Liikenne- ja viestintäviraston suositus 216/2020 S Tunnistuspalveluiden luottamusverkoston käytännesäännöt
Vastausaika on päättynyt: 10.5.2022
Lausuntopyynnön taustatiedot
Johdanto
Tausta
Käytännesäännöt sekä tietosuojaa koskeva liite täydentävät lakia, asetusta ja lakiin perustuvia Liikenne- ja viestintävirasto Traficomin teknisiä määräyksiä vahvasta sähköisestä tunnistamisesta ja tunnistuspalveluntarjoajien luottamusverkostosta.
Käytännesäännöt on alun perin laadittu viranomaisten ja elinkeinoelämän yhteistyönä Viestintäviraston asettamassa Tunnistaminen ja luottamuspalvelut -työryhmässä, jossa ovat olleet edustettuina mm. pankit, teleyritykset ja Väestörekisterikeskus (nykyisin Digi- ja väestötietovirasto). Nykyinen versio on laadittu Liikenne- ja viestintäviraston asettamassa luottamusverkoston yhteistoimintaryhmässä. Käytännesäännöt ovat oikeudelliselta luonteeltaan Liikenne- ja viestintäviraston suositus.
Vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain (617/2009, jäljempänä tunnistuslaki) muutoksella (139/2015) säädettiin tunnistuspalveluiden luottamusverkoston muodostamisesta. Luottamusverkoston tavoitteena on edistää yleiskäyttöisten, käytettävyydeltään ja turvallisuudeltaan edistyksellisten tunnistuspalveluiden tarjontaa markkinoilla ja edistää sähköisen asioinnin turvallisuutta. Verkosto mahdollistaa eri tunnistusvälineiden välittämisen asiointipalveluille yhtenäisillä teknisillä ja hallinnollisilla järjestelyillä. Luottamusverkoston hallinnollisista käytännöistä, teknisistä rajapinnoista ja hallinnollisista vastuista annetaan tarkempia säännöksiä valtioneuvoston asetuksella vahvan sähköisen tunnistuspalvelun tarjoajien luottamusverkostosta (169/2016, jäljempänä luottamusverkosto-asetus).
Tunnistuslakiin tehtiin vuonna 2019 merkittäviä muutoksia säännöksiin (laki 412/2019), jotka koskevat luottamusverkoston toimintaa. Uudet säännökset määrittelevät aiempaa yksityiskohtaisemmin, millaiset toimitusehdot tunnistuspalvelun käyttöoikeudesta on laadittava ja millä menettelyin käyttöoikeus myönnetään. Käytännesääntöjen tarkoitus on kuvata yhteiset tavoitteet, periaatteet ja toimenpiteet luottamusverkoston toiminnalle, jotta henkilö voidaan tunnistaa asiointipalveluissa luotettavasti ja tehokkaasti riippumatta siitä, miten luottamusverkoston sisällä toimivat yritykset ovat organisoineet toimintansa. Käytännesääntöjen tarkoitus on helpottaa sopimusten tekemistä luottamusverkoston sisällä.
Käytännesäännöissä käydään yleisellä tasolla läpi eri sopimusteemoja ja kuvataan niitä koskeva keskeinen säädäntö. Käytännesäännöissä annetaan myös toimialan kanssa käytyjen keskustelujen perusteella hyväksi todettuja käytäntöjä, joita voi hyödyntää sopimuksissa. Käytännesäännöt ja tietosuojaa koskevan liitteen voi ottaa liitteeksi sopimukseen tai niihin voi viitata sopimuksessa. Käytännesäännöt eivät ole sisällöltään tyhjentäviä. Sopijapuolet voivat sisällyttää sopimuksiin myös muita ehtoja. Sopijapuolten keskinäisissä sopimuksissa on luonnollisesti huomioitava myös muu luottamusverkoston jäsenten toimintaa ohjaava säädäntö, kuten kuluttajansuoja- ja kilpailuoikeus, jota ohjeessa ei ole säädösympäristön laajuuden vuoksi kokonaisuudessaan läpikäyty. Kuluttajansuojalain ja kilpailulain noudattamisen valvonta ei kuulu Liikenne- ja viestintävirastolle, vaan niitä valvovat Kuluttaja-asiamies ja Kilpailu- ja kuluttajavirasto.
Liite: Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa
Henkilötietojen käsittelyä koskeva suositus (tietosuojaliite) täydentää lakia, asetusta ja lakiin perustuvia Liikenne- ja viestintäviraston teknisiä määräyksiä vahvasta sähköisestä tunnistamisesta ja tunnistuspalveluntarjoajien luottamusverkostosta.
Tässä suosituksessa on määritelty henkilötietojen käsittelyn yleiset periaatteet luottamusverkostossa. Henkilötietojen käsittelystä on tarkemmin säädetty erityisesti EU:n yleisessä tietosuoja-asetuksessa (2016/679, jäljempänä tietosuoja-asetus) ja tietosuojalaissa (1050/2018). Asiointipalveluissa tapahtuva henkilötietojen käsittely ja muu kuin tunnistustapahtumaan liittyvä henkilötietojen käsittely on rajattu tietosuojaliitteen ulkopuolelle, vaikka niitä sivutaankin ohjeistuksessa.
Tämä henkilötietojen käsittelyä koskeva suositus on teetetty silloisen Viestintäviraston asettaman Tunnistaminen ja luottamuspalvelut -työryhmän tunnistamien tarpeiden perusteella henkilötietolain asiantuntijoilla. Tietosuojaliitteestä on ensimmäisen version valmistelun aikana keskusteltu tietosuojavaltuutetun kanssa.
Henkilötietojen käsittelyä koskeva suositus on oikeudelliselta luonteeltaan Liikenne- ja viestintäviraston suositus, eikä velvoittava määräys. Tunnistus- ja luottamuspalvelulain mukaan tietosuojavaltuutetun tehtävänä on valvoa lain henkilötietoja koskevien säännösten noudattamista. Liikenne- ja viestintävirasto ei ole henkilötietojen käsittelyn lainmukaisuuden valvomisesta vastaava viranomainen.
Tavoitteet
Linkit
https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/regulation/Suositus__216_2017__S__luottamusverkosto_170403.pdf - Aikaisempi versio (2017)
https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Viestintaviraston_suosituksen_216_2017_S_liite_Henkilotietojen_kasittely_sahkoisen_tunnistamisen_luottamusverkostossa.pdf - Aikaisempi versio (2017)
Liitteet:
Liikenne-_ja_viestintäviraston_suositus_216_2020_luottamusverkoston_käytännesäännöt_luonnos.docx - Päivitetty, lausuttava versio
Henkilötietojen_käsittely_sähköisen_tunnistamisen_luottamusverkostossa_käsittelyssä_.docx - Päivitetty, lausuttava versio
Liikenne-_ja_viestintäviraston_suositus_216_2020_luottamusverkoston_käytännesäännöt_luonnos_SV.DOCX - Den aktuella versionen
SV Henkilötietojen_käsittely_sähköisen_tunnistamisen_luottamusverkostossa_käsittelyssä_.docx - Den aktuella versionen
Aikataulu
Vastausohjeet vastaanottajille
Lausunnot pyydetään antamaan vastaamalla lausuntopalvelu.fi:ssä julkaistuun lausuntopyyntöön. Lausunnon voi toimittaa myös Liikenne- ja viestintäviraston kirjaamoon osoitteeseen [email protected] käyttäen viitteenä diaarinumeroa Traficom/15523/09.02.00/2021.
Lausunnon antaakseen vastaajan tulee rekisteröityä ja kirjautua lausuntopalvelu.fi:hin. Tarkemmat ohjeet palvelun käyttämiseksi löytyvät lausuntopalvelu.fi:n sivulta Ohjeet > Käyttöohjeet. Palvelun käyttöönoton tukea voi pyytää osoitteesta [email protected].
Valmistelijat
Sähköpostiosoite on [email protected].
Jakelu:
Digi- ja väestötietovirasto | ||
Finanssivalvonta | ||
Kilpailu- ja kuluttajavirasto | ||
Luottamusverkosto | ||
Tekninen työryhmä | ||
Tulu-jakelu |