1.1  Tausta

Vahvalla sähköisellä tunnistamisella tarkoitetaan henkilöllisyyden osoittamista sähköisesti. Tunnistamisen avulla henkilö voi luotettavasti ja turvallisesti osoittaa sähköisessä asioinnissa olevansa se kuka on ja sähköiset asiointipalvelut voivat tunnistaa niissä asioivat henkilöt ja tarjota palvelujaan heille. Käytännössä tunnistaminen tapahtuu vahvalla sähköisellä tunnistusvälineellä. Suomessa nykyisin käytettäviä vahvoja sähköisiä tunnistusvälineitä ovat esimerkiksi pankkien tarjoamat pankkitunnukset ja teleyritysten mobiilivarmenne. Luottamuspalveluilla tarkoitetaan puolestaan palveluja, joilla mahdollistetaan luottamusta sähköisiin asiakirjoihin ja prosesseihin. Luottamuspalvelut eivät aina näy käyttäjälle, vaan ovat näkymättömissä palvelujen rakenteissa. Luottamuspalveluja ovat esimerkiksi sähköisen allekirjoituksen luomiseen liittyvät palvelut sekä tietyt muut varmenteet.  

Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 910/2014 sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta eli niin kutsutussa eIDAS-asetuksessa perustettiin sähköisen tunnistamisen yhteentoimivuusjärjestelmä, jonka tavoitteena on ollut mahdollistaa se, että toisessa jäsenvaltiossa myönnetyillä sähköisillä tunnistusvälineillä voidaan tunnistautua toisen jäsenvaltion julkisiin sähköisiin palveluihin. Lisäksi asetuksen tarkoituksena on ollut yhdenmukaistaa luottamuspalveluita koskevat säännökset EU:ssa.  

Euroopan parlamentti ja neuvosto antoivat 11.4.2024 asetuksen (EU) 2024/1183 asetuksen (EU) N:o 910/2014 muuttamisesta eurooppalaisen digitaalisen identiteetin kehyksen vahvistamisen osalta. Tällä asetuksella muutettiin alkuperäistä eIDAS-asetusta siten, että osa sen alkuperäisistä artikloista jäi sellaisenaan voimaan, osaa muutettiin ja osa kumottiin. Keskeisin muutos oli kuitenkin uusien eurooppalaista digitaalista identiteettiä koskevien artiklojen lisääminen. Muutettu eIDAS-asetus on sellaisenaan jäsenvaltioissa sovellettavaa oikeutta. Asetus jättää kuitenkin eräissä asioissa jäsenvaltioille kansallista liikkumavaraa. Lisäksi muutetussa eIDAS-asetuksessa on joitain velvoitteita jäsenvaltioille, kuten eurooppalaisen digitaalisen identiteetin lompakon tarjoaminen sekä kansallisen valvontaelimen ja kansallisen yhteyspisteen nimeäminen, jotka edellyttävät kansallista täydentävää lainsäädäntöä. Tällä hallituksen esityksellä ehdotetaan säädettäväksi edellä mainituista asioista, jotta muutettua eIDAS-asetusta voidaan Suomessa soveltaa tehokkaasti.  

1.2  Valmistelu

2.1  Tavoitteet

Alkuperäisen eIDAS-asetuksen tavoitteena oli lisätä luottamusta sähköiseen asiointiin ja liiketoimintaan sisämarkkinoilla ja varmistaa, että rajat ylittävää asiointia varten on käytössä turvallisia sähköisen tunnistamisen menetelmiä. Asetuksen tarkoituksena oli myös luoda yleiset oikeudelliset puitteet luottamuspalvelujen käytölle. Markkinoilla painopiste on kuitenkin siirtynyt digitaalisen identiteetin hyödyntämisestä kohti identiteettiin liittyvien erilaisten tietojen tarjoamista ja käyttöä. Tällaisia ratkaisuja tarvittaisiin myös erityisesti yksityisen sektorin sähköisiä asiointipalveluja varten, joihin alkuperäinen eIDAS-asetus ei sovellu. Alkuperäisellä eIDAS-asetuksella ei siis enää pystytty vastaamaan markkinoiden uusiin tarpeisiin.  

Muutetun eIDAS-asetuksen tavoitteena on varmistaa, että unionin kansalaisilla ja unionissa asuvilla henkilöillä on oikeus digitaaliseen identiteettiin, joka on heidän yksinomaisessa määräysvallassaan. Tarkoituksena on varmistaa, että jäsenvaltioiden rajat ylittäviin asiointitilanteisiin on saatavilla erittäin turvallisia ja luotettavia sähköisiä identiteettiratkaisuja, niin käyttäjien kuin asiointipalvelujen näkökulmasta. Tavoitteena on myös vähentää riskejä ja kustannuksia omaksumalla yhdenmukaisempi lähestymistapa sähköiseen tunnistamiseen. Luottamuspalvelujen osalta tavoitteena on varmistaa yhtäläiset edellytykset luottamuspalvelujen tarjoamiseen ja niiden hyväksymiseen jäsenvaltioissa.  

2.2  Muutetun eIDAS-asetuksen pääasiallinen sisältö

3.1  Muutetun eIDAS-asetuksen täytäntöönpano

3.2  Digitaalinen henkilöllisyystodistus

Kansalaisilla ja muilla Suomessa asioivilla henkilöillä on tarve todistaa henkilöllisyytensä erilaisissa tilanteissa perinteisillä asiakirjoilla, kuten passilla tai henkilökortilla. Henkilön tunnistaminen voi perustua käytännön tarpeeseen tai vakiintuneeseen toimintatapaan, mutta sitä voidaan edellyttää myös lainsäädännön tai sopimusten perusteella. Esimerkiksi kuluttajansuojalaissa (38/1978) säädetään velvollisuudesta todentaa henkilöllisyys huolellisesti kuluttajaluottosopimuksissa. 

Voimassa olevaan lainsäädäntöön ei kuitenkaan sisälly yleistä sääntelyä siitä, millä asiakirjoilla henkilötiedot voidaan osoittaa tai mitkä asiakirjat on tietojen osoittamiseksi hyväksyttävä, eikä lainsäädäntöön sisälly virallisen henkilöllisyystodistuksen käsitettä. Käytännöt perustuvat toisaalta passin ja henkilökortin kaltaisten viranomaisen myöntämien asiakirjojen sääntelyyn ja toisaalta viranomais- tai toimialakohtaiseen tunnistamissääntelyyn, erityisesti kasvokkain tapahtuvassa asioinnissa. 

Suomen passi ja henkilökortti ovat poliisin myöntämiä asiakirjoja, joita käytetään yleisesti henkilötietojen osoittamiseen. Ne ovat myös tietyin henkilökortteja koskevin poikkeuksin matkustusasiakirjoja. Passilaissa (671/2006) ja henkilökorttilaissa säädetään muun muassa asiakirjojen myöntämisen edellytyksistä ja henkilön tunnistamisesta hakemuksen yhteydessä. Passilain 3 §:n mukaan passi on ensisijaisesti matkustusasiakirja ja passi myönnetään hakemuksesta Suomen kansalaiselle matkustusoikeuden osoittamiseksi. Henkilökorttilain 1 §:n mukaan henkilökortti myönnetään henkilöllisyyden osoitukseksi, mutta kumpikaan laki ei velvoita viranomaisia tai muita toimijoita hyväksymään asiakirjoja tunnistamistarkoituksessa. 

Sekä passia että henkilökorttia voidaan hakea sähköisesti, mutta hakijan on saavuttava henkilökohtaisesti viranomaisen luokse tunnistamista ja asiakirjan täydentämistä varten. Poikkeuksena on tilanne, jossa hakijalle on viimeisen kuuden vuoden aikana myönnetty passi tai henkilökortti, minkä yhteydessä hän on asioinut henkilökohtaisesti viranomaisen luona ja antanut tarvittavat biometriset tunnisteet. Alaikäiselle asiakirjat voidaan myöntää huoltajien suostumuksella, ja erityistapauksissa myös ilman sitä. 

Sekä henkilökorttiin että passiin merkitään henkilön perustiedot kuten nimi, sukupuoli, syntymäaika, henkilötunnus, kansalaisuus, myöntämispäivä ja voimassaoloaika. Molemmissa asiakirjoissa on myös haltijan kasvokuva ja nimikirjoitus. Passiin voidaan lisätä tieto syntymäkotikunnasta tai merkintä ”ulkomaat”, kun kotikuntaa ei voida luotettavasti selvittää. 

Molemmissa asiakirjoissa on tekninen osa (siru), johon tallennetaan biometrisiä tietoja, kuten kasvokuva ja sormenjäljet. Alaikäisen ja väliaikaisen henkilökortin sirussa ei ole teknistä osaa. Biometriset tiedot ovat pysyviä ja yksilöllisiä, ja niiden käsittelyssä korostuu tietoturva. Euroopan unionin neuvoston asetuksessa (EU) 2025/1208 unionin kansalaisten henkilökorttien sekä oikeuttaan vapaaseen liikkuvuuteen käyttäville unionin kansalaisille ja heidän perheenjäsenilleen myönnettävien oleskeluasiakirjojen turvallisuuden lisäämisestä määritellään vaatimukset sirun sisällölle ja tietoturvalle. Kortinhaltijalla on oikeus tarkastaa ja pyytää korjauksia tekniseen osaan tallennettuihin tietoihin. Tietojen suojaamisesta vastaa Suomessa Digi- ja väestötietovirasto sekä ulkoministeriö (diplomaatti- ja virkapassien osalta). Sirun tiedot suojataan tehokkaasti luvattomalta käytöltä ja väärinkäytöksiltä EU-sääntelyn mukaisesti. 

Tällä hetkellä henkilötietojen osoittaminen käyntiasioinnissa perustuu pääosin fyysisten asiakirjojen esittämiseen. Asiointitilanteet ovat kuitenkin kehittyneet, ja myös fyysisessä asioinnissa olisi teknisesti mahdollista hyödyntää uusia ratkaisuja, kuten viranomaisen myöntämiä digitaalisia henkilöllisyystodistuksia, joiden avulla henkilöllisyys voidaan osoittaa luotettavasti esimerkiksi mobiililaitteella, ilman perinteistä asiakirjaa. Voimassa oleva lainsäädäntö ei mahdollista viranomaisen myöntämiä digitaalisia henkilöllisyystodistuksia. 

3.3  Kansalliset vahvan sähköisen tunnistamisen turvallisuutta edistävät muutostarpeet

4.1  Keskeiset ehdotukset

4.2  Pääasialliset vaikutukset

5.1  Vaihtoehdot ja niiden vaikutukset

5.2  Muiden jäsenvaltioiden suunnittelemat tai toteuttamat keinot

Esityksen valmistelun aikana selvitettiin tiettyjen jäsenvaltioiden osalta sitä, miten nämä suunnittelevat toteuttavansa tai ovat toteuttaneet muutettuun eIDAS-asetukseen liittyviä täytäntöönpanotoimia. Asetus itsessään on sellaisenaan suoraan sovellettavaa ja velvoittavaa sääntelyä, mutta tietyiltä osin asetus mahdollistaa kansallisen liikkumavaran käyttöä. Muiden jäsenvaltioiden suunnittelemien tai toteuttamien keinojen kuvaamisessa on huomioitu myös käynnissä olevien ja päättyneiden EU:n Digital Europe Programme -rahoitteisten laajamittaisten pilotointien työ ja niiden tulokset. Eurooppalaisen digitaalisen identiteetin lompakon toiminnallisuuksia testattiin vuosien 2023–2025 aikana neljässä eri konsortioissa, joista Suomi oli kolmessa mukana. Konsortiot olivat nimeltään DC4EU, jossa Suomi osallistui erityisesti korkeakoulusektorin opintotodistuksiin liittyvään työpakettiin, EWC, jossa Suomi osallistui erityisesti oikeushenkilön digitaaliseen identiteettiin liittyvään työpakettiin ja Potential, jossa Suomi osallistui erityisesti ajo-oikeustodistukseen liittyvään työpakettiin.  

6.1  Lausuntopalaute muutetun eIDAS-asetuksen täytäntöönpanosta

Lausuntopalautteissa suhtauduttiin positiivisesti muutettua eIDAS-asetusta täydentäviin kansallisiin sääntelyehdotuksiin. Esityksen tavoitteita pidettiin kannatettavina ja ehdotetut ratkaisut vaikuttavat positiivisesti viranomaispalvelujen toteutumiseen erityisesti rajat ylittävissä asiointitilanteissa. Kansalaisten neuvontaa ja tukea pidettiin erittäin tärkeänä uusien palvelujen käyttöönotossa. Lisäksi nähtiin, että sähköisen tunnistamisen välineet ja palvelut olisivat entistä kattavammin ja yhdenvertaisemmin henkilöiden käytettävissä.  

Lausuntopalautteissa pidettiin tärkeänä, että muiden tunnistusvälineiden käyttömahdollisuus sekä vaihtoehtoiset tavat asioida säilyvät. Esityksen vaikutusten arviointia on tältä osin täydennetty, jotta olisi selvää, että nykyinen vahvan sähköisen tunnistamisen luottamusverkosto säilyy eurooppalaisten digitaalisen identiteetin lompakoiden rinnalla. Lisäksi Liikenne- ja viestintävirasto nosti lausunnossaan esiin tarpeen tarkentaa ehdotetun eIDAS-lain ja tunnistuslain soveltamisen suhdetta niissä tilanteissa, joissa tunnistusvälityspalvelun tarjoajat välittäisivät lompakkoon perustuvaa tunnistamista. Lisäksi Findynet Osuuskunta piti tarpeellisena selkiyttää lompakkoon perustuvan tunnistamisen välittämistä ja lompakon tarjoajan roolia näissä tilanteissa. Esityksen 2. lakiehdotuksen perusteluja on tältä osin tarkennettu niin, että lompakkoon perustuvan tunnistamisen välittäminen edellyttää tunnistusvälityspalvelun tarjoajalta rekisteröitymistä eurooppalaisen digitaalisen identiteetin luottavien osapuolten rekisteriin ja muutoinkin eIDAS-asetuksen vaatimusten soveltamista. Lisäksi perusteluista poistettiin kuvaus lompakon tarjoajan mahdollisuudesta rajoittaa lompakkoon perustuvan tunnistamisen välittämistä. Lompakko ja sen sisältämät tiedot ovat sen käyttäjän yksinomaisessa hallinnassa, eikä lompakon tarjoaja voi rajoittaa käyttäjän toimintaa.  

Digi- ja väestötietoviraston roolia lompakon tarjoajana kannatettiin, mutta samalla pidettiin tärkeänä yksityisen sektorin toimijoiden mahdollisuutta tarjota lompakko. Kilpailu- ja kuluttajavirasto näki esityksessä tehdyn kilpailuoikeudellisen analyysin haasteellisina. Kilpailu- ja kuluttajavirasto katsoi, että lompakoita tulisi arvioida kokonaisuuden sijasta lompakkosovelluksissa olevien osatoiminnallisuuksien näkökulmasta ja sen näkemyksen mukaan lompakoissa on toimintoja, jotka voivat kuulua olemassa oleville hyödykemarkkinoille. Myös Posti Group Oyj ja työ- ja elinkeinoministeriö nostivat lausunnoissaan esiin Digi- ja väestötietoviraston lompakon tarjoajan rooliin liittyviä kilpailuoikeudellisia näkökulmia. Lausuntopalautteen mukaan Digi- ja väestötietovirastolle ei saisi muodostua perusteetonta kilpailuetua asemansa tai rahoituksensa vuoksi lompakon tarjoamiseen liittyen.  

Esityksen jatkovalmistelussa käytiin keskustelua Kilpailu- ja kuluttajaviraston kanssa. Esityksen kilpailuoikeudellista analyysia on lausuntopalautteen pohjalta muutettu, jotta se vastaisi lausuntopalautteessa esitettyihin kilpailuoikeudellisiin huoliin ja olisi selkeää, ettei sääntelyllä rajoiteta Kilpailu- ja kuluttajaviraston toimivaltaa puuttua markkinoiden toimintaan kilpailulain mukaisesti. Esityksen kilpailuoikeuteen liittyvässä analyysissa tuodaan nyt selkeämmin esille, että lompakon tarjoaminen säädetään Digi- ja väestötietoviraston tehtäväksi siitä syystä, että tavanomaista markkinatoimintaa ei olisi ja tarjolle ei syntyisi määräajassa sellaisia lompakoita, jotka täyttävät muutetun eIDAS-asetuksen vaatimukset (markkinapuute). Esityksessä ei kuitenkaan rajoitettaisi muiden toimijoiden mahdollisuutta tarjota lompakkoa Digi- ja väestötietoviraston tarjoaman lompakon rinnalle. Oikeusministeriö nosti lausunnossaan esiin tarpeen arvioida, voisiko myös Digi- ja väestötietovirastolle säädetty tehtävä mahdollisesti muodostaa yksityiselle siirrettäessä julkisen hallintotehtävän, josta tulisi tällöin säätää perustuslain (731/1999) 124 §:n edellyttämällä tavalla. Digi- ja väestötietoviraston tehtävää koskevia säännöskohtaisia perusteluja on tältä osin täydennetty.  

Muun muassa Opetushallitus ja Kansaneläkelaitos kannattivat Digi- ja väestötietoviraston roolia henkilöllisyyden linkittämisen keskitettynä tarjoajana. Muutettu eIDAS-asetus edellyttää henkilöllisyyden linkittämisen varmistamista vain julkisen sektorin asiointipalveluissa. Tähän liittyen muun muassa Tapaturmavakuutuskeskus ja Eläketurvakeskus nostivat esiin julkista hallintotehtävää hoitavat yksityiset tahot ja pitivät tärkeänä näiden toimijoiden roolin huomioimista esityksen ehdotuksissa, ja mahdollisuutta käyttää Digi- ja väestötietoviraston tarjoamaa henkilöllisyyden linkittämistä. Jatkovalmistelussa esityksen 1. lakiehdotuksen henkilöllisyyden linkittämisen toteuttamista koskevaa säännöstä on tarkennettu niin, että myös julkista hallintotehtävää hoitavat tahot voivat käyttää Digi- ja väestötietoviraston tarjoamaa henkilöllisyyden linkittämistä. Lisäksi esimerkiksi työeläkevakuutusyhtiöiden, Findynet Osuuskunnan ja Nordea Bank Oyj:n lausuntopalautteessa toivottiin henkilöllisyyden linkittämispalvelun laajentamista ylipäänsä yksityisen sektorin toimijoille, eikä esitetyn sääntelyn tulisi rajoittaa linkittämispalvelun jatkokehittämistä ja tarjoamista yksityiselle sektorille laajemmin. Esitykseen on jatkovalmistelussa lisätty nimenomainen säännös yksityisen sektorin toimijoiden oikeudesta käyttää Digi- ja väestötietoviraston tarjoamaa henkilöllisyyden linkittämistä. Säännöksen soveltaminen alkaisi kuitenkin myöhemmässä vaiheessa sen jälkeen, kun yksityisen sektorin asiointipalvelujen velvollisuus hyväksyä eurooppalaisella digitaalisen identiteetin lompakolla tunnistautuminen on alkanut.  

Eurooppalaisen digitaalisen identiteetin lompakon itsenäiselle käyttöönotolle ehdotettua 13 vuoden ikärajaa kannatettiin laajasti erityisesti sosiaali- ja terveysministeriön sekä opetus- ja kulttuuriministeriön hallinnonaloilta tulleessa lausuntopalautteessa. Keskusrikospoliisi ja Poliisihallitus toivoivat lausunnoissaan korkeampaa ikärajaa lompakon itsenäiselle käyttöönotolle. Huolia nähtiin erityisesti suhteessa identiteettivarkauksien ja petosrikollisuuden määrän kasvuun ja yleisen luottamuksen laskuun suhteessa sähköiseen asiointiin. Jatkovalmistelussa on lausuntopalautteen pohjalta arvioitu, että käyttöönoton ikärajaa ei ole tarpeen nostaa korkeammaksi. Ehdotetun ikärajan perusteluja ja vaikutusten arvioita on kuitenkin täydennetty lausuntopalautteen perusteella ja nostettu selkeämmin esiin ehdotetun ikärajan riskejä, mutta myös hyötyjä alaikäisten sähköiselle asioinnille.  

Erityisesti ulkoministeriö ja Suomi-Seura ry pitivät tarpeellisena, että lompakon käyttöönotto tulisi mahdollistaa myös käyntiasioinnilla Suomen ulkomaan edustustoissa silloin, kun henkilöllä ei ole mahdollisuutta ottaa lompakkoa käyttöön sähköisesti. Jatkovalmistelussa 1. lakiehdotuksen luonnollisen henkilön tunnistetietojen myöntämiseen liittyvää sääntelyä on täydennetty niin, että henkilö voisi hakea luonnollisen henkilön tunnistetietoja myös asioimalla Suomen ulkomaan edustustossa. Luonnollisen henkilön tunnistetietojen myöntäminen on osa eurooppalaisen digitaalisen identiteetin lompakon myöntämistä ja käyttöönottoa ja ehdotetut muutokset vastaisivat siten lausuntopalautteessa toivottua. 

Esitettyyn sääntelyyn sisältyvä kielto luovuttaa lompakko toisen käyttöön nähtiin erityisesti yhdenvertaisuusvaltuutetun lausunnossa haastavaksi varsinkin sellaisten ihmisten osalta, jotka tarvitsevat henkilökohtaista avustajaa lompakon käyttämiseksi. Esityksen jatkovalmistelun aikana käytiin keskustelua yhdenvertaisuusvaltuutetun toimiston kanssa. Lausuntopalautteen pohjalta esityksen 1. lakiehdotuksen käyttäjän vastuuta koskevaan sääntelyyn ei tehty muutoksia, mutta sääntelyn perusteluita on tarkennettu niin, että niistä käy selkeämmin ilmi, ettei sääntely rajoita niitä toimenpiteitä ja mukautuksia, joita eurooppalaisen digitaalisen identiteetin lompakon tarjoaja tekee lompakon yhdenvertaisen ja esteettömän käytön mahdollistamiseksi. Perusteluissa on myös tarkennettu, että ehdotetussa säännöksessä olisi kyse vain käyttäjän vastuun sääntelemisestä. 

Lausuntopalautteessa nostettiin esiin tarve yhteensovittaa muutettu eIDAS-asetus SDG-asetuksen sekä siihen liittyvän OOTS-järjestelmän kanssa. Lisäksi pidettiin tärkeänä varmistaa, ettei eIDAS-muutosasetuksen toimeenpano johda päällekkäisiin tai ristiriitaisiin teknisiin ratkaisuihin. Lausuntopalautteen pohjalta ei ole tehty esityksessä ehdotettuun sääntelyyn muutoksia. Muutettu eIDAS-asetus ja SDG-asetus ovat EU:n asetuksia ja lähtökohtaisesti niiden yhteensovittaminen tulee tapahtua EU:n tasolla, eikä jäsenvaltioilla ole mahdollisuuksia jättää jommankumman asetuksen piiriin kuuluvia velvoitteita toteuttamatta sillä perusteella, että velvoite olisi päällekkäinen tai ristiriitainen toisen EU:n asetuksen kanssa. Esityksen rajat ylittävien vaikutusten arviointia on kuitenkin täydennetty lausuntopalautteen pohjalta ja kuvattu EU:n tasolla tehtyä asetusten yhteensovittamista. 

Lausuntopalautteessa esityksen rajausta kaupparekisteriin merkittyihin oikeushenkilöihin pidettiin liian kapeana. Esitystä toivottiin laajennettavan ja täsmennettävän, jotta kaikki taloudellista toimintaa harjoittavat toimijat, joilla on Y-tunnus, voivat saada tunnistetiedot. Myös julkisyhteisöjen ja rekisteröityjen yhdistysten ja säätiöiden toivottiin voivan osallistua digitaaliseen asiointiin. Lisäksi tuotiin esille, että puolesta asioinnin ja valtuutuksien tulisi toimia selkeästi ja turvallisesti.  

Esityksessä ehdotettuun sääntelyratkaisuun on päädytty useista eri syistä, jotka on jatkovalmistelussa nähty edelleen asianmukaisiksi. Ensinnäkin muutetun eIDAS-asetuksen mukaan oikeushenkilön tunnistetieto voidaan myöntää vain oikeushenkilöille. Esimerkiksi yksityinen elinkeinonharjoittaja ei ole oikeushenkilö, joten sille ei voida myöntää oikeushenkilön tunnistetietoa. Toiseksi esitys on rajattu koskemaan vain kaupparekisteriin merkittyjä oikeushenkilöitä kansallisen täytäntöönpanon tiukan aikataulun sekä rajallisten resurssien vuoksi. Tunnistetiedon antamiseen ja hallinnointiin sekä tunnistetiedon elinkaaren vaiheisiin liittyy avoinna olevia seikkoja, jolloin on perusteltua, että niitä ratkotaan ensivaiheessa pilottimaisesti kohdennettuna. Kolmanneksi esityksen tarkoituksena on ennen kaikkea mahdollistaa oikeushenkilön tunnistetiedon myöntäminen, jolla luodaan edellytyksiä yrityslompakon käyttöönotolle. Tätä viitekehystä voidaan laajentaa vaiheittain, myös muuten kuin lainsäädännön kautta. 

Lausuntopalautteessa huomautettiin, että kaupparekisteriin on merkitty elinkeinotoimintaa harjoittavia aatteellisia yhdistyksiä ja säätiöitä. Jatkovalmistelussa on arvioitu, että tällaisten määrä kaupparekisterissä on joitain satoja. Muiden oikeushenkilöiden osalta kaupparekisterissä on saatavissa kattavasti tiedot oikeushenkilön vastuuhenkilöistä eli edustamiseen oikeutetuista. Sen sijaan aatteellisten yhdistysten ja säätiöiden vastuuhenkilöitä ei merkitä kaupparekisteriin, eikä niille olisi perusteltua antaa tunnistetietoa, ellei lainsäädäntöä myöhemmin uloteta käsittämään myös yhdistys- ja säätiörekisteriin merkittyjä toimijoita. Esitystä on jatkovalmistelussa muutettu tältä osin niin, että kaupparekisteriin merkityille aatteellisille yhdistyksille ja säätiöille ei ensivaiheessa myönnettäisi oikeushenkilön tunnistetietoja. Valmistelun aikana on tunnistettu myös muita käyttötapauksia ja elinkeinonharjoittamiseen liittyviä tarpeita, jotka ovat pitkälti samoja kuin lausuntopalautteessa esiin nostetut. Nämä on kuitenkin rajattu tässä vaiheessa esityksen ulkopuolelle edellä mainituista syistä. 

Esityksen jatkovalmistelussa on myös seurattu tarkasti EU-lainsäädäntökehikon kehittymistä. Komissio on 19. marraskuuta 2025 antanut ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi eurooppalaisten yrityslompakoiden perustamiseksi. Komissio ehdottaa muun muassa, että yrityslompakko tarjoaisi kaikille taloudellisille toimijoille digitaalisen identiteetin, mahdollistaisi datan jakamisen ja pääsyn sähköisiin palveluihin rajat ylittävästi sekä mahdollistaisi luottamuspalveluiden käytön. Yrityslompakkoa koskevalla EU-lainsäädännöllä arvioidaan olevan merkittäviä vaikutuksia myös kansalliseen viitekehykseen, eikä nyt käsillä olevassa esityksessä ole nähty tarkoituksenmukaiseksi tehdä kansallisesti sellaisia ratkaisuja, joita joudutaan mahdollisesti muuttamaan uuden EU-sääntelyn vuoksi.  

Kansallisen liikkumavaran käyttäminen avoimen lähdekoodin vaatimuksen osalta nähtiin kannatettavana, mutta esitettyyn sääntelyyn toivottiin täsmennystä avoimen lähdekoodin kuvaukseen ja perusteluihin esimerkiksi TietoEVRY Oyj:n ja Finanssiala ry:n lausuntopalautteessa. Jatkovalmistelussa on tarkennettu sääntelyn sanamuotoa lausuntopalautteessa esitetyn mukaisesti niin, ettei lompakon tarjoajan tarvitse luovuttaa lähdekoodia liikkumavaran piiriin kuuluvilta osin silloin, kun käsillä on asianmukaisesti perusteltu syy. Jatkovalmistelussa on lisäksi arvioitu kansallisen liikkumavaran ulottuvuutta ja arvioitu, ettei kaikkia lausuntopalautteessa esitettyjä täsmennyksiä ja rajoituksia voida ottaa huomioon, sillä ne eivät kuulu kansallisen liikkumavaran piiriin. Eurooppalaiset digitaalisen identiteetin lompakot eivät ole riippuvaisia yksittäisistä kirjastoista, vaan niille voidaan tarjota vaihtoehtoja, joista lompakoiden tarjoajat voivat valita itselleen soveltuvimman esim. käytettyjen lisenssien tai integroitavuuden perusteella. Valittavissa olevia kirjastoja ei kuitenkaan voida kansallisen liikkumavaran puitteissa rajoittaa. Lisäksi mm. Tulli ja FiCom ry toivoivat tarkennuksia sähköisen allekirjoituksen käyttömahdollisuuksiin ja edellytyksiin työ- ja virkatehtävissä. Esityksessä ehdotettua sääntelyä sähköisen allekirjoituksen maksullisuudesta on tarkennettu lausuntopalautteen perusteella. Esityksessä ei kuitenkaan ole tarkennettu tai rajattu lompakolla tapahtuvan sähköisen allekirjoituksen mahdollisia käyttötarkoituksia, sillä asian arvioiminen kuuluu kullekin toimijalle itselleen.  

Muun muassa Eduskunnan oikeusasiamies ja oikeusministeriö esittivät lausuntopalautteessaan täsmennyksiä Liikenne- ja viestintäviraston tiedonluovutus- ja tiedonsaantioikeuksiin. Esityksen 1. lakiehdotuksen säännöksiä on tarkennettu lausuntopalautteen mukaisesti. Oikeusministeriö katsoi lisäksi, että Digi- ja väestötietoviraston tarjoaman lompakon rekisterinpitäjää koskevan sääntelyn perusteluita tulisi tarkentaa ja varmistaa, että ne ovat linjassa yleisen tietosuoja-asetuksen kanssa ottaen huomioon muutetun eIDAS-asetuksen vaatimukset lompakossa olevien tietojen itsehallittavuudessa. Lisäksi KEHA-keskus toivoi lausuntopalautteessaan selvyyttä rekisterinpitäjien velvollisuuksiin suhteessa sähköisiin attribuuttitodistuksiin. Esityksen 1. lakiehdotuksen Digi- ja väestötietoviraston tarjoaman lompakon rekisterinpitäjää koskevan pykälän perusteluja on tarkennettu lausuntopalautteen perusteella ja pyritty kuvaamaan selkeämmin eri toimijoiden ja käyttäjän vastuuta lompakossa olevien tietojen osalta.  

Suomen Kuntaliitto ry, Findynet Osuuskunta ja TietoEVRY Oyj toivoivat jatkovalmistelussa selvennystä siihen, miten attribuuttien tarkastaminen virallisista lähteistä toteutetaan kansallisessa täytäntöönpanossa. Esitystä on täydennetty lausuntopalautteen perusteella lisäämällä 1. lakiehdotukseen nimenomainen pykälä Digi- ja väestötieviraston velvollisuudesta laatia kansallinen ohjeistus niistä sähköisistä menetelmistä, joita hyväksytyt luottamuspalvelun tarjoajat voivat hyödyntää, kun ne haluavat tarkastaa eIDAS-asetuksen liitteen VI attribuutit niiden virallisista lähteistä Suomessa.  

Hallinnollisten seuraamusten ja seuraamusmaksujen osalta Eduskunnan oikeusasiamies piti lausunnossaan ehdotettua sääntelyä huolellisesti valmisteltuna. Lausunnossa pidettiin kuitenkin vielä tarpeellisena, että kaksoisrangaistavuuden kieltoa arvioitaisiin EU:n oikeuskäytännön näkökulmasta. Myös Suomen Asianajajat toi lausuntopalautteessaan esiin tarpeen arvioida jatkovalmistelussa, voiko sama teko johtaa rangaistavuuteen myös jonkin muun sääntelyn rikkomisen nojalla, ja mikä viranomainen tällaisessa tilanteessa asian kulloinkin ratkaisee. Jatkovalmistelussa esitystä on muutettu siten, että yhden säännöksen (eIDAS-asetus, NIS 2 -direktiivi/kyberturvallisuuslaki tai yleinen tietosuoja-asetus) nojalla määrätty seuraamusmaksu ei olisi este seuraamusmaksun määräämiselle toisen säännöksen nojalla. Esityksen jaksoon 12.4 lisättiin perustelut tälle sääntelyratkaisulle. 

Oikeusministeriö piti lausuntopalautteessaan tärkeänä, että muita hallinnollisia seuraamuksia tulisi käyttää ensisijaisesti ja turvautua hallinnollisen seuraamusmaksun määräämiseen vasta viimesijaisena keinona. Esityksen perusteluja on tältä osin tarkennettu, jotta olisi selvää, että ensisijaisesti viranomaisen tulisi ohjata toimijoita ehdotetun lainsäädännön ja muutetun eIDAS-setuksen mukaiseen toimintaa neuvonnan ja ohjauksen keinoin. Hallinnollinen seuraamusmaksu ei siten olisi ensisijainen keino puuttua lainsäädännön vastaiseen toimintaan. Oikeusrekisterikeskus ei kannattanut mahdollisuutta määrätä rangaistusluonteisia seuraamusmaksuja viranomaisille, ja asiasta olisi sen mukaan tarpeen saada perustuslakivaliokunnan lausunto. Jatkovalmistelussa on edelleen arvioitu, että muutettu eIDAS-asetus ei jätä liikkumavaraa siten, että viranomaiset voitaisiin rajata hallinnollisten seuraamusmaksujen ulkopuolelle. Esitystä ei ole muutettu lausuntopalautteen johdosta, mutta esityksessä ehdotetaan, että perustuslakivaliokunta antaisi esityksestä lausunnon.  

Työ- ja elinkeinoministeriö, Patentti- ja rekisterihallitus, liikenne- ja viestintäministeriö sekä Liikenne- ja viestintävirasto nostivat lausuntopalautteessaan esiin esityksessä ehdotetuista tehtävistä virastoille aiheutuvat jatkuvat kustannukset. Patentti- ja rekisterihallitus katsoi, että oikeushenkilön tunnistetietojen myöntämisestä ja ylläpitämisestä aiheutuvat kustannukset tulisi kattaa täysimääräisesti kyseisistä suoritteista perittävillä maksuilla. Lisäksi Liikenne- ja viestintävirasto nosti lausuntopalautteessaan esiin tarpeen tehdä muutoksia Liikenne- ja viestintäviraston perimiin maksuihin. Lisäksi Liikenne- ja viestintävirasto ehdotti, että esitykseen lisättäisiin Liikenne- ja viestintäviraston tehtävien priorisointisäännös, jonka nojalla virasto voisi asettaa ohjaus- ja valvontatehtävänsä tärkeysjärjestykseen ja kulloinkin käytettävissä olevien resurssien puitteissa. Esityksen jatkovalmistelussa on Liikenne- ja viestintäviraston lausuntopalautteessa ehdotetun mukaisesti lisätty eurooppalaisen digitaalisen identiteetin lompakon tarjoajalle maksettavaksi valvontamaksu. Lisäksi jo olemassa olevia valvontamaksuja on esitetty korotettavaksi ja osa nykyisin lain tasolla olevista maksuista siirrettäisiin jatkossa asetuksen tasolla säädettäviksi. Liikenne- ja viestintävirastolle on lisäksi lisätty 1. lakiehdotukseen tehtävien priorisoinnin mahdollistavat säännökset.  

Liikenne ja viestintävirasto esitti lausuntopalautteessaan lisäksi muuta tarkentavaa sääntelyä virastoa koskeviin tehtäviin, toimivaltuuksiin ja määräyksenantovaltuuksiin. Viraston esittämät näkemykset on pääasiassa huomioitu ehdotuksen jatkovalmistelussa. Erityisesti on tarkennettu Liikenne- ja viestintäviraston tehtävää eurooppalaisen digitaalisen identiteetin lompakon luottavien osapuolten kansallisen rekisterin perustamiseen ja rekisterinpitoon liittyen. Lisäksi Liikenne- ja viestintävirasto ehdotti, että eurooppalaisen digitaalisen identiteetin lompakon tarjoajan on lompakon sertifioinnin jälkeen haettava tarjoamalleen lompakolle Liikenne- ja viestintäviraston hyväksyntä tai tunnustus, jotta lompakko tunnustetaan Suomessa ja se voidaan ilmoittaa EU:n komissiolle. Jatkovalmistelussa on arvioitu, että lompakon tarjoajalle voidaan asettaa kansallisia velvollisuuksia vain hyvin rajallisesti, jos ollenkaan. Liikenne- ja viestintäviraston lausuntopalaute on kuitenkin huomioitu niin, että lompakon tarjoajan on ilmoitettava Liikenne- ja viestintävirastolle tiedot, jotka ovat tarpeen lompakon ilmoittamiseksi Euroopan komissiolle. Tässä yhteydessä Liikenne- ja viestintävirasto voi valvovana viranomaisena varmistaa, että lompakko täyttää muutetun eIDAS-asetuksen vaatimukset. Mikäli Liikenne- ja viestintävirasto arvioi vaatimusten täyttyvän, se ilmoittaa lompakon Euroopan komissiolle ja lompakko katsotaan siten Suomessa tunnustetuksi.  

Monet muut organisaatiot, kuten sosiaali- ja terveysministeriö, Verohallinto ja Kesko Oyj, toivat lausuntopalautteessaan esiin, että lompakon käyttöönotto ja erityisesti käyntiasiointi aiheuttavat asiointipalveluille kustannuksia ja järjestelmämuutoksia sekä tarvetta henkilöstön kouluttamiselle. Jatkovalmistelussa esityksen vaikutusten arviointia on täydennetty lausuntopalautteessa esitettyjen vaikutusten huomioimiseksi. Esityksessä on kuitenkin myös tarkennettu sitä, että lompakolla tapahtuvan käyntiasioinnin mahdollistamiseksi ei ole muutetussa eIDAS-asetuksessa velvollisuutta, vaan se on palveluntarjoajien omassa harkinnassa. Muutettu eIDAS-asetus velvoittaa hyväksymään lompakon vain sähköisessä asioinnissa. 

Lausuntopalautteessa esitettiin useita ehdotettua sääntelyä koskevia teknisempiä huomioita. Maanmittauslaitos kiinnitti lausuntopalautteessaan huomiota vastuusääntelyyn lompakolla tapahtuvassa sähköisessä tunnistautumisessa ja allekirjoituksessa. Liikenne- ja viestintävirasto kiinnitti huomiota esityksessä ja ehdotetussa lainsäädännössä käytettyyn terminologiaan muutetun eIDAS-asetuksen ja eurooppalaisen digitaalisen identiteetin lompakon osalta. Lisäksi Eduskunnan oikeusasiamies toivoi lausuntopalautteessaan, että Digi- ja väestötietoviraston roolia ja vastuita kansallisen solmupisteen ylläpitäjänä selvennettäisiin. Jatkovalmistelussa ei kuitenkaan ole nähty mahdolliseksi tehdä ehdotettuja täsmennyksiä, sillä lainsäädäntöön ei ehdoteta mitään muutoksia suhteessa nykyisin tunnistuslaissa säädettyyn. Ulosottolaitos nosti lausunnossaan esiin teknisen alustan viittaavan yleensä virtuaaliseen ohjelmisto- tai järjestelmäympäristöön, joka ei ole sidottu fyysiseen laitteeseen ja piti matkapuhelinta ennemmin laitteistoalustana. Esityksen määritelmiä on tarkennettu lausuntopalautteen perusteella. 

Eduskunnan oikeusasiamies ja oikeusministeriö kiinnittivät lausuntopalautteessaan huomiota vaatimustenmukaisuuden arviointilaitoksia koskevaan sääntelyyn ja toivoivat selvennyksiä esimerkiksi julkisen hallintotehtävän subdelegointiin liittyen. Jatkovalmistelussa esityksen 1. lakiehdotuksen vaatimustenmukaisuuden arviointia ja vaatimustenmukaisuuden arviointilaitoksia koskevaa sääntelyä on selkiytetty lausuntopalautteessa edellytetyllä tavalla. Lisäksi vaatimustenmukaisuuden arviointia koskevaan sääntelyyn on tehty lausuntokierroksen jälkeen vahvistuneen komission täytäntöönpanoasetusten sääntelyn edellyttämiä muutoksia.  

Lausuntopalautteessa toivottiin kiinnitettävän huomiota vaikutusten arviointeihin. Esimerkiksi Tietosuojavaltuutettu ja Oikeusrekisterikeskus toivoivat vaikutusten arviointia oman virastonsa näkökulmasta, KEHA-keskus toivoi rajat ylittävään asiointiin liittyvien vaikutusten tarkentamista ja Suomen Yrittäjät ry puolestaan yrityksiin liittyvien vaikutusten tarkentamista. Esityksen vaikutusten arviointia on jatkovalmistelussa täydennetty lausuntopalautteen mukaisesti.  

6.2  Lausuntopalaute digitaalisesta henkilöllisyystodistuksesta

Lausuntopalautteessa kiinnitettiin huomiota lakiluonnoksen terminologian selkeyteen ja johdonmukaisuuteen. Useat lausunnonantajat kuten Findynet Osuuskunta ja TietoEVRY Oyj katsoivat, että digitaalista henkilöllisyystodistusta koskevaa terminologiaa tulisi yksinkertaistaa. Ongelmana pidettiin erityisesti sitä, että digitaalinen henkilöllisyystodistus määriteltiin luonnoksessa oikeudeksi saada attribuuttitodistus, mikä olisi omiaan aiheuttamaan sekaannusta sekä kansalaisille että palveluntarjoajille. Ilmaisua ”digitaalisena henkilöllisyystodistuksena käytettävä hyväksytty sähköinen attribuuttitodistus” pidettiin vaikeasti ymmärrettävänä ja arjelle vieraana. 

TietoEVRY Oyj ehdotti, että laissa säädettäisiin erikseen oikeudesta digitaaliseen henkilöllisyyteen, jonka myöntää poliisi, sekä digitaalisesta henkilöllisyystodistuksesta, jonka myöntää Digi- ja väestötietovirasto. Findynet Osuuskunta esitti vastaavaa ratkaisua, jossa digitaalinen henkilöllisyys ja digitaalinen henkilöllisyystodistus erotetaan selkeästi toisistaan. Sisäministeriö piti tärkeänä viranomaistehtävien täsmentämistä prosessin sujuvoittamiseksi ja ehdotti mallia, jossa poliisin päätös passin tai henkilökortin myöntämisestä olisi samalla myönteinen päätös digitaalisen henkilöllisyystodistuksen osalta. Poliisihallitus toi lausunnossaan esiin sääntelyn byrokratiaa lisäävän vaikutuksen ja ehdotti mallia, jossa digitaalinen henkilöllisyystodistus sidottaisiin suoraan fyysiseen asiakirjaan ja sen voimassaoloon, jolloin erillistä myöntöpäätöstä ei tarvittaisi. Malli nähtiin kustannustehokkaana ja nykyisiä tietojärjestelmiä vastaavana. Lisäksi esitettiin ratkaisua, jossa käyttäjä hakisi sähköistä attribuuttitodistusta suoraan Digi- ja väestötietovirastolta, joka tunnistaisi hakijan ja varmistaisi edellytykset, minkä jälkeen poliisi tarkistaisi asiakirjan voimassaolon ja toimittaisi vahvistetut tiedot virastolle. Digi- ja väestötietovirasto vastaisi todistuksen tekemisestä ja sen elinkaaresta. Mallin katsottiin selkeyttävän viranomaisvastuita ja parantavan kansalaisnäkökulmaa. Jatkovalmistelussa päädyttiin esittämään lausunnoissa esitetyn suuntaista ratkaisua, jossa toimivaltainen lupaviranomainen laissa tarkoitetun passin ja henkilökortin myöntäessään myöntää samalla oikeuden digitaaliseen henkilöllisyystodistukseen, minkä perusteella Digi- ja väestötietovirasto on toimivaltainen tarjoamaan tätä vastaavaa hyväksyttyä sähköistä attribuuttitodistusta.  

Työ- ja elinkeinoministeriö kiinnitti huomiota säädösluonnoksen tiettyihin epäjohdonmukaisuuksiin ulkomaalaisia koskevissa määrittelyissä. Jatkovalmistelussa on yhdenmukaistettu määrittelyjä sekä säädösehdotuksen sisällä että suhteessa voimassa olevaan passi- ja henkilökorttilainsäädäntöön. Poliisihallitus painotti tarvetta varmistaa passin tai henkilökortin voimassaolo poliisin rekisteristä käyttöönoton yhteydessä, jotta mitätöityjen tai kadonneiden asiakirjojen käyttö kyetään estämään. Jatkovalmistelussa säännösluonnoksia tarkasteltiin tästä näkökulmasta ja niihin tehtiin merkittäviä muutoksia, jotka huomioivat edellä mainitun tarpeen varmistua asiakirjan voimassaolosta.  

Digitaalisen henkilöllisyystodistuksen helppokäyttöisyyttä korostettiin erityisten toimijaryhmien kuten yksinyrittäjien kannalta. Useat lausunnonantajat toivoivat selkeyttä digitaalisen henkilöllisyystodistuksen hyödyntämiseen ensitunnistuksen yhteydessä jatkossa. 

Lausuntopalautteessa korostettiin digitaalisen henkilöllisyystodistuksen ja lompakon toimivuuden sekä yhteensopivuuden merkitystä teknisestä ja käyttäjälähtöisestä näkökulmasta. Useat lausunnonantajat painottivat, että digitaalisen henkilöllisyystodistuksen ja lompakon yhteentoimivuus on varmistettava, ja että ratkaisut tulee toteuttaa eurooppalaisen yhteentoimivuusviitekehyksen mukaisesti. Digi- ja väestötietovirasto toi esiin tarpeen säilyttää henkilöllisyystodistuksen tietosisällön yhdenmukaisuus käytetystä välineestä riippumatta. 

Joissakin lausunnoissa nostettiin esiin fyysisen asioinnin menettelyjen selkeyttäminen, erityisesti kasvokuvan silmämääräisen vertailun osalta sekä tietosuojan näkökulmasta tärkeä näkökulma tietojen minimoimisesta ja tilanteeseen sidotusta suostumuksesta. Kuluttajansuojan osalta painotettiin myös reaaliaikaisen sulkulistan, korkeiden käytettävyysvaatimusten ja toimivan estokanavan tärkeyttä. 

Lausuntopalautteessa katsottiin tarpeelliseksi säätää, että kasvokuvan käyttö rajoittuisi manuaaliseen, aistinvaraiseen vertailuun, ja että automaattiset menetelmät eivät olisi sallittuja ilman erillistä sääntelyä. Mahdollisen myöhemmän sääntelyn tulisi perustua vaikutusten arviointiin ja siihen tulisi sisältyä selkeä, täsmällinen oikeusperuste ja auditointivelvoite. 

Keskuskauppakamari korosti, ettei uuden lompakkojärjestelmän käyttöönotto saisi kohtuuttomasti vaikeuttaa toimintaa toimijoilla, joilla ei ole valmiuksia käyttää digitaalista lompakkoa, ja esitti vaihtoehtoisten toimintatapojen, kuten avustettujen palveluiden, turvaamista. Teknologiateollisuus ry piti tärkeänä, että ikärajatarkistuksissa ei edellytetä yksilöivien tietojen luovuttamista, ja nosti esiin nollatietotodistuksen (zero knowledge proof). Sisäministeriö ehdotti lakiluonnoksessa ikätodisteen käsitteen selkeyttämistä ja sääntelyratkaisua, joka mahdollistaa täysi-ikäisyyden todentamisen, mutta ei sulkisi pois muita ikäryhmiä koskevia todisteita. Jatkovalmistelussa säännösluonnoksia kehitettiin tähän suuntaan.  

Lausuntopalautteessa korostettiin digitaalista henkilöllisyystodistusta koskevan sääntelyn rakenteen, johdonmukaisuuden ja selkeyden merkitystä. Liikenne- ja viestintävirasto katsoi, että lain tarkoitus ja määritelmät tulisi kirjata selkeästi, jotta ilmenisi, mitä digitaalisen henkilöllisyystodistuksen avulla on tarkoitus saavuttaa ja missä sitä käytetään. Erityisesti lakiluonnoksen määritelmäpykälän säännöksiä ja niiden yksityiskohtaisia perusteluita on jatkovalmistelussa muokattu lausunnossa esitettyyn suuntaan.  

Digi- ja väestötietovirasto toi esiin, että lakiluonnoksessa oli määritelty kaksi ilmentymää – digitaalinen henkilöllisyystodistus ja hyväksytty sähköinen attribuuttitodistus – hieman eri tavoin, vaikka kyseessä itse asiassa on saman tietosisällön eri muoto. Kun attribuuttitodistuksen sisältöä ei ollut määritelty yhtä tarkasti kuin digitaalisen henkilöllisyystodistuksen sisältö, voi tämä johtaa epäselvyyteen palvelutuotannossa ja tietojenkäsittelyssä. Lisäksi eräät prosessit, kuten raukeamista koskevat säännökset oli luonnoksessa määritelty erikseen kummallekin ilmentymälle, minkä katsottiin voivan johtaa monitulkintaisuuteen. Jatkovalmistelussa on yhtäältä pyritty lähentämään mainittuja ilmentymiä tietosisällöltään ja toisaalta selkeämmin erottamaan niitä toisistaan niiltä osin kuin sääntely liittyy eri viranomaisten tehtäviin ja toimivaltaan.  

Poliisihallitus ja sisäministeriö nostivat esiin tarpeen säätää siitä, voiko henkilöllä olla useampi digitaalinen henkilöllisyystodistus samanaikaisesti. Poliisihallitus piti määrän rajaamista välttämättömänä väärinkäytön estämiseksi ja ehdotti, että henkilöllä olisi käytössään vain yksi todiste kerrallaan. Sisäministeriö puolestaan esitti enimmäismääräksi kolmea eri päätelaitteilla, mikä sallisi käytön esimerkiksi henkilökohtaisessa ja työpuhelimessa sekä yhdessä muussa laitteessa. Jatkovalmistelussa on päädytty esittämään enimmäismääräksi kahta.  

Tulli piti perusteltuna, että digitaalisen henkilöllisyystodistuksen edellytyksenä on voimassa oleva passi tai henkilökortti, mutta toi esiin puutteena sen, ettei digitaalista henkilöllisyystodistusta voi käyttää matkustusasiakirjana. Liikenne- ja viestintävirasto nosti esiin sääntelyrakenteen epäselvyyden, jos digitaalisesta henkilöllisyystodistuksesta säädettäisiin oma lakinsa. Viraston mukaan tämä voisi johtaa hajanaisiin ratkaisuihin ja kuormittaa lainvalmistelua, koska jatkossa lompakkoon vietäviä viranomaistodisteita olisi lukuisia. Virasto ehdotti yleislain säätämistä sähköiseen lupalompakkoon vietävistä todistuksista. 

Lausuntopalautteessa kiinnitettiin huomiota digitaalisen henkilöllisyystodistuksen hakemiseen ja myöntämiseen liittyviin kysymyksiin. Liikenne- ja viestintävirasto totesi, että esitysluonnoksen 7 §:ssä säädetään Digi- ja väestötietoviraston vastuusta myöntää hyväksytty sähköinen attribuuttitodistus, mutta ei huomioida, että viraston tulisi hakea hyväksyntä valvovalta viranomaiselta ja täyttää luottamuspalvelun vaatimukset koko elinkaaren ajan. Myös sisäministeriö katsoi, että säännöksiä tulisi tarkentaa niin, että todistuksen myöntää hyväksytty luottamuspalvelun tarjoaja ja että se on myönnettävä hyväksyttynä sähköisenä attribuuttitodistuksena. 

Sisäministeriö ehdotti lausunnossaan muutoksia 3 §:n edellytyksiin saada digitaalinen henkilöllisyystodistus ja katsoi välttämättömäksi poistaa viittaus henkilökorttilain 14 §:ään (ulkomaalaisen henkilökortti), mikäli ratkaisulle ei ole estettä kansallisessa tai EU-sääntelyssä, sekä tarkastella kriittisesti passilain 3 c §:n (tilapäinen passi) soveltuvuutta. Jatkovalmistelussa voitiin kuitenkin todeta voimassa olevan henkilökorttilain sääntelyn, ehdotettavan lain säännösten ja muutetun eIDAS-asetuksen yhdessä takaavan riittävästi turvallisuustekijöitä, ettei aiemmin välttämättömäksi katsottua poistoa ollut tarve tehdä. Tilapäisen passin osalta jatkovalmistelussa painottui erityisryhmien kuten vammaisten ja ikääntyneiden henkilöiden yhdenvertaisuus ja oikeuksien toteutuminen, joten muutokseen ei niiltä osin katsottu olevan tarvetta.  

Sisäministeriö korosti etälukemisen merkitystä hakemuksen vireillepanossa asiakirjaturvallisuuden varmistamiseksi ja ehdotti mahdollisuutta yhdistää lompakon käyttöönotto ja digitaalisen henkilöllisyystodistuksen hakeminen yhteen etälukemiseen. Digi- ja väestötietovirasto puolestaan katsoi, että sääntely olisi selkeämpää, jos attribuuttitodistuksen myöntämisestä säädettäisiin vain yhdessä pykälässä. Lausuntopalautteessa korostettiin yleisestikin tarvetta selkeyttää viranomaisrooleja ja vastuita. Digi- ja väestötietovirasto huomautti, että esityksessä viitataan poliisiin ja Poliisihallitukseen digitaalisen henkilöllisyystodistuksen tarjoajina, mutta esimerkiksi 6 §:ssä käytetään passiivimuotoa ”digitaalinen henkilöllisyystodistus myönnetään” ilman selkeää vastuutahon nimeämistä. Virasto katsoi, että myöntämisvastuu tulee ilmaista johdonmukaisesti kaikissa pykälissä. 

Liikenne- ja viestintävirasto toi esiin useita tarkennustarpeita. Lausunnossa esitettiin muun muassa määritelmien yhdenmukaistamista 1. lakiehdotuksen kanssa sekä eIDAS-asetuksen mukaisen termin ”eurooppalainen digitaalisen identiteetin lompakko” käytön tarkentamista. Virasto ehdotti myös perustelujen selkeyttämistä teknisen osan osalta ja vastuunjaon tarkentamista 7 §:ssä tietojen siirron ja viranomaisroolien osalta. Lisäksi korostettiin, että eIDAS-asetus ja sen täytäntöönpanosäädökset luovat edellytykset henkilöllisyyden varmentamiselle ennen attribuuttitodistuksen myöntämistä, eikä kansallinen sääntely saa olla ristiriidassa asetuksen kanssa tai aiheuttaa päällekkäisyyttä. 8 §:n osalta virasto piti epäselvänä, vaaditaanko hakijalta erillinen hakemus tai muita toimenpiteitä attribuuttitodistuksen saamiseksi Digi- ja väestötietovirastolta. 

Lausuntopalautteessa korostettiin tarvetta selkeyttää digitaalisen henkilöllisyystodistuksen ja sähköisen attribuuttitodistuksen peruuttamista ja raukeamista koskevaa sääntelyä sekä varmistaa sen yhdenmukaisuus ja hallinnollinen keveys. Digi- ja väestötietovirasto ehdotti, että 10 §:n mukaiset peruuttamisperusteet (esim. väärinkäyttö, turvallisuuden vaarantuminen, käyttäjän pyyntö) ulotettaisiin Digi- ja väestötietoviraston toimivaltaan attribuuttitodistusten osalta. Virasto toi esiin myös tarpeen sähköisen attribuuttitodistuksen raukeamissääntelystä ja molempien ilmentymien elinkaaresta mahdollisimman yhdenmukaisesti säätämisestä.  

Findynet Osuuskunta ja TietoEVRY Oyj katsoivat 12 §:n raukeamissääntelyn kaipaavan tarkennusta. Molemmat ehdottivat, että pykälässä todetaan selkeästi viranomaisen velvollisuus merkitä todistus rauenneeksi ehtojen täyttyessä ja lisätään voimassaoloajan päättyminen nimenomaiseksi raukeamissyyksi. TietoEVRY Oyj esitti lisäksi, että sääntelyssä erotetaan raukeaminen, peruuttaminen ja keskeytys, määritellään voimaantulon ajankohta ja varmistetaan todisteellinen tiedoksianto haltijalle sekä reaaliaikainen tiedonvälitys luottaville osapuolille. 

Liikenne- ja viestintävirasto piti epäselvänä, miten sähköisen attribuuttitodistuksen peruuttaminen vaikuttaisi digitaalisen henkilöllisyystodistuksen voimassaoloon ja päinvastoin. Liikenne ja viestintävirasto ehdotti, että 13 §:ssä säädetään attribuuttitodistuksen raukeamisesta myös silloin, kun digitaalinen henkilöllisyystodistus peruutetaan. Nordea Bank Oyj toi esiin käytännön näkökulman, jonka mukaan digitaalisen henkilöllisyystodistuksen voimassaolon ei tulisi olla täysin sidottu passin tai henkilökortin voimassaoloon, vaan sen tulisi jatkua määräajan asiakirjan vanhentumisen jälkeen. Jatkovalmistelussa tällaisen ratkaisun ehdottamiseen onkin päädytty.  

Poliisihallitus katsoi, että digitaalisen henkilöllisyystodistuksen käyttöä henkilöllisyyden osoittamisen välineenä tulisi vahvistaa myös muussa lainsäädännössä ja ehdotti, että tunnistuslakiin lisätään maininta digitaalisen henkilöllisyystodistuksen soveltuvuudesta ensitunnistamisen välineeksi. Lisäksi valtioneuvoston passeja ja henkilökortteja koskevan asetuksen 1 §:ään tulisi lisätä säännös, jonka mukaan digitaalista henkilöllisyystodistusta voidaan käyttää tunnistamisasiakirjana passia tai henkilökorttia haettaessa. Poliisihallitus korosti, että mikäli muualla lainsäädännössä rajataan henkilöllisyyden osoittaminen tiettyihin asiakirjoihin, sääntelyä tulisi muuttaa siten, että digitaalinen henkilöllisyystodistus hyväksytään rinnakkaiseksi vaihtoehdoksi. 

Poliisihallitus toi esiin myös tarpeen tarkastella viittaussäännöksiä tunnistuslakiin ja eIDAS-lakiin. Lausunnossa todettiin, että osan nykyisestä sääntelystä siirtyessä toiseen lakiin voi syntyä epäselvyyksiä. Esimerkiksi passilain 6 §:n 4 momentissa viitataan tunnistusvälineeseen, joka on määritelty tunnistuslaissa. Koska lompakkoa koskeva sääntely perustuu muutettuun eIDAS-asetukseen, se ei täytä passilain edellytystä. Vaikka eIDAS-asetus on suoraan sovellettavaa EU-sääntelyä, Poliisihallitus piti tärkeänä, että viittaussäännöksiä tarkennetaan myös kansallisessa lainsäädännössä. Lisäksi hallituksen esityksen liitelakien viittaussäännökset tulisi päivittää tunnistuslain nimen muuttuessa. Poliisihallitus nosti esiin myös VTJ-lain, jossa viitataan tunnistuslakiin organisaatio- ja kansalaisvarmenteiden osalta. Lisäksi todettiin, että jatkovalmistelussa tulee varmistaa, että laki henkilötietojen käsittelystä poliisitoimessa on sopusoinnussa nyt esitettyjen lakimuutosten kanssa, erityisesti poliisin tiedonsaanti- ja tietojenluovutussäännösten osalta.  

Poliisihallitus kiinnitti huomiota siihen, että esitysluonnoksessa ei oteta kantaa siihen, millä maantieteellisellä alueella viranomaiset voivat käsitellä digitaalisen henkilöllisyystodistuksen tietoja. Esityksen perusteella tietojen käsittely olisi mahdollista EU- ja ETA-alueella tietojen vapaan liikkuvuuden periaatteen mukaisesti. Poliisihallitus katsoi, että tämä ei ole johdonmukaista suhteessa passilain ja henkilökorttilain sääntelyyn, joissa edellytetään, että asiakirjojen yksilöinti ja laaduntarkastus tapahtuvat Suomen rajojen sisäpuolella. Kyseinen säännös on lisätty passilakiin perustuslakivaliokunnan aloitteesta, ja sen tavoitteena on sisäisen turvallisuuden kannalta merkittävien tietojen, kuten valokuvien ja sormenjälkien, suojaaminen. Poliisihallitus totesi, että digitaalinen henkilöllisyystodistus on passin tai henkilökortin digitaalinen ilmentymä, ja sen tietosisältö vastaa pitkälti fyysistä asiakirjaa. Mikäli digitaalisen henkilöllisyystodistuksen tietojen käsittely sallittaisiin laajemmin maantieteellisesti, tehtäisiin passilain ja henkilökorttilain tietoturvasääntely tyhjäksi. Sisäministeriö korosti omassa lausunnossaan, että kyseessä oleva tietomassa on kansallisesti kriittinen ja sen käsittelyyn liittyy erityisiä turvallisuusvaatimuksia. Jatkovalmistelussa on päädytty ehdottamaan ratkaisua, jossa sääntely noudattaisi passilain ja henkilökorttilain sääntelyä ja tietoja voisi käsitellä ainoastaan Suomessa.  

Digi- ja väestötietovirasto totesi, että esitysluonnos ei ota kantaa ulkoasiainhallinnon rooliin digitaalisen henkilöllisyystodistuksen myöntämisessä, vaikka Suomen edustustot ulkomailla myöntävät passeja ja henkilökortteja. Virasto katsoi, että sääntelyä olisi syytä täsmentää siltä osin, miten ulkomailla asuvat Suomen kansalaiset voivat hakea passia, henkilökorttia ja digitaalista henkilöllisyystodistusta sekä miten hakemiseen ja käyttöönottoon liittyvä ohjaus ja tuki järjestettäisiin. Suomi-Seura ry korosti, että mahdollisuus hankkia eurooppalainen digitaalinen henkilöllisyystodistus myös ulkomailla on ulkosuomalaisille tärkeää. 

6.3  Lausuntopalaute kansallisen vahvan sähköisen tunnistamisen turvallisuutta parantavista muutoksista

Lausunnoissa pääasiassa kannatettiin kansallisia vahvan sähköisen tunnistamisen turvallisuutta edistäviä muutoksia, ja useat lausunnonantajat pitivät tärkeänä, että turvallisuutta pyritään parantamaan.  

Lausuntopalautteen perusteella esityksestä on poistettu ehdotus, jolla käyttäjälle olisi annettu mahdollisuus kieltää tunnistusvälineen käyttö ensitunnistamisen ketjuttamiseen. Lausunnoissa ehdotusta pidettiin tehottomana ongelman ratkaisuun ja siitä saatavia hyötyjä pidettiin vähäisinä, minkä lisäksi lausunnonantajat arvioivat, että muutoksesta voisi aiheutua merkittäviä kustannuksia palveluntarjoajille.  

Ehdotettuun velvollisuuteen tarkistaa passin tai henkilökortin voimassaolo poliisin järjestelmästä Elinkeinoelämän keskusliitto ehdotti varajärjestelyä, jotta palveluntarjoaja voisi tarkistaa asiakirjan esimerkiksi järjestelmähäiriöidenkin aikana. Ehdotetun sääntelyn tarkoituksena on varmistaa ajantasainen tieto asiakirjan voimassaolosta. Sääntely ei velvoita rajapinnan käyttöön, vaan voimassaolo voidaan varmistaa myös muutoin sähköisesti. Lisäksi perusteluissa on huomioitu, että esimerkiksi tietoliikennehäiriön tai muun käyttökatkon vuoksi voimassaolotarkistuksen voisi tehdä myös jälkikäteen. Siten erillisen varajärjestelyn perustamisesta ei arvioida saatavan lisähyötyä. 

Lisäksi Liikenne- ja viestintävirasto toivoi täydentävää sääntelyä koskien tunnistusvälineen käyttöönottoa toisessa laitteessa, kun käyttäjällä on jo voimassa oleva tunnistusväline. Esityksessä ehdotetaan uutta sääntelyä koskien tunnistusvälineen uudelleenaktivointia. Lisäksi voimassa olevaan lakiin sisältyvät tunnistusvälineen myöntämistä, luovuttamista ja uusimista koskevat säännökset, joissa esitetyn tunnistusvälineen uudelleenaktivoinnin tavoin viitataan varmuustasoasetuksen vaatimuksiin. Varmuustasoasetus ei sisällä uutta käyttöönottoa toisessa laitteessa koskevia erityisiä vaatimuksia. Tältä osin esitykseen ei ole tehty muutoksia. 

6.4  Lainsäädännön arviointineuvoston lausunto

Lausunnossa katsottiin, että ehdotuksessa on tunnistettu ehdotetun lainsäädännön kannalta keskeiset kohderyhmät ja vaikutuksia on käsitelty monipuolisesti ja pääosin perusteellisesti. Lausunnossa nostettiin esiin, että ehdotetun lainsäädännön piirissä voi olla sellaisia ihmisryhmiä, jotka saattavat tarvita avustajaa digitaalisen identiteetin lompakon käyttöönotossa ja sen käytössä. Lausunnon mukaan ehdotuksessa olisi hyvä selkeyttää sitä, onko esimerkiksi edunvalvojan sallittua käyttää eurooppalaista digitaalisen identiteetin lompakkoa sellaisen henkilön puolesta, joka ei esimerkiksi vamman tai sairauden vuoksi kykene sitä itse käyttämään. Jatkovalmistelussa esityksen vaikutusten arviointia on täydennetty kuvauksella siitä, miten sähköinen tunnistaminen edunvalvontatilanteissa tapahtuisi.  

Arviointineuvoston lausunnossa katsottiin, että ehdotuksessa olisi hyvä tuoda esille sen mahdollisia myönteisiä vaikutuksia sellaisille henkilöille, joille digitaalisen identiteetin lompakko voi avata mahdollisuuden vahvaan sähköiseen tunnistautumiseen Suomessa ilman, että henkilöllä tarvitsee olla asiakkuutta suomalaisessa pankissa tai suomalaista matkapuhelinliittymää. Jatkovalmistelussa on arvioitu, että arviointineuvoston esiin nostamaa asiaa on jo arvioitu jonkin verran esityksen jaksossa 4.2.3.1. Vaikutusten arvioita on kuitenkin täydennetty lisäämällä esimerkkilistaus ihmisryhmistä, joille asiakkuudesta riippumattomalla tunnistamisella voi erityisesti olla myönteisiä vaikutuksia.  

Arviointineuvoston lausunnossa pidettiin lisäksi tarpeellisena tarkentaa sitä, mitä hyötyjä ehdotetusta sääntelystä olisi esimerkiksi sellaisille yrityksille, jotka eivät tällä hetkellä pysty tarjoamaan lompakkoa, mutta harkitsevat lompakkosovellusten tarjoamista kuluttajille pidemmällä aikavälillä. Jatkovalmistelussa esityksen vaikutusten arviointia liittyen yritysten väliseen kilpailuun ja markkinoiden toimivuuteen on täydennetty kuvauksella hyödyistä arviointineuvoston esiin nostamille toimijoille.  

Arviointineuvoston lausunnossa ehdotettiin, että toteuttamisvaihtoehtoja peilattaisiin esityksessä selostettuihin muiden maiden suunnittelemiin tai toteuttamiin eIDAS-asetukseen liittyviin täytäntöönpanotoimiin, jos se on mahdollista. Lisäksi lausunnossa todettiin, että muiden maiden täytäntöönpanotoimien kuvauksessa olisi hyvä tuoda esille se, millaisia hyötyjä tai haittoja kuvatuilla toimilla tai muilla vastaavilla järjestelmillä on saavutettu, jos näistä on saatavilla tutkimustietoa. Jatkovalmistelussa ei kuitenkaan ole ollut mahdollista tehdä ehdotettuja täydennyksiä muiden jäsenvaltioiden täytäntöönpanoon liittyvistä toimenpiteistä, sillä niistä on olemassa hyvin rajallisesti tietoa. Jäsenvaltiot tekevät toimenpiteitä muutetun eIDAS-asetuksen velvoitteiden toteuttamiseksi samanaikaisesti kunkin jäsenvaltion omien hallinnollisten prosessien mukaisesti ja kaikkien jäsenvaltioiden osalta kyse on teknisesti uudenlaisesta kehitystyöstä. Tästä syystä ajantasaista ja tutkittua tietoa täytäntöönpanon etenemisestä on vaikeasti saatavilla. 

7.1  Laki eräistä rajat ylittävän sähköisen asioinnin mahdollistavista palveluista

1 luku Yleiset säännökset 

1 §.Soveltamisala. Pykälässä säädettäisiin eräistä rajat ylittävän sähköisen asioinnin mahdollistavista palveluista annetun lain eli eIDAS-lain soveltamisalasta. Pykälän 1 momentin mukaan laissa säädettäisiin sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014, sellaisena kuin se on viimeksi muutettuna asetuksella (EU) 2024/1183, säännösten noudattamisen valvonnasta ja annettaisiin mainittua asetusta täydentäviä säännöksiä.  

eIDAS-asetuksen muuttamisessa ei ollut kyse kokonaisuudistuksesta siten, että alkuperäinen eIDAS-asetus olisi kumottu ja annettu sen tilalle uusi asetus. Sen sijaan annettiin muutosasetus (EU) 2024/1183, jolla osaa eIDAS-asetuksen olemassa olevista artikloista muutettiin ja lisättiin uusia artikloja. Siten osa eIDAS-asetuksen alkuperäisistä artikloista on edelleen muuttumattomina voimassa ja niitä koskeva täydentävä kansallinen sääntely olisi edelleen tarpeen. eIDAS-asetusta täydentävä kansallinen sääntely on kuitenkin aiemmin sisältynyt tunnistuslakiin. Tämä sääntely ehdotetaan siirrettäväksi tunnistuslaista tähän lakiin, jotta jatkossa kaikki eIDAS-asetusta koskeva kansallinen täydentävä sääntely löytyisi yhdestä ja samasta laista. Tässä laissa siis säädettäisiin sekä sellaisista asioista, joista on ollut ja on edelleen tarpeen antaa kansallista sääntelyä alkuperäisen eIDAS-asetuksen soveltamiseksi, että sellaisista asioista, joista on tarpeen antaa kansallista sääntelyä muutetun eIDAS-asetuksen soveltamiseksi. 

Pykälän 2 momentissa säädettäisiin, että lakia sovelletaan vain Suomessa tarjottuihin eurooppalaisiin digitaalisen identiteetin lompakoihin. Suomessa tarjotulla eurooppalaisella digitaalisen identiteetin lompakolla tarkoitettaisiin lompakkoa, joka on tarjottu Suomessa eIDAS-asetuksen 5 a artiklan 2 kohdan mukaisesti. Kyseisen artiklan kohdan mukaan lompakoita voidaan tarjota suoraan jäsenvaltion toimesta, jäsenvaltion toimeksiannosta tai jäsenvaltiosta riippumatta, mutta niin että jäsenvaltio tunnustaa sen. Käytännössä siis eurooppalainen digitaalisen identiteetin lompakko voisi olla julkisen sektorin tarjoama, mutta myös yksityisen sektorin tarjoama niin, että se on tunnustettu Suomessa. Ehdotetun lain 33 §:ssä säädettäisiin Liikenne- ja viestintäviraston tehtäväksi ilmoittaa Suomessa tarjotut eurooppalaiset digitaalisen identiteetin lompakot. Lompakko katsottaisiin tunnustetuksi ja tarjotuksi Suomessa, kun Liikenne- ja viestintävirasto on tehnyt kyseisen ilmoituksen Euroopan komissiolle. Säännöksen mukaan lakia ei siten sovellettaisi sellaisiin eurooppalaisiin digitaalisen identiteetin lompakoihin, joita tarjoaa jokin toinen jäsenvaltio. Esimerkiksi lompakon käyttöönoton ikärajaa tai lompakolla tapahtuvan sähköisen allekirjoituksen maksullisuutta koskevia säännöksiä ei sovellettaisi toisen jäsenvaltion tarjoamaan lompakkoon. Säännöksellä ei kuitenkaan rajata muiden jäsenvaltioiden tarjoamien lompakoiden käyttömahdollisuuksia Suomessa.  

Pykälän 3 momentissa säädettäisiin, että Euroopan komissiolle ilmoitettaviin rajat ylittäviin tunnistamisen järjestelmiin sovelletaan tunnistuslakia, jollei tästä laista tai eIDAS-asetuksesta muuta johdu. eIDAS-asetuksessa säädetään jatkossakin sähköisen tunnistamisen järjestelmän kolmesta varmuustasosta (matala, korotettu ja korkea) ja sähköisen tunnistamisen varmuustasoasetuksessa on yksilöity vaatimukset sähköisen tunnistamisen järjestelmille eri varmuustasoilla. Sähköisen tunnistamisen järjestelmien on täytettävä jotakin varmuustasoa koskevat vaatimukset, jotta kyseiset tunnistamisen järjestelmät voidaan ilmoittaa Euroopan komissiolle rajat ylittävään käyttöön. Ilmoittamisesta säädetään eIDAS-asetuksen 9 artiklassa ja sen mukaan ilmoittavan jäsenvaltion on ilmoitettava esimerkiksi tiedot sovellettavasta valvontajärjestelmästä ja tiedot vastuuta koskevasta järjestelmästä. 

Kansallisen vahvan sähköisen tunnistamisen tunnistusvälineen vaatimukset on päätetty yhdenmukaistaa eIDAS-asetuksessa tarkoitetun korotetun varmuustason vaatimusten kanssa. Tällä tarkoitetaan sitä, että kansallisilta vahvan sähköisen tunnistamisen tunnistusvälineiltä edellytetään vähintään korotetun varmuustason vaatimusten täyttämistä. Suomessa tarjotaan kuitenkin myös korkean varmuustason vaatimukset täyttäviä tunnistusvälineitä. Vaatimusten yhdenmukaistamisen tavoitteena oli helpottaa Suomessa vahvan sähköisen tunnistamisen toimijoita hakemaan omalle tunnistusvälineelleen ns. rajat ylittävän tunnistusvälineen asemaa (HE 74/2016 vp. s.12). Näistä vaatimuksista säädetään tunnistuslaissa. Kyse ei kuitenkaan tältä osin ole eIDAS-asetusta täydentävästä sääntelystä, jonka pitäisi sisältyä ehdotettuun eIDAS-lakiin, vaan kyse on kansallisen vahvan sähköisen tunnistamisen sääntelystä. Kun vaatimukset on kuitenkin yhdenmukaistettu eIDAS-asetuksen mukaisen korotetun varmuustason vaatimusten kanssa ja siten tunnistuslain sääntely sisältää kaikki ne elementit, joita sähköiseltä tunnistamisen järjestelmältä edellytetään eIDAS-asetuksen mukaisessa ilmoittamisessa, tulee tunnistuspalvelun tarjoajan soveltaa tunnistuslain sääntelyä tunnistusvälineensä tarjoamisessa, jos hän haluaa ilmoittaa kyseisen tunnistusvälineen eIDAS-asetuksen mukaisesti.  

2 §.Määritelmät. Pykälässä säädettäisiin laissa käytetyistä keskeisistä määritelmistä. Määritelmät vastaisivat tietyiltä osin muutetun eIDAS-asetuksen määritelmiä. 

Pykälän 1 kohdassa määriteltäisiin eurooppalainen digitaalisen identiteetin lompakko. Sillä tarkoitettaisiin samaa kuin muutetun eIDAS-asetuksen 3 artiklan 42 alakohdassa määritellyllä eurooppalaisella digitaalisen identiteetin lompakolla. Kyseisen alakohdan mukaan lompakolla tarkoitetaan sähköisen tunnistamisen menetelmää, jonka avulla käyttäjä voi turvallisesti tallentaa, hallinnoida ja validoida henkilön tunnistetietoja ja sähköisiä attribuuttitodistuksia niiden tarjoamiseksi luottaville osapuolille ja muille eurooppalaisten digitaalisen identiteetin lompakkojen käyttäjille sekä allekirjoittaa hyväksyttyjen sähköisten allekirjoitusten tai leimata hyväksyttyjen sähköisten leimojen avulla.  

Pykälän 2 kohdassa määriteltäisiin henkilön tunnistetiedot. Niillä tarkoitettaisiin muutetun eIDAS-asetuksen 3 artiklan 3 alakohdan mukaisesti tietoja, jotka mahdollistavat luonnollisen henkilön, oikeushenkilön taikka toista luonnollista henkilöä tai oikeushenkilöä edustavan luonnollisen henkilön henkilöllisyyden toteamisen. Henkilön tunnistetiedot on sähköisten tunnistusjärjestelmien osalta määritelty komission täytäntöönpanoasetuksen (EU) 2015/1501 liitteessä ja eurooppalaisen digitaalisen identiteetin lompakon osalta komission täytäntöönpanoasetuksen (EU) 2024/2977 liitteessä. Henkilön tunnistetiedot jakautuvat pakollisiin ja vapaaehtoisiin tunnistetietoihin. Lompakossa luonnollisen henkilön pakollisia tunnistetietoja ovat henkilön nykyinen etunimi, nykyinen sukunimi, syntymäaika ja -paikka sekä kansallisuus.  

Pykälän 3 kohdassa määriteltäisiin luottava osapuoli. Sillä tarkoitettaisiin eIDAS-asetuksen 3 artiklan 6 alakohdan mukaisesti luonnollista henkilöä tai oikeushenkilöä, joka luottaa sähköiseen tunnistamiseen, eurooppalaisiin digitaalisen identiteetin lompakoihin tai muihin sähköisen tunnistamisen menetelmiin taikka luottamuspalveluun. Luottavia osapuolia ovat esimerkiksi julkisen tai yksityisen sektorin asiointipalvelut, joissa eurooppalaista digitaalisen identiteetin lompakkoa voisi hyödyntää palvelun asiakkaiden tunnistamiseen. 

Pykälän 4 kohdassa määriteltäisiin kansallinen solmupiste. Sillä tarkoitettaisiin komission täytäntöönpanoasetuksen (EU) 2015/1501 mukaisesti yhteyspistettä, joka on osa sähköisen tunnistamisen yhteentoimivuusarkkitehtuuria ja joka osallistuu henkilöiden todentamiseen rajojen yli ja joka pystyy tunnistamaan sekä käsittelemään tai siirtämään tietoja muihin solmupisteisiin tarjoamalla yhden jäsenvaltion kansalliselle sähköisen tunnistamisen infrastruktuurille rajapinnan muiden jäsenvaltioiden sähköisen tunnistamisen infrastruktuureihin. Kansallisella solmupisteellä tarkoitettaisiin käytännössä siis kansallista rajapintaa, jonka kautta eIDAS-asetuksessa säädettyjä tunnistustapahtumia Suomen ja muiden maiden välillä välitettäisiin. Kansallista solmupistettä ylläpitäisi ehdotetun 19 §:n mukaisesti Digi- ja väestötietovirasto. 

Vaatimustenmukaisuuden arviointilaitoksella tarkoitettaisiin 5 kohdan mukaisesti eIDAS-asetuksen 3 artiklan 18 alakohdassa tarkoitettua vaatimustenmukaisuuden arviointilaitosta ja 5 c artiklan nojalla annetuissa säännöksissä tarkoitettua sertifiointielintä. eIDAS-asetuksen 3 artiklan 18 alakohdan mukaan vaatimustenmukaisuuden arviointilaitoksella tarkoitetaan asetuksen (EY) N:o 765/2008 2 artiklan 13 kohdassa määriteltyä vaatimustenmukaisuuden arviointilaitosta, joka on akkreditoitu kyseisen asetuksen mukaisesti päteväksi arvioimaan hyväksyttyjen luottamuspalvelun tarjoajien ja niiden tarjoamien hyväksyttyjen luottamuspalvelujen vaatimustenmukaisuus tai päteväksi sertifioimaan eurooppalaiset digitaalisen identiteetin lompakot tai sähköisen tunnistamisen menetelmät. eIDAS-asetuksen 5 c artiklan 6 kohdan nojalla annetun täytäntöönpanoasetuksen eli lompakon sertifiointiasetuksen 2 artiklan 9 kohdan mukaan sertifiointielimellä tarkoitetaan ulkopuolista vaatimustenmukaisuuden arviointilaitosta, joka vastaa sertifiointijärjestelmän toiminnasta. Käytännössä vaatimustenmukaisuuden arviointilaitoksella tarkoitettaisiin Liikenne- ja viestintäviraston 26 §:n nojalla nimeämää ja komissiolle ilmoittamaa elintä, joka on akkreditoitu päteväksi arvioimaan hyväksytyn luottamuspalvelun tarjoajan ja sen tarjoaman luottamuspalvelun vaatimustenmukaisuus tai päteväksi sertifioimaan eurooppalaisia digitaalisen identiteetin lompakkoja tai sähköisen tunnistamisen menetelmiä. 

Teknisellä laitteella tarkoitettaisiin pykälän 6 kohdan mukaisesti eurooppalaisen digitaalisen identiteetin lompakon käyttäjän mobiililaitetta tai muuta vastaavaa laitetta, jossa lompakko on otettu käyttöön. Käytännössä kyse voisi olla esimerkiksi matkapuhelimesta tai tabletista.  

2 luku Eurooppalainen digitaalisen identiteetin lompakko ja sähköisen tunnistamisen menetelmät 

3 §. Luonnollisen henkilön tunnistetietojen myöntäminen. Pykälässä säädettäisiin luonnollisen henkilön tunnistetietojen myöntämisestä. Henkilön tunnistetiedot on määritelty lain 2 §:n 2 kohdassa. Henkilön tunnistetiedot on eurooppalaisen digitaalisen identiteetin lompakon osalta määritelty tarkemmin komission täytäntöönpanoasetuksen (EU) 2024/2977 liitteessä. Lompakossa luonnollisen henkilön pakollisia tunnistetietoja ovat henkilön nykyinen etunimi, nykyinen sukunimi, syntymäaika ja -paikka sekä kansallisuus. Sääntely olisi tarpeen muutetun eIDAS-asetuksen 5 a artiklassa ja sen nojalla annetussa komission täytäntöönpanoasetuksessa (EU) 2024/2977 asetettujen jäsenvaltioiden velvoitteiden toteuttamiseksi. Kyseisessä täytäntöönpanoasetuksessa määritellään henkilön tunnistetietojen tarjoaja ja määritelmän mukaan se on vastuussa henkilön tunnistetietojen myöntämisestä ja peruuttamisesta sekä sen varmistamisesta, että käyttäjälle kuuluvat henkilön tunnistetiedot on salausteknisesti sidottu lompakkoyksikköön.  

Pykälän 1 momentin mukaan luonnollisen henkilön tunnistetiedot eurooppalaisiin digitaalisen identiteetin lompakoihin myöntää Digi- ja väestötietovirasto. Käytännössä siis Digi- ja väestötietovirasto olisi luonnollisen henkilön tunnistetietojen osalta komission täytäntöönpanoasetuksessa (EU) 2024/2977 tarkoitettu henkilön tunnistetietojen tarjoaja. Henkilön tunnistetiedoissa on edellä kuvatulla tavalla käytännössä kyse henkilön henkilöllisyyteen liittyvistä perustiedoista. Suomessa väestötietojärjestelmää pidetään luonnollisen henkilön perustietojen rekisterinä ja on tarkoituksenmukaista, että Suomesta tarjottuihin eurooppalaisiin digitaalisen identiteetin lompakoihin myönnettävät luonnollisen henkilön tunnistetiedot pohjautuvat väestötietojärjestelmän tietoihin. Koska Digi- ja väestötietovirasto toimii väestötietojärjestelmän rekisterinpitäjänä, on perusteltua, että se toimisi myös luonnollisten henkilöiden osalta henkilön tunnistetietojen myöntäjänä. Käytännössä tämä tarkoittaa, että luonnollisen henkilön tunnistetietojen myöntämisen edellytyksenä on, että henkilö on rekisteröity väestötietojärjestelmään. Oikeushenkilön tunnistetietojen myöntämisestä säädettäisiin 5 §:ssä. 

Luonnollisen henkilön tunnistetietojen myöntäminen lompakkoon edellyttää, että käyttäjä on asentanut tekniseen laitteeseen, esimerkiksi puhelimeen, eurooppalaisen digitaalisen identiteetin lompakon sovelluksen ja sovellus aktivoituu niin, että siihen voidaan ladata henkilön tunnistetiedot ja muita tietoja. Käytännössä henkilön tunnistetietojen saaminen tapahtuu siten, että käyttäjä käynnistää sovelluksessa tunnistetietojen käyttöönoton. Digi- ja väestötietovirasto luonnollisen henkilön tunnistetietojen tarjoajana pyytää lompakon kautta käyttäjää tunnistautumaan korkean varmuustason edellytysten mukaisesti. Hyväksytysti tapahtuneen käyttäjän tunnistamisen jälkeen virasto myöntää tunnistetiedot. Henkilön tunnistetietojen myöntäminen voisi tapahtua myös virkailijan avustamana asiointipisteellä. Käyttäjän tulee tällöin osoittaa henkilöllisyytensä virkailijalle virallisella henkilöllisyyttä osoittavalla asiakirjalla, kuten passilla, henkilökortilla tai niihin rinnastettavalla asiakirjalla. Virkailijan tulee luotettavasti kytkeä käyttäjä, käyttäjän esittämä henkilöllisyyttä osoittava asiakirja ja käyttäjän eurooppalainen digitaalisen identiteetin lompakko toisiinsa. Käyttäjä saisi tiedon henkilön tunnistetietojen myöntämisestä eurooppalaiseen digitaalisen identiteetin lompakkoonsa.  

Pykälän 2 momentissa säädettäisiin eurooppalaisen digitaalisen identiteetin lompakon käyttäjän mahdollisuudesta hakea luonnollisen henkilön tunnistetietoja asioimalla Suomen edustustoissa tai Ahvenanmaan valtionvirastossa. Kyse olisi edellä kuvatusta tilanteesta, jossa henkilön tunnistetiedot myönnetään virkailijan avustamana asiointipisteellä. Suomen edustustolla tarkoitettaisiin konsulipalvelulain (498/1999) 9 §:n 1 momentissa lueteltuja suurlähetystöjä, lähetystöjä, pääkonsulaatteja, konsulaatteja, varakonsulaatteja ja konsulitoimipaikkoja. Digi- ja väestötietovirasto olisi näissäkin tilanteissa luonnollisen henkilön tunnistetietojen myöntäjä, mutta Suomen edustusto tai Ahvenanmaan valtionvirasto tunnistaisi henkilön ja ottaisi vastaan tunnistetietojen myöntämiseksi tarvittavat tiedot ja tallentaisi ne Digi- ja väestötietoviraston luonnollisen henkilön tunnistetietojen myöntämisessä käytettävään järjestelmään. Suomen edustusto tai Ahvenanmaan valtionvirasto vastaisivat tallentamiensa tietojen luotettavuudesta ja oikeellisuudesta. Kyse olisi varsin rajoitetusta ja luonteeltaan avustavasta tehtävästä luonnollisen henkilön tunnistetietojen myöntämisen prosessissa.  

Pykälän 3 momentin mukaan Digi- ja väestötietoviraston olisi myönnettävä luonnollisen henkilön tunnistetiedot sellaisiin eurooppalaisiin digitaalisen identiteetin lompakoihin, jotka Liikenne- ja viestintävirasto on ilmoittanut 33 §:n mukaisesti Euroopan komissiolle. Niiden lompakoiden, joista kyseinen ilmoitus on tehty, katsottaisiin olevan Suomesta tarjottuja lompakoita. eIDAS-asetuksen 5 a artiklan 2 kohdan mukaan eurooppalainen digitaalisen identiteetin lompakko voidaan tarjota suoraan jäsenvaltion toimesta, jäsenvaltion toimeksiannosta tai jäsenvaltiosta riippumatta mutta niin, että kyseinen jäsenvaltio tunnustaa sen. Käytännössä luonnollisen henkilön tunnistetietojen myöntäminen olisi siis sidottu siihen, että lompakko on ilmoitettu komissiolle.  

Pykälän 3 momentin mukaan Digi- ja väestötietovirasto voisi myöntää luonnollisen henkilön tunnistetiedot myös muihin kuin Suomessa tarjottuihin eurooppalaisiin digitaalisen identiteetin lompakoihin. Digi- ja väestötietovirastolla ei kuitenkaan olisi tähän velvollisuutta. Käytännössä muilla eurooppalaisen digitaalisen identiteetin lompakoilla tarkoitetaan muiden EU-jäsenmaiden tarjoamia lompakoita. Digi- ja väestötietovirasto asettaisi kuitenkin julkisesti saataville luettelon kaikista eurooppalaisista digitaalisen identiteetin lompakoista, joita se luonnollisen henkilön tunnistetietojen tarjoajana tukee. Muutetun eIDAS-asetuksen 5 a artiklan nojalla annetun komission täytäntöönpanoasetuksen EU (2024/2977) 3 artikla 6 kohdan mukaan jäsenvaltioiden on asetettava julkisesti saataville luettelo lompakoista, joita kyseisen jäsenvaltion sähköisen tunnistamisen järjestelmiin kuuluvat henkilön tunnistetietojen tarjoajat tukevat. Tämä velvoite säädettäisiin momentissa Digi- ja väestötietoviraston tehtäväksi. Tämä tarkoittaisi sitä, että Digi- ja väestötietoviraston tulisi ylläpitää listaa niistä lompakon tarjoajista, jotka se luonnollisen henkilön tunnistetietojen tarjoajana hyväksyy. 

4 §. Rekisteri luonnollisen henkilön tunnistetiedoista. Pykälässä säädettäisiin luonnollisen henkilön tunnistetietojen myöntämiseen liittyvästä rekisteristä, jota Digi- ja väestötietovirasto pitää liittyen sen 3 §:ssä säädettyyn tehtävään myöntää luonnollisen henkilön tunnistetietoja. Rekisterin ylläpitoon liittyvien henkilötietojen käsittelyn oikeusperuste olisi tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta, jonka mukaisessa tilanteessa henkilötietojen käsittely on tarpeen rekisterinpitäjän lakisääteisen velvollisuuden noudattamiseksi. Muutetun eIDAS-asetuksen 5 a artiklan 4 kohdan a alakohta edellyttää, että käyttäjän on voitava eurooppalaisella digitaalisen identiteetin lompakolla eri tavoin hallinnoida mm. henkilön tunnistetietoja. Lisäksi muutetun eIDAS-asetuksen 5 a artiklan nojalla annetun komission täytäntöönpanoasetuksen (EU) 2024/2977 3 artiklan 1 kohdan mukaan henkilön tunnistetietojen tarjoajien on myönnettävä henkilön tunnistetiedot lompakkoon sekä mahdollistettava 5 artiklan mukaisesti henkilön tunnistetietojen peruuttaminen. Komission täytäntöönpanoasetuksen (EU) 2024/2977 liitteessä säädetään pakollisista henkilön tunnistetiedoista, jotka jokaisen jäsenmaan tulee tarjota eurooppalaiseen digitaalisen identiteetin lompakkoon sekä vapaaehtoisista henkilön tunnistetiedoista, joiden tarjoaminen on jäsenvaltion harkinnassa. Edellä 3 §:ssä säädettäisiin muutettua eIDAS-asetusta täydentävästi, että Digi- ja väestötietovirasto myöntää luonnollisen henkilön tunnistetiedot eurooppalaisiin digitaalisen identiteetin lompakoihin. Siten muutettu eIDAS-asetus, sen nojalla annettu komission täytäntöönpanoasetus ja täydentävä kansallinen lainsäädäntö yhdessä muodostavat Digi- ja väestötietoviraston lakisääteisen velvollisuuden.  

Pykälän 1 momentin mukaan rekisteriin tallennettaisiin luonnollisen henkilön tunnistetietojen myöntämiseen, voimassaoloon, ajantasaisuuteen ja peruuttamiseen tarvittavat tiedot noudattaen eIDAS-asetuksen 5 a artiklaa ja sen nojalla annettuja säännöksiä. Rekisteriin tallennettaisiin esimerkiksi yksilöivä tieto myönnetyistä luonnollisen henkilön tunnistetiedoista, yksilöivä tieto siitä eurooppalaisesta digitaalisen identiteetin lompakosta, johon tiedot on myönnetty, sekä käyttäjän yhteystiedot. Lisäksi rekisteriin tallennettaisiin luonnollisen henkilön tunnistetietojen tilatiedot eli tieto siitä, ovatko tunnistetiedot voimassa. Rekisteriin tallennettaisiin myös tieto, jos henkilön tunnistetiedot on peruutettu. 

Pykälän 2 momentissa säädettäisiin luonnollisen henkilön tunnistetietojen rekisterin tietojen säilytysajasta. Luonnollisen henkilön tunnistetietoihin liittyviä tietoja säilytettäisiin niin kauan kuin ne ovat voimassa. Kun tunnistetietojen voimassaolo on päättynyt, tiedot säilytettäisiin vielä viisi vuotta. Jälkikäteen voi olla tarpeen todentaa esimerkiksi mihin eurooppalaiseen digitaalisen identiteetin lompakkoon luonnollisen henkilön tunnistetiedot on otettu käyttöön ja mikä on ollut myönnettyjen tunnistetietojen sisältö. Näiden tietojen todentaminen voi olla tarpeen esimerkiksi sen selvittämiseksi, onko eurooppalaisen digitaalisen identiteetin lompakon ottanut käyttöön oikea henkilö tai onko lompakko oikean henkilön hallinnassa.  

5 §.Oikeushenkilön tunnistetietojen myöntäminen. Pykälässä säädettäisiin oikeushenkilön tunnistetietojen myöntämisestä. Pykälän mukaan Patentti- ja rekisterihallituksella olisi oikeus myöntää oikeushenkilön tunnistetiedot eurooppalaisiin digitaalisen identiteetin lompakoihin. Muotoilu poikkeaisi luonnollisen henkilön tunnistetietojen säädettäväksi ehdotetusta siten, että sääntelyllä mahdollistettaisiin oikeushenkilön tunnistetietojen myöntäminen. On vielä epävarmaa, syntyykö eurooppalaisia digitaalisen identiteetin lompakoita oikeushenkilöille. Patentti- ja rekisterihallituksen uusi tehtävä olisi eIDAS-asetuksen 3 artiklan 3 alakohdassa tarkoitettujen oikeushenkilön tunnistetietojen myöntäminen, jos sellaisia tulevaisuudessa tarjottaisiin. Patentti- ja rekisterihallitus noudattaisi tunnistetietojen sisällön osalta oikeushenkilön tunnistetiedoista komission täytäntöönpanoasetuksessa (EU) 2024/2977 säädettyä. Oikeushenkilön tunnistetiedot on määritelty täytäntöönpanoasetuksen liitteen 2 kohdassa ja niiden tulee aina sisältää vähintään oikeushenkilön virallinen nimi sekä yksilöllinen tunniste. Lisäksi tunnistetiedoissa voi olla valinnaisia elementtejä.  

Tunnistetietoja ei rekisteröitäisi kaupparekisteriin tai tallennettaisi yritys- ja yhteisötietojärjestelmään, eivätkä tiedot siten olisi saatavilla yleisöjulkisesti edellä mainittuja rekistereitä koskevia tietoja vastaavasti. Toisaalta oikeushenkilön tunnistetietoja ei säädettäisi salassa pidettäviksi tiedoiksi. On kuitenkin huomattava, että mikäli eIDAS-asetuksesta tai sen täytäntöönpanoasetuksesta johtuu vaatimuksia tunnistetietojen julkisuuden tai luovuttamisen osalta, on niitä noudatettava. 

Patentti- ja rekisterihallituksen tehtävänä ei olisi eurooppalaisen digitaalisen identiteetin lompakon tarjoaminen, eikä oikeushenkilön osalta lompakon tarjoamisesta muutoinkaan ehdoteta säädettäväksi. Tämä jäisi yksityisten toimijoiden toteutuksen varaan. Edellytyksenä tunnistetietojen myöntämiselle olisi kuitenkin, että oikeushenkilöllä on lompakko, johon tunnistetiedot ovat yhdistettävissä.  

Pykälän 2 momentissa säädettäisiin tunnistetietojen hakemisesta ja määriteltäisiin oikeushenkilöä koskevat edellytykset. Tunnistetietoja ei myönnettäisi viran puolesta, vaan niiden saaminen edellyttäisi oikeushenkilön tekemää hakemusta. Hakemuksen tekemisen osalta noudatetaan oikeushenkilön edustamista koskevia säännöksiä, eikä esimerkiksi kaupparekisteri-ilmoituksen tekemisestä yritys- ja yhteisötietolaissa (244/2001) säädettyä. Hakemukseen annetun päätöksen muutoksenhaun osalta noudatettaisiin Patentti- ja rekisterihallituksesta annetussa laissa (578/2013) säädettyä. Hakemuksen käsittelystä määrättäisiin käsittelymaksu Patentti- ja rekisterihallituksen suoritteista perittävistä maksuista annetun lain (1032/1992) mukaisesti. 

Oikeushenkilön tunnistetiedot voitaisiin myöntää vain kaupparekisteriin merkitylle oikeushenkilölle. Kaupparekisteriin merkityn yrityksen tai yhteisön osalta rekisteristä on saatavilla tietoja muun muassa edustamiseen oikeutetuista samoin kuin tällaisen oikeushenkilön tilasta, kuten selvitysmenettelystä tai konkurssista. Kaupparekisteriin on merkitty muutamia satoja yhdistyksiä ja säätiöitä sillä perusteella, että ne harjoittavat elinkeinotoimintaa. Kaupparekisteriin ei kuitenkaan merkitä yhdistysten ja säätiöiden osalta niiden vastuuhenkilöitä, vaan ne ilmenevät vain yhdistys- ja säätiörekisteristä. Ottaen huomioon, että tässä vaiheessa tunnistetiedon myöntämistä ei ulotettaisi yhdistys- ja säätiörekisteriin, rajattaisiin myös sellaiset yhdistykset ja säätiöt lain soveltamisen ulkopuolelle, jotka on merkitty yhdistys- ja säätiörekisterin lisäksi kaupparekisteriin. Koska vaatimuksena olisi, että kyse on oikeushenkilöstä, kaupparekisteriin merkityllä sivuliikkeellä ei olisi mahdollista saada tunnistetietoja, koska kyse on ulkomaalaisen oikeushenkilön sivuliikkeestä, joka ei ole itsenäinen oikeushenkilö. Myöskään muille ulkomaisille oikeushenkilöille tunnistetietoja ei myönnettäisi. Samoin yksityinen elinkeinonharjoittaja, joka ei ole oikeushenkilö, jää sääntelyn ulkopuolelle. Tunnistetietoja ei myönnettäisi myöskään sellaisille oikeushenkilöiksi katsottaville yhteisöille, jotka on rekisteröity vain yritys- ja yhteisötietojärjestelmään ottaen huomioon talletettujen tietojen rajallisuus. Yritys- ja yhteisötietojärjestelmään ei talleteta esimerkiksi vastuuhenkilöitä. 

Oikeushenkilön tunnistetietojen peruuttamisesta ei olisi tarpeen säätää erikseen, vaan sen osalta Patentti- ja rekisterihallitus noudattaisi, mitä eIDAS-asetuksessa ja täytäntöönpanoasetuksessa (EU) 2024/2977, erityisesti sen 5 artiklassa, säädetään. 

Pykälän 3 momentissa säädettäisiin luonnollisen henkilön tunnistetietojen myöntämistä koskevaa 3 §:ää vastaavasti siitä, että Patentti- ja rekisterihallitus asettaa julkisesti saataville luettelon eurooppalaisista digitaalisen identiteetin lompakoista, joita se oikeushenkilön tunnistetietojen tarjoajana tukee. 

Pykälän 4 momentissa säädettäisiin tunnistetietoja koskevasta hakemuksesta ilmenevien henkilötietojen luovuttamisesta. Tällaisten henkilötietojen yleisöjulkisuudelle ei ole katsottava olevan samanlaista tarvetta verrattuna esimerkiksi Patentti- ja rekisterihallituksen ylläpitämään kaupparekisteriin merkittyjen vastuuhenkilöiden osalta. Näin ollen 4 momentissa säädettäisiin siitä, että Patentti- ja rekisterihallitus saa luovuttaa 2 momentissa tarkoitetusta hakemuksesta ilmenevät luonnollisen henkilön henkilötiedot muille kuin oikeushenkilön edustajille noudattaen, mitä kaupparekisterilain (564/2023) 2 §:n 2 momentissa säädetään kaupparekisteriin tallennetun henkilötunnuksen tunnusosan ja ulkomailla asuvan luonnollisen henkilön kotiosoitteen luovuttamisesta. Kyseisessä kaupparekisterilain 2 §:n 2 momentissa säädetään siitä, että rekisteriviranomainen saa luovuttaa tiedot kaupparekisteriin tallennetusta henkilötunnuksen tunnusosasta ja ulkomailla asuvan luonnollisen henkilön kotiosoitteesta vain, jos luovutuksensaajalla on tietosuojalain 29 §:n mukainen peruste tietojen käsittelylle. Tällaiset tiedot saadaan luovuttaa myös sähköisesti 1 momentissa säädetyllä tavalla suojattua tiedonsiirtoyhteyttä tai -tapaa käyttämällä. Lisäksi edellytyksenä on, että tietopyynnön tekijä antaa rekisteriviranomaiselle selvityksen tietojen asianmukaisesta suojaamisesta. Hakemuksesta ilmenevien henkilötietojen osalta kaupparekisterilain 2 §:n 2 momentista ilmeneviä edellytyksiä sovellettaisiin kaikkiin hakemuksesta ilmeneviin henkilötietoihin, ei vain henkilötunnuksen tunnusosaan tai kotiosoitteeseen. Hakemuksen tehneen oikeushenkilön edustajilla olisi kuitenkin oikeus saada tiedot ilman tietosuojalain 29 §:n mukaista perustetta. 

6 §. Rekisteri oikeushenkilön tunnistetiedoista. Pykälä vastaisi 4 §:ssä luonnollisen henkilön tunnistetietojen rekisteristä säädettäväksi ehdotettua, rekisterinpitäjän oikeushenkilön tunnistetietojen osalta ollessa kuitenkin Patentti- ja rekisterihallitus. Pykälän 1 momentin mukaan Patentti- ja rekisterihallitus pitäisi rekisteriä sen myöntämistä oikeushenkilön tunnistetiedoista. Rekisteriin tallennettaisiin oikeushenkilön tunnistetietojen myöntämiseen, voimassaoloon, ajantasaisuuteen ja peruuttamiseen tarvittavat tiedot noudattaen eIDAS-asetuksen 5 a artiklaa ja sen nojalla annettuja säännöksiä. Tällaisia rekisteriin merkittäviä tietoja oikeushenkilön tunnistetietojen osalta voisivat olla esimerkiksi yrityksen Y-tunnus, hakija ja tämän henkilötunnus sekä asema, viranomaisen tekemät toimenpiteet ja lompakon yksilöintitiedot. Rekisteriin voitaisiin lisäksi tallentaa muita välttämättömiä tietoja. Pykälän 2 momentin mukaan oikeushenkilön tunnistetietojen rekisteriin tallennetut tiedot säilytettäisiin viisi vuotta sen jälkeen, kun oikeushenkilön tunnistetietojen voimassaolo on päättynyt. Sääntely vastaisi sisällöllisesti luonnollisen henkilön tunnistetietojen säilyttämisestä ehdotettua.  

7 §. Eurooppalaisen digitaalisen identiteetin lompakon tarjoaminen.Pykälän 1 momentissa säädettäisiin Digi- ja väestötietoviraston tehtävästä tarjota eurooppalainen digitaalisen identiteetin lompakko. Kyse olisi sellaisen lompakon tarjoamisesta, jonka käyttäjiä ovat luonnolliset henkilöt. Digi- ja väestötietovirasto soveltaisi kielilain vaatimuksia tarjotessaan eurooppalaista digitaalisen identiteetin lompakkoa ja siten lompakko tarjottaisiin myös ruotsin kielellä. Lompakon tarjoaminen säädettäisiin Digi- ja väestötietoviraston tehtäväksi siitä syystä, että valtiovarainministeriön teettämän selvityksen perusteella eurooppalaisen digitaalisen identiteetin lompakon markkinoiden toiminnan arvioidaan olevan lähivuosien aikana puutteellista. Tällä tarkoitetaan sitä, että tavanomaista markkinatoimintaa ei olisi ja tarjolle ei syntyisi määräajassa sellaisia lompakoita, jotka täyttävät muutetun eIDAS-asetuksen vaatimukset (markkinapuute). Suomessa muutetun eIDAS-asetuksen 5 a artiklan 1 kohdassa säädetyn kansallisen eurooppalaisen digitaalisen identiteetin lompakon tarjoamista koskevan velvoitteen noudattaminen varmistettaisiin siis säätämällä Digi- ja väestötietovirastolle tehtävä tuottaa eurooppalainen digitaalisen identiteetin lompakko. Markkinoiden kehitystä ja markkinoilla olevan puutteen jatkumista olisi mahdollista seurata sen perusteella, mitkä lompakot Liikenne- ja viestintävirasto on ilmoittanut Euroopan komissiolle ehdotetun eIDAS-lain 33 §:n 2 kohdan perusteella. Esityksellä ei ole tarkoitus poiketa kilpailulain (948/2011) 4 a luvussa säädetystä Kilpailu- ja kuluttajaviraston oikeudesta puuttua kunnan, kuntayhtymän, hyvinvointialueen, hyvinvointiyhtymän, valtion taikka niiden määräysvaltaan kuuluvan yksikön harjoittamaan kilpailulain vastaiseen menettelyyn tai toiminnan rakenteeseen.  

Pykälän 2 momentissa säädettäisiin, että myös muut toimijat voivat tuottaa 1 momentissa tarkoitettua lompakkoa. Pykälän mukaan mitä 1 momentissa säädetään, ei rajoittaisi muiden viranomaisten, oikeushenkilöiden tai luonnollisten henkilöiden mahdollisuutta tarjota eurooppalaista digitaalisen identiteetin lompakkoa. eIDAS-asetus mahdollistaa myös muiden toimijoiden tuottamat lompakot. Esityksen valmistelussa on arvioitu, että mikäli yksityisen sektorin toimijat haluaisivat tarjota eurooppalaista digitaalisen identiteetin lompakkoa siitä ei tulisi säätää lailla perustuslain 124 §:ssä tarkoitetulla tavalla. Perustuslakivaliokunta on lausuntokäytännössään todennut, että tunnistuslaissa tarkoitettujen liiketaloudellisten palvelujen luonne on siinä määrin etääntynyt julkiseen hallintotehtävään liitettävistä ominaispiirteistä, että toimintaa ei enää nykyisin ole pidettävä julkisena hallintotehtävänä, vaikka vahvan sähköisen tunnistamisen välineillä ja varmennetoiminnalla sinänsä onkin merkitystä erilaisissa oikeustoimissa osapuolten aseman kanalta (PeVL 16/2009 vp s.2). Kuten edellä esityksen kilpailuoikeutta koskevissa vaikutuksissa on kuvattu, eurooppalaisen digitaalisen identiteetin lompakon toiminnallisuudet ovat vastaavia, kuin markkinoilla jo tarjolla oleva vahva sähköinen tunnistaminen ja hyväksytty sähköinen allekirjoittaminen. Mikäli muut toimijat tulevaisuudessa tarjoavat lompakkoa, tulisi niiden noudattaa eIDAS-asetuksessa ja ehdotetussa eIDAS-laissa säädettyjä velvoitteita. 

Pykälän 3 momentissa säädettäisiin eurooppalaisen digitaalisen identiteetin lompakon tarjoajan ilmoitusvelvollisuudesta. Lompakon tarjoajalla tarkoitettaisiin sitä, joka tarjoaa eurooppalaista digitaalisen identiteetin lompakkoa Suomessa jollakin eIDAS-asetuksen 5 a artiklan 2 kohdassa tarkoitetulla tavalla. Muutettu eIDAS-asetus ei määrittele lompakon tarjoajaa, vaan se on määritelty asetusta täydentävissä komission täytäntöönpanoasetuksissa. Lompakon tarjoajan olisi ennen lompakon tarjoamisen aloittamista tehtävä ilmoitus Liikenne- ja viestintävirastolle. Ilmoitusvelvollisuus olisi tarpeen, sillä ehdotetun 33 §:n 2 kohdan mukaan, Liikenne- ja viestintävirasto ilmoittaa Euroopan komissiolle ja muutetun eIDAS-asetuksen 46 e artiklan 1 kohdalla perustetulle yhteistyöryhmälle eurooppalaisista digitaalisen identiteetin lompakoista, jotka on 5 a artiklan mukaisesti tarjottu Suomessa. Ilmoituksen tekeminen Liikenne- ja viestintävirastolle olisi käytännössä ilmoitus siitä, että toimija aikoo aloittaa eurooppalaisen digitaalisen identiteetin lompakon tarjoamisen. Ilmoituksen perusteella Liikenne- ja viestintävirasto voisi ennen lompakon tarjoamisen aloittamista varmistaa, että lompakon tarjoaja ja sen tarjoama lompakko täyttävät muutetun eIDAS-asetuksen vaatimukset.  

Ilmoitettavat tiedot on lueteltu tarkasti eIDAS-asetuksen 5 a artiklan 18 kohdan b alakohdassa ja 5 d artiklassa sekä niiden nojalla annetuissa komission täytäntöönpanoasetuksissa (EU) 2024/2980 ja (EU) 2025/849. Kyseisessä asetuksen kohdissa tarkoitettuja tietoja ovat esimerkiksi elimet, jotka vastaavat eurooppalaisen digitaalisen identiteetin lompakon tarjoamisesta sekä sertifioidun eurooppalaisen digitaalisen identiteetin lompakon sertifikaatti ja sertifioinnin arviointiraportti, kuvaus sähköisen tunnistamisen järjestelmästä, jonka puitteissa lompakko tarjotaan sekä sovellettava valvontajärjestelmä. Momentissa ei kuitenkaan viitattaisi suoraan kyseisiin asetuksiin, sillä komissio on ilmaissut, että se mahdollisesti muuttaa asetuksia lähivuosien aikana ja tästä syystä momentissa viitattaisiin vain eIDAS-asetuksen artikloihin ja niiden nojalla annettuun sääntelyyn. 

Ehdotetun 4 momentin mukaan eurooppalaisen digitaalisen identiteetin lompakon tarjoajan olisi viipymättä ilmoitettava Liikenne- ja viestintävirastolle 3 momentissa tarkoitetuissa tiedoissa tapahtuneista muutoksista. Liikenne- ja viestintävirasto voisi antaa tarkempia määräyksiä 2 ja 3 momentissa tarkoitettujen tietojen toimittamistavasta. 

8 §. Digi- ja väestötietoviraston tarjoaman eurooppalaisen digitaalisen identiteetin lompakon rekisterinpitäjä. Pykälässä säädettäisiin, että Digi- ja väestötietovirasto on ehdotetun 7 §:n nojalla tarjoamansa eurooppalaisen digitaalisen identiteetin lompakon ja sen tarjoamiseen liittyvän henkilötietojen käsittelyn osalta rekisterinpitäjä. Lompakon tarjoamiseen liittyvän henkilötietojen käsittelyn oikeusperuste olisi tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta, jonka mukaisessa tilanteessa henkilötietojen käsittely on tarpeen rekisterinpitäjän lakisääteisen velvollisuuden noudattamiseksi. Muutetun eIDAS-asetuksen 5 a artiklan 1 kohta edellyttää, että jokainen jäsenvaltio tarjoaa lompakon, joka täyttää asetuksen vaatimukset. Edellä 7 §:ssä säädettäisiin muutettua eIDAS-asetusta täydentävästi, että Digi- ja väestötietoviraston tehtävänä olisi tarjota eurooppalainen digitaalisen identiteetin lompakko Suomessa. Siten muutettu eIDAS-asetus ja täydentävä kansallinen lainsäädäntö yhdessä muodostavat Digi- ja väestötietoviraston lakisääteisen velvollisuuden.  

Digi- ja väestötietovirasto tarjoaisi siis ehdotetun 7 §:n perusteella muutetun eIDAS-asetuksen mukaisen lompakon. Lompakon tarjoamisessa olisi kyse käyttäjän mobiililaitteeseen ladattavasta sovelluksesta sekä sovelluksen tarjoamisen edellyttämien järjestelmien ja palvelujen toteuttamisesta. Käytännössä Digi- ja väestötietovirastolle syntyy lompakon tarjoamisesta johtuen useita uusia rekistereitä, jotka sisältävät henkilötietoja ja edellyttävät niiden käsittelyä. Digi- ja väestötietoviraston tulee esimerkiksi ylläpitää lompakkoyksiköiden rekisteriä, joka sisältää tietoja sen tarjoaman lompakon lompakkoinstansseista.  

Rekisterinpitäjästä säätäminen on mahdollista tietosuoja-asetuksen perusteella. Rekisterinpitäjällä tarkoitetaan tietosuoja-asetuksen 4 artiklan 7 kohdan mukaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti. Pykälässä ehdotetaan nimenomaisesti säädettäväksi, että Digi- ja väestötietovirasto toimii sen tarjoaman eurooppalaisen digitaalisen identiteetin lompakon ja sen tarjoamiseen liittyvien rekisterien rekisterinpitäjänä. Sääntely olisi tarpeen, jotta rekisterinpitäjyydestä ei jää epäselvyyttä, kun otetaan huomioon erityisesti lompakon toimintaan liittyvät periaatteet ja lompakon käyttäjän oikeudet.  

Digi- ja väestötietoviraston asema rekisterinpitäjänä ei rajoita sitä, mitä muutetussa eIDAS-asetuksessa säädetään lompakon käyttäjän oikeudesta hallita hänen lompakossaan olevia tietoja. Ehdotetulla sääntelyllä ei toisaalta ole myöskään tarkoitus muuttaa sitä, mitä yleinen tietosuoja-asetus sääntele rekisterinpitäjästä ja sille kuuluvista velvoitteista. Eurooppalainen digitaalisen identiteetin lompakko perustuu nk. tietojen itsehallittavuudelle. Kyse on henkilötietojen käsittelyn mallista, jossa henkilö voi itse hallinnoida joko itseltään tai luotettavalta kolmannelta taholta lähtöisin olevien henkilötietojensa osoittamista asiointipalvelulle, jossa henkilötietoja tarvitaan.  

Tietojen itsehallittavuus ilmenee muutetussa eIDAS-asetuksessa useasta kohdasta, kuten 5 a artiklan 4 kohdan a alakohdasta, jonka mukaan lompakkojen avulla käyttäjän on voitava turvallisesti pyytää, saada, valita, yhdistää, tallentaa, poistaa, jakaa ja esittää käyttäjän yksinomaisessa hallinnassa henkilön tunnistetietoja ja muita tietoja. Lisäksi 5 a artiklan 14 kohdassa todetaan, että käyttäjällä on oltava täysi määräysvalta lompakkonsa käyttöön ja sen sisältämiin tietoihin. Lompakon tarjoaja ei saa kerätä lompakon käytöstä tietoja, jotka eivät ole välttämättömiä lompakon palvelujen tarjoamiseksi, eikä yhdistää henkilön tunnistetietoja eikä muita henkilötietoja, jotka on tallennettu tai jotka liittyvät lompakon käyttöön, muihin kyseisen tarjoajan palveluista saatuihin henkilötietoihin, jotka eivät ole välttämättömiä lompakon palvelujen tarjoamiseksi.  

Muutetussa eIDAS-asetuksessa säännelty eurooppalaisen digitaalisen identiteetin lompakon tietojen itsehallittavuus vaikuttaa käytännössä Digi- ja väestötietoviraston rekisterinpitäjyyden ulottuvuuteen. Esimerkiksi yleisen tietosuoja-asetuksen mukainen vastuu henkilötietojen täsmällisyydestä kuuluu lähtökohtaisesti rekisterinpitäjälle, eikä vastuuta voida siirtää muulle viranomaiselle. Tästä oli kyse Helsingin hallinto-oikeuden päätöksessä 8.6.2023 3396/2023 Dnro 26393/03.04.04.04.01/2021, jossa todettiin, että tuomioistuinten on oikeushallinnon valtakunnallisesta tietovarannosta annetun lain (955/2020) 6 ja 7 §:n mukaan tallennettava tekemänsä ratkaisu tai tiedot sen lopputuloksesta Oikeusrekisterikeskuksen ylläpitämään ratkaisu- ja päätösilmoitusjärjestelmään. Siinä yhteydessä tuomioistuimen on huolehdittava siitä, että sen tallentamat tiedot vastaavat sen ratkaisua ja sen omiin rekistereihinsä tekemiä merkintöjä, että tietovarantoon on tehty tarpeelliset merkinnät tietojen oikeaksi välittämiseksi ja että merkinnät on tehty rekisterinpitäjän asettamien teknisten vaatimusten mukaisesti. Hallinto-oikeus katsoi apulaistietosuojavaltuutetun tavoin, että tuomioistuimille oikeushallinnon valtakunnallisesta tietovarannosta annetun lain 7 §:ssä säädetyt velvoitteet eivät sulje pois rekisterinpitäjän eli Oikeusrekisterikeskuksen velvollisuutta huolehtia sen ylläpitämään rekisteriin tallennettujen henkilötietojen täsmällisyydestä ja toteuttaa kaikki mahdolliset kohtuulliset toimenpiteet näiden tietojen oikeellisuuden varmistamiseksi.  

Digi- ja väestötietoviraston rekisterinpitäjän vastuu tietojen täsmällisyydestä liittyen sen tarjoamaan lompakkoon ja siihen liittyviin rekistereihin olisi kuitenkin erilainen kuin edellä kuvatussa tapauksessa. Digi- ja väestötietovirasto eurooppalaisen digitaalisen identiteetin lompakon tarjoajana ei edellä kuvatulla tavalla olisi osapuolena, kun tietoja luovutetaan lompakkoon, vaan osapuolia olisivat lompakon käyttäjä ja tietoja luovuttava taho. Vastaavalla tavalla on nykyisin rajattu Digi- ja väestötietoviraston rekisterinpitoa Suomi.fi-viestien yhteydessä. Suomi.fi-viestien tietosuojaselosteessa on todettu, että Digi- ja väestötietovirasto ei ole Suomi.fi-viestien palveluntuottajana sähköisen viestinnän osapuoli eikä virastolla lähtökohtaisesti ole oikeutta lukea luonnollisille henkilöille tai yrityksille saapuneita tai näiden palvelussa lähettämiä viestejä. Suomi.fi-viestien asiakasorganisaatiot toimivat rekisterinpitäjinä lähettämiensä viestien sisällön osalta. Suomi.fi-viestit toimii ainoastaan viestienvälitysalustana asiakasorganisaatioiden lähettämille viesteille. Lompakon toteuttamisen osalta kyse olisi samankaltaisesta tilanteesta Digi- ja väestötietoviraston rekisterinpitäjyyden näkökulmasta. 

Kuten edellä on kuvattu, lompakossa olevien tietojen tulee siis olla sen käyttäjän yksinomaisessa hallinnassa ja täydessä määräysvallassa. Käytännössä lompakossa olevat tiedot olisivat henkilön omia tietoja, mikä tarkoittaisi, että tietojen toimittajalla ei ole tämän jälkeen mahdollisuutta määrätä tai seurata missä ja mihin tarkoituksiin henkilö omia tietojaan osoittaa. Eurooppalaisen digitaalisen identiteetin lompakon käyttäjään liittyvät erilaiset tiedot tarjottaisiin lompakkoon lähtökohtaisesti sähköisinä attribuuttitodistuksina, jotka ovat muutetun eIDAS-asetuksen mukainen uusi luottamuspalvelu. Sähköisten attribuuttitodistusten tarjoajia ja myös sähköisiä attribuuttitodistuksia säännellään muutetussa eIDAS-asetuksessa. Niissä on kyse lompakosta erillisestä palvelusta, vaikka lompakko toimii käytännössä niiden käyttöalustana. Sähköisten attribuuttitodistuksen sisältämien tietojen täsmällisyydestä vastaisi kyseisen sähköisen attribuuttitodistuksen tarjoaja.  

Digi- ja väestötietovirasto vastaisi lähtökohtaisesti vain niiden tietojen täsmällisyydestä, jotka se on itse luovuttanut henkilön käyttöön eurooppalaiseen digitaalisen identiteetin lompakkoon. Tällaisia tietoja on kuitenkin hyvin rajallisesti silloin, kun Digi- ja väestötietovirasto toimii lompakon tarjoajan roolissa ja kyse olisi lähinnä sellaisista tiedoista, jotka ovat tarpeen lompakon tarjoamiseksi teknisestä ja käytännön näkökulmasta. Esimerkiksi edellä mainittuun lompakkoyksikkörekisteriin voisi olla tarpeen tallentaa joitain henkilötietoja, kuten käyttäjätiedot, joiden avulla käyttäjä voi kirjautua Digi- ja väestötietoviraston tarjoamaan käyttäjäportaaliin ja esimerkiksi peruuttaa käytössään olevan lompakon voimassaolon. Digi- ja väestötietovirasto vastaisi myös luonnollisen henkilön tunnistetietojen täsmällisyydestä, jotka se on myöntänyt henkilölle ehdotetun 3 §:n nojalla ja sellaisista tiedoista, jotka se on tarjonnut lompakon käyttäjälle sähköisenä attribuuttitodistuksena. Näissä tilanteissa Digi- ja väestötietovirasto ei kuitenkaan toimisi lompakon tarjoajan roolissa, vaan luonnollisen henkilön tunnistetietojen tarjoajana sekä luottamuspalvelun tarjoajana, joka tarjoaa sähköisiä attribuuttitodistuksia.  

Edellä kuvattu rekisterinpitäjän vastuun ulottuvuus olisi lähtökohtaisesti vastaava myös silloin, kun lompakon tarjoaja on yksityisen sektorin toimija.  

9 §.Eurooppalaisen digitaalisen identiteetin lompakon tarjoamiseen liittyvien tietojen säilytysaika. Pykälässä säädettäisiin eurooppalaisen digitaalisen identiteetin lompakon tarjoamiseen liittyvien tietojen säilytysajasta. Pykälä koskisi sekä Digi- ja väestötietovirastoa, kun se tarjoaa eurooppalaista digitaalisen identiteetin lompakkoa ehdotetun 7 §:n nojalla, että mahdollisia yksityisen sektorin toimijoita, kun ne tarjoavat lompakkoa. Muutettu eIDAS-asetus ja sen nojalla annetut komission täytäntöönpanoasetukset asettavat lompakon tarjoajille useita erilaisia velvollisuuksia, joiden toteuttaminen edellyttää käytännössä erilaisten rekisterien ylläpitämistä, jotka sisältävät myös henkilötietoja. Muutettu eIDAS-asetus ei kuitenkaan määrittele sitä, kuinka kauan tällaiset tiedot tulisi säilyttää ja tästä syystä ehdotettu sääntely olisi tarpeen. 

Pykälän 1 momentissa säädettäisiin, että eurooppalaisen digitaalisen identiteetin lompakon tarjoajan on säilytettävä lompakon ja sen tarjoamiseen liittyvät tiedot viisi vuotta lompakon voimassaolon päättymisestä. Jälkikäteen voi olla tarpeen todentaa esimerkiksi mihin laitteeseen lompakko on otettu käyttöön.  

Pykälän 2 momentissa säädettäisiin puolestaan eurooppalaisen digitaalisen identiteetin lompakon tapahtumalokien saatavilla olemisesta. Tapahtumalokeista säädetään muutetun eIDAS-asetuksen 5 a artiklan 4 kohdan d alakohdassa, jonka mukaan käyttäjän on voitava päästä kaikkien lompakon kautta suoritettujen transaktioiden lokiin yhteisen ohjauspaneelin kautta. Muutetun eIDAS-asetuksen 5 a artiklan nojalla annetun komission täytäntöönpanoasetuksessa (EU) 2024/2979 9 artiklan 6 kohdan mukaan lokitietojen on oltava saatavilla niin kauan kuin unionin oikeudessa tai kansallisessa lainsäädännössä sitä edellytetään. Tietojen säilytysajasta ei kuitenkaan ole säädetty unionin oikeudessa ja tästä syystä kansallinen täydentävä sääntely olisi tarpeen. Tapahtumalokeissa on kyse tiedoista, joista käy ilmi toteutuneet tapahtumat lompakon ja luottavien osapuolten tai muiden eurooppalaisten digitaalisten identiteetin lompakkojen kanssa. Momentissa ehdotetaan, että näiden tietojen tulisi olla saatavilla kaksi vuotta tietojen tallentamisajankohtaa seuraavan kalenterivuoden alusta lukien. Käyttäjän voi olla jälkikäteen tarve todentaa ja saada tietoa lompakolla toteutetuista tapahtumista esimerkiksi lompakon väärinkäyttöön liittyvissä tapauksissa tai omien oikeuksiensa toteuttamiseksi. Tietoja voi kuitenkin kertyä huomattava määrä, riippuen siitä, kuinka aktiivisesti käyttäjä käyttää lompakkoaan. Tästä syystä tietoja ei edellytettäisi pidettävän saatavilla kahta vuotta pidempään.  

10 §.Eurooppalaisen digitaalisen identiteetin lompakon käyttöönotto alaikäiselle. Muutettu eIDAS-asetus ei sääntele eurooppalaisen digitaalisen identiteetin lompakon käyttöönotolle ikärajaa, jolloin asiaa jää kansallisen lainsäädännön ja lompakon käyttöönottoa koskevien yleisten vaatimusten varaan. Pykälässä säädettäisiin nimenomaisesti alaikäisen mahdollisuudesta ottaa Suomessa tarjottu lompakko itsenäisesti käyttöön. Eurooppalaisen digitaalisen identiteetin lompakon voisi ottaa käyttöön ilman huoltajan suostumusta kolmetoista vuotta täyttänyt.  

Kansallisesti huoltajien päätösvaltaan alaikäistä koskevassa asiassa, alaikäisen oikeudesta osallistua päätöksentekoon ja asioida itsenäisesti tietyn ikäisenä säädetään useassa eri säädöksessä. Perustuslain 6 §:n 3 momentin mukaan lapsia on kohdeltava tasa-arvoisesti yksilöinä, ja heidän tulee saada vaikuttaa itseään koskeviin asioihin kehitystään vastaavasti. Säännöksen perustelujen mukaan säännöksellä halutaan mm. korostaa, että lapsia tulee kohdella aikuisväestöön nähden tasa-arvoisina, periaatteessa yhtäläiset perusoikeudet omaavina ihmisinä. Toisaalta perusteluissa tunnistetaan, että lapset tarvitsevat vajaavaltaisina ja aikuisväestöä heikompana ryhmänä erityistä suojelua ja huolenpitoa (HE 309/1993, s. 45).  

Tietosuojalain 5 §:ssä säädetään tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettavasta ikärajasta. Sen mukaan, kun henkilötietoja käsitellään yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohdassa tarkoitetun suostumuksen perusteella ja kun kyseessä on yleisen tietosuoja-asetuksen 4 artiklan 25 kohdassa tarkoitettujen tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 13-vuotias. Tietoyhteiskunnan palveluja ovat esimerkiksi mobiilisovellus tai sosiaalisen median palvelu. Eurooppalainen digitaalisen identiteetin lompakko olisi lähtökohtaisesti mobiilisovellus, vaikka myös selainversiot lompakosta olisivat mahdollisia. Kun yksityisen sektorin tarjoajat tarjoaisivat lompakkoa, olisi siihen liittyvä henkilötietojen käsittelyperuste pykälässä viitattu yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohdassa tarkoitettu suostumus. Kyse olisi siis yleisen tietosuoja-asetuksen mukaisesta suostumuksesta, eikä henkilötietojen käsittelyyn suojatoimena sovellettavasta suostumuksesta. Kun käsittelyperusteena olisi suostumus, yksityisen sektorin toimijat voisivat tarjota eurooppalaista digitaalisen identiteetin lompakkoa lähtökohtaisesti 13-vuotiaille. Tätä nuoremman lapsen osalta yksityisen sektorin toimijan olisi tarkistettava, että lapsella on vanhempien suostumus. Tietosuojalain säätämisen yhteydessä hallintovaliokunta totesi ikärajan osalta, että tietosuoja-asetuksen ja lainsäädännön toimeenpano on eräänlaista tasapainoilua lapsen suojaamisen ja osallistumisoikeuden välillä. Lasten ja nuorten oikeutta hyödyntää tietoyhteiskunnan palveluita ja osallistua digitaaliseen kulttuuriin ei kuitenkaan pidä rajoittaa tarpeettomasti. Valiokunta korosti samalla muita toimia, joilla vaikutetaan siihen, että lapset ja nuoret voivat toimia turvallisesti verkkomaailmassa (HaVM 13/2018 vp s. 30). 

Lasten mahdollisuudesta osallistua hallintoasian käsittelyyn säädetään hallintolain (434/2003) vajaavaltaisen puhevaltaa koskevassa 14 §:ssä. Sen 1 momentin mukaan vajaavaltaisen puolesta käyttää puhevaltaa hänen edunvalvojansa, huoltajansa tai muu laillinen edustajansa. Vajaavaltaisella on kuitenkin oikeus käyttää yksinään puhevaltaa asiassa, joka koskee hänen vallitsemaansa tuloa tai varallisuutta. Pykälän 3 momentin mukaan 15 vuotta täyttäneellä alaikäisellä ja hänen huoltajallaan tai muulla laillisella edustajallaan on kummallakin oikeus erikseen käyttää puhevaltaa asiassa, joka koskee alaikäisen henkilöä taikka henkilökohtaista etua tai oikeutta. Alaikäinen voisi siis toimia itsenäisesti huoltajansa tai muun laillisen edustajansa rinnalla, kun hän on täyttänyt 15 vuotta. Kun Digi- ja väestötietovirasto tarjoaisi eurooppalaista digitaalisen identiteetin lompakkoa, olisi siihen liittyvä henkilötietojen käsittelyperuste tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta, jonka mukaisessa tilanteessa henkilötietojen käsittely on tarpeen rekisterinpitäjän lakisääteisen velvollisuuden noudattamiseksi. Digi- ja väestötietoviraston tarjoamaan lompakkoon ei siten sovellettaisi tietosuojalain 5 §:n mukaista 13 vuoden ikärajaa. Sen sijaan Digi- ja väestötietovirasto soveltaisi lompakon käyttöönotossa hallintolain sääntelyä ja edellä kuvattua 15-vuoden ikärajaa. Alaikäisen olisi siis tällä perusteella mahdollista ottaa Digi- ja väestötietoviraston tarjoama lompakko käyttöön itsenäisesti, kun hän on täyttänyt 15 vuotta. 

Pykälässä ehdotettu sääntely on tarpeen, jotta samanikäiset henkilöt voisivat ottaa lompakon käyttöön itsenäisesti riippumatta siitä, tarjoaako lompakon Digi- ja väestötietovirasto vai yksityisen sektorin palveluntarjoaja. Ilman ehdotettua sääntelyä Digi- ja väestötietoviraston tarjoaman lompakon itsenäinen käyttöönotto edellyttäisi korkeampaa ikää kuin yksityisen sektorin tarjoaman lompakon käyttöönotto. Koska lompakko olisi kuitenkin toiminnallisuuksiltaan ja vaatimuksiltaan samanlainen riippumatta lompakon tarjoajasta, ei olisi perusteltua, että itsenäinen käyttöönotto olisi mahdollista eri ikäisille riippuen siitä, kuka lompakon tarjoaja on.  

Kun kyse on lähtökohtaisesti tietosuojalaissa tarkoitetusta tietoyhteiskunnan palvelusta, olisi lompakon itsenäisessä käyttöönotossa perusteltua soveltaa tietosuojalain mukaista 13 vuoden ikää. Tämä lisäisi johdonmukaisuutta digitaalisen ympäristön sääntelyn näkökulmasta. Vaikka verkkoympäristössä tapahtuvat väärinkäytös- ja rikostapaukset ovat lisääntyneet, on kuitenkin oletettavaa, että 13-vuotias ei voi sähköisestikään tehdä varallisuusarvoltaan merkittäviä oikeustoimia. Kuitenkin 13-vuotiaalla saattaa olla vaikeuksia ymmärtää tai hahmottaa sitoumustensa vaikutuksia ja palvelun käyttöön liittyviä vastuita. On kuitenkin huomattava, että esityksessä ei ehdoteta laajennettavan 13-vuotiaan oikeuksia tehdä oikeustoimia, vaan se määräytyisi edelleen muun lainsäädännön perusteella. Sen sijaan 13 vuoden ikäraja edistäisi alaikäisten tasavertaista mahdollisuutta asioida ja osoittaa henkilöllisyyttään sähköisesti. Esimerkiksi sosiaali- ja terveydenhuollossa on mahdollista, että 13-vuotias henkilö asioi itsenäisesti ilman huoltajaa ja näitä tilanteita varten itsenäinen mahdollisuus henkilöllisyyden sähköiseen osoittamiseen ja sähköiseen allekirjoittamiseen olisi tarpeellinen. 

Lisäksi olisi huomattava, että pykälässä ehdotettu kolmentoistavuoden ikä koskisi ainoastaan eurooppalaisen digitaalisen identiteetin lompakon käyttöönottoa alaikäisen mobiililaitteeseen. Käytännössä kyse olisi eurooppalaisen digitaalisen identiteetin lompakon sovelluksen lataamisesta käyttäjän tekniselle laitteelle sekä henkilön tunnistetietojen käyttöönotosta. Kunkin sähköisen attribuuttitodistuksen osalta sovellettaisiin kuitenkin kutakin todistusta ja niiden tarjoajaa koskevaa sääntelyä. Myös lompakon luottavien osapuolten olisi itse arvioitava, voisiko alaikäinen hoitaa kussakin tapauksessa olevaa asiaa itsenäisesti vai tarvitseeko asian hoitamiseen huoltajan suostumuksen erikseen. Lompakon lataaminen alaikäisen mobiililaitteeseen ei siten tarkoittaisi välttämättä mahdollisuutta hoitaa asioita itsenäisesti jokaisessa asiointitilanteessa lompakon avulla, vaan tämä määräytyisi muun sääntelyn perusteella. 

Eurooppalaisen digitaalisen identiteetin lompakon on toisaalta nähty myös mahdollistavan alaikäisten parempaa suojelua sähköisessä asioinnissa. Keskustelu alaikäisten suojelusta sähköisissä palveluissa on noussut viime aikoina tärkeämmäksi erilaisten sosiaalisen median alustojen sekä videopelien käytön lisääntymisen myötä. Lompakon avulla on mahdollista osoittaa käyttäjän ikä luotettavalla tavalla, mikä voisi mahdollistaa erilaisiin sähköisiin palveluihin ja sosiaalisen median kanaviin liittyvää ikärajavalvontaa. Lisäksi alaikäiset voisivat osoittaa lompakolla oman henkilöllisyytensä vastaavalla tavalla kuin nykyisillä vahvan sähköisen tunnistamisen välineillä. Tunnistuslain säätämisen taustalla olevassa hallituksen esityksessä on todettu, että vahva sähköinen tunnistaminen on sekä käyttäjän että palveluntarjoajan kannalta turvallisempaa kuin heikon tunnistamisen käyttäminen. Esimerkiksi identiteettivarkaudet ovat vahvan sähköisen tunnistamisen menetelmissä helpommin torjuttavissa kuin heikon tunnistamisen menetelmissä (HE 36/2009 vp, s. 9). Heikossa tunnistamisessa henkilö voi luoda itselleen tai hänelle voidaan luoda useita sähköisiä niin sanottuja identiteettejä, jotka voivat myös poiketa henkilön todellisista ominaisuuksista. Henkilö voi antaa virheellistä tietoa esimerkiksi iästään tai sukupuolestaan (HE 36/2009 vp, s. 8). Ehdotettu ikäraja edistäisi siis myös tästä näkökulmasta entistä nuorempien mahdollisuutta käyttää turvallista tapaa henkilöllisyytensä osoittamiseen sähköisesti.  

Mikäli alle kolmetoistavuotias haluaisi ottaa eurooppalaisen digitaalisen identiteetin lompakon käyttöön, tarvittaisiin siihen huoltajan suostumus. Lapsen huollosta ja tapaamisoikeudesta annetun lain (361/1983) 5 §:n 1 momentin mukaan lapsen huoltajat vastaavat yhdessä lapsen huoltoon kuuluvista tehtävistä ja tekevät yhdessä lasta koskevat päätökset, jollei toisin ole säädetty tai määrätty. Ehdotetun pykälän mukaan lompakon käyttöönottoon riittäisi kuitenkin yhden huoltajan suostumus. Lompakon tarjoajan tulisi arvioida, millä tavalla huoltajan suostumus hankittaisiin. Huoltajan suostumus lompakon käyttöönottoon tulisi antaa viimeistään henkilön tunnistetietojen käyttöönoton yhteydessä. 

11 §.Eurooppalaisen digitaalisen identiteetin lompakon lähdekoodin luovuttaminen. Pykälässä säädettäisiin kansallisen liikkumavaran käyttämisestä liittyen eurooppalaisen digitaalisen identiteetin lompakkosovelluksen lähdekoodin luovuttamiseen. Kansallisesta liikkumavarasta on säädetty muutetun eIDAS-asetuksen 5 a artiklan 3 kohdassa. Liikkumavaran sisältö on selostettu tarkemmin jaksossa 2.2.1 Pykälän mukaan eurooppalaisen digitaalisen identiteetin lompakon tarjoajan ei tarvitsisi luovuttaa lompakon lähdekoodia sellaisten komponenttien osalta, joita ei ole asennettu käyttäjän laitteeseen silloin, jos sille on asianmukaisesti perusteltu syy. Lähdekoodin luovuttamista olisi siis mahdollista rajoittaa erilaisten taustajärjestelmien, kuten käytettyjen kirjastojen ja viestintäkanavien, osalta.  

Pykälän sanamuodon mukaan lompakon tarjoajan ei tarvitse luovuttaa eurooppalaisen digitaalisen identiteetin lompakon lähdekoodia, jos sille on asianmukaisesti perusteltu syy. Kyse olisi siten mahdollistavasta sääntelystä niin, että lompakon tarjoaja voisi kuitenkin aina harkintansa mukaan jättää soveltamatta ehdotettua sääntelyä ja luovuttaa lompakon lähdekoodin. Kansallisen liikkumavaran käyttämisessä on kyse poikkeuksesta, joten asianmukaisesti perustellun syyn käsillä oloa olisi tulkittava suppeasti. Lompakon tarjoajan tulisi arvioida, onko olemassa sellainen asianmukaisesti perusteltu syy, jonka perusteella lompakon lähdekoodia ei tarvitsisi luovuttaa. Digi- ja väestötietoviraston tulee noudattaa myös eurooppalaisen digitaalisen identiteetin lompakon tarjoamisessa viranomaisten toiminnan julkisuudesta annettua lakia (621/1999, myöhemmin julkisuuslaki). Lompakon lähdekoodin voidaan katsoa olevan julkisuuslain 5 §:ssä tarkoitettu viranomaisen asiakirja. Julkisuuslain 24 §:ssä säädetään salassa pidettävistä viranomaisen asiakirjoista ja pykälän 1 momentissa luetellaan eri salassapidon perusteet. Julkisuuslaki on säädetty perustuslakivaliokunnan myötävaikutuksella ja salassapidon perusteiden hyväksyttävyyttä suhteessa julkisuusolettamaan sekä muihin perusoikeuksiin on arvioitu lain esitöissä (HE 30/1998 vp). Esitetyistä arvioista ei ole tarkoituksenmukaista poiketa tässä yhteydessä ja ehdotetussa pykälässä tarkoitettuna asianmukaisena syynä voitaisiin siis lähtökohtaisesti pitää julkisuuslain 24 §:n mukaisia salassapidon perusteita. Digi- ja väestötietovirasto voisi siten olla luovuttamatta tarjoamansa lompakon lähdekoodia sellaisten komponenttien osalta, joita ei ole tallennettu käyttäjän laitteeseen, silloin kun jokin julkisuuslain 24 §:ssä tarkoitettu salassapidon peruste täyttyy. 

Julkisuuslakia ei sovelleta yksityisten palveluntarjoajien asiakirjoihin. Siten asianmukaista syytä ei voida vastaavalla tavalla suoraan johtaa julkisuuslain 24 §:n 1 momentin mukaisista salassapidon perusteista silloin, kun eurooppalaisen digitaalisen identiteetin lompakon tarjoaja on yksityinen palveluntarjoaja. Asianmukaisen syyn arvioinnissa voisi kuitenkin olla mahdollista hakea tukea julkisuuslain mukaisista salassapidon perusteista, kuten esimerkiksi 24 §:n 1 momentin 20 kohdan mukaisesta yksityisiin liikesalaisuuksiin liittyvästä salassapidon perusteesta. Lisäksi arvioinnissa tulisi antaa painoarvoa niille näkökulmille, joita lompakon lähdekoodin avoimuudella tavoitellaan. Muutetun eIDAS-asetuksen johdanto-osan 33 kohdan mukaan lähdekoodin avoimuudella on tarkoitus edistää lompakkoon liittyvää yhteiskunnallista luottamusta ja lompakon hyväksymistä käyttäjien keskuudessa. Lisäksi tarkoituksena on ollut varmistaa, että lompakon toiminta olisi mahdollisimman läpinäkyvää erityisesti henkilötietojen käsittelyn näkökulmasta. Lompakon lähdekoodin avoimuudella halutaan osaltaan varmistaa myös niiden turvallisuutta.  

12 §. Eurooppalaisen digitaalisen identiteetin lompakon hyväksytyn sähköisen allekirjoituksen maksullisuus.Pykälässä säädettäisiin kansallisen liikkumavaran käyttämisestä liittyen sähköisen allekirjoituksen maksullisuuteen. Kansallisesta liikkumavarasta säädetään muutetun eIDAS-asetuksen 5 a artiklan 5 kohdan toisessa osassa. Liikkumavaran sisältö on selostettu tarkemmin jaksossa 2.2.1. Ilman kansallisen liikkumavaran käyttämistä luonnollisten henkilöiden sähköinen allekirjoittaminen lompakon avulla olisi aina maksutonta. Hyväksytty sähköinen allekirjoitus on kuitenkin eIDAS-asetuksen mukainen luottamuspalvelu, jota tarjotaan nykyisin EU:ssa luottamuspalveluntarjoajien toimesta tyypillisesti maksua vastaan. Myös muutetun eIDAS-asetuksen 3 artiklan 16 kohdan mukaan luottamuspalvelulla tarkoitetaan sähköistä palvelua, jota yleensä tarjotaan vastiketta vastaan. Palvelun säätäminen maksuttomaksi merkitsee siis jo itsessään poikkeusta palvelun yleensä maksulliseen luonteeseen. Kansallisen liikkumavaran käyttämisellä halutaan vähentää kielteisiä vaikutuksia hyväksyttyä sähköistä allekirjoitusta tarjoavien luottamuspalvelun tarjoajien toimintaan. Säännöksellä ei kuitenkaan ole tarkoitus rajata tai muutoinkaan ottaa kantaa siihen, mihin käyttötarkoituksiin eurooppalaisella digitaalisen identiteetin lompakolla tapahtuvaa sähköistä allekirjoitusta voi tai ei voi käyttää. Säännöksen tarkoituksena on ainoastaan mahdollistaa maksun periminen silloin, kun sähköinen allekirjoitus tapahtuu allekirjoittajan ammatillisiin tarkoituksiin.  

Pykälän mukaan eurooppalaisen digitaalisen identiteetin lompakon tarjoaja tai hyväksytty luottamuspalvelun tarjoaja, joka tuottaa lompakkoon hyväksytyn sähköisen allekirjoituksen, voi periä maksun lompakolla tapahtuvasta sähköisestä allekirjoittamisesta silloin kun pykälässä tarkoitetut edellytykset täyttyvät. Käytännön toteutuksen näkökulmasta hyväksytyn sähköisen allekirjoituksen voi tuottaa lompakkoon eri taho kuin se, joka on varsinaisen lompakon tarjoaja ja tästä syystä päätösvalta maksullisuudesta voi kuulua myös kyseisen toiminnallisuuden tuottavalle hyväksytylle luottamuspalvelun tarjoajalle.  

Pykälän mukaan, maksu voitaisiin periä ensinnäkin silloin, kun voidaan luotettavasti todentaa lompakon käyttäjän kytkös organisaatioon. Käytännössä eurooppalainen digitaalisen identiteetin lompakko sisältäisi hyväksytyn sähköisen allekirjoittamisen luontivälineen tai lompakon avulla voisi käyttää ulkoista hyväksyttyä sähköisen allekirjoittamisen luontivälinettä. Kun lompakon käyttäjänä on luonnollinen henkilö, hyväksytyn sähköisen allekirjoittamisen luontiväline olisi lähtökohtaisesti henkilökohtainen. Tämän vuoksi siitä ei lähtökohtaisesti ole pääteltävissä luonnollisen henkilön organisaatiokytköstä, mikä tarvittaisiin esimerkiksi allekirjoittamisen tekemiseen virkatehtävissä. Tällöin lompakon käyttö sähköiseen allekirjoittamiseen vertautuisi lähtökohtaisesti nykyisin henkilökortilla olevan allekirjoitusvarmenteen käyttöön. Luotettava kytkös organisaatioon olisi kuitenkin mahdollista osoittaa esimerkiksi Suomi.fi-valtuuksia käyttämällä, erillisellä sähköisellä attribuuttitodistuksella tai hyväksytyllä sähköisellä leimalla. Säännöksen olisi kuitenkin tarkoitus olla teknologianeutraali ja tästä syystä siinä ei määriteltäisi kytköksen teknistä toteutustapaa.  

Luotettava kytkös organisaatioon voitaisiin osoittaa myös kehittämällä sellaisia eurooppalaisia digitaalisen identiteetin lompakoita, joiden käyttäjiä ovat luonnolliset henkilöt, jotka asioivat organisaation puolesta. Tällöin lompakolla tehdystä hyväksytystä sähköisestä allekirjoituksesta voitaisiin allekirjoittajan henkilöllisyyden lisäksi luotettavasti todentaa kytkös organisaatioon. Tämä toimintatapa rinnastuisi jossain määrin sähköiseen allekirjoittamiseen nykyisillä organisaatiokorteilla olevan allekirjoitusvarmenteen avulla. Organisaatiokytköksen varmentaminen tulisi tehdä samassa yhteydessä, kun henkilölle myönnetään allekirjoittamiseen tarvittava allekirjoitusvarmenne. Organisaatiokytköksen varmentaminen voisi tapahtua joko varmentajan taustajärjestelmän toimesta esim. ulkoista rekisteriä vasten tai vaihtoehtoisesti siten, että allekirjoittaja osoittaisi organisaatiokytköksen varmentamiseen tarvittavat tiedot omasta lompakostaan esim. sähköisen attribuuttitodistuksen avulla.  

Pykälän mukaan lompakolla tapahtuvasta sähköisestä allekirjoituksesta voitaisiin lisäksi periä maksu niissä tilanteissa, joissa voidaan luotettavasti todentaa allekirjoituksen kytkös ammatilliseen tarkoitukseen. Kytkös olisi mahdollista osoittaa esimerkiksi erillisellä sähköisellä attribuuttitodistuksella tai kytkös ja maksun periminen voisi perustua allekirjoituksia pyytävän osapuolen tietojärjestelmästä saatuun koontitietoon. Ammatillisesta tarkoituksesta voisi olla kyse esimerkiksi sellaisissa tilanteissa, joissa allekirjoitus tapahtuu osana eurooppalaisen digitaalisen identiteetin lompakon käyttäjän elinkeinotoimintaa. Yleisesti elinkeinotoiminnan tunnusmerkkeinä on nykylainsäädännössä pidetty ammattimaisuutta ja jatkuvuutta. Ei-ammattimaiseen toimintaan on puolestaan katsottu liittyvän tietty satunnaisuus. On kuitenkin mahdollista, että on myös sellaisia tilanteita, joissa ammattimaisuus on pienimuotoista, mutta jatkuvaa, kuten sivutoimisessa yrittäjyydessä.  

13 §. Eurooppalaisen digitaalisen identiteetin lompakon tarjoajan velvollisuudet tietoturvaloukkaustilanteissa. Pykälässä säädettäisiin eurooppalaisen digitaalisen identiteetin lompakon tarjoajan velvollisuuksista tilanteissa, joissa lompakkoon, 5 a artiklan 8 kohdassa tarkoitettuihin validointimekanismeihin tai sähköisen tunnistamisen järjestelmään, jonka puitteissa lompakkoa tarjotaan, kohdistuu tietoturvaloukkaus tai niiden turvallisuus on osittain vaarantunut. Sääntely olisi tarpeen sen selkiyttämiseksi, mikä taho vastaa muutetun eIDAS-asetuksen eurooppalaisten digitaalisen identiteetin lompakoiden tietoturvaloukkauksia koskevassa 5 e artiklassa jäsenvaltioille asetettujen velvollisuuksien toteuttamisesta (kts. tarkemmin velvollisuuksien sisällöstä jakso 2.2.1). 

Pykälän 1 momentissa säädettäisiin, että eurooppalaisen digitaalisen identiteetin lompakon tarjoaja vastaa tarjoamansa lompakon osalta muutetun eIDAS-asetuksen 5 e artiklassa ja sen nojalla annetuissa säännöksissä säädettyjen jäsenvaltioiden velvoitteiden toteuttamisesta. Lompakon tarjoajalla on parhaat edellytykset sen tarjoamaa lompakkoa koskevien tietoturvaloukkausten tai vaarantumisten havaitsemiseen ja hallinnointiin sekä 5 e artiklassa tarkoitettujen toimenpiteiden toteuttamiseen. Tästä syystä olisi tarkoituksenmukaista, että eurooppalaisen digitaalisen identiteetin lompakon tarjoaja vastaa artiklan mukaisista velvoitteista tarjoamansa lompakon osalta. Jäsenvaltioiden velvollisuuksia on tarkennettu komission täytäntöönpanoasetuksessa (EU) 2025/847. Täytäntöönpanoasetuksessa säädetään esimerkiksi tietoturvaloukkauksen tai turvallisuuden vaarantumisen arviointiperusteista sekä lompakoiden tarjoamisen ja käytön keskeyttämisestä ja muista korjaavista toimenpiteistä sekä käytön uudelleen aloittamisesta. Momentissa ei kuitenkaan viitattaisi suoraan kyseiseen asetukseen, sillä komissio on ilmaissut, että se mahdollisesti muuttaa asetusta lähivuosien aikana ja tästä syystä momentissa viitattaisiin vain eIDAS-asetukseen ja sen nojalla annettuun sääntelyyn.  

Pykälän 2 momentissa säädettäisiin niistä tilanteista, joissa eurooppalaisen digitaalisen identiteetin lompakon tarjoaja ei voi täyttää tietoturvaloukkauksista ilmoittamiseen liittyviä jäsenvaltion velvollisuuksia teknisistä syisitä. Tällöin ilmoituksen tekisi Liikenne- ja viestintävirasto. Komission täytäntöönpanoasetuksen (EU) 2025/847 10 artiklan mukaan ilmoitukset on tehtävä ENISA:n ylläpitämän CIRAS-järjestelmän tai jäsenvaltioiden ja komission hyväksymän vastaavan järjestelmän kautta. Lähtökohtaisesti CIRAS-järjestelmän kautta ei ole mahdollista tehdä ilmoituksia kuin julkisen sektorin toimijan toimesta. Käytännössä tämä tarkoittaa, että kun lompakon tarjoajana on yksityisen sektorin toimija, sillä ei ole mahdollisuutta täyttää jäsenvaltioiden ilmoittamiseen liittyviä velvollisuuksia 5 e artiklan tarkoittamissa tilanteissa. Tästä syystä olisi tarpeen säätää, että näissä tilanteissa ilmoituksen tekee Liikenne- ja viestintävirasto. Lompakon tarjoajalla olisi velvollisuus toimittaa tarvittavat tiedot Liikenne- ja viestintävirastolle ilman aiheetonta viivytystä. Tietojen toimittamisen osalta olisi huomioitava komission täytäntöönpanoasetuksessa (EU) 2025/847 tarkoitetut määräajat ilmoituksen tekemiselle ja varmistettava, että Liikenne- ja viestintävirastolle jää kohtuullinen aika ilmoituksen tekemiseen.  

14 §. Eurooppalaisen digitaalisen identiteetin lompakon käyttäjän velvollisuudet. Pykälässä säädettäisiin eurooppalaisen digitaalisen identiteetin lompakon käyttäjän velvollisuuksista liittyen lompakon säilyttämiseen ja käyttämiseen. Muutetun eIDAS-asetuksen 3 artiklan 5 a alakohdassa määritellään käyttäjä, jolla tarkoitetaan luonnollista henkilöä tai oikeushenkilöä taikka toista luonnollista henkilöä tai oikeushenkilöä edustavaa luonnollista henkilöä, joka käyttää eIDAS-asetuksen mukaisesti tarjottuja luottamuspalveluja tai sähköisen tunnistamisen menetelmiä. Lisäksi muutetun eIDAS-asetuksen nojalla annetuissa komission täytäntöönpanoasetuksissa määritellään lompakon käyttäjä ja sillä tarkoitetaan käyttäjää, jonka hallinnassa lompakkoyksikkö on.  

Muutettu eIDAS-asetus ei sääntele eurooppalaisen digitaalisen identiteetin lompakon käyttäjän vastuita, jolloin asiasta säänteleminen jää kansalliseen harkintaan. Pykälän 1 momentin mukaan eurooppalaisen digitaalisen identiteetin lompakon käyttäjän olisi käytettävä lompakkoa huolellisesti. Huolellisuusvelvoite kohdistuisi erityisesti niihin yksilöiviin tietoihin, joiden avulla lompakkoa on mahdollista käyttää, kuten PIN-koodiin tai muuhun vastaavaan tunnuslukuun tai tunnisteeseen. Arvioitaessa sitä, millaisia varotoimia käyttäjältä voidaan kohtuudella edellyttää, on otettava huomioon, että lompakko sisältyy useissa tapauksissa henkilön mobiililaitteeseen, jota hän käyttää usein ja jota hän kuljettaa mukanaan. Kohtuullisiin varotoimiin kuuluisi esimerkiksi se, että laitteen, jolla lompakko on, tallella oloa seurataan olosuhteiden edellyttämällä tavalla. Varotoimien huolellisuutta arvioidaan kokonaisuutena. Lompakon käyttäjän huolellisuusvelvoite alkaa, kun hän on ottanut lompakon käyttöön. Lompakon käytöllä tarkoitettaisiin kaikkien lompakon ominaisuuksien käyttämistä. Huolellisuusvelvoite koskisi siten lompakolla tapahtuvaa sähköistä tunnistamista, sähköistä allekirjoitusta sekä sähköisten attribuuttitodistusten käyttämistä. Jos siis sähköinen allekirjoittaminen tai leimaaminen tapahtuu lompakolla, niin siihen ei sovellettaisi ehdotetussa 16 §:ssä säädettyjä velvollisuuksia.  

Pykälän 1 momentissa säädettäisiin lisäksi kiellosta luovuttaa eurooppalainen digitaalisen identiteetin lompakko toisen käyttöön. Lompakko on tarkoitettu ainoastaan siihen liitetyn henkilön henkilöllisyyden ja vahvistettujen tietojen osoittamiseen. Sääntely olisi tarpeen lompakon käyttäjän vastuun ulottuvuuden määrittämisen näkökulmasta ja vastaavaa säännös sisältyy tunnistuslain 23 §:n 2 momenttiin. Lompakko mahdollistaa sen käyttäjälle sähköisen tunnistamisen sekä myös muiden henkilöön itseensä liittyvien tietojen käyttämisen. Jotta asiointipalvelut voisivat luottaa lompakkoon perustuvaan tunnistamiseen ja lompakolla osoitettaviin tietoihin, on välttämätöntä, että lompakko ja sillä tapahtuva asiointi kohdistuu varmuudella vain yhteen henkilöön. Sääntelyn tarkoituksena on lisäksi selkiyttää käyttäjälle, että vaikka eurooppalainen digitaalisen identiteetin lompakko on lähtökohtaisesti mobiililaitteessa toimiva sovellus ja sellaisenaan nykyisin melko arkipäiväinen asia, se on tarkoitettu vain sen käyttäjän käytettäväksi. Sääntelyn yhdenmukaisuus tunnistuslain sääntelyn kanssa tukisi ehdotetun sääntelyn tavoitetta selkiyttää käyttäjille, että eurooppalaiseen digitaalisen identiteetin lompakkoon ja sen käyttöön liittyisi vastaava velvollisuus huolehtia lompakosta, kuin nykyisten vahvojen sähköisten tunnistusvälineiden osalta.  

Ehdotettu 1 momentti ei sisältäisi nimenomaista säännöstä siitä, että kielto luovuttaa eurooppalainen digitaalisen identiteetin lompakko toisen käyttöön ei koskisi niitä tilanteita, joissa lompakon käyttäjä tarvitsee henkilökohtaisen avustajan apua lompakon käyttämiseen. Muutetun eIDAS-asetuksen 5 a artiklan 21 kohdan mukaan eurooppalaisten digitaalisen identiteetin lompakoiden on kuitenkin oltava esteettömästi vammaisten henkilöiden käytettävissä yhdenvertaisesti muiden käyttäjien kanssa Euroopan parlamentin ja neuvoston direktiivin (EU) 2019/882 mukaisesti. Ehdotettu 1 momentti ei rajoittaisi tätä eIDAS-asetuksessa säädettyä vaatimusta. Esteettömyydellä tarkoitetaan sitä, että poistetaan tuotteiden ja palvelujen käytön esteet ja ehkäistään niiden synty. Esteettömyyden ansiosta vammaiset ja toimintarajoitteiset henkilöt kykenevät havainnoimaan, käyttämään ja ymmärtämään tuotteita ja palveluja yhdenvertaisesti muiden kanssa. Yhdenvertaisuuslain (1325/2014) 15 §:n mukaan viranomaisen, sekä tavaroiden tai palvelujen tarjoajan on tehtävä asianmukaiset ja kulloisessakin tilanteessa tarvittavat kohtuulliset mukautukset, jotta vammainen henkilö voi yhdenvertaisesti muiden kanssa käyttää viranomaisten palveluita sekä saada yleisesti tarjolla olevia tavaroita ja palveluita. Mukautusten kohtuullisuutta arvioitaessa otetaan huomioon vammaisen ihmisen tarpeiden lisäksi toimijan koko, taloudellinen asema, toiminnan luonne ja laajuus sekä mukautusten arvioidut kustannukset ja mukautuksia varten saatavissa oleva tuki.  

Asiakkaan tarpeiden mukaisesti mahdollisia mukauttamismuotoja voivat olla muun muassa pistekirjoitettujen asiakirjojen toimittaminen, tunnuslukujen tarjoaminen sähköisessä muodossa, sormenjälkitunnistautuminen tai henkilökohtaisen avustajan käytön salliminen. Lompakon tarjoamisessa on kuitenkin arvioitava, minkälaiset mukautukset ovat mahdollisia eIDAS-asetuksen ja sen nojalla annetun sääntelyn sekä kansallisen sertifiointijärjestelmän puitteissa, jotta vammainen henkilö voi yhdenvertaisesti käyttää eurooppalaista digitaalisen identiteetin lompakkoa. Jos lompakon tarjoamisessa on tehty lompakon yhdenvertaisen käytön mahdollistavia mukautuksia ja mahdollistettu esimerkiksi henkilökohtaisen avustajan käyttö, olisi nämä mukautukset otettava huomioon, kun arvioidaan sitä, onko käyttäjä luovuttanut lompakon toisen käyttöön. Esimerkiksi kyse ei lähtökohtaisesti olisi lompakon luovuttamisesta toisen käyttöön silloin, jos kohtuullisena mukautuksena on mahdollistettu henkilökohtaisen avustajan käyttö. Ehdotetun sääntelyn suhdetta yhdenvertaisuuteen on käsitelty tarkemmin jaksossa 12.1. 

Pykälän 2 momentissa säädettäisiin eurooppalaisen digitaalisen identiteetin lompakon käyttäjän velvollisuudesta ilmoittaa, jos tekninen laite joutuu oikeudettomasti toisen haltuun tai lompakkoa käytetään oikeudettomasti. Ilmoitus olisi tehtävä lompakon tarjoajalle ilman aiheetonta viivytystä sen jälkeen, kun lompakon käyttäjä on havainnut asian. Lompakon käyttäjän vastuu sen oikeudettomasta käytöstä päättyisi sen jälkeen, kun ilmoitus on tehty. Sitä, onko lompakon käyttäjä tehnyt ilmoituksen ilman aiheetonta viivytystä, arvioidaan tapauskohtaisesti olosuhteet huomioon ottaen. Ilmoitukselle ei määriteltäisi määrättyä muotoa.  

15 §.Eurooppalaisen digitaalisen identiteetin lompakon käyttäjän vastuu lompakon oikeudettomasta käytöstä. Pykälässä säädettäisiin eurooppalaisen digitaalisen identiteetin lompakon käyttäjän vastuusta tilanteissa, jossa toinen henkilö käyttää tai on käyttänyt lompakkoa oikeudettomasti. Pykälää sovellettaisiin esimerkiksi silloin kun mobiilipäätelaite, jossa eurooppalainen digitaalisen identiteetin lompakko on otettu käyttöön, on kadonnut tai varastettu ja sen löytänyt tai anastanut henkilö onnistuu käyttämään lompakkoa ja sen sisältämiä tietoja. Tunnistuslain 27 § sisältää nykyisin vastaavat säännökset tunnistusvälineen haltijan vastuusta tunnistusvälineen oikeudettomasta käytöstä. Vastaavasti maksupalvelulaissa (290/2010) on säännelty maksupalvelun käyttäjän vastuusta maksuvälineen oikeudettomasta käytöstä ja kuluttajansuojalain 7 luvun 40 §:ssä kuluttajan vastuusta luottokortin tai muun luoton käyttöön oikeuttavan tunnisteen oikeudettomasta käytöstä.  

Pykälän 1 momentissa säädettäisiin tyhjentävästi niistä tilanteista, joissa eurooppalaisen digitaalisen identiteetin lompakon käyttäjä vastaa lompakon oikeudettomasta käytöstä. Lompakon käytöllä tarkoitettaisiin kaikkien lompakon ominaisuuksien käyttämistä. Huolellisuusvelvoite koskisi siten lompakolla tapahtuvaa vahvaa sähköistä tunnistamista, sähköistä allekirjoitusta sekä sähköisten attribuuttitodistusten käyttämistä. Jos siis sähköinen allekirjoittaminen tai leimaaminen ei tapahdu lompakolla, niin siihen ei sovellettaisi ehdotetussa 15 §:ssä säädettyä vastuuta. Käyttäjä voisi momentin 1 kohdan mukaan joutua vastaamaan sellaisesta oikeudettomasta käytöstä, joka johtuu siitä, että eurooppalaisen digitaalisen identiteetin lompakon käyttäjä on itse luovuttanut lompakon toisen käyttöön. Säännöksessä tarkoitetusta luovutuksesta olisi kyse silloin, kun lompakon käyttäjä tietoisesti ja vapaaehtoisesti luovuttaa lompakon hallinnan toiselle. Säännös ei siis koskisi esimerkiksi tilanteita, joissa lompakon käyttäjä väliaikaisesti luovuttaa toiselle säilytettäväksi mobiilipäätelaitteen, jossa lompakko on otettu käyttöön. Säännöksen soveltaminen edellyttää, että jotakin lompakon hallintaan tarvittavia tietoja on luovutettu, kuten sovelluksen käyttöön tarvittava numerokoodi tai muu tunnus.  

Arvioitaessa sitä, onko henkilö itse luovuttanut lompakon toisen käyttöön tulisi kuitenkin edellä 14 §:n perusteluissa kuvatulla tavalla ottaa huomioon, jos lompakon tarjoamisessa on tehty lompakon yhdenvertaisen käytön mahdollistavia mukautuksia ja mahdollistettu esimerkiksi henkilökohtaisen avustajan käyttö. Kyse ei lähtökohtaisesti olisi lompakon luovuttamisesta toisen käyttöön silloin, jos kohtuullisena mukautuksena on mahdollistettu henkilökohtaisen avustajan käyttö. Ehdotetun sääntelyn suhdetta yhdenvertaisuuteen on käsitelty tarkemmin jaksossa 12.1. 

Momentin 2 kohdan mukaan lompakon käyttäjä voisi joutua vastuuseen lompakon oikeudettomasta käytöstä, jos oikeudeton käyttö johtuu hänen huolimattomuudestaan, joka ei ole lievää. Momentin 3 kohdan mukaan lompakon käyttäjä voisi lisäksi joutua vastuuseen lompakon oikeudettomasta käytöstä, jos hän on laiminlyönyt ehdotetun 14 §:n mukaisen velvollisuutensa ilmoittaa lompakon tarjoajalle teknisen alustan joutumisesta oikeudettomasti toisen haltuun tai lompakon oikeudettomasta käytöstä ilman aiheetonta viivytystä havaittuaan asian.  

Pykälän 2 momentissa säädettäisiin tilanteista, joissa eurooppalaisen digitaalisen identiteetin lompakon käyttäjä ei kuitenkaan olisi vastuussa lompakon oikeudettomasta käytöstä, vaikka kyse olisi jonkin 1 momentissa säädetyn vastuun perusteen täyttymisestä. Momentin 1 kohdan mukaan lompakon käyttäjä ei ole vastuussa lompakon oikeudettomasta käytöstä siltä osin kuin sitä on käytetty sen jälkeen, kun käyttäjä on tehnyt lompakon tarjoajalle ehdotetun 14 §:n mukaisen ilmoituksen. Momentin 2 kohdan mukaan lompakon käyttäjä ei myöskään olisi vastuussa lompakon käytöstä, jos hän ei ole voinut tehdä ehdotetun 14 §:n mukaista ilmoitusta sen vuoksi, että lompakon tarjoaja on laiminlyönyt velvollisuutensa huolehtia siitä, että ilmoitus on mahdollista tehdä. 

Pykälän 3 momentissa säädettäisiin vastuusääntelyn pakottavuudesta kuluttajan suojaamiseksi. Vastaava säännös on tunnistuslain 3 §:ssä. 

16 §.Eurooppalaisen digitaalisen identiteetin lompakon luottavien osapuolten kansallinen rekisteri. Pykälän 1 momentissa säädettäisiin Liikenne- ja viestintäviraston tehtäväksi perustaa muutetun eIDAS-asetuksen 5 b artiklassa tarkoitettu eurooppalaisen digitaalisen identiteetin lompakon luottavien osapuolten kansallinen rekisteri ja toimia sen rekisterinpitäjänä. Sääntely olisi tarpeen, sillä muutettu eIDAS-asetus säätää velvollisuuden luottaville osapuolille rekisteröityä siinä jäsenvaltiossa, johon ne ovat sijoittautuneet. Lisäksi 5 b artiklan nojalla annetun komission täytäntöönpanoasetuksen (EU) 2025/848 3 artiklan 1 kohdassa edellytetään, että jäsenvaltiot perustavat vähintään yhden lompakkoon luottavien osapuolten kansallisen rekisterin. Pykälässä ei kuitenkaan viitattaisi komission täytäntöönpanoasetukseen nimenomaisesti, sillä komissio on ilmoittanut muuttavansa eurooppalaisen digitaalisen identiteetin lompakon toteuttamiseen liittyviä täytäntöönpanoasetuksia. Muutetun eIDAS-asetuksen 5 b artiklan tai sen nojalla annetun komission täytäntöönpanoasetuksen perusteella ei kuitenkaan olisi selvää, mikä taho Suomessa tämän velvoitteen toteutumisen varmistaisi ja tästä syystä kansallinen täydentävä sääntely on tarpeen. 

Pykälän 1 momentissa säädettäisiin lisäksi, että Liikenne- ja viestintävirasto toimisi rekisterinpitäjänä luottavien osapuolten rekisteröintiin liittyen. Luottavat osapuolet ovat lähtökohtaisesti oikeushenkilöitä, mutta ne voivat olla myös luonnollisia henkilöitä ja luottavien osapuolten rekisteriin voi liittyä henkilötietojen käsittelyä. Henkilötietojen käsittelyn oikeusperuste olisi yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta, jonka mukaisessa tilanteessa henkilötietojen käsittely on tarpeen rekisterinpitäjän lakisääteisen velvollisuuden noudattamiseksi. Muutetun eIDAS-asetuksen 5 b artiklan nojalla annettu komission täytäntöönpanoasetus (EU) 2025/848 edellyttää, että jäsenvaltiot nimeävät vähintään yhden rekisterinpitäjän hallinnoimaan ja ylläpitämään lompakkoon luottavien osapuolten kansallista rekisteriä. Pykälässä säädettäisiin siis muutettua eIDAS-asetusta täydentävästi, että Liikenne- ja viestintäviraston tehtävänä olisi ylläpitää luottavien osapuolten rekisteriä Suomessa ja toimia sen rekisterinpitäjänä. Siten muutettu eIDAS-asetus ja täydentävä kansallinen lainsäädäntö yhdessä muodostavat Liikenne- ja viestintäviraston lakisääteisen velvollisuuden.  

Tehtävä olisi tarkoituksenmukaista osoittaa Liikenne- ja viestintävirastolle, sillä se toimii eurooppalaisten digitaalisen identiteetin lompakoiden valvovana viranomaisena ja muutetun eIDAS-asetuksen 46 a artiklan 4 kohdan f alakohdan mukaan Liikenne- ja viestintäviraston tehtäviin valvovana viranomaisena kuuluu tietyissä tilanteissa luottavien osapuolten rekisteröinnin tai 5 b artiklan 7 kohdassa tarkoitettuun yhteiseen mekanismiin sisällyttämisen keskeyttäminen tai peruuttaminen. Jotta Liikenne- ja viestintävirasto voisi suorittaa myös nämä tehtävänsä tehokkaasti, olisi tarkoituksenmukaista, että se ylläpitäisi luottavien osapuolten rekisteriä.  

Pykälän 2 momentissa säädettäisiin, että Liikenne- ja viestintävirasto vastaa eIDAS-asetuksen 5 b artiklassa ja sen nojalla annetuissa säännöksissä säädetyistä jäsenvaltion velvollisuuksista Suomessa. Komission täytäntöönpanoasetuksessa (EU) 2025/848 on säädetty jäsenvaltion tehtäväksi esimerkiksi asettaa tiedot rekisteröidyistä lompakkoon luottavista osapuolista julkisesti saataville verkossa. Lisäksi jäsenvaltioiden tulee varmistaa, että perustetut lompakkoon luottavien osapuolten kansalliset rekisterit ovat asiaankuuluvien yhteisten rekisteröintiperiaatteiden mukaisia. Liikenne- ja viestintävirastolla on rekisterinpitäjänä parhaat edellytykset täyttää säädetyt jäsenvaltion velvoitteet ja tästä syystä niiden kansallinen toteuttaminen säädettäisiin viraston tehtäväksi. 

Pykälän 3 momentissa säädettäisiin Liikenne- ja viestintävirastolle uusi määräyksenantovaltuus, jonka mukaan Liikenne- ja viestintävirasto voi antaa tarkempia määräyksiä eurooppalaisen digitaalisen identiteetin lompakon luottavien osapuolten pääsyvarmenteiden ja rekisteröintivarmenteiden toteuttamisesta sekä niiden varmennepolitiikoista ja varmennuskäytännöistä noudattaen eIDAS-asetuksen 5 b artiklan nojalla annettuja säännöksiä. Komission täytäntöönpanoasetuksessa (EU) 2025/848 säädetään kumpaakin edellä mainittua varmennetta koskevista perusvaatimuksista. Jäsenvaltioille annetaan kuitenkin tehtäväksi panna täytäntöön varmenteisiin liittyvät varmennepolitiikat ja määritellä joitain niihin liittyviä vaatimuksia. Kyseiset varmenteet liittyvät kiinteästi lompakkoon luottavien osapuolten kansalliseen rekisterin toteuttamiseen.  

17 §. Eurooppalaisen digitaalisen identiteetin lompakon kehyksenvalidointimekanismit. Pykälässä säädettäisiin muutetun eIDAS-asetuksen 5 a artiklan 8 kohdan mukaisten validointimekanismien toteuttamisesta Suomessa. Pykälässä säädetyt validointimekanismit tulee tarjota maksutta. Pykälän 1 momentissa säädettäisiin Digi- ja väestötietoviraston velvollisuudesta tarjota validointimekanismi, jolla varmistetaan, että eurooppalaisten digitaalisen identiteetin lompakkojen aitous ja voimassaolo voidaan tarkistaa.  

Pykälän 2 momentissa säädettäisiin Liikenne- ja viestintäviraston velvollisuudesta tarjota muutetun eIDAS-asetuksen 5 a artiklan 8 kohdan b alakohdan mukainen validointimekanismi, jolla annetaan käyttäjille mahdollisuus tarkistaa 5 b artiklan mukaisesti rekisteröityjen luottavien osapuolten henkilöllisyyden aitous ja kelpoisuus. Ehdotetussa 16 §:ssä säädettäisiin Liikenne- ja viestintäviraston velvollisuudesta perustaa Suomessa eurooppalaisen digitaalisen identiteetin lompakon luottavien osapuolten kansallinen rekisteri ja toimia sen rekisterinpitäjänä. Liikenne- ja viestintävirasto toteuttaisi momentissa tarkoitetun validointimekanismin lompakkoon luottavien osapuolten kansallisen rekisterin osana ylläpitämällä julkista rajapintaa, jonka avulla kuka tahansa voi tehdä kyselyitä kansalliseen luottavien osapuolten rekisteriin. Tämä julkinen rajapinta tarjoaisi sekä kone- että ihmisluettavat rajapinnat, joiden avulla voitaisiin tarkistaa rekisteröityjen luottavien osapuolten henkilöllisyyden aitous ja kelpoisuus. 

18 §. Henkilöllisyyden linkittäminen. Pykälässä säädettäisiin henkilöllisyyden linkittämisen toteuttamisesta Suomessa. Henkilöllisyyden linkittämistä on kuvattu tarkemmin jaksossa 2.2.2 Muutetun eIDAS-asetuksen 11 a artikla edellyttää, että jäsenvaltiot varmistavat, että sellaisten luonnollisten henkilöiden henkilöllisyys, jotka käyttävät ilmoitettuja sähköisen tunnistamisen menetelmiä tai eurooppalaisia digitaalisen identiteetin lompakoita, voidaan linkittää yksiselitteisesti. Muutetun eIDAS-asetuksen sääntelyn perusteella ei kuitenkaan olisi selvää, miten velvoite toteutetaan tai mikä tai mitkä tahot Suomessa toteuttavat velvoitteen ja tästä syystä kansallinen täydentävä sääntely olisi tarpeen.  

Pykälän 1 momentin mukaan henkilöllisyyden linkittäminen toteutettaisiin Suomessa keskitetysti ja toteuttamisesta vastaisi Digi- ja väestötietovirasto. Muutetun eIDAS-asetuksen sääntely mahdollistaisi velvoitteen toteuttamisen myös hajautetusti niin, että kukin luottava osapuoli huolehtisi velvoitteen toteuttamisesta itse. Suomessa henkilöllisyyden linkittäminen toteutettaisiin kuitenkin keskitettynä ratkaisuna, jossa Digi- ja väestötietovirasto toteuttaa henkilöllisyyden linkittämisen kaikkien velvoitteen piiriin kuuluvien asiointipalveluiden puolesta. Esityksen valmistelussa on arvioitu keskitetyn ratkaisun olevan kustannustehokkain ja tarkoituksenmukaisin ratkaisu henkilöllisyyden linkittämisen toteuttamiseen Suomessa. Henkilöllisyyden linkittäminen tarjottaisiin 1 momentin mukaan sekä viranomaisille että muille julkista hallintotehtävää hoitaville, sillä 11 a artikla edellyttää henkilöllisyyden linkittämistä niissä tilanteissa, joissa jäsenvaltio toimii luottavana osapuolena.  

Käytännössä Digi- ja väestötietovirasto toteuttaa henkilöllisyyden linkittämisen tietopalvelun, johon asiointipalvelun tulee rekisteröityä. Suomi.fi-tunnistuspalvelu toimisi yhtenä henkilöllisyyden linkittämistä hyödyntävänä asiointipalveluna ja vastaisi siten henkilöllisyyden linkittämisen pyytämisestä tietopalvelusta niiden asiointipalveluiden puolesta, jotka käyttävät Suomi.fi-tunnistuspalvelua. Henkilöllisyyden linkittämisen tietopalvelussa pyrittäisiin tekemään henkilöllisyyden linkittäminen suhteessa väestötietojärjestelmässä olemassa oleviin tietoihin. Siten henkilöllisyyden linkittämisen onnistuminen edellyttää, että henkilö on rekisteröity väestötietojärjestelmään. Henkilöllisyyden linkittämisessä ei luotaisi väestötietojärjestelmään uusia rekisteri-identiteettejä, vaan henkilöiden rekisteröimiseen väestötietojärjestelmään sovellettaisiin edelleen olemassa olevaa sääntelyä.  

Digi- ja väestötietoviraston tulisi toteuttaa henkilöllisyyden linkittäminen noudattaen eIDAS-asetuksen 11 a artiklaa ja sen nojalla annettuja säännöksiä. Komissio on antanut täytäntöönpanoasetuksen (EU) 2025/846 soveltamissäännöistä luonnollisten henkilöiden rajat ylittävän henkilöllisyyden linkittämisen osalta. Täytäntöönpanoasetuksessa määritellään prosessin yleiset vaatimukset luottavien osapuolten tai niiden käyttämän keskitetyn järjestelmän velvollisuuksista linkittämisprosessin eri lopputuloksiin liittyen. Lisäksi säädetään prosessiin liittyvästä linkityslokista. Säännös ei kuitenkaan sisältäisi nimenomaista viittausta kyseiseen täytäntöönpanoasetukseen, sillä komissio on ilmaissut mahdollisesti muuttavansa jo antamiaan täytäntöönpanoasetuksia.  

Ehdotetun 2 momentin mukaan Digi- ja väestötietovirasto säilyttäisi eIDAS-asetuksen 11 a artiklan nojalla annetuissa säännöksissä tarkoitettuja henkilöllisyyden linkittämisprosessin tietoja enintään kaksi vuotta niiden tallentamisajankohtaa seuraavan kalenterivuoden alusta lukien. 

Pykälän 3 momentissa säädettäisiin yksityisen sektorin toimijoiden oikeudesta käyttää Digi- ja väestötietoviraston toteuttamaa henkilöllisyyden linkittämistä. Edellä mainitun komission täytäntöönpanoasetuksen (EU) 2025/846 mukaan jäsenvaltiot voivat halutessaan mahdollistaa henkilöllisyyden linkittämisen myös yksityisen sektorin sähköisiin asiointipalveluihin. Yksityisen sektorin asiointipalveluissa on vastaavalla tavalla tärkeää, että muista jäsenvaltioista asioivat voidaan linkittää heistä jo olemassa oleviin tietoihin. Henkilöllisyyden linkittäminen olisi tärkeää erityisesti sellaisille yhteisöille ja yrityksille, joilla on jäsenvaltioiden rajat ylittävää toimintaa. Säännöksen mukaan yksityiset yhteisöt, säätiöt ja elinkeinonharjoittajat saisivat käyttää Digi- ja väestötietoviraston tarjoamaa henkilöllisyyden linkittämistä. Käytännössä tämä edellyttäisi, että ne rekisteröityvät henkilöllisyyden linkittämisen tietopalvelun käyttäjiksi. Digi- ja väestötietovirasto voisi periä yksityisen sektorin toimijoilta maksun henkilöllisyyden linkittämisen tietopalvelun käyttöoikeudesta tai käytöstä. Pykälän 3 momenttia sovellettaisiin ehdotetun voimaantulosäännöksen mukaan vasta 1.1.2028.  

19 §. Kansallinen solmupiste. Pykälässä säädettäisiin Digi- ja väestötietoviraston tehtäväksi ylläpitää kansallista solmupistettä. Säännös vastaisi aiempaa tunnistuslain 42 c §:ää. Muutettu eIDAS-asetus ei merkittävästi vaikuttanut asetuksen 12 artiklassa säädettyyn yhteentoimivuusjärjestelmään, jonka osa kansallinen solmupiste on. Digi- ja väestötietoviraston tehtävästä ylläpitää kansallista solmupistettä olisi siten edelleen tarpeen säännellä kansallisessa täydentävässä lainsäädännössä. 

3 luku Luottamuspalvelut 

Luvun 20–22 §:t vastaisivat voimassa olevan tunnistuslain 4 a lukua eli 39–41 §:ää. Jatkossa kaikki eIDAS-asetusta täydentävä sääntely, mukaan lukien luottamuspalveluja koskeva täydentävä sääntely, sisältyisi nyt ehdotettuun uuteen eIDAS-lakiin. Muutetun eIDAS-asetuksen johdosta ei ole tarpeen tehdä muutoksia luottamuspalveluja koskevaan täydentävään kansalliseen sääntelyyn näiden säännösten osalta, joten ne siirrettäisiin lähes sellaisenaan tunnistuslaista. Säännöksiin tehtäisiin vain vähäisiä terminologisia tarkennuksia. Ehdotetun eIDAS-lain ehdotettujen 20–22 §:ien osalta pätee tunnistuslakia koskevassa alkuperäisessä hallituksen esityksessä (HE 36/2009 vp) sekä tunnistuslain muuttamista koskevassa hallituksen esityksessä (HE 74/2016 vp) tunnistuslain 39–41 §:ien osalta säännöskohtaisissa perusteluissa todettu. 

23 §. Digi- ja väestötietoviraston ohjeistus attribuuttien tarkastamiseksi virallisista lähteistä. Pykälässä säädettäisiin Digi- ja väestötietoviraston velvollisuudesta laatia ohjeistus niistä sähköisistä menetelmistä, joita hyväksytyt luottamuspalvelun tarjoajat voivat hyödyntää, kun ne haluavat tarkastaa eIDAS-asetuksen liitteessä VI tarkoitetut attribuutit niiden virallisista lähteistä Suomessa. Sääntelyllä pantaisiin täytäntöön muutetun eIDAS-asetuksen 45 e artiklan velvoite, jonka mukaan jäsenvaltioiden on liitteessä VI tarkoitettujen attribuuttien osalta toteutettava toimenpiteitä, joiden avulla sähköisten attribuuttitodistusten hyväksytyt luottamuspalvelun tarjoajat voivat tarkastaa kyseiset attribuutit sähköisesti käyttäjän pyynnöstä, jos kyseiset attribuutit perustuvat julkisen sektorin rekistereihin. Komissio on antanut artiklaa täydentävän komission täytäntöönpanoasetuksen (EU) 2025/1569, jonka 9 artiklan 1 kohdan mukaan jäsenvaltioiden on otettava käyttöön mekanismeja, jotka mahdollistavat muutetun eIDAS-asetuksen 45 e artiklassa tarkoitetun tarkastamisen. Saman kohdan mukaan jäsenvaltiot voivat asettaa saataville keskitettyjä tarkastuspisteitä.  

Pykälän 1 momentissa asetettaisiin Digi- ja väestötietovirastolle velvollisuus ohjeistuksen laatimiseen. Suomessa ei siten asetettaisi saataville keskitettyä tarkastuspistettä, jonka kautta hyväksytyt luottamuspalvelun tarjoajat voisivat tarkastaa kaikki liitteessä VI tarkoitetut attribuutit. Sen sijaan Suomessa toteuttava mekanismi olisi ohjeistus, joka ohjaisi hyväksytyt luottamuspalvelun tarjoajat kunkin attribuutin osalta relevantin julkisen rekisterin äärelle ja hyväksytty luottamuspalvelun tarjoaja sopisi suoraan kyseisen rekisterin kanssa siitä, miten tietojen tarkastaminen rekisteristä olisi sille mahdollista. Esityksen valmistelussa on arvioitu, ettei keskitetyn tarkastuspisteen toteuttaminen ole tarkoituksenmukaista, sillä Suomessa julkisen sektorin rekisterit ovat jo hyvin pitkälti sähköisessä muodossa ja niihin on olemassa sähköisiä rajapintoja, joiden kautta muutetun eIDAS-asetuksen 45 e artiklassa tarkoitettu velvoite voitaisiin toteuttaa. Attribuuttien tarkastaminen määräytyisi siis kunkin attribuutin olemassa olevan rekisterin käytäntöjen, teknisten rajapintojen ja sääntelyn mukaisesti.  

Pykälän 2 momentissa säädettäisiin tarkemmin, mitä Digi- ja väestötietoviraston laatiman ohjeistuksen tulisi sisältää. Ohjeistuksessa tulisi olla vähintään kuvaus eIDAS-asetuksen liitteessä VI tarkoitettujen attribuuttien virallisista lähteistä Suomessa sekä kuvaus virallisiin lähteisiin saatavilla olevista teknisistä rajapinnoista. Tarkoitus olisi, että hyväksytty luottamuspalvelun tarjoaja pystyisi saamaan ohjeistuksesta riittävät tiedot missä rekisterissä kukin liitteessä VI tarkoitettu attribuutti sijaitsee Suomessa sekä niistä perusedellytyksistä, mitä kunkin attribuutin tarkastaminen teknisesti edellyttää. Ohjeistuksen perusteella hyväksytty luottamuspalveluntarjoaja voi arvioida, mitkä sen edellytykset attribuuttien tarkastamiseen käytännössä ovat esimerkiksi suhteessa sen olemassa olevien palvelujen tekniseen toteutukseen.  

4 luku Vaatimustenmukaisuuden arviointi 

24 §. Kansallisen solmupisteen vaatimustenmukaisuuden arviointi. Pykälässä säädettäisiin kansallisen solmupisteen vaatimustenmukaisuuden arvioinnista. Kansallisen solmupisteen ylläpitäminen olisi ehdotetun 19 §:n mukaisesti Digi- ja väestötietoviraston tehtävä.  

Yhteentoimivuusjärjestelmän vahvistamisesta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 12 artiklan 8 kohdan mukaisesti annetun komission täytäntöönpanoasetuksen (EU) 2015/1501 10 artiklan 1 kohdan mukaan todentamista tarjoavien solmupisteiden ylläpitäjien on osoitettava, että solmupiste täyttää yh-teentoimivuusjärjestelmään osallistuvien solmupisteiden osalta ISO/IEC 27001 -standardien vaatimukset sertifioinnin tai vastaavien arviointimenetelmien perusteella tai noudattamalla kansallista lainsäädäntöä.  

Pykälän 1 momentin mukaan Digi- ja väestötietoviraston olisi osoitettava tietoturvallisuuden arviointilaitoksista annetussa laissa (1405/2011) tarkoitetun hyväksytyn tietoturvallisuuden arviointilaitoksen, vaatimustenmukaisuuden arviointilaitoksen tai Liikenne- ja viestintäviraston tekemällä arvioinnilla, että sen ehdotetun eIDAS-lain 19 §:n nojalla ylläpitämä kansallinen solmupiste täyttää eIDAS-asetuksessa ja sen nojalla annetuissa säännöksissä säädetyt vaatimukset. Digi- ja väestötietoviraston olisi myös hankittava arvioinnista arviointiraportti ja toimitettava se Liikenne- ja viestintävirastolle, jos arvioinnin tekee tietoturvallisuuden arviointilaitos tai muu ulkoinen arviointilaitos. 

Solmupisteen toiminta on kriittistä rajat ylittävän sähköisen tunnistamisen kannalta. Viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain (1406/2011) 3 §:n mukaan valtionhallinnon viranomaiset saavat käyttää tietojärjestelmiensä ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnissa vain Liikenne- ja viestintäviraston palveluja taikka sellaista arviointilaitosta, joka on saanut Viestintäviraston hyväksynnän tietoturvallisuuden arviointilaitoksista annetun lain mukaan. Säännöksen perusteluissa (HE 45/2011 vp, s. 11) todetaan, että tarkoitus on varmistaa, että valtionhallinnon viranomaiset käyttävät vain luotettavia ulkopuolisia tietoturvallisuuden arviointipalveluja ja että säännös on tarpeen valtionhallinnon tietoturvallisuuden kehittämiseksi yhtenäisellä tavalla ja ilman perustaltaan epäasiallisia kustannuksia. Näistä syistä ehdotetaan, että Suomessa kansallisena menettelynä solmupisteen vaatimustenmukaisuuden osoittamisessa pidettäisiin hyväksytyn tietoturvallisuuden arviointilaitoksen, (eIDAS-asetuksen vaatimusten mukaisuuden arviointiin nimetyn ja ilmoitetun) vaatimustenmukaisuuden arviointilaitoksen tai Liikenne- ja viestintäviraston suorittamaa arviointia. 

Pykälän 2 momentissa säädettäisiin Liikenne- ja viestintäviraston valtuudesta antaa tarkempia määräyksiä kansallisen solmupisteen vaatimustenmukaisuuden arviointiperusteista noudattaen eIDAS-asetusta ja sen nojalla annettuja säännöksiä. Määräyksenantovaltuus vastaisi nykyisin tunnistuslain 30 §:n 2 momentissa säädettyä. 

25 §.Eurooppalaisen digitaalisen identiteetin lompakon kansallinen sertifiointijärjestelmä. Kansallisen sertifiointijärjestelmän omistajan nimeämistä edellytetään eIDAS-asetuksen 5 c artiklan nojalla annetun lompakon sertifiointiasetuksen 3 artiklassa. Pykälän 1 momentissa ehdotetaan, että eIDAS-asetuksen 5 c artiklassa ja sen nojalla annetuissa säännöksissä tarkoitettu eurooppalaisen digitaalisen identiteetin lompakon kansallisen sertifiointijärjestelmän omistaja olisi Suomessa Liikenne- ja viestintävirasto. Tehtävän antamista Liikenne- ja viestintävirastolle voidaan pitää tarkoituksenmukaisena viraston sähköisen tunnistamisen toimijoiden valvontaan sekä vaatimustenmukaisuuden arviointiin liittyvän osaamisen ja kokemuksen vuoksi. 

Lompakon sertifiointiasetuksen 7 artiklan 2 kohdan mukaan järjestelmän omistajat voivat antaa kaikki tai osan tehtävistään alihankintana kolmannelle osapuolelle ja järjestelmän omistaja on edelleen vastuussa kaikista alihankkijoidensa suorittamista alihankintana teetetyistä toimista. Näistä syistä ehdotetussa 2 momentissa säädettäisiin Liikenne- ja viestintäviraston oikeudesta antaa 1 momentissa tarkoitettuun tehtäväänsä sekä vaatimustenmukaisuuden arviointilaitoksen nimeämiseen liittyvän avustavan tehtävän hoitaminen alihankkijalle, jolla on siihen riittävät tekniset edellytykset sekä riittävä osaaminen ja joka täyttää eIDAS-asetuksessa ja sen nojalla annetuissa säännöksissä säädetyt sekä tässä laissa säädetyt ja tämän lain nojalla annetuissa määräyksissä määrätyt tehtävää koskevat vaatimukset. Alihankkijan rikosoikeudellisesta virkavastuusta säädettäisiin ehdotetussa 32 §:ssä. Alihankkija suorittaisi tehtäväänsä Liikenne- ja viestintäviraston toimeksiannosta, joten alihankkijaa koskisi, mitä julkisuuslaissa säädetään viranomaisen toimeksiantotehtävän suorittajasta. 

Ehdotetun 3 momentin mukaan Liikenne- ja viestintävirasto voisi antaa tarkempia määräyksiä eurooppalaisen digitaalisen identiteetin lompakon kansallisesta sertifiointijärjestelmästä sekä lompakon vaatimustenmukaisuuden arviointiperusteista ja vaatimustenmukaisuuden arvioinnissa noudatettavasta menettelystä noudattaen eIDAS-asetusta ja sen nojalla annettuja säännöksiä. Määräyksenantovaltuus on tarpeen, koska lompakon sertifiointiasetuksessa säädetään varsin yksityiskohtaisesti siitä, millaisia eri toimijoita ja palveluja koskevia vaatimuksia kansallisessa sertifiointijärjestelmään on sisällytettävä. Täytäntöönpanoasetuksessa osin toistetaan vaatimustenmukaisuuden arviointiin liittyvien standardien vaatimuksia. On tarkoituksenmukaista, että sertifiointijärjestelmä pääsääntöisesti kuvataan (esimerkiksi viittauksin asianomaisiin säännöksiin ja standardeihin) lakia alemman asteisella sääntelyllä. Liikenne- ja viestintäviraston arvioitavaksi jäisi, onko mainituista asioista ja missä määrin annettava velvoittava määräys vai riittäisikö ohje, jossa kuvataan noudatettavat menettelyt ja viitataan niitä koskeviin säännöksiin ja standardeihin. Vaatimustenmukaisuuden arviointilaitosta koskevista määräyksenantovaltuuksista säädettäisiin 26 §:n 4 momentissa. 

26 §.Vaatimustenmukaisuuden arviointilaitoksen nimeäminen ja ilmoittaminen. Ehdotetun 1 momentin mukaan Liikenne- ja viestintäviraston tehtävänä olisi vaatimustenmukaisuuden arviointilaitoksen hakemuksesta nimetä ja ilmoittaa Suomeen sijoittautunut vaatimustenmukaisuuden arviointilaitos Euroopan komissiolle eIDAS-asetuksen ja sen nojalla annettujen säännösten mukaisesti. Laitosten nimeämisestä ja ilmoittamisesta säädetään eIDAS-asetuksen 5 c, 12 a ja 20 artiklassa. 

Pykälän ehdotetun 2 momentin mukaan nimeämisen edellytyksenä olisi, että vaatimustenmukaisuuden arviointilaitos täyttää eIDAS-asetuksessa ja sen nojalla annetuissa säännöksissä sekä ehdotetussa eIDAS-laissa säädetyt ja sen nojalla annetuissa määräyksissä määrätyt vaatimukset ja että sille on myönnetty Turvallisuus- ja kemikaaliviraston akkreditointiyksikön (FINAS-akkreditointipalvelu) tai ulkomaisen akkreditointiyksikön antama akkreditointitodistus, jonka mukaan vaatimustenmukaisuuden arviointilaitos pätevyysalueellaan täyttää mainitut vaatimukset. Vaatimustenmukaisuuden arviointilaitokseen kohdistuvista vaatimuksista säädetään eIDAS-asetuksessa ja muun muassa lompakon sertifiointiasetuksessa sekä Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 soveltamissäännöistä hyväksyttyjen luottamuspalvelun tarjoajien ja niiden tarjoamien hyväksyttyjen luottamuspalvelujen arvioinnin suorittavien vaatimustenmukaisuuden arviointilaitosten akkreditoinnin, vaatimustenmukaisuuden arviointiraportin ja vaatimustenmukaisuuden arviointijärjestelmän osalta annetussa komission täytäntöönpanoasetuksessa (EU) 2025/2162. 

Akkreditoinnin edellytyksistä säädetään eIDAS-asetuksen ja sen nojalla annettujen säännösten lisäksi vaatimustenmukaisuuden arviointipalvelujen pätevyyden toteamisesta annetussa laissa (920/2005) sekä akkreditointiasetuksessa eli tuotteiden kaupan pitämiseen liittyvää akkreditointia ja markkinavalvontaa koskevista vaatimuksista ja neuvoston asetuksen (ETY) N:o 339/93 kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 765/2008. 

Edellä mainituissa täytäntöönpanoasetuksissa säädetään vaatimustenmukaisuuden arviointilaitoksen mahdollisuudesta käyttää alihankkijaa. Tästä syystä ehdotetun 3 momentin mukaan vaatimustenmukaisuuden arviointilaitos voisi tehtävässään käyttää apunaan alihankkijaa, jonka työstä se vastaa kuin omastaan. Alihankkijalla tulisi olla tehtävään riittävät tekniset edellytykset sekä riittävä osaaminen ja sen tulisi täyttää eIDAS-asetuksessa ja sen nojalla annetuissa säännöksissä säädetyt sekä ehdotetussa eIDAS-laissa säädetyt ja sen nojalla annetuissa määräyksissä määrätyt alihankkijaan soveltuvat vaatimukset. Alihankkijan palveluksessa olevan sekä päättävässä elimessä toimivan henkilön rikosoikeudellisesta virkavastuusta säädettäisiin 32 §:ssä. Julkisuuslain soveltamisesta toimintaan säädettäisiin 31 §:ssä. 

Ehdotetun 4 momentin mukaan Liikenne- ja viestintävirasto voisi antaa tarkempia määräyksiä vaatimustenmukaisuuden arviointilaitosten nimeämisen edellytyksistä sekä vaatimustenmukaisuuden arviointilaitoksen nimeämistä koskevaan hakemukseen sisällytettävistä tiedoista ja niiden toimittamisesta Liikenne- ja viestintävirastolle. Lisäksi Liikenne- ja viestintävirasto voisi antaa määräyksiä sähköisen tunnistamisen järjestelmien ja luottamuspalvelujen vaatimustenmukaisuuden arviointiperusteista ja vaatimustenmukaisuuden arvioinnissa noudatettavasta menettelystä. Määräysten antamisessa tulisi noudattaa eIDAS-asetusta ja sen nojalla annettuja säännöksiä. Komissio on osin vahvistanut täytäntöönpanosäännöksin tiettyjä vaatimuksia sekä standardeja noudatettavaksi vaatimustenmukaisuuden arviointilaitosten akkreditoinnissa ja nimeämisessä. Osin voi kuitenkin olla tarvetta Liikenne- ja viestintäviraston täydentäville määräyksille.  

27 §.Vaatimustenmukaisuuden arviointilaitosten valvonta. Pykälän 1 momentin mukaan Liikenne- ja viestintävirasto valvoisi, että sen nimeämät ja ilmoittamat vaatimustenmukaisuuden arvioitilaitokset täyttävät toiminnassaan 26 §:ssä tarkoitetut nimeämisen ja ilmoittamisen edellytykset sekä suorittavat niille eIDAS-asetuksessa ja sen nojalla annetuissa säännöksissä säädetyt sekä ehdotetussa eIDAS-laissa säädetyt sekä sen nojalla annetuissa määräyksissä määrätyt tehtävät asianmukaisesti.  

Ehdotetun 2 momentin mukaan vaatimustenmukaisuuden arviointilaitoksella olisi velvollisuus ilmoittaa Liikenne- ja viestintävirastolle kaikista muutoksista, joilla voi olla vaikutusta nimeämisen edellytysten täyttymiseen. Vaatimustenmukaisuuden arviointilaitosten akkreditointiin liittyy myös valvontamekanismi, jonka perusteella akkreditointitodistus voidaan esimerkiksi perua, jolloin arviointilaitos ei enää täytä nimeämisen edellytyksiä. 

Pykälän 3 momentin mukaan Liikenne- ja viestintäviraston tulisi velvoittaa vaatimustenmukaisuuden arviointilaitos korjaamaan virheensä tai laiminlyöntinsä kohtuullisessa määräajassa, jollei eIDAS-asetuksesta tai sen nojalla säädetystä muuta johdu. Mikäli eIDAS-asetuksen nojalla säädettäisiin toisenlaisesta menettelystä, olisi sitä noudatettava tämän lain sijaan. 

Jollei eIDAS-asetuksesta tai sen nojalla säädetystä muuta johdu, Liikenne- ja viestintäviraston olisi ehdotetun 4 momentin mukaan peruttava vaatimustenmukaisuuden arviointilaitoksen nimeäminen ja ilmoitettava Euroopan komissiolle, ettei vaatimustenmukaisuuden arviointilaitos enää täytä ilmoittamisen edellytyksiä, jos vaatimustenmukaisuuden arviointilaitos ei korjaa toimintaansa asetetussa määräajassa ja virhe tai laiminlyönti on olennainen. 

28 §. Sähköisen allekirjoituksen ja sähköisen leiman luontivälineen sertifioijat. Pykälässä säädettäisiin eIDAS-asetuksen 30 ja 39 artiklassa määritellyistä hyväksytyn sähköisen allekirjoituksen ja sähköisen leiman luontivälineen sertifioijista. Pykälän 1 ja 2 momentin sääntely vastaisi tunnistuslain voimassa olevaa 36 §:ää. Ehdotetussa 3 momentissa säädettäisiin, että sertifioijan valvontaan ja sen suorittamaan sertifiointiin sovelletaan, mitä 27, 29 ja 30 §:ssä säädetään vaatimustenmukaisuuden arviointilaitoksen valvonnasta, sen valvontatehtävistä ja -keinoista sekä vaatimustenmukaisuustodistuksen peruuttamisesta. Mikäli eIDAS-asetuksen nojalla säädettäisiin toisin sertifioijan valvonnasta tai sertifioinnista, noudatettaisiin sitä tämän lain sijaan.  

Ehdotetun 4 momentin määräyksenantovaltuus vastaisi tunnistuslain 42 §:n 8 kohdassa säädettyä. Liikenne- ja viestintävirasto on voimassa olevan lain nojalla antanut määräyksen (M72 B/2022) sähköisistä tunnistus- ja luottamuspalveluista, jonka hyväksytyn sähköisen allekirjoituksen ja sähköisen leiman luontivälineen sertifiointia koskevan 8 luvun mukaan tunnistuslain 36 §:n vaatimusten täyttymisen edellytyksenä on riittävä pätevyys ja resurssit eIDAS-asetuksessa ja komission täytäntöönpanopäätöksessä (EU) 2016/650 tai sen korvaavassa päätöksessä asetettujen vaatimusten todentamiseen sertifioitavana olevassa välineessä. Sertifiointilaitoksen vaatimusten täyttymisen voi osoittaa akkreditoinnilla tai muulla riippumattomalla selvityksellä. Pätevyyden osoituksena voi olla myös kuuluminen eräiden Euroopan unionin tai ETA-alueen jäsenvaltioissa toimivien sertifiointielinten välisen SOGIS-MRA (Senior Officers Group for Information Systems, Mutual Recognition Agreement) –sopimuksen piiriin. 

29 §.Vaatimustenmukaisuuden arviointilaitoksen valvontatehtävä ja -keinot. Ehdotettu pykälä sisältäisi uutta sääntelyä, joka johtuu lompakon sertifiointiasetuksen 16 artiklassa säädetystä. Mainitun artiklan mukaan kansallisissa sertifiointijärjestelmissä on edellytettävä, että vaatimustenmukaisuuden arviointilaitokset (kyseisessä täytäntöönpanoasetuksessa ”sertifiointielimet”) toteuttavat eräitä asetuksessa tarkemmin säädettyjä valvontatoimia vaatimustenmukaisuustodistuksen haltijaa kohtaan. Valvontaa koskevat vaatimukset sisältyvät yleensä vaatimustenmukaisuuden arviointia ja sertifiointia koskeviin standardeihin, mutta eIDAS-asetuksen nojalla on annettu mainittu täytäntöönpanoasetus, jota ei voida kansallisten perustuslaillisten syiden vuoksi toimeenpanna esimerkiksi niin, että vaatimustenmukaisuuden arviointilaitoksen tiedonsaanti- ja tarkastusoikeudesta määrättäisiin Liikenne- ja viestintäviraston 25 §:n 3 momentin nojalla antamassa kansallista sertifiointijärjestelmää koskevassa määräyksessä taikka ohjeistettaisiin ohjeessa. 

Ehdotetun 1 momentin mukaan vaatimustenmukaisuuden arviointilaitoksen olisi valvottava, että vaatimustenmukaisuustodistuksen haltija täyttää todistuksen saamisen edellytykset. Momenttiin sisältyisi vaatimustenmukaisuustodistuksen haltijan määritelmä. Vaatimustenmukaisuustodistuksen haltijalla tarkoitettaisiin sitä, jolle vaatimustenmukaisuuden arviointilaitos on myöntänyt vaatimustenmukaisuustodistuksen eli käytännössä eIDAS-asetuksen nojalla annetuissa Euroopan komission täytäntöönpanosäädöksissä tarkoitettua vaatimustenmukaisuustodistuksen haltijaa. Lompakon sertifiointiasetuksessa säädetään vaatimustenmukaisuustodistuksen haltijasta sekä niistä haltijaa koskevista vaatimuksista, jotka kansalliseen sertifiointijärjestelmään on sisällytettävä. Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 soveltamissäännöistä hyväksyttyjen luottamuspalvelun tarjoajien ja niiden tarjoamien hyväksyttyjen luottamuspalvelujen arvioinnin suorittavien vaatimustenmukaisuuden arviointilaitosten akkreditoinnin, vaatimustenmukaisuuden arviointiraportin ja vaatimustenmukaisuuden arviointijärjestelmän osalta annetussa komission täytäntöönpanoasetuksessa (EU) 2025/2162 vaatimustenmukaisuustodistuksella puolestaan tarkoitetaan asiakirjaa, jolla vaatimustenmukaisuuden arviointilaitos todistaa sertifiointipäätöksen, jossa vahvistetaan, että tietty hyväksytty luottamuspalvelun tarjoaja ja sen tarjoama hyväksytty luottamuspalvelu ovat eIDAS-asetuksessa säädettyjen vaatimusten ja NIS 2 -direktiivin 21 artiklan mukaisia. Käytännössä vaatimustenmukaisuustodistuksen haltijoita olisivat eurooppalaisen digitaalisen identiteetin lompakon tarjoajat, hyväksytyn luottamuspalvelun tarjoajat sekä hyväksyttyjä sähköisen allekirjoituksen tai sähköisen leiman luontivälineitä tarjoavat toimijat. 

Ehdotetussa 2 momentissa säädettäisiin lompakon sertifiointiasetuksessa edellytetyllä tavalla vaatimustenmukaisuuden arviointilaitoksen tiedonsaantioikeudesta. Vaatimustenmukaisuustodistuksen haltijalla olisi myös velvollisuus ilmoittaa vaatimustenmukaisuuden arviointilaitokselle kaikista muutoksista, joilla voi olla vaikutusta todistuksen saamisen edellytysten täyttymiseen. 

Ehdotetun 3 momentin mukaan vaatimustenmukaisuuden arviointilaitoksella olisi 1 momentissa tarkoitetun valvontatehtävänsä suorittamiseksi oikeus tehdä vaatimustenmukaisuustodistuksen haltijaa ja tämän tarjoamaa arvioinnin kohteena olevaa tuotetta tai palvelua koskeva tarkastus. 

30 §. Vaatimustenmukaisuustodistuksen peruuttaminen. Kuten ehdotettu 29 §, niin myös ehdotettu 30 § sisältäisi uutta sääntelyä, joka johtuu lompakon sertifiointiasetuksen 17 artiklassa säädetystä. Mainitun artiklan mukaan kansallisissa sertifiointijärjestelmissä on esitettävä seuraukset, joita aiheutuu siitä, että sertifioitu lompakkoratkaisu ja sähköisen tunnistamisen järjestelmä, jonka puitteissa sitä tarjotaan, eivät ole säädettyjen vaatimusten mukaisia. Sertifioinnin peruuttamiseen liittyvät vaatimukset sisältyvät yleensä vaatimustenmukaisuuden arviointia ja sertifiointia koskeviin standardeihin, mutta eIDAS-asetuksen nojalla on annettu mainittu täytäntöönpanoasetus, jota ei voida kansallisten perustuslaillisten syiden vuoksi toimeenpanna esimerkiksi niin, että vaatimustenmukaisuuden arviointilaitoksen oikeudesta velvoittaa vaatimustenmukaisuustodistuksen haltijaa tai perua vaatimustenmukaisuustodistus määrättäisiin Liikenne- ja viestintäviraston 25 §:n 3 momentin nojalla antamassa kansallista sertifiointijärjestelmää koskevassa määräyksessä. 

Ehdotetussa 1 momentissa säädettäisiin vaatimustenmukaisuuden arviointilaitoksen korjauskehotuksesta, jos se toteaa, että vaatimustenmukaisuustodistuksen haltija tai arvioinnin kohteena ollut tuote tai palvelu ei täytä vaatimustenmukaisuustodistuksen saamisen edellytyksiä tai että todistusta ei muutoin olisi tullut myöntää.  

Ehdotetun 2 momentin mukaan vaatimustenmukaisuuden arviointilaitoksen tulisi peruuttaa vaatimustenmukaisuustodistus määräajaksi tai kokonaan taikka myöntää sen rajoitettuna, jollei vaatimustenmukaisuustodistuksen haltija korjaa puutteellisuuksia asetetussa määräajassa.  

Jos eIDAS-asetuksen nojalla säädettäisiin toisenlaisesta menettelystä vaatimustenmukaisuuden arvioinnissa, noudatettaisiin sitä 1 ja 2 momentin sijaan. 

Ehdotetun 3 momentin mukaan vaatimustenmukaisuuden arviointilaitoksen olisi ilmoitettava Liikenne- ja viestintävirastolle 1 ja 2 momentissa tarkoitetuista valvontatoimista. Ilmoittamisvelvollisuuden syynä on paitsi edellä kuvattu täytäntöönpanoasetus, myös se, että Liikenne- ja viestintäviraston tehtävä on valvoa vaatimustenmukaisuustodistuksen haltijoita eli esimerkiksi eurooppalaisen digitaalisen identiteetin lompakon tarjoajia ja hyväksyttyjä luottamuspalvelun tarjoajia. 

31 §. Julkisuutta koskevan lainsäädännön soveltaminen ja tietojen luovuttaminen vaatimustenmukaisuuden arvioinnissa. Lompakon sertifiointiasetuksen 20 artiklan mukaan kansallisissa sertifiointijärjestelmissä on edellytettävä, että kaikki henkilöt tai organisaatiot, joille myönnetään pääsy tietoihin kansallisen sertifiointijärjestelmän mukaisten toimien toteuttamisen yhteydessä, varmistavat liikesalaisuuksien ja muiden luottamuksellisten tietojen turvallisuuden ja suojaamisen sekä immateriaalioikeuksien säilyttämisen ja toteutettavat tarvittavat ja asianmukaiset tekniset ja organisatoriset toimenpiteet. Julkisuuslain 4 §:n 2 momentin mukaan laissa viranomaisesta säädetty koskee myös lain tai asetuksen taikka lain tai asetuksen nojalla annetun säännöksen tai määräyksen perusteella julkista tehtävää hoitavia yhteisöjä, laitoksia, säätiöitä ja yksityisiä henkilöitä niiden käyttäessä julkista valtaa.  

Pykälän 1 momentissa säädettäisiin julkisuuslain soveltamisesta 24 §:ssä tarkoitettuun tietoturvallisuuden arviointilaitokseen, vaatimustenmukaisuuden arviointilaitokseen ja sen käyttämään alihankkijaan sekä sertifioijaan myös silloin, kun kysymys ei ole julkisen vallan käytöstä. Julkisuuslakia sovellettaisiin mainittuihin niiden hoitaessa eIDAS-asetuksen ja sen nojalla annettujen säännösten sekä ehdotetun eIDAS-lain ja sen nojalla annettujen määräysten toimeenpanoon liittyviä tehtäviä. Lisäksi momenttiin sisältyisi informatiivinen yleinen viittaus muiden hallinnon yleislakien soveltuvuuteen siten kuin näissä laeissa erikseen säädetään. 

Ehdotetussa 2 momentissa säädettäisiin julkisuuslain 23 §:ssä säädetyn viranomaisen palveluksessa olevaa koskevan vaitiolovelvollisuuden ja hyväksikäyttökiellon soveltamisesta 1 momentissa tarkoitetun toimijan palveluksessa olevaan ja päättävässä elimessä toimivaan henkilöön, kun hän käsittelee arviointitoimintaan liittyviä salassa pidettäviä tietoja. 

Ehdotetussa 3 momentissa säädettäisiin 1 momentissa tarkoitetun toimijan oikeudesta oma-aloitteisesti salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä luovuttaa mainitussa momentissa tarkoitettujen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto Liikenne- ja viestintävirastolle eIDAS-asetuksessa tai sen nojalla annetuissa säännöksissä taikka eIDAS-laissa säädettyjen tehtävien hoitamiseksi. Lisäksi momenttiin sisältyisi informatiivinen viittaus Liikenne- ja viestintäviraston tiedonsaantioikeutta koskevaan 35 §:ään. 

32 §.Rikosoikeudellinen virkavastuu vaatimustenmukaisuuden arvioinnissa. Pykälän 1 momentissa säädettäisiin perustuslain edellyttämällä tavalla virkamiehen rikosoikeudellisen virkavastuun soveltamisesta säännöksessä tarkoitetun julkista hallintotehtävää hoitavan palveluksessa olevaan sekä päättävässä elimessä toimivaan henkilöön, kun henkilö hoitaa eIDAS-asetuksessa tai sen nojalla annetuissa säännöksissä taikka ehdotetussa eIDAS-laissa säädettyjä tehtäviä. 

Säännöksen 2 momenttiin sisältyisi informatiivinen viittaus vahingonkorvauslakiin (412/1974). 

5 luku Valvonta

33 §. Liikenne- ja viestintäviraston tehtävät. Pykälässä säädettäisiin Liikenne- ja viestintäviraston eIDAS-asetukseen ja sitä täydentävään kansalliseen lainsäädäntöön liittyvistä tehtävistä siltä osin, kuin niistä ei olisi säädetty edellä ehdotetussa eIDAS-laissa. Osa tehtävistä olisi sellaisia, joista on aiemmin säädetty tunnistuslain 42 a §:ssä alkuperäistä eIDAS-asetusta täydentävästi. Osa tehtävistä olisi uusia ja niistä säätäminen olisi tarpeen muutetun eIDAS-asetuksen mukaisten velvoitteiden toteuttamiseksi.  

Uusi tehtävä olisi ensinnäkin ehdotetun lain noudattamisen valvonta, josta säädettäisiin pykälän ensimmäisessä lauseessa. Säännöksellä annettaisiin Liikenne- ja viestintävirastolle toimivalta valvoa kansallisen täydentävän lainsäädännön vaatimusten noudattamista.  

Pykälän 1 kohdassa säädettäisiin Liikenne- ja viestintäviraston uudeksi tehtäväksi ilmoittaa Euroopan komissiolle eIDAS-asetuksen 5 a artiklan 18 kohdassa ja mainitun artiklan nojalla annetuissa säännöksissä tarkoitetut tiedot. Muutetun eIDAS-asetuksen 5 a artiklan 18 kohdassa edellytetään, että jäsenvaltio ilmoittaa Euroopan komissiolle eurooppalaisia digitaalisen identiteetin lompakoita käyttävien rekisteröityjen luottavien osapuolten rekisterin laatimisesta ja ylläpitämisestä vastaavan elimen, eurooppalaisten digitaalisen identiteetin lompakoiden tarjoamisesta vastaavat elimet, henkilön tunnistetietojen liittämisestä lompakkoon vastaavan elimen sekä henkilön tunnistetietojen ja luottavien osapuolten henkilöllisyyden validoimisen mahdollistavan mekanismin ja vielä lompakoiden aitouden ja voimassaolon validoimisen mahdollistavan mekanismin. Ilmoitettavia tietoja tarkennetaan komission täytäntöönpanoasetuksessa (EU) 2024/2980. Pykälässä ei kuitenkaan viitattaisi kyseiseen täytäntöönpanoasetukseen, sillä on mahdollista, että täytäntöönpanoasetuksia muutetaan lähivuosien aikana. Jotta Liikenne- ja viestintävirasto voi ilmoittaa tarvittavat tiedot, säädettäisiin eIDAS-lain 7 §:n 3 momentissa lompakon tarjoajien velvollisuudesta ilmoittaa Liikenne- ja viestintävirastolle kyseiset tiedot.  

Pykälän 2 kohdassa säädettäisiin niin ikään uudesta Liikenne- ja viestintäviraston tehtävästä ilmoittaa Euroopan komissiolle ja 46 e artiklan 1 kohdassa tarkoitetulle yhteistyöryhmälle muutetun eIDAS-asetuksen 5 d artiklassa ja sen nojalla annetuissa säännöksissä tarkoitetut tiedot. Muutetun eIDAS-asetuksen 5 d artiklan 2 kohdassa säädetään niistä tiedoista, jotka jäsenvaltion tulee ilmoittaa. Niitä ovat esimerkiksi sertifioidun eurooppalaisen digitaalisen identiteetin lompakon sertifikaatti ja sertifioinnin arviointiraportti, kuvaus sähköisen tunnistamisen järjestelmästä, jonka puitteissa eurooppalainen digitaalisen identiteetin lompakko tarjotaan ja sovellettava valvontajärjestelmä. Ilmoitettavia tietoja tarkennetaan komission täytäntöönpanoasetuksessa (EU) 2025/849. Pykälässä ei kuitenkaan viitattaisi kyseiseen täytäntöönpanoasetukseen, sillä on mahdollista, että täytäntöönpanoasetuksia muutetaan lähivuosien aikana. Ilmoitus on tehtävä, jotta komissio voi laatia luettelon kaikista EU:ssa sertifioiduista lompakoista. Luettelo ja sinne ilmoitetut tiedot ovat olennaisen tärkeitä koko EU:n laajuisen lompakkoekosysteemin luottamuksen, avoimuuden ja yhdenmukaisuuden varmistamiseksi.  

Jotta Liikenne- ja viestintävirasto voi ilmoittaa tarvittavat tiedot, säädettäisiin ehdotetun lain 7 §:ssä lompakon tarjoajien velvollisuudesta ilmoittaa Liikenne- ja viestintävirastolle kyseiset tiedot. Lompakon tarjoaja ei voisi tarjota lompakkoaan eurooppalaisena digitaalisen identiteetin lompakkona ennen kuin Liikenne ja viestintävirasto on tehnyt ehdotetun 33 §:n 2 kohdassa tarkoitetun ilmoituksen. Ilmoituksen tekemisessä olisi siten samalla kyse lompakon kansallisesta tunnustamisesta. Ilmoitusvelvollisuuden kautta Liikenne- ja viestintävirasto saisi tiedon lompakoista, joita on tarkoitus tarjota Suomessa ja lisäksi se voisi kohdistaa lompakon tarjoajaan ja sen tarjoamaan lompakkoon etukäteisiä valvontatoimia niin kuin muutetun eIDAS-asetuksen 46 a artiklassa edellytetään. 

Uusista tehtävistä olisi lisäksi kyse pykälän 6 kohdan mukaisessa tehtävässä toimia muutetun eIDAS-asetuksen 46 a artiklassa tarkoitettuna valvontaelimenä sekä 7 kohdan mukaisessa tehtävässä toimia muutetun eIDAS-asetuksen 46 c artiklassa tarkoitettuna keskitettynä yhteyspisteenä. Muutetun eIDAS-asetuksen 46 a artiklassa säädetään eurooppalaisen digitaalisen identiteetin kehyksen valvonnasta ja artiklan 1 kohdassa velvoitetaan jäsenvaltioita nimeämään valvontaelin, joka on sijoittunut niiden alueelle. Eurooppalaisen digitaalisen identiteetin kehyksen valvonnassa olisi ensisijaisesti kyse lompakon ja niiden tarjoajien valvonnasta, mutta valvontaelimellä olisi myös esimerkiksi luottavien osapuolten valvontaan liittyviä tehtäviä. Muutetun eIDAS-asetuksen 46 c artiklassa säädetään keskitetyistä yhteyspisteistä ja artiklan 1 kohdassa velvoitetaan jäsenvaltioita nimeämään sellainen. Keskitettyjen yhteyspisteiden tehtävänä on helpottaa rajat ylittävää yhteistyötä ja yhteydenpitoa.  

Pykälän 8 kohdassa säädettäisiin myös uudesta Liikenne- ja viestintäviraston tehtävästä julkaista ja toimittaa Euroopan komissiolle eIDAS-asetuksen 48 a artiklan 2 kohdassa tarkoitetut tiedot noudattaen mainitun artiklan 3 ja 4 kohtaa. Kyseinen muutetun eIDAS-asetuksen artikla koskee jäsenvaltioiden raportointivaatimuksia ja edellyttää jäsenvaltioita raportoimaan artiklassa lueteltuja tietoja komissiolle vuosittain. Liikenne- ja viestintäviraston tehtävänä olisi julkaista ja toimittaa kyseiset tiedot komissiolle. Liikenne- ja viestintävirasto pyytäisi ilmoitettavat tiedot jäljempänä ehdotetussa 35 §:ssä säädetyn tiedonsaantioikeuden nojalla niiltä tahoilta, joilla kyseinen raportoitava tieto on. Lähtökohtaisesti 48 a artiklassa tarkoitetut tiedot olisivat saatavissa toisilta viranomaisilta ja Liikenne- ja viestintävirastolta itseltään.  

Liikenne- ja viestintäviraston tehtäviä ovat jo nykyisin 3–5 kohdissa tarkoitetut tehtävät sekä 6 kohdassa tarkoitettu tehtävä toimia muutetun eIDAS-asetuksen 46 b artiklassa tarkoitettuna valvontaelimenä. Kyseisessä artiklassa säädetään luottamuspalveluiden valvonnasta ja artikla vastaa pitkälti alkuperäisen eIDAS-asetuksen 17 artiklaa, johon perustuen Liikenne- ja viestintäviraston nykyisestä luottamuspalvelujen valvontatehtävästä on säädetty tunnistuslain 42 b §:ssä. Kuten edellä jaksossa 4.1 on kuvattu, jatkossa kaikki eIDAS-asetusta täydentävä sääntely sisältyisi ehdotettavaan uuteen eIDAS-lakiin. Tästä syystä Liikenne- ja viestintäviraston olemassa olevat eIDAS-asetukseen liittyvät tehtävät siirrettäisiin tunnistuslaista esityksessä ehdotettavaan uuteen lakiin.  

34 §. Liikenne- ja viestintäviraston tehtävien tärkeysjärjestys ja asian tutkimatta jättäminen. Pykälän 1 momentissa säädettäisiin Liikenne- ja viestintäviraston oikeudesta asettaa ehdotetussa eIDAS-laissa sille säädetyt tehtävät tärkeysjärjestykseen sen mukaan, mikä merkitys tehtävällä on ehdotetun eIDAS-lain tai eIDAS-asetuksen tai niiden nojalla annettujen säännösten tai määräysten mukaisten velvoitteiden noudattamisen kannalta. Kyse olisi menettelysäännöksestä, jonka mukaan asioiden tärkeysjärjestys määräytyisi sen perusteella, kuinka merkittävistä asioista on kyse. Mitä merkittävämmästä asiasta olisi kyse, sitä korkeammalla se olisi tärkeysjärjestyksessä.  

Pykälän 2 momentissa säädettäisiin Liikenne- ja viestintäviraston mahdollisuudesta jättää asia tutkimatta, jos asialla on epäillystä virheestä tai laiminlyönnistä huolimatta vain vähäinen merkitys. Liikenne- ja viestintäviraston tulisi kuitenkin pyrkiä esimerkiksi neuvonnan keinoin löytämään asiaan ratkaisu. Liikenne- ja viestintäviraston olisi tehtävä päätös tutkimatta jättämisestä heti, kun se on mahdollista. Useissa tapauksissa voidaan jo varhaisessa vaiheessa asian tultua vireille arvioida, onko asian merkitys vähäinen ja tulisiko se tällä perusteella jättää tutkimatta. Päätös tutkimatta jättämisestä voitaisiin kuitenkin tehdä myös myöhemmin ja siitä huolimatta, että asiaa olisi jo selvitetty pidempään.  

Pykälän tarkoituksena on, että Liikenne- ja viestintävirasto voi suunnata voimavaransa sellaisiin asioihin, jotka ovat ehdotetun eIDAS-lain tai eIDAS-asetuksen tavoitteiden toteutumisen kannalta merkittävimpiä. Vastaavia priorisointisäännöksiä on sähköisen viestinnän palveluista annetun lain 313 §:ssä, kyberturvallisuuslain 27 §:ssä, datan hallinnan ja jakamisen valvonnasta annetun lain 12 §:ssä sekä Kilpailu- ja kuluttajavirastosta annetun lain 7 §:ssä. 

35 §. Tiedonsaantioikeus. Pykälässä säädettäisiin Liikenne- ja viestintäviraston tiedonsaantioikeudesta. Pykälän mukaan Liikenne- ja viestintävirastolla olisi oikeus salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä saada tässä laissa ja eIDAS-asetuksessa sekä niiden nojalla anetuissa säännöksissä säädettyjä tehtäviä suorittaessaan tehtäviensä suorittamiseksi välttämättömät tiedot toiselta viranomaiselta, eurooppalaisen digitaalisen identiteetin lompakon tarjoajalta ja sen käyttäjältä, luottavalta osapuolelta, luottamuspalvelun tarjoajalta ja sen palvelun käyttäjältä, vaatimustenmukaisuuden arviointilaitokselta, sertifioijalta, sähköisen tunnistamisen järjestelmän tarjoajalta ja niiltä, jotka toimivat näiden lukuun.  

Ehdotettu sääntely on tarpeen, jotta Liikenne- ja viestintävirasto voisi toteuttaa sille ehdotetussa eIDAS-laissa sekä muutetussa eIDAS-asetuksessa säädetyt tehtävät. Muutetun eIDAS-asetuksen 46 a artiklan 4 kohdan b alakohdassa säädetään, että valvontaelimen tehtäviin kuuluu asetuksen noudattamisen seuraamiseksi tarvittavien tietojen pyytäminen. Lisäksi muutetun eIDAS-asetuksen 24 artiklan 2 kohdan toisessa kappaleessa edellytetään, että valvontaelin voi pyytää myös muita kuin artiklan ensimmäisessä kappaleessa tarkoitettuja tietoja. Lisäksi Liikenne- ja viestintävirastolle on edellä ehdotetussa 33 §:ssä säädetty useita erilaisten tietojen ilmoittamiseen liittyviä tehtäviä, joiden toteuttamiseen tiedonsaantioikeus myös liittyisi. Sääntelyn tarkoituksena olisi myös yleisemmin varmistaa, että valvovalla viranomaisella on muutetun eIDAS-asetuksen 46 a ja 46 b artiklan tarkoittamalla tavalla tarvittavat valtuudet suorittaa tehtävänsä.  

Tehtävien edellyttämiä tietoja ei ole mahdollista määritellä ennalta tai luetteloida tyhjentävästi, minkä vuoksi pykälän tiedonsaantioikeus on sidottu oikeuden kohteena olevien tietojen välttämättömyyteen tehtävien suorittamisen kannalta perustuslakivaliokunnan lausuntokäytännön mukaisesti (mm. PeVL 13/2023 vp, PeVL 17/2016 vp). Tiedonsaantioikeus koskisi myös salassa pidettäviä tietoja, mikäli ne olisivat tehtävien hoitamisen kannalta välttämättömiä. 

36 §. Oikeus luovuttaa salassa pidettäviä tietoja. Pykälässä säädettäisiin Liikenne- ja viestintäviraston oikeudesta salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä luovuttaa tietoja eräille toisille viranomaisille sekä käsitellä niitä itse sen eräissä muiden lakien ja EU-säännösten mukaisissa tehtävissä. Ehdotettu sääntely on tarpeen, jotta Liikenne- ja viestintävirasto voi suorittaa keskitetylle yhteyspisteelle ja valvovalle viranomaiselle eIDAS-asetuksen 46 a – 46 d artikloissa säädetyt velvollisuudet. Viranomaisten välisen sujuvan yhteistyön varmistaminen tietojen luovutuksen tai käytön muodossa olisi käytännössä tarpeen, koska Liikenne- ja viestintävirasto, tietosuojavaltuutettu sekä Liikenne- ja viestintävirasto NIS 2 -direktiivin eli kyberturvallisuuslain mukaisena valvovana viranomaisena sekä kyberturvallisuussertifioinnin viranomaisena valvovat oman toimivaltansa puitteissa samoja palveluntarjoajia. Erilaiset häiriö ja tietoturvaloukkaustilanteet voivat koskea usean eri viranomaisen valvonnan piirissä olevia asioita. Tietojen luovuttaminen ja käyttö olisivat rajattu kunkin toimivaltaisen viranomaisen tehtävien kannalta välttämättömiin tietoihin. 

Pykälän 1 momentin 1 kohdan mukaan Liikenne- ja viestintävirastolla olisi salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus oma-aloitteisesti tai pyynnöstä luovuttaa ehdotetussa eIDAS-laissa ja eIDAS-asetuksessa säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto tietosuojavaltuutetulle, jos se on välttämätöntä sen laissa säädettyjen valvontatehtävien hoitamiseksi. eIDAS-asetuksen 46 a artiklan 4 kohdan g alakohdassa ja 46 b artiklan 4 kohdan f alakohdassa tarkoitettu ilmoitus tietosuoja-asetuksen 51 artiklan nojalla perustetulle toimivaltaiselle viranomaiselle tehtäisiin Suomessa tapahtuvan valvonnan yhteydessä havaitusta seikasta tietosuojavaltuutetulle, vaikka yleisen tietosuoja-asetuksen nojalla tilanteessa toimivaltainen valvontaviranomainen olisi sijoittautunut toiseen EU-jäsenvaltioon. Tietosuojavaltuutettu harkitsisi yleisen tietosuoja-asetuksen ja tietosuojalain nojalla tilanteessa tarpeelliset toimenpiteet. Valvovan viranomaisen velvollisuus tiedottaa asiasta tietosuojavaltuutettua ei kuitenkaan vaikuttaisi toimijaan kohdistuviin velvoitteisiin, eikä se siten esimerkiksi täyttäisi rekisterinpitäjän velvollisuutta ilmoittaa henkilötietojen tietoturvaloukkauksesta. 

Ehdotetun 1 momentin 2 kohdan mukaan Liikenne- ja viestintävirastolla olisi vastaava oikeus luovuttaa tietoja toisen Euroopan unionin jäsenvaltion eIDAS-asetuksen 46 a ja 46 b artiklassa tarkoitetuille valvoville viranomaisille ja 46 c artiklassa tarkoitetulle keskitetylle yhteyspisteelle, jos se on välttämätöntä eIDAS-asetuksessa säädettyjen tehtävien hoitamiseksi. 

Ehdotetun 2 momentin mukaan Liikenne- ja viestintävirastolla olisi siinä määrin kuin se on välttämätöntä oikeus käyttää ehdotetussa eIDAS-laissa ja eIDAS-asetuksessa säädettyjen tehtäviensä hoitamisen yhteydessä laatimiaan ja saamiaan salassa pidettäviä asiakirjoja ja tietoja sille kyberturvallisuuslain 26 §:ssä tarkoitettuna valvovana viranomaisena, 19 §:ssä tarkoitettuna CSIRT-yksikkönä ja 18 §:ssä tarkoitettuna keskitettynä yhteyspisteenä sekä eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista annetun lain 21 §:ssä tarkoitettuna kyberturvallisuussertifioinnin viranomaisena kuuluvien tehtävien hoitamista varten. Eduskunnan käsiteltäväksi on annettu hallituksen esitys eduskunnalle kyberkestävyysasetuksen toimeenpanoa koskevaksi lainsäädännöksi (HE 179/2025 vp). Kyseisessä esityksessä ehdotetaan säädettäväksi laki eräiden tuotteiden kyberkestävyydestä sekä kyberturvallisuussertifioinnista, jossa säädettäisiin muun muassa Liikenne- ja viestintäviraston kyberturvallisuusasetuksen (EU) 2019/881 mukaisista kyberturvallisuussertifioinnin viranomaisen tehtävistä.  

37 §. Oikeus tehdä tarkastuksia. Pykälässä säädettäisiin Liikenne- ja viestintäviraston tarkastusoikeudesta. Sääntely vastaisi pitkälti Liikenne- ja viestintäviraston tunnistuslain 46 §:ssä säädettyä oikeutta tehdä tarkastuksia liittyen tunnistuspalvelun tarjoajien ja luottamuspalvelujen tarjoajien valvontaan. Sääntely olisi tarpeen myös tässä laissa, jotta Liikenne- ja viestintävirasto voi toteuttaa tarkastuksia muutetun eIDAS-asetuksen 46 a artiklan 4 kohdan d alakohdan sekä 46 b artiklan 4 kohdan e alakohdan tarkoittamalla tavalla.  

Pykälän 1 momentin mukaan Liikenne- ja viestintävirastolla olisi oikeus tehdä eurooppalaisen digitaalisen identiteetin lompakon tarjoajaa ja sen tarjoamaa lompakkoa, vaatimustenmukaisuuden arviointilaitosta, sertifioijaa ja näiden toimintaa, luottamuspalvelun tarjoajaa ja sen tarjoamaa palvelua ja niitä, jotka toimivat näiden lukuun, koskeva tarkastus eIDAS-laissa tai sen nojalla annetuissa määräyksissä taikka eIDAS-asetuksessa tai sen nojalla annetuissa säännöksissä asetettujen velvollisuuksien noudattamisen valvomiseksi. eIDAS-asetuksen nojalla annetulla säännöksellä tarkoitettaisiin komission täytäntöönpanoasetuksia.  

Pykälän 2 momentin mukaan Liikenne- ja viestintävirasto määräisi tarkastajan toimittamaan tarkastuksen. Tarkastaja olisi Liikenne- ja viestintäviraston virkahenkilö. Tarkastus voitaisiin tehdä toimijan tiloissa tai tietojärjestelmässä. Tietojärjestelmässä tehtävä tarkastus voisi olla esimerkiksi järjestelmien, tuotteiden tai ohjelmistojen tietoturvan ja luotettavuuden toteamista. Toimijan tiloissa tapahtuva tarkastus voisi kohdistua esimerkiksi kirjallisen aineiston perusteella tapahtuvaan tarkastamiseen, kuten toimijan laatimien ohjeiden, hallinnollisten menettelyjen kuvausten tai tilaturvallisuuteen liittyvän vaatimustenmukaisuuden tarkastamista. Tarkastuksia ei kuitenkaan saisi suorittaa pysyväisluonteiseen asumiseen tarkoitetuissa tiloissa. Sääntelyn selkeyden vuoksi momentissa olisi nimenomainen säännös siitä, että tarkastuksen suorittajalla on oikeus saada valvontatehtävän kannalta välttämättömät tiedot salassapitosäännösten tai muiden tiedon luovuttamista koskevien rajoitusten estämättä. Liikenne- ja viestintäviraston tiedonsaantioikeudesta säädettäisiin nimenomaisesti 35 §:ssä.  

Pykälän 3 momentissa olisi aineellinen viittaus hallintolain tarkastusta koskevan säännöksen noudattamisesta myös pykälässä tarkoitetussa tarkastuksessa.  

38 §. Huomautus javalvontapäätös. Pykälän 1 momentissa säädettäisiin Liikenne- ja viestintäviraston toimivallasta antaa huomautus eIDAS-lain nojalla valvomalleen toimijalle ehdotetun lain tai eIDAS-asetuksen tai niiden nojalla annetuissa säännöksissä säädettyjen velvoitteiden noudattamisessa tapahtuneesta puutteesta ja toimivallasta antaa velvoittava päätös toiminnan korjaamiseksi sääntelyn mukaiseksi. Sääntely vastaa Liikenne- ja viestintäviraston nykyisiä toimivaltuuksia tunnistuslain 45 §:ssä liittyen tunnistuspalvelun tarjoajien ja luottamuspalvelujen tarjoajien valvontaan. Sääntely olisi tarpeen myös tässä laissa, jotta varmistetaan, että Liikenne- ja viestintävirasto voi toteuttaa eIDAS-asetuksessa valvontaelimelle säädetyt valvontatehtävät. 

Pykälän mukaan Liikenne- ja viestintävirasto voisi huomauttaa toimijaa puutteista ehdotetussa eIDAS-laissa tai eIDAS-asetuksessa tai niiden nojalla annetuissa säännöksissä säädettyjen velvoitteiden noudattamisessa. Toimijalla tarkoitettaisiin mitä tahansa toimijaa, jota Liikenne- ja viestintävirasto valvoo ehdotetun 33 §:n mukaisesti. Käytännössä kyse olisi siis sellaisesta toimijasta, joka tarjoaa eIDAS-lain tai eIDAS-asetuksen mukaisia palveluja tai harjoittaa niiden mukaista toimintaa tai muutoin toteuttaa tässä laissa tai eIDAS-asetuksessa säädettyjä velvollisuuksia. Toimijoita olisivat mm. eurooppalaisen digitaalisen identiteetin lompakon tarjoaja, luottava osapuoli tai hyväksytyn luottamuspalvelun tarjoaja. eIDAS-asetuksen nojalla annetuilla säännöksillä tarkoitettaisiin asetuksen nojalla annettuja komission täytäntöönpanoasetuksia.  

Huomautus voitaisiin antaa esimerkiksi sellaisissa tilanteissa, joissa ei olisi aihetta ryhtyä ankarampiin toimenpiteisiin tai jos kyse on merkitykseltään sen verran vähäisestä puutteesta velvoitteiden noudattamisessa, ettei toiminnan korjaamista ole tarpeen jälkikäteen valvoa tai puutteen korjaamista ei tarvitse erikseen jälkikäteen osoittaa Liikenne- ja viestintävirastolle. Huomautuksen antaminen tulisi siis kyseeseen erityisesti lyhytkestoisissa ja merkitykseltään vähäisissä säännösten vastaisen toiminnan tilanteissa. Liikenne- ja viestintävirasto laatii kuitenkin myös huomautuksesta valvontapäätöksen, johon voi hakea muutosta siten kuin lain 52 §:ssä on säädetty.  

Huomautuksen lisäksi Liikenne- ja viestintävirasto voisi päätöksellä velvoittaa sitä, joka rikkoo tai laiminlyö pykälässä tarkoitetussa sääntelyssä asetettuja velvollisuuksia korjaamaan toimintansa kohtuullisessa määräajassa. Sääntely olisi tarpeen, jotta Liikenne- ja viestintävirasto voisi muutetun eIDAS-asetuksen 46 a artiklan 4 kohdan e alakohdassa tarkoitetulla tavalla edellyttää, että eurooppalaisen digitaalisen identiteetin lompakon tarjoajat korjaavat mahdolliset puutteet tässä asetuksessa säädettyjen vaatimusten täyttämisessä ja 46 b artiklan 4 kohdan j alakohdassa tarkoitetulla tavalla edellyttää, että luottamuspalvelun tarjoajat korjaavat mahdolliset puutteet tässä asetuksessa säädettyjen vaatimusten täyttämisessä. Jos siis Liikenne- ja viestintävirasto havaitsee virheitä, laiminlyöntejä tai muita puutteita velvoitteiden noudattamisessa, se voi velvoittaa toimijan määräajassa korjaamaan toimintaansa. Liikenne- ja viestintävirasto voisi velvoittaa toimijaa korjaamaan havaitut puutteet tai laiminlyönnit tai lopettamaan velvoitteiden vastaisen toiminnan ja pidättäytymään vastaavasta toiminnasta jatkossa.  

Pykälän 2 momentissa säädettäisiin Liikenne- ja viraston toimivallasta määrätä toimija keskeyttämään tai lopettamaan palvelun tarjoaminen tai hyväksyttyjen luottamuspalvelun tarjoajien osalta peruuttaa palvelun tarjoajan tai sen tarjoaman palvelun hyväksytty asema. Sääntely olisi tarpeen, jotta Liikenne- ja viestintävirasto voisi muutetun eIDAS-asetuksen 46 a artiklan 5 kohdassa tarkoitetulla tavalla määrätä eurooppalaisen digitaalisen identiteetin lompakon tarjoajaa keskeyttämään tai lopettamaan lompakon tarjoaminen ja 46 b artiklan 4 kohdan g alakohdassa tarkoitetulla tavalla peruuttaa hyväksytyn luottamuspalvelun tarjoajan ja sen tarjoaman palvelun hyväksytty asema. Ennen momentissa tarkoitettua päätöstä Liikenne- ja viestintäviraston tulisi velvoittaa toimijaa 1 momentin mukaisella päätöksellä korjaaman toimintansa kohtuullisessa määräajassa ja vain jos palvelun tarjoaja ei noudata kyseistä päätöstä, Liikenne ja viestintävirasto voi harkita palvelun tarjoamisen keskeyttämistä tai lopettamista koskevan määräyksen antamista. Liikenne- ja viestintäviraston tulisi huomioida erityisesti rikkomisen laajuus, kesto ja seuraukset. Määräys palvelun tarjoamisen keskeyttämisestä tai lopettamisesta tai hyväksytyn aseman peruuttamisesta tulisi kyseeseen vain merkitykseltään huomattavissa ja pitkäkestoisissa säännösten asettamien velvoitteiden noudattamisen puutteissa. 

Pykälän 3 momentti koskisi vain hyväksyttyjä luottamuspalvelun tarjoajia ja niiden tarjoamia hyväksyttyjä luottamuspalveluja. Momentissa säädettäisiin Liikenne- ja viestintäviraston toimivallasta peruuttaa palveluntarjoajan tai sen tarjoaman palvelun hyväksytty asema, jos toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2555 (NIS 2-direktiivi) mukaisesti nimetty tai perustettu toimivaltainen viranomainen taikka yleisen tietosuoja-asetuksen nojalla nimetty tai perustettu toimivaltainen viranomainen tekee Liikenne- ja viestintävirastolle ilmoituksen, että palveluntarjoaja tai sen tarjoama palvelu ei täytä sille NIS 2 -direktiivissä tai yleisessä tietosuoja-asetuksessa asetettuja vaatimuksia. Sääntely olisi tarpeen, jotta Liikenne- ja viestintävirasto voi toteuttaa muutetun eIDAS-asetuksen 20 artiklan 3 a ja 3 b kohdissa tarkoitetut toimenpiteet. Molemmissa tilanteissa tulisi ottaa huomioon säädettyjen vaatimusten laiminlyönnin laajuus, kesto ja seuraukset. Hyväksytyn aseman peruuttaminen tulisi kyseeseen vain merkitykseltään huomattavissa ja pitkäkestoisissa vaatimusten laiminlyönnissä.  

39 §. Väliaikainen päätös. Pykälässä säädettäisiin Liikenne- ja viestintäviraston toimivallasta antaa väliaikaisia päätöksiä. Sääntely vastaisi tunnistuslain 45 a §:n sääntelyä Liikenne- ja viestintäviraston toimivallasta antaa väliaikaisia päätöksiä. Sääntely olisi tarpeen, sillä eurooppalaisen digitaalisen identiteetin lompakon, sähköisten tunnistusjärjestelmien ja luottamuspalveluiden tarjontaan saattaa liittyä rikkomuksia ja häiriötilanteita, jotka ovat vaikutuksiltaan sellaisia, että valvovalla viranomaisella on tarve päättää väliaikaisista toimista. Kyse olisi vaikutuksiltaan olennaisemmista tai muutoin merkitykseltään vakavammista velvoitteiden rikkomisen tilanteista kuin huomautuksen tai 38 §:ssä säädetyn valvontapäätöksen kohteena oleva velvoitteiden rikkominen, sillä väliaikaisena toimena Liikenne- ja viestintävirasto voisi suoraan kieltää tai keskeyttää tietyn palvelun tarjoamisen ilman kehotusta korjaaviin toimenpiteisiin. Pykälässä mahdollistettaisiin myös palvelun tarjoamisen kieltäminen tai keskeyttäminen osittain.  

Sääntely olisi tarpeen myös muutetun eIDAS-asetuksen 5 e artiklassa ja sen nojalla annetussa komission täytäntöönpanoasetuksessa asetettujen jäsenvaltioiden velvoitteiden toteutumisen varmistamiseksi. Edellä 13 §:ssä olisi säädetty, että lähtökohtaisesti eurooppalaisen digitaalisen identiteetin lompakon tarjoaja vastaa 5 e artiklassa säädetyistä jäsenvaltion velvoitteista, joita ovat esimerkiksi eurooppalaisen digitaalisen identiteetin lompakon käytön ja tarjoamisen keskeyttäminen. Liikenne- ja viestintävirasto voisi kuitenkin tarvittaessa väliaikaisella päätöksellä varmistaa muutetun eIDAS-asetuksen 5 e artiklassa ja 10 artiklassa tarkoitettujen toimenpiteiden toteutumisen, jos lompakon tai sähköisen tunnistamisen järjestelmän tarjoaja ei ryhdy asetuksen edellyttämiin toimenpiteisiin.  

40 §. Uhkasakko, teettämisuhka ja keskeyttämisuhka. Pykälässä säädettäisiin Liikenne- ja viestintäviraston mahdollisuudesta asettaa antamansa päätöksen tehosteeksi uhkasakko, teettämisuhka tai keskeyttämisuhka. Hallinnollisen tehosteen asettamisesta ja täytäntöönpanosta säädetään uhkasakkolaissa (1113/1990).  

41 §. Liikenne- ja viestintävirastolle maksettavat maksut. Pykälässä ehdotetaan säädettäväksi Liikenne- ja viestintävirastoille maksettavista maksuista. Pykälässä ehdotetut valvontamaksut kattaisivat niitä kustannuksia, joita Liikenne- ja viestintävirastolle aiheutuu eIDAS-asetuksessa, sen nojalla annetuissa säännöksissä ja ehdotetussa eIDAS-laissa säädettyjen valvontaan liittyvien tehtävien hoitamisesta. eIDAS-asetuksen nojalla annetaan useita täytäntöönpanosäädöksiä, jotka vaikuttavat viranomaisen tehtäviin. Pykälän säännökset vastaisivat osin nykyisen tunnistuslain 47 §:n sääntelyä ja liittyvät kiinteästi esityksen 2. lakiehdotuksessa tunnistuslain 47 §:ään ehdotettaviin muutoksiin. Pykälä olisi tarpeen ensinnäkin siksi, että jatkossa kaikki eIDAS-asetusta täydentävä sääntely olisi uudessa eIDAS-laissa. Sen vuoksi nykyisen tunnistuslain 47 §:n mukaisiin luottamuspalveluihin, niitä arvioiviin vaatimustenmukaisuuden arviointilaitoksiin sekä sertifiointilaitoksiin (ehdotetussa eIDAS-laissa sertifioija) liittyvät maksut ehdotetaan kumottavaksi tunnistuslaista ja siirrettäväksi uuteen eIDAS-lakiin. eIDAS-laissa ei kuitenkaan säädettäisi kansallisiin tunnistuspalveluihin liittyvistä maksuista, vaan niistä säädettäisiin edelleen tunnistuslain 47 §:ssä. Toiseksi pykälässä säädettäisiin myös kokonaan uudesta maksusta eli eurooppalaisen digitaalisen identiteetin lompakon tarjoajaan kohdistuvasta maksusta. 

Pykälän 1 momentissa säädettäisiin eurooppalaisen digitaalisen identiteetin lompakon tarjoajan velvollisuudesta maksaa Liikenne- ja viestintävirastolle vuosittain 17 000 euron valvontamaksu. Kyseessä on kansallinen säännös, joka vastaa tunnistuslain 47 §:n 1 momentin sääntelyä tunnistuspalvelun tarjoajan valvontamaksusta. Ehdotettu maksun suuruus vastaa niin ikään tunnistuspalvelun tarjoajalle 2. lakiehdotuksen 47 §:n 1 momentissa ehdotettua valvontamaksua. Valvontamaksu katsotaan valtiosääntöoikeudellisesti veroksi, jolloin siitä tulee säätää laissa. Vuotuisen valvontamaksun lisäksi eIDAS-lakiin ehdotetun 7 §:n 3 momentin mukaisen lompakon tarjoajan ilmoituksen käsittelystä Liikenne- ja viestintävirasto voisi periä ilmoituksen käsittelymaksun valtion maksuperustelain mukaisesti. Maksun suuruudesta olisi tarkoitus säätää asetustasolla eli sähköisen viestinnän maksuasetuksessa. Ilmoituksen käsittelyssä on kyse ilmoituksen perusteella tehtävästä valvovan viranomaisen eurooppalaisen digitaalisen identiteetin lompakon tarjoajaksi tunnustamista koskevasta arvioinnista ja ilmoittamisesta edelleen Euroopan komissiolle eli suoritteesta. Valtion suoritteiden maksullisuuden ja maksujen suuruuden yleisistä perusteista säädetään valtion maksuperustelaissa. Verojen ja maksujen välistä suhdetta käsitellään laajemmin esityksen säätämisjärjestystä koskevassa jaksossa 12.6. 

Pykälän 2 momenttiin siirrettäisiin nykyisen tunnistuslain 47 §:n 2 momenttiin sisältyvä sääntely hyväksytyn luottamuspalvelun tarjoajan valvontamaksuista. Valvontamaksun suuruutta korotettaisiin vastaavalla tavalla kuin muita jo voimassa olevia tunnistuspalveluihin ja luottamuspalveluihin liittyviä maksuja kustannustason nousua vastaavasti ja sääntelyyn tehtäisiin kielellisiä korjauksia. Hyväksytyn luottamuspalvelun tarjoajan olisi suoritettava Liikenne- ja viestintävirastolle vuosittain 17 000 euron valvontamaksu (nykyään 14 000 euroa) ensimmäisestä tarjoamastaan hyväksytystä luottamuspalvelusta ja sitä seuraavista tarjoamistaan hyväksytyistä luottamuspalveluista vuosittain 11 000 euroa (nykyään 9 000 euroa). Korotukset perustuvat Liikenne- ja viestintäviraston laskelmiin, joiden pohjana on käytetty Tilastokeskuksen julkisten menojen hintaindeksiä. Julkisten menojen hintaindeksin osaindeksillä palkat ja muut henkilöstömenot korotettuna vuoden 2016 tasosta vuoden 2024 tasoon ja hieman pyöristettynä ensimmäisestä palvelusta maksettava valvontamaksu on 17 000 euroa otettaessa se käyttöön vuoden 2026 lopussa, jolloin lain on tarkoitus tulla voimaan. Korotusta voidaan siten yleisen kustannustason nousun ja virastolle valvonnasta tosiasiallisesti aiheutuvien kustannusten perusteella pitää kohtuullisena ja perusteltuna. Valvontamaksun lisäksi Liikenne- ja viestintävirasto perisi palvelun tarjoamisen aloittamista koskevan ilmoituksen käsittelystä hakemusmaksun, jonka suuruus määräytyisi jatkossa sähköisen viestinnän maksuasetuksen perusteella. Nykyään tästä rekisteröimismaksuksi nimetystä maksusta säädetään tunnistuslain 47 §:n 2 momentissa, mutta säännös ehdotetaan kumottavaksi lain tasolta, koska kyseessä katsotaan olevan suorite eli valtiosääntöoikeudellisesti maksu. 

Ehdotettavan 3 momentin mukaan, vaatimustenmukaisuuden arviointilaitoksen olisi suoritettava Liikenne- ja viestintävirastolle vuosittain 18 000 euron valvontamaksu. Säännös perustuu nykyiseen tunnistuslain 47 §:n 3 momenttiin ja vastaa 2. lakiehdotuksessa muutettavaksi esitettävän 47 §:n 2 momenttia. Valtiosääntöisesti kyse olisi verosta, josta on säädettävä lain tasolla. Valvontamaksun suuruuteen (nykyään 15 000 euroa) tehtäisiin yleistä kustannustason nousua vastaava 3000 euron korotus.  

Pykälän 4 momentin mukaan myös ehdotetun eIDAS-lain mukaisesti nimetyn sertifioijan olisi suoritettava Liikenne- ja viestintävirastolle vuosittain 18 000 euron valvontamaksu. Säännös perustuu nykyiseen tunnistuslain 47 §:n 3 momenttiin. Nykyiseen 15 000 euron suuruiseen valvontamaksuun tehtäisiin kustannustason nousua vastaava 3 000 euron korotus. Vaatimustenmukaisuuden arviointilaitoksen ja sertifioijan nimeämisestä voitaisiin jatkossa periä hakemuksen käsittelymaksu valtion maksuperustelain mukaan, ja maksun suuruudesta säädettäisiin sähköisen viestinnän maksuasetuksessa. Näin ollen näistä ei säädettäisi nyt ehdotettavassa laissa. 

Pykälän 5 momentissa säädettäisiin tunnistuslain 47 §:ää vastaavalla tavalla eräistä valvontamaksun suorittamisvelvollisuuteen liittyvistä yksityiskohdista. Valvontamaksu olisi suoritettava täysimääräisesti myös toiminnan ensimmäisenä vuotena, vaikka toiminta aloitettaisiin kesken vuotta. Valvontamaksua ei palautettaisi, vaikka palveluntarjoaja lopettaisi toimintansa kesken vuotta. 

Ehdotetussa 6 momentissa säädettäisiin valvontamaksuun liittyvistä menettelyllisistä seikoista. Maksun määräisi Liikenne- ja viestintävirasto ja se on suoraan ulosottokelpoinen. Momentti sisältäisi myös selvyyden vuoksi informatiivisen viittauksen lain muutoksenhakua koskevaan pykälään. Vastaava säännös ehdotetaan tunnistuslain 47 §:ään. 

Pykälän 7 momenttiin ehdotetaan informatiivista viittausta verojen ja maksujen täytäntöönpanosta annettuun lakiin (706/2007), jota sovellettaisiin valvontamaksun perimiseen. Lisäksi momentissa säädettäisiin viivästyskorosta. Vastaavaa säännöstä ehdotetaan tunnistuslain 47 §:ään. 

Lopuksi pykälän 8 momenttiin ehdotetaan informatiivista viittausta, jonka mukaan tietyistä momentissa erikseen luetelluista asioista perittävistä maksuista säädetään valtion maksuperustelaissa. Informatiivinen viittaus on valmistelussa katsottu tarpeelliseksi, koska sen on tarkoitus selventää, että pykälässä säädettävien valvontamaksujen lisäksi voidaan periä muitakin muutetun eIDAS-asetuksen mukaisten palvelujen tarjoamiseen liittyviä maksuja, kuten ilmoituksen tai hakemuksen käsittelyyn tai luottavien osapuolten rekisteröitymiseen liittyviä maksuja, valtion maksuperustelain mukaisesti. Maksujen suuruudesta säädettäisiin sähköisen viestinnän maksuasetuksessa, ja ne määräytyisivät valtion maksuperustelain kustannusvastaavuusperiaatteen mukaisesti eli maksun suuruus vastaisi suoritteen tuottamisesta valtiolle aiheutuvien kokonaiskustannusten määrää. Oikeushenkilöiden tunnistetietoja koskevista suoritteista perittävistä maksuista olisi informatiivinen viittaus patentti- ja rekisterihallituksen suoritteista perittävistä maksuista annettuun lakiin (1032/1992). Maksut voisivat koskea niin hakemusmaksuja, vuosimaksuja kuin muita oikeushenkilön tunnistetietoihin liittyviä suoritteita. 

6 luku Seuraamusmaksut 

Esityksen 42–46 §:issä säädettäisiin niistä muutetun eIDAS-asetuksen velvoitteiden rikkomis- ja laiminlyöntitilanteista, joiden seuraamuksena toimivaltaisella viranomaisella olisi mahdollista määrätä seuraamusmaksu luottamuspalveluntarjoajalle. Mainitut sanktioinnit liittyvät muutetun eIDAS-asetuksen 16 artiklan 2 kohdan täytäntöönpanoon. Artiklassa edellytetään jäsenvaltioita varmistamaan, että jos hyväksytyt ja ei-hyväksytyt luottamuspalvelun tarjoajat rikkovat tätä asetusta, niille voidaan määrätä hallinnollinen seuraamusmaksu.  

Liikenne- ja viestintäviraston toimivalta määrätä seuraamusmaksu. Ehdotuksen 42–46 pykälissä säädettäisiin Liikenne- ja viestintäviraston toimivallasta määrätä seuraamusmaksuja luottamuspalvelun tarjoajille. Liikenne- ja viestintävirasto on ollut ja on myös jatkossa hyväksyttyjä ja ei-hyväksyttyjä luottamuspalveluntarjoajia valvova viranomainen ja siten sillä on luottamuspalveluiden tarjoajiin liittyvää asiantuntemusta ja osaamista ja siten se on sopivin taho määräämään seuraamusmaksu. Liikenne- ja viestintävirastosta annetun lain (935/2018) 7 a §:n mukaan Liikenne- ja viestintävirastossa on seuraamuskollegio, jonka tehtävänä on määrätä viraston toimivaltaan kuuluva seuraamusmaksu silloin, kun se on suuruudeltaan yli 100 000 euroa. Ehdotettu sääntely Liikenne- ja viestintäviraston toimivallasta määrätä pykälän mukainen seuraamusmaksu on kuitenkin tarpeen, sillä toimivallasta määrätä seuraamusmaksu ei kuitenkaan säädetä edellä mainitussa pykälässä, vaan siitä tulee säätää muualla.  

42 §.Luottamuspalvelun tarjoajien seuraamusmaksu. Pykälässä säädettäisiin seuraamusmaksusta niiden artiklakohtien osalta, joiden rikkomiseen voisi syyllistyä jokainen luottamuspalvelun tarjoaja. Pykälän soveltamisen kannalta ei siis olisi merkitystä onko luottamuspalvelun tarjoaja hyväksytty vai ei-hyväksytty tai mitä luottamuspalvelua se tarjoaa. Pykälässä olisi sanktioitu luottamuspalveluntarjoajan muutetun eIDAS-asetuksen 15 artiklassa säädetty velvollisuus tarjota palveluaan saataville selkeällä ja ymmärrettävällä kielellä vammaisten henkilöiden oikeuksista tehdyn Yhdistyneiden kansakuntien yleissopimuksen (SopS 27/2016) ja direktiivin (EU) 2019/882 (esteettömyysdirektiivi) esteettömyysvaatimusten mukaisesti. Kyseessä on palvelujen käyttäjien kannalta tärkeät velvollisuudet. 15 artiklan mukaisilla esteettömyyteen liittyvillä vaatimuksilla edistetään luottamuspalvelujen laajaa saavutettavuutta, mikä osaltaan edistää erilaisten sähköisten prosessien ja menettelyjen käyttämistä erilaisissa palveluissa.  

43 §. Ei-hyväksyttyjen luottamuspalvelun tarjoajien seuraamusmaksu. Pykälässä säädettäisiin seuraamusmaksusta niiden artiklakohtien osalta, joiden rikkomiseen voisi syyllistyä ei-hyväksytty luottamuspalvelun tarjoaja ja jotka ovat riittävän selkeästi ja tarkkarajaisesti muotoiltuja ja jotka ovat muutetun eIDAS-asetuksen tavoitteiden kannalta olennaisia. Ei-hyväksyttyjä luottamuspalvelun tarjoajia koskevista vaatimuksista on säädetty muutetun eIDAS-asetuksen 19 a artiklassa ja pykälässä olisi sanktioitu ei-hyväksytyn luottamuspalvelun tarjoajan 19 a artiklan 2 kohdassa säädetty velvollisuus ilmoittaa eri tahoille tietoturvaloukkauksista tai palvelun tarjoamisen tai mainitun artiklan 1 kohdassa tarkoitettujen toimenpiteiden häiriöistä. Kyseessä ovat palvelujen tarjoamisen ja valvovan viranomaisen näkökulmasta tärkeät velvollisuudet. Muutetun eIDAS-asetuksen 46 b artiklan 3 kohdan b alakohdan mukaan valvontaviranomaiset valvovat ei-hyväksyttyjä luottamuspalveluja vain jälkikäteen toteutettavin valvontatoimin, jos niille ilmoitetaan, että ei-hyväksytyt luottamuspalvelun tarjoajat tai niiden tarjoamat luottamuspalvelut eivät väitetysti täytä asetuksessa säädettyjä vaatimuksia. Velvollisuus ilmoittaa tietoturvaloukkauksista tai palveluissa tai mainitun artiklan 1 kohdassa tarkoitettujen toimenpiteiden häiriöistä varmistaa osaltaan sitä, että valvova viranomainen voi kohdistaa palveluntarjoajaan valvontatoimenpiteitä varmistaakseen, että palveluntarjoaja on toiminut sille asetettujen vaatimusten mukaisesti ja mahdollisesti edellyttää korjaavia toimenpiteitä, jotta tietoturvaloukkauksilta voitaisiin välttyä tulevaisuudessa. Samoin on tärkeää, että tietoturvaloukkauksista ilmoitetaan tarkoituksenmukaisille muille tahoille, jotta he voivat omalla toiminnallaan pyrkiä minimoimaan loukkauksen vaikutuksia. 

44 §. Hyväksyttyjen luottamuspalvelun tarjoajien seuraamusmaksu. Pykälässä säädettäisiin seuraamusmaksusta niiden artiklakohtien osalta, joiden rikkomiseen voisi syyllistyä hyväksytty luottamuspalvelun tarjoaja ja jotka ovat riittävän selkeästi ja tarkkarajaisesti muotoiltuja ja jotka ovat muutetun eIDAS-asetuksen tavoitteiden kannalta olennaisia. Pykälän 1 kohdassa olisi sanktioitu 20 artiklan 1 kohdassa säädetty velvollisuus toimittaa vaatimustenmukaisuuden arviointikertomus valvontaelimelle ja artiklan 1 a kohdassa säädetty velvollisuus ilmoittaa valvontaelimelle etukäteen suunnitelluista tarkastuksista. Kyseessä ovat valvovan viranomaisen näkökulmasta tärkeät velvollisuudet. Vaatimustenmukaisuuden arviointikertomuksessa kuvataan hyväksytyn luottamuspalvelun vaatimustenmukaisuutta ja se on siten tärkeä asiakirja, kun valvova viranomainen myöntää luottamuspalvelun tarjoajan palvelulle hyväksyttyä asemaa tai arvioi aseman ylläpitämistä.  

Pykälän 2 kohdassa olisi sanktioitu 21 artiklan 1 kohdassa säädetty velvollisuus ilmoittaa valvontaelimelle aikeesta aloittaa hyväksytyn luottamuspalvelun tarjoaminen ja toimittaa samalla vaatimustenmukaisuuden arviointiraportti. Kyseessä ovat valvovan viranomaisen näkökulmasta tärkeät velvollisuudet. Muutetun eIDAS-asetuksen 46 b artiklan 3 kohdan a alakohdan mukaan valvovan viranomaisen roolina on varmistaa ennakkoon ja jälkikäteen toteutettavin valvontatoimin, että hyväksytyt luottamuspalvelun tarjoajat ja niiden tarjoamat hyväksytyt luottamuspalvelut täyttävät tässä asetuksessa säädetyt vaatimukset. Mikäli luottamuspalveluntarjoajat eivät ilmoittaisi aikeistaan aloittaa palvelun tarjoaminen, ei valvova viranomaisen voisi kohdistaa siihen asetuksen edellyttämiä ennakollisia valvontatoimenpiteitä.  

Pykälän 3 kohdassa olisi sanktioitu 23 artiklan 2 kohdassa säädetty velvollisuus varmistaa, että hyväksytyn luottamuspalvelun tarjoajan verkkosivulla on käytettävissä linkki asianomaiseen luotettuun luetteloon, kun hyväksytty luottamuspalvelun tarjoaja käyttää EU:n luotettavuusmerkkiä. Kyseessä on palvelun luotettavuuden kannalta tärkeä velvollisuus. Muutetun eIDAS-asetuksen 23 artiklan 1 kohdan mukaan hyväksytyt luottamuspalvelun tarjoajat voivat käyttää EU:n luotettavuusmerkkiä osoittaakseen yksinkertaisella, tunnistettavalla ja selkeällä tavalla niiden tarjoamat hyväksytyt luottamuspalvelut. EU:n luotettavuusmerkkiä ei saisi käyttää tavoin, jotka suoraan tai välillisesti voivat johtaa käsitykseen, että luottamuspalvelujen tarjoajan ei-hyväksytyt luottamuspalvelut olisivat hyväksyttyjä. Linkki asianomaiseen luotettuun luetteloon osoittaa sen, että EU:n luotettavuusmerkkiä käytetään oikein eli osoittamaan palvelun hyväksyttyä asemaa.  

Pykälän 4 kohdassa olisi sanktioitu 24 artiklan 2 kohdassa säädetyt velvollisuudet alakohdittain. Ensinnäkin olisi sanktioitu velvollisuus ilmoittaa valvontaelimelle ennen kuin hyväksytty luottamuspalvelun tarjoaja toteuttaa muutoksia hyväksyttyjen luottamuspalvelujensa tarjoamiseen tai lopettaa kyseisen toiminnan. Lisäksi olisi sanktioitu velvollisuus ilmoittaa ennen sopimussuhteen aloittamista hyväksytyn luottamuspalvelun käytön tarkoista ehdoista ja edellytyksistä sekä velvollisuus käyttää luotettavia järjestelmiä sille annettujen tietojen tallentamiseen. Kyseessä ovat tärkeät velvollisuudet valvovan viranomaisen, palvelujen käyttäjän sekä tietosuojan näkökulmasta. Muutetun eIDAS-asetuksen 46 b artiklan 3 kohdan a alakohdan mukaan valvovan viranomaisen roolina on varmistaa ennakkoon ja jälkikäteen toteutettavin valvontatoimin, että hyväksytyt luottamuspalvelun tarjoajat ja niiden tarjoamat hyväksytyt luottamuspalvelut täyttävät tässä asetuksessa säädetyt vaatimukset. Jos luottamuspalveluntarjoajat toteuttavat palveluihinsa muutoksia, sillä voi olla vaikutuksia palvelun vaatimustenmukaisuuteen, mikä valvovan viranomaisen tulee varmistaa. Käyttäjän näkökulmasta on puolestaan tärkeää, että hänellä on palvelua käyttöönottaessaan selkeä käsitys siitä, mitkä ovat palvelun käytön ehdot ja edellytykset, jotta hän voi toimia niiden tarkoittamalla tavalla.  

Edelleen olisi sanktioitu saman kohdan fb alakohdassa säädetty velvollisuus ilmoittaa poikkeamista palvelujen tarjoamisessa tai fa alakohdassa tarkoitettujen toimenpiteiden toteuttamisessa havaituista tietoturvaloukkauksista tai häiriöistä valvontaelimelle, tunnistettavissa oleville asianomaisille henkilöille, tarvittaessa muille asiaankuuluville toimivaltaisille elimille sekä valvontaelimen pyynnöstä yleisölle, jos se on yleisen edun mukaista. Kyseessä ovat palvelujen tarjoamisen ja valvovan viranomaisen näkökulmasta tärkeät velvollisuudet. Velvollisuus ilmoittaa poikkeamista tai fa alakohdassa tarkoitettujen toimenpiteiden toteuttamisessa havaituista häiriöistä varmistaa osaltaan sitä, että valvova viranomainen voi kohdistaa palveluntarjoajaan valvontatoimenpiteitä varmistaakseen, että palveluntarjoaja on toiminut sille asetettujen vaatimustenmukaisesti ja mahdollisesti edellyttää korjaavia toimenpiteitä, jotta tietoturvaloukkauksilta voitaisiin välttyä tulevaisuudessa. Samoin on tärkeää, että tietoturvaloukkauksista ilmoitetaan tarkoituksenmukaisille muille tahoille, jotta ne voivat omalla toiminnallaan pyrkiä minimoimaan loukkauksen vaikutuksia. 

Lisäksi olisi sanktioitu velvollisuus arkistoida ja pitää saatavilla kaikki tarvittavat tiedot hyväksytyn luottamuspalvelun tarjoajan myöntämistä ja vastaanottamista tiedoista. Lopuksi olisi sanktioitu saman kohdan i alakohdassa säädetty velvollisuus ylläpitää ajan tasalla olevaa toiminnan lopettamissuunnitelmaa. Kyseessä ovat tärkeät velvollisuudet tietosuojan ja palvelun yleisen luotettavuuden näkökulmasta. Luottamuspalvelun tarjoajalle kertyneiden tietojen arkistointi on tärkeää, sillä luottamuspalvelut voivat olla luonteeltaan sellaisia, että luottamuspalveluilla tehtyjä toimia pitää pystyä todentamaan vielä useiden vuosienkin jälkeen ja myös esimerkiksi sellaisissa tilanteissa, joissa palvelun tarjoaminen olisi päättynyt. Ajan tasainen lopettamissuunnitelma varmistaa mahdollista luottamuspalvelun tarjoamisen lopettamista hallittuna toimenpiteenä. Luottamuspalvelut voivat olla monien hyödyntäjien kannalta liiketoimintakriittisiä, ja tästä näkökulmasta on tärkeää, että hyödyntäjille annetaan mahdollisuus tehdä toimenpiteitä, jos luottamuspalvelun tarjoajan toiminta päättyy.  

45 §. Hyväksyttyjä varmenteita tarjoavan hyväksytyn luottamuspalvelun tarjoajan seuraamusmaksu. Pykälässä säädettäisiin seuraamusmaksusta niiden artiklakohtien osalta, joiden rikkomiseen voisi syyllistyä hyväksyttyjä varmenteita tarjoava hyväksytty luottamuspalvelun tarjoaja ja jotka ovat riittävän selkeästi ja tarkkarajaisesti muotoiltuja ja jotka ovat muutetun eIDAS-asetuksen tavoitteiden kannalta olennaisia. Pykälässä olisi sanktioitu 24 artiklan 1 kohdassa säädetty velvollisuus varmistaa luonnollisen henkilön tai oikeushenkilön henkilöllisyys ja mahdolliset muut attribuutit, jolle hyväksytty varmenne myönnetään. Lisäksi olisi sanktioitu saman artiklan 2 kohdan k alakohdassa säädetty velvollisuus perustaa varmennetietokanta ja pitää se ajan tasalla sekä 3 kohdassa säädetty velvollisuus kirjata varmenteen sulkeminen varmennetietokantaan ja julkaista varmenteen sulkemistila sekä 4 kohdassa säädetty velvollisuus antaa tietoa hyväksyttyjen varmenteiden voimassaolo- ja sulkemistilasta. Kyseessä ovat tärkeät velvollisuudet liittyen hyväksyttyjen varmenteiden elinkaaren hallintaan sekä varmenteiden käyttöön. Ilman oikea-aikaista tietoa varmenteen voimassaolosta tai sen mahdollisesta sulkemisesta, varmenteen luotettava käyttäminen vaarantuu. Toisin sanoen, jos näitä tietoja ei ole oikea-aikaisesti saatavilla, voi se toisaalta vaarantaa varmenteen käyttäjän etuja ja oikeuksia ja toisaalta myös varmenteita palveluissaan hyödyntävien etuja. Samoin varmennetta palveluissaan hyödyntävän tahon tulee voida luottaa, että varmenne on myönnetty juuri sille luonnolliselle henkilölle tai oikeushenkilölle, jonka tiedot varmenteella välitetään.  

46 §. Hyväksyttyjä sähköisiä attribuuttitodistuksia tarjoavan hyväksytyn luottamuspalvelun tarjoajan seuraamusmaksu. Pykälässä säädettäisiin seuraamusmaksusta niiden artiklakohtien osalta, joiden rikkomiseen voisi syyllistyä hyväksyttyjä sähköisiä attribuuttitodistuksia tarjoava hyväksytty luottamuspalvelun tarjoaja ja jotka ovat riittävän selkeästi ja tarkkarajaisesti muotoiltuja ja jotka ovat muutetun eIDAS-asetuksen tavoitteiden kannalta olennaisia. Pykälässä olisi sanktioitu 24 artiklan 1 kohdassa säädetty velvollisuus varmistaa luonnollisen henkilön tai oikeushenkilön henkilöllisyys ja mahdolliset muut attribuutit, jolle hyväksytty sähköinen attribuuttitodistus myönnetään. Lisäksi olisi sanktioitu 24 artiklan 4a kohdassa säädetty velvollisuus noudattaa saman artiklan 3 ja 4 kohdassa säädettyjä vaatimuksia hyväksytyn sähköisen attribuuttitodistuksen peruuttamisessa. 4a kohdan nojalla hyväksytyn sähköisen attribuuttitodistuksen tarjoajan tulee kirjata hyväksytyn sähköisen attribuuttitodistuksen peruuttaminen ja julkaista todistuksen peruuttamistila oikea-aikaisesti. Sellaisten sähköisten attribuuttitodistusten osalta, jotka ovat voimassa vain tietyn määräajan, olisi lähtökohtaisesti katsottava, ettei artiklassa tarkoitettua peruuttamispäätöstä tehtäisi, vaan todistuksen voimassaolo lakkaisi määräajan päätyttyä. 4a kohdan nojalla hyväksytyn sähköisen attribuuttitodistuksen tarjoajan olisi lisäksi annettava kaikille luottaville osapuolille tietoa niiden myöntämien hyväksyttyjen sähköisten attribuuttitodistusten voimassaolo- ja sulkemistilasta.  

Kyseessä ovat tärkeät velvollisuudet liittyen hyväksyttyjen sähköisten attribuuttitodistusten elinkaaren hallintaan sekä sähköisten attribuuttitodistusten käyttöön. Ilman oikea-aikaista tietoa sähköisen attribuuttitodistuksen voimassaolosta tai sen mahdollisesta peruuttamisesta, sähköisen attribuuttitodistuksen luotettava käyttäminen vaarantuu. Toisin sanoen, jos näitä tietoja ei ole oikea-aikaisesti saatavilla, voi se toisaalta vaarantaa sähköisen attribuuttitodistuksen käyttäjän etuja ja oikeuksia ja toisaalta myös sähköisiä attribuuttitodistuksia palveluissaan hyödyntävien etuja. Sähköisiä attribuuttitodistuksia palveluissaan hyödyntävän tahon tulee voida luottaa, että todistus on myönnetty juuri sille luonnolliselle henkilölle tai oikeushenkilölle, johon liittyviä tietoja sähköisellä attribuuttitodistuksella välitetään.  

47 §.Seuraamusmaksun suuruus. Pykälässä säädettäisiin seuraamusmaksun määräämisen ja määrän arvioinnista yksittäistapauksessa. Pykälän 1 momentin mukaan seuraamusmaksun määrääminen ja sen määrä perustuisi kokonaisarviointiin ja suuruutta arvioitaessa olisi otettava huomioon kaikki olennaiset olosuhteet. Muutetun eIDAS-asetuksen johdanto-osan kappaleessa 44 todetaan, että seuraamuksia määrättäessä olisi otettava asianmukaisesti huomioon ainakin yhteisöjen koko, niiden liiketoimintamallit ja rikkomusten vakavuus. Pykälän mukaan näiden asioiden lisäksi kokonaisarvioinnissa olisi otettava huomioon myös muita seikkoja, kuten seuraamuksella tavoiteltu yleinen etu, luottamuspalveluntarjoajan toimet rikkomisen aiheuttaman vahingon lieventämiseksi tai korjaamiseksi sekä mahdolliset aiemmat rikkomukset. Tällaisten seikkojen huomioiminen on perusteltua, jotta voidaan varmistaa, että seuraamusmaksu on oikeassa suhteessa tekoon tai laiminlyöntiin nähden. Vastaavien seikkojen huomioimista on edellytetty myös muissa EU-asetuksissa, jotka koskevat luottamuspalveluntarjoajiin tietyssä määrin rinnastettavissa olevia yhteiskunnan palveluja. Tällaisia asetuksia ovat esimerkiksi Euroopan parlamentin ja neuvoston asetuksessa (EU) 2022/2065, annettu 19 päivänä lokakuuta 2022, digitaalisten palvelujen sisämarkkinoista ja direktiivin 2000/31/EY muuttamisesta (digipalvelusäädös) ja Euroopan parlamentin ja neuvoston asetus (EU) 2023/2854, annettu 13 päivänä joulukuuta 2023, datan oikeudenmukaista saatavuutta ja käyttöä koskevista yhdenmukaisista säännöistä ja asetuksen (EU) 2017/2394 ja direktiivin (EU) 2020/1828 muuttamisesta (datasäädös). Rikkomuksen tai laiminlyönnin moitittavuutta olisi arvioitava erityisesti niiden oikeushyvien näkökulmasta, joita ehdotetulla lailla ja muutetulla eIDAS-asetuksella pyritään suojaamaan.  

Joka tapauksessa seuraamusmaksun määrä perustuisi aina kokonaisarviointiin, jossa sen tulisi olla viimesijainen keino suhteessa pienempiin seuraamuksiin tai valvonnan muihin toimenpiteisiin. Etenkin alkuvaiheessa valvovan viranomaisen neuvonnan ja ohjauksen tulisi olla ensisijainen puuttumiskeino asetuksen rikkomisen tilanteissa. Tämä korostuu pienempien luottamuspalvelun tarjoajien kohdalla, joiden juridinen osaamistaso ja resurssit ovat tyypillisesti suurempia luottamuspalvelun tarjoajia rajallisempia. 

Pykälän 2 momentin mukaan luottamuspalvelun tarjoajalle määrättävä seuraamusmaksu olisi vähintään 1 000 euroa, jos seuraamusmaksu määrätään luonnolliselle henkilölle, ja muussa tapauksessa vähintään 10 000 euroa. Jotta seuraamuksella olisi riittävä ennalta estävä vaikutus, tulisi maksun suuruuden olla riittävä. Seuraamusmaksun enimmäismäärä olisi matalin sallittu enimmäismäärä muutetun eIDAS-asetuksen 16 artiklan 2 kohdan edellyttämällä tasolla. Luonnollisten henkilöiden osalta enimmäismäärä olisi euromääräinen ja oikeushenkilöiden osalta joko euromääräinen tai prosentuaalinen osuus liikevaihdosta sen mukaan, kumpi määristä on suurempi. Koska rangaistusluontoiset seuraamusmaksut rinnastuvat ankaruudeltaan sakkorangaistukseen, ei niille ehdoteta perittävän viivästyskorkoa tai muuta viivästysseuraamusta. 

Pykälän 3 momentin mukaan liikevaihdolla tarkoitettaisiin kirjanpitolain (1336/1997) 4 luvun 1 §:ssä tarkoitettua liikevaihtoa. Vastaavalla liikevaihdolla puolestaan tarkoitettaisiin liikevaihtoa, joka arvioitaisiin muunlaisen selvityksen perusteella. Säännös koskisi sellaisia mahdollisia tilanteita, joissa seuraamusmaksua määrättäessä tilinpäätös ei olisi vielä valmistunut taikka sitä ei olisi vielä saatavissa, koska liiketoiminta on vasta aloitettu. Lisäksi säännös koskisi niitä tilanteita, joissa hallinnollinen seuraamusmaksu määrättäisiin viranomaiselle, joka toimii luottamuspalvelujen tarjoajana. Viranomaisilla ei ole kirjanpitolaissa tarkoitettua liikevaihtoa, jolloin määrättäessä pykälän enimmäismäärän mukaista seuraamusmaksua, tulisi yhden prosentin suuruus määrittää liikevaihtoa vastaavan tuoton perusteella.  

48 §.Seuraamusmaksun määräämättä jättäminen. Pykälässä säädettäisiin tilanteista, joissa luottamuspalvelun tarjoajalle ei määrättäisi seuraamusmaksua. Perustuslakivaliokunta on käytännössään edellyttänyt, että viranomaisen harkinnan sanktion määräämättä jättämisestä tulee olla sidottua harkintaa siten, että seuraamusmaksu on jätettävä määräämättä laissa säädettyjen edellytysten täyttyessä.  

Pykälän 1 momentin1 kohdan mukaan seuraamusmaksua ei määrättäisi, jos velvoitteen rikkomista tai laiminlyöntiä on pidettävä vähäisenä. Kyse voisi olla vähäisestä rikkomuksesta tai laiminlyönnistä esimerkiksi silloin, jos toimija on oma-aloitteisesti tai välittömästi rikkomuksensa tai laiminlyöntinsä havaittuaan ryhtynyt menettelynsä vaikutukset oikaiseviin toimenpiteisiin ja lopulliset vaikutukset ovat siten jääneet vähäisiksi. Samoin kyse voisi olla vähäisestä rikkomuksesta tai laiminlyönnistä, jos kyse on säännöksen kertaluonteisesta rikkomisesta eikä kyse olisi jatkuvasta tai toistuvasta luottamuspalveluntarjoajan menettelytavasta.  

Pykälän 1 momentin 2 kohdan mukaan seuraamusmaksu jätettäisiin lisäksi määräämättä, jos sen määräämistä olisi pidettävä ilmeisen kohtuuttomana. Kyse olisi kokonaisarvioinnista, jossa voitaisiin ottaa huomioon esimerkiksi virheellisen menettelyn syyt ja seuraukset sekä toimijan yksilölliset olosuhteet, kuten se, onko toimija luonnollinen henkilö.  

Pykälän 2 momentissa säädettäisiin tilanteista, joissa asetuksen rikkominen täyttäisi samalla myös rikoksen tunnusmerkistön. Näitä tilanteita varten olisi tarpeen säätää, että seuraamusmaksua ei voida määrätä sille, jota epäillään samasta teosta esitutkinnassa, syyteharkinnassa tai tuomioistuimessa vireillä olevassa rikosasiassa tai jolle on samasta teosta jo annettu lainvoimainen tuomio. Säännös vastaa niin sanottua ne bis in idem -periaatetta, kieltoa määrätä usea rangaistusluonteinen seuraamus samasta teosta. Säännös olisi tarpeen, koska seuraamusmaksu voi suuruudeltaan olla rangaistuksenomainen.  

Pykälän 3 momentissa säädettäisiin seuraamusmaksun määräämisoikeuden vanhentumisesta. Oikeus määrätä seuraamusmaksu vanhenisi viiden vuoden kuluessa siitä päivästä, jona asetuksen rikkominen tai asetuksen velvoitteen laiminlyönti tapahtui. Jos rikkomus tai laiminlyönti on ollut luonteeltaan jatkuvaa, vanhentumisaika lasketaan siitä päivästä, jona rikkomus tai laiminlyönti päättyi.  

49 §.Seuraamusmaksun täytäntöönpano. Pykälän mukaan ehdotetun eIDAS-lain nojalla määrätty hallinnollinen seuraamusmaksu pantaisiin täytäntöön noudattaen sakon täytäntöönpanosta annetun lain (672/2002) säännöksiä. Seuraamusmaksun täytäntöönpano olisi Oikeusrekisterikeskuksen vastuulla. Sakon täytäntöönpanosta annettu laki sisältää nykyisin yleisen säännöksen rangaistusluonteisten hallinnollisten seuraamusten raukeamisesta, joten seuraamusmaksun raukeamisesta ei ole tarpeen säätää tässä laissa erikseen. Myös seuraamusmaksun vastaanottavasta viranomaisesta säädetään jatkossa sakon täytäntöönpanosta annetussa laissa.  

7 luku Erinäiset säännökset 

50 §. Hallintolain menettelysäännöksistä poikkeaminen. Hallintolain 43 §:n mukaan hallintopäätös on pääsääntöisesti annettava kirjallisena. Hallintolain 47 §:n mukaan päätökseen, johon saa hakea muutosta valittamalla, on myös liitettävä valitusosoitus. Jos valittaminen on erityisen säännöksen nojalla kielletty tai päätös ei ole valituskelpoinen, päätökseen on lain 48 §:n mukaan sisällytettävä ilmoitus siitä, minkä säännöksen nojalla valittaminen ei ole mahdollista. Hallintolain 46 §:ssä säädetään velvollisuudesta antaa oikaisuvaatimusohjeet. Pykälässä säädettäisiin niistä henkilön tunnistetietojen ja luottamuspalvelujen tarjoamiseen liittyvistä ratkaisuista, joista Patentti- ja rekisterihallituksen ja Digi- ja väestötietoviraston ei tarvitsisi antaa erillistä hallintopäätöstä tai oikaisuvaatimusohjetta taikka ilmoitusta valituskiellosta. Säännös vastaisi 3. lakiehdotuksen 13 §:ssä ja 14 §:ssä digitaalisen henkilöllisyystodistuksen hakemuksesta myöntämisen ja peruuttamisen osalta säädettyä. Pykälässä tarkoitettuihin ratkaisuihin ei myöskään saisi hakea muutosta taikka vaatia oikaisua. Tästä säädettäisiin ehdotetuissa 51 ja 52 §:ssä. 

Ehdotetun 1 momentin mukaan lain 3 ja 5 §:ssä tarkoitetusta luonnollisen henkilön ja oikeushenkilön tunnistetietojen myöntämisestä tai peruuttamisesta hakijan pyynnön mukaisesti ei annettaisi hallintopäätöstä tai valitusosoitusta taikka ilmoitusta valituskiellosta. Luonnollisen henkilön tunnistetietojen myöntämistä on kuvattu edellä ehdotetun 3 §:n perusteluissa ja oikeushenkilön tunnistetietojen myöntämistä edellä ehdotetun 5 §:n perusteluissa. 

Ehdotetun 2 momentin mukaan luottamuspalvelun tarjoamisesta lompakkoon tai tarjoamisen keskeyttämisestä taikka lopettamisesta palvelun vastaanottajan pyynnön mukaisesti ei annettaisi hallintopäätöstä tai oikaisuvaatimusohjetta taikka ilmoitusta valituskiellosta. Luottamuspalveluja ovat eIDAS-asetuksen 3 artiklan 16 kohdan mukaan esimerkiksi allekirjoitusten ja sähköisten leimojen luominen ja validointi. Digi- ja väestötietovirasto tarjoaisi lompakkoon hyväksytyn sähköisen allekirjoituksen luomista ja validointia koskevan palvelun. Lompakon avulla tulee voida toteuttaa hyväksytty sähköinen allekirjoitus täyttäen eIDAS-asetuksessa ja täytäntöönpanoasetuksissa säädetyt vaatimukset.  

Tunnistetiedot ja luottamuspalvelut tarjottaisiin käyttäjän pyynnöstä. Valtaosassa tapauksia tiedot ja palvelut myös peruttaisiin pyynnön mukaisesti. Näihin tilanteisiin ei liity sellaista hallintoasian ratkaisua, joka edellyttäisi hallintopäätöksen antamista tai muutoksenhakumahdollisuutta. Tämän vuoksi laissa säädettäisiin hallintolaista poiketen, että hakijalle ei näissä asioissa annettaisi hallintopäätöstä, oikaisuvaatimusohjetta tai ilmoitusta valituskiellosta, jos tunnistetiedot myönnettäisiin tai peruttaisiin hakemuksen mukaisesti tai luottamuspalvelut tarjottaisiin tai niiden tarjoaminen lopetettaisiin hakemuksen mukaisesti. Esitetyn sääntelyn suhdetta oikeusturvaan on käsitelty tarkemmin jäljempänä jaksossa 12.3. Koska VTJ-lain 68 §:ssä säädetään Digi- ja väestötietoviraston tuottaman varmenteen myöntämistä koskevan päätöksen koneellisesta allekirjoittamisesta, on ehdotetussa säännöksessä tarve poiketa myös mainitusta 68 §:stä, koska lompakkoon hakemuksen mukaisesti myönnettyjen luottamuspalvelujen (esimerkiksi varmenteiden) osalta ei ehdotuksen mukaan annettaisi hallintopäätöstä. 

Hallintolain 34 §:n 2 momentin 5 kohdan mukaan asian saa ratkaista asianosaista kuulematta, jos hyväksytään vaatimus, joka ei koske toista asianosaista tai kuuleminen on muusta syystä ilmeisen tarpeetonta. Käytännössä näissä tilanteissa, joissa ei annettaisi hallintopäätöstä ei myöskään tarvitsisi kuulla asianosaista. Poikkeuksen muodostaisi tunnistetietojen myöntäminen alle 13-vuotiaalle, mikä edellyttäisi huoltajan suostumusta. 

51 §.Oikaisuvaatimus. Pykälässä säädettäisiin oikaisuvaatimuksesta sellaisten asioiden osalta, joissa oikaisuvaatimusmenettely on tarkoituksenmukaista säätää muutoksenhaun ensi vaiheeksi.  

Pykälän 1 momentin mukaan Digi- ja väestötietoviraston sekä Patentti- ja rekisterihallituksen eIDAS-lain nojalla antamiin muihin kuin 50 §:ssä tarkoitettuihin ratkaisuihin saisi vaatia oikaisua. Mainitut viranomaiset ratkaisisivat lain nojalla henkilön tunnistetietojen saamiseen liittyvät asiat. Lisäksi Digi- ja väestötietovirasto ratkaisisi muita lompakkoon liitettäviin palveluihin liittyviä kysymyksiä. Mainittuja asioita saatetaan ratkaista massaluontoisesti ja osin automatisoidusti. Hallintolain 53 f §:n 1 momentin mukaan asian automaattisen ratkaisemisen edellytyksenä on, että luonnollinen henkilö, johon ratkaisu on kohdistettu, voi kaikilta osin vaatia siihen oikaisua maksutta hallintolain 7 a luvun mukaisella oikaisuvaatimuksella tai siihen rinnastuvalla vaatimuksella, joka käsitellään päätöksen tehneessä viranomaisessa tai sen kanssa samaan rekisterinpitäjään kuuluvassa viranomaisessa. Tästäkin syystä on syytä säätää mahdollisuudesta vaatia oikaisua näihin ratkaisuihin. Oikaisua ei saisi vaatia niihin ratkaisuihin, joita Digi, ja väestötietovirasto ja Patentti- ja rekisterihallitus tekisivät 50 §:n nojalla – eli hakemuksen mukaisiin ratkaisuihin, joissa ei mainitun pykälän mukaan annettaisi hallintopäätöstä, oikaisuvaatimusohjetta tai ilmoitusta valituskiellosta. Hallintolain 53 f §:n 2 momentin mukaan automaattisen ratkaisemisen oikeussuojakeinoja koskevaa oikaisuvaatimuksen tekemisen mahdollisuutta ei sovelleta, jos automaattisella ratkaisulla hyväksytään asianosaisen vaatimus, joka ei koske toista asianosaista. Näin ollen nämä hakijan hakemuksen mukaisetkin ratkaisut voitaisiin tarvittaessa automatisoida. 

Ehdotetun 2 momentin mukaan oikaisua saisi vaatia sellaisiin Liikenne- ja viestintäviraston päätöksiin, jotka koskevat Liikenne- ja viestintävirastolle maksettavaa maksua. Liikenne- ja viestintäviraston maksupäätökset tehdään kuulematta asianosaisia laissa määriteltyjen maksuperusteiden mukaan. Siten, mikäli tällaiseen päätökseen jäisi virhe, olisi oikaisumenettely tarkoituksenmukaisin tapa korjata asia.  

Pykälässä ei ehdoteta, että Liikenne- ja viestintäviraston muihin päätöksiin, kuten huomautukseen tai valvontapäätökseen, saisi hakea oikaisua. Valvontapäätökset ovat usein monimutkaisia kokonaisuuksia ja vaativat pitkällistä selvittelyä. Valvontapäätösten valmistelussa asianosaisia kuullaan aina päätöksen valmistelun aikana ja tarvittaessa heille varataan erikseen mahdollisuus lausua asiasta. Mikäli valvontapäätöksiin säädettäisiin ensisijaiseksi muutoksenhakukeinoksi oikaisu, voisi se tarpeettomasti viivästyttää valvontapäätöksen kohteena olevan tahon oikeusturvan toteutumista, sillä päätökseen ei saisi hakea muutosta valittamalla. Kun valvontaan liittyvien päätösten valmistelussa noudatetaan hallintolakia, erityisesti sen 6 lukua, ja asianosaisille varataan mahdollisuus tulla kuulluksi ennen päätöksen antamista hallintolain 34 §:n mukaisesti, on epätodennäköistä, että päätökseen jäisi sellaisia virheitä, jotka korjaantuvat oikaisuvaatimusmenettelyssä. 

Ehdotetussa 3 momentissa säädettäisiin oikaisuvaatimuksesta ensi vaiheen muutoksenhakukeinona vaatimustenmukaisuuden arviointilaitoksen sekä sähköisen allekirjoituksen ja sähköisen leiman luontivälineen sertifiointia suorittavan toimijan eli sertifioijan päätökseen. Mainittujen eIDAS-lain tai eIDAS-asetuksen taikka sen nojalla annettujen säännösten nojalla tekemään päätökseen saisi vaatia oikaisua Liikenne- ja viestintävirastolta. Kun vaatimustenmukaisuuden arviointilaitos tai sähköisen allekirjoituksen ja sähköisen leiman luontivälineen sertifiointia suorittava toimija tekee vaatimustenmukaisuutta koskevan ratkaisun, on ratkaisulla merkitystä arvioinnin kohteen oikeusturvan kannalta. Hallintolain 2 §:n 3 momentin mukaan lakia, mukaan lukien sen hallintopäätöksen antamista koskevaa sääntelyä sovelletaan myös yksityisissä niiden hoitaessa julkisia hallintotehtäviä.  

Hallintolain 49 d §:n mukaan oikaisuvaatimus on tehtävä kirjallisesti sille viranomaiselle tai muulle julkista hallintotehtävää hoitavalle, joka on tehnyt päätöksen. Ehdotettu 3 momentti olisi siis erityissäännös suhteessa hallintolakiin, koska muutosta haettaisiin muulta kuin päätöksen tehneeltä. Hallintolain 49 d §:n säännöskohtaisten perustelujen mukaan esimerkiksi tilanteessa, jossa hallintopäätöksen tekee yksityinen yhdistys, saattaa olla tarkoituksenmukaista, että oikaisuvaatimuksen ratkaisee yksityisen yhdistyksen asemesta tätä valvova tai ohjaava viranomainen (HE 230/2014 vp, s. 57). Vaatimustenmukaisuuden arviointilaitoksen tai sertifioijan tekemät päätökset voivat käytännössä koskea esimerkiksi sertifioinnin peruuttamista. Sertifioinnin peruuttaminen puolestaan voisi johtaa esimerkiksi eurooppalaisen digitaalisen identiteetin lompakon tai hyväksytyn luottamuspalvelun toiminnan keskeyttämiseen Liikenne- ja viestintäviraston päätöksellä. Siten sertifioinnin peruuttaminen tulisi todennäköisesti joka tapauksessa viraston käsiteltäväksi ja näin ollen on tarkoituksenmukaista, että valvova viranomainen tässä tapauksessa käsittelee ja ratkaisee oikaisuvaatimuksen. 

Pykälän 4 momentti sisältäisi informatiivisen viittauksen hallintolain 7 a lukuun, jossa säädetään oikaisuvaatimusmenettelystä. 

52 §. Valituskielto ja muutoksenhaku viranomaisen päätökseen. Pykälässä säädettäisiin valituskiellosta koskien eräitä viranomaisen päätöksiä. Lisäksi pykälässä säädettäisiin Liikenne- ja viestintäviraston mahdollisuudesta määrätä eräiden päätöstensä täytäntöönpanokelpoisuudesta ennen lainvoimaa. Muilta osin pykälä sisältäisi informatiiviset viittaukset asianomaisiin muutoksenhakua koskeviin säännöksiin. 

Pykälän 1 momentti sisältäisi informatiivisen viittauksen muutoksenhakua koskeviin säännöksiin, eli oikeudenkäynnistä hallintoasioissa annettuun lakiin ja uhkasakkolakiin.  

Pykälän 2 momentin mukaan Digi- ja väestötietoviraston sekä Patentti- ja rekisterihallituksen 50 §:ssä tarkoitettuihin ratkaisuihin ei saisi hakea muutosta valittamalla. Mainittujen ratkaisujen perusteella henkilön tunnistetiedot ja luottamuspalvelut tarjottaisiin tai peruttaisiin hakijan pyynnön mukaisesti. Näihin tilanteisiin ei liity sellaista oikeusturvan tarvetta, joka edellyttäisi hallintopäätöksen antamista tai muutoksenhakumahdollisuutta. Tämän vuoksi laissa säädettäisiin oikeudenkäynnistä hallintoasioissa annetusta laista (808/2019) poiketen, että ratkaisuun ei saisi hakea muutosta. jos tunnistetiedot myönnettäisiin tai peruttaisiin hakemuksen mukaisesti tai luottamuspalvelut tarjottaisiin tai niiden tarjoaminen lopetettaisiin hakemuksen mukaisesti. Muihin kuin tässä säännöksessä tarkoitettuihin Digi- ja väestötietoviraston ja Patentti- ja rekisterihallituksen ratkaisuihin saisi vaatia oikaisua siten kuin 51 §:ssä säädetään.  

Ehdotettu 3 momentti sisältäisi informatiivisen viittauksen Patentti- ja rekisterihallituksesta annettuun lakiin, jonka 7 §:ssä säädetään muutoksenhausta Patentti- ja rekisterihallituksen päätökseen muissa asioissa kuin teollisoikeudellisissa ja kaupparekisteriasioissa, joiden muutoksenhausta säädetään mainitun lain 6 §:ssä.  

Ehdotetun 4 momentin mukaan Liikenne- ja viestintävirasto voisi valvontapäätöksessään tai väliaikaisessa päätöksessään määrätä, että päätöstä on noudatettava ennen kuin se on saanut lainvoiman. Oikeudenkäynnistä hallintoasioissa annetun lain 123 §:n mukaan hallintotuomioistuin voi valituksen ollessa vireillä kieltää päätöksen täytäntöönpanon, määrätä täytäntöönpanon keskeytettäväksi tai antaa päätöksen täytäntöönpanoa koskevan muun määräyksen. Täytäntöönpanomääräys voidaan kohdistaa myös osaan päätöksestä. 

53 §. Voimaantulo. Lainkohta sisältää voimaantulosäännöksen ja siirtymäsäännökset. Tarkemmat perustelut lain voimaantulosta ja siirtymäsäännöksistä sisältyvät kappaleeseen 9 (Voimaantulo). 

7.2  Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista

1 §. Soveltamisala.Tunnistuslain soveltamisalaa muutettaisiin siten, että jatkossa laki koskisi vain kansallisia sähköisiä tunnistuspalvelun tarjoajia ja tunnistuspalveluja. Jatkossa eIDAS-asetusta täydentävä sääntely sisältyisi ehdotettuun eIDAS-lakiin. Soveltamisalan muutoksella ei kuitenkaan olisi tarkoitus muuttaa sitä lähtökohtaa, että kansallisten tunnistuspalveluiden vaatimukset ovat yhdenmukaisia niiden vaatimusten kanssa, joita eIDAS-asetus asettaa tunnistusmenetelmille korotetulla varmuustasolla. 

Pykälän nykyisestä 2 momentista poistettaisiin säännös, jonka mukaan laissa säädetään eIDAS-asetuksen valvonnasta ja annetaan asetusta täydentäviä säännöksiä. Momentin jälkimmäisestä lauseesta poistettaisiin viittaus luottamuspalveluihin ja lause siirrettäisiin muutettuna 1 momenttiin. Momenttiin tehtäisiin myös säädösteknisiä korjauksia. Pykälän nykyinen 3 momentti siirrettäisiin sisällöllisesti muuttamattomana uudeksi 2 momentiksi, mutta siihen tehtäisiin säädösteknisiä korjauksia.  

Pykälän 3 momentti sisältäisi jatkossa informatiivisen viittauksenehdotettuun eIDAS-lakiin. Viittaus olisi tarpeen, sillä lain soveltamisalaan tehtävä muutos on merkittävä ja informatiivinen viittaus indikoisi sidosryhmille soveltamisalan muutoksesta selkeällä tavalla.  

2 §. Määritelmät.Pykälää muutettaisiin siten, että 1 momentin 1 ja 2 kohdan määritelmiä tarkennettaisiin ja lisättäisiin uusi 12 määritelmä. 1 ja 2 kohtien määritelmän viittaus sähköisestä tunnistamisesta ja luottamuspalveluista annettuun EU:n asetukseen lyhennettäisiin eIDAS-asetukseksi. Lyhenne vastaisi uutta ehdotettua eIDAS-lakia, jossa asetuksesta käytetään lyhennettä eIDAS-asetus. Uudessa 12 kohdassa määriteltäisiin eurooppalainen digitaalisen identiteetin lompakko. Lompakko olisi eIDAS-asetuksen 3 artiklan 42 kohdassa tarkoitettu eurooppalainen digitaalisen identiteetin lompakko, joka on tarjottu Suomessa.  

Pykälän 2 momentti kumottaisiin. Momentista poistettaisiin viittaus sähköisiin allekirjoituksiin, luottamuspalveluihin ja kehittyneeseen sähköiseen allekirjoitukseen. eIDAS-asetusta täydentävä sääntely ja siten myös luottamuspalveluja koskeva täydentävä sääntely sisältyisi jatkossa ehdotettuun eIDAS-lakiin. Sähköisen tunnistamisen järjestelmän ja luottavan osapuolen määritelmät siirrettäisiin 1 momenttiin uusiksi 13 ja 14 kohdiksi. Sähköisen tunnistamisen järjestelmän ja luottavan osapuolen määritelmiin lisättäisiin täsmällisempi viittaus eIDAS-asetuksen 3 artiklan 4 ja 6 alakohtiin. Lisäksi viittaus sähköisestä tunnistamisesta ja luottamuspalveluista annettuun EU:n asetukseen muutettaisiin eIDAS-asetukseksi.  

7 b §. Tieto passin, henkilökortin tai digitaalisen henkilöllisyystodistuksen voimassaolosta. Digitaalinen henkilöllisyystodistus rinnastuisi jatkossa viranomaisen myöntämään henkilöllisyyttä osoittavaan asiakirjaan kuten passi ja henkilökortti, ja sitä voitaisiin käyttää myös luonnollisen henkilön ensitunnistamisessa. Pykälän 1 momenttiin lisättäisiin tunnistuspalvelun tarjoajien oikeus saada tieto digitaalisen henkilöllisyystodistuksen tiedot sisältävän hyväksytyn sähköisen attribuuttitodistuksen voimassaolosta. Tieto voimassaolosta saataisiin Digi- ja väestötietoviraston tietojärjestelmästä, jolla käytännössä tarkoitettaisiin attribuuttitodistuksen voimassaolon tarkistusta Digi- ja väestötietoviraston ylläpitämästä statuslistasta, jonka Digi- ja väestötietovirasto toteuttaa osana sähköisten attribuuttitodistusten tarjoamista. Passin ja henkilökortin voimassaolo tarkistettaisiin edelleen poliisin tietojärjestelmästä. Pykälän otsikkoa muokattaisiin sisältöä vastaavaksi. 

Pykälään lisättäisiin uusi 2 momentti tunnistusvälineen tarjoajan velvollisuudesta varmistaa, että ensitunnistamisessa käytettävä passi, henkilökortti tai digitaalinen henkilöllisyystodistus on voimassa. Käytännössä velvollisuus koskisi ainoastaan tilanteita, joissa ensitunnistaminen perustuu suomalaiseen henkilöllisyyttä osoittavaan asiakirjaan. Tunnistuslain 17 §:n mukaan ensitunnistaminen voisi perustua myös eräiden muiden maiden viranomaisten myöntämiin virallisiin henkilöllisyyttä osoittaviin asiakirjoihin, mutta näiden asiakirjojen voimassaoloa ei ole mahdollista tarkistaa sähköisesti. Velvollisuus varmistaa ensitunnistamisessa käytettävän asiakirjan voimassaolo koskisi vain 17 §:ssä tarkoitettuja ensitunnistustilanteita, eli tilanteita, joissa vahvan sähköisen tunnistusvälineen hakijan henkilöllisyys varmennetaan uuden tunnistusvälineen myöntämisen yhteydessä. Voimassaolo olisi tarkistettava ensisijaisesti ennen tunnistusvälineen myöntämistä ja luovuttamista hakijalle. Jos voimassaolon tarkistaminen ei kuitenkaan ole mahdollista ensitunnistamisen yhteydessä esimerkiksi tietoliikennehäiriön tai muun käyttökatkon vuoksi, voisi voimassaolotarkistuksen tehdä myös jälkikäteen. Tunnistusvälineen tarjoajan olisi kuitenkin varmistettava, että tunnistusvälinettä ei voi käyttää ennen kuin voimassaolotarkistus on tehty. Tunnistusvälineen voisi näin ollen luovuttaa hakijalle ennen kuin voimassaolotarkistus on tehty, mutta tällöin väline tulisi aktivoida käyttöön vasta myöhemmin. 

Mahdollisuus tarkastaa ensitunnistamisessa käytettävän passin tai henkilökortin voimassaolo poliisin tietojärjestelmästä on ollut käytössä jo vuodesta 2017 saakka, mutta tunnistusvälineiden tarjoajat ovat hyödyntäneet sitä vain harvoin. Sääntelyllä ei siten ole saatu parannettua tunnistusvälineiden myöntämisen turvallisuutta, vaan voimassaolon tarkastaminen on jäänyt tunnistuspalvelun oman riskiarvion varaan. Liikenne- ja viestintävaliokunta on pitänyt tärkeänä, että vahvan sähköisen tunnistusvälineen uusimiseen ja myöntämiseen liittyviä väärinkäytöksiä pyritään estämään kaikin käytössä olevin keinoin ja että mahdollisia lainsäädäntötarpeita seurataan (LiVM 6/2021 vp). Tunnistusvälineiden tarjoajille asetettava velvollisuus varmistaa poliisin tietojärjestelmästä saatava tieto asiakirjan voimassaolosta voisi parantaa tunnistusvälineiden myöntämisen turvallisuutta, kun voimassaolo tarkistettaisiin jatkossa aina. Passin tai henkilökortin voimassaolon varmistaminen poliisin tietojärjestelmästä ei ole maksullista, mutta saattaa edellyttää tunnistusvälineen tarjoajalta kansallisen palveluväylän liityntäpalvelimen perustamista. 

12 e §. Eurooppalaiseen digitaalisen identiteetin lompakkoon perustuvien tunnistustapahtumien välittäminen. Pykälä olisi uusi ja se koskisi tunnistusvälityspalvelun tarjoajia. Pykälän mukaan tunnistusvälityspalvelun tarjoajat voisivat välittää eurooppalaiseen digitaalisen identiteetin lompakkoon perustuvia tunnistustapahtumia sähköiseen tunnistukseen luottavalle osapuolelle, vaikka eurooppalaisen digitaalisen identiteetin lompakon tarjoajaan ja lompakon tarjoamiseen ei sovelleta tunnistuslain sääntelyä.  

Sääntelyllä olisi tarkoitus edistää muutetun eIDAS-asetuksen 5 f artiklan 2 kohdassa säädetyn velvoitteen toteuttamista (kts. velvoitteen sisällöstä tarkemmin jakso 2.2.1). Nykyisin asiointipalvelut ostavat palveluihinsa vahvaa sähköistä tunnistamista keskitetysti luottamusverkostosta (kts. tarkemmin jakso 3.1.1). Luottamusverkostoon ja sen ympärille on siten rakennettu tarvittavat tekniset rajapinnat ja muut edellytykset tunnistustapahtumien välittämiseksi asiointipalveluille. Yksityisten asiointipalvelujen näkökulmasta velvoitteen toteuttaminen olisi todennäköisesti selkeintä ja vaivattominta toteuttaa siten, että lompakkoon perustuva käyttäjien tunnistaminen voisi tapahtua samoja teknisiä rajapintoja käyttäen, kuin nykyinen vahva sähköinen tunnistaminen. Sääntelyllä on lisäksi tarkoitus tukea yleisemmin lompakon laajaa hyödynnettävyyttä yhteiskunnan palveluissa myös silloin, kun siihen ei ole sääntelystä tulevaa velvollisuutta.  

Sääntely olisi tarpeen, sillä tunnistuslain 12 a §:ssä säädetyn mukaisesti vain lain 10 §:n mukaisen ilmoituksen tehneet tunnistuspalvelun tarjoajat tulevat osaksi luottamusverkostoa. Siten vain näiden tunnistuspalvelun tarjoajien tunnistusvälineet tulevat tunnistusvälityspalveluiden tarjoajien saataville tarjottavaksi edelleen asiointipalveluille. Tunnistuslakia ei kuitenkaan ehdoteta sovellettavan eurooppalaisiin digitaalisen identiteetin lompakoihin tai niiden tarjoajiin. Tämä johtuu siitä, että muutetun eIDAS-asetuksen mukaisille lompakoille ja niiden tarjoajille ei lähtökohtaisesti voida asettaa kansallisia lisävaatimuksia, jollaisia tunnistuslain tunnistuspalvelun tarjoajia ja luottamusverkostoa koskevat säännökset olisivat. Käytännössä siis eurooppalaiset digitaalisen identiteetin lompakot ja niiden tarjoajat jäävät luottamusverkoston ulkopuolelle. Tästä syystä olisi tarpeen säätää erikseen tunnistusvälityspalvelun tarjoajien oikeudesta välittää lompakkoon perustuvia tunnistustapahtumia. 

Sääntely olisi luonteeltaan mahdollistavaa, eikä lompakkoon perustuvan tunnistamisen välittäminen olisi tunnistusvälityspalvelun tarjoajille pakollista vastaavalla tavalla kuin luottamusverkostossa olevien tunnistusvälineiden osalta. eIDAS-asetuksen 5 b artiklan 10 kohdan mukaan luottavien osapuolten puolesta toimivia välittäjiä on pidettävä luottavina osapuolina, eivätkä ne saa tallentaa tietoja transaktion sisällöstä. Käytännössä siis lompakkoon perustuvan tunnistamisen välittäminen edellyttää tunnistusvälityspalvelun tarjoajalta sitä, että se rekisteröityy Liikenne- ja viestintäviraston ylläpitämään eurooppalaisen digitaalisen identiteetin luottavien osapuolten rekisteriin. Kun tunnistusvälityspalvelun tarjoaja välittää lompakkoon perustuvaa tunnistamista, siihen siis soveltuisi eIDAS-asetuksen luottavaa osapuolta koskeva sääntely. Kun taas tunnistusvälityspalvelun tarjoaja toimii luottamusverkostossa ja välittää siellä oleviin tunnistusvälineisiin perustuvaa tunnistusta, siihen sovellettaisiin edelleen tunnistuslain sääntelyä. Tunnistusvälityspalvelun tarjoajan ei siis esimerkiksi tarvitsisi tehdä erillistä sopimusta eurooppalaisen digitaalisen identiteetin lompakon tarjoajan kanssa lompakkoon perustuvan tunnistamisen välittämisestä vastaavalla tavalla kuin luottamusverkostoon kuuluvien tunnistusvälineen tarjoajien kanssa.  

17 §. Tunnistusvälineen hakijana olevan luonnollisen henkilön tunnistaminen. Pykälän 2 momenttiin esitetään lisättäväksi viittaus digitaalisesta henkilöllisyystodistuksesta annetussa laissa tarkoitettuun digitaaliseen henkilöllisyystodistukseen, jotta sen käyttö ensitunnistamisessa olisi mahdollista. Säännöksen sanamuoto ei kuitenkaan olisi velvoittava, sillä digitaalisen henkilöllisyystodistuksen hyödyntäminen vaatisi luottavalta osapuolelta käytännön integraatiotoimia ja taloudellisia voimavaroja järjestelmäuudistusten tekemiseksi. 

21 a §.Tunnistusvälineen uudelleenaktivointi. Lakiin esitettäisiin lisättävän uusi pykälä koskien tunnistusvälineen uudelleenaktivointia. Tunnistusvälineen uudelleenaktivoinnissa tulisi noudattaa sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.2.3 säädettyjä vaatimuksia. 

Nykyisin tunnistuslakiin ei sisälly sääntelyä tunnistusvälineen uudelleenaktivoinnista. Sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdan 2.2.3 mukaan uudelleenaktivoinnin ehtona on, että ennen voimassaolon keskeyttämistä tai peruuttamista asetetut varmuusvaatimukset täyttyvät edelleen. Uudelleenaktivointi tulee kyseeseen tilanteissa, joissa tunnistusvälineen voimassaolo on keskeytetty tai peruutettu joko tunnistusvälineen tarjoajan tai haltijan aloitteesta. Siten kyse olisi tilanteesta, jossa tunnistusvälineen voimassaolo on esimerkiksi turvallisuusriskin tai väärinkäytösepäilyn vuoksi keskeytetty. Uudelleenaktivoinniksi voidaan käytännössä katsoa esimerkiksi tilanteet, joissa asetetaan uusi PIN-koodi unohtuneen tilalle tai avataan lukkiutuneet tunnukset. Tällaisissa tilanteissa ei kuitenkaan edellytetä, että palveluntarjoaja keskeyttäisi tunnistusvälineen voimassaolon tai peruuttaisi sen ennen uudelleenaktivoinnin toteuttamista. Laissa käytettäisiin uudelleenaktivoinnin käsitettä, joka olisi yhdenmukainen sähköisen tunnistamisen varmuustasoasetuksen kanssa. 

24 §.Tunnistustapahtumaa ja tunnistusvälinettä koskevien tietojen tallentaminen ja käyttö. Pykälän 2 momenttiin lisättäisiin tunnistusvälineen tarjoajan velvollisuus viipymättä välittää tieto hakijan ensitunnistamisessa käytetystä vahvasta sähköisestä tunnistusvälineestä kyseisen tunnistusvälineen tarjoajalle. Jos ensitunnistamiseen käytettäisiin toisen tunnistusvälineen tarjoajan tunnistusvälinettä, olisi ensitunnistustapahtumasta välitettävä tieto kyseiselle tunnistusvälineen tarjoajalle tunnistustapahtuman yhteydessä. Ehdotuksen tarkoituksena on varmistaa, että tieto tunnistusvälineen käytöstä ensitunnistamiseen liikkuu palveluntarjoajien välillä, jolloin myös väärinkäytöstilanteita voidaan selvittää tehokkaammin. 

Tieto ensitunnistamisesta on merkityksellinen myös tunnistuspalvelun käytöstä suoritettavan korvauksen laskuttamiseksi ja virhetilanteiden vastuunjakotilanteissa. Ensitunnistamisen enimmäishinnasta on aikaisemmin säädetty määräaikaisella lainmuutoksella. Määräaikaiset muutokset päättyivät 31.3.2023. Tämän jälkeen ensitunnistamisen enimmäishinnasta ei ole enää säädetty, minkä johdosta tunnistusvälineen tarjoajan on mahdollista periä tapahtumasta muuta tunnistustapahtuman välittämistä korkeampi korvaus. Ensitunnistamista koskevien tietojen välittämistä koskeva velvollisuus mahdollistaisi oikean hinnan perimisen ensitunnistustapahtumista ja selkeyttäisi tunnistuslain 17 §:n mukaista vastuunjakoa virhetilanteista. 

Tieto ensitunnistamisesta olisi välitettävä tunnistustapahtuman yhteydessä, esimerkiksi rajapinnan tai tunnistusvälityspalvelun kautta. Muilta osin pykälä säilyisi ennallaan. 

29 §.Sähköisen tunnistuspalvelun vaatimustenmukaisuuden arviointi. Pykälää muutettaisiin siten, että nykyinen 2 momentti poistettaisiin ja nykyinen 3 momentti siirtyisi uudeksi 2 momentiksi. Poistettavaksi ehdotetun 2 momentin mukaan Euroopan komissiolle ilmoitettavan sähköisen tunnistamisen järjestelmän vaatimustenmukaisuuden arvioinnista säädetään sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa sekä sähköisen tunnistamisen varmuustasoasetuksessa. Tunnistuslaki ei kuitenkaan enää sisältäisi eIDAS-asetusta täydentävää sääntelyä, vaan se sisältyisi jatkossa ehdotettuun eIDAS-lakiin. Lisäksi nykyisessä 3 momentissa oleva viittaus nykyiseen 2 momenttiin poistettaisiin.  

30 §.Sähköisen tunnistamisen kansallisen solmupisteen vaatimustenmukaisuuden arviointi. Pykälä kumottaisiin tunnistuslaista kokonaisuudessaan. Jatkossa sähköisen tunnistamisen kansallisen solmupisteen vaatimustenmukaisuuden arvioinnista säädettäisiin ehdotetussa eIDAS-laissa. 

31 §.Tarkastuskertomus. Pykälän 1 momenttia muutettaisiin siten, että viittaus Digi- ja väestötietovirastoon poistettaisiin. Viittaus on ollut aiemmin tarpeen Digi- ja väestötietoviraston kansallisen solmupisteen vaatimustenmukaisuuden arviointiin liittyen. Jatkossa kansallisen solmupisteen vaatimustenmukaisuuden arvioinnista säädettäisiin kuitenkin ehdotetussa eIDAS-laissa ja tästä syystä viittaus Digi- ja väestötietovirastoon olisi tarpeeton.  

32 §.Luottamuspalvelun vaatimustenmukaisuuden vahvistaminen. Pykälä kumottaisiin kokonaan tunnistuslaista. Jatkossa vastaava sääntely sisältyisi ehdotettuun eIDAS-lakiin.  

36 §.Hyväksytyn sähköisen allekirjoituksen ja sähköisen leiman luontivälineen sertifiointi. Pykälä kumottaisiin kokonaan tunnistuslaista. Jatkossa vastaava sääntely sisältyisi ehdotettuun eIDAS-lakiin.  

37 §.Vaatimustenmukaisuuden arviointilaitoksen toiminta. Pykälää muutettaisiin siten, että siitä poistettaisiin viittaukset sertifiointilaitoksiin. Myös pykälän otsikkoa muutettaisiin vastaavasti poistamalla maininta sertifiointilaitoksen toiminnasta. Muutos olisi tarpeen, sillä kansallisten tunnistuspalvelujen vaatimustenmukaisuutta ei osoiteta sertifioinneilla vaan vaatimustenmukaisuuden arvioinnilla. Sertifiointilaitoksista on aiemmin ollut tarpeen säätää, sillä kumottavaksi ehdotetun 36 §:n mukaiset hyväksytyn sähköisen allekirjoituksen ja sähköisen leiman luontivälineeton tullut sertifioida.  

38 §.Vaatimustenmukaisuuden arviointilaitoksen hyväksymisen peruuttaminen. Pykälää muutettaisiin poistamalla viittaukset sertifiointilaitoksiin. Myös pykälän otsikkoa muutettaisiin vastaavasti poistamalla maininta sertifiointilaitoksen toiminnasta. Muutos olisi tarpeen, sillä kansallisten tunnistuspalvelujen vaatimustenmukaisuutta ei osoiteta sertifioinneilla vaan vaatimustenmukaisuuden arvioinnilla. Sertifiointilaitoksista on aiemmin ollut tarpeen säätää, sillä kumottavaksi ehdotetun 36 §:n mukaiset luottamuspalvelut on tullut sertifioida. 

4 a luku. Luottamuspalveluja koskevia säännöksiä  

Luottamuspalveluja koskeva lain 4 a luku kumottaisiin kokonaan. eIDAS-asetusta täydentävä sääntely ja siten myös luottamuspalveluja koskeva täydentävä sääntely sisältyisi jatkossa ehdotettuun eIDAS-lakiin.  

42 §.Liikenne- ja viestintäviraston määräykset. Pykälää muutettaisiin siten, että nykyinen yleistä ohjaus- ja kehittämistehtävää koskeva 1 momentti kumottaisiin ja pykälässä säädettäisiin jatkossa vain tällä hetkellä 2 momenttiin sisältyvistä Liikenne- ja viestintäviraston määräyksistä. Lisäksi nykyisessä 2 momentissa lueteltuja Liikenne- ja viestintäviraston määräyksenantovaltuuksia kumottaisiin siltä osin kuin ne koskevat eIDAS-asetusta täydentävää sääntelyä. Jatkossa kaikki eIDAS-asetusta täydentävä kansallinen sääntely sisältyisi eIDAS-lakiin ja vastaavat määräyksenantovaltuudet olisi tarkoitus sisällyttää samaan lakiin. Määräyksenantovaltuuksiin ehdotettaisiin lisättävän myös yksi uusi valtuus. Muilta osin nykyisen 2 momentin sisältämät valtuudet pysyisivät ennallaan. Pykälän otsikko ehdotetaan muutettavaksi vastaamaan pykälän muuttunutta sisältöä, eli siitä poistettaisiin viittaus yleiseen ohjaukseen. 

Pykälän 1 momentti kumottaisiin. Esitykseen sisältyvien lakiehdotusten tultua voimaan vahvan sähköisen tunnistamisen lainsäädäntövastuu jakautuu liikenne- ja viestintäministeriön ja valtiovarainministeriön välille. Siten ei ole enää perusteltua, että yleinen ohjaus ja kehittäminen kuuluisivat ainoastaan liikenne- ja viestintäministeriölle. 

Liikenne- ja viestintäministeriön yleisen ohjaus- ja kehittämistehtävän poistolla ei arvioida olevan käytännön vaikutuksia toimintaan. Valtioneuvoston ohjesäännön (262/2003) mukaan ministeriön tulee joka tapauksessa valmistella esimerkiksi toimialaansa koskevaa lainsäädäntöäsääntelyä ja käsitellä kansainvälisiä asioita sekä osallistua EU:n toimielimien toimintaan. Liikenne- ja viestintäministeriön työjärjestyksestä annetun valtioneuvoston asetuksen (470/2023) 14 §:ssä säädetään ministeriön sisäisestä työnjaosta muun muassa sähköistä tunnistamista koskevissa asioissa. Liikenne- ja viestintäministeriöllä ei nykyisin ole lainsäädännön valmistelun lisäksi kuitenkaan käytännössä muita sähköisen tunnistamisen ja luottamuspalveluiden ohjaus- ja kehittämistehtäviä, johon lainkohdassa viitataan. Ministeriö ei esimerkiksi ole antanut asiaan liittyviä ohjeita, vaan asiaa koskevasta viranomaisneuvonnasta ja tarpeen mukaan viranomaisohjeistuksesta vastaa Liikenne- ja viestintävirasto. Ottaen huomioon sääntelyvastuun jakautuminen liikenne- ja viestintäministeriön ja valtiovarainministeriön kesken, voidaan ohjaus- ja kehittämistehtävän poiston jopa katsoa jossain määrin selkeyttävän nykytilaa.  

Pykälän nykyisessä 2 momentissa säädetään Liikenne- ja viestintäviraston määräyksenantovaltuuksista. eIDAS-asetusta täydentävä sääntely sisältyisi jatkossa ehdotettuun eIDAS-lakiin, minkä johdosta nykyisessä 5 kohdassa (uusi 6 kohta) tarkoitettu määräyksenantovaltuus liittyen luottamuspalvelun ja kansallisen solmupisteen vaatimustenarviointiin kumottaisiin. Samoin nykyisestä 6 kohdasta (uusi 7 kohta) kumottaisiin velvoite ottaa huomioon, mitä sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa säädetään. Lisäksi kumottaisiin nykyinen 8 kohta, jonka mukaan Liikenne- ja viestintävirasto voi antaa määräyksiä sertifiointilaitosta koskevista vaatimuksista, sertifioinnissa noudatettavasta menettelystä sekä sähköisen allekirjoituksen ja leiman luontivälinettä koskevista vaatimuksista ottaen huomioon, mitä sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa säädetään. Määräyksenantovaltuus ei olisi enää tarpeen, sillä kansallisia tunnistuspalveluja ei sertifioida. 

Määräyksenantovaltuuksiin ehdotettaisiin lisättävän uusi 5 kohta, jolloin 2 momentin nykyinen 5 kohta siirtyisi 6 kohdaksi. Vastaavasti nykyiset 6 ja 7 kohdat siirtyisivät 7 ja 8 kohdiksi. Uuden 5 kohdan mukaan Liikenne- ja viestintävirasto voisi antaa tarkempia määräyksiä 24 §:n 2 momentissa tarkoitetusta hakijan ensitunnistamisesta ja siinä käytetystä asiakirjasta tai sähköisestä tunnistamisesta tallennettavista tarvittavista tiedoista. Etänä suoritettava hakijan ensitunnistaminen on lisääntynyt merkittävästi. Esimerkiksi passin tai henkilökortin etäluentaa ja muita luotettavia keinoja tunnistaa hakija etäyhteydellä kehitetään edelleen. Tunnistusvälineen tarjoajille voi kertyä hyvin erilaisia tietoja ensitunnistamisesta riippuen siitä, millä tavalla ensitunnistaminen toteutetaan. Tallennettavien tietojen tarkempi määrittely olisi perusteltua, jotta voidaan varmistaa, että virhetilanteiden selvittämiseksi välttämättömät tiedot olisivat saatavilla. Erityisesti etäyhteyden välityksellä tapahtuva tunnistaminen lisää tarvetta tallennettavien tietojen teknisten yksityiskohtien määrittelylle. Määräyksenantovaltuutus kattaisi sekä tunnistustapahtumasta että siinä käytetystä asiakirjasta ja myös sähköisestä tunnistamisesta tallennettavien tietojen yksityiskohtaisen määrittelyn. 

42 a §. Liikenne- ja viestintäviraston tehtävät.Pykälästä poistettaisiin sen 3 momentti, jossa säädetään eIDAS-asetukseen liittyvistä Liikenne- ja viestintäviraston tehtävistä. Muutetun eIDAS-asetuksen mukaisista tehtävistä säädettäisiin jatkossa ehdotetussa eIDAS-laissa. Lisäksi pykälän 2 momentista poistettaisiin viittaus lain 42 §:n 1 momentin mukaisiin tehtäviin, koska 42 §:n 1 momentti ehdotetaan poistettavaksi. 

42 c §.Digi- ja väestötietoviraston tehtävät. Pykälä kumottaisiin kokonaan, sillä jatkossa Digi- ja väestötietoviraston tehtävästä ylläpitää kansallista solmupistettä säädettäisiin ehdotetussa eIDAS-laissa. 

45 §.Hallintopakkokeinot. Pykälän 1 momentista poistettaisiin Liikenne- ja viestintäviraston toimivalta antaa tunnistuslain nojalla huomautus sille, joka rikkoo sähköisestä tunnistamisesta ja luottamuspalveluista annettua EU:n asetusta tai sen nojalla annettuja säännöksiä. Jatkossa kyseisen asetuksen rikkomiseen liittyvistä valvontatoimista säädettäisiin ehdotetussa eIDAS-laissa. Momentista ehdotetaan myös poistettavaksi informatiivinen viittaus uhkasakkolakiin, koska sitä ei enää suositella käytettävän. 

45 a §.Väliaikainen päätös. Pykälästä poistettaisiin Liikenne- ja viestintäviraston toimivalta antaa tunnistuslain nojalla väliaikainen päätös liittyen eIDAS-asetuksen säännöstä tai määräystä koskevan virheen tai laiminlyönnin taikka tietoturvahäiriön takia. Pykälän 1 momentista poistettaisiin viittaus eIDAS-asetukseen. Pykälän sanamuotoa selkiytettäisiin niin, että 1 momentista ilmenisivät suoraan väliaikaiset toimet eli toiminnan kielto tai keskeytys. Pykälän 2 momentista poistettaisiin Liikenne- ja viestintäviraston mahdollisuus tunnistuslain nojalla kieltää tai keskeyttää väliaikaisena toimena palvelujen tarjoamisen, joiden tarjoamisesta säädetään suoraan eIDAS-asetuksessa. Siten 2 momentin 1–4 kohdat poistettaisiin kokonaan. Jatkossa Liikenne- ja viestintäviraston oikeudesta antaa väliaikainen päätös kyseisten toimijoiden ja palvelujen osalta säädettäisiin ehdotetussa eIDAS-laissa. 

46 §.Tarkastusoikeus. Pykälästä kumottaisiin Liikenne- ja viestintäviraston oikeus tehdä tunnistuslain nojalla tarkastuksia liittyen hyväksytyn sähköisen allekirjoituksen ja sähköisen leiman luontivälineen sertifiointilaitokseen ja hyväksyttyjä varmenteita tarjoavaan varmentajaan sekä luottamuspalvelun tarjoajaan ja niiden palveluun. Pykälän 1, 2 ja 3 momentista poistettaisiin viittaukset hyväksyttyihin varmenteita tarjoavaan varmentajaan ja luottamuspalvelun tarjoajaan. Jatkossa Liikenne- ja viestintäviraston oikeudesta tehdä tarkastuksia kyseisten toimijoiden osalta säädettäisiin ehdotetussa eIDAS-laissa.  

47 §.Liikenne- ja viestintävirastolle maksettavat maksut. Pykälän 1 momentin ensimmäinen virke rekisteröimismaksusta kumottaisiin. Jatkossa 10 §:ssä tarkoitetun ilmoituksen tehneen tunnistuspalvelun tarjoajan tai palveluntarjoajien yhteenliittymän olisi suoritettava Liikenne- ja viestintävirastolle ilmoituksen käsittelymaksu valtion maksuperustelain mukaisesti. Maksun suuruudesta olisi jatkossa tarkoitus säätää lain sijaan asetustasolla eli sähköisen viestinnän maksuasetuksessa. Ilmoituksen käsittelyssä on kyse ilmoituksen perusteella tehtävästä valvovan viranomaisen palveluntarjoajaksi hyväksymistä koskevasta arvioinnista ja rekisteröinnistä eli suoritteesta. Valtion suoritteiden maksullisuuden ja maksujen suuruuden yleisistä perusteista säädetään valtion maksuperustelaissa. 

Voimassa oleva, lain tasolla säädetty rekisteröinnistä perittävä maksu ei vastaa rekisteröinnistä aiheutuvia kustannuksia. Tunnistuspalvelun tarjoajien rekisteröimismaksu on säädetty vuonna 2009, jolloin rekisteröimismaksulle ei ollut selkeästi osoitettavissa silloiselta Viestintävirastolta saatavaa vastiketta, jolloin kyseessä on katsottu olevan veronluonteinen maksu (HE 36/2009 vp s. 81). Vuonna 2009 ei ole ollut mahdollisuutta arvioida viranomaistoiminnan suoritevastaavuutta, koska tunnistuspalvelujen markkina oli vasta kehittymässä ja toiminta tai toimijoiden määrä ei ollut vakiintunutta. Nykyinen toiminnan vakiintuminen on johtanut siihen, että ilmoitusten käsittelystä aiheutuneet kulut ovat yksityiskohtaisesti yksilöitävissä. Käsittelymaksu on mahdollista periä kustannusvastaavuusperiaatteen mukaisesti, koska suorite ja siihen liittyvät viranomaiset kustannukset ovat yksilöitävissä eikä maksuvelvollisuus seuraa suoraan laista. Siten maksun ominaisuuksien voidaan katsoa täyttyvän. Maksujen vastikesuhdetta ja säädöstason muutosta on arvioitu yksityiskohtaisemmin jäljempänä säätämisjärjestysperustelujen yhteydessä jaksossa 12.6. 

Pykälän 1 momentissa säädettäisiin jatkossakin tunnistuspalvelun tarjoajan tai yhteenliittymän Liikenne- ja viestintävirastolle vuosittain suoritettavasta valvontamaksusta. Valvontamaksun nykyistä määrää (14 000 euroa) korotettaisiin yleisen kustannustason nousun johdosta 3 000 eurolla. Edellisen kerran valvontamaksuja on korotettu vuonna 2016. Korotus perustuu Liikenne- ja viestintäviraston laskelmaan, jonka pohjana on käytetty Tilastokeskuksen julkisten menojen hintaindeksiä. Julkisten menojen hintaindeksin osaindeksillä palkat ja muut henkilöstömenot korotettuna vuoden 2016 tasosta vuoden 2024 tasoon ja hieman pyöristettynä maksu on 17 000 euroa otettaessa se käyttöön vuoden 2026 lopussa, jolloin lain on tarkoitus tulla voimaan. Jatkossa vuosittainen valvontamaksun määrä olisi näin ollen 17 000 euroa palveluntarjoajaa kohden. Korotusta voidaan yleisen kustannustason nousun ja virastolle valvonnasta tosiasiallisesti aiheutuvien kustannusten perusteella pitää kohtuullisena ja perusteltuna. Toisin kuin rekisteröimismaksu, valvontamaksu katsotaan valtiosääntöoikeudellisesti veroksi, jolloin siitä tulee jatkossakin säätää laissa. Pykälässä tunnistuspalvelun tarjoajalla tarkoitettaisiin lain 2 §:n 3 kohdassa määriteltyä tunnistuspalvelun tarjoajaa. 

Muutetun eIDAS-asetuksen määritelmien mukaan eurooppalainen digitaalisen identiteetin lompakko on samalla sähköisen tunnistamisen menetelmä. Lompakon ja sen tarjoamisen vaatimukset on kuitenkin tyhjentävästi säännelty muutetussa eIDAS-asetuksessa ja siten lompakot ja niiden tarjoajat jäisivät kansallisen vahvan sähköisen tunnistamisen sääntelyn ulkopuolelle. Tästä johtuen, jos palveluntarjoaja olisi velvollinen suorittamaan 1. lakiehdotuksen mukaisesti tarjoamansa lompakon valvontamaksun, se ei olisi velvollinen suorittamaan samasta palvelusta 1 momentin mukaista tunnistuspalvelun tarjoajan valvontamaksua. 

Pykälän nykyinen 2 momentti kumottaisiin kokonaan, koska pykälästä on tarpeen kumota sellaiset Liikenne- ja viestintävirastolle maksettavat maksut, jotka liittyvät eIDAS-asetukseen. Pykälän 2 momentissa säädetään nykyisin eIDAS-asetuksen 21 artiklassa tarkoitetun ilmoituksen tehneen hyväksytyn luottamuspalvelun tarjoajan ja hyväksyttyä luottamuspalvelua tarjoavan varmentajan suorittamista rekisteröimis- ja valvontamaksuista. Niitä koskeva sääntely sisältyisi jatkossa joko ehdotettavaan uuteen eIDAS-lakiin tai, siltä osin kuin ne katsotaan veron sijasta maksuiksi, valtion maksuperustelakiin ja sen nojalla annettavaan sähköisen viestinnän maksuasetukseen. 

Pykälän uudessa 2 momentissa säädettäisiin vaatimustenmukaisuuden arviointilaitoksen valvontamaksusta. Sitä koskeva sääntely sisältyy nykyisen pykälän 3 momenttiin, joka siirtyy uudeksi 2 momentiksi. Samalla valvontamaksun nykyistä määrää (15 000 euroa) korotettaisiin yleisen kustannustason nousun johdosta 3 000 eurolla. Edellisen kerran valvontamaksuja on korotettu vuonna 2016. Korotusta voidaan yleisen kustannustason nousun perusteella pitää kohtuullisena ja perusteltuna. Jatkossa vuosittainen valvontamaksun määrä olisi 18 000 euroa. Momentista poistettaisiin vaatimustenmukaisuuden arviointilaitoksen velvollisuus suorittaa Liikenne- ja viestintävirastolle 10 000 euron nimeämismaksu. Jatkossa lain 35 §:ssä tarkoitetun hakemuksen käsittelystä olisi suoritettava valtion maksuperustelain mukainen maksu. 

Nykyinen 4 momentti kumottaisiin kokonaan vastaavista syistä kuin 2 momentti. Nykyisessä 4 momentissa säädetään sertifiointilaitoksen suorittamista nimeämis- ja valvontamaksuista. Niitä koskeva sääntely sisältyisi jatkossa joko ehdotettavaan uuteen eIDAS-lakiin tai, siltä osin kuin ne katsotaan veron sijasta maksuiksi, valtion maksuperustelakiin ja sen nojalla annettavaan sähköisen viestinnän maksuasetukseen. 

Nykyiset pykälän 5, 6 ja 7 momentit siirtyisivät uusiksi 3, 4 ja 5 momenteiksi. Niistä poistettaisiin viittaukset rekisteröimismaksuun ja nimeämismaksuun, joista ei enää säädettäisi tunnistuslaissa. Lisäksi momentteihin tehtäisiin kielellisiä muutoksia poiston tai kirjoitusasun selkeyttämiseksi. Nykyisestä 5 momentista eli uudesta 3 momentista poistettaisiin tarpeettomana nimenomainen maininta siitä, että valvontamaksu kattaa niitä kustannuksia, joita Liikenne- ja viestintävirastolle aiheutuu tämän lain valvonnasta. Rekisteröimis- ja nimeämismaksulla ei katettaisi Liikenne- ja viestintävirastolle laissa säädettyjen tehtävien hoitamisesta aiheutuvia kustannuksia, vaan niiden sijasta perittäisiin ilmoituksen tai hakemuksen käsittelymaksu, joka vastaisi niiden käsittelystä aiheutuneita kustannuksia. Valvontamaksulla katettaisiin jatkossakin lain valvonnasta Liikenne- ja viestintävirastolle aiheutuvia kustannuksia, vaikka nimenomainen maininta siitä poistettaisiinkin. Nykyiseen 6 momenttiin sisältyvä valtuussäännös antaa tarkempia säännöksiä maksujen täytäntöönpanosta liikenne- ja viestintäministeriön asetuksella poistettaisiin tarpeettomana. Muilta osin momentit säilyisivät asiallisesti ennallaan. 

Pykälän uudessa 6 momentissa olisi informatiivinen viittaus, jonka mukaan lain 10 §:ssä tarkoitetun ilmoituksen ja 35 §:ssä tarkoitetun hakemuksen käsittelystä sekä 46 §:n 1 momentissa tarkoitetusta tarkastuksesta perittävästä maksusta säädetään valtion maksuperustelaissa. Informatiivinen viittaus on valmistelussa katsottu tarpeelliseksi, koska sen on tarkoitus selventää, että voimassa olevan pykälän 1 ja 3 momentista kumottavien rekisteröimis- ja nimeämismaksun sijaan jatkossa perittäisiin valtion maksuperustelain mukaisesti ilmoituksen ja hakemuksen käsittelystä aiheutuneita kustannuksia vastaava maksu. Tarkoituksena ei siis olisi muuttaa näitä toimenpiteitä maksuttomiksi. Käsittelymaksun suuruudesta säädettäisiin lain sijaan sähköisen viestinnän maksuasetuksessa, ja se määräytyisi valtion maksuperustelain kustannusvastaavuusperiaatteen mukaisesti eli maksun suuruus vastaisi suoritteen tuottamisesta valtiolle aiheutuvien kokonaiskustannusten määrää. 

49 a §. Muutoksenhaku vaatimustenmukaisuuden arviointilaitoksen päätökseen. Pykälästä poistettaisiin viittaukset muutoksenhausta koskien sertifiointilaitoksen tekemää päätöstä. Sääntely ei olisi enää tarpeen, sillä kansallisia tunnistuspalveluja ei sertifioida. Myös pykälän otsikosta poistettaisiin muutosta vastaavasti maininta sertifiointilaitoksesta. 

Voimaantulosäännös. Lainkohta sisältää porrastetun voimaantulosäännöksen. Tarkemmat perustelut lain voimaantulosta sisältyvät kappaleeseen 9 (Voimaantulo). 

7.3  Laki digitaalisesta henkilöllisyystodistuksesta

1 §. Lain tarkoitus. Pykälä määrittäisi lain soveltamisalan ja tavoitteen. Laki koskisi uutta luotettavaa tapaa osoittaa henkilöllisyys tai vahvistettuja henkilötietoja. Digitaalinen henkilöllisyystodistus rinnastuisi suurelta osin viranomaisen henkilöllisyyden osoittamiseksi myöntämiin fyysisiin asiakirjoihin, passiin ja henkilökorttiin. Vaikka digitaalisella henkilöllisyystodistuksella voisi siis osoittaa henkilöllisyyttään ja todistus olisi sähköisessä muodossa, kyse ei kuitenkaan olisi sähköisestä tunnistusvälineestä. Sana digitaalinen viittaisi henkilöllisyystodistuksen yksinomaan sähköiseen olomuotoon eurooppalaisessa digitaalisen identiteetin lompakossa. Digitaalisen henkilöllisyystodistuksen käyttötarkoitus olisi ensisijaisesti käyntiasioinnissa, mutta jatkossa mahdollisuudet hyödyntää sitä voisivat kehittyä ja laajentua. Muun asioinnin osalta jatkossa voisi ilmetä esimerkiksi sellaisia käyttötarkoituksia, joissa on tarpeenmukaista voida osoittaa vahvistettuja henkilötietoja ennen varsinaista fyysistä asiointia. Tällaisia tilanteita voisivat olla muun muassa matkalippu- tai hotellivarausten tekeminen tai vahvistaminen ennen lähtöselvitystä lennolle tai kirjautumista hotelliin. 

Suomen kansalaiset ja Suomessa oleskelevat ulkomaalaiset voisivat saada tähän tarkoitukseen digitaalisen henkilöllisyystodistuksen ehdotetun lain säännösten mukaisesti. 

2 §.Määritelmät. Pykälässä määriteltäisiin keskeiset laissa käytettävät käsitteet. Määritelmien täsmällisyys olisi merkityksellistä oikeusvarmuuden, lain johdonmukaisen soveltamisen, viranomaisten tehtävien ja EU-sääntelyn soveltuvuuden kannalta. Esimerkiksi vahvistettujen tietojen, luottavan osapuolen ja teknisen laitteen määritelmät selventäisivät digitaalisen henkilöllisyystodistuksen teknistä ja oikeudellista toimintaympäristöä.  

Pykälän 1 kohdassa määriteltäisiin vahvistetut tiedot, joilla tarkoitettaisiin henkilötietoja, jotka sisältyvät passilain 29 §:ssä tarkoitettuun passirekisteriin tai henkilökorttilain 31 §:ssä tarkoitettuun henkilökorttirekisteriin. Edellä mainittuihin rekistereihin sisältymisen lisäksi vahvistettujen tietojen tulisi niiden luotettavuuden lisäämiseksi olla viranomaisen sähköisesti varmentamia. Sähköinen varmentaminen viittaisi tietojen käsittelyyn koko elinkaaren aikana. Näitä olisivat eheyttä ja luotettavuutta turvaavat toimet sekä poliisissa että Digi- ja väestötietovirastossa. Toimiin sisältyisi siis jo esimerkiksi henkilön tunnistaminen passin ja henkilökortin myöntämisen yhteydessä, tietoturvallisuustoimenpiteet tietojen käsittelyssä ja siirrossa poliisilta Digi- ja väestötietovirastolle sekä passin ja henkilökortin tekniseen osaan talletettujen tietojen aitouden ja eheyden varmistamiseen liittyvien varmenteiden luominen Digi- ja väestötietoviraston toimesta. Vahvistetuilla tiedoilla tarkoitettaisiin myös attribuuttitodistuksen henkilötietoja, joista säädetään eIDAS-asetuksen liitteessä V ja ehdotetun digitaalista henkilöllisyystodistusta koskevan lain 4 §:ssä. Näin määritellyistä vahvistetuista tiedoista koostuva tietojoukko muodostaisi digitaalisen henkilöllisyystodistuksen sisällön. Tietojoukon muodostavien tietojen tyhjentäväksi listaukseksi esitetään ehdotetun digitaalista henkilöllisyystodistusta koskevan lain 4 §:n 2 momentin luetteloa. 

Pykälän 2 kohdassa määriteltäisiin eIDAS-asetus.  

Pykälän 3 kohdassa määriteltäisiin luottava osapuoli. Säännös vastaisi 1. lakiehdotuksen mukaisesti osaltaan eIDAS-asetuksen 3 artiklan 6 alakohdan määritelmää, jonka mukaan luottavalla osapuolella tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, joka luottaa sähköiseen tunnistamiseen, eurooppalaisiin digitaalisen identiteetin lompakoihin tai muihin sähköisen tunnistamisen menetelmiin taikka luottamuspalveluun. Luottavia osapuolia voisivat käytännössä olla esimerkiksi vähittäiskauppa kaupankäynti- ja asiointipalvelutilanteissa, osapuolet sopimussuhdetta solmittaessa tai ikärajavalvontaa harjoittava viranomainen tai yksityissektorin toimija. 

Pykälän 4 kohdassa määriteltäisiin käyttäjä sellaiseksi luonnolliseksi henkilöksi, jolle Digi- ja väestötietovirasto on tarjonnut hyväksytyn sähköisen attribuuttitodistuksen. Digi- ja väestötietoviraston tehtävästä tarjota attribuuttitodistus säädettäisiin 7 §:n 3 momentissa. Käyttäjä voisi olla ainoastaan luonnollinen henkilö, sillä esitetyn sääntelyn mukaan digitaalinen henkilöllisyystodistus perustuisi aina sellaiseen henkilöllisyyttä osoittavaan asiakirjaan, passiin tai henkilökorttiin, joka voidaan myöntää yksinomaan luonnolliselle henkilölle. 

Pykälän 5 kohdassa määriteltäisiin tekninen laite, jolla tarkoitettaisiin eurooppalaisen digitaalisen identiteetin lompakon käyttäjän mobiilipäätelaitetta tai muuta vastaavaa laitetta, esimerkiksi tablettia, johon eurooppalainen digitaalisen identiteetin lompakko on otettu käyttöön. Määritelmä rajaisi digitaalisen henkilöllisyystodistuksen käyttöympäristön konkreettiseen laitteeseen, mikä olisi olennaista tietoturvan ja käytettävyyden kannalta. 

Pykälän 6 kohdassa määriteltäisiin eurooppalainen digitaalisen identiteetin lompakko viittauksella eIDAS-asetuksen määritelmään.  

Pykälän 7 kohdassa määriteltäisiin hyväksytty sähköinen attribuuttitodistus eIDAS-asetuksen mukaiseksi todistukseksi, jonka on myöntänyt hyväksytty luottamuspalvelujen tarjoaja ja joka täyttää eIDAS-asetuksen liitteessä V säädetyt vaatimukset. Määritelmä alleviivaisi EU-sääntelystä johtuvaa perustaa digitaalisen henkilöllisyystodistuksen tekniselle toteutukselle. 

Pykälän 8 kohdassa määriteltäisiin hyväksytty luottamuspalvelun tarjoaja eIDAS-asetuksen mukaiseksi toimijaksi, joka tarjoaa yhtä tai useampaa hyväksyttyä luottamuspalvelua ja jolle asetuksessa tarkoitettu valvontaelin on myöntänyt hyväksytyn aseman. Määritelmä olisi tärkeä digitaalisen henkilöllisyystodistuksen luotettavuuden ja EU-sääntelyn mukaisuuden kannalta.  

Pykälän 9 kohdassa määriteltäisiin digitaalisen henkilöllisyystodistuksen perusteena oleva asiakirja ensinnäkin voimassa olevaksi passilain 3, 3 c tai 4 §:ssä tarkoitetuksi Suomen passiksi. Mainittujen lainkohtien mukaiset passit ovat perusmuotoinen, Suomen kansalaiselle hakemuksesta myönnettävä passi (3 §), tilapäinen passi (3 c §) sekä diplomaatti- ja virkapassi (4 §). Vaihtoehtoisesti digitaalisen henkilöllisyystodistuksen perusteena oleva asiakirja voisi olla henkilökorttilain 2 §:n 1 momentissa tarkoitettu perusmuotoinen, myös matkustusasiakirjana käytettävä henkilökortti, 14 §:ssä tarkoitettu ulkomaalaisen henkilökortti, 15 a §:ssä tarkoitettu tilapäinen henkilökortti tai 17 §:n 3 momentissa tarkoitettu henkilökortti, jota ei voida käyttää matkustusasiakirjana. Digitaalisen henkilöllisyystodistuksen perusteena olevan asiakirjan määritelmää eivät sen sijaan täyttäisi esimerkiksi väliaikainen passi tai henkilökortti, hätäpassi tai merimiespassi. Ehdotetun määritelmän ulkopuolelle jäävien asiakirjojen myöntäminen perustuu erityisiin olosuhteisiin tai hakijan tehtäviin. Esimerkiksi väliaikainen passi tai väliaikainen henkilökortti on mahdollista myöntää ainoastaan perustellusta syystä, jos keskitetysti valmistetun asiakirjan myöntäminen nopeutetussakaan aikataulussa ei ole mahdollista. Hätäpassi puolestaan voidaan myöntää poikkeuksellisesti yhden matkan ajaksi ja ainoastaan tämän yhden matkan reitillä käytettäväksi. Väliaikainen passi, merimiespassi, hätäpassi ja väliaikainen henkilökortti eivät myöskään sisällä teknistä osaa. Rajaaminen esitetyllä tavalla olisi olennaista, jotta digitaalinen henkilöllisyystodistus perustuisi viranomaisen vahvistamiin luotettavimpiin tietoihin. Käytännössä ehdotettu sääntely edellyttäisi muutoksia passilakiin ja henkilökorttilakiin, Muutoksia henkilökorttilakiin ehdotetaan 14. lakiehdotuksessa ja passilakiin 17. lakiehdotuksessa. Ehdotusten mukaan edellä mainittuihin passeihin ja henkilökortteihin sisältyisi jatkossa oikeus ottaa käyttöön tässä ehdotetussa laissa tarkoitettu digitaalinen henkilöllisyystodistus. Lakiehdotukset sisältävät myös esitykset siirtymäsäännöksiksi, joilla varmistettaisiin myös olemassa olevien passien ja henkilökorttien kelpoisuus digitaalisen henkilöllisyystodistuksen käyttöön saamisessa.  

Esitetyn 10 kohdan määritelmän mukaan ikätodisteella tarkoitettaisiin vahvistetuista tiedoista johdettua attribuuttitodistusta tai vastaavaa todistusta, jolla käyttäjä voi vahvistaa luottavalle osapuolelle kuulumisensa tiettyyn ikäryhmään. eIDAS-asetuksen mukaan jäsenvaltioiden olisi sisällytettävä eurooppalaiseen digitaalisen identiteetin lompakkoon erilaisia yksityisyyttä suojaavia tekniikoita. Esimerkki tällaisesta tekniikasta on muutetun eIDAS-asetuksen johdanto-osan kappaleen 14 mukaan nollatietotodiste. Tällaisten salausmenetelmien ansiosta luottava osapuoli voi validoida henkilön tunnistetietoihin ja attribuuttitodistukseen perustuvan lausuman totuudenmukaisuuden paljastamatta mitään kyseisen lausuman perustana olevia tietoja ja säilyttäen siten käyttäjän yksityisyyden. Käytännössä henkilö voisi luotettavasti kertoa esimerkiksi olevansa täysi-ikäinen paljastamatta kuitenkaan varsinaista ikäänsä. Käyttäjä voisi siten olla esimerkiksi 23- tai 45-vuotias, mutta ainoa tieto, joka luottavalle osapuolelle välittyy, on tieto täysi-ikäisyydestä. Pykälän 10 kohdassa määriteltäisiin ikätodiste attribuuttitodistukseksi tai vastaavaksi todistukseksi, jonka avulla käyttäjä voi osoittaa kuulumisensa tiettyyn ikäryhmään ilman, että muita henkilötietoja paljastetaan. Määritelmä tukisi siten tietosuojaa ja mahdollistaisi ikärajoitettujen palveluiden käytön ilman tarpeetonta henkilötietojen luovuttamista. Ikätodisteen käyttö olisi erityisen merkityksellistä tilanteissa, joissa palveluntarjoaja tarvitsee vain varmistuksen käyttäjän iästä ilman hänen syntymäaikaansa, henkilötunnustaan tai muuta yksilöivää henkilötietoa. Esimerkkinä tällaisesta tilanteesta olisi ikärajallinen elokuvanäytös. Määritelmä loisi teknisen ja oikeudellisen perustan tällaiselle rajatulle tietojen osoittamiselle ja vahvistaisi käyttäjän omien tietojensa hallintaa. 

3 §.Digitaalinen henkilöllisyystodistus. Pykälässä säädettäisiin digitaalisen henkilöllisyystodistuksen oikeudellisesta luonteesta. Pykälän 1 momentissa määriteltäisiin digitaalinen henkilöllisyystodistus sen käyttötarkoituksen avulla. Digitaalisella henkilöllisyystodistuksella käyttäjä voisi osoittaa henkilöllisyytensä tai vahvistettuja tietojaan vastaavalla tavalla kuin sen perusteena olevalla passilla tai henkilökortilla. Ehdotettu säännös vahvistaisi yhteyttä digitaalisen henkilöllisyystodistuksen ja fyysisen passin tai henkilökortin välillä ja edistäisi digitaalisen henkilöllisyystodistuksen asemaa näiden digitaalisena ilmentymänä ja luotettavana henkilöllisyyden osoittamisen välineenä. 

Olisi toivottavaa, että digitaalinen henkilöllisyystodistus jatkossa hyväksyttäisiin asiointitilanteissa yhtä laajasti kuin perinteiset asiakirjat. Velvoitettavaa säännöstä digitaalisen henkilöllisyystodistuksen hyväksymisestä ei kuitenkaan ehdoteta, eikä sellaista sisälly myöskään voimassa olevaan passi- ja henkilökorttilainsäädäntöön. Käytännössä digitaalisen henkilöllisyystodistuksen hyödyntäminen esimerkiksi kaupan alalla edellyttäisi koneellista tarkastelua, jossa digitaalisen henkilöllisyystodistuksen aitoudesta ja voimassaolosta varmistuttaisiin. Luonnollisten henkilöiden välillä tarkastelu tapahtuisi käyttäjän oman teknisen laitteen sisältämän eurooppalaisen digitaalisen identiteetin lompakon avulla. 

Digitaalisen henkilöllisyystodistuksen voisi saada hyväksyttynä sähköisenä attribuuttitodistuksena käyttäjän eurooppalaiseen digitaalisen identiteetin lompakkoon. Säännös loisi teknisen ja oikeudellisen perustan digitaalisen henkilöllisyystodistuksen olemassaololle ja käytölle.  

Digitaalisen henkilöllisyystodistuksen tarjoaminen eIDAS-asetuksessa tarkoitettuna hyväksyttynä sähköisenä attribuuttitodistuksena varmistaisi, että se täyttää korkeat vaatimukset tietojen aitoudesta, eheydestä ja luotettavuudesta, ja että sen tarjoamiseen kohdistuu valvontaa. Määritelmä rajaisi samalla todisteen käyttöympäristöksi eurooppalaisen digitaalisen identiteetin lompakon. Digitaalista henkilöllisyystodistusta ei toisin sanoen voisi saada sellaisiin lompakkoratkaisuihin, jotka eivät täytä muutetun eIDAS-asetuksen vaatimuksia.  

Pykälän 2 momentissa todettaisiin, että digitaalinen henkilöllisyystodistus ei ole matkustusasiakirja. Säännös rajaisi digitaalisen henkilöllisyystodistuksen käyttötarkoitusta ja estäisi sen käyttämisen rajanylityksissä tai kansainvälisessä matkustamisessa. 

4 §. Digitaalisen henkilöllisyystodistuksen sisältämät tiedot. Pykälässä määritettäisiin tyhjentävästi, mitä tietoja digitaalinen henkilöllisyystodistus sisältää. Tietosisältö vastaisi pitkälti fyysisen passin tai henkilökortin tietoja, mikä mahdollistaa digitaalisen todistuksen rinnastamisen perinteisiin asiakirjoihin. Pykälässä viitattaisiin myös tietoihin, joista säädetään eIDAS-asetuksen liitteessä V. Liite määrittää hyväksytyn sähköisen attribuuttitodistuksen tietosisällön ja siten myös niitä tietoja, jotka sisältyvät digitaaliseen henkilöllisyystodistukseen. Erotuksena passiin ja henkilökorttiin digitaalinen henkilöllisyystodistus ei sisältäisi sormenjälki- ja allekirjoitustietoja.  

Pykälän 1 momentissa säädettäisiin, että digitaalisen henkilöllisyystodistuksen tiedot vastaavat poliisin passirekisteriin tai henkilökorttirekisteriin talletettuja tietoja. Momentissa säädettäisiin digitaalisen henkilöllisyystodistuksen tietosisällöstä. Säännös varmistaisi samalla, että todiste perustuu viranomaisen ylläpitämään ja ajantasaiseen tietolähteeseen. Tietojen vastaavuus olisi keskeisessä asemassa digitaalisen henkilöllisyystodistuksen luotettavuuden näkökulmasta. 

Pykälän 2 momentissa lueteltaisiin digitaalisen henkilöllisyystodistuksen sisältämät tiedot. Digitaaliseen henkilöllisyystodistukseen sisältyisi sellaiset henkilötiedot, jotka tyypillisesti ovat tarpeen henkilöllisyyden osoittamiseksi arjen asiointitilanteissa. Digitaalisen henkilöllisyystodistuksen tiedot olisivat sukunimi, etunimet, voimassa olevaan suomalaiseen passiin tai henkilökorttiin merkitty sukupuoli, syntymäaika, henkilötunnus, tieto Suomen kansalaisuudesta, passin tai henkilökortin myöntänyt viranomainen, passin tai henkilökortin myöntämispäivä, viimeinen voimassaolopäivä ja numero sekä passi- tai henkilökorttirekisteriin talletettu kasvokuva. Pykälän 3 momentissa säädettäisiin, että hyväksytty sähköinen attribuuttitodistus voi sisältää myös ikätodisteen. Momentti mahdollistaisi digitaalisen henkilöllisyystodistuksen tietosisällöstä johdetun rajatun todisteen, joka osoittaisi käyttäjän kuulumisen tiettyyn ikäryhmään ilman muiden tietojen paljastamista. Tämä olisi tarkoituksenmukaista esimerkiksi palveluissa, joissa ikärajan osoittaminen on tarpeen, mutta muuta yksilöivää henkilötietoa ei tarvita. 

Pykälän 4 momentti olisi informatiivinen viittaus eIDAS-asetuksen liitteeseen V, missä säädetään kaikkia hyväksyttyjä sähköisiä attribuuttitodistuksia koskevista vaatimuksista. Liite velvoittaa sisällyttämään hyväksyttyyn sähköiseen attribuuttitodistukseen verrattain suuren määrän tietoa. Liitteen säännökset vaikuttavat merkittävästi digitaalisen henkilöllisyystodistuksen tiedot sisältävän hyväksytyn attribuuttitodistuksen tietosisältöön. Asiasta ei kuitenkaan ole aiheen kansallisesti säätää säännösten jo sisältyessä jäsenvaltioita suoraan velvoittavaan asetukseen. 

5 §.Digitaalisen henkilöllisyystodistuksen käyttöön saamisen edellytykset. Pykälässä säädettäisiin digitaalisen henkilöllisyystodistuksen käyttöön saamisen edellytyksistä. Pykälän 1 momentin mukaan käyttöön saaminen olisi mahdollista Suomen kansalaiselle sekä Suomessa oleskelevalle ulkomaalaiselle, Henkilöllä tulisi lisäksi olla voimassa oleva digitaalisen henkilöllisyystodistuksen perusteena oleva asiakirja sekä käyttöön otettu eurooppalainen digitaalisen identiteetin lompakko. Edellytysten lähtökohtana pidettäisiin, että digitaalinen henkilöllisyystodistus myönnettäisiin ainoastaan sellaisille henkilöille, joiden henkilöllisyys on jo vahvistettu viranomaisen toimesta. Digitaalisen henkilöllisyystodistuksen saaminen käyttöön edellyttäisi itsestään selvästi myös käyttöön otettua eurooppalaista digitaalisen identiteetin lompakkoa, johon todistus yksinomaan tarjottaisiin. 

Pykälän 2 momentissa säädettäisiin teknisestä tarkistuksesta, joka olisi myös digitaalisen henkilöllisyystodistuksen käyttöönoton edellytys. Tarkistuksessa Digi- ja väestötietovirasto etälukisi henkilön digitaalisen henkilöllisyyden perusteena olevan asiakirjan teknisen osan tiedot ja tarkistaisi, että ne vastaavat henkilön eurooppalaisessa digitaalisen identiteetin lompakossa olevia luonnollisen henkilön tunnistetietoja. Tietojen tarkastaminen olisi hyväksytyn luottamuspalveluntarjoajan tehtäviin kuuluva kaksivaiheinen toimenpide. Yhtäältä asiakirjan tekniseltä osalta saatavia henkilötietoja verrattaisiin käyttäjän eurooppalaisessa digitaalisen identiteetin lompakossa oleviin luonnollisen henkilön tunnistetietoihin. Toisaalta luetun passin tai henkilökortin aitoudesta ja eheydestä varmistuttaisiin asiakirjan teknisen osan sisältämien varmenteiden avulla. Tarkistuksen tavoitteena olisi estää väärinkäytöstilanteet ennalta sekä sen varmistaminen, että hakijalla tosiasiassa on hallussaan digitaalisen henkilöllisyystodistuksen perusteeksi säädetty asiakirja. Vertailussa käytettäviä tietoja ei saisi tallentaa, vaan vertailu tulisi tehdä muistinvaraisesti.  

Ehdotetun 2 §:n 9 kohdan digitaalisen henkilöllisyystodistuksen perusteena olevan asiakirjan määritelmän mukaan henkilöllä voisi olla samanaikaisesti useampi kuin yksi voimassa oleva perusteeksi hyväksyttävä asiakirja. Digitaalisen henkilöllisyystodistuksen perusteeksi määrittyisi asiakirjoista se, jonka tiedot etäluettaisiin. Näin henkilö tekisi itse valinnan omassa asiassaan, eikä viranomaiselle säädettäisi asiassa lainkaan harkintavaltaa.  

Etälukua koskeva edellytys täyttyisi myös, jos käyttäjä tekee eurooppalaisen digitaalisen identiteetin lompakon käyttöönoton yhteydessä onnistuneen passin tai henkilökortin etälukemisen samalla käyttökerralla. 

Teknisellä osalla tarkoitettaisiin passien osalta passilain 5 a §:ssä tarkoitettua teknistä osaa ja henkilökorttien osalta henkilökorttilain 5 §:ssä tarkoitettua teknistä osaa.  

Eurooppalaisella digitaalisen identiteetin lompakolla tunnistautuminen vastaisi säännöksessä vahvan sähköisen tunnistautumisen edellytystä, mistä olisi mahdollista saada vertailtavat tiedot. 

6 §. Digitaalisen henkilöllisyystodistuksen voimassaolo. Pykälän 1 momentissa säädettäisiin, että digitaalinen henkilöllisyystodistus voisi olla voimassa yhtä kauan kuin sen perusteena oleva passi tai henkilökortti. Ehdotuksen mukaan pääperiaate olisi näin ollen, että passin tai henkilökortin digitaalinen ilmentymä ei olisi voimassa pidempään kuin sen taustalla oleva asiakirja.  

Pykälän 2 momentissa säädettäisiin, että jos digitaalisen henkilöllisyystodistuksen perusteena oleva asiakirja peruutetaan sen kadonneeksi tai anastetuksi ilmoittamisen vuoksi, oikeus digitaaliseen henkilöllisyystodistukseen tästä huolimatta jatkuisi 30 vuorokautta. Momentti mahdollistaisi asioinnin jatkumisen lyhyen siirtymäajan ajan, mikä olisi käytännöllistä tilanteissa, joissa uuden asiakirjan hankinta on vielä kesken. Jatkoaika tukisi palvelujen jatkuvuutta ja vähentäisi asioinnin keskeytymisestä aiheutuvia haittoja. Ehdotetun 12 §:n mukaisesti digitaalinen henkilöllisyystodistus kuitenkin raukeaisi tässä ehdotetun momentin estämättä, jos henkilölle luovutettaisiin 30 vuorokauden jatkoajan kuluessa uusi perusteena oleva asiakirja. Tällöin henkilön tulisi hakea uudella luovutetulla asiakirjalla myös uutta digitaalista henkilöllisyystodistusta. Siitä huolimatta, että oikeus digitaaliseen henkilöllisyystodistukseen jatkuisi 30 vuorokautta, ei säännös mahdollistaisi uuden digitaalisen henkilöllisyystodistuksen käyttöön saamista kadonneeksi tai anastetuksi ilmoitetun asiakirjan perusteella, sillä ilmoitus johtaisi digitaalisen henkilöllisyystodistuksen perusteena olevan fyysisen asiakirjan peruuttamiseen. Säännöksen tarkoitus olisikin mahdollistaa aiemmin käyttöön saadun digitaalisen henkilöllisyystodistuksen hyödyntäminen 30 vuorokauden ajan sen perusteena olevan asiakirjan perumisesta kadonneeksi tai anastetuksi ilmoittamisen vuoksi. 

Pykälän 3 momentissa säädettäisiin, että digitaalinen henkilöllisyystodistus voi olla hyväksyttynä sähköisenä attribuuttitodistuksena käytössä samanaikaisesti kahdella erillisellä teknisellä laitteella. Eri laitteilla käytössä olevat digitaaliset henkilöllisyystodistukset olisi selkeästi erotettava toisistaan tunnistetiedoilla, mitä myös eIDAS-asetuksen 5 a artiklan 4 kohdassa säädetty käyttäjän tietojen käytön jäljitettävyys edellyttää. Momentti mahdollistaisi todisteen käytön esimerkiksi sekä käyttäjän puhelimessa että tabletissa, mikä lisäisi joustavuutta ja käytettävyyttä. Samanaikainen käyttö edellyttäisi kuitenkin, että tietoturva ja todisteen eheys säilyvät molemmilla alustoilla. 

Ehdotettu 4 momentti antaisi Digi- ja väestötietovirastolle toimivallan hallita hyväksytyn sähköisen attribuuttitodistuksen ajantasaisuutta. Hyväksytyn sähköisen attribuuttitodistuksen voimassaoloaika voisi olla lyhyempi kuin taustalla olevan asiakirjan, mikä mahdollistaisi tietojen päivittämisen ja hyväksytyn sähköisen attribuuttitodistuksen uusimisen niin usein kuin se olisi teknisesti tarpeen. Hyväksytyn sähköisen attribuuttitodistuksen enimmäisvoimassaoloajan ja viimeisen voimassaolopäivän määrittäisi sen perusteena olevan asiakirjan viimeinen voimassaolopäivä.  

7 §. Toimivaltaiset viranomaiset, viranomaisen tehtävät ja tietojen käsittely Pykälän 1 momentissa säädettäisiin, että poliisi tai muu toimivaltainen viranomainen myöntää oikeuden saada käyttöön digitaalinen henkilöllisyystodistus samalla, kun se myöntää digitaalisen henkilöllisyystodistuksen perusteena olevan asiakirjan. Ehdotuksen tarkoitus on yksinkertaistaa myöntämisprosessia ja samalla varmistaa, että digitaalinen henkilöllisyystodistus perustuu ajantasaisiin viranomaisen vahvistamiin tietoihin. Menettely tukisi myös asioinnin sujuvuutta ja mahdollistaisi toteutuksen ilman uudesta hakemus- ja lupamenettelystä säätämistä. 

Ehdotetusta säännöksestä johtuisi, että toimivaltaisia olisivat ne viranomaiset, joiden tehtäväksi on säädetty digitaalisen henkilöllisyystodistuksen perusteena olevan asiakirjan myöntäminen. Poliisin ohella passilain 10 §:n 2 momentissa ja henkilökorttilain 9 §:n 2 momentissa säädetysti näitä ovat Suomen suurlähetystö, lähetetyn virkamiehen johtama konsulaatti, sellainen muu Suomen edustusto, jossa palvelevan nimetyn Suomen kansalaisen ulkoasiainministeriö on oikeuttanut myöntämään passeja, sellainen muu Suomen edustusto, jossa myönnetään passeja ja jossa palvelevan nimetyn Suomen kansalaisen ulkoasiainministeriö on oikeuttanut myöntämään henkilökortteja sekä ulkoasiainministeriö (ulkoasiainministeriön nimi on sittemmin muutettu ulkoministeriöksi). 

Pykälän 2 momentissa säädettäisiin, että poliisi luovuttaa digitaalisen henkilöllisyystodistuksen tietosisällön Digi- ja väestötietovirastolle hyväksytyn sähköisen attribuuttitodistuksen luomista varten. Momentti määrittelisi viranomaisten välistä vastuunjakoa ja varmistaisi tietojen tarkoituksenmukaisen siirron. Poliisin tulisi ennen tietojen luovuttamista varmistaa tietojen oikeellisuus huolellisesti.  

Pykälän 3 momentissa säädettäisiin, että Digi- ja väestötietovirasto tarjoaa hyväksytyn sähköisen attribuuttitodistuksen sekä sen tietojen aitouden ja eheyden varmistamiseen tarvittavat varmenteet ja leimaa tiedot hyväksytyllä sähköisellä leimalla. Hyväksytyllä sähköisellä leimalla tarkoitettaisiin eIDAS-asetuksen 3 artiklan 27 kohdan mukaisesti kehittynyttä sähköistä leimaa, joka on luotu hyväksytyllä sähköisen leiman luontivälineellä ja joka perustuu sähköisen leiman hyväksyttyyn varmenteeseen. Säännöksellä varmistettaisiin tietojen luotettavuutta ja muuttumattomuutta. 

Hyväksytyn sähköisen attribuuttitodistuksen on oltava eIDAS-asetuksen 45 d artiklan mukainen, mikä varmistaisi, että digitaalisena henkilöllisyystodistuksena käytettävä hyväksytty sähköinen attribuuttitodistus ja sen käyttäjälle tarjoava Digi- ja väestötietovirasto täyttäisivät EU-sääntelystä johtuvat vaatimukset. Momentti tarkoittaisi, että Digi- ja väestötietoviraston tulisi hyväksytyn sähköisen attribuuttitodistuksen tarjoajana hakea luottamuspalvelulleen eIDAS-asetuksen 20 ja 21 artikloissa tarkoitetuilla tavoilla hyväksyntä valvovalta viranomaiselta ja huolehtia luottamuspalveluun liittyvien vaatimusten täyttymisestä sen elinkaaren ajan, jotta sen ja sen tarjoaman sähköisen attribuuttitodistuksen hyväksytty asema pysyy voimassa. 

Digi- ja väestötietovirasto voisi siis tarjota hyväksytyn sähköisen attribuuttitodistuksen ainoastaan, kun se täyttää eIDAS-asetuksesta johtuvat velvollisuudet, mukaan lukien kansallisen valvontaviranomaisen Liikenne- ja viestintäviraston valvonnan toteutuminen. Toisin sanoen voidakseen tarjota hyväksyttyjä sähköisiä attribuuttitodistuksia Digi- ja väestötietoviraston on tullut hankkia hyväksytyn luottamuspalvelun tarjoajan asema, mikä edellyttää eIDAS-asetuksen vaatimusten täyttämistä, vaatimustenmukaisuuden arviointia sekä Liikenne- ja viestintäviraston tekemää Digi- ja väestötietovirastoa koskevaa merkintää hyväksyttyjen luottamuspalveluntarjoajien luotettuun luetteloon Suomessa. 

Pykälän 4 momentissa säädettäisiin, että Digi- ja väestötietoviraston tulee käsitellä poliisilta saamiaan tietoja Suomessa. Digitaalisen henkilöllisyystodistuksen luotettavuus perustuisi pitkälti sen pohjana olevien asiakirjojen turvallisuustekijöihin, joita koskevat säännökset sisältyvät passilakiin ja henkilökorttilakiin. Passilain 35 §:n 3 momentti ja henkilökorttilain 22 §:n 4 momentti edellyttävät, että asiakirjojen yksilöinti ja laadun tarkastus tehdään Suomessa. Perustuslakivaliokunta on pitänyt (PeVL 6/2013 vp.) tätä vaatimusta perusteltuna tietojen luonteen ja virkavastuuseen liittyvien velvoitteiden vuoksi. Kansainvälisen turvallisuustilanteen muuttuminen viime vuosina olennaisesti epävakaampaan suuntaan puoltaa edelleen kansallisesti tärkeiden tietojen turvaamisen mahdollistamista kansallisin toimin siten, että tiedot olisivat turvattuja ja käytettävissä myös poikkeusolosuhteissa, jossa yhteydet ulkomaille olisivat heikot tai katkenneet. Vakavassa kriisitilanteessa henkilöiden tunnistamisen luotettavuus, helppous ja nopeus ovat lisäksi erityisessä asemassa, ja kriisitilanteissa jokainen maa huolehtii ensisijaisesti omista tarpeistaan. Tällä hetkellä voimassa oleva passi tai henkilökortti on noin 4,5 miljoonalla suomalaisella, joista noin 700 000 on alaikäisiä. Digitaalisen henkilöllisyystodistuksen toteutus perustuu passi- ja henkilökorttirekistereihin talletettuihin tietoihin. Kyseessä olevat tiedot kattavat siis valtaosan Suomen väestöstä, jonka henkilötietojen suojaamista ehdotetulla sääntelyllä pyrittäisiin varmistamaan. 

8 §.Rekisteri digitaalisista henkilöllisyystodistuksista. Pykälän 1 momentissa säädettäisiin poliisin velvollisuudesta ylläpitää rekisteriä digitaalisista henkilöllisyystodistuksista. Rekisterin tarkoituksena olisi mahdollistaa laissa säädettyjen tehtävien hoitaminen. Rekisteri sisältäisi 4 §:n 2 momentissa tarkoitetut henkilötiedot niistä henkilöistä, jotka ovat ottaneet digitaalisen henkilöllisyystodistuksen käyttöönsä. Lisäksi rekisteriin tallennettaisiin tietoja itse todistuksista ja niiden käsittelystä. Tällaisia tietoja olisivat tiedot myöntämisestä, peruuttamisesta ja raukeamisesta.  

Passi- ja henkilökorttilaeissa säädetyn mukaisesti ulkomailla oleskeleva Suomen kansalainen voi tietyin edellytyksin hakea passia ja henkilökorttia Suomen suurlähetystöltä, lähetetyn virkamiehen johtamalta konsulaatilta ja muulta Suomen edustustolta. Ehdotetun sääntelyn mukaisen digitaalisen henkilöllisyystodistuksen perusteena voisi olla myös esimerkiksi Suomen suurlähetystön myöntämä asiakirja. Passilain 29 §:ssä ja henkilökorttilain 31 §:ssä on säädetty rekisterin pitämisestä. Mainittujen pykälien säännösten mukaan poliisi pitää rekisteriä säädöksissä säädettyjen poliisin ja ulkoasiainhallinnon tehtävien suorittamiseksi. Tässä pykälässä ehdotetaan voimassa olevan sääntelyn mukaisesti digitaalisten henkilöllisyystodistusten rekisterin pitäjäksi yksinomaan poliisia.  

Pykälän 2 momentissa viitattaisiin rekisterin henkilötietojen käsittelyn osalta henkilötietojen käsittelystä poliisitoimessa annettuun lakiin (616/2019, jäljempänä poliisin henkilötietolaki) ja sen 11–15 §:ään, jotka koskevat tietojen käyttöä. Tietojen luovuttamisesta ja poistamisesta säädetään mainitun lain 4 luvussa ja 38 §:ssä. Viittauksilla pyrittäisiin varmistamaan, että rekisterin tietojen käsittelyssä noudatetaan voimassa olevaa poliisia koskevaa tietosuojasääntelyä ja että rekisterin käyttö on rajattu lainmukaiseen tarkoitukseen. Säädettäessä uudesta luotettavasta tavasta osoittaa henkilöllisyys olisi tarkoituksenmukaisinta, että siihen liittyvän rekisterin tietojen käsittelyyn sovellettaisiin samoja säännöksiä kuin passirekisterin ja henkilökorttirekisterin tietojen käsittelyyn. 

Digitaalisten henkilöllisyystodistusten rekisterin henkilötietojen käsittelyyn sovellettaisiin yleistä tietosuoja-asetusta. Henkilötietojen käsittely olisi tarpeen poliisille laissa säädettyjen velvoitteiden täyttämiseksi ja perustuisi asetuksen 6 artiklan 1 kohdan c alakohtaan. Rekisterinpitäjän asema määräytyisi yleisen tietosuoja-asetuksen 4 artiklan 7 kohdan mukaisesti, ja ehdotetussa sääntelyssä selvennetään, että poliisi toimii rekisterinpitäjänä digitaalisten henkilöllisyystodistusten rekisterissä, jotta rekisterinpitäjyys ja siihen liittyvät viranomaistehtävät olisivat mahdollisimman selkeitä. Yleisen tietosuoja-asetuksen 6 artiklan 3 ja 4 kohdan mukaisesti sääntelyssä hyödynnettäisiin kansallista liikkumavaraa. Liikkumavaraa hyödynnettäisiin säätämällä kansallisesti käsiteltävistä tiedoista tarkkarajaisesti määrittelemällä ne ehdotetun lain 4 §:n 2 momentissa tarkoitettuihin tietoihin, sekä rajaamalla tiedot koskemaan ainoastaan sellaisia henkilöitä, jotka ovat ottaneet digitaalisen henkilöllisyystodistuksen käyttöönsä. Ehdotetun 8 §:n 1 momentin mukaan rekisteri sisältäisi myös tiedon digitaalisten henkilöllisyystodistusten käsittelystä poliisissa, mitä vahvistaisi tietojenkäsittelyn laillisuuden ja asianmukaisuuden varmistamista. Rekisterin ylläpitoa koskeva sääntely täyttäisi yleisen edun mukaisen tavoitteen, sillä se olisi välttämätöntä henkilöllisyyden ja henkilötietojen luotettavan varmentamisen ja turvallisuuden varmistamiseksi. Sääntely olisi oikeasuhtaista, sillä rekisteriin tallennettaisiin vain laissa määritellyt henkilötiedot ja todistuksen käsittelyä koskevat tiedot, ja tietoja saisi käyttää muihin käsittelytarkoituksiin vain noudattaen poliisin henkilötietolakia. Rekisterinpitäjänä poliisi vastaisi kaikesta henkilötietojen käsittelystä yleisen tietosuoja-asetuksen 5 artiklassa säädettyjen periaatteiden mukaisesti. Näitä ovat käyttötarkoitussidonnaisuus, tietojen minimointi ja säilytyksen rajoittaminen. Rekisteröidyn oikeudet määräytyisivät yleisen tietosuoja-asetuksen III luvun ja poliisin henkilötietolain mukaisesti. Henkilötietojen säilyttämistä koskee yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdassa säädetty säilytyksen rajoittamisen periaate, jonka mukaan henkilötietoja saa säilyttää muodossa, josta rekisteröity on tunnistettavissa, vain niin kauan kuin on tarpeen niiden käyttötarkoituksen toteuttamiseksi. Rekisterinpitäjän vastuulla on määrittää säilytysajat ja varmistaa, että ne ovat oikeasuhtaisia suhteessa käsittelyn tarkoitukseen. 

Poliisin osalta säilytysajat määrittyisivät poliisin henkilötietolain 38 §:n mukaan. Näiden säännösten perusteella poliisin rekistereissä säilytysaikoja koskeva arviointi perustuisi laissa säädettyihin tehtäviin ja tietojen tarpeellisuuteen niiden suorittamiseksi. Pääsäännön mukaan lupahallinto- ja valvontatehtävien suorittamiseksi käsiteltävät henkilötiedot poistetaan viimeistään kahdenkymmenen vuoden kuluttua päätöksestä tai sen raukeamisesta, päätöksessä mainitun voimassaoloajan päättymisestä tai henkilötiedon merkitsemisestä. 

9 §. Rekisteri hyväksytyistä sähköisistä attribuuttitodistuksista. Pykälässä säädettäisiin Digi- ja väestötietoviraston velvollisuudesta ylläpitää rekisteriä hyväksytyistä sähköisistä attribuuttitodistuksista ja niistä eurooppalaisista digitaalisen identiteetin lompakoista, joihin hyväksytty sähköinen attribuuttitodistus on otettu käyttöön. Rekisterin tarkoituksena olisi mahdollistaa esitetyssä laissa säädettäväksi ehdotettujen tehtävien hoitaminen, kuten hyväksyttyjen sähköisten attribuuttitodistusten hallinta ja niiden voimassaolon seuranta. Rekisteri ei sisältäisi poliisin tietojärjestelmästä luovutettuja henkilötietoja, vaan lähinnä teknisempiä tunnisteita, kuten hyväksytyn sähköisen attribuuttitodistuksen tunniste ja siihen liittyvän lompakon tunniste sekä tiedot attribuuttitodistuksen myöntäjästä ja haltijasta.  

eIDAS-asetuksen 5 a artiklan 4 kohdan sääntely koskee muun muassa käyttäjän tietojen käytön jäljitettävyyttä käyttäjälle itselleen, käyttäjän pääsyä lompakon kautta suoritettujen transaktioiden lokia, mikä asettaa lompakon tarjoajalle suoria velvoitteita. Näistä ei asetuksen velvoittavuuden vuoksi esitetä säädettävän. 

Hyväksyttyjen sähköisten attribuuttitodistusten ja niitä koskevien rekisterien henkilötietojen käsittelyyn sovellettaisiin EU:n yleistä tietosuoja-asetusta ja sääntelyssä hyödynnettäisiin kansallista liikkumavaraa tietosuoja-asetuksen 6 artiklan 3 ja 4 kohdan mukaisesti. Ehdotettu säännös sitoisi tietojen käsittelyn viranomaiselle lakiehdotuksessa ehdotettujen tehtävien hoitamiseen ja rajaisi tiedot niihin, jotka liittyvät lakiehdotuksessa tarkoitettuihin hyväksyttyihin sähköisiin attribuuttitodistuksiin ja niihin eurooppalaisiin digitaalisen identiteetin lompakoihin, joihin hyväksytty sähköinen attribuuttitodistus on otettu käyttöön. Henkilötietojen käsittely olisikin välttämätöntä Digi- ja väestötietovirastolle ehdotetussa laissa säädettyjen velvoitteiden täyttämiseksi ja perustuisi asetuksen 6 artiklan 1 kohdan c alakohtaan. Rekisterinpitäjän asema määräytyisi yleisen tietosuoja-asetuksen 4 artiklan 7 kohdan mukaisesti. Ehdotetun pykälän mukaan Digi- ja väestötietovirasto toimisi hyväksyttyjen sähköisten attribuuttitodistusten rekisterin rekisterinpitäjänä. Asiasta säätäminen olisi tarpeen, jotta rekisterinpitäjästä ja sen velvoitteista ei jäisi epäselvyyttä. 

Rekisterin ylläpitoa koskeva sääntely täyttäisi yleisen edun mukaisen tavoitteen, koska se on välttämätöntä käyttäjän vahvistettujen tietojen luotettavuuden ja tietoturvan varmistamiseksi. Sääntely olisi myös oikeasuhtaista, sillä rekisteriin ei talleteta poliisin tietojärjestelmästä luovutettuja henkilötietoja, vaan ainoastaan teknisiä tunnisteita ja tietoja attribuuttitodistuksen myöntäjästä ja haltijasta. Rekisterinpitäjänä Digi- ja väestötietovirasto vastaisi kaikesta henkilötietojen käsittelystä yleisen tietosuoja-asetuksen 5 artiklassa säädettyjen periaatteiden mukaisesti, kuten käyttötarkoitussidonnaisuudesta, tietojen minimoinnista ja säilytyksen rajoittamisesta. Rekisteröidyn oikeudet määräytyvät yleisen tietosuoja-asetuksen III luvun mukaisesti, joten esimerkiksi 17 artiklan mukaista oikeutta tietojen poistamiseen ei sovellettaisi, koska tietojen käsittely perustuisi lakisääteiseen velvoitteeseen. Digi- ja väestötietoviraston osalta ei esitetä erityistä säilytysaikoja koskevaa sääntelyä. Säilytysajan määrittäminen perustuisi näin ollen yleisen tietosuoja-asetuksen yleisiin periaatteisiin. Rekisterinpitäjän on tällöin arvioitava säilytysaika suhteessa rekisterin käyttötarkoitukseen ja varmistettava, että tietoja ei säilytetä pidempään kuin on välttämätöntä. Säilytysaikojen hallinta on olennainen osa rekisterinpitäjän velvollisuutta toteuttaa yleisen tietosuoja-asetuksen mukaiset tekniset ja organisatoriset toimenpiteet. 

10 §. Poliisin toimivalta peruuttaa oikeus digitaaliseen henkilöllisyystodistukseen. Pykälässä säädettäisiin poliisin toimivallasta peruuttaa oikeus digitaaliseen henkilöllisyystodistukseen tietyissä tilanteissa. Sen 1 momentissa määriteltäisiin peruuttamisen perusteet, joiden mukaan poliisi peruuttaisi myönnetyn oikeuden digitaaliseen henkilöllisyystodistukseen, jos sitä käyttää joku muu kuin sen saanut henkilö tai jos sen käytön turvallisuus on vakavasti vaarantunut. Käytön turvallisuuden vakava vaarantuminen olisi kyseessä esimerkiksi identiteettivarkauden, teknisen haavoittuvuuden tai muun väärinkäytöksen ilmetessä. Säännös olisi keskeinen digitaalisen henkilöllisyystodistuksen luotettavuuden varmistamiseksi. Oikeuden peruuttaminen koskisi sitä digitaalisen henkilöllisyystodistuksen perusteena olevaa asiakirjaa, jolla olisi tehty ehdotetussa 5 §:n 2 momentissa tarkoitettu etälukeminen. Pykälässä ei säädettäisi poliisin tietoteknisistä ratkaisuista esimerkiksi rekisterimerkintöjen osalta. Pykälässä tarkoitetun peruuttamisen voisi käytännössä merkitä poliisin tietojärjestelmään siten, että kyseessä oleva passi tai henkilökortti ei enää olisi kelvollinen digitaalisen henkilöllisyystodistuksen perusteena olevaksi asiakirjaksi.  

Poliisin tulisi ehdotetun 2 momentin mukaan antaa tieto oikeuden peruuttamisesta Digi- ja väestötietovirastolle viivytyksettä.  

Poliisin olisi myös annettava oikeuden digitaaliseen henkilöllisyystodistukseen peruuttamisesta hallintopäätös hallintolain menettelysäännösten mukaisesti. Tämä olisi keskeistä käyttäjän oikeusturvan näkökulmasta, sillä ehdotetun 11 §:n 3 momentin mukaan Digi- ja väestötietovirasto peruisi hyväksytyn sähköisen attribuuttitodistuksen, jos poliisi on peruuttanut 10 §:n 1 momentin nojalla oikeuden digitaaliseen henkilöllisyystodistukseen. Koska Digi- ja väestötietoviraston toimivalta peruuttaa attribuuttitodistus johtuisi suoraan poliisin tämän säännöksen nojalla tekemästä peruuttamistoimesta, ehdotetaan 13 §:n 3 momentissa säädettävän poikkeuksesta hallintolain menettelysäännöksiin siten, että Digi- ja väestötietoviraston tällaisesta peruuttamistoimenpiteestä ei annettaisi hallintopäätöstä. 

Ehdotetussa 3 momentissa säädettäisiin, että peruutettua oikeutta digitaaliseen henkilöllisyystodistukseen ei voisi saattaa uudelleen voimaan. Tämä korostaisi peruuttamispäätöksen lopullisuutta ja estäisi riskialttiin todistuksen uudelleenkäytön. Peruuttamisen jälkeen oikeus digitaaliseen henkilöllisyystodistukseen syntyisi, kun henkilölle luovutetaan uusi vastaava digitaalisen henkilöllisyystodistuksen perusteena oleva asiakirja. Peruuttaminen olisi asiakirjakohtainen, eikä oikeuden peruuttaminen voimassa olevan passin perusteella vaikuttaisi saman henkilön oikeuteen henkilökortin perusteella tai toisin päin.  

11 §. Hyväksytyn sähköisen attribuuttitodistuksen peruuttaminen. Pykälässä säädettäisiin Digi- ja väestötietoviraston toimivallasta peruuttaa hyväksytty sähköinen attribuuttitodistus eri tilanteissa.  

Hyväksytyn sähköisen attribuuttitodistuksen peruuttamisesta säädetään Euroopan komission täytäntöönpanoasetuksen (EU) 2025/1569 4 artiklassa, jonka säännökset ovat suoraan sovellettavaa oikeutta. Täytäntöönpanoasetuksen 3 artiklan c alakohta jättää kuitenkin asiassa kansallista liikkumavaraa. Pykäläehdotuksen tavoite olisikin täydentää täytäntöönpanoasetuksen sääntelyä kansallisesti. Täytäntöönpanoasetuksen 4 Artiklan 3 kohdan alakohdan a) mukaan hyväksytty sähköinen attribuuttitodistus on peruutettava, kun se on myönnetty yli 24 tunnin voimassaoloajaksi sen henkilön nimenomaisesta pyynnöstä, jolle sähköinen attribuuttitodistus on myönnetty. Alakohdan b) mukaan attribuuttitodistus tulee peruuttaa, kun tarjoaja on saanut tietoonsa, että hyväksyttyjen sähköisten attribuuttitodistusten turvallisuus tai luotettavuus on vaarantunut. Alakohdan c) mukaan peruuttaminen voi lisäksi tulla kyseeseen muissa tilanteissa, joissa sitä edellytetään unionin tai kansallisessa lainsäädännössä tai jotka tarjoajat ovat määrittäneet artiklan 1 kohdassa tarkoitetuissa toimintaperiaatteissaan. 

Ehdotetussa 1 momentissa säädettäisiin, että Digi- ja väestötietovirasto peruuttaisi hyväksytyn sähköisen attribuuttitodistuksen, jos sitä käyttää joku muu kuin sen käyttöön ottanut henkilö. 

Pykälän 2 momentissa säädettäisiin, että Digi- ja väestötietovirasto peruuttaa todistuksen, jos poliisi on peruuttanut oikeuden digitaaliseen henkilöllisyystodistukseen. Säännöksellä varmistettaisiin, että vahvistettuja tietoja ei hyödynnettäisi oikeudettomasti. 

Ehdotetussa 3 momentissa säädettäisiin, että Digi- ja väestötietovirasto peruuttaa todistuksen, jos siinä on ilmeinen virheellisyys. Säännös mahdollistaisi teknisten tai viranomaisen toiminnasta johtuvien muiden virheiden korjaamisen ilman erillistä käyttäjän pyyntöä. Digi- ja väestötietoviraston tulisi tarjota käyttäjälle viipymättä uusi hyväksytty sähköinen attribuuttitodistus ehdotetun momentin nojalla tehtävän peruutuksen jälkeen. 

Pykälän 4 momentissa säädettäisiin, että kerran peruutettua hyväksyttyä sähköistä attribuuttitodistusta ei voisi saattaa uudelleen voimaan. Säännös estäisi riskialttiiksi arvioidun attribuuttitodistuksen uudelleenkäytön, mutta ei uuden attribuuttitodistuksen tarjoamista sen perusteena olevan asiakirjan voimassa ollessa ja muiden edellytysten täyttyessä. 

12 §. Raukeaminen. Pykälän 1 momentissa säädettäisiin tilanteista, joissa digitaalinen henkilöllisyystodistus ja siihen liittyvät hyväksytyt sähköiset attribuuttitodistukset raukeavat automaattisesti ilman erillistä päätöstä. Raukeaminen olisi tekninen seuraus, joka ei edellyttäisi viranomaisen aktiivista toimenpidettä, vaan tapahtuisi suoraan lain nojalla.  

Raukeamisen perusteet olisivat: 

Uuden digitaalisen henkilöllisyystodistuksen perusteena olevan asiakirjan luovuttaminen, kun kyse on digitaalisen henkilöllisyystodistuksen voimassaolon määrittävästä asiakirjasta. Näin olisi silloin, jos henkilölle myönnetään uusi ehdotetussa 5 §:n 2 momentissa tarkoitetulla tavalla etäluettu asiakirja. Ehdotettu säännös seuraisi passi- ja henkilökorttilakien voimassa olevaa sääntelyä, jonka mukaan aiemman passin ja henkilökortin voimassaolo päättyy, kun hakijalle luovutetaan uusi asiakirja. Kun henkilölle myönnetään uusi digitaalisen henkilöllisyystodistuksen perusteena oleva asiakirja, tätä edeltävän asiakirjan perusteella tarjottu hyväksytty sähköinen attribuuttitodistus raukeaisi automaattisesti. Tämä estäisi useiden samanaikaisten eri henkilöllisyysasiakirjaan perustuvien todistusten käytön ja varmistaisi tietojen ajantasaisuuden. 

Perusteena olevan asiakirjan peruuttaminen. Jos digitaalisen henkilöllisyystodistuksen taustalla oleva passi tai henkilökortti peruutetaan muusta kuin 6 §:n 2 momentissa tarkoitetusta syystä, myös digitaalinen todistus raukeaa. Säännös on tarpeen fyysisen asiakirjan ja sen digitaalisen ilmentymän välisen välittömän suhteen varmistamiseksi. 

Tietojen ristiriita. Jos digitaalisen henkilöllisyystodistuksen ja eurooppalaisen digitaalisen identiteetin lompakon henkilötiedot eivät vastaa toisiaan, todistus raukeaisi. Säännös estäisi virheellisten tai vanhentuneiden tietojen käytön. 

Lompakon poistaminen käytöstä. Jos käyttäjä peruuttaa eurooppalaisen digitaalisen identiteetin lompakon voimassaolon, lompakkoon liittyvä digitaalinen henkilöllisyystodistus raukeaisi. Säännöksellä tuettaisiin käyttäjän oikeutta hallita omaa identiteettiään ja estäisi passiivisten todistusten jäämisen voimaan. 

Ehdotetun 2 momentin mukaan Digi- ja väestötietoviraston olisi annettava käyttäjälle tieto hyväksytyn sähköisen attribuuttitodistuksen raukeamisesta viiveettä. Tietoa ei kuitenkaan tarvitsisi antaa, kun käyttäjä poistaa käytöstä eurooppalaisen digitaalisen identiteetin lompakon. 

Raukeaminen ei estäisi uuden hyväksytyn sähköisen attribuuttitodistuksen myöntämistä, jos pykälässä säädettyä raukeamisen perustetta ei ole. 

13 §.Hallintolain menettelysäännöksistä poikkeaminen. Pykälässä säädettäisiin poikkeuksista hallintolain menettelysäännöksiin digitaalisen henkilöllisyystodistuksen ja siihen liittyvien hyväksyttyjen sähköisten attribuuttitodistusten osalta. Poikkeukset koskisivat tilanteita, joissa ei anneta hallintopäätöstä, valitusosoitusta tai ilmoitusta valituskiellosta.  

Pykälässä säädettäisiin, ettei oikeuden digitaaliseen henkilöllisyystodistukseen myöntämisestä ja hyväksytyn sähköisen attribuuttitodistuksen peruuttamisesta anneta hallintopäätöstä tai valitusosoitusta taikka ilmoitusta valituskiellosta.  

14 §.Valituskielto ja muutoksenhaku. Pykälässä säädettäisiin muutoksenhaun rajoituksista digitaalisen henkilöllisyystodistuksen ja siihen liittyvien hyväksyttyjen sähköisten attribuuttitodistusten osalta. Valitusoikeuden rajaaminen koskisi tilanteita, joissa toimenpiteet ovat teknisiä, automaattisia tai perustuvat suoraan lakiin, eikä niihin liity varsinaista hallintopäätöstä. 

Pykälän 1 momentissa säädettäisiin, että 12 §:ssä tarkoitetuissa tilanteissa, joissa on kyse digitaalisen henkilöllisyystodistuksen ja siihen liittyvien hyväksyttyjen sähköisten attribuuttitodistusten raukeamisesta, ei saisi hakea muutosta valittamalla. Raukeaminen tapahtuisi automaattisesti, eikä siihen liittyisi viranomaisen harkintavaltaa, minkä vuoksi valitusoikeutta ei olisi.  

Ehdotetussa 2 momentissa säädettäisiin, että myöntämisen ja peruuttamisen tapahtuessa 13 §:ssä säädetysti ilman hallintopäätöstä tai valitusosoitusta, ei kyseisissä tilanteissa voida myöskään hakea muutosta valittamalla. Näissä tilanteissa kyse olisi esimerkiksi oikeuden digitaaliseen henkilöllisyystodistukseen myöntämisestä tai attribuuttitodistuksen peruuttamisesta ilman hallintopäätöstä. 

Pykälän 3 momentissa säädettäisiin, että muutoksenhausta hallintotuomioistuimeen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa. Ehdotettu momentti olisi informatiivinen ja osoittaisi osaltaan samalla, että muutoksenhaku on mahdollista, kun kyseessä on hallintoasia, johon liittyy hallintopäätös. 

15 §.Voimaantulo. Lainkohta sisältää voimaantulosäännöksen ja siirtymäsäännöksen. Tarkemmat perustelut lain voimaantulosta ja siirtymäsäännöksestä sisältyvät kappaleeseen 9 (Voimaantulo). 

7.4  Laki digitaalisten palvelujen tarjoamisesta

3 §. Lain soveltamisala.Pykälän 1 momentin 4 kohtaa ehdotetaan muutettavaksi tunnistuslain nimikkeen muuttamisen johdosta. 

6 §. Palvelun käyttäjän sähköinen tunnistaminen. Pykälän 2 momenttia muutettaisiin siten, että nykyisin voimassa olevaan sääntelyyn lisättäisiin julkisen sektorin velvollisuudeksi hyväksyä vahvaksi tunnistustavaksi myös eurooppalainen digitaalisen identiteetin lompakko. Lisäksi muutettaisiin säännöksessä mainittu tunnistuslain nimike ja viittausta muutettaisiin lakiteknisesti, koska pykälässä olisi ehdotettujen muutosten jälkeen enää yksi momentti. 

Sääntely olisi tarpeen muutetun eIDAS-asetuksen 5 f artiklan 1 kohdan velvoitteiden kansalliseksi toteuttamiseksi. Artiklan mukaan, kun jäsenvaltio edellyttää sähköistä tunnistamista ja todentamista julkisen sektorin elimen tarjoaman verkkopalvelun käyttämiseksi, sen on hyväksyttävä myös asetuksen mukaisesti tarjotut eurooppalaiset digitaalisen identiteetin lompakot. Julkisen sektorin olisi siis hyväksyttävä myös lompakko tunnistustavaksi tilanteessa, jossa edellytetään vahvaa sähköistä tunnistamista.  

7.5  Laki hallinnon yhteisistä sähköisen asioinnin tukipalveluista

3 §.Tukipalvelut. Pykälän 1 momentin 4 ja 5 kohtaan tehtäisiin tekninen muutos, joka johtuu tunnistuslain nimikkeen muutoksesta. Lisäksi 4 kohdassa korjattaisiin tunnistuslain säädöskokoelmanumero oikeaksi. 

Pykälän 2 momenttia ehdotetaan muutettavaksi niin, että luonnollisen henkilön tunnistuspalvelu voisi jatkossa tunnistaa julkisen hallinnon sähköisiä palveluja käyttävän luonnollisen henkilön myös eurooppalaista digitaalisen identiteetin lompakkoa käyttäen. Muutetun eIDAS-asetuksen eurooppalaisten digitaalisen identiteetin lompakoiden rajat ylittävää käyttöä koskevan 5 f artiklan 1 kohdan mukaan, kun jäsenvaltio edellyttää sähköistä tunnistamista ja todentamista julkisen sektorin elimen tarjoaman verkkopalvelun käyttämiseksi, sen on hyväksyttävä myös eIDAS-asetuksen mukaisesti tarjotut eurooppalaiset digitaalisen identiteetin lompakot. Siksi on tarkoituksenmukaista tarjota tämäkin tunnistusmenetelmä välitettäväksi keskitetysti viranomaisille luonnollisen henkilön tunnistuspalvelun kautta. Julkisen sektorin asiointipalvelut voisivat siis täyttää mainitun eIDAS-asetuksen velvollisuuden käyttämällä luonnollisen henkilön tunnistuspalvelua, jonka käyttöön useilla julkisen sektorin asiointipalveluilla on velvollisuus.  

7.6  Laki sakon täytäntöönpanosta

1 §.Soveltamisala. Pykälän 1 momenttiin lisättäisiin uusi 64 kohta siten, että ehdotetun eIDAS-lain mukaiset hallinnolliset seuraamusmaksut lisättäisiin lain soveltamisalaan. Kyse olisi eIDAS-lain 42–46 §:n mukaisista luottamuspalveluntarjoajille, ei-hyväksyttyjen luottamuspalvelun tarjoajille, hyväksyttyjen luottamuspalvelun tarjoajille, hyväksyttyjä varmenteita tarjoavan hyväksytyn luottamuspalvelun tarjoajille sekä hyväksyttyjä sähköisiä attribuuttitodistuksia tarjoavan hyväksytyn luottamuspalvelun tarjoajille kohdistuvista seuraamusmaksuista. 

7.7  Laki väestötietojärjestelmästä ja Digi- ja väestötietoviraston varmennepalveluista

2 §.Soveltamisala. Pykälän 2 momentin 2 kohdan viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi.  

28 §. Tietojen luovuttamisen yleiset edellytykset. Pykälän 1 momenttiin lisättäisiin tietosuojalain puuttuva säädösnumero. 

43 §.Tunnuksen luovuttaminen. Pykälän 2 momentin 1 kohtaan tehtäisiin lisäys, jonka mukaan sähköinen asiointitunnus voitaisiin luovuttaa myös, jos sähköistä asiointitunnusta käytettäisiin vastaavasti Digi- ja väestötietoviraston eIDAS-lain nojalla myöntämien luonnollisen henkilön tunnistetietojen käyttöön perustuvan palvelun tai suoritteen tuottamisen yhteydessä luonnollisen henkilön tunnistetietojen haltijan yksilöivänä tunnistetietona. Luonnollisen henkilön tunnistetiedoilla tarkoitetaan eIDAS-asetuksen 3 artiklan 3 kohdan mukaan tietoja, jotka on annettu unionin oikeuden tai kansallisen lainsäädännön mukaisesti, ja jotka mahdollistavat luonnollisen henkilön henkilöllisyyden toteamisen. eIDAS-lain3 §:n mukaan Digi- ja väestötietovirasto myöntäisi tarjoamaansa eurooppalaiseen digitaalisen identiteetin lompakkoon henkilöllisyyden osoittamisen mahdollistavat luonnollisen henkilön tunnistetiedot. Luonnollisen henkilön tunnistetietojen pakollisista ja valinnaisista tunnistetiedoista säädetään eIDAS-asetuksen 5 a artiklan nojalla annetun komission täytäntöönpanoasetuksen (EU) 2024/2977 liitteessä. Kyseisen täytäntöönpanoasetuksen sääntelyn nojalla sähköistä asiointitunnusta voitaisiin käyttää luonnollisen henkilön tunnistetietojen yhtenä tunnistetietona. 

Pykälän 2 momentin2 kohdan viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi. Säännökseen tehtäisiin myös säädöstekninen korjaus. 

62 §. Varmennetussa sähköisessä asioinnissa käytettävien varmenteiden tiedot. Pykälän viittaukset vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittauksiksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutokset johtuvat siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi. 

63 §. Tekninen tunnistetieto ja sähköinen asiointitunnus sekä niiden antaminen. Pykälän 2 momentin sääntelyä ehdotetaan muutettavaksi niin, että 1 kohtaan lisättäisiin Digi- ja väestötietoviraston eIDAS-lain nojalla henkilölle myöntämät luonnollisen henkilön tunnistetiedot. eIDAS-lain lain3 §:n mukaan Digi- ja väestötietovirasto myöntäisi tarjoamaansa eurooppalaiseen digitaalisen identiteetin lompakkoon henkilöllisyyden osoittamisen mahdollistavat luonnollisen henkilön tunnistetiedot. Sähköistä asiointitunnusta voitaisiin käyttää edellä 43 §:n 2 momentissa ehdotetulla tavalla myös luonnollisen henkilön tunnistetietojen haltijan yksilöivänä tunnistetietona. 

66 §.Kansalaisvarmenteen hakeminen ja myöntäminen. Pykälän 2 ja 3 momentin viittaukset vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittauksiksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi. Säännökseen tehtäisiin myös säädöstekninen korjaus. 

67 §.Muun varmenteen hakeminen ja myöntäminen. Pykälän 1 momentin viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi. 

7.8  Laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä

8 §.Asiakastietojen käsittelyyn osallistuvien tunnistaminen. Pykälän 2 momentin viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Lakia koskeva lyhytnimike muutettaisiin tunnistuslaiksi. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi. Säännökseen tehtäisiin myös säädöstekninen korjaus. 

65 §.Sosiaali- ja terveydenhuollon valtakunnalliset tietojärjestelmäpalvelut. Pykälän 3 momentissa käytetään 8 §:ssä mainittua lyhytnimikettä tunnistus- ja luottamuspalvelulaki, joka muutettaisiin muutetun 8 §:n mukaisesti tunnistuslaiksi. Säännöksessä muutettaisiin myös Sosiaali- ja terveysalan lupa- ja valvontavirastoa koskeva maininta Lupa- ja valvontavirastoksi. 

7.9  Laki rahanpesun ja terrorismin rahoittamisen estämisestä

3 luku Asiakkaan tunteminen 

11 §.Etätunnistamiseen liittyvä tehostettu tuntemisvelvollisuus. Pykälän 3 kohdan viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi. Myös säännökseen sisältyvä viittaus eIDAS-asetukseen muutettaisiin niin, että siitä käy ilmi, että asetusta on muutettu. 

7.10  Maakaari

9 a luku Sähköiset asiointijärjestelmät ja niiden käyttäminen 

1 §.Asiointijärjestelmän käyttö ja sähköinen tunnistaminen asiointijärjestelmässä. Pykälän 1 momentin viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi. Myös säännökseen sisältyvä viittaus eIDAS-asetukseen muutettaisiin niin, että siitä käy ilmi, että asetusta on muutettu. 

7.11  Kansalaisaloitelaki

7 §.Sähköisen menettelyn tekniset vaatimukset. Pykälän 1 momentin 1 kohdan viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi.  

7.12  Laki hyvinvointialueilla ja kunnissa toimitettavissa neuvoa-antavissa kansanäänestyksissä noudatettavasta menettelystä

4 §.Kansanäänestysaloitteen tekeminen. Pykälän 3 momentin viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi. 

7.13  Laki sisäasioiden rahastoista ohjelmakaudella 2021–2027

15 §.Avustuksen hakeminen. Pykälän 4 momentin viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi.  

26 §.Sisäasioiden rahaston ohjelman asiointi- ja käsittelyjärjestelmä ja tietojen käsittely. Pykälän 3 momentin viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi. Lisäksi viittausta muutettaisiin lakiteknisesti, koska pykälässä olisi ehdotettujen muutosten jälkeen enää yksi momentti. 

7.14  Henkilökorttilaki

1 a §. Digitaalinen henkilöllisyystodistus. Lakiin ehdotetaan lisättävän uusi pykälä, jonka mukaan lain 2 §:n 1 momentissa, 14 ja 15 a §:ssä sekä 17 §:n 3 momentissa tai 14 §:ssä tarkoitettuun henkilökorttiin sisältyy oikeus saada käyttöön 3. lakiehdotuksessa tarkoitettu digitaalinen henkilöllisyystodistus. Säännöksellä toteutettaisiin yksiselitteisesti 3. lakiehdotuksen 2 §:n 1 momentin 9 kohdassa tarkoitetun digitaalisen henkilöllisyyden perusteena olevan asiakirjan oikeudellinen asema ehdotetussa pykälässä mainittujen henkilökorttien osalta.  

11 §.Hakijan tunnistaminen ja henkilöllisyyden todentaminen. Pykälän 4 momentin viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi. 

7.15  Puoluelaki

3 §.Rekisteröintihakemus. Pykälän 1 momentin viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi. 

7.16  Laki alueiden kehittämisen ja Euroopan unionin alue- ja rakennepolitiikan hankkeiden rahoittamisesta

52 §.Vahva sähköinen tunnistaminen Euroopan unionin alue- ja rakennepolitiikan ohjelman tietojärjestelmää käytettäessä. Pykälän viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi.  

7.17  Passilaki

3 d §. Digitaalinen henkilöllisyystodistus.Lakiin ehdotetaan lisättävän uusi pykälä, jonka mukaan lain 3, 3 c tai ja 4 §:ssä tarkoitettuun passiin sisältyy oikeus saada käyttöön digitaalisesta henkilöllisyystodistuksesta annetussa laissa tarkoitettu digitaalinen henkilöllisyystodistus. Säännöksellä toteutettaisiin yksiselitteisesti 3. lakiehdotuksen 2 §:n 1 momentin 9 kohdassa tarkoitetun digitaalisen henkilöllisyyden perusteena olevan asiakirjan oikeudellinen asema ehdotetussa pykälässä mainittujen passien osalta.  

6 §.Passin hakeminen. Pykälän 4 momentin viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi.  

7.18  Laki maaseudun kehittämisen tukemisesta rahoituskaudella 2023–2027

31 §.Tuen hakeminen. Pykälän 1 momentin viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi. Säännökseen tehtäisiin myös säädöstekninen korjaus. 

7.19  Laki tiettyjen Euroopan unionin ja kansallisten maatalouden tukien toimeenpanosta

12 §.Tuen hakeminen. Pykälän 1 momentin viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi. Säännökseen tehtäisiin myös säädöstekninen korjaus. 

7.20  Laki Euroopan unionin yhteisen kalastuspolitiikan kansallisesta täytäntöönpanosta

32 §.Haltijan oikeus käyttää kalastuskiintiörekisterin tietoja. Pykälän 2 momentin viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi. Lisäksi viittausta muutettaisiin lakiteknisesti, koska pykälässä olisi ehdotettujen muutosten jälkeen enää yksi momentti. 

7.21  Laki henkilötietojen käsittelystä poliisitoimessa

41 §.Rekisteröidyn tarkastusoikeuden toteuttaminen. Pykälän 2 momentin viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi. Suomenkieliseen säännökseen tehtäisiin myös säädöstekninen korjaus. 

7.22  Laki henkilötietojen käsittelystä Tullissa

35 §.Rekisteröidyn tarkastusoikeuden toteuttaminen. Pykälän 2 momentin viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi. Säännökseen tehtäisiin myös säädöstekninen korjaus. 

7.23  Laki maatalouden rakennetuista

29 §.Tuen hakeminen. Pykälän 1 momentin viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin ja samalla tehdään teknisen virheen korjaus lakiin viittaamisessa. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi. Säännökseen tehtäisiin myös säädöstekninen korjaus. 

7.24  Laki henkilötietojen käsittelystä Rajavartiolaitoksessa

50 §.Rekisteröidyn tarkastusoikeuden toteuttaminen. Pykälän 2 momentin viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi. 

7.25  Laki maataloustuotteiden markkinajärjestelystä

70 a §.Sähköinen haku. Pykälän 1 momentin viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin ja samalla tehdään teknisen virheen korjaus lakiin viittaamisessa. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi. Säännökseen tehtäisiin myös säädöstekninen korjaus. 

7.26  Kuluttajansuojalaki

6 luku Kotimyynti ja etämyynti 

12 c §.Kuluttajan henkilöllisyyden todentaminen ja todentamista koskevien tietojen säilyttäminen eräissä tapauksissa. Pykälän 1 momentin viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi.  

7 luku Kuluttajaluotot 

15 §.Luotonhakijan henkilöllisyyden todentaminen. Pykälän 1 momentin viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi. 

7 a luku Asunto-omaisuuteen liittyvät kuluttajaluotot 

33 §.Valvontaviranomaiset. Pykälän 2 momentin viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi. Säännöksessä korjattaisiin myös Liikenne- ja Viestintäviraston nimi. 

10 luku Aikaosuudet ja pitkäkestoiset lomatuotteet 

6 §.Sopimuksen muoto ja kieli. Pykälän 1 momenttia ehdotetaan muutettavan. Voimassa olevan momentin viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annettuun lakiin korvattaisiin viittauksella eIDAS-asetukseen. Momentissa oleva nykyinen viittaus on vanhentunut, ja sähköisistä allekirjoituksista säädetään eIDAS-asetuksessa. 

Momenttiin lisättäisiin myös informatiivinen viittaus kuluttajansuojalain 7 a lukuun, jossa säädetään asunto-omaisuuteen liittyvistä kuluttajaluotoista.  

7.27  Laki porotalouden ja luontaiselinkeinojen rakennetuista

48 §.Tuen hakeminen. Pykälän 1 momentin viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi. Säännökseen tehtäisiin myös säädöstekninen korjaus. 

7.28  Ampuma-aselaki

119 a §.Sähköinen asiointi. Pykälän viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi. 

7.29  Ajoneuvolaki

84 §.Rekisteri-ilmoituksen tekeminen. Pykälän 3 momentin viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi. 

7.30  Kilpailulaki

39 §.Tietojenvaihto viranomaisten välillä. Pykälän 1 momentin 9 kohdan viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin muutettaisiin viittaukseksi vahvasta sähköisestä tunnistamisesta annettuun lakiin. Muutos johtuu siitä, että 2. lakiehdotuksessa ehdotetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain nimeä muutettavaksi. Lisäksi viittaus kumottuun laajakaistarakentamisen tuesta haja-asustusalueilla annettuun lakiin (1186/2009) muutettaisiin viittaukseksi kiinteän laajakaistan rakentamisen tuesta annettuun lakiin (1262/2020). 

12.1  Johdanto

Hallituksen esityksen lakiehdotuksilla on merkitystä perustuslain 6 §:n, 8 §:n, 10 §:n, 15 §:n, 18 §:n, 21 §:n, 80 §:n, 81 §:n sekä 124 §:n kannalta. 

12.2  Yhdenvertaisuus

Hallituksen esityksen 1. lakiehdotuksella on vaikutuksia perustuslaissa turvatun yhdenvertaisuuden näkökulmasta. Perustuslain 6 §:n 1 momentin mukaan ihmiset ovat yhdenvertaisia lain edessä. Säännös ilmaisee paitsi vaatimuksen oikeudellisesta yhdenvertaisuudesta myös ajatuksen tosiasiallisesta tasa-arvosta. Siihen sisältyy mielivallan kielto ja vaatimus samanlaisesta kohtelusta samanlaisissa tapauksissa. Yleistä yhdenvertaisuussäännöstä täydentää perustuslain 6 §:n 2 momentin sisältämä syrjintäkielto, jonka mukaan ketään ei saa ilman hyväksyttävää perustetta asettaa eri asemaan sukupuolen, iän, alkuperän, kielen, uskonnon, vakaumuksen, mielipiteen, terveydentilan, vammaisuuden tai muun henkilöön liittyvän syyn perusteella. Tällainen muu syy voi olla esimerkiksi asuinpaikka (ks. HE 309/1993 vp, s. 42–44; ks. esim. PeVL 15/2018 vp, s. 6–7, PeVL 26/2017 vp, s. 36–41 ja 44–45 ja PeVL 67/2014 vp, s. 3). 

Yhdenvertaisuudesta ja syrjinnän kiellosta säädetään tarkemmin yhdenvertaisuuslaissa, jonka 2 luvussa kielletään sekä välitön että välillinen syrjintä. Lain 13 §:n mukaan syrjintä on välillistä, jos näennäisesti yhdenvertainen sääntö, peruste tai käytäntö saattaa jonkun muita epäedullisempaan asemaan henkilöön liittyvän syyn perusteella, paitsi jos säännöllä, perusteella tai käytännöllä on hyväksyttävä tavoite ja tavoitteen saavuttamiseksi käytetyt keinot ovat asianmukaisia ja tarpeellisia. Myös perustuslakivaliokunta on korostanut, että syrjintäkielto koskee myös toimenpiteitä, jotka välillisesti johtavat syrjivään lopputulokseen (PeVL 31/2014 vp, s. 3). 

Syrjintä kielletään nimenomaisesti myös Euroopan ihmisoikeussopimuksessa ja EU:n perus-oikeuskirjassa. Euroopan ihmisoikeussopimuksen 14 artiklan mukaan tässä yleissopimuksessa tunnustetuista oikeuksista ja vapauksista nauttiminen taataan ilman minkäänlaista sukupuoleen, rotuun, ihonväriin, kieleen, uskontoon, poliittisiin tai muihin mielipiteisiin, kansalliseen tai yhteiskunnalliseen alkuperään, kansalliseen vähemmistöön kuulumiseen, varallisuuteen, syntyperään tai muuhun asemaan perustuvaa syrjintää. EU-oikeudessa yhdenvertaisuusperiaate on vahvistettu Euroopan unionin perusoikeuskirjan 20 artiklassa, jonka mukaan kaikki ihmiset ovat yhdenvertaisia lain edessä. Syrjintäkielto sisältyy 21 artiklan 1 kohtaan, jossa kielletään kaikenlainen syrjintä, joka perustuu sukupuoleen, rotuun, ihonväriin tai etniseen taikka yhteiskunnalliseen alkuperään, geneettisiin ominaisuuksiin, kieleen, uskontoon tai vakaumukseen, poliittisiin tai muihin mielipiteisiin, kansalliseen vähemmistöön kuulumiseen, varallisuuteen, syntyperään, vammaisuuteen, ikään tai sukupuoliseen suuntautumiseen tai muuhun sellaiseen seikkaan. Artiklan 2 kohdassa kielletään lisäksi syrjintä kansalaisuuden perusteella. 

Suomi on lisäksi sitoutunut toteuttamaan vammaisyleissopimuksen vaatimukset. Sekä EU että kaikki sen jäsenvaltiot ovat YK:n vammaisyleissopimuksen osapuolia. Yleissopimus velvoittaa sopimuspuolet toteuttamaan asianmukaiset toimet varmistaakseen vammaisille henkilöille muiden kanssa yhdenvertaisen pääsyn muun muassa tieto- ja viestintäteknologiaan ja -järjestelmiin. Yleissopimuksen 12.3 artikla edellyttää tarvittaessa toisen henkilön tuella asioimisen sallimisen. 12.3 artiklan mukaan ”Sopimuspuolet toteuttavat asianmukaiset toimet järjestääkseen vammaisten henkilöiden saataville tuen, jota he mahdollisesti tarvitsevat oikeudellista kelpoisuuttaan käyttäessään”. Oikeudellisen kelpoisuuden käyttämiseen tarkoitetussa tuessa on kunnioitettava vammaisten henkilöiden oikeuksia, tahtoa ja mieltymyksiä esimerkiksi siten, että henkilökohtainen avustaja voi auttaa heitä digitalisessa toimintaympäristössä. 

Yhtenä eurooppalaisen digitaalisen identiteetin lompakon sääntelyn tavoitteena on edistää mahdollisuutta sähköiseen tunnistautumiseen. Vammaisten henkilöiden yhdenvertainen kohtelu lompakon käytössä on nimenomaisesti turvattu muutetun eIDAS-asetuksen 5 a artiklan 21 kohdassa, jonka mukaan eurooppalaisten digitaalisen identiteetin lompakoiden on oltava esteettömästi vammaisten henkilöiden käytettävissä yhdenvertaisesti muiden käyttäjien kanssa esteettömyysdirektiivin mukaisesti.  

Tämän hallituksen esityksen 1. lakiehdotuksen 14 § sisältää säännöksen, jonka mukaan eurooppalaisen digitaalisen identiteetin lompakon käyttäjän on käytettävä sovellusta huolellisesti eikä hän saa luovuttaa sitä toisen käyttöön. Lisäksi ehdotetun 15 §:n 1 momentin 1 kohdan mukaan lompakon käyttäjä vastaa sovelluksen oikeudettomasta käytöstä vain, jos hän on luovuttanut sovelluksen käyttöön toiselle. Perustuslakivaliokunta on pitänyt vastaavaa sääntelyä aiemmin ongelmallisena YK:n vammaisyleissopimuksen sekä perustuslain 6 §:n 2 momentin kannalta (PeVL 83/2022 vp). Perustuslakivaliokunta totesi lausunnossaan, että EU-oikeuden sen mahdollistaessa olisi säännösperusteisesti sallittava vammaisen henkilön avustajan mahdollisuus avustaa vammaista henkilöä tämän pyynnöstä tunnistusvälineen käytössä ja, että laista tulisi selvästi käydä ilmi, ettei kyse ole tässä tapauksessa välineen oikeudettomasta käytöstä eikä luovuttamisesta toisen henkilön käyttöön. Esityksessä ehdotetaan vastaavaa sääntelyä kuin edellä mainitun perustuslakivaliokunnan lausunnon kohteena olleessa esityksessä (HE 133/2022 vp). Sääntelyn valmistelussa on huomioitu EU-oikeuden mahdollistamissa rajoissa perustuslakivaliokunnan lausunnossa (PeVL 89/2022 vp) esitetyt kannanotot.  

Esityksen 1. lakiehdotuksen 14 §:n säännös on ensisijaisesti käyttäjän huolellisuusvelvoitteen ulottuvuutta määrittävä ja eurooppalaisen digitaalisen identiteetin lompakon henkilökohtaista luonnetta alleviivaava säännös. Muutettu eIDAS-asetus ei sääntele käyttäjän velvollisuuksia tai vastuutilanteita, vaan ne kuuluvat kansallisen liikkumavaran piiriin. Ehdotetun 14 §:n säännöskohtaisissa perusteluissa on nimenomaisesti mainittu, että säännös ei rajoita muutetun eIDAS-asetuksen mukaista lähtökohtaa, jonka mukaan lompakon tulee olla esteettömästi vammaisten henkilöiden käytettävissä yhdenvertaisesti muiden käyttäjien kanssa. Käyttäjän vastuuta koskevan sääntelyn tarkoituksena ei siten olisi rajata tai muutoinkaan ottaa kantaa siihen, millaisia esteettömyysdirektiivin mukaisia vaatimuksia lompakon käyttöön voitaisiin tai ei voitaisi soveltaa.  

Lompakon tarjoajan olisi muutetun eIDAS-asetuksen sääntelyn lisäksi otettava huomioon yhdenvertaisuuslain sääntely. Yhdenvertaisuuslain 15 §:n mukaan viranomaisen, koulutuksen järjestäjän, työnantajan sekä tavaroiden tai palvelujen tarjoajan on tehtävä asianmukaiset ja kulloisessakin tilanteessa tarvittavat kohtuulliset mukautukset, jotta vammainen henkilö voi yhdenvertaisesti muiden kanssa käyttää viranomaisen palveluita sekä saada koulutusta, työtä ja yleisesti tarjolla olevia tavaroita ja palveluita samoin kuin suoriutua työtehtävistä ja edetä työuralla. Mukautusten kohtuullisuutta arvioitaessa otetaan ensisijaisesti huomioon vammaisen ihmisen tarpeet ja lisäksi toimijan koko, taloudellinen asema, toiminnan luonne ja laajuus sekä mukautusten arvioidut kustannukset ja mukautuksia varten saatavissa oleva tuki. Käyttäjien tarpeiden mukaisesti mahdollisia mukauttamismuotoja voisivat olla esimerkiksi pistekirjoitettujen asiakirjojen toimittaminen, tunnuslukujen tarjoaminen sähköisessä muodossa, sormenjälkitunnistautuminen tai henkilökohtaisen avustajan käytön salliminen. Lompakon tarjoajan olisi kuitenkin arvioitava, mitkä mukauttamismuodot olisivat mahdollisia eurooppalaisen digitaalisen identiteetin lompakon osalta, ottaen huomioon lompakkoa koskevat EU-oikeuden vaatimukset, jotta vammaisten henkilöiden yhdenvertaiset oikeudet voivat toteutua.  

Ehdotetun 14 §:n säännöskohtaisissa perusteluissa todetaan, että jos lompakon tarjoaja on tehnyt tarjoamansa eurooppalaisen digitaalisen identiteetin lompakon yhdenvertaisen käytön mahdollistavia mukautuksia ja mahdollistanut esimerkiksi henkilökohtaisen avustajan käytön, olisi nämä mukautukset otettava huomioon, kun arvioidaan, onko käyttäjä luovuttanut lompakon toisen käyttöön. Esimerkiksi kyse ei lähtökohtaisesti olisi lompakon luovuttamisesta toisen käyttöön silloin, jos lompakon tarjoaja on kohtuullisena mukautuksena mahdollistanut henkilökohtaisen avustajan käytön. Samoin ehdotetun 15 §:n säännöskohtaisissa perusteluissa on todettu, että arvioitaessa lompakon käyttäjän vastuuta lompakon oikeudettomasta käytöstä niissä tilanteissa, joissa henkilö on itse antanut lompakon toisen käyttöön, tulisi ottaa huomioon, jos lompakon tarjoaja on tehnyt tarjoamansa eurooppalaisen digitaalisen identiteetin lompakon yhdenvertaisen käytön mahdollistavia mukautuksia ja mahdollistanut esimerkiksi henkilökohtaisen avustajan käytön. Säännöskohtaisista perusteluista kävisi siten perustuslakivaliokunnan edellyttämällä tavalla selkeästi ilmi, ettei kyse lähtökohtaisesti olisi välineen oikeudettomasta käytöstä eikä luovuttamisesta toisen henkilön käyttöön, kun lompakon tarjoaja on mahdollistanut henkilökohtaisen avustajan käytön. 

Esityksen valmistelussa ei kuitenkaan ole nähty EU-oikeuden näkökulmasta mahdolliseksi säätää perustuslakivaliokunnan lausunnossa esitetyllä tavalla lain tasolla nimenomaisesti siitä, että henkilökohtaisen avustajan käyttö olisi aina mahdollista eurooppalaisen digitaalisen identiteetin lompakon käyttämiseksi. Muutetussa eIDAS-asetuksessa ja sitä täydentävissä Euroopan komission täytäntöönpanoasetuksissa säädetään kaikille EU:ssa tarjottaville lompakoille yhteisistä vaatimuksista. Sähköisen tunnistamisen varmuustasoasetuksen kohdassa 2.2 säädetään sähköisen tunnistamisen menetelmän hallinnan vaatimuksista. Sen mukaan korotetulla varmuustasolla sähköisen tunnistamisen menetelmä tulee olla suunniteltu siten, että sitä voidaan olettaa käytettävän vain, jos se on sen henkilön hallinnassa tai hallussa, jolle se kuuluu. Tätä vaatimusta sovelletaan myös korkealla varmuustasolla, jonka vaatimuksia eurooppalaisen digitaalisen identiteetin lompakon tarjoamisessa tulee noudattaa. Jäsenvaltioilla ei ole kansallista liikkumavaraa säätää näistä vaatimuksista tarkemmin.  

Henkilökohtaista avustajaa käytettäessä on todennäköistä, että eurooppalaisen digitaalisen identiteetin lompakon käyttöön liittyviä salasanoja tai muita todentamistekijöitä joudutaan luovuttamaan avustajalle. Käytännössä tämä voi johtaa tilanteeseen, jossa lompakko ei olisi enää sähköisen tunnistamisen varmuustasoasetuksen tarkoittamalla tavalla henkilön hallinnassa tai hallussa, sillä henkilökohtaiselle avustajalle luovutetut salasanat tai muut tunnistetiedot mahdollistavat lompakon käyttämisen itsenäisesti ilman sen varsinaisen käyttäjän myötävaikutusta. Henkilökohtaisen avustajan käyttöä koskevassa sääntelyssä ei siten olisi enää kyse lompakon käyttöön liittyvän käyttäjän vastuun sääntelemisestä, josta on kyse 1. lakiehdotuksen 14 ja 15 §:issä. Esityksen valmistelussa on arvioitu, että nimenomainen kansallinen säännös siitä, että henkilökohtainen avustaja voisi lähtökohtaisesti aina auttaa vammaista henkilöä käyttämään eurooppalaista digitaalisen identiteetin lompakkoa olisi ennemmin lompakon hallintaa tai hallussa olemista tarkentavaa sääntelyä ja siten lähtökohtaisesti sellaista päällekkäistä sääntelyä sähköisen tunnistamisen varmuustasoasetuksen 2.2 kohdan kanssa, johon jäsenvaltioilla ei ole kansallista liikkumavaraa. Perustuslakivaliokunta on lausuntokäytännössään todennut olevan selvää, että Euroopan unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan unionin lainsäädäntö on ensisijaista suhteessa kansallisiin säännöksiin oikeuskäytännössä määriteltyjen edellytysten mukaisesti (ks. esim. PeVL 14/2018 vp, s. 13 ja PeVL 20/2017 vp, s. 6), eikä suomalaisessa lainsäädännössä tule pyrkiä EU-oikeuden kanssa ristiriidassa oleviin ratkaisuihin (PeVL 15/2018 vp, s. 49, PeVL 14/2018 vp, s. 13, PeVL 26/2017 vp, s. 42).  

Vammaisten henkilöiden yhdenvertaiset mahdollisuudet käyttää eurooppalaista digitaalisen identiteetin lompakkoa olisi henkilökohtaisen avustajan käyttämisen mahdollistavan nimenomaisen säännöksen puuttumisesta huolimatta asianmukaisesti ja säännösperusteisesti turvattu muutetun eIDAS-asetuksen 5 a artiklan 21 kohdassa. Muutetun eIDAS-asetuksen ja sitä täydentävän sääntelyn vaatimusten täyttäminen on edellytys sille, että lompakko voidaan sertifioida eIDAS-asetuksen edellyttämällä tavalla ja tarjota käyttöön jäsenvaltiossa. Lompakon tarjoajan olisi lisäksi otettava huomioon yhdenvertaisuuslain 15 §:n mukainen sääntely kohtuullisista mukautuksista. Lompakon tarjoajan olisi kuitenkin arvioitava, mitkä mukauttamismuodot olisivat mahdollisia EU-oikeuden asettamissa rajoissa. Ottaen huomioon edellä kuvattu EU-oikeus ja 1. lakiehdotuksen säännöskohtaiset perustelut voidaan arvioida, että ehdotettu lainsäädäntö olisi perustuslaissa säädetyn yhdenvertaisuuden ja vammaisyleissopimuksen mukainen.  

12.3  Henkilötietojen suoja

Ehdotuksen 1. lakiehdotuksen sääntely on merkityksellisiä perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Perustuslain 10 §:n 1 momentin mukaan henkilötietojen suojasta on säädettävä tarkemmin lailla. Perustuslakivaliokunta on pitänyt aiemmin henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa (PeVL 25/1998 vp). Näiden seikkojen sääntelyn lain tasolla on tullut lisäksi olla kattavaa ja yksityiskohtaista.  

Perustuslain 10 §:n mukaista suojaa täydentävät ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn yleissopimuksen (jäljempänä Euroopan ihmisoikeussopimus) 8 artiklan mukainen yksityiselämän suoja sekä EU:n perusoikeuskirjan 7 artiklassa turvattu yksityiselämän suoja ja 8 artiklassa turvattu henkilötietojen suoja. Perusoikeuskirjan 52 artiklan 1 kohdan mukaan perusoikeuskirjassa tunnustettujen oikeuksien ja vapauksien käyttämistä voidaan rajoittaa ainoastaan lailla sekä kyseisten oikeuksien ja vapauksien keskeistä sisältöä kunnioittaen. Suhteellisuusperiaatteen mukaisesti rajoituksia voidaan säätää ainoastaan, jos ne ovat välttämättömiä ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia. Perusoikeuskirjan 52 artiklan 3 kohdan mukaan, siltä osin kuin perusoikeuskirjan oikeudet vastaavat Euroopan ihmisoikeussopimuksessa taattuja oikeuksia, niiden merkitys ja ulottuvuus ovat samat. EU:n tuomioistuimen antamat tuomiot määrittävät näiltä osin yksityiselämän ja henkilötietojen suojan keskeistä sisältöä. Samoin Euroopan ihmisoikeussopimuksen 8 artiklan on Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä katsottu kattavan myös henkilötietojen suojan. 

12.4  Oikeusturva

Esitykseen sisältyy ehdotuksia, jotka koskevat hallintolain menettelysäännöksistä poikkeamista sekä valituskieltoa. Ehdotetun eIDAS-lain 50 §:n mukaan lain 3 ja 5 §:ssä tarkoitetusta luonnollisen henkilön ja oikeushenkilön tunnistetietojen myöntämisestä tai peruuttamisesta hakemuksen mukaisesti ei annettaisi hallintopäätöstä tai oikaisuvaatimusohjetta taikka ilmoitusta valituskiellosta. Sama koskisi luottamuspalvelun tarjoamista eurooppalaiseen digitaalisen identiteetin lompakkoon, tarjoamisen keskeyttämistä ja lopettamisesta palvelun vastaanottajan hakemuksen mukaisesti. Ehdotetun digitaalista henkilöllisyystodistusta koskevan lain 13 §:n mukaan digitaalisen henkilöllisyystodistuksen myöntämisestä ja lain 11 §:n 2 momentin nojalla tehdystä hyväksytyn sähköisen attribuuttitodistuksen peruuttamisesta ei annettaisi hallintopäätöstä tai valitusosoitusta taikka ilmoitusta valituskiellosta. Edellä mainittuihin ratkaisuihin ei myöskään saisi hakea muutosta tai vaatia oikaisua.  

Perustuslain 21 §:n mukaan jokaisella on oikeus saada asiansa käsitellyksi asianmukaisesti ja ilman aiheetonta viivytystä lain mukaan toimivaltaisessa tuomioistuimessa tai muussa viranomaisessa sekä oikeus saada oikeuksiaan ja velvollisuuksiaan koskeva päätös tuomioistuimen tai muun riippumattoman lainkäyttöelimen käsiteltäväksi. Käsittelyn julkisuus sekä oikeus tulla kuulluksi, saada perusteltu päätös ja hakea muutosta samoin kuin muut oikeudenmukaisen oikeudenkäynnin ja hyvän hallinnon takeet turvataan lailla. 

Luottamuspalvelun tarjoamisessa ei ole katsottu olevan kyse julkisesta hallintotehtävästä vaan sellaisen palvelun tarjoamisesta, jota myös muu kuin viranomainen voi tarjota ilman että siitä laissa erikseen säädetään perustuslain 124 §:ssä edellytetyllä tavalla. Perustuslakivaliokunta on aiemmin katsonut (luottamuspalveluihin kuuluvan) laatuvarmenteiden tarjoamisen rinnastuvan viranomaisen myöntämään henkilötodistukseen, koska oikeustoimen edellytykseksi laissa säädetty allekirjoitus voidaan tehdä laatuvarmenteeseen perustuvaa sähköistä allekirjoitusta käyttämällä (PeVL 2/2002 vp, s. 2–3). Sittemmin perustuslakivaliokunta on tunnistuslakia koskevaa hallituksen esitystä arvioidessaan todennut, että lakiehdotuksessa tarkoitettujen liiketaloudellisten palvelujen luonne on valiokunnan mielestä siinä määrin etääntynyt julkiseen hallintotehtävään liitettävistä ominaispiirteistä, että toimintaa ei enää nykyisin ole pidettävä julkisena hallintotehtävänä, vaikka vahvan sähköisen tunnistamisen välineillä ja varmennetoiminnalla sinänsä onkin merkitystä erilaisissa oikeustoimissa osapuolten aseman kannalta (PeVL 16/2009 vp, s. 2–3). 

Perustuslain 21 §:n säännös ei estä säätämästä lailla vähäisiä poikkeuksia oikeudenmukaisen oikeudenkäynnin takeisiin, kunhan tällaiset poikkeukset eivät muuta oikeusturvatakeiden asemaa pääsääntönä eivätkä vaaranna yksilön oikeutta oikeudenmukaiseen oikeudenkäyntiin (esim. HE 309/1993 vp, s. 74 PeVL 68/2014 vp, s. 2–3 ja PeVL 59/2014 vp, s. 2).  

Esityksessä hallintolain mukaisen päätöksen antamista koskevat poikkeukset ja valituskiellot kohdistuisivat tilanteisiin, joissa viranomainen suorittaa hallinnon asiakkaan pyytämän toimen tämän pyynnön mukaisesti. Digitaalisen henkilöllisyystodistuksen osalta kyse olisi siitä, että oikeus todistukseen syntyisi esityksen mukaan lain nojalla ilman hallinto- tai muuta päätöstä, kun digitaalisen henkilöllisyystodistuksen perusteena oleva asiakirja myönnetään. Toimien voidaan jossain määrin nähdä muistuttavan tosiasiallisia hallintotoimia, koska kaikkia näistä toimista ei pidetä julkisena hallintotehtävänä. Jos toimi jostain syystä ei olisikaan hallinnon asiakkaan tahdon mukainen, hänellä olisi mahdollisuus pyytää toimen peruuttamista, esimerkiksi pyytää tunnistetietojen tai luottamuspalvelun peruuttamista tai lopettaa koko eurooppalaisen digitaalisen identiteetin lompakon käyttö. Niissä tilanteissa, joissa viranomainen ei syystä tai toisesta pystyisi toimimaan hallinnon asiakkaan tahdon mukaisesti, annettaisiin hallintopäätös, johon saisi myös hakea muutosta joko valittamalla tai vaatimalla oikaisua. Ehdotetun sääntelyn ei siten voida katsoa vaarantavan yksilön oikeusturvaa.  

Esityksen 3. lakiehdotuksen 11 §:n mukaan Digi- ja väestötietovirasto ei antaisi hallintopäätöstä, valitusosoitusta tai ilmoitusta valituskiellosta peruuttaessaan digitaalisen henkilöllisyystodistuksen hyväksytyn sähköisen attribuuttitodistuksen pykälän 2 momentin tilanteissa. Näissä tilanteissa poliisi olisi peruuttanut 10 §:n 1 momentin nojalla oikeuden digitaaliseen henkilöllisyystodistukseen. Sääntelyllä olisi tarkoitus selkiyttää ja yksinkertaistaa käyttäjän oikeusturvakeinoja niin, että ne kohdistuvat taustalla olevaan viranomaisen hallintopäätökseen, eivät siitä johtuvaan tekniseen attribuuttitodistuksen peruuttamiseen.  

Näistä syistä arvioidaan, että päätökselle tai muutoksenhakumahdollisuudelle ei esitetyissä tilanteissa ole tarvetta oikeusturvan kannalta. Ehdotetun sääntelyn ei voida katsoa olevan ristiriidassa perustuslain 21 §:ssä säädetyn kanssa.  

12.5  Seuraamussääntely

12.6  Hallintotehtävän antaminen muulle kuin viranomaiselle

Hallituksen esitykseen sisältyvää 1. ja 2. lakiehdotusta on niiden sisältämien vaatimustenmukaisuuden arviointia ja sertifiointia suorittavia tahoja sekä vaatimustenmukaisuuden arviointilaitoksen alihankintaa koskevien säännösten vuoksi arvioitava perustuslain 124 §:n näkökulmasta. Lisäksi ehdotetaan säädettäväksi Liikenne- ja viestintäviraston mahdollisuudesta antaa eurooppalaisen digitaalisen identiteetin lompakon kansallisen sertifiointijärjestelmän omistajan tehtäviin sekä vaatimustenmukaisuuden arviointilaitoksen nimeämiseen liittyvän avustavan tehtävän hoitaminen alihankkijalle, jolla on siihen riittävät tekniset edellytykset sekä riittävä osaaminen ja joka täyttää eIDAS-asetuksessa ja sen nojalla annetuissa säännöksissä säädetyt sekä ehdotetussa eIDAS-laissa säädetyt ja sen nojalla annetuissa määräyksissä määrätyt tehtävää koskevat vaatimukset.  

Perustuslain 124 §:n mukaan julkinen hallintotehtävä voidaan antaa muulle kuin viranomaiselle vain lailla tai lain nojalla, jos se on tarpeen tehtävän tarkoituksenmukaiseksi hoitamiseksi eikä se vaaranna perusoikeuksia, oikeusturvaa tai muita hyvän hallinnon vaatimuksia. Merkittävää julkisen vallan käyttöä sisältäviä tehtäviä voidaan kuitenkin antaa vain viranomaiselle. 

Julkisen hallintotehtävän antamisen yksityiselle tulee täyttää tarkoituksenmukaisuusvaatimus, joka on oikeudellinen edellytys, jonka täyttymistä tulee arvioida tapauskohtaisesti kunkin viranomaisorganisaation ulkopuolelle annettavaksi ehdotetun julkisen hallintotehtävän kohdalla erikseen. Tarkoituksenmukaisuusarvioinnissa tulee perustuslain esitöiden mukaan kiinnittää huomiota hallinnon tehokkuuden ja muiden hallinnon sisäisiksi luonnehdittavien tarpeiden ohella myös yksityisten henkilöiden ja yhteisöjen tarpeisiin (HE 1/1998 vp, s. 179). Perustuslakivaliokunta on käytännössään katsonut, että tarkastus voi esimerkiksi valvonnan kohteina oleviin seikkoihin liittyvien ammatillisten ja teknisten erityispiirteiden vuoksi olla joissakin tilanteissa tarkoituksenmukaista suorittaa viranomaisen siihen valtuuttaman asiantuntijan toimesta (PeVL 40/2002 vp, s. 3). Perustuslakivaliokunnan mukaan tarpeellisuusvaatimus voi täyttyä myös esimerkiksi silloin, kun tarkastuksen tekeminen edellyttää osaamista tai resursseja, joita viranomaisella ei ole (PeVL 29/2013 vp, s. 2). 

Perustuslakivaliokunnan käytännössä on katsottu, että oikeusturvan ja hyvän hallinnon vaatimusten toteutumisen varmistaminen perustuslain 124 §:n tarkoittamassa merkityksessä edellyttää, että asian käsittelyssä noudatetaan hallinnon yleislakeja ja että asioita käsittelevät toimivat virkavastuulla (PeVL 33/2004 vp, s. 7, PeVL 46/2002 vp, s. 10). Perustuslakivaliokunnan mukaan lakiin ei ole perustuslain 124 §:n takia välttämätöntä yleensä sisällyttää viittausta hallinnon yleislakeihin, sillä hallinnon yleislakeja sovelletaan niiden sisältämien soveltamisalaa, viranomaisten määritelmää tai yksityisen kielellistä palveluvelvollisuutta koskevien säännösten nojalla myös yksityisiin niiden hoitaessa julkisia hallintotehtäviä (PeVL 42/2005 vp, s. 3). Jos sellaista sääntelyn selkeyden vuoksi kuitenkin pidetään tarpeellisena, on viittauksen oltava vastakohtaispäätelmän vuoksi kattava (PeVL 11/2006 vp, s. 3, PeVL 42/2005 vp, s. 3). Perustuslakivaliokunta on kuitenkin edellyttänyt säädettäväksi julkisen hallintotehtävän hoitoon liittyen virkavastuusta laissa (PeVL 50/2017 vp, 3, PeVL 26/2017 vp, s. 49—50, PeVL 16/2016 vp, s. 2—3, PeVL 8/2014 vp, s. 5).  

Perustuslain 124 §:n mukaan merkittävää julkisen vallan käyttöä sisältäviä tehtäviä voidaan kuitenkin antaa vain viranomaiselle. Merkittävänä julkisen vallan käyttämisenä on pidettävä esimerkiksi itsenäiseen harkintaan perustuvaa oikeutta käyttää voimakeinoja tai puuttua muuten merkittävällä tavalla yksilön perusoikeuksiin (HE 1/1998 vp, s. 179 ja PeVL 28/2001 vp, s. 5—6, PeVL 5/2014 vp, s. 3). 

Vaikka Liikenne- ja viestintävirasto valvoo eIDAS-asetuksen mukaisesti tarjottujen palvelujen täyttävän niille eIDAS-asetuksessa asetetut vaatimukset, on vaatimustenmukaisuuden arviointilaitoksen tekemällä arvioinnilla ja sertifioijan suorittamalla sertifioinnilla suuri merkitys palvelujen tarjoamisen kannalta. Näiden tahojen tekemät arvioinnit toimivat perustana Liikenne- ja viestintäviraston tekemälle arvioinnille ja valvonnalle. Ilman vaatimustenmukaisuuden arviointia tai sertifiointia eurooppalaisen digitaalisen identiteetin lompakon tarjoaminen tai luottamuspalvelujen osalta hyväksytyn aseman saaminen ei olisi mahdollista. Näin ollen vaatimustenmukaisuuden arviointilaitoksen ja sertifioijan sekä hyväksytyn tietoturvallisuuden arviointilaitoksen tehtävää voidaan pitää perustuslain 124 §:ssä tarkoitettuna julkisena hallintotehtävänä. Myös Liikenne- ja viestintävirastoa avustavaa tehtävää hoitavien sekä vaatimustenmukaisuuden arviointilaitoksen alihankkijoiden voidaan katsoa käytännössä osallistuvan julkisen hallintotehtävän hoitamiseen. 

Sertifioijan, vaatimustenmukaisuuden arviointilaitoksen tai sen alihankkijan tehtävän taikka Liikenne- ja viestintäviraston tehtäviin liittyvien avustavien tehtävien hoitamisen osoittaminen muulle kuin viranomaiselle ei ole ongelmallista perustuslain kannalta ottaen huomioon tehtävän sisältö. eIDAS-asetuksen mukaisten palvelujen vaatimustenmukaisuuden arvioinnissa ja sertifioinnissa on kyse hyvin teknistä ja syvällistä erityisosaamista vaativista tehtävistä. Tehtävien suorittamiseen ei kuuluisi merkittävänä julkisen vallan käyttönä pidettäviä toimivaltuuksia. Vaatimustenmukaisuuden arviointi- ja sertifiointitehtävät ovat sen laatuisia teknistä erityisosaamista vaativia arviointitehtäviä, joiden antamista viranomaiskoneiston ulkopuoliselle perustuslakivaliokunta on eri yhteyksissä pitänyt perustuslain 124 §:n kannalta tarkoituksenmukaisena (esim. PeVL 43/2000 vp, PeVL 16/2002 vp ja PeVL 180/2000vp). 

Tunnistuslaissa säilyisi nimenomainen viittaus hallinnon yleislakeihin. Ehdotetun eIDAS-lain 31 §:ään sisällytettäisiin yleinen viittaus koskien hallinnon yleislakeja. Lisäksi ehdotetun eIDAS-lain 31 §:n mukaan näihin julkista hallintotehtävää hoitaviin sovellettaisiin julkisuuslakia muussakin julkisen hallintotehtävän hoitamisessa kuin julkisen vallan käytössä. Liikenne- ja viestintäviraston avustavaa tehtävää hoitavan osalta soveltuisi se, mitä julkisuuslaissa säädetään viranomaisen toimeksiannosta toimivasta. Ehdotetun eIDAS-lain 32 §:ssä ja tunnistuslain 37 §:ssä säädettäisiin näiden toimijoiden rikosoikeudellisesta virkavastuusta. Oikaisuvaatimuksesta vaatimustenmukaisuuden arviointilaitoksen ja sertifioijan päätökseen säädettäisiin ehdotetun eIDAS-lain 51 §:ssä ja tunnistuslain 49 a §:ssä.  

Ehdotetun sääntelyn ei siten katsota olevan ristiriidassa perustuslain 124 §:ssä säädetyn kanssa. 

12.7  Valtion verot ja maksut

Esityksen 1. lakiehdotuksen 41 §:ää ja 2. lakiehdotuksen 47 §:ää Liikenne- ja viestintävirastolle maksettavista maksuista on tarkasteltava perustuslain 81 §:n valtion veroja ja maksuja koskevan sääntelyn näkökulmasta. Valtion verosta säädetään perustuslain 81 §:n 1 momentin mukaan lailla, joka sisältää säännökset verovelvollisuuden ja veron suuruuden perusteista sekä verovelvollisen oikeusturvasta. Verolaista tulee yksiselitteisesti ilmetä verovelvollisuuden piiri. Lain säännösten tulee olla myös sillä tavoin tarkkoja, että lakia soveltavien viranomaisten harkinta veroa määrättäessä on sidottua.  

Voimassa olevassa tunnistuslain 47 §:ssä säädetään ensinnäkin valvontamaksuista, joista osa ehdotetaan nyt siirrettäväksi uuteen eIDAS-lakiin ja osa jäisi tunnistuslakiin. Lisäksi lompakon tarjoajalle ehdotettaisiin eIDAS-laissa uutta valvontamaksua, joka vastaisi tunnistus- ja luottamuspalvelun tarjoajien valvontamaksua. Tunnistuslain 47 §:ssä säädettyjen maksujen luonnetta on lain säätämiseen johtaneiden esitöiden mukaan pidetty ennemminkin verona kuin maksuina (HE 74/2016 ja HE 36/2009). Tästä syystä ehdotetun eIDAS-lain 41 §:n säännökset on valvontamaksuja koskevilta osin laadittu tunnistuslain 47 §:ää vastaavasti siten, että niissä ilmenevät vähintään verovelvollisuuden ja veron suuruuden perusteet, verovelvollisten oikeusturva ja verovelvollisten piiri perustuslain 81 §:ssä edellytetyllä tavalla. Tunnistuslakiin sekä ehdotettuun eIDAS-lakiin sisältyviin valvontamaksuihin tehtäisiin yleisestä kustannustason noususta johtuva korotus. Ehdotettu valvontamaksuja koskeva sääntely ei siten ole ristiriidassa perustuslain 81 §:n kanssa. 

Toiseksi esityksessä ehdotetaan eräitä Liikenne- ja viestintäviraston perimiä käsittelymaksuja kumottavaksi tunnistuslaista. Niistä käytetään nykyisessä tunnistuslain 47 §:ssä nimityksiä rekisteröimismaksu ja nimeämismaksu. Jatkossa tunnistuspalveluiden ja luottamuspalveluiden tarjoajan olisi suoritettava palvelun tarjoamisen aloittamista koskevan ilmoituksen käsittelymaksu, jonka suuruudesta säädettäisiin sähköisen viestinnän maksuasetuksessa. Vastaavasti nykyisin tunnistuslakiin sisältyvien vaatimustenmukaisuuden arviointilaitoksen ja nimetyn sertifiointielimen (ehdotetussa eIDAS-laissa sertifioijan) hakemusmaksujen suuruus määräytyisi jatkossa asetuksen tasolla. Osana eIDAS-lain toimeenpanoa tultaisiin myös perimään eurooppalaisen digitaalisen identiteetin lompakon tarjoamisen aloittamista edeltävästä ilmoituksesta käsittelymaksu, jonka suuruus määräytyisi saman sähköisen viestinnän maksuasetuksen mukaan. 

Rahasuorituksen valtiosääntöoikeudellinen luonne vaikuttaa niihin vaatimuksiin, joita perustuslaki kohdistaa suorituksesta säätämisen tapaan. Valtion verosta säädetään lailla, jonka tulee sisältää säännökset verovelvollisuuden ja veron suuruuden perusteista sekä verovelvollisen oikeusturvasta, kun taas valtion viranomaisten virkatoimien, palvelujen ja muun toiminnan maksullisuuden ja maksujen suuruuden yleisistä perusteista säädetään lailla. Verolakiin kohdistuvat erityiset vaatimukset tarkoittavat ennen muuta sitä, että laista tulee yksiselitteisesti ilmetä verovelvollisuuden piiri ja että lain säännösten tulee myös olla sillä tavoin tarkkoja, että lakia soveltavien viranomaisten harkinta veroa määrättäessä on sidottua harkintaa (HE 1/1998 vp, s. 134—135) (PeVL 61/2002 vp s. 5/II). 

Perustuslakivaliokunnan vakiintuneen tulkintakäytännön mukaan valtiosääntöisille maksuille on ominaista, että ne ovat korvauksia tai vastikkeita julkisen vallan palveluista; muut rahasuoritukset valtiolle ovat sen sijaan veroja valtiosääntöoikeudellisessa mielessä (HE 1/1998 vp, s. 134—135; PeVL 61/2002 vp, s. 5/II, PeVL 66/2002 vp, s. 3/II, PeVL 67/2002 vp, s. 3/II). Verojen ja maksujen olennainen ero liittyy siten maksujen vastikkeellisuuteen. Jos vastikesuhdetta ei ole, suoritus on valtiosääntöoikeudellisessa mielessä vero. (PeVL 61/2002 vp s. 5/II). 

Vastikesuhteen olemassaoloa arvioitaessa on syytä kiinnittää huomiota erilaisiin näkökohtiin. Niiden suoritteiden, joista maksuja peritään, tulee olla jollakin tavoin yksilöitävissä. Perustuslain (HE 1/1998 vp, s. 135/I) mukaan lailla säädetään yleisesti siitä, millaisista virkatoimista, palveluista ja tavaroista maksuja voidaan periä tai millaiset suoritteet ovat kokonaan maksuttomia. Samoin lailla säädetään maksujen suuruuden määräämisessä noudatettavista periaatteista. Jos rahasuoritus sen sijaan peritään yleisesti jonkin toiminnan rahoittamiseen, kysymyksessä on pikemminkin valtiosääntöoikeudellinen vero kuin maksu. Jonkin rahasuorituksen maksun luonteen edellytyksenä ei tästä huolimatta ole täysi kustannusvastaavuus. Maksun suuruuden ja määräytymisperusteiden tulee kuitenkin säilyttää jokin yhteys suoritteen tuottamisesta aiheutuviin kustannuksiin. Mitä suuremmaksi ero maksun ja etenkin julkisoikeudelliseen tehtävään liittyvän suoritteen tuottamisesta aiheutuvien kustannusten välillä kasvaa, sitä lähempänä suoritusta voidaan pitää valtiosääntöisenä verona (PeVL 53/2002 vp, s. 2/II). Merkitystä voi olla myös sillä, onko asianomaisen suoritteen vastaanottaminen vapaaehtoista vai pakollista. Veroon viittaa myös, jos suoritusvelvollisuuden aiheuttamista suoritteista ei voi kieltäytyä ja velvollisuus koskee suoraan lain nojalla tietyt tunnusmerkit täyttäviä oikeussubjekteja (PeVL 48/2010 vp, s. 8/I, PeVL 12/2005 vp, s. 3/I ja PeVL 46/2004 vp, s. 3/I). Rahasuorituksen mahdollisella rajoitetulla käyttötarkoituksella ei ole merkitystä suorituksen valtiosääntöoikeudellisen luonteen arvioinnissa (PeVL 46/2004 vp, s. 3/I, PeVL 61/2002 vp s. 6/I). 

Esimerkiksi viestintämarkkinalakiin (393/2003) sisältynyttä Viestintävirastolle (nykyisin Liikenne- ja viestintävirasto) suoritettavaa teleyritysten hakemusmaksua voitiin pitää valtiosääntöoikeudelliselta kannalta selvästi maksuna, koska kyseistä lainsäädäntöä koskevasta ehdotuksesta maksun suuruuden lisäksi ilmeni selvästi, mistä viranomaistoimenpiteistä maksu suoritetaan. Sen sijaan valvontamaksu, jonka suorittamisvelvollisuus syntyy suoraan lain nojalla, eikä se ole vastike yksilöitävissä olevista suoritteista eikä sen määräytymisperusteilla ole yhteyttä tällaisista suoritteista aiheutuviin kustannuksiin, oli katsottava valtiosääntöoikeudellisessa mielessä veroksi (PeVL 61/2002 vp s. 6/II). Nyt ehdotettaviin 1. ja 2. lakiehdotuksiin sisältyvistä valvontamaksuista säädettäisiin edelleen lain tasolla, kun taas ilmoituksen tai hakemuksen käsittelystä perittäisiin maksuperustelain mukaisesti maksu, jonka suuruudesta säädettäisiin sähköisen viestinnän maksuasetuksessa. 

Jatkossa maksuiksi katsottavien suoritteiden vastikesuhdetta arvioitaessa tulee edellä kuvattu perustuslakivaliokunnan käytäntö huomioiden kiinnittää huomiota muun muassa suoritteiden yksilöitävyyteen, kustannusvastaavuuteen sekä siihen, onko maksu pakollinen vai vapaaehtoinen. Valtiosääntöoikeudelliselta kannalta käsittelymaksujen pitäminen maksuina veron sijaan on perusteltua etenkin vahvan sähköisen tunnistamisen ja sähköisiä luottamuspalveluja koskevan toiminnan ja markkinan vakiintumisen johdosta. Tunnistuslakia säädettäessä vuonna 2009 tunnistus- ja luottamuspalveluiden markkina oli vasta kehittymässä. Tuolloin myös valvovana viranomaisena toimivalle Viestintävirastolle ilmoitusten käsittelystä ja toimijoiden rekisteröinnistä johtuvat kulut eivät olleet tiedossa. Koska kuluille ei uutena toimintana ollut osoitettavissa kustannusvastaavuusarviota, katsottiin rekisteröimismaksut veronluonteisiksi maksuiksi. Selvää on, että digitalisaation edetessä ja yhteiskunnan palvelujen sähköistyessä myös tunnistus- ja luottamuspalvelujen tarjonnassa tapahtuu edelleen kehitystä, mutta jo usean vuoden ajan esimerkiksi palveluntarjoajien määrässä ei ole tapahtunut suuria muutoksia. 

Jatkossa ilmoituksen tai hakemuksen käsittelymaksun suuruus määräytyisi niiden käsittelyyn Liikenne- ja viestintävirastossa kuluneen ajan perusteella. Ilmoituksen tai hakemuksen käsittelyaika olisi yksityiskohtaisesti todennettavissa ja yksilöitävissä. Siten maksu on mahdollista periä omakustannusarvion mukaisesti, jolloin yksilöitävyyden ja kustannusvastaavuuden edellytykset täyttyvät. 

Ilmoituksen käsittelymaksua koskeva maksuvelvollisuus ei seuraa suoraan lain perusteella, vaan maksu perittäisiin vain tilanteissa, joissa palveluntarjoaja haluaa ilmoittautua Liikenne- ja viestintäviraston ylläpitämään julkiseen rekisteriin ilmoituksen tehneistä tunnistuspalvelujen tarjoajista ja niiden tarjoamista palveluista tai tekee eIDAS-asetuksen 21 artiklassa tarkoitetun ilmoituksen. Vastikkeeksi maksusta Liikenne- ja viestintävirasto tarkastaa, että ilmoituksessa on esitetty riittävä selvitys palvelulle ja palveluntarjoajalle säädettyjen vaatimusten täyttymisestä, ja merkitsee palveluntarjoajan julkiseen rekisteriin. Käytännössä palveluntarjoaja saa rekisteriin merkitsemisen johdosta hyväksytyn palveluntarjoajan aseman, ja palvelun käyttäjät pääsevät tarkastamaan hyväksynnän olemassaolon julkisesta rekisteristä. Vastaavasti myös vaatimustenmukaisuuden arviointilaitoksen ja sertifioijan hakemusmaksut koskevat tilanteita, joissa toimija pyrkii hakemuksellaan saavuttamaan tietyn aseman eli mahdollisuuden toimia lain tarkoittamana arviointilaitoksena tai sertifioijana. Koska kyseessä on palveluntarjoajan aloitteesta tapahtuva toimijan arvioiminen, on kyseessä palveluntarjoajan hakemukseen rinnastuva suorite, jolloin suorite on selvästi yksilöitävissä. 

Ainoa poikkeus maksun vapaaehtoisuuteen olisi Digi- ja väestötietovirasto, jolle 1. lakiehdotuksessa säädettäisiin tehtäväksi tarjota eurooppalaista digitaalisen identiteetin lompakkoa. Digi- ja väestötietoviraston tehtävistä valtion virastona säädetään lailla. Siten myös ilmoituksen käsittelystä perittävän maksun maksuvelvollisuus määräytyy suoraan lain perusteella. Lompakon tarjoajan ilmoituksen käsittelystä perittävää maksua voidaan kuitenkin markkinan toimivuuden ja tasapuolisten kilpailuedellytysten kannalta pitää perusteltuna. Laki ei estä muita palveluntarjoajia ilmoittautumasta lompakon tarjoajaksi. Käytännössä markkinoille voi tulevaisuudessa tulla myös yksityisen sektorin toimijoiden tarjoamia lompakoita. Sääntelyllä on tarkoitus luoda pysyvä kehys, jossa myös yksityisillä palveluntarjoajilla tai muilla organisaatioilla on mahdollisuus tarjota eurooppalaista digitaalisen identiteetin lompakkoa. Mikäli tunnistus- ja luottamuspalveluiden ilmoitusten käsittelystä perittäisiin maksu mutta lompakon tarjoajan ilmoituksesta ei, voisi se vääristää markkinaa ja luoda epäsuhtaisen kilpailuedun lompakon tarjoajille. 

Jotta suoritteita voidaan pitää maksuina, tulee laista ilmetä, millaisista virkatoimista, palveluista tai tavaroista maksuja voidaan periä ja millaiset suoritteet ovat kokonaan maksuttomia (PeVL 12/2005 vp, s.3/I). Valtion suoritteiden maksullisuuden ja maksujen suuruuden yleisistä perusteista säädetään nykyisin valtion maksuperustelaissa. Laki on luonteeltaan yleislaki, ja sen säännökset soveltuvat myös nyt käsillä olevan kaltaisiin ilmoituksen ja hakemuksen käsittelymaksuihin. 

Perustuslakivaliokunta on pitänyt tarpeellisena, että tilanteessa, jossa on katsottu olevan kyse veron sijaan maksusta, valtioneuvosto seuraa maksujen kustannusvastaavuustason noudattamista (PeVL 12/2005 vp, s.3/II). Ilmoitusten ja hakemusten käsittelymaksun suuruudesta säätäminen asetuksen tasolla tukisi myös tulevaisuudessa maksun kustannusvastaavuustason arviointia useammin kuin mitä lain tasolla suuruudesta säätäminen mahdollistaisi. Liikenne- ja viestintäministeriö ja Liikenne- ja viestintävirasto seuraisivat maksujen kustannusvastaavuutta, ja siinä tapahtuneet mahdolliset muutokset olisi mahdollista huomioida sähköisen viestinnän maksuasetuksen päivittämisen yhteydessä. 

Yllä esitetyn perusteella Liikenne- ja viestintäviraston vastaanottamien ilmoitusten ja hakemusten käsittelystä katsotaan mahdolliseksi periä käsittelymaksu, jonka euromääräisestä suuruudesta on mahdollista säätää sähköisen viestinnän maksuasetuksella. Sen sijaan lain tasolla säilyisivät tunnistus- ja luottamuspalveluiden tarjoajien, lompakoiden tarjoajien, vaatimustenmukaisuuden arviointilaitosten sekä sertifioijien valvontamaksut. Näiden maksujen sääntelyssä olisi edellä kuvatulla tavalla huomioitu veroista säätämiseen liittyvät erityiset vaatimukset. 

12.8  Valtuudet antaa määräyksiä

Esitykseen sisältyy useita ehdotuksia määräyksenantovaltuudesta Liikenne- ja viestintävirastolle. Kyse on pääsääntöisesti olemassa olevien määräystenantovaltuuksien säilyttämisestä siten, että niistä osa siirrettäisiin tunnistuslaista ehdotettavaan uuteen eIDAS-lakiin. Lisäksi Liikenne- ja viestintävirastolle ehdotetaan uusia määräyksenantovaltuuksia. Ehdotetut määräyksenantovaltuudet on kootusti esitetty jaksossa 8.2. 

Perustuslain 80 §:n 2 momentin mukaan muu viranomainen voidaan lailla valtuuttaa antamaan oikeussääntöjä määrätyistä asioista, jos siihen on sääntelyn kohteeseen liittyviä erityisiä syitä eikä sääntelyn asiallinen merkitys edellytä, että asiasta säädetään lailla tai asetuksella. Tällaisen valtuuden tulee olla soveltamisalaltaan täsmällisesti rajattu eli valtuuden kattamat asiat on määriteltävä tarkasti laissa. Perustuslain 80 §:n 1 momentin mukaan lailla on kuitenkin säädettävä yksilön oikeuksien ja velvollisuuksien perusteista sekä asioista, jotka perustuslain mukaan muuten kuuluvat lain alaan.  

Perustuslain 80 §:n 2 momentti edellyttää määräyksenantovaltuuteen liittyvän erityisiä syitä. Erityinen syy olisi hallituksen esityksen (HE 1/1998 vp, s.133/II) mukaan käsillä lähinnä silloin, kun kysymyksessä on tekninen ja vähäisiä yksityiskohtia koskeva sääntely, johon ei liity merkittävää harkintavallan käyttöä. Perustuslakivaliokunta on lisäksi pitänyt säädeltävän toiminnan ammatillisia erityispiirteitä perustuslain 80 §:n 2 momentin mukaisina erityisinä syinä (PeVL 17/2004 vp, s.3, PeVL 16/2003 vp, s.3, PeVL 24/2002, s.3).  

Perustuslakivaliokunta ei ole pitänyt viranomaiselle kohdistettua valtuutta järjestää teknisluonteiset yksityiskohdat perustuslain kannalta ongelmallisena (PeVL 17/2004 vp, s.4, PeVL 16/2003 vp, s.3). Asetuksenantovaltuuksiin verrattuna määräyksenantovaltuuksiin kohdistuu yleistä tarkkarajaisuutta koskeva pidemmälle menevä vaatimus, jonka mukaan valtuuden kattamat asiat on määriteltävä tarkasti laissa (HE 1/1998 vp, s. 133, PeVL 43/2000 vp, s. 3/II ja PeVL 46/2001 vp, s. 2–3). Esimerkiksi lausunnossa PeVL 10/2014 vp (s. 3-4) painotetaan tarkkarajaisuuden ja täsmällisyyden vaatimuksia. Samassa lausunnossa perustuslakivaliokunta toteaa ympäristölainsäädännön osalta tyypilliseksi sen, että huomattava osa yksityiskohtaisesta sääntelyä jää lakia alemman asteisiin säädöksiin. Tämä johtuu valiokunnan mukaan pitkälti siitä, että sääntelyn on tarpeen olla varsin yksityiskohtaista ja teknisluonteista. Tämä pätee myös ehdotettavaan rajat ylittävää sähköistä tunnistamista, sähköisiä luottamuspalveluja ja eurooppalaista digitaalista identiteettiä koskevaan lainsäädäntöön. Perustuslakivaliokunta on lisäksi lausunnossaan pitänyt esimerkiksi Viestintävirastoa (nykyisin Liikenne- ja viestintävirasto) sellaisena viranomaisena, jolle määräyksenantovaltaa on mahdollista antaa (mm. PeVL 9/2004 vp, s. 8). 

Ehdotetun eIDAS-lain mukaisissa Liikenne- ja viestintäviraston määräyksissä olisi kyse yksilöidyistä ja laissa säädetyn vaatimustenmukaisuuden arvioinnin arviointiperusteisiin, sertifiointimenettelyyn ja muihin hyväksymistä koskeviin vaatimuksiin sekä erinäisten tietojen ilmoittamiseen liittyvistä teknisistä yksityiskohdista sekä niiden yhdenmukaistamisesta komission täytäntöönpanosäädösten kanssa. Ehdotuksessa perustuslain vaatimus on huomioitu yksilöimällä tyhjentävästi ja täsmällisesti toimialakohtaiset tekniset seikat, joista Liikenne- ja viestintävirasto voisi antaa tarkempia määräyksiä. Esitykseen sisältyvät määräyksenantovaltuudet on laadittu tarkkarajaisiksi sekä täsmällisiksi, ja ne koskevat sääntelyn kokonaisuuden kannalta vähäisiä yksityiskohtia. Määräyksenantovaltuus teknisistä seikoista mahdollistaa toimialan erityispiirteiden huomioimisen sekä sääntelyn yhteensovittamisen eIDAS-asetuksen nojalla annettuihin ja tulevaisuudessa annettaviin komission täytäntöönpanosäädöksiin. Käsillä ovat perustuslain 80 §:n 2 momentissa tarkoitetut erityiset syyt. eIDAS-laissa säädettävien määräyksenantovaltuuksien katsotaan olevan edellä kuvattujen reunaehtojen ja perustuslain 80 §:n mukaisia. 

Lisäksi tunnistuslakiin ehdotettaisiin Liikenne- ja viestintävirastolle uutta määräyksenantovaltuutta, joka koskisi hakijan ensitunnistamisesta ja siinä käytetystä asiakirjasta sekä sähköisestä tunnistamisesta tallennettavista tarvittavia tietoja. Valtuutussäännös on asiallisesti kytketty säänneltävää asiaa koskevaan pykälään (tunnistuslain 24 §:n 2 momentti). Määräyksenantovaltuuteen ei sisälly merkittävää harkintavallan käyttöä, eikä se sisällä valtuuksia asioista, joista tulee säätää lailla. Kyse olisi teknisluonteisesta sääntelystä, jonka tarkoituksena olisi täsmentää lain tasolla asetettua velvollisuutta tallentaa tarvittavat tiedot tunnistusvälineen hakijan ensitunnistamisesta ja siinä käytetystä asiakirjasta tai sähköisestä tunnistamisesta. Kyse olisi käytännössä varsin yksityiskohtaisesta tallennettavien tietosisältöjen määrittelystä. Liikenne- ja viestintävirastolla voidaan katsoa olevan asiassa erityinen ja vakiintunut asiantuntemus. Virasto on pitkään toiminut tunnistuslakia valvovana viranomaisena, ja antanut määräyksiä muista laissa säädetyistä teknisluonteisista asioista. Siten valtuutus olisi soveltamisajaltaan täsmällisesti rajattu. Siten tunnistuslaissa säädettävän uuden määräyksenantovaltuuden katsotaan olevan edellä kuvattujen reunaehtojen ja perustuslain 80 §:n mukainen. 

Edellä mainituilla perusteilla lakiehdotukset voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä. Esitys sisältää kuitenkin ehdotuksen, jonka mukaan seuraamusmaksu voitaisiin määrätä myös luottamuspalvelua tarjoavalle viranomaiselle. Hallitus pitää suotavana, että perustuslakivaliokunta antaisi asiasta lausunnon.