Transport- och kommunikationsverkets rekommendation 216/2020 S Uppförandekoder för förtroendenätet för identifieringstjänster
Diarienummer för begäran om utlåtande: Traficom/15523/09.02.00/2021
Svarstiden gick ut: 10.5.2022
Uppgifter om begäran om utlåtande
Språket i begäran om utlåtande:
Inledning
Transport- och kommunikationsverket (Traficom) begär ett utlåtande om rekommendation 216/2020 S Dnr Traficom/15523/09.02.00/2021 Uppförandekoder för förtroendenätet för identifieringstjänster och om bilaga till rekommendation Behandling av personuppgifter i förtroendenätet för elektronisk identifiering.
Bakgrund
Rekommendation 216/2020 S Dnr Traficom/15523/09.02.00/2021 Uppförandekoder för förtroendenätet för identifieringstjänster
Dessa uppförandekoder och bilagan om dataskydd kompletterar lagen, förordningen och Transport- och kommunikationsverket Traficoms lagbaserade tekniska föreskrifter om stark autentisering och förtroendenätet för leverantörer av identifieringstjänster.
Uppförandekoderna har från början tagits fram i samverkan mellan myndigheter och representanter för näringslivet i arbetsgruppen Identifiering och betrodda tjänster. Arbetsgruppen har tillsatts av Kommunikationsverket och exempelvis banker, teleföretag och Befolkningsregistercentralen (i dag Myndigheten för digitalisering och befolkningsdata) har varit representerade i gruppen. Den aktuella versionen har utfärdats i samarbetsgruppen för förtroendenätet som är tillsatt av Transport- och kommunikationsverket. Uppförandekoderna är juridiskt sett Transport- och kommunikationsverkets rekommendation.
Genom ändring (139/2015) av lagen om stark autentisering och betrodda elektroniska tjänster (617/2009, nedan benämnd autentiseringslagen) utfärdades bestämmelser om uppbyggnad av ett förtroendenät för identifieringstjänster. Målet för förtroendenätet är att främja både utbudet på marknaden av allmänt tillgängliga identifieringstjänster som till användbarheten och säkerheten är avancerade och att främja säkerheten i den elektroniska ärendehanteringen. Via nätverket kan olika identifieringsverktyg förmedlas till tjänster för ärendehantering genom enhetliga tekniska och administrativa arrangemang. Närmare bestämmelser om förtroendenätets administrativa praxis, tekniska gränssnitt och administrativa ansvar finns i statsrådets förordning om förtroendenätet för leverantörer av tjänster för stark autentisering (169/2016, nedan benämnd förordningen om förtroendenätet).
År 2019 gjordes betydande ändringar i bestämmelserna i autentiseringslagen (lag 412/2019) som gäller verksamheten i förtroendenätet. De nya bestämmelserna anger mera detaljerat än tidigare de leveransvillkor för tillträdesrätt som leverantören av identifieringstjänst ska upprätta och de metoder med vilka nyttjanderätten beviljas. I uppdateringen beaktades lagändringarna som trädde i kraft år 2019 och för bilagans del EU:s allmänna dataskyddsförordning. Syftet med uppförandekoderna är att beskriva de gemensamma målen, principerna och åtgärderna för förtroendenätets verksamhet, för att personer ska kunna identifieras i tjänsterna för ärendehantering på ett tillförlitligt och effektivt sätt oberoende av på vilket sätt företag som ingår i förtroendenätet har organiserat sin verksamhet. Syftet med uppförandekoderna är att göra det lättare att ingå avtal inom förtroendenätet.
Uppförandekoderna beskriver på en allmän nivå olika avtalsteman och den relevanta lagstiftningen om dem. Koderna innefattar också praxis som utifrån diskussioner med branschen konstaterats vara bra och som kan utnyttjas vid avtal. Uppförandekoderna och bilagan om dataskydd kan bifogas ett avtal eller hänvisas till i avtalet. Till innehållet är uppförandekoderna inte uttömmande. Dessutom kan avtals-parterna inkludera andra villkor i avtalen. I sina avtal ska parterna naturligtvis också beakta andra bestämmelser som styr verksamheten för medlemmarna i förtroendenätet, till exempel konsumentskydds- och konkurrensrätten, som på grund av den omfattande författningsmiljön inte behandlas i sin helhet i anvisningen. Det är inte Transport- och kommunikationsverket utan konsumentombudsmannen och Konsument- och konkurrensverket som övervakar att konsumentskyddslagen och konkurrenslagen följs.
Bilaga till Transport- och kommunikationsverkets Rekommendation: Behandling av personuppgifter i förtroendenätet för elektronisk identifiering
Denna rekommendation om behandlingen av personuppgifter (dataskyddsbilagan) kompletterar lagen, förordningen och Transport- och kommunikationsverket lagbaserade tekniska föreskrifter om stark autentisering och förtroendenätet för leverantörer av identifieringstjänster.
I denna rekommendation specificeras de allmänna principerna för behandling av personuppgifter i förtroendenätet. Närmare bestämmelser om behandlingen av personuppgifter finns speciellt i EU:s allmänna dataskyddsförordning (2016/679, nedan benämnd dataskyddsförordningen) och i dataskyddslagen (1050/2018).
Behandlingen av personuppgifter i tjänster för ärendehantering och annan behandling av personuppgifter än den som hänför sig till identifieringstransaktioner har avgränsats ur dataskyddsbilagan, även om de tangeras i anvisningarna.
Denna rekommendation om behandlingen av personuppgifter har tagits fram av experter inom personuppgiftslagen på basis av de behov som dåvarande Kommunikationsverkets arbetsgrupp för Identifiering och betrodda tjänster hade identifierat. Under beredningen av den första versionen av bilagan har dataskyddsombudsmannen konsulterats om ämnet.
Rekommendationen om behandlingen av personuppgifter är juridiskt sett Transport- och kommunikationsverkets rekommendation, inte en förpliktande föreskrift. Enligt lagen om stark autentisering och betrodda elektroniska tjänster ska dataombudsmannen övervaka att bestämmelserna om personuppgifter i lagen iakttas. Transport- och kommunikationsverket är inte myndighet som svarar för tillsynen över att personuppgifter behandlas i enlighet med lag.
Dessa uppförandekoder och bilagan om dataskydd kompletterar lagen, förordningen och Transport- och kommunikationsverket Traficoms lagbaserade tekniska föreskrifter om stark autentisering och förtroendenätet för leverantörer av identifieringstjänster.
Uppförandekoderna har från början tagits fram i samverkan mellan myndigheter och representanter för näringslivet i arbetsgruppen Identifiering och betrodda tjänster. Arbetsgruppen har tillsatts av Kommunikationsverket och exempelvis banker, teleföretag och Befolkningsregistercentralen (i dag Myndigheten för digitalisering och befolkningsdata) har varit representerade i gruppen. Den aktuella versionen har utfärdats i samarbetsgruppen för förtroendenätet som är tillsatt av Transport- och kommunikationsverket. Uppförandekoderna är juridiskt sett Transport- och kommunikationsverkets rekommendation.
Genom ändring (139/2015) av lagen om stark autentisering och betrodda elektroniska tjänster (617/2009, nedan benämnd autentiseringslagen) utfärdades bestämmelser om uppbyggnad av ett förtroendenät för identifieringstjänster. Målet för förtroendenätet är att främja både utbudet på marknaden av allmänt tillgängliga identifieringstjänster som till användbarheten och säkerheten är avancerade och att främja säkerheten i den elektroniska ärendehanteringen. Via nätverket kan olika identifieringsverktyg förmedlas till tjänster för ärendehantering genom enhetliga tekniska och administrativa arrangemang. Närmare bestämmelser om förtroendenätets administrativa praxis, tekniska gränssnitt och administrativa ansvar finns i statsrådets förordning om förtroendenätet för leverantörer av tjänster för stark autentisering (169/2016, nedan benämnd förordningen om förtroendenätet).
År 2019 gjordes betydande ändringar i bestämmelserna i autentiseringslagen (lag 412/2019) som gäller verksamheten i förtroendenätet. De nya bestämmelserna anger mera detaljerat än tidigare de leveransvillkor för tillträdesrätt som leverantören av identifieringstjänst ska upprätta och de metoder med vilka nyttjanderätten beviljas. I uppdateringen beaktades lagändringarna som trädde i kraft år 2019 och för bilagans del EU:s allmänna dataskyddsförordning. Syftet med uppförandekoderna är att beskriva de gemensamma målen, principerna och åtgärderna för förtroendenätets verksamhet, för att personer ska kunna identifieras i tjänsterna för ärendehantering på ett tillförlitligt och effektivt sätt oberoende av på vilket sätt företag som ingår i förtroendenätet har organiserat sin verksamhet. Syftet med uppförandekoderna är att göra det lättare att ingå avtal inom förtroendenätet.
Uppförandekoderna beskriver på en allmän nivå olika avtalsteman och den relevanta lagstiftningen om dem. Koderna innefattar också praxis som utifrån diskussioner med branschen konstaterats vara bra och som kan utnyttjas vid avtal. Uppförandekoderna och bilagan om dataskydd kan bifogas ett avtal eller hänvisas till i avtalet. Till innehållet är uppförandekoderna inte uttömmande. Dessutom kan avtals-parterna inkludera andra villkor i avtalen. I sina avtal ska parterna naturligtvis också beakta andra bestämmelser som styr verksamheten för medlemmarna i förtroendenätet, till exempel konsumentskydds- och konkurrensrätten, som på grund av den omfattande författningsmiljön inte behandlas i sin helhet i anvisningen. Det är inte Transport- och kommunikationsverket utan konsumentombudsmannen och Konsument- och konkurrensverket som övervakar att konsumentskyddslagen och konkurrenslagen följs.
Bilaga till Transport- och kommunikationsverkets Rekommendation: Behandling av personuppgifter i förtroendenätet för elektronisk identifiering
Denna rekommendation om behandlingen av personuppgifter (dataskyddsbilagan) kompletterar lagen, förordningen och Transport- och kommunikationsverket lagbaserade tekniska föreskrifter om stark autentisering och förtroendenätet för leverantörer av identifieringstjänster.
I denna rekommendation specificeras de allmänna principerna för behandling av personuppgifter i förtroendenätet. Närmare bestämmelser om behandlingen av personuppgifter finns speciellt i EU:s allmänna dataskyddsförordning (2016/679, nedan benämnd dataskyddsförordningen) och i dataskyddslagen (1050/2018).
Behandlingen av personuppgifter i tjänster för ärendehantering och annan behandling av personuppgifter än den som hänför sig till identifieringstransaktioner har avgränsats ur dataskyddsbilagan, även om de tangeras i anvisningarna.
Denna rekommendation om behandlingen av personuppgifter har tagits fram av experter inom personuppgiftslagen på basis av de behov som dåvarande Kommunikationsverkets arbetsgrupp för Identifiering och betrodda tjänster hade identifierat. Under beredningen av den första versionen av bilagan har dataskyddsombudsmannen konsulterats om ämnet.
Rekommendationen om behandlingen av personuppgifter är juridiskt sett Transport- och kommunikationsverkets rekommendation, inte en förpliktande föreskrift. Enligt lagen om stark autentisering och betrodda elektroniska tjänster ska dataombudsmannen övervaka att bestämmelserna om personuppgifter i lagen iakttas. Transport- och kommunikationsverket är inte myndighet som svarar för tillsynen över att personuppgifter behandlas i enlighet med lag.
Målsättningar
Syftet med uppförandekoderna är att beskriva de gemensamma målen, principerna och åtgärderna för förtroendenätets verksamhet, för att personer ska kunna identifieras i tjänsterna för ärendehantering på ett tillförlitligt och effektivt sätt oberoende av på vilket sätt företag som ingår i förtroendenätet har organiserat sin verksamhet. Syftet med uppförandekoderna är att göra det lättare att ingå avtal inom förtroendenätet.
Länkar:
https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/regulation/Suositus__216_2017__S__luottamusverkosto_170403.pdf - Aikaisempi versio (2017)
https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Viestintaviraston_suosituksen_216_2017_S_liite_Henkilotietojen_kasittely_sahkoisen_tunnistamisen_luottamusverkostossa.pdf - Aikaisempi versio (2017)
Bilagor:
Liikenne-_ja_viestintäviraston_suositus_216_2020_luottamusverkoston_käytännesäännöt_luonnos.docx - Päivitetty, lausuttava versio
Henkilötietojen_käsittely_sähköisen_tunnistamisen_luottamusverkostossa_käsittelyssä_.docx - Päivitetty, lausuttava versio
Liikenne-_ja_viestintäviraston_suositus_216_2020_luottamusverkoston_käytännesäännöt_luonnos_SV.DOCX - Den aktuella versionen
SV Henkilötietojen_käsittely_sähköisen_tunnistamisen_luottamusverkostossa_käsittelyssä_.docx - Den aktuella versionen
Tidtabell
Vänligen sänd utlåtandet till Transport- och kommunikationsverket senast 10.5.2022.
Svarsanvisningar för mottagare
Transport- och kommunikationsverket ger möjlighet att avge utlåtande på finska eller svenska. Om ni vill, kan utlåtandet avges även på engelska.
Utlåtandena ska ges i utlåtande.fi -webservice eller skickas till Transport- och kommunikationsverkets registratorskontor på [email protected]. Ert utlåtande ska ha en hänvisning till ärendets diarienummer Traficom/15523/09.02.00/2021.
För att kunna avge utlåtandet ska den som svarar registrera sig och logga in på utlåtande.fi. Närmare anvisningar om att använda tjänsten finns på utlåtande.fi Anvisningar -> Bruksanvisningar. Om du behöver användarstöd kan du kontakta [email protected].
Utlåtandena ska ges i utlåtande.fi -webservice eller skickas till Transport- och kommunikationsverkets registratorskontor på [email protected]. Ert utlåtande ska ha en hänvisning till ärendets diarienummer Traficom/15523/09.02.00/2021.
För att kunna avge utlåtandet ska den som svarar registrera sig och logga in på utlåtande.fi. Närmare anvisningar om att använda tjänsten finns på utlåtande.fi Anvisningar -> Bruksanvisningar. Om du behöver användarstöd kan du kontakta [email protected].
Beredare
Ytterligare information:
Laura North (jurist), telefon 0295 390123
Hilda Ihalainen (jurist), telefon 0295 390679.
E-postadressen är [email protected].
Laura North (jurist), telefon 0295 390123
Hilda Ihalainen (jurist), telefon 0295 390679.
E-postadressen är [email protected].
Sändlista:
| Digi- ja väestötietovirasto | ||
| Finanssivalvonta | ||
| Kilpailu- ja kuluttajavirasto | ||
| Luottamusverkosto | ||
| Tekninen työryhmä | ||
| Tulu-jakelu |