1 luku
Yleiset säännökset
1 §
Soveltamisala
Tässä laissa säädetään
vahvasta sähköisestä tunnistamisesta
ja sähköisistä allekirjoituksista sekä niihin
liittyvien palveluiden tarjoamisesta niitä käyttäville
palveluntarjoajille ja yleisölle.
Lakia ei sovelleta yhteisön sisäiseen tunnistamiseen
käytettävien palveluiden tai yhteisön
sisäiseen sähköiseen allekirjoittamiseen
käytettävien palveluiden tarjontaan.
Lakia ei sovelleta myöskään, jos
yhteisö käyttää omaa tunnistusmenetelmäänsä omien
asiakkaidensa tunnistamiseen omissa palveluissaan.
Lakia ei sovelleta tunnistusvälineiden tai sähköisen
allekirjoittamisen välineiden valmistamiseen, maahantuontiin
tai myyntiin.
2 §
Määritelmät
Tässä laissa tarkoitetaan:
1) vahvalla sähköisellä tunnistamisella henkilön
yksilöimistä ja tunnisteen aitouden ja oikeellisuuden
todentamista sähköistä menetelmää käyttämällä perustuen
vähintään kahteen seuraavista kolmesta
vaihtoehdosta:
a) salasanaan tai johonkin muuhun sellaiseen, mitä tunnistusvälineen
haltija tietää;
b) sirukorttiin tai johonkin muuhun sellaiseen, mitä tunnistusvälineen
haltijalla on hallussaan; tai
c) sormenjälkeen tai johonkin muuhun tunnistusvälineen
haltijan yksilöivään ominaisuuteen;
2) tunnistusvälineellä esineitä ja
yksilöiviä tietoja tai ominaisuuksia, jotka yhdessä muodostavat
vahvaan sähköiseen tunnistamiseen tarvittavat
tunnisteet, tunnistamisen välineet ja todentamisen välineet;
3) tunnistusmenetelmällä kokonaisuutta,
jonka yhdessä muodostavat tunnistusväline sekä yksittäisen
vahvan sähköisen tunnistustapahtuman toteuttamiseksi
tarvittava järjestelmä;
4) tunnistuspalvelun tarjoajalla palveluntarjoajaa,
joka tarjoaa vahvan sähköisen tunnistamisen palveluita
niitä käyttäville palveluntarjoajille
tai laskee liikkeelle tunnistusvälineitä yleisölle
tai molempia;
5) tunnistusvälineen haltijalla luonnollista henkilöä,
jolle tunnistuspalvelun tarjoaja on sopimukseen perustuen antanut
tunnistusvälineen;
6) ensitunnistamisella tunnistusvälineen hakijan
henkilöllisyyden todentamista välineen hankkimisen
yhteydessä;
7) varmenteella sähköistä todistusta,
joka todentaa henkilöllisyyden tai todentaa henkilöllisyyden
ja liittää allekirjoituksen todentamistiedot allekirjoittajaan
ja jota voidaan käyttää vahvassa sähköisessä tunnistamisessa
sekä sähköisessä allekirjoituksessa;
8) varmentajalla luonnollista henkilöä tai
oikeushenkilöä, joka tarjoaa varmenteita yleisölle;
9) sähköisellä allekirjoituksella sähköisessä muodossa
olevaa tietoa, joka on liitetty tai joka loogisesti liittyy muuhun
sähköiseen tietoon ja jota käytetään
allekirjoittajan henkilöllisyyden todentamisen välineenä;
10) kehittyneellä sähköisellä allekirjoituksella sähköistä allekirjoitusta:
a) joka liittyy yksiselitteisesti sen allekirjoittajaan;
b) jolla voidaan yksilöidä allekirjoittaja;
c) joka on luotu menetelmällä, jonka allekirjoittaja
voi pitää yksinomaisessa valvonnassaan; ja
d) joka on liitetty muuhun sähköiseen tietoon siten,
että tiedon mahdolliset muutokset voidaan havaita;
11) allekirjoituksen luomistiedoilla allekirjoittajan
sähköisen allekirjoituksen luomisessa käyttämää ainutkertaista
tietokokonaisuutta, kuten koodeja ja yksityisiä avaimia;
12) allekirjoituksen luomisvälineellä ohjelmistoja
ja laitteita, joilla yhdessä allekirjoituksen luomistietojen
kanssa luodaan sähköinen allekirjoitus; sekä
13) allekirjoituksen todentamistiedoilla sähköisen
allekirjoituksen todentamisessa käytettävää tietokokonaisuutta,
kuten koodeja ja julkisia avaimia.
2 luku
Oikeusvaikutukset ja henkilötietojen käsittely
3 §
Pakottavuus
Sopimusehto, joka poikkeaa tämän lain säännöksistä kuluttajan
vahingoksi, on mitätön, jollei jäljempänä toisin
säädetä.
4 §
Tunnistusvälineillä tehtävät
sähköiset allekirjoitukset
Tunnistusvälineillä voidaan tehdä niiden
ominaisuuksista riippuen sähköisiä allekirjoituksia ja
kehittyneitä sähköisiä allekirjoituksia,
jollei muualla laissa tai 18 §:ssä muuta säädetä.
5 §
Oikeustoimen tekeminen
Tunnistusvälinettä voidaan käyttää oikeustoimen
tekemiseen, jollei muualla laissa tai 18 §:ssä muuta
säädetä.
Jos oikeustoimeen vaaditaan lain mukaan allekirjoitus, vaatimuksen
täyttää ainakin sellainen kehittynyt
sähköinen allekirjoitus, joka perustuu laatuvarmenteeseen
ja on luotu turvallisella allekirjoituksen luomisvälineellä.
Sähköiseltä allekirjoitukselta ei tule
kuitenkaan evätä oikeusvaikutuksia yksinomaan
sen vuoksi, että se on tehty muulla kuin edellä mainitulla
tavalla.
Sähköisen allekirjoituksen käytöstä hallinnossa
säädetään erikseen.
6 §
Henkilötietojen käsittely
Tunnistuspalvelun tarjoaja saa käsitellä tunnistusvälineen
liikkeelle laskemisessa, palvelun ylläpidossa sekä tunnistustapahtuman
toteuttamisessa tarvittavia henkilötietoja henkilötietolain
(523/1999) 8 §:n 1 momentin 1 ja 2 kohdassa tarkoitetuilla
perusteilla. Sähköisiä allekirjoituksia
tarjoava varmentaja saa samoilla perusteilla käsitellä varmenteen
myöntämisessä ja ylläpidossa
tarvittavia henkilötietoja. Tunnistuspalvelun tarjoaja
ja sähköisiä allekirjoituksia tarjoava
varmentaja saavat edellä mainitussa tarkoituksessa lisäksi
kerätä henkilötietoja henkilöltä itseltään.
Henkilötietoja saa käsitellä muussa
kuin 1 momentissa mainitussa tarkoituksessa ainoastaan
henkilötietolain 8 §:n 1 momentin 1 kohdassa tarkoitetuilla
perusteilla.
Tunnistuspalvelun tarjoaja ja sähköisiä allekirjoituksia
tarjoava varmentaja voi tarkistaessaan hakijan henkilöllisyyden
vaatia hakijaa ilmoittamaan henkilötunnuksensa. Tunnistuspalvelun
tarjoaja ja sähköisiä allekirjoituksia
tarjoava varmentaja saavat käsitellä henkilötunnusta
rekistereissään 1 momentissa mainitussa tarkoituksessa.
Henkilötunnuksen saa sisällyttää tunnistusvälineeseen
tai varmenteeseen, jos välineen tai varmenteen tietosisältö on
ainoastaan sellaisen tahon saatavilla, jolle se on välttämätöntä palvelun
toteuttamiseksi. Henkilötunnus ei saa olla saatavissa julkisesta
hakemistosta.
Muilta osin henkilötietojen käsittelystä säädetään
19, 24, 30, 37 ja 38 §:ssä sekä henkilötietolaissa.
7 §
Väestötietojärjestelmään
tallennettujen tietojen käyttäminen
Tunnistuspalvelun tarjoaja ja sähköisiä allekirjoituksia
tarjoava varmentaja saavat henkilötietolain 8 §:n
1 momentin 1 ja 2 kohdassa tarkoitetuilla perusteilla ja tämän
lain 6 §:n 1 momentissa mainitussa tarkoituksessa hankkia
henkilötietoja ja tarkastaa hakijan tai haltijan ilmoittamat
henkilötiedot väestötietojärjestelmästä.
Väestötietojärjestelmästä luovutettava
tieto on julkisoikeudellinen suorite. Suoritteen maksullisuudesta
säädetään valtion maksuperustelaissa
(150/1992).
3 luku
Vahva sähköinen tunnistaminen
8 §
Tunnistusmenetelmälle asetettavat vaatimukset
Tunnistusmenetelmän on täytettävä seuraavat
vaatimukset:
1) menetelmän perustana on 17 §:n mukainen ensitunnistaminen,
jota koskevat tiedot ovat jälkikäteen 24 §:n
mukaisesti tarkistettavissa;
2) menetelmällä voidaan yksiselitteisesti
tunnistaa tunnistusvälineen haltija;
3) menetelmällä voidaan riittävällä luotettavuudella
varmistua, että ainoastaan tunnistusvälineen haltija
voi käyttää välinettä;
ja
4) menetelmä on riittävän turvallinen
ja luotettava ottaen huomioon kulloinkin käytettävissä olevaan
tekniikkaan liittyvät tietoturvallisuusuhat.
Mitä 1 momentissa säädetään,
ei estä palvelun tarjoamista palvelukohtaisesti siten,
että tunnistuspalvelun tarjoaja ilmoittaa tunnistuspalvelua
käyttävälle palveluntarjoajalle tunnistusvälineen
haltijan salanimen tai ainoastaan rajoitetun määrän
henkilötietoja.
Viestintävirasto voi antaa tarkempia teknisiä määräyksiä 1
momentissa tarkoitetuista vaatimuksista.
9 §
Tunnistuspalvelun tarjoajalle asetettavat vaatimukset
Tunnistuspalvelun tarjoajana olevan tai sen lukuun
toimivan luonnollisen henkilön, palveluntarjoajana olevan
yhteisön tai säätiön hallituksen
tai hallintoneuvoston jäsenten ja varajäsenten,
toimitusjohtajan, vastuunalaisen yhtiömiehen taikka muussa
näihin rinnastettavassa asemassa olevien on täytettävä seuraavat
edellytykset:
1) heidän on oltava täysi-ikäisiä;
2) he eivät saa olla konkurssissa; ja
3) heidän toimintakelpoisuutensa ei saa olla rajoitettu.
Tunnistuspalvelun tarjoajan on oltava luotettava. Tunnistuspalvelun
tarjoajaa ei pidetä luotettavana, jos 1 momentissa tarkoitettu
henkilö on lainvoiman saaneella tuomiolla tuomittu viiden
viimeisen vuoden aikana vankeusrangaistukseen tai kolmen viimeisen
vuoden aikana sakkorangaistukseen rikoksesta, jonka voidaan katsoa
osoittavan henkilön olevan ilmeisen sopimaton harjoittamaan
tunnistuspalvelun tarjontaa.
Tunnistuspalvelun tarjoajaa ei pidetä luotettavana
myöskään, jos 1 momentissa tarkoitettu henkilö on
muutoin aikaisemmalla toiminnallaan osoittanut olevansa ilmeisen
sopimaton tunnistuspalvelun tarjoajaksi.
10 §
Tunnistuspalvelun tarjoajan velvollisuus ilmoittaa toiminnan
aloittamisesta
Suomeen sijoittautuneen tunnistuspalvelun tarjoajan on ennen
toiminnan aloittamista tehtävä kirjallinen ilmoitus
Viestintävirastolle. Ilmoituksen voi tehdä myös
sellainen palveluntarjoajien yhteenliittymä, jonka hallinnoimaa
palvelua on pidettävä yhtenä tunnistuspalveluna.
Ilmoituksessa on oltava:
1) palveluntarjoajan nimi;
2) palveluntarjoajan täydelliset yhteystiedot;
3) tiedot tarjottavista palveluista;
4) tiedot 8, 9, 13 ja 14 §:ssä tarkoitetuista
seikoista; ja
5) muut valvonnan kannalta tarpeelliset tiedot.
Tunnistuspalvelun tarjoajan on viipymättä ilmoitettava
2 momentissa tarkoitetuissa tiedoissa tapahtuneista muutoksista
kirjallisesti Viestintävirastolle. Ilmoitus on tehtävä myös
toiminnan lopettamisesta sekä toimintojen siirtymisestä toiselle
palveluntarjoajalle.
Viestintävirasto voi antaa valvontatoiminnan kannalta
tarpeellisia teknisiä määräyksiä edellä tässä pykälässä tarkoitettujen
ilmoitettavien tietojen tarkemmasta sisällöstä ja
niiden toimittamisesta Viestintävirastolle.
11 §
Muuhun Euroopan talousalueen jäsenvaltioon sijoittautunut
tunnistuspalvelun tarjoaja
Mitä 10 §:ssä säädetään,
ei estä muualle Euroopan talousalueelle sijoittautunutta
tunnistuspalvelun tarjoajaa tekemästä mainitussa
pykälässä tarkoitettua ilmoitusta.
12 §
Tunnistuspalvelun tarjoajia koskeva rekisteri
Viestintävirasto ylläpitää julkista
rekisteriä 10 §:n mukaisen ilmoituksen tehneistä tunnistuspalvelun
tarjoajista ja niiden tarjoamista palveluista.
Viestintäviraston on 10 §:ssä tarkoitetun
ilmoituksen saatuaan kiellettävä palveluntarjoajaa
tarjoamasta palveluaan vahvana sähköisenä tunnistamisena,
jos palvelu tai palveluntarjoaja ei täytä tässä luvussa
asetettuja vaatimuksia. Jos puutteellisuutta voidaan pitää ainoastaan
vähäisenä, Viestintävirasto
voi kehottaa palveluntarjoajaa korjaamaan puutteellisuuden määräajassa.
13 §
Tunnistuspalvelun tarjoajan yleiset velvollisuudet
Tunnistuspalvelun tarjoajan on huolehdittava siitä,
että sen palveluksessa olevalla henkilöstöllä on
harjoitetun toiminnan laajuuteen nähden riittävä asiantuntemus,
kokemus ja pätevyys.
Tunnistuspalvelun tarjoajalla on oltava harjoitetun toiminnan
laajuuteen nähden riittävät taloudelliset
voimavarat toiminnan järjestämiseksi ja mahdollisen
vahingonkorvausvastuun kattamiseksi. Palveluntarjoaja voi myös
ryhtyä muihin tarpeellisiin toimenpiteisiin mahdollisen vahingonkorvausvastuun
varalta.
Tunnistamispalvelun tarjoajan on lisäksi huolehdittava
palvelujensa henkilötietolain 32 §:ssä tarkoitetusta
tietojen suojaamisesta sekä riittävästä tietoturvasta.
Tunnistuspalvelun tarjoaja vastaa apunaan käyttämiensä henkilöiden
tuottamien palveluiden ja tuotteiden luotettavuudesta ja toimivuudesta.
14 §
Tunnistusperiaatteet
Tunnistuspalvelun tarjoajalla on oltava tunnistusperiaatteet,
joissa määritellään tarkemmin,
kuinka palveluntarjoaja täyttää tässä laissa tarkoitetut
velvollisuutensa. Erityisesti on määriteltävä tarkemmin,
kuinka tunnistuspalvelun tarjoaja toteuttaa 17 §:ssä tarkoitetun
ensitunnistamisen.
Lisäksi tunnistusperiaatteissa on annettava keskeiset
tiedot:
1) palveluntarjoajasta;
2) tarjottavista palveluista ja niiden hinnoista;
3) palveluntarjoajan tärkeimmistä yhteistyökumppaneista;
4) ulkopuolisten arviointilaitosten suorittamista tarkastuksista;
sekä
5) muista merkityksellisistä seikoista, joiden perusteella
palveluntarjoajan toimintaa ja luotettavuutta voidaan arvioida.
Jos tunnistusvälineillä voidaan tehdä sähköisiä allekirjoituksia
tai kehittyneitä sähköisiä allekirjoituksia,
tunnistuspalvelun tarjoajan on annettava tieto myös niiden
toteuttamismenetelmästä, tasosta ja turvallisuustekijöistä.
Tunnistuspalvelun tarjoajan on pidettävä tunnistusperiaatteet
yleisesti saatavilla ja ajantasaisina.
15 §
Tunnistuspalvelun tarjoajan tiedonantovelvollisuus ennen sopimuksen
tekemistä
Tunnistuspalvelun tarjoajan on ennen tunnistusvälineen
hakijan kanssa tehtävän sopimuksen tekemistä annettava
hakijalle tiedot:
1) palveluntarjoajasta;
2) tarjottavista palveluista ja hinnoista;
3) 14 §:ssä tarkoitetuista tunnistusperiaatteista;
4) osapuolten oikeuksista ja velvollisuuksista;
5) mahdollisista vastuunrajoituksista;
6) valitus- ja riitojenratkaisumenettelyistä;
7) mahdollisista 18 §:ssä tarkoitetuista estoista
ja käyttörajoituksista; sekä
8) muista mahdollisista tunnistusvälineen käyttöehdoista.
Edellä 1 momentissa tarkoitetut tiedot on annettava
kirjallisesti tai sähköisesti siten, että tunnistusvälineen
hakija voi tallentaa ja toisintaa ne muuttumattomina. Jos sopimus
tehdään tunnistusvälineen hakijan pyynnöstä sellaista
etäviestintä käyttäen, että tietoja
ja sopimusehtoja ei voida antaa edellä tarkoitetulla tavalla
ennen sopimuksen tekemistä, tiedot on annettava sanotulla
tavalla viipymättä sopimuksen tekemisen jälkeen.
Henkilötietojen käsittelyä koskevasta
tiedonantovelvollisuudesta säädetään
henkilötietolaissa.
16 §
Tunnistuspalvelun tarjoajan velvollisuus ilmoittaa tietoturvaan
ja tietojen suojaamiseen kohdistuvista uhkista tai häiriöistä
Tunnistuspalvelun tarjoajan on ilmoitettava ilman aiheetonta
viivästystä tunnistuspalvelua käyttäville
palveluntarjoajille, tunnistusvälineiden haltijoille sekä Viestintävirastolle
palvelun tietoturvaan kohdistuvista merkittävistä uhkista tai
häiriöistä.
Jos uhka tai häiriö kohdistuu henkilötietolain 32 §:ssä tarkoitettuun
tietojen suojaamiseen, tunnistuspalvelun tarjoajan on ilmoitettava asiasta
1 momentissa tarkoitettujen tahojen lisäksi tietosuojavaltuutetulle.
Ilmoituksessa on samalla kerrottava niistä toimista,
joita eri tahoilla on käytettävissään
uhkien tai häiriöiden torjumiseksi sekä näistä toimenpiteistä aiheutuvista
arvioiduista kustannuksista.
17 §
Tunnistusvälineen hakijan ensitunnistaminen
Ensitunnistamisen on tapahduttava henkilökohtaisesti.
Tunnistuspalvelun tarjoajan on tunnistettava tunnistusvälineen
hakija huolellisesti toteamalla hänen henkilöllisyytensä voimassa olevasta
Euroopan talousalueen jäsenvaltion, Sveitsin tai San Marinon
viranomaisen myöntämästä passista
tai henkilökortista. Halutessaan tunnistuspalvelun tarjoaja
voi käyttää ensitunnistamisessa myös
Euroopan talousalueen jäsenvaltion viranomaisen 1 päivän
lokakuuta 1990 jälkeen myöntämää voimassa
olevaa ajokorttia tai muun valtion viranomaisen myöntämää voimassa
olevaa passia.
Ensitunnistamisen henkilökohtaisuudesta voidaan poiketa,
jos tunnistuspalvelun tarjoajat ovat tehneet keskenään
sopimuksen mahdollisuudesta luottaa toistensa tekemään
ensitunnistamiseen. Tunnistusvälinettä voidaan
tällöin hakea sähköisesti. Tunnistuspalvelun
tarjoajien on sopimuksessaan määriteltävä,
kuinka vastuu mahdollisesta alkuperäisen ensitunnistamisen virheellisyydestä niiden
keskinäisessä suhteessa jakaantuu. Suhteessa vahingon
kärsineeseen vastaa se tunnistuspalvelun tarjoaja, joka
luottaa toisen tekemään ensitunnistamiseen.
Tunnistusvälinettä voidaan hakea sähköisesti myös
silloin, jos hakijalla on voimassa oleva saman tunnistuspalvelun
tarjoajan antama tunnistusväline. Ensitunnistamista ei
tällöin tarvitse tehdä uudelleen.
Jos tunnistusvälineen hakijan henkilöllisyyttä ei
voida luotettavasti todentaa, hakemukseen liittyvän ensitunnistamisen
tekee poliisi. Poliisin tekemästä ensitunnistamisesta
tunnistusvälineen hakijalle aiheutuva kustannus on julkisoikeudellinen
suorite. Suoritteen maksullisuudesta säädetään
valtion maksuperustelaissa.
18 §
Oikeustoimen tekemiseen kohdistuvat estot ja rajoitukset
Tunnistuspalvelun tarjoajan, tunnistuspalvelua käyttävän
palveluntarjoajan sekä tunnistusvälineen haltijan
välisillä sopimuksilla voidaan tunnistusvälineen
käyttäminen oikeustoimien tekemiseen estää.
Lisäksi oikeustoimien tekemiselle voidaan asettaa sekä käyttötarkoitukseen että tapahtumien
rahamääräiseen arvoon liittyviä rajoituksia.
Tunnistuspalvelun tarjoajan on huolehdittava siitä,
että estot tai rajoitukset ovat kaikkien osapuolten tiedossa
tai havaittavissa helpolla tavalla. Tunnistuspalvelun tarjoaja voi
myös toteuttaa estot tai rajoitukset teknisin keinoin.
Tunnistuspalvelun tarjoaja ei vastaa niistä toimista, jotka
on tehty estojen tai rajoitusten vastaisesti siitä huolimatta,
että tunnistuspalvelun tarjoaja on toiminut huolellisesti.
Tunnistuspalvelun tarjoajan on järjestettävä tunnistuspalvelua
käyttävälle palveluntarjoajalle mahdollisuus
tarkastaa tunnistusvälineeseen liittyvät estot
tai rajoitukset ympäri vuorokauden. Velvollisuutta ei kuitenkaan
ole, jos tunnistusvälineen estojen tai rajoitusten vastainen käyttö on
teknisin keinoin estetty.
Tunnistuspalvelua käyttävän palveluntarjoajan
on tarkastettava tunnistuspalvelun tarjoajan ylläpitämistä järjestelmistä ja
rekistereistä mahdolliset estot tai rajoitukset tunnistusvälineen
käytön yhteydessä. Tarkastaminen ei kuitenkaan
ole tarpeen, jos tunnistusvälineen estojen tai rajoitusten
vastainen käyttö on teknisin keinoin estetty.
19 §
Varmenteen tietosisältö
Jos tunnistusmenetelmä perustuu varmenteeseen,
tulee varmenteen sisältää ainakin:
1) tieto varmentajasta;
2) tieto varmenteen haltijasta;
3) varmenteen haltijan yksilöivä tunnus;
4) varmenteen voimassaoloaika;
5) varmenteen yksilöivä tunnus;
6) tieto varmenteen käytön mahdollisista estoista
ja rajoituksista;
7) varmenteen haltijan julkinen avain ja tieto sen käyttötarkoituksesta;
sekä
8) varmentajan kehittynyt sähköinen allekirjoitus.
Varmennepalvelun tarjoajan tulee omalta osaltaan varmistaa,
että tunnistuspalvelua käyttävällä palveluntarjoajalla
on saatavillaan varmenteen tietosisältö, jos se
on tarpeen tunnistamisen toteuttamiseksi.
20 §
Tunnistusvälineen liikkeelle laskeminen
Tunnistusvälineen liikkeelle laskeminen perustuu tunnistusvälineen
hakijan ja tunnistuspalvelun tarjoajan väliseen sopimukseen.
Sopimus on tehtävä kirjallisesti. Sopimus voidaan
tehdä myös sähköisesti, jos
sen sisältöä ei voida yksipuolisesti
muuttaa ja se säilyy osapuolten saatavilla. Tunnistuspalvelun
tarjoajan tulee kohdella asiakkaitaan syrjimättä ja
tunnistusvälineiden hakijoita tasapuolisesti sopimuksen
tekemisen yhteydessä.
Sopimus voi olla voimassa toistaiseksi tai määräaikaisesti.
Tunnistusvälineellä voi olla oma voimassaoloaikansa,
joka on lyhyempi kuin sopimuksen voimassaoloaika.
Tunnistusväline annetaan aina luonnolliselle henkilölle.
Tunnistusvälineen on oltava henkilökohtainen.
Tunnistusvälineeseen voidaan tarvittaessa liittää tieto
siitä, että henkilö voi tapauskohtaisesti
myös edustaa toista luonnollista henkilöä tai
oikeushenkilöä.
21 §
Tunnistusvälineen luovuttaminen hakijalle
Tunnistuspalvelun tarjoajan on luovutettava tunnistusväline
sen hakijalle siten kuin sopimuksessa on sovittu. Tunnistuspalvelun
tarjoajan on riittävällä tavalla varmistettava,
ettei tunnistusväline joudu oikeudettomasti toisen haltuun
välinettä luovutettaessa.
22 §
Tunnistusvälineen uusiminen
Tunnistuspalvelun tarjoaja saa toimittaa tunnistusvälineen
haltijalle uuden välineen ilman nimenomaista pyyntöä vain,
jos aikaisemmin annettu tunnistusväline on korvattava uudella.
Toimittamisessa noudatetaan tällöin 21 §:n
säännöksiä.
23 §
Tunnistusvälineen haltijan velvollisuudet
Tunnistusvälineen haltijan on käytettävä tunnistusvälinettä sopimuksen
ehtojen mukaisesti. Haltijan on säilytettävä tunnistusvälinettä huolellisesti.
Haltijan velvollisuus huolehtia tunnistusvälineestä alkaa,
kun hän on vastaanottanut sen.
Tunnistusvälineen haltija ei saa luovuttaa välinettä toisen
käyttöön.
24 §
Tunnistustapahtumaa ja tunnistusvälinettä koskevien
tietojen tallentaminen ja käyttö
Tunnistuspalvelun tarjoajan on tallennettava:
1) yksittäisen tunnistustapahtuman ja sähköisen
allekirjoittamisen tapahtuman todentamiseksi tarvittavat tiedot;
2) tarvittavat tiedot 17 §:ssä tarkoitetusta
hakijan ensitunnistamisesta sekä siinä käytetystä asiakirjasta;
3) tiedot 18 §:ssä tarkoitetuista tunnistusvälineen
käyttöön mahdollisesti liittyvistä estoista
ja käyttörajoituksista; sekä
4) varmenteen osalta 19 §:ssä tarkoitettu
varmenteen tietosisältö.
Edellä 1 momentin 1 kohdassa tarkoitetut tiedot on
säilytettävä viisi vuotta tunnistustapahtumasta
ja 2—4 kohdassa tarkoitetut tiedot viisi vuotta tunnistuspalvelun
tarjoajan ja tunnistusvälineen haltijan välisen
asiakassuhteen päättymisestä.
Tunnistustapahtuman yhteydessä syntyneet henkilötiedot
on hävitettävä tunnistustapahtuman jälkeen,
jollei tallentaminen ole välttämätöntä yksittäisen
tunnistustapahtuman todentamiseksi.
Tunnistuspalvelun tarjoaja saa käsitellä tallennettuja
tietoja ainoastaan palvelun toteuttamiseksi ja ylläpitämiseksi,
laskutusta varten, omien oikeuksiensa turvaamista varten riitatilanteissa
sekä tunnistuspalvelua käyttävän
palveluntarjoajan tai tunnistusvälineen haltijan pyynnöstä.
Tunnistuspalvelun tarjoajan on tallennettava tieto käsittelyn
ajankohdasta, syystä ja käsittelijästä.
Edellä 1 momentin 1 kohta ja 3 momentti eivät
koske sellaista palveluntarjoajaa, joka ainoastaan laskee
liikkeelle tunnistusvälineitä. Edellä 2
momentissa tarkoitettu viiden vuoden tallennusaika lasketaan tällöin
tunnistusvälineen voimassaolon päättymisestä.
25 §
Tunnistusvälineen peruuttamista tai käytön estämistä koskeva
ilmoitus
Tunnistusvälineen haltijan on ilmoitettava tunnistuspalvelun
tarjoajalle tai tämän nimeämälle
muulle taholle tunnistusvälineen katoamisesta, joutumisesta
oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä ilman
aiheetonta viivytystä havaittuaan asian.
Tunnistuspalvelun tarjoajan on tarjottava mahdollisuus tehdä 1
momentissa tarkoitettu ilmoitus milloin tahansa. Tunnistuspalvelun
tarjoajan on viipymättä peruutettava
tunnistusväline tai estettävä sen käyttö saatuaan
asiaa koskevan ilmoituksen.
Tunnistuspalvelun tarjoajan on asianmukaisesti ja viipymättä merkittävä järjestelmään
tieto peruuttamisen tai käytön estämisen
ajankohdasta. Tunnistusvälineen haltijalla on oikeus saada
pyynnöstä todistus siitä, että hän
on tehnyt 1 momentissa mainitun ilmoituksen. Todistusta on pyydettävä 18
kuukauden kuluessa ilmoituksesta.
Järjestelmän on oltava sellainen, että tunnistuspalvelua
käyttävä palveluntarjoaja voi helposti
tarkastaa siihen merkityt tiedot ympäri vuorokauden. Velvollisuutta
järjestää tarkastusmahdollisuutta ei
kuitenkaan ole, jos tunnistusvälineen käyttö voidaan
teknisesti estää tai se voidaan sulkea.
Tunnistuspalvelua käyttävän palveluntarjoajan
on tarkastettava tunnistuspalvelun tarjoajan ylläpitämistä järjestelmistä ja
rekistereistä mahdolliset peruutukset ja käytön
estot tunnistusvälineen käytön yhteydessä.
Tarkastaminen ei kuitenkaan ole tarpeen, jos tunnistusvälineen
käyttö voidaan teknisesti estää tai
se voidaan sulkea.
Jos tunnistuspalvelu perustuu varmenteisiin ja peruutettuja
varmenteita koskevat tiedot annetaan sulkulistan avulla, varmennepalvelun
tarjoaja saa tallentaa tiedot sulkulistalta tehdystä varmenteen
voimassaolon tarkastamisesta. Vaihtoehtoisesti varmentaja voi tallentaa
sulkulistan.
26 §
Tunnistuspalvelun tarjoajan oikeus peruuttaa tai estää tunnistusvälineen
käyttö
Sen lisäksi, mitä 25 §:ssä säädetään,
tunnistuspalvelun tarjoaja voi peruuttaa tunnistusvälineen
tai estää sen käytön, jos:
1) tunnistuspalvelun tarjoajalla on syytä epäillä,
että joku muu kuin se, jolle tunnistusväline on
myönnetty, käyttää sitä;
2) tunnistusväline sisältää ilmeisen
virheellisyyden;
3) tunnistuspalvelun tarjoajalla on syytä epäillä,
että tunnistusvälineen käytön
turvallisuus on vaarantunut;
4) tunnistusvälineen haltija käyttää tunnistusvälinettä olennaisesti
sopimusehtojen vastaisella tavalla; tai
5) tunnistusvälineen haltija on kuollut.
Tunnistuspalvelun tarjoajan tulee ilmoittaa haltijalle niin
pian kuin mahdollista tunnistusvälineen peruuttamisesta
tai käytön estämisestä ja peruuttamisen
tai käytön estämisen ajankohdasta sekä siihen
johtaneista syistä.
Tunnistuspalvelun tarjoajan on palautettava mahdollisuus käyttää tunnistusvälinettä
tai
annettava haltijalle uusi väline välittömästi
1 momentin 2 ja 3 kohdassa tarkoitetun syyn poistuttua.
27 §
Tunnistusvälineen haltijan tunnistusvälineen
oikeudetonta käyttöä koskevat vastuunrajoitukset
Tunnistusvälineen haltija vastaa tunnistusvälineen
oikeudettomasta käytöstä vain, jos:
1) hän on luovuttanut tunnistusvälineen toiselle;
2) tunnistusvälineen katoaminen, joutuminen oikeudettomasti
toisen haltuun tai oikeudeton käyttö johtuu hänen
huolimattomuudestaan, joka ei ole lievää; tai
3) hän on laiminlyönyt ilmoittaa tunnistuspalvelun
tarjoajalle tai sen ilmoittamalle muulle taholle tunnistusvälineen
katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta
käytöstä ilman aiheetonta viivytystä sen
havaittuaan.
Tunnistusvälineen haltija ei kuitenkaan
vastaa tunnistusvälineen oikeudettomasta käytöstä:
1) siltä osin kuin tunnistusvälinettä on
käytetty sen jälkeen, kun hän on ilmoittanut
tunnistuspalvelun tarjoajalle tunnistusvälineen katoamisesta,
joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta
käytöstä;
2) jos tunnistusvälineen haltija ei ole voinut tehdä ilmoitusta
välineen katoamisesta, joutumisesta oikeudettomasti toisen
haltuun tai oikeudettomasta käytöstä ilman
aiheetonta viivytystä sen havaittuaan sen johdosta, että tunnistuspalvelun
tarjoaja on laiminlyönyt 25 §:n 2 momentissa tarkoitetun
velvollisuutensa huolehtia siitä, että tunnistusvälineen
haltijalla on milloin tahansa mahdollisuus tehdä kyseinen
ilmoitus; tai
3) tunnistuspalvelua käyttävä palveluntarjoaja
on laiminlyönyt 18 §:n 4 momentin tai 25 §:n 5
momentin mukaisen velvollisuutensa tarkastaa tunnistusvälineeseen
liittyvän käyttörajoituksen olemassaolon
tai tiedon välineen käytön estämisestä tai
sulkemisesta.
4 luku
Sähköinen allekirjoitus
28 §
Turvallinen allekirjoituksen luomisväline
Turvallisen allekirjoituksen luomisvälineen on
riittävän luotettavasti varmistettava, että:
1) allekirjoituksen luomistiedot ovat käytännössä ainutkertaisia
ja että ne säilyvät luottamuksellisina;
2) allekirjoituksen luomistietoja ei voida päätellä muista
tiedoista;
3) allekirjoitus on suojattu väärentämiseltä;
4) allekirjoittaja voi suojata allekirjoituksen luomistiedot
muiden käytöltä; sekä
5) luomisväline ei muuta allekirjoitettavia tietoja
eikä estä tietojen esittämistä allekirjoittajalle
ennen allekirjoittamista.
Allekirjoituksen luomisvälineen katsotaan aina
täyttävän 1 momentissa säädetyt
vaatimukset, jos:
1) se on Euroopan yhteisöjen komission vahvistamien
ja Euroopan unionin virallisessa lehdessä julkaistujen
yleisesti tunnustettujen standardien mukainen; tai
2) vaatimusten arviointitehtävään
nimetty tarkastuslaitos, joka sijaitsee Suomessa tai muussa Euroopan
talousalueeseen kuuluvassa valtiossa, on sen hyväksynyt.
29 §
Tarkastuslaitos
Viestintävirasto voi nimetä tarkastuslaitoksia,
joiden tehtävänä on arvioida, täyttääkö allekirjoituksen
luomisväline 28 §:n 1 momentissa säädetyt
vaatimukset. Tarkastuslaitokset voivat olla yksityisiä tai
julkisia laitoksia.
Tarkastuslaitoksen nimeämisen edellytyksenä on,
että:
1) tarkastuslaitos on toiminnallisesti ja taloudellisesti riippumaton;
2) sen toiminta on luotettavaa, asianmukaista ja syrjimätöntä;
3) sillä on riittävät taloudelliset
voimavarat toiminnan asianmukaiseksi järjestämiseksi
sekä mahdollisen korvausvastuun kattamiseksi;
4) sillä on käytössään
riittävästi ammattitaitoista ja puolueetonta henkilöstöä;
sekä
5) sillä on käytössään
toiminnan edellyttämät tilat ja välineistö.
Viestintävirasto nimeää tarkastuslaitokset
hakemuksen perusteella. Hakemuksen tulee sisältää hakijan
yhteystietojen ja kaupparekisteriotteen tai vastaavan selvityksen
lisäksi selvitys 2 momentissa tarkoitettujen edellytysten
täyttymisestä hakijan toiminnassa. Viestintävirasto antaa
tarvittaessa ohjeita hakemukseen sisällytettävistä tiedoista
ja niiden toimittamisesta Viestintävirastolle.
Viestintävirasto valvoo tarkastuslaitoksen toimintaa.
Jos tarkastuslaitos ei täytä säädettyjä vaatimuksia
tai toimii säännösten vastaisesti, Viestintäviraston
on peruutettava nimeämispäätös.
Tarkastuslaitoksen on ilmoitettava Viestintävirastolle
toimintansa sellaisista muutoksista, joilla on vaikutusta tarkastuslaitoksen
nimeämisen edellytyksiin.
Tarkastuslaitos voi arviointitehtävässä käyttää apunaan
laitoksen ulkopuolisia henkilöitä. Tarkastuslaitos
vastaa myös apunaan käyttämiensä henkilöiden
työstä.
30 §
Laatuvarmenne
Laatuvarmenteella tarkoitetaan varmennetta, joka täyttää 2
momentissa säädetyt vaatimukset ja jonka on myöntänyt
33—38 §:ssä säädetyt vaatimukset
täyttävä varmentaja.
Laatuvarmenteen tulee sisältää:
1) tieto siitä, että varmenne on laatuvarmenne;
2) tieto varmentajasta ja sen sijoittautumisvaltiosta;
3) allekirjoittajan nimi tai salanimi, josta ilmenee, että se
on salanimi;
4) allekirjoituksen todentamistiedot, jotka vastaavat allekirjoittajan
hallinnassa olevia allekirjoituksen luomistietoja;
5) laatuvarmenteen voimassaoloaika;
6) laatuvarmenteen yksilöivä tunnus;
7) varmentajan kehittynyt sähköinen allekirjoitus;
8) mahdolliset laatuvarmenteen käyttörajoitukset;
sekä
9) allekirjoittajaan liittyvät erityiset tiedot, jos
ne ovat tarpeen laatuvarmenteen käyttötarkoituksen
kannalta.
Jos laatuvarmenteita tarjoava varmentaja tarjoaa myös
3 luvussa tarkoitettua tunnistuspalvelua, katsotaan 1 momentin vaatimusten
täyttävän aina myös 19 §:n
1 momentissa tarkoitetut varmenteen tietosisältöä koskevat
vaatimukset.
31 §
Muun kuin Suomeen sijoittautuneen varmentajan tarjoama laatuvarmenne
Muun kuin Suomeen sijoittautuneen varmentajan laatuvarmenteena
tarjoaman varmenteen katsotaan täyttävän
tässä laissa säädetyt laatuvarmennetta
koskevat vaatimukset, jos:
1) varmentaja on sijoittautunut Euroopan talousalueeseen kuuluvaan
valtioon ja varmenne täyttää sijoittautumisvaltiossa
laatuvarmenteelle asetetut vaatimukset;
2) varmentaja on liittynyt Euroopan talousalueeseen kuuluvassa
valtiossa vapaaehtoiseen akkreditointijärjestelmään
ja täyttää kyseisessä valtiossa
sähköisiä allekirjoituksia koskevista yhteisön
puitteista annetun Euroopan parlamentin ja neuvoston direktiivin
1999/93/EY, jäljempänä sähköallekirjoitusdirektiivi,
voimaan saattamiseksi säädetyt kansalliset vaatimukset;
3) varmenteen takaa sellainen varmentaja, joka on sijoittautunut
Euroopan talousalueeseen kuuluvaan valtioon ja täyttää kyseisessä valtiossa
sähköallekirjoitusdirektiivin voimaan saattamiseksi
säädetyt kansalliset vaatimukset; tai
4) varmenne tai varmentaja on tunnustettu Euroopan yhteisön
ja yhden tai useamman kolmannen maan tai kansainvälisen
organisaation välisen kahden- tai monenvälisen
sopimuksen nojalla.
32 §
Ilmoitus toiminnan aloittamisesta
Laatuvarmenteita tarjoavan varmentajan on ennen toiminnan aloittamista
tehtävä kirjallinen ilmoitus Viestintävirastolle.
Ilmoituksen tulee sisältää varmentajan
nimi ja yhteystiedot sekä tiedot, joiden perusteella 30
ja 33—38 §:ssä säädettyjen
vaatimusten täyttyminen voidaan varmistaa. Viestintävirasto
voi antaa määräyksiä ilmoitettavien
tietojen tarkemmasta sisällöstä ja niiden
toimittamisesta Viestintävirastolle.
Viestintäviraston on viipymättä ilmoituksen saatuaan
kiellettävä varmentajaa tarjoamasta varmenteitaan
laatuvarmenteina, jos varmenne ei täytä 30 §:n
2 momentin vaatimuksia tai varmentaja ei täytä 33—38 §:ssä säädettyjä vaatimuksia.
Jos 1 momentissa tarkoitetut tiedot ovat muuttuneet, varmentajan
on viipymättä ilmoitettava muutoksista kirjallisesti
Viestintävirastolle.
Viestintävirasto pitää laatuvarmenteita
myöntävistä varmentajista julkista rekisteriä.
Laatuvarmenteita tarjoava varmentaja voi tehdä myös
10 §:ssä tarkoitetun ilmoituksen, jos se haluaa
tarjota laatuvarmenteiden lisäksi tunnistuspalvelua.
33 §
Laatuvarmenteita tarjoavan varmentajan yleiset velvollisuudet
Varmentajalla on oltava harjoitetun toiminnan laajuuteen nähden
riittävät tekniset taidot ja taloudelliset voimavarat.
Varmentaja vastaa kaikista varmentamistoiminnan osa-alueista, myös mahdollisten
varmentajan apunaan käyttämien henkilöiden
tuottamien palveluiden ja tuotteiden luotettavuudesta ja toimivuudesta.
Varmentajan tulee:
1) varmistaa, että sen henkilöstöllä on
riittävä asiantuntemus, kokemus ja pätevyys;
2) huolehtia riittävistä taloudellisista voimavaroista
toimintansa järjestämiseksi ja mahdollisen vahingonkorvausvastuun
kattamiseksi;
3) pitää yleisesti saatavilla varmennetta
ja varmennetoimintaa koskevat tiedot, joiden perusteella varmentajan
toiminta ja luotettavuus voidaan arvioida; sekä
4) turvata allekirjoituksen luomistietojen luottamuksellisuus
silloin, kun varmentaja itse tuottaa tiedot.
Varmentaja ei saa tallentaa tai jäljentää allekirjoittajalle
luovutettuja allekirjoituksen luomistietoja.
34 §
Luotettavat laitteet ja ohjelmistot
Laatuvarmenteita tarjoavan varmentajan on huolehdittava siitä,
että sen käyttämät järjestelmät
sekä laitteet ja ohjelmistot ovat riittävän
turvallisia ja luotettavia sekä suojattu muutoksilta ja
väärentämiseltä.
Sähköisiin allekirjoituksiin liittyvän
laitteen tai ohjelmiston katsotaan täyttävän
1 momentissa säädetyt vaatimukset aina, jos laite
tai ohjelmisto on Euroopan yhteisöjen komission vahvistamien,
Euroopan unionin virallisessa lehdessä julkaistujen yleisesti
tunnustettujen standardien mukainen.
35 §
Laatuvarmenteen liikkeelle laskeminen
Laatuvarmenteita tarjoavan varmentajan tulee huolellisesti ja
luotettavalla tavalla tarkistaa laatuvarmenteen hakijan henkilöllisyys
ja muut laatuvarmenteen liikkeelle laskemisessa ja ylläpidossa
tarpeelliset hakijan henkilöön liittyvät tiedot.
Laatuvarmenteita tarjoavan varmentajan on tunnistettava hakija henkilökohtaisesti.
Varmentajan tulee kohdella asiakkaitaan syrjimättä ja
laatuvarmenteiden hakijoita tasapuolisesti sopimuksen tekemisen
yhteydessä.
Laatuvarmenteita tarjoavan varmentajan tulee ennen sopimuksen
tekemistä antaa laatuvarmenteen hakijalle tiedot laatuvarmenteen
käyttöehdoista, mukaan lukien mahdolliset käyttörajoitukset,
tiedot vapaaehtoisista akkreditointijärjestelmistä,
varmennetoiminnan viranomaisvalvonnasta sekä valitus- ja
riitojenratkaisumenettelyistä. Tiedot tulee antaa laatuvarmenteen
hakijalle kirjallisesti sellaisessa muodossa, että hakija
voi ne vaivatta ymmärtää.
36 §
Laatuvarmenteen peruuttaminen
Allekirjoittajan on viipymättä pyydettävä laatuvarmenteen
myöntäneeltä varmentajalta laatuvarmenteen
peruuttamista, jos hänellä on perusteltu syy epäillä allekirjoituksen
luomistietojen oikeudetonta käyttöä.
Laatuvarmenteita tarjoavan varmentajan on viipymättä peruutettava
laatuvarmenne, jos allekirjoittaja sitä pyytää.
Laatuvarmenteen peruuttamispyynnön katsotaan saapuneen
varmentajalle silloin, kun se on ollut varmentajan käytettävissä siten,
että pyyntöä voidaan käsitellä.
Laatuvarmenne voidaan peruuttaa myös, jos siihen muutoin
on erityistä syytä. Laatuvarmenteen peruuttamisesta
ja peruuttamisajankohdasta tulee aina ilmoittaa allekirjoittajalle.
37 §
Laatuvarmenteita tarjoavan varmentajan ylläpitämät
rekisterit
Laatuvarmenteita tarjoavan varmentajan tulee ylläpitää rekisteriä myöntämistään
laatuvarmenteista (varmennerekisteri). Rekisteriin tulee merkitä:
1) 30 §:n 2 momentissa määritelty
laatuvarmenteen tietosisältö;
2) 35 §:n 1 momentissa tarkoitetut hakijan henkilöön
liittyvät tiedot, mukaan lukien tieto laatuvarmennetta
liikkeelle laskettaessa käytetystä hakijan tunnistamismenettelystä ja
tarvittavat tiedot tunnistamisessa mahdollisesti käytetystä asiakirjasta;
sekä
3) 39 §:ssä tarkoitetut tiedot sulkulistalta
tehdystä varmenteen voimassaolon tarkistamisesta, jos laatuvarmenteita
tarjoava varmentaja käyttää 39 §:n
mukaista tallennusoikeutta.
Laatuvarmenteita tarjoavan varmentajan tulee varmistaa, että laatuvarmenteella
varmennettuun kehittyneeseen sähköiseen allekirjoitukseen
luottavalla osapuolella on saatavilla 30 §:n 2 momentissa
määritelty varmenteen tietosisältö.
Edellä 1 momentin 3 kohdassa tarkoitettuja tietoja ei kuitenkaan
tarvitse tallentaa varmennerekisteriin, jos varmentaja huolehtii
muulla tavoin siitä, että varmenteeseen luottava
osapuoli pystyy esittämään luotettavan
näytön sulkulistan asianmukaisesta tarkastamisesta.
Varmentajan tulee myös ylläpitää laatuvarmenteisiin
luottavien osapuolten saatavilla olevaa rekisteriä peruutetuista
laatuvarmenteista (sulkulista). Sulkulistalle on viipymättä merkittävä tieto
laatuvarmenteen peruuttamisesta sekä tarkka peruuttamisajankohta.
Edellä 2 ja 3 momentissa mainittujen tietojen on oltava
ympärivuorokautisesti käytettävissä.
38 §
Varmennerekisterin tietojen säilyttäminen
Laatuvarmenteita tarjoavan varmentajan tulee luotettavalla ja
tarkoituksenmukaisella tavalla säilyttää varmennerekisterin
tiedot 10 vuoden ajan varmenteen voimassaolon päättymisestä.
Jos laatuvarmenteita tarjoava varmentaja tarjoaa myös
vahvaa sähköistä tunnistuspalvelua, se
voi 24 §:n estämättä säilyttää tietoja
kaikilta osin 1 momentissa tarkoitetulla tavalla.
39 §
Varmenteen voimassaolon tarkistamista koskevan tiedon tallentaminen
Laatuvarmenteita tarjoava varmentaja saa tallentaa tiedot sulkulistalta
tehdystä varmenteen voimassaolon tarkistamisesta. Tallennettuja
tietoja saa käyttää ainoastaan varmenteiden
käytön laskutuksen suorittamiseksi tai varmenteella varmennetun
sähköisen allekirjoituksen avulla tehtyjen oikeustoimien
todentamiseksi.
40 §
Vastuu allekirjoituksen luomistietojen oikeudettomasta käytöstä
Allekirjoittaja vastaa laatuvarmenteella varmennetun kehittyneen
sähköisen allekirjoituksen luomistietojen oikeudettomasta
käytöstä aiheutuneesta vahingosta, kunnes
varmenteen peruuttamispyyntö on saapunut varmentajalle
siten kuin 36 §:n 2 momentissa säädetään.
Kuluttajalla on kuitenkin 1 momentissa säädetty
vastuu vain, jos:
1) hän on luovuttanut luomistiedot toiselle;
2) luomistietojen joutuminen niiden käyttöön oikeudettomalle
on aiheutunut hänen huolimattomuudestaan, joka ei ole lievää;
tai
3) hän menetettyään luomistietojen
hallinnan muulla kuin 2 kohdassa mainitulla tavalla on laiminlyönyt
pyytää laatuvarmenteen peruuttamista siten kuin
36 §:n 1 momentissa säädetään.
41 §
Laatuvarmenteita tarjoavan varmentajan vahingonkorvausvastuu
Laatuvarmenteita tarjoava varmentaja on vastuussa
vahingosta, joka laatuvarmenteeseen luottaneelle on aiheutunut siitä,
että:
1) laatuvarmenteeseen merkityt tiedot ovat varmenteen myöntämishetkellä olleet
virheellisiä;
2) laatuvarmenteessa ei ole 30 §:n 2 momentissa mainittuja
tietoja;
3) laatuvarmenteessa yksilöidyllä henkilöllä ei
varmenteen myöntämishetkellä ollut hallussaan
varmenteessa mainittuja tai määriteltyjä allekirjoituksen
todentamistietoja vastaavia allekirjoituksen luomistietoja;
4) varmentajan tai sen apunaan käyttämän henkilön
luomat allekirjoituksen luomis- ja todentamistiedot eivät
ole yhteensopivia; taikka
5) varmentaja tai sen apunaan käyttämä henkilö ei
ole peruuttanut laatuvarmennetta 36 §:ssä säädetyllä tavalla.
Varmentaja vapautuu 1 momentissa säädetystä vastuusta,
jos se näyttää, että vahinko
ei ole aiheutunut sen omasta tai sen apunaan käyttämän
henkilön huolimattomuudesta.
Varmentaja ei vastaa vahingosta, joka aiheutuu laatuvarmenteeseen
sisältyvän käyttörajoituksen
vastaisesta käytöstä.
Muilta osin laatuvarmenteita yleisölle tarjoavan
varmentajan vahingonkorvausvastuusta säädetään
vahingonkorvauslaissa (412/1974).
Mitä tässä pykälässä säädetään,
sovelletaan myös varmentajaan, joka takaa yleisölle
varmenteen laatuvarmenteeksi.
5 luku
Viranomaisvalvonta
42 §
Yleinen ohjaus ja valvonta
Vahvan sähköisen tunnistamisen ja sähköisten
allekirjoitusten yleinen ohjaus ja kehittäminen kuuluvat
liikenne- ja viestintäministeriölle.
Viestintäviraston tehtävänä on
valvoa tämän lain noudattamista lukuun ottamatta
1 §:n 3 momenttia. Viestintävirasto antaa tarvittaessa
teknisiä määräyksiä tunnistuspalvelun
tarjoajien ja laatuvarmenteita tarjoavien varmentajien toiminnan
luotettavuus- ja tietoturvallisuusvaatimuksista.
Tietosuojavaltuutetun tehtävänä on
valvoa tämän lain henkilötietoja koskevien
säännösten noudattamista.
43 §
Tiedonsaantioikeus
Viestintävirastolla on oikeus salassapitosäännösten
estämättä saada tunnistuspalvelun tarjoajilta
ja laatuvarmenteita tarjoavilta varmentajilta, 29 §:ssä tarkoitetuilta
tarkastuslaitoksilta sekä heidän apunaan toimivilta
henkilöiltä 42 §:ssä säädettyjen
tehtävien suorittamiseksi tarpeelliset tiedot.
Tietosuojavaltuutetulla on tehtäväänsä suorittaessaan
henkilötietolaissa tarkoitetut tiedonsaantioikeudet.
44 §
Viranomaisten välinen yhteistyö ja oikeus
luovuttaa tietoja
Sen lisäksi, mitä viranomaisten toiminnan
julkisuudesta annetussa laissa (621/1999) säädetään,
Viestintävirastolla ja tietosuojavaltuutetulla on oikeus
luovuttaa salassapitosäännösten estämättä Finanssivalvonnalle
sellaisia tietoja, jotka ovat tarpeen sen tehtävien suorittamiseksi. Finanssivalvonnalla
on vastaava oikeus luovuttaa salassapitosäännösten
estämättä Viestintävirastolle
ja tietosuojavaltuutetulle tietoja, jotka ovat tarpeen niiden tässä laissa
säädettyjen tehtävien suorittamiseksi.
Viestintäviraston ja tietosuojavaltuutetun on tämän
lain mukaisia tehtäviä hoitaessaan toimittava
tarvittaessa tarkoituksenmukaisessa yhteistyössä Finanssivalvonnan,
kilpailuviraston ja Kuluttajaviraston kanssa sekä keskenään.
45 §
Hallintopakkokeinot
Jos joku rikkoo tätä lakia tai sen nojalla
annettuja määräyksiä, Viestintävirasto
voi velvoittaa tämän korjaamaan virheensä tai
laiminlyöntinsä. Päätöksen
tehosteeksi voidaan asettaa uhkasakko tai uhka, että toiminta
keskeytetään osaksi tai kokonaan taikka että tekemättä jätetty toimenpide
teetetään asianomaisen kustannuksella. Uhkasakosta,
keskeyttämisuhasta ja teettämisuhasta säädetään
uhkasakkolaissa (1113/1990).
Teettämällä suoritetun toimenpiteen
kustannukset suoritetaan valtion varoista ja peritään laiminlyöjältä siinä järjestyksessä
kuin
verojen ja maksujen täytäntöönpanosta
annetussa laissa (706/2007) säädetään.
46 §
Tarkastusoikeus
Viestintävirastolla on oikeus tehdä tunnistuspalvelun
tarjoajaa ja sen tarjoamaa palvelua, 29 §:ssä tarkoitettua
tarkastuslaitosta ja sen toimintaa taikka laatuvarmenteita tarjoavaa
varmentajaa ja sen tarjoamaa palvelua koskeva tarkastus, jos sillä on
syytä epäillä, että ne ovat olennaisesti
rikkoneet tätä lakia tai sen nojalla annettuja
määräyksiä.
Viestintävirasto tekee vuosittain laatuvarmenteita
tarjoavan varmentajan ja sen tarjoamaa palvelua koskevan tarkastuksen.
Viestintävirasto määrää tarkastajan
toimittamaan edellä 1 tai 2 momentissa tarkoitetun tarkastuksen.
Tarkastusta toimittavalla henkilöllä on oikeus
tutkia tunnistuspalvelun tarjoajan ja laatuvarmenteita tarjoavan
varmentajan tai niiden apunaan käyttämien henkilöiden
laitteet ja ohjelmistot, joilla voi olla merkitystä tämän
lain tai sen nojalla annettujen määräysten
noudattamisen valvonnassa.
Tunnistuspalvelun tarjoajien ja laatuvarmenteita tarjoavien
varmentajien tai niiden apunaan käyttämien henkilöiden
on tarkastusta varten päästettävä 3
momentissa tarkoitettu tarkastaja muihin kuin kotirauhan piiriin
kuuluviin valmistus-, liike- ja varastotiloihin.
Viestintävirastolla on oikeus saada virka-apua poliisilta
tässä pykälässä tarkoitetun
tarkastuksen suorittamiseksi.
Tietosuojavaltuutetulla on tehtäväänsä suorittaessaan
henkilötietolaissa tarkoitetut tarkastusoikeudet.
47 §
Viestintävirastolle maksettavat maksut
Edellä 10 §:ssä tarkoitetun ilmoituksen
tehneen tunnistuspalvelun tarjoajan tai palveluntarjoajien yhteenliittymän
on suoritettava Viestintävirastolle 5 000 euron
rekisteröimismaksu. Lisäksi tunnistuspalvelun
tarjoajan tai yhteenliittymän on suoritettava Viestintävirastolle
vuosittain 12 000 euron valvontamaksu.
Edellä 32 §:ssä tarkoitetun ilmoituksen
tehneen laatuvarmenteita tarjoavan varmentajan on suoritettava Viestintävirastolle
5 000 euron rekisteröimismaksu. Lisäksi
laatuvarmenteita tarjoavan varmentajan on suoritettava Viestintävirastolle
vuosittain 40 000 euron valvontamaksu. Jos laatuvarmenteita tarjoava
varmentaja tekee myös 10 §:ssä tarkoitetun
ilmoituksen, on sen maksettava 1 momentissa tarkoitettu rekisteröimismaksu.
Edellä 29 §:n mukaisesti nimetyn tarkastuslaitoksen
on suoritettava Viestintävirastolle 10 000 euron
nimeämismaksu. Lisäksi tarkastuslaitoksen on suoritettava
Viestintävirastolle vuosittain 15 000 euron valvontamaksu.
Rekisteröimismaksu, nimeämismaksu ja valvontamaksu
vastaavat niitä kustannuksia, jotka aiheutuvat Viestintävirastolle
tässä laissa säädettyjen tehtävien
hoitamisesta 46 §:n 1 momentissa tarkoitettuja tehtäviä lukuun
ottamatta. Valvontamaksu on suoritettava täysimääräisesti myös
toiminnan ensimmäisenä vuotena, vaikka toiminta
aloitettaisiin kesken vuotta. Valvontamaksua ei palauteta, vaikka
palveluntarjoaja lopettaisi toimintansa kesken vuotta.
Rekisteröimismaksun, nimeämismaksun ja valvontamaksun
määrää maksettavaksi Viestintävirasto.
Viestintäviraston maksun määräämistä koskevaan
päätökseen saa hakea muutosta siten kuin
49 §:n 1 momentissa säädetään.
Tarkempia säännöksiä maksujen
täytäntöönpanosta voidaan antaa
liikenne- ja viestintäministeriön asetuksella.
Rekisteröimismaksu, nimeämismaksu ja valvontamaksu
saadaan periä ilman tuomiota tai päätöstä siinä järjestyksessä kuin
verojen ja maksujen täytäntöönpanosta
annetussa laissa säädetään.
Jollei maksuja suoriteta viimeistään eräpäivänä,
maksamattomalle määrälle peritään vuotuista
viivästyskorkoa korkolain (633/1982) 4 §:n
1 momentissa tarkoitetun korkokannan mukaan. Viivästyskoron
sijasta viranomainen voi periä viiden euron suuruisen viivästysmaksun,
jos viivästyskoron määrä jää tätä pienemmäksi.
Jos tunnistuspalvelun tarjoajan toiminta joudutaan 46 §:n
1 momentin nojalla tarkastamaan, tunnistuspalvelun tarjoajalta peritään
tarkastuksesta aiheutuneet kustannukset siten kuin valtion maksuperustelaissa
säädetään.
6 luku
Erinäiset säännökset
48 §
Rangaistussäännökset
Rangaistus henkilörekisteririkoksesta säädetään
rikoslain (39/1889) 38 luvun 9 §:ssä ja henkilörekisteririkkomuksesta
henkilötietolain 48 §:n 2 momentissa.
49 §
Muutoksenhaku
Muutoksen hakemisesta Viestintäviraston tämän
lain nojalla tekemään päätökseen
säädetään hallintolainkäyttölaissa
(586/1996).
Viestintävirasto voi päätöksessään
määrätä, että päätöstä on
noudatettava ennen kuin se on saanut lainvoiman. Valitusviranomainen
voi kuitenkin kieltää päätöksen
täytäntöönpanon, kunnes valitus
on ratkaistu.
Muutoksenhausta tietosuojavaltuutetun päätökseen
säädetään henkilötietolaissa.
7 luku
Voimaantulo
50 §
Voimaantulo
Tämä laki tulee voimaan
päivänä
kuuta 20
.
Tällä lailla kumotaan 24 päivänä tammikuuta 2003
annettu laki sähköisistä allekirjoituksista (14/2003).
Viestintäviraston kumottavan lain nojalla antamat määräykset
ovat kuitenkin voimassa, kunnes uudet määräykset
annetaan tämän lain nojalla.
Ennen lain voimaantuloa voidaan ryhtyä lain täytäntöönpanon
edellyttämiin toimiin.
51 §
Siirtymäsäännös
Tunnistuspalvelun tarjoajien on tehtävä Viestintävirastolle
10 §:ssä tarkoitettu ilmoitus kuuden kuukauden
kuluessa lain voimaantulosta. Sinä aikana vahvana sähköisenä tunnistuspalveluna
ja tunnistuspalvelun tarjoajana pidetään sellaista
1 §:n soveltamisalaan kuuluvaa sähköistä tunnistuspalvelua
ja sähköisen tunnistuspalvelun tarjoajaa, joka
täyttää 2 §:n 1 ja 4 kohdassa
tarkoitetut määritelmät.
Ennen tämän lain voimaantuloa tai 1 momentissa
tarkoitetun siirtymäajan kuluessa liikkeelle laskettuja
tunnistusvälineitä pidetään
vahvan sähköisen tunnistamisen välineinä,
jos tunnistuspalvelun tarjoaja tekee 10 §:ssä tarkoitetun
ilmoituksen 1 momentissa tarkoitetun ajan kuluessa. Tunnistuspalvelun
ja tunnistuspalvelun tarjoajan on tällöin täytettävä kaikki
tässä laissa niille asetetut vaatimukset lukuun
ottamatta 17 §:ssä säädettyjä vaatimuksia.
Jos tunnistuspalvelun tarjoajat ovat tehneet 17 §:n
2 momentissa tarkoitetun sopimuksen mahdollisuudesta luottaa toistensa
tekemään ensitunnistamiseen, eikä ensitunnistamisessa
käytetyt tunnistusvälineet liikkeelle laskenut
palveluntarjoaja ole tehnyt 10 §:ssä tarkoitettua
ilmoitusta 1 momentissa tarkoitetussa ajassa, ensitunnistaminen
on tällä tavoin liikkeelle laskettujen tunnistusvälineiden
osalta tehtävä 17 §:ssä tarkoitetulla
tavalla viivyttelemättä.
Sellaisen laatuvarmenteita tarjoavan varmentajan, joka on tehnyt
sähköisistä allekirjoituksista annetun
lain 9 §:n 1 momentin mukaisen ilmoituksen ja jatkanut
toimintaansa keskeytyksettä tämän lain
voimaan tuloon saakka, ei tarvitse tehdä uutta ilmoitusta
32 §:n 1 momentin mukaisesti. Laatuvarmenteita tarjoava
varmentaja voi tällöin antaa Viestintävirastolle
vapaamuotoisen kirjallisen ilmoituksen toimintansa jatkumisesta
entisellään. Tämän lain voimaan tullessa
laatuvarmenteita tarjoavan varmentajan on maksettava liikenne- ja
viestintäministeriön Viestintäviraston
eräistä maksuista annetun asetuksen (1175/2005)
12 §:ssä tarkoitettua varmennemaksua 31 päivään
joulukuuta 2009 asti vapaamuotoisen kirjallisen ilmoituksen tekemisen
ajankohdasta riippumatta.