Riksdagens svar
RSv
289
2018 rd
Riksdagen
Regeringens proposition till riksdagen med förslag till lag om ändring och temporär ändring av lagen om stark autentisering och betrodda elektroniska tjänster
RP 264/2018 rd
KoUB 44/2018 rd
Ärende
Regeringens proposition till riksdagen med förslag till lag om ändring och temporär ändring av lagen om stark autentisering och betrodda elektroniska tjänster (RP 264/2018 rd). 
Beredning i utskott
Utskottets betänkande: Kommunikationsutskottet (KoUB 44/2018 rd). 
Beslut
Riksdagen har antagit följande lag: 
Lag 
om ändring och temporär ändring av lagen om stark autentisering och betrodda elektroniska tjänster 
I enlighet med riksdagens beslut 
upphävs i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009) 17 § 7 mom., sådant det lyder i lag 1009/2018,  
ändras 12 a och 16 §, 17 § 4—6 mom. och 18 §, av dem 12 a och 16 § samt 17 §  4—6 mom. sådana de lyder i lag 1009/2018, samt 
fogas till 3 § ett nytt 2 mom., till lagen nya 12 b—12 d § och till 17 § temporärt ett nytt 7 mom., i stället för det 7 mom. som upphävts genom denna lag, som följer: 
3 § 
Bestämmelsernas tvingande natur 
Avtalsvillkor mellan leverantörer av identifieringstjänster som avviker från bestämmelserna i denna lag är ogiltiga. 
12 a § 
Förtroendenätet för leverantörer av identifieringstjänster 
En leverantör av identifieringstjänster ansluter sig till förtroendenätet när leverantören gör en anmälan enligt 10 § till Transport- och kommunikationsverket. 
En leverantör av identifieringsverktyg ska erbjuda leverantörer av tjänster för identifieringsförmedling tillträdesrätt till sina identifieringstjänster så att leverantörerna kan förmedla identifieringstransaktioner till en part som förlitar sig på en elektronisk identifiering. En leverantör av identifieringsverktyg ska upprätta leveransvillkor för tillträdesrätt till sin identifieringstjänst och tillämpa dem vid ingående av avtal med leverantörer av tjänster för identifieringsförmedling. Villkoren för tillträdesrätten ska vara förenliga med denna lag samt rimliga och icke-diskriminerande. Leverantören av identifieringsverktyg ska godkänna en begäran av en leverantör av tjänster för identifieringsförmedling om att ingå ett avtal enligt leveransvillkoren samt bevilja tillträdesrätt till identifieringstjänsten utan dröjsmål och senast inom en månad efter att begäran har gjorts. Leverantören av identifieringsverktyg kan vägra ingå avtal endast om leverantören av tjänster för identifieringsförmedling handlar i strid med denna lag eller de bestämmelser som utfärdats eller de föreskrifter som meddelats med stöd av den eller om det finns andra vägande skäl för vägran. 
Leverantörer av identifieringstjänster ska samarbeta för att säkerställa att de tekniska gränssnitten mellan medlemmarna i förtroendenätet är kompatibla och att de gör det möjligt att tillhandahålla gränssnitt som följer allmänt kända standarder för de förlitande parterna. 
Leverantörer av identifieringstjänster ska genomföra underhålls-, ändrings- och informationssäkerhetsåtgärder på ett sådant sätt att åtgärderna innebär minsta möjliga olägenhet för identifieringstjänsternas övriga leverantörer, användare och förlitande parter. Utöver det som föreskrivs i 25 och 26 § får en leverantör av identifieringstjänster tillfälligt utan en annan leverantörs samtycke avbryta tillhandahållandet av en identifieringstjänst eller begränsa dess användning, om det är nödvändigt för att de åtgärder som avses ovan ska kunna genomföras framgångsrikt. Övriga leverantörer av identifieringstjänster vilkas tjänster kan påverkas av avbrott och ändringar ska effektivt informeras om dessa. 
En leverantör av identifieringstjänster får använda sådan information om en annan leverantör av identifieringstjänster som den erhållit i samband med överlåtelse av tillträdesrätt eller med stöd av 16 § endast för det ändamål för vilket informationen har lämnats till leverantören av identifieringstjänster. Uppgifterna får behandlas endast av den som arbetar hos eller för en leverantör av identifieringstjänster och som nödvändigt behöver uppgifterna i sitt arbete. Uppgifterna ska också annars behandlas så att företagshemligheter som tillhör en annan leverantör av identifieringstjänster inte röjs. En leverantör av identifieringstjänster som genom att handla i strid med detta moment vållar en annan leverantör av identifieringstjänster skada är skyldig att ersätta skadan. 
Närmare bestämmelser om förtroendenätets administrativa praxis, tekniska gränssnitt och administrativa ansvar utfärdas genom förordning av statsrådet. 
12 b § 
Leveransvillkor för tillträdesrätt till identifieringstjänsten och skyldighet för leverantörer av identifieringsverktyg att lämna uppgifter 
En leverantör av identifieringsverkstyg ska offentliggöra leveransvillkoren för tillträdesrätt till sin identifieringstjänst samt annan information som är relevant för överlåtelse av tillträdesrätt och identifieringstjänsternas kompatibilitet på sin webbplats. Leverantören av identifieringsverktyg ska offentliggöra åtminstone följande information: 
1) en beskrivning av identifieringsverktyget, inklusive information om tillgängliga personidentifieringsuppgifter enligt bilagan till kommissionens genomförandeförordning (EU) 2015/1501 om interoperabilitetsramverket enligt artikel 12.8 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden, 
2) eventuella hinder och begränsningar enligt 18 § för användning av identifieringsverktyget samt information om hur de förlitande parterna har fått eller kan få kännedom om hindren och begränsningarna, eller information om det tekniska genomförandet av begränsningen, 
3) en beskrivning av de tekniska gränssnitten för förmedling av identifieringstransaktioner och metoderna för testning av dem till den del de inte innehåller företagshemligheter eller uppgifter som äventyrar informationssäkerheten, 
4) priset på en identifieringstransaktion, 
5) vilken servicenivå som erbjuds, 
6) hur leverantören informerar om underhålls- och ändringsarbeten, 
7) en beskrivning av faktureringsförfarandet, 
8) villkor som gäller skadeståndsansvar, 
9) villkor för användning av varumärken och andra immateriella rättigheter, 
10) principerna för behandling av personuppgifter som personuppgiftsansvarig i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), 
11) eventuella grunder för att ensidigt ändra leveransvillkoren, 
12) hur tvister ska lösas, 
13) eventuella andra villkor som är nödvändiga för förtroendenätets funktion. 
12 c § 
Ersättning för tillträdesrätt till identifieringstjänsten 
Leverantörer av tjänster för identifieringsförmedling ska betala en ersättning på högst 3 cent per förmedlad identifieringstransaktion för tillträdesrätt till identifieringstjänsten. Ersättningen omfattar alla personidentifieringsuppgifter som gäller det elektroniska identifieringsverktyget. Transport- och kommunikationsverket ska bedöma nivån på ersättningen årligen. 
Ingen annan ersättning får tas ut för tillträdesrätt till identifieringstjänsten. Den ersättning som anges i 1 mom. ska omfatta fakturering och tillträdesrätter till alla sådana gränssnitt, funktioner, tjänster, programvaror och informationssystem som förvaltas av leverantören av identifieringsverktyget och som behövs för förmedling av identifiering till en förlitande part. 
12 d § 
Skadeståndsskyldighet mellan medlemmar i förtroendenätet 
En leverantör av identifieringstjänster som uppsåtligen eller av oaktsamhet handlar i strid med de skyldigheter som anges i 12 a § 2 och 3 mom. eller i bestämmelser som utfärdats med stöd av 12 § 6 mom. eller de skyldigheter som anges i 12 b eller 12 c § eller 17 § 4 mom. är skyldig att ersätta en annan leverantör av identifieringstjänster för skada som har tillfogats denna. 
Skadeståndet omfattar ersättning för kostnader, prisskillnad samt annan direkt ekonomisk skada som orsakats av leverantörens i 1 mom. avsedda verksamhet. 
Skadeståndet kan jämkas, om fullt skadeståndsansvar bedöms som oskäligt tungt med tanke på förseelsens art, skadans omfattning, parternas situation och andra omständigheter. 
Rätten till skadestånd preskriberas om skadeståndstalan inte har väckts inom tre år från det att leverantören av identifieringstjänster fick eller borde ha fått kännedom om uppkomsten av skadan. 
Vid prövning av en skadeståndstalan som avses i 1 mom. kan domstolen begära yttrande av Transport- och kommunikationsverket. 
16 § 
Anmälningar av leverantörer av identifieringstjänster om hot och störningar som riktas mot verksamheten eller skyddet av uppgifter 
En leverantör av identifieringstjänster ska trots sekretessbestämmelserna utan ogrundat dröjsmål anmäla betydande hot och störningar som riktas mot tjänsternas funktion, informationssäkerheten eller användningen av en elektronisk identitet till de tjänsternas förlitande parter, till innehavarna av identifieringsverktyg, till övriga avtalsparter i förtroendenätet och till Transport- och kommunikationsverket. I anmälan ska det redogöras för de åtgärder som olika aktörer har tillgång till för att avvärja hot eller störningar samt de beräknade kostnaderna för åtgärderna. 
Leverantören av identifieringstjänster får trots sekretessbestämmelserna underrätta alla medlemmar i förtroendenätet om hot och störningar som avses i 1 mom. samt om tjänsteleverantörer som skäligen kan misstänkas för att eftersträva orättmätig ekonomisk vinning, lämna betydelsefull osann eller vilseledande information eller behandla personuppgifter på ett olagligt sätt. 
Transport- och kommunikationsverket får för anmälarens räkning på teknisk väg förmedla uppgifterna mellan parterna i förtroendenätet trots vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet (621/1999). 
17 § 
Identifiering av en fysisk person som ansöker om ett identifieringsverktyg 
En leverantör av identifieringsverktyg ska göra det möjligt för en annan leverantör av identifieringsverktyg att använda ett identifieringsverktyg för stark autentisering som beviljats av den förstnämnda för inledande identifiering vid ansökan om ett identifieringsverktyg för stark autentisering på motsvarande eller lägre tillitsnivå. Vad som i 12 a och 12 b § föreskrivs om överlåtelse av tillträdesrätt till identifieringstjänsten och publicering av leveransvillkoren tillämpas också på i detta moment avsedd användning av identifieringsverktyg vid inledande identifiering. 
Den leverantör av identifieringsverktyg som litar på en tidigare inledande identifiering bär ansvaret i förhållande till den skadelidande om den inledande identifieringen är felaktig. 
Om en leverantör av identifieringsverktyg som litar på en tidigare inledande identifiering blir ansvarig för en skada med stöd av 5 mom., har leverantören rätt att få ersättning för sin skada av den leverantör av identifieringsverktyg som begått felet vid den inledande identifieringen, om inte den sistnämnda leverantören visar att skadan inte har berott på uppsåt eller grov oaktsamhet. 
Vad som i 12 c § föreskrivs om ersättning för förmedling av identifieringstransaktioner tillämpas också på i 4 mom. avsedd användning av identifieringsverktyg vid inledande identifiering. 
18 § 
Hinder och begränsningar när det gäller att utföra rättshandlingar 
Användningen av identifieringsverktyg för att utföra rättshandlingar får förhindras genom avtal mellan leverantörer av identifieringstjänster, tjänsteleverantörer som använder tjänsterna och innehavare av identifieringsverktyg. Dessutom får utförandet av rättshandlingar begränsas både när det gäller användningsändamål och transaktionernas värde i pengar. Hinder och begränsningar får inte gälla enskilda tjänsteleverantörer och de får inte vara beroende av vilken leverantör av tjänster för identifieringsförmedling som förmedlar identifieringstransaktionen. 
Leverantören av identifieringstjänster ska se till att alla parter känner till hindren eller begränsningarna eller att de är lätta att upptäcka och meddelas på ett klart och lättbegripligt sätt. Leverantören av identifieringsverktyg får även införa hinder eller begränsningar med tekniska medel. Leverantören svarar inte för de åtgärder som har vidtagits i strid med hindren eller begränsningarna trots att leverantören har handlat på ett omsorgsfullt sätt. 
Leverantören av identifieringsverktyg ska se till att en tjänsteleverantör som använder identifieringstjänsterna har möjlighet att dygnet runt kontrollera de hinder och begränsningar som gäller identifieringsverktyget. Denna skyldighet föreligger dock inte om användning av identifieringsverktyget i strid med hindren och begränsningarna har förhindrats med hjälp av tekniska medel. 
En tjänsteleverantör som använder identifieringstjänster ska i samband med användningen av ett identifieringsverktyg kontrollera eventuella hinder eller begränsningar i de system och register som leverantören av identifieringstjänsterna har. Detta behöver dock inte göras om användning av identifieringsverktyget i strid med hindren och begränsningarna har förhindrats med hjälp av tekniska medel. 
Denna lag träder i kraft den 20. Lagens 17 § 7 mom. gäller i två år från ikraftträdandet av lagen. 
En leverantör av identifieringsverktyg ska upprätta och offentliggöra leveransvillkoren för tillträdesrätt till sin identifieringstjänst inom två månader från ikraftträdandet av denna lag. 
Avtal mellan leverantörer av identifieringstjänster som gäller när denna lag träder i kraft ska uppdateras i överensstämmelse med denna lag inom tre månader från lagens ikraftträdande. 
Den förordning av statsrådet som utfärdats med stöd av det 12 a § 5 mom. som gällde vid denna lags ikraftträdande förblir i kraft. 
Helsingfors 7.3.2019 
På riksdagens vägnar
talman
generalsekreterare
Senast publicerat 25.3.2019 16:09