U 48/2012 vp. Asunto- ja viestintäministeri Krista Kiuru

Transkriptio

1 U 48/2012 vp Valtioneuvoston kirjelmä eduskunnalle ehdotuksesta asetukseksi sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla Perustuslain 96 :n 2 momentin mukaisesti lähetetään eduskunnalle Euroopan unionin komission 4 päivänä kesäkuuta 2012 tekemä ehdotus Euroopan parlamentin ja neuvoston asetukseksi sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla KOM (2012) 238 lopullinen, sekä siihen liittyvä muistio. Helsingissä 16 päivänä elokuuta 2012 Asunto- ja viestintäministeri Krista Kiuru Neuvotteleva virkamies Katja Lingonheimo

2 2 U 48/2012 vp LIIKENNE- JA VIESTINTÄMINISTERIÖ MUISTIO EU/2012/1079 KOMISSION EHDOTUS ASETUKSEKSI SÄHKÖISESTÄ TUNNISTAMISESTA JA SÄHKÖISIIN TRANSAKTIOIHIN LIITTYVISTÄ LUOTTAMUSPALVELUISTA SI- SÄMARKKINOILLA 1 Asian tausta Euroopan parlamentti ja Euroopan unionin neuvosto antoivat joulukuussa 1999 direktiivin sähköisiä allekirjoituksia koskevista yhteisön puitteista (1999/93/EY). Direktiivin päätavoitteena oli luoda sähköisten allekirjoitusten käytölle yhteisön puitteet, jotka mahdollistaisivat sähköisiin allekirjoituksiin liittyvien tuotteiden ja palvelujen vapaan liikkuvuuden rajojen yli ja varmistaisivat sähköisten allekirjoitusten oikeudellisen perusaseman komissio antoi parlamentille ja neuvostolle kertomuksen sähköallekirjoitusdirektiivin toteuttamisesta (COM( )). Vaikka direktiivin pääperiaatteet olivat kaikissa jäsenvaltioissa pantu täytäntöön, oli komission mukaan sähköisten allekirjoitusten vastavuoroisessa tunnustamisessa ja yhteentoimivuudessa yleisellä tasolla edelleen ongelmia. Komissio aloitti vuonna 2008 toimintaohjelman tarkoituksenaan tarttua näihin ongelmiin. Toimintaohjelman jatkotoimenpiteenä komission antamassa Euroopan digitaalistrategia -tiedonannossa (COM(2010) 245, ) tunnistetaan Euroopan digitaalisen kehityksen seitsemän keskeistä estettä. Sähköisen tunnistamisen ja sähköisten allekirjoitusten kannalta merkityksellisiä esteitä ovat digitaalisten markkinoiden hajanaisuus, puutteellinen yhteentoimivuus sekä yleistyvä verkkorikollisuus ja riski alhaisesta luottamuksesta verkkoihin. Strategiassa ehdotetaan ratkaisuiksi ensinnäkin sähköisiä allekirjoituksia koskevan direktiivin tarkistusta, jotta saataisiin oikeudellinen kehys turvallisten sähköisten todentamisjärjestelmien rajat ylittävälle tunnustamiselle ja yhteentoimivuudelle (avaintoiminto 3). Edelleen ehdotetaan Euroopan parlamentin ja neuvoston päätöstä sähköisen tunnistamisen ja todentamisen vastavuoroisesta tunnustamisesta (avaintoiminto 16). Avaintoiminnot ovat myös osa komission antamaa Euroopan sähköisen hallinnon toimintasuunnitelmaa (COM(2010) 743). Sisämarkkinoiden toimenpidepaketti - tiedonannossaan (COM(2011) 206, ) komissio toteaa, että luottamuksen lisääminen sähköisiä liiketoimia kohtaan on ehdoton edellytys kansalaisille, yrityksille ja viranomaisille hyödyllisten digitaalisten sisämarkkinoiden kehittymiselle. Edelleen komissio painottaa Etenemissuunnitelma kohti vakautta ja kasvua -tiedonannossaan (COM(2011) 669, ) rajat ylittävän sähköisen todentamisen ja allekirjoituksen vastavuoroisen tunnustamisen merkitystä työllisyydelle ja kasvulle. Tässä viitekehyksessä komissio järjesti internetissä avoimen kuulemisen Sinun äänesi Euroopassa -internetsivuston välityksellä Komissio vastaanotti tuona aikana 434 yhteydenottoa aiheesta. Liikenne- ja viestintäministeriö esitti tuolloin, että unionitasolla tulisi pyrkiä edistämään eri jäsenmaiden palveluntarjoajien keskinäistä luottamusta mahdollisimman kevyellä sääntelyllä. Lokakuussa 2011 komissio piti aiheesta erityisesti pk-yrityksille suunnatun kyselyn. Komissio järjesti sähköiseen tunnistamiseen ja varmentamiseen sekä sähköisiin allekirjoituksiin liittyen vuosina 2011 ja 2012 työpajoja niin jäsenvaltioiden edustajille kuin yksityisen ja julkisen sektorin sekä tiedeyhteisön edustajille. Enemmistö kuulemisiin osallistuneista puolsi näkemystä, jonka mukaan sähköallekirjoitusdirektiivin jättämiä aukkoja on lainsäädäntöä tarkistamalla pyrittävä paikkaamaan. Paremman sääntelyn tavoitteen mukaisesti komissio suoritti vaikutustenarvioinnin tule-

3 U 48/2012 vp 3 van sääntelyn soveltamisalasta ja sääntelyinstrumentista sekä sääntelyn synnyttämästä valvonnantarpeesta. Vaikutustenarvioinnin mukaan tehdyt valinnat muun muassa lisäävät merkittävästi oikeusvarmuutta liittyen rajat ylittäviin oikeustoimiin. Edelleen luotto näihin oikeustoimiin samaten kuin näiden oikeustoimien turvallisuus tulee vaikutustenarvioinnin mukaan merkittävästi parantumaan. Näiden parannusten komissio katsoo johtavan markkinoiden yhdenmukaistumiseen. 2 Pääasiallinen sisältö I Luku Yleiset säännökset Luvussa ilmaistaan asetuksen kohde ja soveltamisala sekä määritellään asetuksessa käytettävät käsitteet. Asetusta sovellettaisiin jäsenvaltioiden itsensä toteuttamaan, niiden puolesta toteutettuun tai niiden vastuulla tapahtuvaan sähköiseen tunnistamiseen sekä EU:n alueelle sijoittuneisiin luottamuspalvelujen tarjoajiin. Asetuksen alueellinen soveltamisala rajautuisi tämän mukaisesti. Soveltamisalan ulkopuolelle olisi rajattu vapaaehtoisiin yksityisoikeudellisiin sopimuksiin perustuvien sähköisten luottamuspalvelujen tarjonta. Samoin soveltamisalan ulkopuolelle jäisivät sellaisten sopimusten tai muiden oikeudellisten velvoitteiden vahvistamiseen tai pätevyyteen liittyvät näkökohdat, joihin sisältyy kansallisessa tai unionin lainsäädännössä asetettuja muotovaatimuksia. Asetuksen soveltamisala olisi ehdotuksen mukaan sähköisiä allekirjoituksia koskevista yhteisön puitteista annetun direktiivin (1999/93/EY) soveltamisalaa laajempi. Direktiivissä säännellään vain sähköisiä allekirjoituksia ja niihin liittyviä varmenteita sekä varmennepalvelujen tarjoajia. Asetuksessa ehdotetaan säänneltäväksi myös sähköisen tunnistamisen ja sähköisten allekirjoitusten lisäksi muitakin sähköisiä luottamuspalveluja. Näin ollen suuri osa asetusehdotuksen määritelmistä on uusia. Osa määritelmistä on kuitenkin otettu sellaisenaan direktiivistä taikka niitä on selvennetty tai täydennetty. Suomessa vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain (617/2009) määritelmät vastaavat direktiivin soveltamisalalla direktiivin määritelmiä. Sähköisellä tunnistamisella tarkoitetaan asetusehdotuksessa prosessia, jossa käytetään yksiselitteisesti tiettyä luonnollista tai oikeushenkilöä edustavia henkilön tunnistetietoja sähköisessä muodossa. Sähköisen tunnistamisen menetelmällä tarkoitettaisiin aineellista tai aineetonta yksikköä, joka sisältää sähköisen tunnistamisen määritelmässä tarkoitettuja tunnistetietoja ja jota käytetään pääsemiseksi 5 artiklassa tarkoitettuihin verkkopalveluihin, joiden käyttö lainsäädännön tai hallinnollisen käytännön nojalla edellyttää sähköistä tunnistamista sähköisen tunnistamisen menetelmän ja todentamisen avulla. Sähköisen tunnistamisen järjestelmällä tarkoitetaan ehdotuksessa sähköiseen tunnistamiseen liittyvää järjestelmää, jonka puitteissa sähköisen tunnistamisen menetelmiä annetaan luonnollisten tai oikeushenkilöiden käyttöön. Todentamisella tarkoitettaisiin sähköistä prosessia, joka mahdollistaa luonnollisen tai oikeushenkilön sähköisen tunnistamisen tai sähköisen tiedon alkuperän ja koskemattomuuden validoinnin. Allekirjoittajan määritelmää on direktiivistä yksinkertaistettu. Allekirjoittajalla tarkoitetaan asetusehdotuksessa luonnollista henkilöä, joka luo sähköisen allekirjoituksen. Sähköisen allekirjoituksen määritelmä vastaa merkitykseltään käytännössä direktiivissä käytettyä määritelmää. Täsmennyksenä todentamisen sijaan edellytetään tietoa käytettävän nimenomaan allekirjoittamiseen. Ehdotuksen määritelmän mukaan sähköinen allekirjoitus on sähköisessä muodossa oleva tieto, joka on liitetty tai joka loogisesti liittyy muuhun sähköiseen tietoon ja jota allekirjoittaja käyttää allekirjoittamiseen. Kehittyneen sähköisen allekirjoituksen määritelmän yhtä neljästä vaatimuksesta ehdotetaan täsmennettäväksi edellyttämällä, että sähköinen allekirjoitus on luotu käyttäen sähköisen allekirjoituksen luontitietoja, joita allekirjoittaja voi korkealla varmuustasolla käyttää yksinomaisessa valvonnassaan. Kolme muuta vaatimusta pysyisivät direktiiviä vastaavina: sähköisen allekirjoituksen on liityttävä yksiselitteisesti allekirjoittajaansa, sähköisellä allekirjoituksella on voitava yksilöidä allekirjoittaja ja sähköisen allekirjoituksen on oltava liitetty

4 4 U 48/2012 vp kohteenaan olevaan tietoon siten, että tiedon mahdollinen myöhempi muuttaminen voidaan havaita. Hyväksytyllä sähköisellä allekirjoituksella tarkoitettaisiin kehittynyttä sähköistä allekirjoitusta, joka on luotu hyväksytyllä sähköisen allekirjoituksen luontivälineellä ja joka perustuu sähköisten allekirjoitusten hyväksyttyyn varmenteeseen. Asetuksessa tarkoitettaisiin sähköisen allekirjoituksen luontitiedoilla yksilöiviä tietoja, joita allekirjoittaja käyttää sähköisen allekirjoituksen luomiseen. Varmenne on asetusehdotuksessa sähköinen todistus, joka liittää luonnollisen henkilön sähköisen allekirjoituksen validointitiedot tai oikeushenkilön sähköisen leiman validointitiedot varmenteeseen ja vahvistaa nämä kyseiseen henkilöön liittyvät tiedot. Sähköisen allekirjoituksen hyväksytty varmenne tarkoittaisi todistusta, jota käytetään sähköisen allekirjoituksen tukena, jonka on myöntänyt hyväksytty luottamuspalvelujen tarjoaja ja joka täyttää liitteessä I säädetyt vaatimukset. Liitteessä vaatimuksia ehdotetaan täsmennettäviksi ja laajennettaviksi direktiivin hyväksyttyjä varmenteita koskevista vaatimuksista. Luottamuspalvelua käytetään asetusehdotuksessa yläkäsitteenä. Sillä tarkoitetaan sähköistä palvelua, joka koostuu sähköisten allekirjoitusten, sähköisten leimojen, sähköisten aikaleimojen, sähköisten asiakirjojen, sähköisten jakelupalvelujen, verkkosivustojen todentamisen ja sähköisten varmenteiden luomisesta, tarkastamisesta validoinnista, käsittelystä ja säilyttämisestä. Hyväksytty luottamuspalvelu tarkoittaisi luottamuspalvelua, joka täyttää asetuksessa säädetyt sovellettavat vaatimukset. Luottamuspalvelun tarjoaja tarkoittaa ehdotuksessa luonnollista tai oikeushenkilöä, joka tarjoaa yhtä tai useampaa luottamuspalvelua. Hyväksytty luottamuspalvelujen tarjoaja puolestaan olisi luottamuspalvelujen tarjoaja, joka täyttää asetuksessa säädetyt sovellettavat vaatimukset. Sekä hyväksytyn luottamuspalvelun että sen tarjoajan yleiset ja palvelukohtaiset vaatimukset ovat ehdotuksen III luvussa. Tuotteella tarkoitetaan asetusehdotuksessa laitteistoja tai ohjelmistoja tai niiden merkityksellisiä osia, jotka on tarkoitettu käytettäviksi luottamuspalvelujen tarjonnassa. Määritelmä on direktiivin sähköisiin allekirjoituksiin liittyvän tuotteen määritelmää kattavampi. Sähköisen allekirjoituksen luontivälineellä tarkoitetaan ehdotuksessa asetuksin varustettua ohjelmistoa tai laitteistoa, jota käytetään sähköisen allekirjoituksen luomiseen. Määritelmä vastaa osin direktiivin määritelmää allekirjoituksen luomismenetelmälle. Hyväksytty sähköisen allekirjoituksen luontiväline puolestaan tarkoittaa asetusehdotuksessa sähköisen allekirjoituksen luontivälinettä, joka täyttää ehdotuksen liitteessä II säädetyt vaatimukset. Asetusehdotuksessa asetetut vaatimukset hyväksytylle sähköisen allekirjoituksen luontivälineelle ovat täsmällisemmät ja kattavammat kuin direktiivin liitteessä III asetetut vaatimukset turvalliselle allekirjoituksen luomismenetelmälle. Asetusehdotuksessa sähköisiin leimoihin liittyvät määritelmät koskevat vain oikeushenkilöitä, siinä missä sähköisiin allekirjoituksiin liittyvät määritelmät koskevat puolestaan vain luonnollisia henkilöitä. Muutoin sähköiseen allekirjoitukseen ja sähköiseen leimaan liittyvät määritelmät pääosin vastaisivat toisiaan. Leiman luojalla tarkoitettaisiin oikeushenkilöä, joka luo sähköisen leiman. Sähköinen leima puolestaan olisi sähköisessä muodossa oleva tieto, joka on liitetty tai joka loogisesti liittyy muuhun sähköiseen tietoon ja jolla varmistetaan kyseisen muun tiedon alkuperä ja koskemattomuus. Kehittynyt sähköinen leima on ehdotuksessa sähköinen leima, joka täyttää neljä vaatimusta: se liittyy yksiselitteisesti leiman luojaan, sillä voidaan yksilöidä leiman luoja, se on luotu käyttäen sähköisen leiman luontitietoja, joita leiman luoja voi korkealla varmuustasolla käyttää valvonnassaan sähköisen leiman luomiseen ja se on liitetty kohteenaan olevaan tietoon siten, että tiedoston mahdollinen myöhempi muuttaminen voidaan havaita. Hyväksytyllä sähköisellä leimalla tarkoitetaan ehdotuksessa kehittynyttä sähköistä leimaa, joka on luotu hyväksytyllä sähköisen leiman luontivälineellä ja joka perustuu sähköisen leiman hyväksyttyyn varmenteeseen. Sähköisen leiman luontitiedoilla tarkoitetaan yksilöiviä tietoja, joita sähköisen leiman luoja käyttää sähköisen leiman luomiseen. Sähköisen leiman hyväksytyllä varmenteella tarkoitetaan todistusta, jota käytetään sähköisen leiman tukena, jonka on myöntänyt hyväksytty luottamus-

5 U 48/2012 vp 5 palvelujen tarjoaja ja joka täyttää liitteessä III säädetyt vaatimukset. Vaatimukset vastaavat sähköisten allekirjoitusten hyväksytyille varmenteille liitteessä I asetettuja vaatimuksia. Sähköisellä aikaleimalla tarkoitetaan ehdotuksessa sähköisessä muodossa olevia tietoja, jotka sitovat muita sähköisiä tietoja tiettyyn ajankohtaan ja muodostavat todisteen näiden muiden tietojen olemassaolosta kyseisenä ajankohtana. Hyväksytyn sähköisen aikaleiman olisi täytettävä 33 artiklassa asetetut vaatimukset. Sähköistä asiakirjaa ehdotetaan yläkäsitteeksi, joka tarkoittaa mitä tahansa sähköisessä muodossa olevaa asiakirjaa. Sähköinen jakelupalvelu tarkoittaa ehdotuksessa palvelua, jonka avulla tietoa voidaan siirtää sähköisesti, joka antaa siirretyn tiedon käsittelyyn liittyviä todisteita ja joka suojaa siirretyt tiedot häviämisen, varkauden, vaurioitumisen tai luvattomien muutosten riskiltä. Sähköinen jakelupalvelu olisi hyväksytty sähköinen jakelupalvelu, jos se täyttää 36 artiklassa säädetyt vaatimukset. Verkkosivuston todentamisen hyväksytty varmenne on asetusehdotuksessa todistus, jolle määritelmässä asetetaan neljä vaatimusta: verkkosivusto voidaan varmenteen avulla todentaa, varmenne liittää verkkosivuston henkilöön jolle varmenne on myönnetty, varmenteen on myöntänyt hyväksytty luottamuspalvelujen tarjoaja ja varmenne täyttää liitteessä IV säädetyt vaatimukset. Liitteessä asetetut vaatimukset vastaavat soveltuvin osin sähköisen allekirjoituksen ja sähköisen leiman hyväksytylle varmenteelle liitteissä I ja III asetettuja vaatimuksia. Validointitiedoilla tarkoitetaan ehdotuksessa tietoja, joita käytetään sähköisen allekirjoituksen tai sähköisen leiman validointiin. Luvussa käsiteltäisiin vielä sisämarkkinaperiaatetta. Toiseen jäsenvaltioon sijoittautuneen luottamuspalvelujen tarjoajan luottamuspalvelujen tarjontaa ei saisi jäsenvaltion alueella rajoittaa syistä, jotka kuuluvat asetuksen kattamiin aloihin. Lisäksi säädettäisiin, että asetuksen mukaisten tuotteiden on saatava liikkua vapaasti sisämarkkinoilla. II Luku Sähköinen tunnistaminen Luku sisältää säännökset sähköisestä tunnistamisesta. Säännökset ovat uusia voimassa olevan direktiivin 1999/93/EY säätäessä ainoastaan sähköisistä allekirjoituksista. Sähköistä tunnistamista ei esitetä käsiteltäväksi ehdotuksessa samalla tavoin yleistasolla kuin muita luottamukseen perustuvia sähköisiä palveluja, koska tunnisteet kuuluvat kansalliseen toimivaltaan. Näin ollen ehdotuksessa keskitytään tiukasti maiden rajat ylittäviin sähköisen tunnistamisen näkökohtiin. Sähköisen tunnistamisen säännöksiin sisältyisivät eri sähköisten tunnistamismenetelmien vastavuoroinen tunnustaminen ja hyväksyminen, sähköisen tunnistamisen järjestelmien ilmoittamisehdot ja ilmoittaminen sekä koordinointi koskien sähköiseen tunnistamiseen liittyvää jäsenvaltioiden välistä yhteistyötä ja sähköisen tunnistamisen menetelmien yhteentoimivuuden toteuttamista yli rajojen. Jäsenvaltiot velvoitettaisiin tunnustamaan ja hyväksymään komissiolle asetuksen nojalla ilmoitetut, toisessa jäsenvaltiossa hyväksytyt, verkkopalvelujen käyttöön tarvittavat sähköiset tunnistamismenetelmät kyseisten palvelujen käyttöä varten. Sähköisen tunnistamisen järjestelmän ilmoittamisessa tulisi täyttyä määrätyt ehdot. Ensinnäkin, sähköisen tunnistamisen menetelmä olisi täytynyt antaa käyttöön ilmoittavan jäsenvaltion toimesta, puolesta tai sen vastuulla. Toiseksi, kyseistä sähköisen tunnistamisen järjestelmää tarvittaisiin julkisten palvelujen käyttöön. Kolmanneksi, jäsenvaltion olisi varmistettava yksiselitteinen yhteys sähköisten tunnistamistietojen (henkilötunnistetietojen) ja kyseisen henkilön välillä. Neljänneksi, sähköisten tunnistamistietojen pätevyyden tarkistamiseksi jäsenvaltion tulisi tarjota verkkotodennusta kolmansille osapuolille veloituksetta. Todentamismahdollisuuden olisi oltava saatavilla keskeytyksettä. Todentamiseen turvautuville tahoille ei saisi asettaa minkäänlaisia teknisiä erityisvaatimuksia. Ilmoitettuun tunnistamisjärjestelmään tai todentamismahdollisuuteen liittyvä poikkeama tai näiden jonkin osan turvallisuuden vaarantuessa jäsenvaltion olisi viipymättä keskeytettävä tai peruutettava ilmoitettu tunnistamisjärjestelmä tai todentamismahdollisuus tai osa, jonka turvallisuus on vaarantunut, ja ilmoitettava asiasta muille jä-

6 6 U 48/2012 vp senvaltioille ja komissiolle. Viidenneksi, jäsenvaltion olisi otettava vastuu henkilötunnistetietojen liittämisen yksiselitteisyydestä (henkilöön liitetyt tunnistetiedot eivät ole yhteydessä kehenkään muuhun henkilöön) ja todentamismahdollisuudesta (mahdollisuudesta tarkistaa sähköisten tunnistetietojen pätevyys). Jäsenvaltion tulisi sähköisen tunnistamisjärjestelmän ilmoittamisen yhteydessä toimittaa komissiolle ilman aiheetonta viivytystä kuvaus ilmoitetusta sähköisen tunnistamisen järjestelmästä, tiedot ilmoitetusta sähköisen tunnistamisen järjestelmästä vastaavista viranomaisista, tiedot siitä, mikä taho hallinnoi yksiselitteisten henkilötunnisteiden rekisteröintiä, kuvaus todentamismahdollisuudesta sekä järjestelyt joko ilmoitetun tunnistamisjärjestelmän tai todentamismahdollisuuden tai niiden osien, joiden turvallisuus on vaarantunut, keskeyttämistä tai peruuttamista varten. Jäsenvaltion tulisi toimittaa komissiolle myös ilmoittamiinsa tietoihin tulleet muutokset. Esityksen mukaan komissio julkaisee Euroopan unionin virallisessa lehdessä luettelon ilmoitetuista sähköisen tunnistamisen järjestelmistä sekä niitä koskevat perustiedot. Komissio voisi täytäntöönpanosäädöksillä määritellä ilmoittamiseen liittyvät olosuhteet, muotoseikat ja menettelyt. Ilmoitettujen tunnistamisjärjestelmien tekninen yhteentoimivuus pyrittäisiin varmistamaan koordinoimalla jäsenvaltioiden välistä yhteistyötä. Sääntely asettaisi jäsenvaltioille yhteistyövelvoitteen ilmoitetun järjestelmän piiriin kuuluvien sähköisen tunnistamisen menetelmien yhteentoimivuuden varmistamiseksi ja niiden tietoturvan parantamiseksi. Komissio vahvistaisi täytäntöönpanosäädöksin tarvittavat menettelyt jäsenvaltioiden yhteistyön helpottamiseksi edistääkseen luottamuksen ja tietoturvan korkeaa tasoa, joka on oikeassa suhteessa riskin suuruuteen. Täytäntöönpanosäädökset koskisivat erityisesti sähköisen tunnistamisen järjestelmiä koskevien tietojen, kokemusten ja hyvien käytänteiden vaihtoa, ilmoitettujen sähköisen tunnistamisen järjestelmien vertaisarviointia ja jäsenvaltioiden toimivaltaisten viranomaisten harjoittamaa sähköisen tunnistamisen alan kehityksen tarkastelua. Komissio voisi antaa delegoituja säädöksiä, jotka koskevat sähköisen tunnistamisen menetelmien maiden rajat ylittävän yhteentoimivuuden helpottamista asettamalla teknisiä vähimmäisvaatimuksia. III Luku Luottamuspalvelut Luvun 1 jakso sisältää yleiset säännökset. Yleisiin säännöksiin sisältyvät säännökset hyväksytyistä ja muista luottamuspalvelujen tarjoajista ja laajentuneesta vahingonkorvausvastuusta luonnollista henkilöä ja oikeushenkilöä kohtaan erityisesti tilanteissa, joissa luottamuspalvelun tarjoaja on laiminlyönyt tietoturvaan liittyviä velvollisuuksiaan ja jättänyt täyttämättä luottamuspalvelujen tarjoajia koskevat vaatimukset. Vapautuakseen edellä mainitusta vahingonkorvausvastuusta luottamuspalvelujen tarjoajan tulisi osoittaa, ettei hän ole toiminut huolimattomasti. Vastuusääntely perustuu direktiivin 1999/93/EY 6 artiklaan. Luvun 1 jaksossa esitetään säädettäväksi myös kolmansista maista tulevien hyväksyttyjen luottamuspalvelujen tarjoajien hyväksyttyjen palvelujen ja hyväksyttyjen varmenteiden tunnustamisesta ja hyväksymisestä Euroopan unionin ja kolmansien maiden tai kansainvälisten organisaatioiden välisen kansainvälisen sopimuksen nojalla. Sääntely pohjautuu direktiivin 1999/93/EY 7 artiklaan. Lisäksi esitetään säädettäväksi tietosuojaan sekä henkilötietojen keräämiseen ja käsittelyyn liittyvistä periaatteista (mm. tietojen käsittelyn lainmukaisuus, oikeudenmukaisuus, käsittelyn minimointi ja vähimmäistiedoissa pitäytyminen, henkilöön liittyvien tietojen luottamuksellisuuden ja koskemattomuuden takaaminen) sekä luottamuspalvelujen esteettömyydestä vammaisten näkökulmasta. Tietosuojan ja henkilötietojen keräämisen ja käsittelyn sääntelyn mukaan palveluntarjoajan on toiminnassaan noudatettava Euroopan parlamentin ja neuvoston direktiiviä 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta. Lisäksi valvontaelinten on varmistettava, että henkilötietoja käsitellään edellä mainitun direktiivin mukaisesti. Direktiivissä 95/46/EY muun muassa todetaan, että henkilötietoja on käsiteltävä asianmukaisesti ja laillisesti, ja niitä saa kerätä vain tiettyä selvästi määriteltyä, laillista

7 U 48/2012 vp 7 tarkoitusta varten. Tietojenkäsittely edellyttää rekisteröidyn suostumusta. Tietojen käsittelyn tulee tapahtua direktiivissä säänneltyjen käsittelyn luottamuksellisuutta ja turvallisuutta koskevien periaatteiden mukaisesti. Asetusehdotuksessa oleva tietosuojan ja henkilötietojen keräämisen ja käsittelyn sääntely perustuu direktiivin 1999/93/EY 8 artiklaan. Luvun 2 jakso sisältää valvontaa koskevat säännökset. Jäsenvaltiot velvoitettaisiin perustamaan valvontaelimet sekä valvontaelinten valvonta- ja tutkintavaltuuksia laajennettaisiin hyväksyttyjen ja muiden luottamuspalvelujen tarjoajien ja tarjottujen hyväksyttyjen luottamuspalvelujen suhteen. Sääntely perustuu direktiivin 1999/93/EY 3 artiklan 3 kohtaan. Valvontaelin vastaisi hyväksyttyjen ja muiden luottamuspalvelujen tarjoajien ja tarjottujen hyväksyttyjen luottamuspalvelujen valvonnasta, sekä arkistoitujen tietojen säilyttämisen ja saatavilla olon varmistamisesta palvelun jatkuvuuden takaamiseksi tarvittavan ajan hyväksytyn luottamuspalvelun tarjoajan lopetettua toiminnan. Valvontaelimen tulisi toimittaa vuosikertomus edellisen vuoden valvontatoiminnasta komissiolle ja jäsenvaltioille. Jäsenvaltioiden olisi ilmoitettava komissiolle ja muille jäsenvaltioille nimeämänsä valvontaelimen nimi ja osoite. Komissiolla olisi valta antaa delegoituja säädöksiä valvontatehtäviin sovellettavien menettelyjen määrittelyä varten. Komissio voisi täytäntöönpanosäädöksillä määritellä vuosikertomukseen liittyvät olosuhteet, muotoseikat ja menettelyt. Jäsenvaltioiden valvontaelinten yhteistyöllä ja keskinäisellä avunannolla pyrittäisiin helpottamaan luottamuspalvelun tarjoajien valvontaa rajojen yli. Keskinäinen avunanto kattaisi erityisesti tietopyynnöt ja valvontatoimet. Avunannosta voisi kieltäytyä ainoastaan toimivallan puuttumisen tai pyynnön ja asetuksen sääntelyn ristiriitaisuuden nojalla. Keskinäinen avunanto sisältäisi myös erilaiset jäsenvaltioiden valvontaelinten yhteisoperaatiot. Avustava valvontaelin voisi kansallisen lainsäädäntönsä mukaisesti siirtää tutkintatehtäviä avustettavan valvontaelimen henkilöstölle. Avustava valvontaelin ottaisi kuitenkin edellä mainitussa siirtotilanteessa vastuun avustettavan valvontaelimen henkilöstön toimista. Komissio voisi täytäntöönpanosäädöksillä määritellä keskinäiseen avunantoon liittyvät muotoseikat ja menettelyt. Hyväksytyillä ja muilla luottamuspalvelujen tarjoajilla olisi velvollisuus toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet toimintojensa ja palvelujensa tietoturvan takaamiseksi. Luottamuspalvelun tarjoaja voisi toimittaa valvontaelimelle tunnustetun riippumattoman tahon suorittamaa tietoturvatarkastusta koskevan kertomuksen vahvistaakseen, että tarvittavat tietoturvatoimenpiteet on toteutettu. Lisäksi toimivaltaisille valvontaelimille ja muille asiaankuuluville viranomaisille olisi ilman aiheetonta viivytystä, ja jos mahdollista, viimeistään 24 tunnin kuluessa siitä, kun asia on tullut luottamuspalvelun tarjoajien tietoon, ilmoitettava mahdollisista tietoturvapoikkeamista ja tietoturvaloukkauksista (koskemattomuuden menetyksistä). Tarvittaessa valvontaelimet ilmoittaisivat asiasta muiden jäsenvaltioiden valvontaelimille ja Euroopan verkko- ja tietoturvavirastolle ENISAlle. Valvontaelimet voisivat tiedottaa asiasta myös kyseisen luottamuspalvelun tarjoajan kautta suurelle yleisölle. Edellä olevien tietoturvavaatimusten täytäntöönpanemiseksi toimivaltaisella elimellä olisi oltava valtuudet antaa luottamuspalvelun tarjoajille sitovia määräyksiä. Valvontaelimen olisi toimitettava ENISAlle ja komissiolle vuosittain tiivistelmä luottamuspalvelun tarjoajilta saamistaan poikkeamailmoituksista. Komissiolla olisi valta antaa delegoituja säädöksiä teknisten ja organisatoristen toimenpiteiden tarkempaa määrittelyä varten. Komissio voisi täytäntöönpanosäädöksillä määritellä tietoturvavaatimusten soveltamiseen liittyvät olosuhteet, muotoseikat ja menettelyt, mukaan luettuina määräajat. Hyväksyttyjen luottamuspalvelujen tarjoajien ja niiden tarjoamien hyväksyttyjen luottamuspalvelujen valvonnan toteuttamiseksi hyväksytyt luottamuspalvelujen tarjoajat olisi tarkastettava kerran vuodessa tunnustetun riippumattoman tahon toimesta, jotta valvontaelimelle voitaisiin osoittaa, että ne täyttävät asetuksessa säädetyt velvoitteet. Luottamuspalvelujen tarjoajien olisi toimitettava tarkastuksen perusteella laadittava tietoturvatarkastuskertomus valvontaelimelle. Valvontaelimellä olisi oikeus suorittaa milloin tahansa

8 8 U 48/2012 vp tarkastuksia hyväksytyn luottamuspalvelujen tarjoajan tiloissa. Valvontaelimen olisi ilmoitettava tarkastustensa tuloksista tietosuojaviranomaisille, jos näyttäisi siltä, että henkilötietojen suojaan liittyviä sääntöjä olisi rikottu. Valvontaelin voisi lisäksi antaa hyväksytyille luottamuspalvelujen tarjoajille sitovia määräyksiä korjata tietoturvatarkastuskertomuksesta ilmenevät puutteet vaatimusten noudattamisessa. Jos hyväksytty luottamuspalvelun tarjoaja ei korjaisi edellä tarkoitettua puutetta valvontaelimen asettamassa määräajassa, se menettäisi hyväksytyn asemansa ja valvontaelin ilmoittaisi sille sen aseman muuttamisesta hyväksyttyjä luottamuspalvelujen tarjoajia ja niiden tarjoamia hyväksyttyjä luottamuspalveluja koskevassa luotettavassa luettelossa. Komissiolla olisi valta antaa delegoituja säädöksiä niiden ehtojen määrittelemiseksi, joiden mukaisesti asetuksessa tarkoitetun tarkastuksen suorittava riippumaton taho tunnustetaan. Komissio voisi täytäntöönpanosäädöksillä määritellä tarkastuksen suorittamiseen ja havaittujen puutteiden korjaamisen liittyvät olosuhteet, muotoseikat ja menettelyt. Hyväksyttyjen luottamuspalvelun tarjoajien olisi ilmoitettava valvontaelimelle aikeestaan aloittaa hyväksytyn luottamuspalvelun tarjonta ja toimitettava valvontaelimelle tunnustetun riippumattoman tahon laatima tietoturvatarkastuskertomus. Hyväksytyt luottamuspalvelun tarjoajat voisivat aloittaa hyväksytyn luottamuspalvelun tarjonnan toimitettuaan ilmoituksen ja tietoturvatarkastuskertomuksen valvontaelimelle. Kun tarvittavat asiakirjat olisi toimitettu valvontaelimelle ja valvontaelin olisi tarkastanut, että hyväksytty luottamuspalvelun tarjoaja ja sen tarjoamat hyväksytyt luottamuspalvelut täyttäisivät asetuksen vaatimukset, hyväksytyt palveluntarjoajat sisällytettäisiin hyväksyttyjä luottamuspalvelun tarjoajia ja niiden tarjoamia hyväksyttyjä luottamuspalveluja koskeviin luotettaviin luetteloihin. Kun hyväksytystä luottamuspalvelusta olisi tehty edellä tarkoitettu ilmoitus, julkisen sektorin elin ei voisi kieltäytyä hyväksymästä palvelua hallinnollista menettelyä tai muodollisuutta varten sillä perusteella, että sitä ei olisi sisällytetty vielä hyväksyttyjä luottamuspalvelun tarjoajia ja niiden tarjoamia hyväksyttyjä luottamuspalveluja koskeviin luotettaviin luetteloihin. Komissio voisi täytäntöönpanosäädöksillä määritellä hyväksytyn luottamuspalvelun aloittamisilmoituksen tekemiseen, tietoturvatarkastuskertomuksen toimittamiseen, hyväksyttyjen palveluntarjoajien luotettaviin luetteloihin sisällyttämiseen ja hyväksyttyjen luottamuspalvelun tarjoajien ja hyväksyttyjen luottamuspalvelujen tarkastamiseen liittyvät olosuhteet, muotoseikat ja menettelyt. Kunkin jäsenvaltion olisi laadittava, ylläpidettävä ja julkaistava sähköisesti allekirjoitettuja tai leimattuja luotettavia luetteloja muodossa, joka soveltuisi automaattiseen käsittelyyn ja jotka sisältäisivät tietoa hyväksytyistä palvelujen tarjoajista, jotka olisivat valvonnan alaisia, sekä niiden tarjoamista hyväksytyistä palveluista. Jäsenvaltioiden olisi ilman aiheetonta viivytystä ilmoitettava komissiolle tiedot kansallisten luotettavien luettelojen laatimisesta, ylläpitämisestä ja julkaisemisesta vastaavasta elimestä sekä yksityiskohtaiset tiedot tällaisten luettelojen julkaisupaikasta, luotettavien luettelojen allekirjoittamisessa tai leimaamisessa käytetyistä varmenteista ja näiden mahdollisista muutoksista. Komissio asettaisi nämä tiedot julkisesti saataville yhteisen mallin mukaisesti, jotta niiden automatisoitu käyttö olisi helpompaa ja ne olisivat riittävän yksityiskohtaisia. Komissiolla olisi valta antaa delegoituja säädöksiä luotettaviin luetteloihin sisällytettävien tietojen määrittelyä varten. Komissio voisi täytäntöönpanosäädöksillä määritellä edellä esitetyn luotettavia luetteloita koskevan sääntelyn soveltamiseen liittyvät luotettavien luetteloiden tekniset eritelmät ja muotoseikat. Hyväksyttyjen luottamuspalvelujen tarjoajien olisi täytettävä tietyt vaatimukset, jotta ne voitaisiin tunnustaa hyväksytyiksi luottamuspalvelujen tarjoajiksi. Edellä mainittu perustuu direktiivin 1999/93/EY liitteeseen II. Hyväksyttyä varmennetta myöntäessään hyväksytyn luottamuspalvelun tarjoajan olisi tarkastettava asianmukaisin menetelmin ja kansallisen lainsäädännön mukaisesti sen luonnollisen tai oikeushenkilön henkilöllisyys ja mahdolliset muut määreet, jolle hyväksytty varmenne myönnettäisiin. Hyväksytyn palvelun tarjoajan tai hyväksytyn palvelun tarjoajan vastuulla toimivan valtuutetun kolmannen osapuolen olisi tarkastettava täl-

9 U 48/2012 vp 9 laiset tiedot luonnollisen henkilön tai oikeushenkilön valtuutetun edustajan läsnäollessa tai etäältä käyttäen edellä mainitun mukaisesti myönnettyä sähköisen tunnistamisen menetelmää, joka kuuluisi ilmoitetun järjestelmän piiriin. Lisäksi hyväksyttyjä luottamuspalveluja tarjoavien hyväksyttyjen luottamuspalvelun tarjoajien olisi palkattava henkilöstöä, jolla on tarvittava asiantuntemus, kokemus ja pätevyys, joka noudattaisi eurooppalaisia tai kansainvälisiä standardeja vastaavia hallinnollisia ja johtamismenettelyjä ja joka olisi saanut tarvittavaa koulutusta tietoturvaa ja henkilötietojen suojaa koskevista säännöistä. Hyväksyttyjen luottamuspalvelujen tarjoajien olisi kannettava vahinkovastuuriski ylläpitämällä riittäviä taloudellisia varoja tai käyttämällä sopivaa vastuuvakuutusjärjestelmää. Hyväksyttyjen luottamuspalvelujen tarjoajien olisi ilmoitettava ennen sopimussuhteen aloittamista henkilöille, jotka haluaisivat käyttää hyväksyttyä luottamuspalvelua, kyseisen palvelun käytön tarkoista ehdoista ja edellytyksistä. Hyväksyttyjen luottamuspalvelujen tarjoajien olisi käytettävä luotettavia järjestelmiä ja tuotteita, jotka olisivat suojattuja muutoksilta ja joilla taattaisiin tuotteiden tukemien prosessien tekninen tietoturva ja luotettavuus. Hyväksyttyjen luottamuspalvelujen tarjoajien olisi käytettävä luotettavia järjestelmiä niille annettujen tietojen tallentamiseen tarkastettavissa olevassa muodossa siten, että tiedot olisivat julkisesti haettavissa vain, jos siihen olisi saatu tietojen kohteena olevan henkilön suostumus; ainoastaan valtuutetut henkilöt voisivat syöttää tietoja ja tehdä niihin muutoksia; ja tietojen aitous voitaisiin tarkastaa. Hyväksyttyjen luottamuspalvelujen tarjoajien olisi toteutettava toimenpiteitä tietojen väärentämisen ja varastamisen estämiseksi. Hyväksyttyjen luottamuspalvelujen tarjoajien olisi arkistoitava asianmukaisen ajan kaikki tarvittavat tiedot hyväksytyn luottamuspalvelun tarjoajan myöntämistä ja vastaanottamista tiedoista, erityisesti käytettäväksi todisteena oikeudellisissa käsittelyissä. Tällaisia arkistoja voitaisiin ylläpitää sähköisessä muodossa. Hyväksyttyjen luottamuspalvelujen tarjoajien olisi ylläpidettävä ajantasaista toiminnan lopettamissuunnitelmaa, jotta voitaisiin varmistaa palvelun jatkuvuus valvontaelimen tietojen säilyttämisen ja saatavilla pitämisen varmistamista varten vahvistamien järjestelyjen mukaisesti. Hyväksyttyjen luottamuspalvelujen tarjoajien olisi varmistettava, että henkilötietoja käsitellään lainmukaisesti asetuksen tietojen käsittelyn ja suojaamisen sääntelyä noudattaen. Hyväksyttyjä varmenteita myöntävien hyväksyttyjen luottamuspalvelun tarjoajien olisi rekisteröitävä varmenteen peruuttaminen varmennetietokannassaan 10 minuutin kuluessa peruutuksen voimaantulosta. Hyväksyttyjä varmenteita myöntävien hyväksyttyjen luottamuspalvelun tarjoajien olisi varmenteen peruuttamisen rekisteröintiin liittyen annettava kaikille niihin tukeutuville tahoille tietoa niiden myöntämien hyväksyttyjen varmenteiden voimassaolo- tai peruutustilasta. Tämä tieto olisi asetettava saataville jatkuvasti ainakin varmennekohtaisesti automaattisella tavalla, joka olisi luotettava, maksuton ja tehokas. Komissio voisi täytäntöönpanosäädöksin vahvistaa sovellettavien luotettavia järjestelmiä ja tuotteita koskevien standardien viitenumerot. Jos järjestelmä tai tuote vastaisi näitä standardeja, sen katsottaisiin olevan hyväksyttyjä luottamuspalvelujen tarjoajia koskevien vaatimusten mukainen. Luvun 3 jakso sisältää säännökset sähköisestä allekirjoituksesta. Sähköisten allekirjoitusten oikeusvaikutuksia ja hyväksymistä koskevalla sääntelyllä selkeytettäisiin ja laajennettaisiin direktiivin 1999/93/EY 5 artiklaa ja asetettaisiin nimenomainen velvollisuus antaa hyväksytyille sähköisille allekirjoituksille samat oikeusvaikutukset kuin käsin kirjoitetuille allekirjoituksille. Sähköisen allekirjoituksen käytettävyyttä todisteena oikeudellisissa menettelyissä ei voitaisi myöskään kieltää pelkästään sillä perusteella, että se olisi sähköisessä muodossa. Hyväksytyt sähköiset allekirjoitukset olisi tunnustettava ja hyväksyttävä kaikissa jäsenvaltioissa. Julkisen sektorin elimen tarjoamassa verkkopalvelussa voitaisiin hyväksyä käytettäväksi myös alhaisemman tason sähköisiä allekirjoituksia, joiden tietoturvavarmistustaso olisi hyväksyttyä sähköistä allekirjoitusta alhaisempi. Jäsenvaltiot eivät saisi vaatia julkisen sektorin elimen tarjoaman verkkopalvelun käytössä rajojen yli sähköistä allekirjoitusta, jonka tietoturvavarmistustaso olisi korkeam-

10 10 U 48/2012 vp pi kuin hyväksytyn sähköisen allekirjoituksen. Komissiolla olisi valta antaa delegoituja säädöksiä, jotka koskisivat palvelussa käytettävien hyväksyttyjen sähköisten allekirjoitusten ja muiden sähköisten allekirjoitusten erilaisia tietoturvatasoja. Komissio voisi täytäntöönpanosäädöksin vahvistaa sähköisten allekirjoitusten tietoturvatasoihin sovellettavien standardien viitenumerot. Jos sähköinen allekirjoitus vastaisi kyseisiä standardeja, sen katsottaisiin olevan komission antamassa delegoidussa säädöksessä määritellyn tietoturvatason mukainen. Hyväksytyille sähköallekirjoitusvarmenteille on asetettu määrätyt vaatimukset asetuksen liitteessä I. Sääntelyllä selkeytettäisiin direktiivin 1999/93/EY liitettä I ja poistettaisiin säännökset, jotka ovat osoittautuneet käytännössä toimimattomiksi (varmenteen käyttörajoitukset, transaktioita koskevat arvomääräiset rajoitukset). Sähköisten allekirjoitusten hyväksyttyjen varmenteiden olisi sisällettävä seuraavat tiedot/asiat: tieto, että varmenne on sähköisen allekirjoituksen hyväksytty varmenne; tiedot varmenteet myöntävästä palveluntarjoajasta (oikeushenkilön osalta nimi ja rekisterinumero, luonnollisen henkilön osalta nimi); allekirjoittajan tiedot (ainakin nimi tai salanimi); allekirjoituksen luontitetoja vastaavat validointitiedot; varmenteen voimassaolotiedot; varmenteen yksilöivä tunniste; palveluntarjoajan kehittynyt sähköinen allekirjoitus tai kehittynyt sähköinen leima; tieto sijainnista, josta kehittynyttä sähköistä allekirjoitusta tai kehittynyttä sähköistä leimaa tukeva varmenne on saatavilla veloituksetta; varmenteen voimassaolotilaan liittyvien palvelujen sijainti; sekä, tieto automaattiseen käsittelyyn soveltuvassa muodossa, että sähköisen allekirjoituksen validointitietoihin liittyvät sähköisen allekirjoituksen luontitiedot sijaitsevat hyväksytyssä sähköisten allekirjoitusten luontivälineessä. Lisäksi sääntelyn mukaan peruutetun varmenteen voimassaolo päättyisi eikä sen tilaa voitaisi missään olosuhteissa palauttaa uusimalla sen voimassaolo. Komissiolla olisi valta antaa delegoituja säädöksiä hyväksyttyjä sähköallekirjoitusvarmenteita koskevien vaatimusten tarkentamiseksi. Komissio voisi täytäntöönpanosäädöksin vahvistaa sähköisen allekirjoituksen hyväksyttyihin varmenteisiin sovellettavien standardien viitenumerot. Jos sähköisen allekirjoituksen hyväksytty varmenne vastaisi kyseisiä standardeja, sen katsottaisiin olevan hyväksyttyjä sähköallekirjoitusvarmenteita koskevien vaatimusten mukainen. Hyväksytyille sähköisten allekirjoitusten luontivälineille on asetettu määrätyt vaatimukset asetuksen liitteessä II. Sääntelyllä selvennettäisiin turvallisia allekirjoituksen luontivälineitä koskevia direktiivin 1999/93/EY 3 artiklan 5 kohdassa säädettyjä vaatimuksia. Hyväksytyillä sähköisen allekirjoituksen luontivälineillä olisi tarkoituksenmukaista tekniikkaa ja menettelytapoja käyttäen varmistettava ainakin, että sähköisen allekirjoituksen muodostamisessa käytettävien sähköisen allekirjoituksen luontitietojen pysyminen salassa taattaisiin; sähköisen allekirjoituksen muodostamisessa käytettävät sähköisen allekirjoituksen luontitiedot voisivat ilmetä vain kerran; sähköisen allekirjoituksen luontitiedot eivät kohtuullisella varmuudella olisi pääteltävissä ja sähköinen allekirjoitus olisi suojattu väärentämiseltä kulloinkin saatavilla olevan teknologian mukaisesti; ja, laillinen allekirjoittaja voisi luotettavasti suojata sähköisen allekirjoituksen muodostamisessa käytettävät sähköisen allekirjoituksen luontitiedot muiden käytöltä. Hyväksytyt sähköisen allekirjoituksen luontivälineet eivät saisi muuttaa allekirjoitettavia tietoja eivätkä estää niiden esittämistä allekirjoittajalle ennen allekirjoittamista. Allekirjoittajan puolesta tapahtuvasta sähköisen allekirjoituksen luontitietojen muodostamisesta ja hallinnoinnista vastaisi hyväksytty luottamuspalvelujen tarjoaja. Allekirjoittajan puolesta sähköisen allekirjoituksen luontitietoja hallinnoivat hyväksytyt luottamuspalvelujen tarjoajat voisivat kahdentaa sähköisen allekirjoituksen luontitietoja varmuuskopiointitarkoituksiin edellyttäen, että seuraavat vaatimukset täyttyisivät: kahdennettujen tietokokonaisuuksien tietoturvan olisi oltava samalla tasolla kuin alkuperäisten tietokokonaisuuksien; ja, kahdennettujen tietokokonaisuuksien määrä ei saisi ylittää vähimmäismäärää, joka olisi tarpeen palvelun jatkuvuuden varmistamiseksi. Komissio voisi täytäntöönpanosäädöksin vahvistaa hyväksyttyihin sähköisen allekirjoituksen luontivälineisiin sovellettavien

11 U 48/2012 vp 11 standardien viitenumerot. Jos hyväksytty sähköisen allekirjoituksen luontiväline vastaisi kyseisiä standardeja, sen katsottaisiin olevan hyväksyttyjä allekirjoituksen luontivälineitä koskevien vaatimusten mukainen. Hyväksyttyjen sähköisen allekirjoituksen luontivälineiden sertifiointia koskeva sääntely perustuu direktiivin 1999/93/EY 3 artiklan 4 kohtaan. Sertifioinnilla määriteltäisiin, täyttävätkö hyväksytyt sähköisen allekirjoituksen luontivälineet asetuksen liitteessä II asetetut tietoturvavaatimukset. Kaikkien jäsenvaltioiden olisi tunnustettava tällaiset välineet vaatimusten mukaisiksi, kun sertifioinnin olisi suorittanut jäsenvaltion nimeämä sertifiointilaitos (asianmukainen julkinen tai yksityinen taho). Komissio julkaisisi luettelon tällaisista sertifioiduista välineistä. Komissio voisi myös laatia luettelon niiden standardien viitenumeroista, joita käytettäisiin tietotekniikkatuotteiden tietoturva-arvioinnissa. Jäsenvaltioiden olisi ilmoitettava komissiolle ja muille jäsenvaltioille nimeämänsä julkisen tai yksityisen tahon nimi ja osoite. Komissiolla olisi valta antaa delegoituja säädöksiä, jotka koskisivat nimetyille tahoille asetettavia erityisvaatimuksia. Jäsenvaltioiden olisi ilman aiheetonta viivytystä ilmoitettava komissiolle tiedot sertifioinnin suorittaneiden tahojen sertifioimista hyväksytyistä sähköisen allekirjoituksen luontivälineistä. Niiden olisi ilman aiheetonta viivytystä ilmoitettava komissiolle myös tiedot sähköisen allekirjoituksen luontivälineistä, joita ei enää sertifioitaisi. Komissio laatisi ja julkaisisi sertifioitujen hyväksyttyjen sähköisen allekirjoituksen luontivälineiden luettelon saatuaan jäsenvaltioilta ilmoitukset välineiden vaatimustenmukaisuudesta. Lisäksi komissio ylläpitäisi edellä mainittua luetteloa. Komissio voisi täytäntöönpanosäädöksillä määritellä jäsenvaltioiden ilmoitusvelvollisuuteen liittyvät olosuhteet, muotoseikat ja menettelyt. Hyväksyttyjen sähköisten allekirjoitusten validointia koskevat vaatimukset perustuvat direktiivin 1999/93/EY liitteen IV turvallista allekirjoitusten todentamista koskeviin suosituksiin. Sääntelyllä pyrittäisiin lisäämään validoinnin oikeusvarmuutta. Hyväksytty sähköinen allekirjoitus olisi katsottava päteväksi, jos voitaisiin korkealla varmuustasolla todeta, että allekirjoitushetkellä täyttyisivät seuraavat seikat: allekirjoitusta tukeva varmenne olisi asetuksen liitteen I mukainen hyväksytty sähköisen allekirjoituksen varmenne; vaadittava hyväksytty varmenne olisi aito ja pätevä; allekirjoituksen validointitiedot vastaisivat allekirjoitukseen tukeutuvalle osapuolelle annettuja tietoja; allekirjoittajaa yksiselitteisesti edustava tietokokonaisuus olisi annettu oikein allekirjoitukseen tukeutuvalle osapuolelle; jos käytettäisiin salanimeä, sen käytöstä olisi selkeästi ilmoitettu allekirjoitukseen tukeutuvalle osapuolelle; sähköinen allekirjoitus olisi luotu hyväksytyllä sähköisen allekirjoituksen luontivälineellä; allekirjoitettujen tietojen koskemattomuutta ei olisi loukattu; kehittyneen sähköisen allekirjoituksen vaatimukset täyttyisivät; ja, allekirjoituksen validointiin käytettävä järjestelmä antaisi allekirjoitukseen tukeutuvalle osapuolelle validointiprosessissa oikean tuloksen ja antaisi allekirjoitukseen tukeutuvalle osapuolelle mahdollisuuden huomata mahdolliset tietoturvaan vaikuttavat poikkeamat. Komissiolla olisi valta antaa delegoituja säädöksiä hyväksyttyjen sähköisten allekirjoitusten validointia koskevien vaatimusten tarkentamiseksi. Komissio voisi täytäntöönpanosäädöksin vahvistaa hyväksyttyjen sähköisten allekirjoitusten validointiin sovellettavien standardien viitenumerot. Jos hyväksyttyjen sähköisten allekirjoitusten validointi vastaisi kyseisiä standardeja, sen katsottaisiin olevan hyväksyttyjen sähköisten allekirjoitusten validointia koskevien vaatimusten mukainen. Hyväksyttyjen sähköisten allekirjoitusten hyväksytyn validointipalvelun tulisi täyttää määrätyt ehdot. Validointipalvelun tarjoajan tulisi tarjota validointia hyväksyttyjen sähköisten allekirjoitusten validointia koskevien vaatimusten mukaisesti sekä tarjota allekirjoitukseen tukeutuville osapuolille validointiprosessin tuloksen automaattisesti tavalla, joka olisi luotettava, tehokas ja sisältäisi hyväksytyn validointipalvelun tarjoajan kehittyneen sähköisen allekirjoituksen tai kehittyneen sähköisen leiman. Komissio voisi täytäntöönpanosäädöksin vahvistaa tässä tarkoitettuun hyväksyttyyn validointipalveluun sovellettavien standardien viitenumerot. Jos hyväksyttyjen sähköisten allekirjoitusten va-

12 12 U 48/2012 vp lidointipalvelu vastaisi kyseisiä standardeja, sen katsottaisiin olevan validointiprosessin tulosten automaattista tarjontaa koskevien vaatimusten mukainen. Hyväksyttyjen sähköisten allekirjoitusten pitkäaikainen säilyttäminen olisi mahdollista käyttäen menetelmiä ja teknologioita, joilla voitaisiin jatkaa hyväksyttyjen sähköisten allekirjoitusten validointitietojen luotettavuutta senkin jälkeen, kun niiden teknologinen voimassaolo olisi päättynyt. Hyväksyttyjen sähköisten allekirjoitusten säilyttämispalvelua tarjoaisi hyväksytty luottamuspalvelujen tarjoaja. Komissiolla olisi valta antaa delegoituja säädöksiä hyväksyttyjen sähköisten allekirjoitusten säilyttämistä koskevien vaatimusten tarkentamiseksi. Komissio voisi täytäntöönpanosäädöksin vahvistaa hyväksyttyjen sähköisten allekirjoitusten säilyttämiseen sovellettavien standardien viitenumerot. Jos hyväksyttyjen sähköisten allekirjoitusten säilyttämisjärjestelyt vastaisivat kyseisiä standardeja, niiden katsottaisiin olevan hyväksyttyjen sähköisten allekirjoitusten säilyttämistä koskevien vaatimusten mukaisia. Luvun 4 jakso sisältää sähköisiä leimoja koskevat säännökset. Voimassa oleva direktiivi 1999/93/EY ei koske sähköisiä leimoja, joten säännökset ovat uusia. Myöskään Suomen voimassaoleva lainsäädäntö ei tunne sähköisen leiman käsitettä. Jaksossa säädettäisiin ensinnäkin sähköisten leimojen oikeusvaikutuksista. Sähköisen leiman sähköinen muoto ei yksinään saisi olla syynä leiman oikeusvaikutusten ja todisteena käyttämisen kieltämiseen. Hyväksyttyyn sähköiseen leimaan liitettäisiin myös erityinen oikeusolettama, jonka mukaan se takaa siihen yhteydessä olevien sähköisten asiakirjojen alkuperän ja koskemattomuuden. Hyväksytty sähköinen leima olisi tunnustettava ja hyväksyttävä kaikissa jäsenvaltioissa. Mikäli verkkopalvelun käyttäminen edellyttää sähköistä leimaa, joka on tietoturvavarmistukseltaan hyväksyttyä sähköistä leimaa alhaisempi, olisi palvelun käyttöä varten hyväksyttävä kaikki tietoturvavarmistukseltaan vastaavat sähköiset leimat. Tämä koskisi erityisesti julkisen sektorien elimen tarjoamaa verkkopalvelua. Komissiolla olisi valta antaa delegoituja säädöksiä koskien näitä erilaisia tietoturvavarmistustasoja ja täytäntöönpanosäädöksin vahvistaa tietoturvavarmistustasoihin sovellettavien standardien viitenumerot. Jäsenvaltiot eivät saisi julkisen sektorin elimen tarjoaman verkkopalvelun käyttämiseksi vaatia sähköistä leimaa, jonka tietoturvavarmistustaso on hyväksytyn sähköisen leiman tietoturvavarmistustasoa korkeampi. Edelleen jaksossa säädettäisiin sähköisen leiman hyväksyttyjä varmenteita koskevista vaatimuksista. Sähköisen leiman hyväksytyn varmenteen olisi täytettävä asetuksen liitteessä III säädetyt vaatimukset, mutta tällaiselle varmenteelle ei saisi asettaa näitä vaatimuksia ylittäviä pakollisia vaatimuksia. Varmenteen olisi sisällettävä tieto siitä, että se on myönnetty sähköisen leiman hyväksyttynä varmenteena. Varmenteen olisi myös sisällettävä tietokokonaisuudet, jotka yksiselitteisesti edustavat varmenteen myöntävää hyväksytyn luottamuspalvelun tarjoajaa ja oikeushenkilöä, jolle varmenne on myönnetty. Edelleen varmenteen olisi sisällettävä sähköisen leiman luontitietoja vastaavat validointitiedot ja varmenteen voimassaoloaikaa koskevat tiedot. Varmenteen sisältämällä tunnisteella olisi voitava yksilöidä hyväksytty luottamuspalveluiden tarjoaja. Myöntävän hyväksytyn luottamuspalvelun tarjoajan kehittynyt sähköinen allekirjoitus tai kehittynyt sähköinen leima olisi myös sisällytettävä varmenteeseen. Varmenteen olisi sisällettävä myös tällaista allekirjoitusta tai leimaa tukevan varmenteen sijainti, kuten myös sijainti hyväksytyn varmenteen voimassaolon tilan tarkastamiseen. Lopuksi varmenteen olisi sisällettävä tieto siitä, mikäli sähköisen leiman validointitietoihin liittyvät sähköisen leiman luontitiedot sijaitsevat hyväksytyssä sähköisten leimojen luontivälineessä. Sähköisen leiman voimassaolo päättyisi lopullisesti, mikäli se olisi ensimmäisen aktivoinnin jälkeen peruttu. Komissiolla olisi valta antaa delegoituja säädöksiä liitteessä III säädettyjen vaatimusten tarkentamiseksi ja täytäntöönpanosäädöksin vahvistaa sähköisen leiman hyväksyttyihin varmenteisiin sovellettavien standardien viitenumerot. Hyväksytyistä sähköisen leiman luontivälineistä ja hyväksyttyjen sähköisten leimojen validoinnista ja säilyttämisestä ei säädettäisi erikseen, vaan viitattaisiin vastaaviin hyväk-

13 U 48/2012 vp 13 syttyä sähköistä allekirjoitusta koskeviin 22, 23, 24, 25, 26 ja 27 artikloihin. Luvun 5 jakso sääntelee sähköistä aikaleimaa. Vastaavaa sääntelyä ei ole voimassa olevassa direktiivissä 1999/93/EY eikä kansallisessa lainsäädännössämme. Ehdotuksen mukaan sähköinen muoto ei saisi yksin olla syynä kieltää sähköisen aikaleiman oikeusvaikutuksia ja hyväksyttävyyttä todisteena. Hyväksytyn sähköisen aikaleiman katsottaisiin myös takaavan osoittamansa ajankohdan ja siihen sidottujen tietojen koskemattomuuden. Hyväksytty sähköinen aikaleima olisi tunnustettava ja hyväksyttävä kaikissa jäsenvaltioissa. Hyväksytyille sähköisille aikaleimoille asetettaisiin jaksossa vaatimukseksi virheetön liittäminen UTC-aikaan, joka on saatu virheettömästä aikalähteestä. Hyväksytyn sähköisen aikaleiman olisi myös oltava hyväksytyn luottamuspalvelujen tarjoajan myöntämä ja tällaisen palveluntarjoajan allekirjoittama kehittyneellä sähköisellä allekirjoituksella tai kehittyneellä sähköisellä leimalla. Komissio voisi täytäntöönpanosäädöksin vahvistaa tiettyjen hyväksyttyihin aikaleimoihin liittyvien standardien viitenumerot. Luvun 6 jakso koskee sähköisiä asiakirjoja. Direktiivissä 1999/93/EY ei ole yleistä sääntelyä sähköisistä asiakirjoista, mutta niihin liittyviä säännöksiä on hajanaisesti muussa unionin lainsäädännössä. Jaksossa säädettäisiin ensinnäkin sähköisten asiakirjojen oikeusvaikutuksista ja hyväksymisestä. Huomioon ottaen sähköisen asiakirjan aitouden ja koskemattomuuden varmuustaso, olisi sähköistä asiakirjaa pidettävä paperiasiakirjaa vastaavana ja hyväksyttävä todisteeksi oikeudellisissa menettelyissä. Hyväksytyn sähköisen allekirjoituksen tai sähköisen leiman sisältävään sähköiseen asiakirjaan liitettäisiin tietyin teknisin edellytyksin oikeusolettama. Jäsenvaltion tulisi hyväksyä julkisen sektorin elimen verkkopalveluun pääsemiseksi myös sellainen asiakirja, jonka toisessa jäsenvaltiossa on myöntänyt kyseisten asiakirjojen myöntämiseen valtuutettu henkilö ja joka alkuperäjäsenvaltiossa katsotaan alkuperäiseksi tai oikeaksi todistetuksi jäljennökseksi. Komissiolle ehdotetaan oikeutta antaa täytäntöönpanosäädöksiä näihin verkkopalveluihin pääsemiseksi mahdollisesti tarvittavien sähköisten allekirjoitusten ja leimojen muotoseikoista. Luvun 7 jaksossa säädetään hyväksytystä sähköisestä jakelupalvelusta. Voimassa oleva direktiivi 1999/93/EY ei sisällä säännöksiä sähköisistä jakelupalveluista Jaksossa säädetään ensinnäkin sähköisen jakelupalvelun oikeusvaikutuksista. Siirretyn tiedon lähettämis- ja vastaanottamisajankohta sekä tietojen koskemattomuus olisi hyväksyttävä todisteeksi oikeudellisissa menettelyissä. Samoihin tietoihin liitettäisiin oikeusolettama. Komissiolla olisi valta delegoiduin säädöksin määritellä sähköisiä jakelupalveluja koskevat mekanismit, joita on käytettävä näiden palvelujen yhteensovittamisen edistämiseksi. Jaksossa asetettaisiin myös hyväksyttyjä sähköisiä jakelupalveluja koskevat vaatimukset. Palvelua olisi tarjottava yhden tai useamman hyväksytyn luottamuspalvelun tarjoajan toimesta. Palvelun olisi mahdollistettava lähettäjän ja vastaanottajan yksiselitteinen tunnistaminen. Prosessin tulisi olla tarjoajan kehittyneellä sähköisellä allekirjoituksella tai kehittyneellä sähköisellä leimalla suojattu tietojen muuttamista vastaan ja mahdolliset muutokset tietojen lähettämisessä tai vastaanottamisessa tarvittavissa tiedoissa olisi ilmoitettava vastaanottajalle ja lähettäjälle. Tietyt ajankohtatiedot olisi ilmoitettava hyväksytyllä sähköisellä aikaleimalla. Vaatimuksia sovellettaisiin kaikkiin sellaisiin hyväksyttyihin luottamuspalvelujen tarjoajiin, joiden välillä tietoja siirretään. Komissiolle ehdotetaan oikeutta täytäntöönpanosäädöksin vahvistaa tietojen lähettämis- ja vastaanottamisprosesseihin sovellettavien standardien viitenumerot. Luvun 8 jaksossa säädetään verkkosivustojen todentamisesta. Verkkosivustojen todentamisen hyväksyttyjen varmenteiden olisi täytettävä liitteessä IV säädetyt vaatimukset. Varmenteen olisi sisällettävä tieto siitä, että se on myönnetty verkkosivustojen todentamisen hyväksyttynä varmenteena. Varmenteen olisi myös sisällettävä tietokokonaisuudet, jotka yksiselitteisesti edustavat varmenteen myöntävää hyväksytyn luottamuspalvelun tarjoajaa ja oikeushenkilöä, jolle varmenne on myönnetty. Tämän oikeushenkilön osalta varmenteen olisi myös sisällettävä osoitteen osatiedot ja oikeushenkilön käyttä-