Verkkotunnusvälittäjän vastuut ja velvollisuudet fi uudistuu 2016-kiertue Lakimiehet Sanna Sahlman ja Kirsi Sunila-Putilin
Tietoyhteiskuntakaari (917/2014) 5.9.2016 HE 221/2013.fi ja.ax -päätteisiä (* verkkotunnuksia koskevat TYK:n pykälät ovat lain viidessä eri osassa ja kuudessa eri luvussa:» I osa: 1. luku, 3 (määritelmät: kohdat 21 ja 35)» VII osa: 21. luku, 163-172 (substanssi)» XI osa: 36. luku, 295 (verkkotunnusmaksut)» XII osa: 39. luku, 312 (sähköinen tiedoksianto), 43. luku, 343 (muutoksenhaku)» XIII osa: 45. luku, 351 (voimaantulo) *) http://www.edilex.fi/he/20130221 2
Viestintäviraston määräysluonnos M 68/2014 Määräystoimivallan säännösperusta: pääsääntö perustuslaki (731/1999) 80 : oikeuksista ja velvollisuuksista säädetään lailla Nykyiset määräykset 37 E (.fi) ja 52 A (.ax) kumotaan ja korvataan yhdellä uudella määräyksellä M 68 ja sen EPP-rajapintakuvausliite perustuvat TYK:n valtuutussäännöksiin, velvoitteiden tarkennukset määräyksessä Määräykset ovat velvoittavaa lainsäädäntöä Muut ohjausdokumentit eivät oikeudellisesti velvoittavia:» MPS (määräyksen perustelut ja soveltaminen)» Ohje luonteeltaan lähinnä tulkintaa vaatimusten soveltamisesta» Suositus luonteeltaan "toivomus" MPS:ssa tai erikseen Määräysvalmistelu (1/2014-5/2015) työryhmän kanssa, KTKyhteistyö, lausuntokierros päättyi 20.3.2015, jatkui virkatyönä (ax) 3
Määräyksen tarkoitus Viestintäviraston määräysvaltuudet verkkotunnusvälittäjän toiminnasta lisääntyvät ja Viestintävirasto valvoo toimijoita Lain vaatimusten täsmentäminen auttaa toimijoita toimimaan lainmukaisesti Määräyksen tarkoituksena:» turvata verkkotunnusten käyttäjien tiedonsaanti verkkotunnuksen muotoon ja sisältöön liittyvistä vaatimuksista» edistää verkkotunnuksen siirron tai välittäjän vaihdon sujuvuutta» edistää verkkotunnuksen toimivuutta» turvata verkkotunnusten välitystoiminnan tietoturvallisuus» turvata Viestintäviraston tiedonsaanti välitystoiminnan tietoturvan häiriötilanteista Viraston valtuuksiin ei kuulu sopimusriitojen ratkaiseminen» Kuluttajariitalautakunta, tuomioistuin... 4
Määräyksen rakenne ja sisältö 1. luku: Yleiset säännökset» Sovelletaan myös ax-päätteisiin verkkotunnuksiin» Uudet käsitteet: siirtoavain (Viestintäviraston luoma), vaihtoavain (vanhan välittäjän tai poikkeuksellisesti viraston luoma) 2. luku: Verkkotunnusvälittäjää koskevat vaatimukset» Ilmoitus toiminnan aloittamisesta tai lopettamisesta, tietojen muutokset, Viestintäviraston kieltopäätöksistä ilmoittaminen, käyttäjän neuvonta, verkkotunnusrekisteriin merkittävät käyttäjän tiedot, rajapinta Viestintäviraston verkkotunnusrekisteriin, menettelyt verkkotunnuksen siirtämiseksi toiselle tai menettelyt välittäjän vaihtamiseksi 5
Määräyksen rakenne ja sisältö 3. luku: Verkkotunnusta koskevat vaatimukset» Nykyisissä kumottavissa määräyksissä olleet vaatimukset sisällytetty lähes kokonaan uuden määräyksen 3 lukuun» Velvoite ilmoittaa nimipalvelimet verkkotunnukselle on poistettu Mikäli nimipalvelimet kuitenkin ilmoitetaan, ne tulee määritellä määräyksen mukaisesti.» Sähköpostiyhteyksistä ei enää säädetä» Verkkotunnuksen muotoa koskevat vaatimukset koskevat sellaisenaan myös ax-päätteisiä verkkotunnuksia (saamen kieli)» Ei enää vaadita, etteivät SOA-tietueiden sarjanumerot ja ajastimet olennaisesti poikkeaisi julkaistuista internet-standardeista ja -suosituksista 4. luku: Verkkotunnusvälittäjän tietoturvallisuuden hallinta (TYK 170.1,6 )» ISO 27001 määräyksen taustalla 5. luku: Häiriöitä koskeva ilmoitusvelvollisuus (TYK 170.1,7 )» Merkittävistä pakollista ilmoittaa 24 tunnissa 6. luku: Voimaantulosäännökset 6
Määräyksen velvoitteiden jaottelu Vaatimukset verkkotunnusvälittäjille koskevat:» Ilmoitus- ja tiedotusvelvollisuuksia (TYK 165.1-2, M 68, 4-6 :t) Rekisterin tietosisältö tarkennettu määräyksessä, uutuus laista: kuulemisiin ja tiedoksiantoihin käytetään sähköpostiosoitetta eli prosessiosoitetta (TYK 312.2 ) Oltava kyky merkitä tiedot teknisen rajapinnan kautta viraston verkkotunnusrekisteriin (TYK 170.1,3, 167.4 )» Asiakkaille tarjottavan palvelun sisältöä ja laatua Neuvontavelvollisuus, uusiminen, irtisanominen, tunnuksen siirto, välittäjän vaihto, yhteystietojen päivittäminen» Sallittuja teknisiä rajapintoja (M 68, 9 ja 20 :t)» Tietoturvasta huolehtimista (TYK 170.1,6, M 68, 4 luku)» Ilmoitusvelvollisuutta tietoturvahäiriöistä (TYK 170.1,7, M 68, 5 luku) Kaikista lakivelvoitteista ei ole määrätty määräyksessä 7
Ilmoitus- ja tiedotusvelvoitteet Ilmoitusvelvollisuus Viestintävirastolle (TYK 165 )» toiminnan aloittamisesta (etukäteen),» välittäjätietojen muutoksista (viipymättä) ja» toiminnan lopettamisesta (2 viikkoa etukäteen, myös asiakaskohtaisesti M 68, 6 ) Tiedottaminen asiakkaille Viestintäviraston kieltopäätöksestä viipymättä (TYK 171.2, M 68, 6 )» ensin huomautus säännöksen tai päätöksen rikkomisesta» velvoittava päätös korjata virhe tai laiminlyönti kohtuullisessa määräajassa» kieltopäätös enintään yhdeksi vuodeksi tunnusten tai muutosten merkitsemiselle verkkotunnusrekisteriin 8
Aktiivinen neuvontavelvoite Välittäjän on neuvottava (TYK 170.1,1 ) asiakkaitaan verkkotunnusten lainmukaisuudesta:» Verkkotunnus ei saa loukata toiselle rekisteröityä nimeä tai tavaramerkkiä. Välittäjän tulee ohjata asiakkaat tarkistamaan lainmukaiset suojatut nimet ja tavaramerkit niitä koskevista rekistereistä (M 68, 7 )» Lopullinen vastuu lainmukaisuudesta käyttäjällä» Viestintäviraston verkkosivujen tietosisällön linkitys 9
Oikea ja ajantasainen tieto tärkeää Verkkotunnus on aina merkittävä sen todellisen käyttäjän nimiin (TYK 167.1 ) Oikeiden tietojen ilmoittaminen ja ylläpitäminen verkkotunnusvälittäjän vastuulla (lain perustelut)» Laki: muutokset ilmoitettava viipymättä, ajantasaisuus» Suositus: välittäjän tiedot kolmen päivän kuluessa 10
Prosessiosoite pakolliseksi Viestintävirastolla oikeus aina antaa tiedoksi verkkotunnuksiin liittyvä asiakirja tai päätös sähköpostilla (TYK 312 )» Katsotaan tulleen tiedoksi kolmantena päivänä, jollei muuta näytetä» Pakollinen tieto (TYK 165.1,167.1 ) kuulemisiin ja tiedonantoihin» muitakin sähköpostiosoitteita voi ilmoittaa» Lain perustelut: Vahingonkorvausvelvollisuus? 11
Verkkotunnuksen uusiminen tai irtisanominen Verkkotunnuksen voimassaolon uusiminen (TYK 167.3 )» Verkkotunnuksen käyttäjää on tiedotettava riittävästi ja tehokkaasti tunnuksen voimassaolon päättymisestä ja sen seurauksista sekä siitä kuinka tunnuksen voi uusia (TYK 170.1,4, kuukauden suoja-aika TYK 169.5) Verkkotunnuksen irtisanominen (TYK 170.1,5 )» Poisto rekisteristä käyttäjän pyynnöstä ennen voimassaolon päättymistä» Välittäjältä edellytetään huolellisuutta sen varmistamisessa, että pyyntö tulee oikealta taholta! 12
Verkkotunnuksen siirto toiselle Kun käyttäjä haluaa siirtää verkkotunnuksensa toiselle käyttäjälle (TYK 168.1, M 68,10 )» Käyttäjä pyytää välittäjää hoitamaan tunnuksen siirron» Välittäjän varmistettava, että käyttäjällä on oikeus siirtää tunnus (riittävä huolellisuus )» Sen jälkeen Viestintävirasto luo siirtoavaimen välittäjän pyynnöstä ja lähettää sen käyttäjälle» Välittäjän on tehtävä siirto on viiden arkipäivän kuluessa siitä kun käyttäjä on toimittanut välittäjälle siirtoavaimen + uuden käyttäjän tiedot 13
Verkkotunnusvälittäjän vaihto Käyttäjän oikeus vaihtaa välittäjää (TYK 168.3, M 68, 11 )» Välittäjän vaihtoavain on toimitettava viiden arkipäivän kuluessa pyytäjälle (laki: toimenpiteet suoritettava kohtuullisessa ajassa pyynnön vastaanottamisesta)» Määräys: välittäjän vaihtamista koskeva pyyntö tehtävä kirjallisesti, esim. sähköpostitse Kaksi vaihtoehtoista menettelytapaa:» Käyttäjä pyytää uutta välittäjää hankkimaan vaihtoavaimen (M 68, 3 ) vanhalta välittäjältä TAI» Käyttäjä itse pyytää vanhalta välittäjältä ko. koodin» Vaihtoavaimen luo vanha välittäjä, jonka varmistettava käyttäjän tai uuden välittäjän oikeus pyyntöön 14
Viraston rooli siirto- ja vaihtomenettelyissä toissijainen Viestintävirasto voi tehdä siirron JOS» Verkkotunnusta ei ole kohtuullisessa ajassa siirretty toiselle käyttäjälle (TYK 168.1 ) Huom! Riita-asian vireillä ollessa tunnuksen siirto toiselle käyttäjälle ei mahdollinen.» Verkkotunnusta ei ole kohtuullisessa ajassa siirretty toiselle välittäjälle (TYK 168.3 ) Välittäjän palvelu on ensisijainen!!! 15
Verkkotunnusmaksu Verkkotunnusvälittäjän velvollisuus suorittaa verkkotunnusmaksu tunnuksen merkitsemisestä ja merkinnän uudistamisesta (TYK 295 )» Maksun suorittamisesta on annettava selvitys verkkotunnusta merkittäessä» Maksusta säädetään edelleen valtion maksuperustelaissa (150/1992) 16
Tietoturvavelvoitteet Verkkotunnusvälittäjän on» Huolehdittava toimintansa tietoturvasta (TYK 170.1,6 ) EPP-rajapintaa käytettäessä välittäjän asiakasohjelmiston on oltava yhteensopiva määräyksen EPP-rajapintaliitteen kanssa Välittäjän täytettävä Katakrin teknisen tietoturvallisuuden I-osa-alueen mukaiset suojaustason IV vaatimuksista johdetut arvioitavat kohdat seuraavilta osin:» Tietoliikenneturvallisuus» Tietojärjestelmäturvallisuus» Ilmoitettava viipymättä, jos sen verkkotunnusten välitystoimintaan kohdistuu tai sitä uhkaa merkittävä tietoturvaloukkaus taikka muu tapahtuma, joka estää tai häiritsee sitä olennaisesti; samalla on ilmoitettava häiriön tai sen uhan arvioitu kesto ja vaikutukset, korjaustoimenpiteet sekä ne toimenpiteet,joilla häiriön toistuminen pyritään estämään (TYK 170.1,7 ) 17
www.domain.fi www.viestintävirasto.fi Kirsi Sunila-Putilin 27-28.10.2015 18