedömning av överensstämmelse eller av en certifierare kan i praktiken gälla t.ex. återkallande av certifiering. Om en certifiering återkallas kan detta i sin tur leda till att t.ex. tillhandahållandet av en europeisk digital identitetsplånbok eller en kvalificerad betrodd tjänst avbryts genom ett beslut av Transport- och kommunikationsverket. Det är därför sannolikt att återkallandet av certifieringen i vilket fall som helst kommer att behandlas av ämbetsverket, och således är det ändamålsenligt att tillsynsmyndigheten i detta fall behandlar och avgör begäran om omprövning.
Paragrafens 4 mom. innehåller en informativ hänvisning till 7 a kap. i förvaltningslagen, där det föreskrivs om förfarandet för begäran om omprövning.
52 §. Besvärsförbud och sökande av ändring i myndighetsbeslut. I paragrafen föreskrivs det om besvärsförbud i fråga om vissa myndighetsbeslut. Vidare föreskrivs det om Transport- och kommunikationsverkets möjlighet att bestämma att vissa beslut som verket fattar är verkställbara innan de har vunnit laga kraft. Till övriga delar innehåller paragrafen informativa hänvisningar till relevanta bestämmelser om sökande av ändring.
Paragrafens 1 mom. innehåller en informativ hänvisning till bestämmelserna om sökande av ändring, dvs. till lagen om rättegång i förvaltningsärenden och till viteslagen.
Enligt 2 mom. får ändring i avgöranden som avses i 50 § och som fattats av Myndigheten för digitalisering och befolkningsdata eller av Patent- och registerstyrelsen inte sökas genom besvär. På grundval av ovannämnda avgöranden kan identifieringsuppgifter för en person och betrodda tjänster tillhandahållas eller återkallas i enlighet med sökandens begäran. Dessa situationer är inte förknippade med ett sådant behov av rättsskydd som skulle kräva ett förvaltningsbeslut eller möjlighet att söka ändring. Av denna anledning föreskrivs det i lagen, avvikande från lagen om rättegång i förvaltningsärenden (808/2019), att ändring inte får sökas i ett avgörande, om identifieringsuppgifter utfärdas eller återkallas i enlighet med ansökan eller om betrodda tjänster tillhandahålls eller tillhandahållandet av dessa tjänster upphör i enlighet med ansökan. I fråga om andra avgöranden som Myndigheten för digitalisering och befolkningsdata och Patent- och registerstyrelsen har meddelat och som inte avses i denna bestämmelse får omprövning begäras i enlighet med 51 §.
Det föreslagna 3 mom. innehåller en informativ hänvisning till lagen om Patent- och registerstyrelsen, i vars 7 § det föreskrivs om sökande av ändring i Patent- och registerstyrelsens beslut i andra ärenden än sådana som gäller industriellt rättsskydd och handelsregisterärenden, om vilka det föreskrivs om ändringssökande i 6 § i den lagen.
Enligt 4 mom. får Transport- och kommunikationsverket i sitt tillsynsbeslut eller interimistiska beslut bestämma att beslutet ska iakttas innan det har vunnit laga kraft. Enligt 123 § i lagen om rättegång i förvaltningsärenden kan förvaltningsdomstolen under den tid ett besvärsärende är anhängigt förbjuda att beslutet verkställs, förordna att verkställigheten ska avbrytas eller förordna om något annat som gäller verkställigheten av beslutet. Ett sådant förordnande som avser verkställigheten kan också gälla en del av beslutet.
53 §. Ikraftträdande. Paragrafen innehåller en ikraftträdandebestämmelse och övergångsbestämmelser. En närmare motivering till lagens ikraftträdande och övergångsbestämmelserna finns i avsnitt 9 (Ikraftträdande).
7.2
Lagen om stark autentisering och betrodda elektroniska tjänster
1 §. Tillämpningsområde.Tillämpningsområdet för autentiseringslagen ändras så att lagen i fortsättningen endast gäller nationella leverantörer av elektroniska identifieringstjänster och nationella elektroniska identifieringstjänster. I fortsättningen ingår de bestämmelser som kompletterar eIDAS-förordningen i den föreslagna eIDAS-lagen. Syftet med ändringen av tillämpningsområdet är dock inte att ändra utgångspunkten att kraven på nationella identifieringstjänster är förenliga med de krav som eIDAS-förordningen ställer på identifieringsmetoder på tillitsnivån väsentlig.
I det gällande 2 mom. stryks bestämmelsen om att lagen innehåller bestämmelser om tillsynen över efterlevnaden av eIDAS-förordningen och bestämmelser som kompletterar den förordningen. I den senare meningen i momentet stryks hänvisningen till betrodda tjänster, och meningen flyttas i ändrad form till 1 mom. I momentet görs också några lagtekniska korrigeringar. Paragrafens gällande 3 mom. flyttas med oförändrat innehåll men med vissa lagtekniska korrigeringar och blir ett nytt 2 mom.
I 3 mom. finns i fortsättningen en informativ hänvisning till den föreslagna eIDAS-lagen. Hänvisningen behövs eftersom det är fråga om en betydande ändring av lagens tillämpningsområde och den informativa hänvisningen utgör en tydlig indikation till intressentgrupperna att tillämpningsområdet ändras.
2 §. Definitioner.Paragrafen ändras så att definitionerna i 1 mom. 1 och 2 punkten preciseras och så att en definition läggs till som en ny 12 punkt. I definitionen i 1 och 2 punkten förkortas i hänvisningen till EU:s förordning om elektronisk identifiering namnet på förordningen till eIDAS-förordningen. Förkortningen överensstämmer med den nya föreslagna eIDAS-lagen, där förkortningen eIDAS-förordningen används om förordningen. I den nya 12 punkten definieras termen europeisk digital identitetsplånbok. Det är fråga om den europeiska digitala identitetsplånbok som avses i artikel 3.42 i eIDAS-förordningen och som har tillhandahållits i Finland.
Paragrafens 2 mom. upphävs. I momentet stryks hänvisningen till elektroniska underskrifter, betrodda tjänster och avancerad elektronisk underskrift. De bestämmelser som kompletterar eIDAS-förordningen och därmed också de kompletterande bestämmelserna om betrodda tjänster ingår i fortsättningen i den föreslagna eIDAS-lagen. Definitionerna av system för elektronisk identifiering och förlitande part flyttas till 1 mom. och blir nya punkter 13 och 14. Till definitionerna av system för elektronisk identifiering och förlitande part fogas en mer exakt hänvisning till artikel 3.4 och 3.6 i eIDAS-förordningen. Dessutom ändras i hänvisningen till EU:s förordning om elektronisk identifiering namnet på förordningen till eIDAS-förordningen.
7 b §. Information om giltighet för pass, identitetskort eller e-legitimation. E-legitimation jämställs i framtiden med en identitetshandling som utfärdats av en myndighet, t.ex. pass och identitetskort, och kan också användas vid inledande identifiering av en fysisk person. Till 1 mom. fogas en rätt för leverantörer av identifieringstjänster att få information om giltigheten av ett kvalificerat elektroniskt attributsintyg som innehåller uppgifter om e-legitimation. Information om giltigheten fås ur Myndigheten för digitalisering och befolkningsdatas informationssystem, vilket i praktiken innebär att attributsintygets giltighet kontrolleras i en statusförteckning som förs av Myndigheten för digitalisering och befolkningsdata och som Myndigheten för digitalisering och befolkningsdata genomför som en del av tillhandahållandet av elektroniska attributsintyg. Giltigheten för pass och identitetskort kontrolleras alltjämt i polisens informationssystem. Paragrafrubriken ändras så att den motsvarar innehållet.
Till paragrafen fogas ett nytt 2 mom. om skyldigheten för leverantörer av identifieringsverktyg att se till att pass, identitetskort eller e-legitimation som används vid inledande identifiering är giltiga. I praktiken gäller skyldigheten endast situationer där den inledande identifieringen grundar sig på en finsk identitetshandling. Enligt 17 § i autentiseringslagen kan inledande identifiering också grunda sig på officiella identitetshandlingar som utfärdats av myndigheter i vissa andra länder, men det är inte möjligt att kontrollera giltigheten av dessa handlingar elektroniskt. Skyldigheten att säkerställa att en handling som används vid inledande identifiering är giltig gäller endast sådana situationer av inledande identifiering som avses i 17 §, dvs. situationer där identiteten hos den som ansöker om ett verktyg för stark autentisering verifieras i samband med att det nya identifieringsverktyget utfärdas. Giltigheten ska i första hand kontrolleras innan identifieringsverktyget utfärdas och överlåts till sökanden. Om det dock inte är möjligt att kontrollera giltigheten vid en inledande identifiering, t.ex. på grund av störningar i datatrafiken eller något annat avbrott i användningen, kan den även kontrolleras i efterhand. Leverantören av identifieringsverktyget ska emellertid säkerställa att identifieringsverktyget inte kan användas förrän giltigheten har kontrollerats. Ett identifieringsverktyg kan således överlämnas till sökanden innan giltighetskontrollen har genomförts, men då ska verktyget aktiveras för användning först senare.
Möjligheten att i polisens informationssystem kontrollera giltigheten för pass eller identitetskort som används vid inledande identifiering har funnits alltsedan 2017, men den har sällan utnyttjats av leverantörer av identifieringsverktyg. Regleringen har därför inte lett till någon förbättring av säkerheten vid utfärdande av identifieringsverktyg, utan giltighetskontrollen har varit beroende av identifieringstjänstens egen riskbedömning. Kommunikationsutskottet har ansett att det är viktigt att försöka förhindra missbruk i samband med utfärdande och förnyande av identitetsverktyg för stark autentisering med alla till buds stående medel och att eventuella lagstiftningsbehov som dessa orsakar bör bevakas (KoUB 6/2021 rd). Skyldigheten för leverantörer av identifieringsverktyg att med hjälp av uppgifter från polisens informationssystem kontrollera handlingarnas giltighet kan leda till att säkerheten vid utfärdandet av identifieringsverktyg förbättras i och med att giltigheten i fortsättningen alltid kontrolleras. Kontrollen av giltigheten för pass eller identitetskort i polisens informationssystem är inte en avgiftsbelagd tjänst men kan kräva att leverantören av identifieringsverktyget inrättar en anslutningsserver för den nationella servicekanalen.
12 e §.Förmedling av identifieringstransaktioner baserade på en europeisk digital identitetsplånbok. Paragrafen är ny, och den gäller leverantörer av tjänster för identifieringsförmedling. Enligt paragrafen kan leverantörer av tjänster för identifieringsförmedling förmedla identifieringstransaktioner som baserar sig på en europeisk digital identitetsplånbok till en part som förlitar sig på elektronisk identifiering, trots att bestämmelserna i autentiseringslagen inte tillämpas på plånböcker eller deras tillhandahållare.
Syftet med regleringen är att främja fullgörandet av den skyldighet som anges i artikel 5f.2 i den reviderade eIDAS-förordningen (en mer detaljerad beskrivning av innehållet i denna skyldighet finns i avsnitt 2.2.1). I nuläget köper e-tjänsterna stark autentisering för sina tjänster centraliserat via förtroendenätet (se närmare avsnitt 3.1.1). De tekniska gränssnitt och andra förutsättningar som behövs för förmedling av identifieringstransaktioner till e-tjänster har sålunda byggts i och kring förtroendenätet. Ur de privata e-tjänsternas synvinkel är det sannolikt tydligast och enklast att skyldigheten fullgörs så att identifiering av användare på grundval av plånboken kan ske med hjälp av samma tekniska gränssnitt som den nuvarande starka autentiseringen. Syftet med regleringen är dessutom att generellt stödja omfattande möjligheter att använda plånboken inom samhällets tjänster, även när det inte finns någon skyldighet enligt lag att erbjuda detta.
Regleringen behövs, eftersom det i 12 a § i autentiseringslagen konstateras att endast de leverantörer av identifieringstjänster som har gjort en anmälan enligt lagens 10 § ansluter sig till förtroendenätet. Således kommer endast de identifieringsverktyg som tillhandahålls av dessa leverantörer av identifieringstjänster att göras tillgängliga för leverantörer av tjänster för identifieringsförmedling, som kan tillhandahålla dem vidare till e-tjänsterna. Det föreslås dock inte att autentiseringslagen tillämpas på europeiska digitala identitetsplånböcker eller på tillhandahållare av dessa. Detta beror på att det i princip inte är möjligt att ställa ytterligare nationella krav på plånböcker enligt den reviderade eIDAS-förordningen och på dem som tillhandahåller dessa, vilket bestämmelserna om leverantörer av identifieringstjänster och förtroendenätet i autentiseringslagen de facto utgör. I praktiken faller alltså de europeiska digitala identitetsplånböckerna och tillhandahållarna av dessa utanför förtroendenätet. Det är därför nödvändigt att separat föreskriva om rätten för leverantörer av tjänster för identifieringsförmedling att förmedla identifieringstransaktioner som baserar sig på en plånbok.
Det är fråga om en möjliggörande reglering, och det är inte obligatoriskt för leverantörer av tjänster för identifieringsförmedling att förmedla identifieringar som baserar sig på en plånbok på samma sätt som i fråga om de identifieringsverktyg som ingår i förtroendenätet. Enligt artikel 5b.10 i eIDAS-förordningen ska mellanhänder som agerar för förlitande parters räkning betraktas som förlitande parter och får inte lagra uppgifter om transaktionens innehåll. I praktiken kräver alltså förmedling av identifiering som baserar sig på en plånbok att leverantören av tjänster för identifieringsförmedling registrerar sig i det register över förlitande parter i anslutning till den europeiska digitala identiteten som förs av Transport- och kommunikationsverket. När en leverantör av tjänster för identifieringsförmedling förmedlar identifiering som baserar sig på en plånbok kan således bestämmelserna om förlitande parter i eIDAS-förordningen tillämpas på detta. När en leverantör av tjänster för identifieringsförmedling däremot är verksam i förtroendenätet och förmedlar identifiering som baserar sig på de identifieringsverktyg som finns där, omfattas denna alltjämt av bestämmelserna i autentiseringslagen. Leverantörer av tjänster för identifieringsförmedling behöver t.ex. inte ingå ett separat avtal med en tillhandahållare av en europeisk digital identitetsplånbok om förmedling av identifiering som baserar sig på plånboken på samma sätt som med leverantörer av identifieringsverktyg som ingår i förtroendenätet.
17 §. Identifiering av en fysisk person som ansöker om ett identifieringsverktyg. Det föreslås att det till 2 mom. fogas en hänvisning till den e-legitimation som avses i lagen om e-legitimation för att det ska vara möjligt att använda denna vid inledande identifiering. Formuleringen i bestämmelsen är dock inte förpliktande, eftersom utnyttjande av e-legitimation kräver praktiska integrationsåtgärder och ekonomiska resurser från den förlitande parten när systemreformer ska genomföras.
21 a §.Återaktivering av identifieringsverktyg. Det föreslås att en ny paragraf om återaktivering av identifieringsverktyg fogas till i lagen. Vid återaktivering av identifieringsverktyg ska kraven i punkt 2.2.3 i bilagan till förordningen om tillitsnivåer vid elektronisk identifiering iakttas.
I nuläget innehåller autentiseringslagen inga bestämmelser om återaktivering av identifieringsverktyg. Enligt punkt 2.2.3 i bilagan till förordningen om tillitsnivåer för elektronisk identifiering är ett villkor för återaktivering att samma krav angående tilliten som fastställts före upphävandet eller återkallelsen fortsätter att uppfyllas. Återaktivering blir aktuellt i situationer där ett identifieringsverktygs giltighet har upphävts eller återkallats på initiativ av antingen leverantören eller innehavaren av identifieringsverktyget. Det är således fråga om en situation där identifieringsverktygets giltighet har upphävts t.ex. på grund av en säkerhetsrisk eller misstanke om missbruk. Som återaktivering kan i praktiken betraktas t.ex. situationer där en ny PIN-kod installeras i stället för en bortglömd kod eller låsta användarkoder öppnas. I sådana situationer krävs det dock inte att tjänsteleverantören avbryter eller återkallar identifieringsverktygets giltighet innan återaktiveringen genomförs. Det föreslås att begreppet återaktivering används i lagen, eftersom det är förenligt med förordningen om tillitsnivåer för elektronisk identifiering.
24 §.Registrering och användning av uppgifter om identifieringstransaktioner och identifieringsverktyg. Till 2 mom. fogas en skyldighet för leverantörer av identifieringsverktyg att utan dröjsmål förmedla information om verktyg för stark autentisering som använts vid inledande identifiering av en sökande till leverantören av identifieringsverktyget i fråga. Om det i den inledande identifieringen används ett identifieringsverktyg som tillhandahålls av en annan leverantör av identifieringsverktyg, ska information om den inledande identifieringstransaktionen förmedlas till den berörda leverantören av identifieringsverktyg i samband med identifieringstransaktionen. Syftet med förslaget är att säkerställa att informationen om användningen av ett identifieringsverktyg vid inledande identifiering rör sig mellan tjänsteleverantörerna, varvid det också blir möjligt att på ett effektivare sätt utreda missbrukssituationer.
Informationen om inledande identifiering är också av betydelse för faktureringen av den ersättning som ska betalas för användningen av identifieringstjänsten och vid ansvarsfördelningen i felsituationer. Maximipriset för inledande identifiering har tidigare fastställts genom en temporär lagändring. De temporära ändringarna upphörde att gälla den 31 mars 2023. Därefter har det inte längre föreskrivits om maximipriset för inledande identifiering, och följaktligen är det möjligt för leverantörer av identifieringsverktyg att för denna transaktion ta ut en högre ersättning än för andra identifieringstransaktioner. Skyldigheten att förmedla uppgifter om inledande identifiering säkerställer att rätt pris tas för inledande identifiering och förtydligar ansvarsfördelningen för felsituationer enligt 17 § i autentiseringslagen.
Informationen om inledande identifiering ska förmedlas i samband med identifieringstransaktionen, t.ex. via gränssnittet eller tjänsten för identifieringsförmedling. I övrigt ändras paragrafen inte.
29 §.Bedömning av överensstämmelse hos en elektronisk identifieringstjänst. Paragrafen ändras så att gällande 2 mom. stryks, och gällande 3 mom. flyttas och blir ett nytt 2 mom. Enligt det 2 mom. som föreslås utgå föreskrivs det om bedömningen av överensstämmelse hos ett system för elektronisk identifiering som ska anmälas till Europeiska kommissionen i EU:s förordning om elektronisk identifiering och betrodda tjänster samt i förordningen om tillitsnivåer för elektronisk identifiering. Det föreslås dock att autentiseringslagen inte längre ska innehålla bestämmelser som kompletterar eIDAS-förordningen, utan att de i framtiden ska ingå i den föreslagna eIDAS-lagen. Dessutom stryks i gällande 3 mom. hänvisningen till gällande 2 mom.
30 §.Bedömning av överensstämmelse hos den nationella noden för elektronisk identifiering. Denna paragraf i autentiseringslagen upphävs som helhet. I fortsättningen föreskrivs det om bedömning av överensstämmelse hos den nationella noden för elektronisk identifiering i den föreslagna eIDAS-lagen.
31 §.Inspektionsberättelse. Paragrafens 1 mom. ändras så att hänvisningen till Myndigheten för digitalisering och befolkningsdata stryks. Hänvisningen har tidigare behövts med avseende på den bedömning av överensstämmelse hos den nationella noden som Myndigheten för digitalisering och befolkningsdata ansvarat för. I fortsättningen regleras bedömningen av den nationella nodens överensstämmelse emellertid i den föreslagna eIDAS-lagen, och därför är hänvisningen till Myndigheten för digitalisering och befolkningsdata onödig.
32 §.Fastställande av överensstämmelse hos betrodda tjänster. Denna paragraf i autentiseringslagen upphävs i sin helhet. I fortsättningen ingår motsvarande bestämmelser i den föreslagna eIDAS-lagen.
36 §.Certifiering av anordningar för skapande av kvalificerade elektroniska underskrifter eller kvalificerade elektroniska stämplar. Denna paragraf i autentiseringslagen upphävs i sin helhet. I fortsättningen ingår motsvarande bestämmelser i den föreslagna eIDAS-lagen.
37 §.Verksamheten vid organ för bedömning av överensstämmelse. Paragrafen ändras så att hänvisningarna till certifieringsorgan stryks. Även paragrafens rubrik ändras i överensstämmelse med detta genom att omnämnandet av verksamheten vid certifieringsorgan stryks. Ändringen behövs eftersom överensstämmelsen hos nationella identifieringstjänster inte påvisas genom certifieringar utan genom en bedömning av överensstämmelse. Tidigare har bestämmelserna om certifieringsorgan behövts, eftersom det krävts att sådana anordningar för skapande av kvalificerade elektroniska underskrifter eller kvalificerade elektroniska stämplar som avses i 36 §, som nu föreslås bli upphävd, ska certifieras.
38 §.Återkallande av godkännande som organ för bedömning av överensstämmelse. Paragrafen ändras genom att hänvisningarna till certifieringsorgan stryks. Även paragrafens rubrik ändras i överensstämmelse med detta genom att omnämnandet av verksamheten vid certifieringsorgan stryks. Ändringen behövs eftersom överensstämmelsen hos nationella identifieringstjänster inte påvisas genom certifieringar utan genom en bedömning av överensstämmelse. Tidigare har bestämmelserna om certifieringsorgan behövts, eftersom det krävts att betrodda tjänster enligt 36 §, som nu föreslås bli upphävd, ska certifieras.
4 a kap. Bestämmelser om betrodda tjänster
Det föreslås att 4 a kap. upphävs i sin helhet. De bestämmelser som kompletterar eIDAS-förordningen och därmed också de kompletterande bestämmelserna om betrodda tjänster ingår i fortsättningen i den föreslagna eIDAS-lagen.
42 §.Transport- och kommunikationsverkets föreskrifter. Paragrafen ändras så att det nuvarande 1 mom. som gäller den allmänna styrnings- och utvecklingsuppgiften upphävs och paragrafen i fortsättningen endast föreskriver om de föreskrifter av Transport- och kommunikationsverket som för närvarande ingår i 2 mom. Dessutom upphävs de i det nuvarande 2 mom. angivna bemyndigandena för Transport- och kommunikationsverket att utfärda föreskrifter till den del de gäller bestämmelser som kompletterar eIDAS-förordningen. I fortsättningen ingår all nationell reglering som kompletterar eIDAS-förordningen i eIDAS-lagen, och motsvarande bemyndiganden att utfärda föreskrifter avses ingå i samma lag. Det föreslås också att bemyndigandena att utfärda föreskrifter utökas med ytterligare ett bemyndigande. I övrigt ändras inte de bemyndiganden som ingår i gällande 2 mom. För att rubriken för paragrafen ska motsvara paragrafens nya innehåll föreslås det att den ändras så att hänvisningen till allmän styrning stryks.
Paragrafens 1 mom. upphävs. Efter att lagförslagen i propositionen har trätt i kraft fördelas lagstiftningsansvaret för stark autentisering mellan kommunikationsministeriet och finansministeriet. Det är därför inte längre motiverat att den allmänna styrningen och utvecklingen hör endast till kommunikationsministeriet.
Förslaget om att stryka kommunikationsministeriets allmänna styrnings- och utvecklingsuppgift bedöms inte påverka verksamheten i praktiken. Enligt reglementet för statsrådet (262/2003) ska ministeriet i vilket fall som helst bereda t.ex. lagstiftning som gäller dess ansvarsområde och behandla internationella ärenden samt delta i EU:s institutioners verksamhet. I 14 § i statsrådets förordning om kommunikationsministeriets arbetsordning (470/2023) föreskrivs det om ministeriets interna arbetsfördelning bl.a. i frågor som gäller elektronisk identifiering. Kommunikationsministeriet har dock för närvarande förutom beredning av lagstiftning i praktiken inga andra styrnings- och utvecklingsuppgifter i fråga om elektronisk identifiering och betrodda tjänster, som det hänvisas till i momentet. Ministeriet har t.ex. inte meddelat några relaterade anvisningar, utan Transport- och kommunikationsverket svarar för myndighetsrådgivningen, och vid behov för myndighetsanvisningar, i dessa frågor. Med tanke på att regleringsansvaret är uppdelat mellan kommunikationsministeriet och finansministeriet kan strykningen av styrnings- och utvecklingsuppgiften t.o.m. i viss mån anses förtydliga nuläget.
I gällande 2 mom. föreskrivs det om Transport- och kommunikationsverkets bemyndiganden att utfärda föreskrifter. Bestämmelser som kompletterar eIDAS-förordningen ingår i fortsättningen i den föreslagna eIDAS-lagen, vilket innebär att det i den gällande 5 punkten (nya 6 punkten) avsedda bemyndigandet att utfärda föreskrifter om grunderna för bedömningen av överensstämmelsen hos en betrodd tjänst och den nationella noden upphävs. Vidare upphävs i den gällande 6 punkten (nya 7 punkten) skyldigheten att beakta vad som föreskrivs i EU:s förordning om elektronisk identifiering. Dessutom upphävs den gällande 8 punkten, enligt vilken Transport- och kommunikationsverket kan utfärda föreskrifter om de krav som ställs på certifieringsorgan, förfarandet vid certifiering och kraven på anordningar för skapande av elektroniska underskrifter och elektroniska stämplar med beaktande av vad som föreskrivs i EU:s förordning om elektronisk identifiering. Bemyndigandet att utfärda föreskrifter behövs inte längre, eftersom nationella identifieringstjänster inte certifieras.
Det föreslås att en ny 5 punkt fogas till bemyndigandena att utfärda föreskrifter, varvid den gällande 5 punkten flyttas och blir 6 punkten. På motsvarande sätt blir gällande 6 och 7 punkten nya 7 och 8 punkter. Enligt den nya 5 punkten får Transport- och kommunikationsverket meddela närmare föreskrifter om de behövliga uppgifter som avses i 24 § 2 mom. och som ska registreras om den inledande identifieringen av sökanden och om de handlingar eller om den elektroniska identifiering som används i den inledande identifieringen. Antalet inledande identifieringar av sökanden på distans har ökat avsevärt. Till exempel fjärravläsning av pass eller identitetskort och andra tillförlitliga metoder för att identifiera sökande på distans utvecklas hela tiden. Leverantörer av identifieringsverktyg kan få in mycket olika uppgifter om inledande identifieringar, beroende på hur en inledande identifiering genomförs. Det är motiverat att mer exakt definiera vilka uppgifter som ska registreras för att säkerställa att de uppgifter som är nödvändiga för att utreda felsituationer finns att tillgå. I synnerhet förfarandet för identifiering på distans ökar behovet av att definiera de tekniska detaljerna om de uppgifter som ska lagras. Bemyndigandet att utfärda föreskrifter omfattar en detaljerad definition av de uppgifter som ska registreras både om identifieringstransaktionen och om den handling som används och även om den elektroniska identifieringen.
42 a §. Transport- och kommunikationsverkets uppgifter.I paragrafen stryks 3 mom., där det föreskrivs om Transport- och kommunikationsverkets uppgifter i anslutning till eIDAS-förordningen. Bestämmelser om de uppgifter som anges i den reviderade eIDAS-förordningen finns i fortsättningen i den föreslagna eIDAS-lagen. Dessutom stryks i 2 mom. hänvisningen till de uppgifter som anges i 42 § 1 mom. i lagen, eftersom 42 § 1 mom. föreslås utgå.
42 c §.Uppgifter som ankommer på Myndigheten för digitalisering och befolkningsdata. Paragrafen upphävs eftersom bestämmelser om Myndigheten för digitalisering och befolkningsdatas uppgift att upprätthålla en nationell nod i fortsättningen finns i den föreslagna eIDAS-lagen.
45 §.Administrativa tvångsmedel I 1 mom. stryks Transport- och kommunikationsverkets behörighet att med stöd av autentiseringslagen ge en anmärkning till den som bryter mot EU:s förordning om elektronisk identifiering eller bestämmelser som utfärdats med stöd av den. I fortsättningen föreskrivs det om tillsynsåtgärder för överträdelser av förordningen i den föreslagna eIDAS-lagen. Det föreslås också att den informativa hänvisningen till viteslagen i momentet stryks, eftersom det inte längre rekommenderas att den lagen används.
45 a §.Interimistiska beslut. I paragrafen stryks Transport- och kommunikationsverkets behörighet att med stöd av autentiseringslagen meddela ett interimistiskt beslut om ett fel eller en försummelse som gäller eIDAS-förordningen eller bestämmelser eller föreskrifter som utfärdats med stöd av den eller om en störning i datasäkerheten. 1 1 mom. stryks hänvisningen til eIDAS-förordningen. Formuleringen i paragrafen förtydligas så att det av 1 mom. direkt framgår vilka de interimistiska åtgärderna är, dvs. förbjuda eller avbryta verksamheten. I 2 mom. stryks Transport- och kommunikationsverkets möjlighet att med stöd av autentiseringslagen som en interimistisk åtgärd förbjuda eller avbryta tillhandahållandet av tjänster, som det föreskrivs om direkt i eIDAS-förordningen. Därmed stryks 1–4 punkterna i sin helhet. I fortsättningen föreskrivs det om Transport- och kommunikationsverkets rätt att fatta interimistiska beslut om de berörda aktörerna och tjänsterna i den föreslagna eIDAS-lagen.
46 §.Inspektionsrätt. I paragrafen upphävs Transport- och kommunikationsverkets rätt att med stöd av autentiseringslagen utföra inspektioner av certifieringsorgan för anordningar för skapande av kvalificerade elektroniska underskrifter och elektroniska stämplar, av certifikatutfärdare som tillhandahåller kvalificerade certifikat samt av tillhandahållare av betrodda tjänster och deras tjänster. I 1, 2 och 3 mom. stryks hänvisningarna till certifikatutfärdare som tillhandahåller kvalificerade certifikat och tillhandahållare av betrodda tjänster. I fortsättningen föreskrivs det om Transport- och kommunikationsverkets rätt att utföra inspektioner av de berörda aktörerna i den föreslagna eIDAS-lagen.
47 §.Avgifter till Transport- och kommunikationsverket. I 1 mom. upphävs den första meningen, som gäller en registreringsavgift. I fortsättningen ska en leverantör av identifieringstjänster eller en sammanslutning av tjänsteleverantörer som har gjort en anmälan enligt 10 § betala Transport- och kommunikationsverket en avgift för behandling av anmälan i enlighet med lagen om grunderna för avgifter till staten. Det föreslås att avgiftens storlek i fortsättningen fastställs på förordningsnivå i stället för på lagnivå, dvs. i förordningen om avgifter för elektronisk kommunikation. Vid behandlingen av anmälan är det fråga om att tillsynsmyndigheten på grundval av en anmälan bedömer godkännandet av en tjänsteleverantör och registrerar denna, dvs. en prestation. Bestämmelser om de allmänna grunderna för när statens prestationer ska vara avgiftsbelagda och för storleken av avgifterna finns i lagen om grunderna för avgifter till staten.
Den gällande avgift som enligt lag ska tas ut för registreringen motsvarar inte kostnaderna för registreringen. Det har föreskrivits om registreringsavgiften för leverantörer av identifieringstjänster 2009. Då gick det inte att visa på något tydligt vederlag från det dåvarande Kommunikationsverkets sida för registreringsavgifterna, varvid det ansågs vara fråga om avgifter av skattenatur (RP 36/2009 rd s. 86). År 2009 var det inte möjligt att bedöma om myndigheternas verksamhet överensstämde med prestationerna, eftersom marknaden för identifieringstjänster ännu var under utveckling och det inte fanns någon etablerad verksamhet eller något etablerat antal aktörer. I nuläget är verksamheten etablerad, vilket har lett till att kostnaderna för behandlingen av anmälningar kan identifieras i detalj. En behandlingsavgift kan tas ut i enlighet med kostnadsmotsvarighetsprincipen, eftersom prestationen och myndigheternas kostnader i anslutning till denna kan specificeras och betalningsskyldigheten inte direkt följer av lagen. Därmed kan kriterierna för en avgift anses bli uppfyllda. I samband med motiveringen till lagstiftningsordningen i avsnitt 12.6 görs en mer detaljerad bedömning av vederlagsförhållandet och ändringen på lagstiftningsnivå.
I 1 mom. föreskrivs det även i fortsättningen om en tillsynsavgift som en leverantör av identifieringstjänster eller en sammanslutning av tjänsteleverantörer årligen ska betala till Transport- och kommunikationsverket. Tillsynsavgiftens nuvarande belopp (14 000 euro) höjs med 3 000 euro till följd av en ökning av den allmänna kostnadsnivån. Senast tillsynsavgifterna höjdes var 2016. Höjningen baserar sig på Transport- och kommunikationsverkets beräkningar, som bygger på Statistikcentralens prisindex för offentliga utgifter. När man räknar med en höjning enligt delindexet för löner och andra personalkostnader i prisindexet för offentliga utgifter från 2016 års nivå till 2024 års nivå och en liten avrundning blir avgiften 17 000 euro om den införs vid utgången av 2026, när lagen ska träda i kraft. Framöver uppgår den årliga tillsynsavgiften således till 17 000 euro per tjänsteleverantör. Höjningen kan anses vara rimlig och motiverad på grundval av den allmänna ökningen av kostnadsnivån och de faktiska kostnader som Transport- och kommunikationsverket orsakas av tillsynen. I motsats till en registreringsavgift betraktas tillsynsavgiften konstitutionellt sett som skatt, vilket innebär att det även i fortsättningen ska föreskrivas om den i lag. Med leverantör av identifieringstjänster avses i paragrafen en leverantör av identifieringstjänster enligt definitionen i 2 § 3 punkten i lagen.
Enligt definitionerna i den reviderade eIDAS-förordningen är den europeiska digitala identitetsplånboken samtidigt en metod för elektronisk identifiering. Kraven på plånboken och tillhandahållandet av den anges dock på ett uttömmande sätt i den reviderade eIDAS-förordningen, och därmed faller plånböckerna och tillhandahållarna av dem utanför den nationella lagstiftningen om stark autentisering. Detta innebär att en tjänsteleverantör som är skyldig att i enlighet med det första lagförslaget betala en tillsynsavgift för den plånbok som denna tillhandahåller inte är skyldig att för samma tjänst betala en tillsynsavgift för leverantörer av identifieringstjänster enligt 1 mom.
Paragrafens 2 mom. upphävs i sin helhet, eftersom det är nödvändigt att i paragrafen stryka alla sådana avgifter till Transport- och kommunikationsverket som har samband med eIDAS-förordningen. I paragrafens 2 mom. föreskrivs det för närvarande om registrerings- och tillsynsavgifter som ska betalas av en kvalificerad tillhandahållare av betrodda tjänster som gjort en anmälan enligt artikel 21 i eIDAS-förordningen och en certifikatutfärdare som tillhandahåller kvalificerade betrodda tjänster. Bestämmelser om dessa ingår i fortsättningen antingen i den föreslagna nya eIDAS-lagen eller, i den mån de betraktas som avgifter i stället för skatt, i lagen om grunderna för avgifter till staten och i den förordning om avgifter för elektronisk kommunikation som utfärdas med stöd av den.
I paragrafens nya 2 mom. föreskrivs det om tillsynsavgiften för ett organ för bedömning av överensstämmelse. Bestämmelser om detta ingår i den gällande paragrafens 3 mom., som flyttas och blir ett nytt 2 mom. Samtidigt höjs tillsynsavgiftens nuvarande belopp (15 000 euro) med 3 000 euro till följd av en ökning av den allmänna kostnadsnivån. Senast tillsynsavgifterna höjdes var 2016. Höjningen kan på grundval av den allmänna ökningen av kostnadsnivån anses vara rimlig och motiverad. Framöver uppgår den årliga tillsynsavgiften till 18 000 euro. I momentet stryks bestämmelsen om att ett organ för bedömning av överensstämmelse är skyldigt betala Transport- och kommunikationsverket en utnämningsavgift på 10 000 euro. I fortsättningen ska en avgift enligt lagen om grunderna för avgifter till staten betalas för behandlingen av en ansökan som avses i lagens 35 §.
Det gällande 4 mom. upphävs i sin helhet av motsvarande orsaker som 2 mom. I det gällande 4 mom. föreskrivs det om de utnämnings- och tillsynsavgifter som ett certifieringsorgan ska betala. Bestämmelser om dessa ingår i fortsättningen antingen i den föreslagna nya eIDAS-lagen eller, i den mån de betraktas som avgifter i stället för skatt, i lagen om grunderna för avgifter till staten och i den förordning om avgifter för elektronisk kommunikation som utfärdas med stöd av den.
De nuvarande 5, 6 och 7 mom. flyttas och blir nya 3, 4 och 5 mom. Från dessa moment stryks hänvisningarna till en registreringsavgift och utnämningsavgift, som det inte längre föreskrivs om i autentiseringslagen. Dessutom görs vissa språkliga ändringar i momenten i syfte att förtydliga ett struket innehåll eller en formulering. Från det gällande 5 mom., dvs. det nya 3 mom., stryks som onödigt ett uttryckligt omnämnande av att tillsynsavgiften täcker Transport- och kommunikationsverkets kostnader för tillsynen över efterlevnaden av denna lag. Transport- och kommunikationsverkets kostnader för att utföra uppgifterna enligt lagen täcks inte av en registrerings- och tillsynsavgift, utan i stället tas det ut en avgift för behandling av anmälan eller ansökan som motsvarar kostnaderna för behandlingen av dessa. Tillsynsavgiften används även i fortsättningen till att täcka Transport- och kommunikationsverkets kostnader för tillsynen över efterlevnaden av lagen, även om det uttryckliga omnämnandet av detta stryks. Bemyndigandet i gällande 6 mom. att genom förordning av kommunikationsministeriet få utfärda närmare bestämmelser om verkställigheten av avgifterna stryks som onödigt. I övrigt ändras inte sakinnehållet i momenten.
I det nya 6 mom. finns en informativ hänvisning enligt vilken det i lagen om grunderna för avgifter till staten föreskrivs om behandlingen av en anmälan som avses i autentiseringslagens 10 § och en ansökan som avses i 35 § samt om den avgift som tas ut för en sådan inspektion som avses i 46 § 1 mom. En informativ hänvisning ansågs vid beredningen vara nödvändig, eftersom den syftar till att klargöra att en avgift som motsvarar kostnaderna för behandlingen av anmälan och ansökan i enlighet med lagen om grunderna för avgifter till staten i fortsättningen tas ut i stället för den registreringsavgift och utnämningsavgift som stryks från 1 och 3 mom. i den gällande paragrafen. Syftet är alltså inte att göra dessa åtgärder avgiftsfria. Behandlingsavgiftens storlek fastställs inte i lag, utan i stället i förordningen om avgifter för elektronisk kommunikation, och den bestäms enligt kostnadsmotsvarighetsprincipen, som ingår i lagen om grunderna för avgifter till staten, dvs. avgiftens storlek motsvarar de totala kostnader som utförandet av prestationen orsakar staten.
49 a §. Sökande av ändring i beslut av organ för bedömning av överensstämmelse. Det föreslås att hänvisningarna till sökande av ändring i ett beslut som fattats av ett certifieringsorgan stryks från paragrafen. Bestämmelserna behövs inte längre, eftersom nationella identifieringstjänster inte ska certifieras. I enlighet med denna ändring stryks också omnämnandet av certifieringsorgan i paragrafens rubrik.
Ikraftträdandebestämmelse. Paragrafen innehåller en bestämmelse om stegvist ikraftträdande. En närmare motivering till lagens ikraftträdande finns i avsnitt 9 (Ikraftträdande).
7.3
Lagen om e-legitimation
1 §.Lagens syfte. Paragrafen definierar lagens tillämpningsområde och syfte. Lagen gäller ett nytt tillförlitligt sätt att styrka identiteten eller visa bestyrkta personuppgifter. E-legitimation kan till stor del jämställas med fysiska handlingar, pass och identitetskort som utfärdats av en myndighet för att styrka en persons identitet. Även om det är möjligt för användaren att styrka sin identitet med en e-legitimation och det handlar om ett intyg i elektronisk form, är det ändå inte fråga om ett elektroniskt identifieringsverktyg. Förleden ”e” i ordet e-legitimation syftar på ett identitetsbevis som endast finns i elektronisk form i den europeiska digitala identitetsplånboken. E-legitimationen ska i första hand användas vid fysiska besök, men i framtiden kan möjligheterna att utnyttja den utvecklas och utvidgas. När det gäller andra än fysiska besök kan det i framtiden t.ex. finnas användningsområden där det är nödvändigt att kunna visa bestyrkta personuppgifter före ett egentligt fysiskt besök. Det kan bl.a. handla om att boka biljetter eller hotell eller att bekräfta en bokning före incheckning på en flygplats eller ett hotell.
Finska medborgare och utlänningar som vistas i Finland kan få tillgång till e-legitimation för detta ändamål i enlighet med den föreslagna lagen.
2 §.Definitioner. I paragrafen definieras de centrala begrepp som används i lagen. Att definitionerna är exakta är av betydelse med tanke på rättssäkerheten, en konsekvent tillämpning av lagen, myndigheternas uppgifter och EU-lagstiftningens tillämplighet. Exempelvis definitionerna av bestyrkta uppgifter, förlitande part och teknisk utrustning förtydligar den tekniska och rättsliga ramen för e-legitimationer.
I 1 punkten definieras bestyrkta uppgifter, som avser personuppgifter som ingår i det passregister som avses i 29 § i passlagen eller i det identitetskortsregister som avses i 31 § i lagen om identitetskort. Förutom att de bestyrkta uppgifterna ska ingå i ovannämnda register ska de också, för att vara ännu tillförlitligare, ha verifierats elektroniskt av en myndighet. Den elektroniska verifieringen syftar på behandlingen av uppgifterna under hela deras livscykel. Som exempel kan nämnas åtgärder som tryggar uppgifternas integritet och tillförlitlighet hos både polisen och Myndigheten för digitalisering och befolkningsdata. Åtgärderna omfattar alltså redan t.ex. identifieringen av personen i samband med utfärdande av pass och identitetskort, informationssäkerhetsåtgärder vid behandling och överföring av uppgifter från polisen till Myndigheten för digitalisering och befolkningsdata samt certifikat som Myndigheten för digitalisering och befolkningsdata utfärdar för att säkerställa äktheten och integriteten hos de uppgifter som registrerats i den tekniska delen av passet och identitetskortet. Med bestyrkta uppgifter avses också personuppgifter i attributsintyg, som det föreskrivs om i bilaga V till eIDAS-förordningen och i 4 § i den föreslagna lagen om e-legitimation. En datamängd som består av bestyrkta uppgifter som definierats på detta sätt utgör e-legitimationens innehåll. Den förteckning som finns i 4 § 2 mom. i den föreslagna lagen om e-legitimation föreslås utgöra en uttömmande förteckning över de uppgifter som bildar en datamängd.
I 2 punkten definieras eIDAS-förordningen.
I 3 punkten definieras förlitande part. Bestämmelsen motsvarar i enlighet med det första lagförslaget den definition som finns i artikel 3.6 i eIDAS-förordningen, enligt vilken förlitande part avser en fysisk eller juridisk person som förlitar sig på elektronisk identifiering, europeiska digitala identitetsplånböcker eller andra medel för elektronisk identifiering eller på en betrodd tjänst. Förlitande parter kan i praktiken förekomma t.ex. i handels- och köpsituationer samt kundservicesituationer eller utgöra parter vid ingående av ett avtalsförhållande eller en myndighet eller privat aktör som övervakar åldersgränser.
I 4 punkten i paragrafen definieras användare som en fysisk person som Myndigheten för digitalisering och befolkningsdata tillhandahåller ett kvalificerat elektroniskt attributsintyg. Bestämmelser om Myndigheten för digitalisering och befolkningsdatas uppgift att tillhandahålla attributsintyg finns i 7 § 3 mom. Användaren kan endast vara en fysisk person, eftersom en e-legitimation enligt den föreslagna lagstiftningen alltid baserar sig på en sådan identitetshandling, ett sådant pass eller identitetskort, som endast kan beviljas en fysisk person.
I 5 punkten definieras teknisk utrustning som en mobil terminal eller annan motsvarande utrustning, t.ex. en pekplatta, som användaren av den europeiska digitala identitetsplånboken innehar och i vilken plånboken har tagits i bruk. Definitionen begränsar användningsområdet för e-legitimation till en konkret utrustning, vilket är av avgörande betydelse för informationssäkerheten och användbarheten.
I 6 punkten definieras europeisk digital identitetsplånbok med en hänvisning till eIDAS-förordningen.
I 7 punkten definieras kvalificerat elektroniskt attributsintyg som ett intyg enligt eIDAS-förordningen som är utfärdat av en kvalificerad tillhandahållare av betrodda tjänster och som uppfyller de krav som anges i bilaga V till eIDAS-förordningen. Definitionen understryker att EU-lagstiftningen lägger grunden för det tekniska genomförandet av e-legitimationen.
I 8 punkten definieras kvalificerad tillhandahållare av betrodda tjänster som en aktör enligt eIDAS-förordningen som tillhandahåller en eller flera kvalificerade betrodda tjänster och som beviljats statusen kvalificerad av det tillsynsorgan som avses i förordningen. Definitionen är viktig med tanke på e-legitimationens tillförlitlighet och överensstämmelsen med EU-lagstiftningen.
I 9 punkten definieras handling som utgör grund för en e-legitimation för det första som ett giltigt finskt pass enligt 3, 3 c eller 4 § i passlagen. Passen enligt de ovannämnda paragraferna är grundläggande pass som beviljas finska medborgare på ansökan (3 §), provisoriskt pass (3 c §) samt diplomatpass och tjänstepass (4 §). Alternativt kan den handling som utgör grund för en e-legitimation vara ett i 2 § 1 mom. i lagen om identitetskort avsett grundläggande identitetskort, även ett identitetskort som används som resedokument, ett i 14 § avsett identitetskort för utlänningar, ett i 15 a § avsett provisoriskt identitetskort eller ett i 17 § 3 mom. avsett identitetskort som inte kan användas som resedokument. Däremot uppfyller t.ex. ett tillfälligt pass eller identitetskort, ett nödpass eller sjömanspass inte definitionen av en handling som utgör grund för e-legitimation. Utfärdandet av handlingar som faller utanför den föreslagna definitionen grundar sig på särskilda omständigheter eller på sökandens uppgifter. Ett tillfälligt pass eller temporärt identitetskort kan t.ex. utfärdas endast av grundad anledning, om det inte är möjligt att ens genom påskyndat förfarande utfärda en handling som upprättats centraliserat. Ett nödpass kan utfärdas i undantagsfall för en resa och endast för att användas för denna resa. Ett tillfälligt pass, sjömanspass, nödpass och temporärt identitetskort innehåller inte heller någon teknisk del. Denna avgränsning är väsentlig för att e-legitimationen ska basera sig på de mest tillförlitliga uppgifterna som bestyrkts av en myndighet. I praktiken kräver den föreslagna regleringen ändringar i passlagen och lagen om identitetskort. Ändringarna i lagen om identitetskort föreslås i det fjortonde lagförslaget och ändringarna i passlagen i det sjuttonde lagförslaget. Enligt förslagen innefattar de ovannämnda passen och identitetskorten i framtiden rätten att ta i bruk en e-legitimation som avses i denna föreslagna lag. Lagförslagen innehåller också förslag till övergångsbestämmelser som garanterar att befintliga pass och identitetskort också är giltiga när det gäller att få tillgång till en e-legitimation.
Enligt definitionen i 10 punkten avses med åldersbevis ett attributsintyg eller motsvarande intyg som härletts ur de bestyrkta uppgifterna och med vilket användaren kan bekräfta för en förlitande part att användaren hör till en viss åldersgrupp. Enligt eIDAS-förordningen ska medlemsstaterna integrera olika integritetsbevarande tekniker i den europeiska digitala identitetsplånboken. Ett exempel på sådan teknik är enligt skäl 14 i den reviderade eIDAS-förordningen ett nollkunskapsbevis. Dessa kryptografiska metoder bör göra det möjligt för en förlitande part att validera om ett visst påstående baserat på personens identifieringsuppgifter och attributsintyg är sant, utan att några uppgifter med anknytning till detta påstående förmedlas, och därigenom bevara användarens integritet. I praktiken kan användaren t.ex. på ett tillförlitligt sätt berätta att hon eller han är myndig utan att avslöja sin egentliga ålder. Användaren kan således vara t.ex. 23 eller 45 år gammal, men den enda information som förmedlas till den förlitande parten är att användaren är myndig. I 10 punkten definieras åldersbeviset som ett attributsintyg eller motsvarande intyg som gör det möjligt för användaren att visa att han eller hon tillhör en viss åldersgrupp utan att andra personuppgifter avslöjas. Definitionen stöder således dataskyddet och gör det möjligt att använda åldersbegränsade tjänster utan onödigt utlämnande av personuppgifter. Användning av åldersbevis är av särskild betydelse i situationer där tjänsteleverantören endast behöver försäkra sig om användarens ålder utan att hans eller hennes födelsedatum, personbeteckning eller andra individualiserande personuppgifter anges. Ett exempel på en sådan situation är en filmvisning med åldersgräns. Definitionen skapar en teknisk och rättslig grund för ett sådant begränsat påvisande av uppgifter och stärker användarens hantering av sina egna uppgifter.
3 §.E-legitimation. I paragrafen föreskrivs det om e-legitimationens rättsliga karaktär. I 1 mom. definieras e-legitimationen utifrån dess användningsändamål. Med en e-legitimation kan användaren styrka sin identitet eller visa sina bestyrkta uppgifter på motsvarande sätt som med det pass eller identitetskort som utgör grund för e-legitimationen. Den föreslagna bestämmelsen stärker kopplingen mellan e-legitimationen och det fysiska passet eller identitetskortet och främjar e-legitimationens ställning som en digital version av dessa och ett pålitligt verktyg för styrkande av identiteten.
Det är önskvärt att e-legitimationen i fortsättningen godkänns i lika stor utsträckning som de traditionella dokumenten. Någon förpliktande bestämmelse om godkännande av e-legitimation föreslås dock inte, och någon sådan ingår inte heller i den gällande lagstiftningen om pass och identitetskort. I praktiken förutsätter användningen av e-legitimation t.ex. inom handeln maskinell kontroll för att det ska kunna säkerställas att en e-legitimation är äkta och giltig. Mellan fysiska personer sker kontrollen med hjälp av den europeiska digitala identitetsplånboken som finns i användarens egen tekniska utrustning.
Användaren kan få e-legitimationen som ett kvalificerat elektroniskt attributsintyg i användarens europeiska digitala identitetsplånbok. Denna bestämmelse skapar en teknisk och rättslig grund för förekomsten och användningen av e-legitimation.
Tillhandahållandet av e-legitimation som ett kvalificerat elektroniskt attributsintyg som avses i eIDAS-förordningen säkerställer att e-legitimationen uppfyller de höga kraven på uppgifternas äkthet, integritet och tillförlitlighet och att tillhandahållandet omfattas av tillsyn. Samtidigt begränsar definitionen intygets användningsområde till den europeiska digitala identitetsplånboken. Med andra ord är det inte möjligt att få en e-legitimation för plånbokslösningar som inte uppfyller kraven i den reviderade eIDAS-förordningen.
I 2 mom. konstateras det att e-legitimationen inte är ett resedokument. Bestämmelsen begränsar e-legitimationens användningsändamål och hindrar att den används vid gränsöverskridande eller internationella resor.
4 §.Uppgifter som ingår i e-legitimationer. I paragrafen definieras på ett uttömmande sätt vilka uppgifter som ingår i e-legitimationen. Datainnehållet motsvarar till stor del de uppgifter som finns i ett fysiskt pass eller identitetskort, och därför kan e-legitimationen jämställas med de traditionella handlingarna. I paragrafen hänvisas det också till de uppgifter som det föreskrivs om i bilaga V till eIDAS-förordningen. Bilagan fastställer vilka uppgifter som ska ingå i ett kvalificerat elektroniskt attributsintyg och därmed även vilka uppgifter som ingår i e-legitimationen. Till skillnad från pass och identitetskort innehåller en e-legitimation inga fingeravtrycks- och signaturuppgifter.
I 1 mom. föreskrivs det att uppgifterna i en e-legitimation ska motsvara uppgifterna i polisens passregister eller identitetskortsregister. I momentet fastställs vilka uppgifter en e-legitimation ska innehålla. Bestämmelsen säkerställer samtidigt att identitetsbeviset baserar sig på en informationskälla som upprätthålls och uppdateras av en myndighet. Uppgifternas överensstämmelse är av avgörande betydelse för e-legitimationens tillförlitlighet.
Paragrafens 2 mom. innehåller en förteckning över de uppgifter som ingår i en e-legitimation. En e-legitimation ska innehålla sådana personuppgifter som normalt behövs för att styrka identiteten i olika situationer i vardagen. I en e-legitimation ska ingå följande uppgifter: efternamn, förnamn, kön som antecknats i ett giltigt finskt pass eller identitetskort, födelsetid, personbeteckning, uppgift om finskt medborgarskap, den myndighet som utfärdat passet eller identitetskortet, dagen för utfärdande av passet eller identitetskortet, sista giltighetsdag och nummer samt ansiktsbild som har förts in i pass- eller identitetskortsregistret. I 3 mom. föreskrivs det att ett kvalificerat elektroniskt attributsintyg också kan innehålla åldersbevis. Momentet möjliggör ett begränsat bevis som härrör från de uppgifter som ingår i e-legitimationen och som visar att användaren tillhör en viss åldersgrupp utan att annan information röjs. Detta är ändamålsenligt t.ex. i tjänster där det är nödvändigt att ange åldersgränser, men ingen annan individualiserande personuppgift behövs.
I 4 mom. finns en informativ hänvisning till bilaga V till eIDAS-förordningen, där det föreskrivs om krav som ställs på alla kvalificerade elektroniska attributsintyg. I bilagan krävs det att en jämförelsevis stor mängd information ska ingå i ett kvalificerat elektroniskt attributsintyg. Bestämmelserna i bilagan påverkar i hög grad datainnehållet i det kvalificerade attributsintyget, som innehåller delvis samma uppgifter som e-legitimationen. Det finns dock ingen anledning att föreskriva om detta på nationell nivå, eftersom bestämmelserna redan ingår i en förordning som är direkt förpliktande för medlemsstaterna.
5 §.Förutsättningar för att få tillgång till e-legitimation. I paragrafen föreskrivs det om förutsättningarna för att få tillgång till e-legitimation. Enligt 1 mom. kan en finsk medborgare samt en utlänning som vistas i Finland få tillgång till e-legitimation. Personen ska dessutom ha en giltig handling som utgör grund för e-legitimationen samt en europeisk digital identitetsplånbok som har tagits i bruk. Förutsättningarna bygger på principen att endast personer vars identitet redan har styrkts av en myndighet kan få tillgång till e-legitimation. För att få tillgång till e-legitimation krävs det självklart också att personen har en europeisk digital identitetsplånbok som har tagits i bruk och för vilken e-legitimationen uteslutande tillhandahålls.
I 2 mom. föreskrivs det om en teknisk kontroll, som också är en förutsättning för att en person ska få tillgång till e-legitimation. Kontrollen går till så att Myndigheten för digitalisering och befolkningsdata fjärrläser uppgifterna i den tekniska delen av den handling som utgör grund för den digitala identiteten och kontrollerar att uppgifterna motsvarar identifieringsuppgifterna för den fysiska personen i personens europeiska digitala identitetsplånbok. Kontrollen av uppgifterna utgör en tvåstegsåtgärd som hör till de uppgifter som en kvalificerad tillhandahållare av betrodda tjänster ska sköta. Å ena sidan kan de personuppgifter som erhålls ur den tekniska delen av handlingen jämföras med identifieringsuppgifterna för den fysiska personen i användarens europeiska digitala identitetsplånbok. Å andra sidan säkerställs äktheten och integriteten hos det lästa passet eller identitetskortet med hjälp av de certifikat som ingår i den tekniska delen av handlingen. Syftet med kontrollen är att förhindra missbruk på förhand och att se till att sökanden faktiskt innehar en föreskriven handling som utgör grund för e-legitimationen. De uppgifter som används i jämförelsen får inte sparas, utan jämförelsen ska göras ur minnet.
Enligt den i 2 § 9 punkten angivna definitionen av handling som utgör grund för en e-legitimation kan en person samtidigt ha fler än en handling som kan godkännas som grund. Grund för e-legitimationen blir den handling vars uppgifter blir fjärravlästa. På så sätt gör personen själv valet i sitt eget ärende, och myndigheten ges inget utrymme för egen bedömning i ärendet.
Den förutsättning som gäller fjärravläsning uppfylls också om användaren i samband med att den europeiska digitala identitetsplånboken tas i bruk gör en lyckad fjärravläsning av passet eller identitetskortet på samma gång.
Med teknisk del avses i fråga om pass den tekniska del som avses i 5 a § i passlagen och i fråga om identitetskort den tekniska del som avses i 5 § i lagen om identitetskort.
Identifiering med den europeiska digitala identitetsplånboken motsvarar i bestämmelsen kravet på stark autentisering, om vilket det är möjligt att få jämförbara uppgifter.
6 §. Giltigheten för e-legitimationer. I 1 mom. föreskrivs det att en e-legitimation kan vara i kraft lika länge som det pass eller identitetskort som utgör grund för den digitala identiteten är i kraft. Huvudprincipen föreslås således vara att den digitala versionen av ett pass eller identitetskort inte ska vara i kraft längre än den handling som utgör grund för den.
I 2 mom. föreskrivs det att om den handling som utgör grund för e-legitimationen dras in på den grunden att innehavaren har anmält att den har förkommit eller stulits, fortsätter rätten till e-legitimationen trots detta 30 dygn. Momentet gör det möjligt att fortsätta använda e-legitimationen under en kort övergångsperiod, vilket är praktiskt i situationer där anskaffningen av en ny handling fortfarande pågår. Förlängningen stöder kontinuiteten i tjänsterna och minskar de olägenheter som följer av att användningen avbryts. Enligt 12 § upphör dock en e-legitimation att gälla trots det föreslagna momentet, om det till personen inom den 30 dygn långa förlängningen lämnas ut en ny handling som utgör grund för e-legitimationen. I så fall ska personen med hjälp av den nya utlämnade handlingen ansöka om en ny e-legitimation. Trots att rätten till e-legitimationen förlängs med 30 dygn är det med stöd av bestämmelsen inte möjligt att få tillgång till en ny e-legitimation på grundval av en handling som innehavaren har anmält som förkommen eller stulen, eftersom anmälan leder till att den fysiska handling som utgör grund för e-legitimationen dras in. Syftet med bestämmelsen är att göra det möjligt att använda en tidigare erhållen e-legitimation i 30 dygn från det att den handling som utgör grund för e-legitimationen har dragits in på grund av en anmälan om förkommen eller stulen handling.
I 3 mom. föreskrivs det att en e-legitimation kan användas som ett kvalificerat elektroniskt attributsintyg samtidigt på två separata tekniska utrustningar. E-legitimationer som används på olika tekniska utrustningar ska tydligt skiljas från varandra med hjälp av identifieringsuppgifter, vilket också krävs med tanke på att användaruppgifterna ska vara spårbara enligt artikel 5a.4 i eIDAS-förordningen. Momentet gör det möjligt att använda e-legitimationen t.ex. via användarens telefon och pekplatta, vilket ökar dess flexibilitet och användbarhet. Samtidig användning förutsätter dock att informationssäkerheten och e-legitimationen integritet bevaras på båda plattformarna.
I 4 mom. ges Myndigheten för digitalisering och befolkningsdata behörighet att bedöma giltighetstiden för ett kvalificerat elektroniskt attributsintyg. Giltighetstiden för ett kvalificerat elektroniskt attributsintyg kan vara kortare än giltighetstiden för den underliggande handlingen, vilket gör det möjligt att uppdatera uppgifterna och förnya det kvalificerade elektroniska attributsintyget så ofta som det är tekniskt sett behövs. Den maximala giltighetstiden och sista giltighetsdagen för ett kvalificerat elektroniskt attributsintyg bestäms enligt den sista giltighetsdagen för den handling som ligger till grund för attributsintyget.
7 §. Behöriga myndigheter, myndighetsuppgifter och uppgiftsbehandling. I 1 mom. föreskrivs det att när polisen eller någon annan behörig myndighet utfärdar en handling som utgör grund för en e-legitimation beviljar den samtidigt rätt att få tillgång till en e-legitimation. Syftet med förslaget är att förenkla processen för utfärdande och samtidigt se till att e-legitimationen bygger på aktuella uppgifter som bestyrkts av myndigheten. Förfarandet bidrar också till en smidig ärendehantering och kan genomföras utan att det behöver föreskrivas om ett nytt ansöknings- och tillståndsförfarande.
Den föreslagna bestämmelsen leder till att de myndigheter som har till uppgift att utfärda den handling som utgör grund för e-legitimationen är behöriga. Förutom polisen är dessa myndigheter enligt 10 § 2 mom. i passlagen och 9 § 2 mom. i lagen om identitetskort en finsk ambassad, ett konsulat som leds av en utsänd tjänsteman, någon annan finsk beskickning med en anställd finsk medborgare som utrikesministeriet har bemyndigat att utfärda pass, någon annan finsk beskickning som utfärdar pass med en anställd finsk medborgare som utrikesministeriet har bemyndigat att utfärda identitetskort samt utrikesministeriet.
I 2 mom. föreskrivs det att polisen lämnar ut de uppgifter som ska ingå i en e-legitimation till Myndigheten för digitalisering och befolkningsdata för tillhandahållande av ett kvalificerat elektroniskt attributsintyg. Momentet fastställer ansvarsfördelningen mellan myndigheterna och säkerställer en ändamålsenlig överföring av uppgifter. Innan uppgifterna lämnas ut ska polisen noggrant kontrollera att de är korrekta.
Enligt 3 mom. ska Myndigheten för digitalisering och befolkningsdata tillhandahålla de certifikat som behövs för att säkerställa äktheten och integriteten hos uppgifterna i ett kvalificerat elektroniskt attributsintyg och stämpla uppgifterna med en kvalificerad elektronisk stämpel. Med kvalificerad elektronisk stämpel avses enligt artikel 3.27 i eIDAS-förordningen en avancerad elektronisk stämpel som skapas med hjälp av en kvalificerad anordning för skapande av elektroniska stämplar och som är baserad på ett kvalificerat certifikat för elektroniska stämplar. Denna bestämmelse säkerställer uppgifternas tillförlitlighet och oföränderlighet.
Ett kvalificerat elektroniskt attributsintyg ska vara förenligt med artikel 45d i eIDAS-förordningen, vilket säkerställer att det kvalificerade elektroniska attributsintyg som används som e-legitimation och Myndigheten för digitalisering och befolkningsdata, som tillhandahåller det till användaren, uppfyller de krav som följer av EU-lagstiftningen. Momentet innebär att Myndigheten för digitalisering och befolkningsdata i egenskap av tillhandahållare av ett kvalificerat elektroniskt attributsintyg på de sätt som avses i artiklarna 20 och 21 i eIDAS-förordningen ska ansöka om kvalificering av sin betrodda tjänst hos tillsynsorganet och se till att kraven på betrodda tjänster uppfylls under tjänstens livscykel, så att statusen som kvalificerad hålls i kraft för myndigheten och för det elektroniska attributsintyg som den tillhandahåller.
Myndigheten för digitalisering och befolkningsdata kan därför tillhandahålla ett kvalificerat elektroniskt attributsintyg endast om den uppfyller de skyldigheter som följer av eIDAS-förordningen, inklusive den nationella tillsynsmyndighetens övervakning av Transport- och kommunikationsverket. För att kunna tillhandahålla kvalificerade elektroniska attributsintyg måste Myndigheten för digitalisering och befolkningsdata med andra ord förvärva statusen som kvalificerad tillhandahållare av betrodda tjänster, vilket förutsätter att kraven enligt eIDAS-förordningen uppfylls, att överensstämmelsen bedöms samt att Transport- och kommunikationsverket gör en anteckning om Myndigheten för digitalisering och befolkningsdata i förteckningen över kvalificerade tillhandahållare av betrodda tjänster i Finland.
I 4 mom. föreskrivs det att Myndigheten för digitalisering och befolkningsdata ska behandla uppgifter som polisen lämnar ut i Finland. E-legitimationens tillförlitlighet grundar sig till stor del på säkerhetsfaktorerna i de handlingar som utgör grund för e-legitimationen. Bestämmelser om dessa säkerhetsfaktorer finns i passlagen och lagen om identitetskort. Enligt 35 § 3 mom. i passlagen och 22 § 4 mom. i lagen om identitetskort ska individualiseringen av handlingarna och kontrollen av handlingarnas kvalitet utföras i Finland. Grundlagsutskottet har ansett (GrUU 6/2013 rd) att detta krav är motiverat med tanke på uppgifternas art och de skyldigheter som följer av tjänsteansvar. Det internationella säkerhetsläget har under de senaste åren förändrats i en väsentligt mer instabil riktning, och även detta talar för att nationella åtgärder behöver vidtas för att göra det möjligt att skydda nationellt viktiga uppgifter så att uppgifterna är säkra och tillgängliga även under undantagsförhållanden, där förbindelserna till andra länder är svaga eller obefintliga. I en allvarlig kris är det särskilt viktigt att personer kan identifieras tillförlitligt, enkelt och snabbt, och i krissituationer sörjer varje land i första hand för sina egna behov. Omkring 4,5 miljoner finländare, av vilka cirka 700 000 är minderåriga, har för närvarande ett pass eller identitetskort som är i kraft. Genomförandet av e-legitimationer baserar sig på de uppgifter som införts i pass- och identitetskortsregistren. Uppgifterna i fråga täcker alltså majoriteten av Finlands befolkning, vars personuppgifter den föreslagna lagstiftningen avser skydda.
8 §.Register över e-legitimationer. I 1 mom. föreskrivs det om polisens skyldighet att föra ett register över e-legitimationer. Syftet med registret är att göra det möjligt att sköta de uppgifter som föreskrivs i lagen. Registret föreslås innehålla de uppgifter som avses i 4 § 2 mom. i fråga om de personer som har tagit i bruk en e-legitimation. Dessutom innehåller registret uppgifter om e-legitimationerna och behandlingen av dem. Dessa uppgifter omfattar uppgifter om beviljande, indragning och giltighetens upphörande.
I enlighet med bestämmelserna i passlagen och lagen om identitetskort kan en finsk medborgare som vistas utomlands under vissa förutsättningar ansöka om pass och identitetskort hos Finlands ambassad, hos konsulat som leds av en utsänd tjänsteman och hos andra finska beskickningar. En e-legitimation enligt den föreslagna lagstiftningen kan också grunda sig på en handling som utfärdats t.ex. av Finlands ambassad. Bestämmelser om förande av register finns i 29 § i passlagen och 31 § i lagen om identitetskort. Enligt de ovannämnda paragraferna för polisen ett register över de uppgifter som enligt lagarna ska skötas av polisen och utrikesförvaltningen. I denna paragraf föreslås det i enlighet med gällande lagstiftning att enbart polisen ska föra ett register över e-legitimationer.
I 2 mom. hänvisas det i fråga om behandlingen av personuppgifter i registret till lagen om behandling av personuppgifter i polisens verksamhet (616/2019) och till dess 11–15 §, som gäller användning av personuppgifter. Bestämmelser om utlämnande och radering av personuppgifter finns i 4 kap. 38 § i den lagen. Hänvisningarna syftar till att säkerställa att behandlingen av uppgifter i registret sker i enlighet med gällande dataskyddsbestämmelser om polisens verksamhet och att användningen av registret begränsas till lagenliga ändamål. När det föreskrivs om ett nytt tillförlitligt sätt att styrka identiteten är det ändamålsenligast att samma bestämmelser tillämpas på behandlingen av uppgifterna i det relaterade registret som på behandlingen av uppgifterna i passregistret och identitetskortsregistret.
På behandlingen av personuppgifter i registret över e-legitimationer tillämpas den allmänna dataskyddsförordningen. Behandlingen av personuppgifter är nödvändig för att polisen ska kunna fullgöra sina lagstadgade skyldigheter, och den grundar sig på artikel 6.1 c i förordningen. Den personuppgiftsansvariges ställning bestäms i enlighet med artikel 4.7 i den allmänna dataskyddsförordningen, och i den föreslagna regleringen förtydligas att polisen är personuppgiftsansvarig för registret över e-legitimationer, så att rollen som personuppgiftsansvarig och de myndighetsuppgifter som anknyter till detta blir så tydliga som möjligt. I regleringen utnyttjas det nationella handlingsutrymme som artikel 6.3 och 6.4 i den allmänna dataskyddsförordningen ger. Handlingsutrymmet utnyttjas så att de uppgifter som ska behandlas på nationell nivå avgränsas noggrant genom att de definieras som uppgifter som avses i 4 § 2 mom. i den föreslagna lagen och genom att uppgifterna begränsas till att gälla endast de personer som har tagit i bruk en e-legitimation. Enligt det föreslagna 8 § 1 mom. innehåller registret också uppgifter om behandlingen av e-legitimationer vid polisen, vilket bekräftar att uppgifterna behandlas lagligt och korrekt. Bestämmelserna om förande av registret uppfyller ett mål av allmänt intresse, eftersom det är nödvändigt för att säkerställa en tillförlitlig verifiering av identitet och personuppgifter och tryggandet av säkerheten. Bestämmelserna är proportionerliga, eftersom endast de personuppgifter som anges i lagen och uppgifter om behandlingen av e-legitimationen förs in i registret, och uppgifterna får användas för andra behandlingsändamål endast i enlighet med lagen om behandling av personuppgifter i polisens verksamhet. Som personuppgiftsansvarig ansvarar polisen för all behandling av personuppgifter i enlighet med principerna i artikel 5 i den allmänna dataskyddsförordningen, dvs. principerna om ändamålsbegränsning, uppgiftsminimering och lagringsminimering. Den registrerades rättigheter bestäms enligt kapitel III i den allmänna dataskyddsförordningen och lagen om behandling av personuppgifter i polisens verksamhet. Lagringen av personuppgifter omfattas av principen om lagringsminimering, som det föreskrivs om i artikel 5.1 e i den allmänna dataskyddsförordningen. Enligt denna princip får personuppgifter förvaras i en form som möjliggör identifiering av den registrerade enbart så länge som det är nödvändigt för användningsändamålet för uppgifterna. Den personuppgiftsansvarige ansvarar för att fastställa förvaringstiderna och säkerställa att de är proportionella i förhållande till syftet med behandlingen.
För polisens del fastställs förvaringstiderna enligt 38 § i lagen om behandling av personuppgifter i polisens verksamhet. På grundval av dessa bestämmelser grundar sig bedömningen av förvaringstiderna i polisens register på de uppgifter som föreskrivs i lagen och på huruvida personuppgifterna behövs för att dessa ska kunna utföras. Enligt huvudregeln ska personuppgifter som behandlas för utförande av tillståndsförvaltnings- och tillsynsuppgifter raderas senast tjugo år efter beslutet eller dess upphörande, efter utgången av den giltighetstid som nämns i beslutet eller efter anteckningen av personuppgifterna.
9 §.Register över kvalificerade elektroniska attributsintyg. I paragrafen föreskrivs det om skyldigheten för Myndigheten för digitalisering och befolkningsdata att föra register över kvalificerade elektroniska attributsintyg och de europeiska digitala identitetsplånböcker för vilka ett kvalificerat elektroniskt attributsintyg har tagits i bruk. Syftet med registret är att göra det möjligt att utföra de uppgifter som det föreskrivs om i den föreslagna lagen, t.ex. förvaltning av kvalificerade elektroniska attributsintyg och övervakning av deras giltighet. Registret innehåller inte personuppgifter som lämnats ut ur polisens informationssystem, utan främst mer tekniska identifierare, såsom en identifierare för kvalificerat elektroniskt attributsintyg och en tillhörande identifierare för plånboken samt uppgifter om utfärdaren och innehavaren av attributsintyget.
I artikel 5a.4 i eIDAS-förordningen föreskrivs det bl.a. om spårbarheten av användningen av användaruppgifterna för användaren själv och användarens tillgång till en logg över alla transaktioner som utförts via plånboken, vilket innebär direkta skyldigheter för tillhandahållaren av plånboken. På grund av förordningens tvingande karaktär föreslås inga bestämmelser om dessa.
På behandlingen av kvalificerade elektroniska attributsintyg och personuppgifterna i de register som gäller dessa tillämpas EU:s allmänna dataskyddsförordning, och i regleringen utnyttjas det nationella handlingsutrymme som artikel 6.3 och 6.4 i den allmänna dataskyddsförordningen ger. Den föreslagna bestämmelsen binder uppgiftsbehandlingen till en myndighet för skötseln av de uppgifter som föreslås i lagförslaget och avgränsar den till de uppgifter som har samband med i lagförslaget avsedda kvalificerade elektroniska attributsintyg och till de europeiska digitala identitetsplånböcker för vilka ett kvalificerat elektroniskt attributsintyg har tagits i bruk. Behandlingen av personuppgifter är nödvändig för att Myndigheten för digitalisering och befolkningsdata ska kunna fullgöra sina lagstadgade skyldigheter, och den grundar sig på artikel 6.1 c i förordningen. Den personuppgiftsansvariges ställning fastställs enligt artikel 4.7 i den allmänna dataskyddsförordningen. Enligt den föreslagna paragrafen är Myndigheten för digitalisering och befolkningsdata personuppgiftsansvarig för registret över kvalificerade elektroniska attributsintyg. Det är nödvändigt att föreskriva om detta för att det inte ska uppstå oklarheter om den personuppgiftsansvarige och dess skyldigheter.
Bestämmelserna om förande av registret uppfyller ett mål av allmänt intresse, eftersom de är nödvändiga för att säkerställa tillförlitligheten hos användarens bestyrkta uppgifter och informationssäkerheten. Bestämmelserna är också proportionerliga eftersom inga personuppgifter som lämnats ut från polisens informationssystem förs in i registret, utan endast tekniska identifierare och uppgifter om utfärdaren och innehavaren av attributsintyget. Som personuppgiftsansvarig ansvarar Myndigheten för digitalisering och befolkningsdata för all behandling av personuppgifter i enlighet med de principer som det föreskrivs om i artikel 5 i den allmänna dataskyddsförordningen, dvs. ändamålsbegränsning, uppgiftsminimering och lagringsminimering. Den registrerades rättigheter bestäms i enlighet med kapitel III i den allmänna dataskyddsförordningen, vilket innebär att t.ex. rätten att radera uppgifter enligt artikel 17 inte gäller eftersom uppgiftsbehandlingen grundar sig på en lagstadgad skyldighet. Inga särskilda bestämmelser om förvaringstider föreslås i fråga om Myndigheten för digitalisering och befolkningsdata. Fastställandet av förvaringstiden grundar sig således på de allmänna principerna i den allmänna dataskyddsförordningen. Den personuppgiftsansvarige ska följaktligen bedöma förvaringstiden i förhållande till registrets användningsändamål och se till att uppgifterna inte förvaras längre än nödvändigt. Hanteringen av förvaringstider utgör en väsentlig del av den personuppgiftsansvariges skyldighet att vidta tekniska och organisatoriska åtgärder enligt den allmänna dataskyddsförordningen.
10 §. Polisens behörighet att dra in rätten till e-legitimation. I paragrafen föreskrivs det om polisens behörighet att dra in rätten till e-legitimation i vissa situationer. I 1 mom. anges grunderna för indragning, enligt vilka polisen ska dra in rätten till en e-legitimation, om e-legitimationen används av någon annan än användaren eller om säkerheten vid användningen av den annars har allvarligt äventyrats. Exempel på allvarligt äventyrande av säkerheten vid användning är identitetsstöld, teknisk sårbarhet eller andra missbruk. Bestämmelsen är av avgörande betydelse när det gäller att säkerställa att en e-legitimation är tillförlitlig. Indragningen av rätten gäller den handling som utgör grund för e-legitimationen och som använts för att möjliggöra en sådan fjärravläsning som avses i det föreslagna 5 § 2 mom. Paragrafen innehåller inga bestämmelser om datatekniska lösningar för polisen t.ex. när det gäller registeranteckningar. Den indragning som avses i paragrafen kan i praktiken antecknas i polisens informationssystem så att passet eller identitetskortet i fråga inte längre får användas som handling som utgör grund för en e-legitimation.
Polisen ska enligt 2 mom. utan dröjsmål underrätta Myndigheten för digitalisering och befolkningsdata om en indragning.
Polisen ska också meddela ett förvaltningsbeslut om indragning av rätt till e-legitimation i enlighet med procedurbestämmelserna i förvaltningslagen. Detta är av central betydelse med tanke på användarens rättsskydd, eftersom det i det föreslagna 11 § 3 mom. föreskrivs att Myndigheten för digitalisering och befolkningsdata ska dra in ett kvalificerat elektroniskt attributsintyg om polisen med stöd av 10 § 1 mom. har dragit in rätten till e-legitimationen. Eftersom Myndigheten för digitalisering och befolkningsdatas behörighet att dra in ett attributsintyg direkt beror på en indragningsåtgärd som polisen vidtagit med stöd av denna bestämmelse, föreslås det att det i 13 § 3 mom. föreskrivs om ett undantag från procedurbestämmelserna i förvaltningslagen, enligt vilket Myndigheten för digitalisering och befolkningsdata inte ska ge något förvaltningsbeslut om en sådan indragningsåtgärd.
Enligt 3 mom. kan den indragna rätten till en e-legitimation inte återinföras. Detta understryker att beslutet om indragning är slutgiltigt och hindrar att en riskfylld e-legitimation tas i bruk på nytt. Efter indragningen uppstår rätten till e-legitimation när personen får en ny motsvarande handling som utgör grund för en e-legitimation. Indragningen gäller en specifik handling, och när en rätt dras in på grundval av ett giltigt pass påverkar det således inte den rätt som samma person har på grundval av ett identitetskort eller tvärtom.
11 §. Indragning av kvalificerade elektroniska attributsintyg. I paragrafen föreskrivs det om Myndigheten för digitalisering och befolkningsdatas behörighet att dra in ett kvalificerat elektroniskt attributsintyg i olika situationer.
Bestämmelser om indragning av kvalificerade elektroniska attributsintyg finns i artikel 4 i Europeiska kommissionens genomförandeförordning (EU) 2025/1569, vars bestämmelser utgör direkt tillämplig rätt. Artikel 3 c i genomförandeförordningen medger emellertid nationellt handlingsutrymme i frågan. Syftet med den föreslagna paragrafen är att komplettera bestämmelserna i genomförandeförordningen på nationell nivå. Enligt artikel 4.3 a i genomförandeförordningen ska ett kvalificerat elektroniskt attributsintyg, när det utfärdats med en giltighetstid på mer än 24 timmar, återkallas på uttrycklig begäran av den person som det elektroniska attributsintyget har utfärdats för. Enligt artikel 4.3 b ska attributsintyg återkallas om leverantören vet att säkerheten eller tillförlitligheten hos de kvalificerade elektroniska attributsintygen har äventyrats. Enligt artikel 4.3 c kan attributsintyg även återkallas i andra situationer i enlighet med kraven i unionsrätten eller nationell rätt, eller enligt vad som fastställs av leverantörerna i deras policyer enligt punkt 1 i artikeln.
I det föreslagna 1 mom. föreskrivs det att Myndigheten för digitalisering och befolkningsdata ska dra in ett kvalificerat elektroniskt attributsintyg om det används av någon annan än användaren.
I 2 mom. föreskrivs det att Myndigheten för digitalisering och befolkningsdata ska dra in ett kvalificerat elektroniskt attributsintyg om polisen har dragit in rätten till e-legitimationen. Genom denna bestämmelse säkerställs att bestyrkta uppgifter inte utnyttjas obehörigt.
I 3 mom. föreskrivs det att Myndigheten för digitalisering och befolkningsdata ska dra in ett kvalificerat elektroniskt attributsintyg om intyget innehåller ett uppenbart fel. Denna bestämmelse gör det möjligt att korrigera tekniska fel eller andra fel som beror på myndighetens verksamhet utan att användaren särskilt begär det. Myndigheten för digitalisering och befolkningsdata ska utan dröjsmål tillhandahålla användaren ett nytt kvalificerat elektroniskt attributsintyg efter det att det har dragits in med stöd av det föreslagna momentet.
Enligt 4 mom. kan ett indraget kvalificerat elektroniskt attributsintyg inte återinföras. Denna bestämmelse hindrar att ett attributsintyg som har bedömts vara riskabelt tas i bruk på nytt, men inte att ett nytt attributsintyg kan tillhandahållas medan den handling som utgör grund för intyget är i kraft och de övriga villkoren uppfylls.
12 §. Giltighetens upphörande. I 1 mom. föreskrivs det om situationer där en e-legitimation och de kvalificerade elektroniska attributsintyg som hänför sig till den upphör att gälla utan särskilt beslut. Giltighetens upphörande är en teknisk följd som inte kräver någon aktiv åtgärd från myndigheternas sida, utan det sker direkt med stöd av lagen.
Giltigheten kan upphöra på följande grunder:
En ny handling som utgör grund för e-legitimation lämnas ut till personen, när det är fråga om en handling som fastställer e-legitimationens giltighet. Detta är fallet om personen beviljas en ny handling som har använts för fjärravläsning av uppgifter enligt 5 § 2 mom. Den föreslagna bestämmelsen följer de gällande bestämmelserna i passlagen och lagen om identitetskort, enligt vilka det tidigare passet och identitetskortet upphör att gälla när en ny handling lämnas ut till sökanden. När personen beviljas en ny handling som utgör grund för e-legitimation upphör det kvalificerade elektroniska attributsintyg som tillhandahållits på grundval av den tidigare handlingen automatiskt att gälla. Detta hindrar att flera intyg som baserar sig på olika identitetshandlingar används samtidigt och säkerställer att uppgifterna är aktuella.
Den handling som utgör grund för e-legitimationen dras in. Om det pass eller identitetskort som utgör grund för e-legitimationen dras in av någon annan orsak än den som avses i 6 § 2 mom., upphör också e-legitimationen att gälla. Denna bestämmelse är nödvändig för att säkerställa ett direkt samband mellan den fysiska handlingen och dess digitala version.
Uppgifterna motsvarar inte varandra. Om personuppgifterna i e-legitimationen och i den europeiska digitala identitetsplånboken inte motsvarar varandra, upphör e-legitimationen att gälla. Denna bestämmelse hindrar att felaktiga eller föråldrade uppgifter används.
Plånboken tas ur bruk. Om användaren återkallar giltigheten för den europeiska digitala identitetsplånboken upphör den e-legitimation som är kopplad till plånboken att gälla. Denna bestämmelse stöder användarens rätt att ha kontroll över sin egen identitet och förhindrar att passiva e-legitimationer hålls i kraft.
Enligt 2 mom. ska Myndigheten för digitalisering och befolkningsdata utan dröjsmål informera användaren om att giltigheten för ett kvalificerat elektroniskt attributsintyg upphör. Informationen behöver dock inte lämnas om användaren själv tar den europeiska digitala identitetsplånboken ur bruk.
Om giltigheten upphör hindrar detta inte att ett nytt kvalificerat elektroniskt attributsintyg utfärdas, förutsatt att det inte finns någon sådan grund för giltighetens upphörande som anges i paragrafen.
13 §.Avvikelse från förvaltningslagens förfarandebestämmelser. I paragrafen föreskrivs det om undantag från förvaltningslagens förfarandebestämmelser när det gäller e-legitimationer och kvalificerade elektroniska attributsintyg som hänför sig till dessa. Undantagen gäller situationer där det inte ges något förvaltningsbeslut eller någon besvärsanvisning eller upplysning om besvärsförbud.
Enligt paragrafen ges det inte något förvaltningsbeslut eller någon besvärsanvisning eller upplysning om besvärsförbud vid beviljande av rätten att få tillgång till en e-legitimation och vid indragning av ett kvalificerat elektroniskt attributsintyg.
14 §.Besvärsförbud och sökande av ändring. I paragrafen föreskrivs det om begränsningar av rätten att söka ändring när det gäller e-legitimationer och kvalificerade elektroniska attributsintyg som hänför sig till dessa. Begränsningen av besvärsrätten gäller situationer där åtgärderna är tekniska, automatiska eller direkt grundade på lag och inte förknippade med ett egentligt förvaltningsbeslut.
Enligt 1 mom. får ändring inte sökas genom besvär i situationer som avses i 12 §, när det är fråga om att en e-legitimation och de kvalificerade elektroniska attributsintyg som hänför sig till den upphör att gälla. Giltigheten upphör automatiskt och myndigheten har i detta fall ingen prövningsrätt, vilket innebär att det inte finns någon besvärsrätt.
I 2 mom. föreskrivs det att i avgöranden som gäller beviljande eller indragning i enlighet med 13 § och som ges utan förvaltningsbeslut eller besvärsanvisning får ändring inte sökas genom besvär. I dessa fall kan det t.ex. handla om att rätt att få tillgång till e-legitimation beviljas eller ett attributsintyg dras in utan att något förvaltningsbeslut ges.
Enligt 3 mom. finns det bestämmelser om sökande av ändring i förvaltningsdomstol i lagen om rättegång i förvaltningsärenden. Det föreslagna momentet är informativt och visar samtidigt att det är möjligt att söka ändring i ett förvaltningsärende, där ett förvaltningsbeslut ges.
15 §.Ikraftträdande. Paragrafen innehåller en ikraftträdandebestämmelse och en övergångsbestämmelse. En närmare motivering till lagens ikraftträdande och övergångsbestämmelsen finns i avsnitt 9 (Ikraftträdande).