Viimeksi julkaistu 27.11.2021 11.02

Valtioneuvoston U-kirjelmä U 41/2021 vp Valtioneuvoston kirjelmä eduskunnalle komission ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi asetuksen (EU) N:o 910/2014 muuttamisesta eurooppalaisen digitaalisen identiteetin kehyksen vahvistamisen osalta

Perustuslain 96 §:n 2 momentin perusteella lähetetään eduskunnalle Euroopan komission 3 päivänä kesäkuuta 2021 tekemä ehdotus Euroopan parlamentin ja neuvoston asetukseksi asetuksen (EU) N:o 910/2014 muuttamisesta eurooppalaisen digitaalisen identiteetin kehyksen vahvistamisen osalta sekä ehdotuksesta laadittu muistio. 

Helsingissä 9.9.2021 
Kuntaministeri 
Sirpa 
Paatero 
 
Lainsäädäntöneuvos 
Maarit 
Huotari 
 

MUISTIOVALTIOVARAINMINISTERIÖ9.9.2021EU/2021/0586KOMISSION EHDOTUS EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUKSEK-SI ASETUKSEN (EU) N:O 910/2014 MUUTTAMISESTA EUROOPPALAISEN DIGITAA-LISEN IDENTITEETIN KEHYKSEN VAHVISTAMISEN OSALTA

Tausta

Komissio antoi 3.6.2021 ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi asetuksen (EU) N:o 910/2014 muuttamisesta eurooppalaisen digitaalisen identiteetin kehyksen vahvistamisen osalta (COM (2021) 281 final). Komission ehdotuksella on tarkoitus muuttaa sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annettua EU-asetusta (myöhemmin eIDAS-asetus). Ehdotus on yksi Euroopan digitaalisen strategian (COM (2020) 67 final) toimenpiteistä. Komissio on antanut myös tiedonannon 2030 digitaalisesta kompassista ja eurooppalaisesta lähestymistavasta digitaaliseen vuosikymmeneen (COM (2021) 118 final). Tiedonannossa tavoitteeksi asetetaan muun muassa digitaalisen kansalaisuuden luominen, ja kansalaisilla tulisi olla pääsy digitaalisiin julkisiin palveluihin universaalin digitaalisen identiteetin avulla. Tiedonannossa asetetaan konkreettisia tavoitteita digitaalisille julkisille palveluille EU:ssa vuoteen 2030 mennessä, esimerkiksi kansalaisista 80 %:lla tulisi olla mahdollisuus käyttää sähköistä tunnistautumista. Asetusehdotus eurooppalaisesta digitaalisesta identiteetistä auttaa saavuttamaan kyseisessä tiedonannossa asetetut tavoitteet. 

eIDAS-asetuksen avulla pyritään lisäämään luottamusta sähköisten transaktioiden ja liiketoimien tekemiseen sisämarkkinoilla. Toimiva sähköinen asiointi ja verkossa tapahtuva liiketoiminta edellyttävät osapuolten luottamusta toistensa identiteetteihin ja sähköisiin asiakirjoihin. eIDAS-asetus koskee ensinnäkin jäsenvaltioiden ilmoittamia eli notifioituja sähköisen tunnistamisen järjestelmiä, joilla voi tunnistautua toisen jäsenvaltioiden julkishallinnon sähköisiin palveluihin. Sähköinen tunnistaminen on keino vahvistaa osapuolten luottamusta, sillä tunnistusvälineen avulla henkilö voi luotettavalla tavalla todentaa identiteettinsä sähköisessä asioinnissa. Toiseksi asetuksessa säädetään sähköisten luottamuspalveluiden vaatimuksista ja niiden tarjoajien velvollisuuksista. Luottamuspalveluiden tarkoitus on mahdollistaa luottamus sähköisiin asiakirjoihin ja sähköisiin prosesseihin.  

eIDAS-asetuksessa on edellytetty, että komissio tarkastelee uudelleen asetuksen soveltamista tietyssä ajassa. Ehdotus perustuu komission uudelleenarviointityöhön, jonka osana komissio järjesti julkisen kuulemisen kesällä 2020 ja kartoitti asetuksen soveltamiskokemuksia jäsenvaltioissa. Suomi vastasi julkiseen kuulemiseen ennakkovaikuttamislinjausten pohjalta (E 109/2020 vp). Komission mukaan uudelleenarvioinnissa ilmeni, että kysyntä sähköisten identiteettien hallintaan ja käyttöön liittyville ratkaisuille on kasvanut markkinoilla. Enää ei ole riittävää, että voidaan osoittaa henkilöllisyys luotettavasti, vaan lisäksi olisi tarpeen pystyä osoittamaan muita henkilön identiteettiin liittyviä tietoja, kuten tieto tutkinnon suorittamisesta tai ajo-oikeudesta. Sähköisen identiteetin hallintaan liittyvien ratkaisujen avulla voidaan parantaa tehokkuutta sekä lisätä luottamusta koko EU:ssa, niin julkisen kuin yksityisen sektorin palveluissa.  

Ehdotuksen tavoite

Ehdotuksen yleisenä tavoitteena on varmistaa sisämarkkinoiden sujuva toiminta niin jäsenvaltioiden kuin eri toimialasektoreiden välisessä toiminnassa. Tavoitteena on edistää toimintaa sekä julkisen että yksityisen sektorin tarjoamissa palveluissa.  

Tämän yleisen tavoitteen lisäksi ehdotuksella halutaan erityisesti varmistaa luotettavien ja turvallisten digitaalisten identiteettiratkaisujen saatavuus kaikille EU:n kansalaisille, asukkaille ja oikeushenkilöille. Näiden palveluiden käytön tulee perustua käyttäjien tarpeisiin ja niitä tulee olla mahdollista käyttää jäsenvaltioiden rajat ylittävässä toiminnassa. Tavoitteena on lisäksi, että julkisen ja yksityisen sektorin palveluntarjoajat voivat luottaa kehitettäviin digitaalisiin identiteettiratkaisuihin, kun käyttäjät asioivat ja tunnistautuvat heidän palveluihinsa. Ehdotuksen keskeisenä tavoitteena on varmistaa EU kansalaisten mahdollisuus hallita heitä koskevia henkilötietojaan ja varmistaa, että digitaalisten identiteettiratkaisujen käyttö on heille turvallista. Luottamuspalvelujen osalta tavoitteena on varmistaa yhtäläiset edellytykset luottamuspalvelujen tarjoamiseen ja niiden hyväksymiseen jäsenvaltioissa.  

Ehdotuksen pääasiallinen sisältö

3.1  Eurooppalaista digitaalista identiteettiä koskeva lainsäädäntökehikko

Suuri osa digitaalisen identiteetin käyttöön liittyvistä palveluista jää tällä hetkellä eIDAS-asetuksen soveltamisalan ulkopuolelle. Komission mukaan eIDAS-asetuksen nykyisellä sääntelyllä ei pystytä enää vastaamaan markkinoiden tarpeisiin. Ehdotuksessa luodaan yhteinen lainsäädäntökehikko eurooppalaiselle digitaalisen identiteetin lompakkosovellukselle (myöhemmin lompakkosovellus). Lompakkosovelluksella on tarkoitus mahdollistaa sen käyttäjille sähköinen tunnistautuminen rajat ylittävästi niin sähköisissä palveluissa kuin fyysisessä käyntiasioinnissa. Tarkoitus on, että sovellusta voisi käyttää laajasti yhteiskunnan palveluissa niin julkisella kuin yksityisellä sektorilla. Ehdotuksen mukaan lompakkosovelluksella tulisi olla mahdollista myös osoittaa erilaisia vahvistettuja henkilötietoja ja todistuksia. Lisäksi lompakkosovelluksen avulla käyttäjä voisi tehdä hyväksytyn tason sähköisiä allekirjoituksia, jotka olisivat yhteentoimivia organisaatioiden ja valtioiden välillä. 

Lompakkosovellus toimisi osana sähköisen tunnistamisen järjestelmää. Se voisi olla julkisen sektorin tai myös yksityisen sektorin tuottama. Lompakkosovellusten määrää ei ole rajoitettu, mutta ehdotuksen mukaan jokaisen jäsenvaltion olisi tarjottava vähintään yksi asetuksen mukainen lompakkosovellus. Sovellus olisi tarjottava jäsenvaltion kansalaisten, asukkaiden sekä oikeushenkilöiden käyttöön. Kyse olisi siis tietynlaisesta yleispalveluvelvollisuudesta. eIDAS-asetus ei ole aiemmin velvoittanut jäsenvaltioita vastaavalla tavalla tarjoamaan sähköisen tunnistamisen järjestelmää. Jäsenvaltiot ovat aiemmin voineet itse harkita, säännelläänkö sähköistä tunnistamista ja edistetäänkö tunnistusvälineiden saatavuutta kansalaisille, asukkaille tai oikeushenkilöille. Ehdotuksen mukaan sovelluksen käyttö olisi käyttäjälle vapaaehtoista. Sovelluksen käyttö olisi luonnollisille henkilöille maksutonta, mutta oikeushenkilöiltä voisi olla mahdollista vaatia maksu. Sovellus tulisi saattaa tarjolle 12 kuukauden kuluessa asetuksen voimaantulosta.  

Suomessa ei ole tähän mennessä syntynyt oikeushenkilöille tarjottavia vahvan sähköisen tunnistamisen palveluita. Käytännössä luonnolliset henkilöt tunnistautuvat omilla sähköisillä tunnistusvälineillä palveluihin ja tekevät oikeustoimia oikeushenkilöiden puolesta. Lompakkosovellus olisi kuitenkin ehdotuksen mukaan tarjottava myös oikeushenkilöiden käyttöön.  

Lompakkosovelluksen tulisi tarjota yhteiset rajapinnat, jotta sovellusta voitaisiin käyttää edellä kuvatuin tavoin. Rajapinta tulisi tarjota esimerkiksi hyväksytyille ja ei-hyväksytyille luottamuspalveluntarjoajille, jotka tarjoavat sähköisesti vahvistettuja henkilötietoja tai todistuksia sovelluksen avulla osoitettaviksi. Lisäksi rajapinta on ehdotuksen mukaan tarjottava lompakkosovellukseen luottaville osapuolille eli sähköisten asiointipalveluiden tarjoajille henkilötietojen sähköistä kysymistä ja vahvistamista varten.  

Lompakkosovelluksen tulisi täyttää korkean varmuustason vaatimukset. Ehdotuksen mukaan lompakkosovelluksen vaatimustenmukaisuus voitaisiin näin haluttaessa osoittaa sääntelyn täytäntöönpanon osana laadittavan sertifiointiraamin avulla. Varmuustaso kuvaa sähköisen tunnistamisen menetelmän teknisen ja organisatorisen luotettavuuden astetta henkilön henkilöllisyyden toteamisessa ja osoittamisessa. Varmuustaso riippuu kyseisen sähköisen tunnistamisen menetelmän tarjoamasta luottamustasosta henkilön väitetyn tai esitetyn henkilöllisyyden suhteen. eIDAS-asetuksen 8 artikla sisältää kolme eri varmuustasoa: matala, korotettu ja korkea. Nykyisin Suomessa lain mukaan vahvan sähköisen tunnistamisen välineiden on täytettävä vähintään korotetun varmuustason vaatimukset. Muutamia poikkeuksia lukuun ottamatta kaikki Suomessa käytössä olevat vahvan sähköisen tunnistamisen menetelmät ovat korotetun varmuustason mukaisia tunnistusmenetelmiä.  

Komission ehdotuksen mukaan jäsenvaltioiden olisi yhteistyössä komission kanssa valmisteltava eurooppalaisen digitaalisen identiteetin lainsäädäntökehikon keinovalikoima (Toolbox). Keinovalikoima sisältäisi kattavasti vaatimukset lompakkosovelluksen teknisestä rakenteesta ja viitekehyksestä, yleisiä standardeja, teknistä referenssiaineistoa sekä suuntaviivoja ja hyviä käytänteitä. Keinovalikoiman tulisi kattaa neljä osa-aluetta: sähköisten henkilötietojen tarjonnan ja tietojen vaihtamisen, lompakkosovelluksen toiminnan ja turvallisuuden, lompakkosovellukseen luottaminen mukaan lukien yksilöintitietojen yhdistäminen sekä lompakkosovelluksen hallinnointi. Komissio on antanut suosituksen, miten keinovalikoima laadittaisiin jäsenvaltioiden ja komission kanssa yhteistyössä, kuullen myös yksityisen sektorin toimijoita. Keinovalikoima valmisteltaisiin muun muassa eIDAS-asiantuntijaryhmässä, johon jäsenvaltiot nimeävät asiantuntijat. Keinovalikoima on tarkoitus valmistella samanaikaisesti lainsäädäntöehdotuksen käsittelyn kanssa.  

3.2  Yksilöllinen tunniste

Ehdotuksen mukaan jäsenvaltioiden on varmistettava yksilöllinen tunnistaminen silloin, kun ilmoitettua sähköisen tunnistamisen välinettä tai lompakkosovellusta käytetään käyttäjän tunnistamiseen. Yksilöllisellä tunnistamisella tarkoitetaan ehdotuksessa sitä, että henkilön tunnistetieto yhdistetään tai linkitetään tunnistusta vastaan otettaessa henkilön jo olemassa olevaan tiliin tai henkilöstä jo olemassa oleviin tietoihin (nk. identity matching tai record matching). Jäsenvaltioiden olisi lisättävä yksilöllinen ja pysyvä tunniste luonnollista henkilöä tai oikeushenkilöä koskeviin yksilöivien tunnistetietojen vähimmäismäärään, joka sähköisen tunnistamisen järjestelmissä on käytettävissä. Tämä koskisi tilanteita, joissa lainsäädäntö edellyttää tunnistautumista.  

3.3  Sähköiset vahvistetut henkilötiedot ja todistukset

Asetuksen soveltamisalaan lisättäisiin uusi luottamuspalvelu, jolla mahdollistetaan sähköisten vahvistettujen henkilötietojen ja todistusten tarjoaminen esimerkiksi lompakkosovellukseen ja sen kautta luottaville osapuolille (asetuksen mukaan sähköiset attribuuttitodistukset). Kaikkien sellaisten yhteisöjen ja tahojen, jotka keräävät, luovat ja myöntävät sähköisiä vahvistettuja henkilötietoja ja todistuksia, kuten tutkintotodistuksia ja lisenssejä, olisi jatkossa mahdollista saattaa rekisteritietoja ja todistuksia henkilön käytettäväksi tällaisen luottamuspalvelun kautta – joko siten, että yhteisö tuottaa luottamuspalvelun itse tai siten, että se sallii luottamuspalvelun tarjoajan välittävän näitä vahvistettuja tietoja. Esimerkiksi jatkossa sähköisiä todistuksia välittävä palvelu (attribuuttipalvelu) voisi vahvistaa sähköisesti yliopiston tutkintotodistuksen ja tarjota sen osaksi henkilön lompakkosovellusta käytettäväksi eri asiointipalveluissa. Näiden tietojen tarjoajia voidaan kutsua sähköisten attribuuttipalvelujen tarjoajiksi. Ehdotuksen mukaan sähköisten attribuuttipalveluntarjoajien olisi luotava tarvittava rajapinta, jotta tietoja voidaan käyttää lompakkosovelluksessa. Lompakkosovelluksen tarjoajan on puolestaan toteutettava rajapinta todistusten vastaanottamiseen. 

Sähköisesti vahvistettuja henkilötietoja ja todistuksia olisi kohdeltava samalla tavalla kuin vastaavia paperisia versioita. Silloin kun vahvistetut henkilötiedot ja todistukset perustuvat julkisen sektorin lähteisiin tai rekistereihin, tulee palveluntarjoajan olla mahdollista tarkistaa tiedot sähköisesti alkuperäisestä lähteestä tai rekisteristä joko suoraan tai kansallisesti tunnustettujen välityspalveluntarjoajien avulla. Tämä mahdollistaisi esimerkiksi yhteisen palvelun julkisten rekisterien tietojen ja todistusten tarjoamisessa. Sähköisten attribuuttipalvelujen tarjoajat eivät saa tietosuojasyistä yhdistää attribuuttipalvelujen tarjoamiseen liittyviä henkilötietoja muiden tarjoamiensa palvelujen yhteydessä keräämiinsä henkilötietoihin. Lisäksi attribuuttipalvelujen tarjoamiseen liittyvät henkilötiedot on pidettävä erillään muista palveluntarjoajan hallussa olevista tiedoista. 

Asetusehdotuksen liitteessä määritellään ne tiedot ja todistukset, joiden tarkistaminen sähköisesti julkisen sektorin olisi vähintään mahdollistettava palveluntarjoajalle. Tarkistettavien tietojen tulisi ehdotuksen mukaan sisältää esimerkiksi osoite, ikä ja sukupuoli, mutta myös tutkintotietoja, lupia ja taloudellista tietoa. Ehdotuksen perusteella sääntelyn tarkoitus ja kohde jäävät osin epäselväksi. Epäselvää on, merkitsisikö sääntely julkiselle sektorille velvollisuutta saattaa nämä tiedot henkilön käytettäväksi sähköisesti vahvistettuina tietoina, saattaa liitteessä tarkoitetut tiedot palveluntarjoajien välitettäväksi sähköisesti vahvistettuina tietoina, tai muuta velvollisuutta mahdollistaa tietojen tarkistaminen alkuperäislähteestä.  

Yksityiselle sektorille ei ehdoteta velvoittavuutta tietojen ja todistusten sähköistämiseen tällä tavalla. Attribuuttipalvelut voivat kuitenkin vahvistaa ja välittää sekä julkisen että yksityisen sektorin tietoja ja todistuksia.  

3.4  Velvollisuus ilmoittaa sähköisen tunnistamisen järjestelmä ja velvollisuus antaa lompakkosovellus

eIDAS-asetus perustuu yhteentoimivuudelle ja vastavuoroiselle tunnustamiselle. Kansallinen tunnistusmenetelmä (julkisen tai yksityisen tuottama) voidaan ilmoittaa eli notifioida EU:n komissiolle eIDAS-asetuksen mukaisesti. Ilmoitettua tunnistusmenetelmää on jo nykyisin mahdollista käyttää muiden jäsenvaltioiden julkishallinnossa asioimiseen. Teknisesti tämä toteutetaan jäsenvaltioiden teknisen verkoston (niin sanottujen kansallisten solmupisteiden) kautta.  

Ilmoittaminen on ollut vapaaehtoista, mistä johtuen läheskään kaikki jäsenvaltiot eivät ole ilmoittaneet omaa tunnistusvälinettään. Yhteensä 14 jäsenvaltiota on ilmoittanut vähintään yhden tunnistusjärjestelmän komissiolle. Suomi ei ole toistaiseksi ilmoittanut omaa tunnistusjärjestelmää. Tämä johtuu siitä, että valtion tarjoaman kansalaisvarmenteen käyttöaste on ollut matala ja toisaalta yksityisen sektorin tunnistuspalveluiden tarjoajat, kuten pankit tai teleoperaattorit eivät ole nähneet ilmoittamista tarpeellisena. eIDAS-asetuksen käytännön merkitys on ilmoitettujen tunnistusjärjestelmien vähyyden vuoksi jäänyt pienemmäksi kuin on tavoiteltu. Muutettavaksi ehdotetun 7 artiklan mukaan, jossa ilmoittamisesta säädetään, jäsenvaltioiden olisi jatkossa velvollisuus ilmoittaa vähintään yksi sähköisen tunnistamisen järjestelmä asetuksen mukaisesti. Ilmoittaminen olisi tehtävä 12 kuukauden kuluessa asetuksen voimaantulosta.  

Ehdotuksen määritelmien mukaan myös lompakkosovellus olisi sähköisen tunnistamisen menetelmä eli tunnistusväline, joka tuotetaan sähköisen tunnistamisen järjestelmän puitteissa. Jäsenvaltion velvollisuus ilmoittaa sähköisen tunnistamisen järjestelmä voitaisiin siis mahdollisesti täyttää saattamalla kansalaisten ja asukkaiden käyttöön vaatimukset täyttävä lompakkosovellus ja ilmoittamalla se komissiolle. Näin voitaisiin täyttää sekä velvollisuus saattaa lompakkosovellus kansalaisten käyttöön sekä velvollisuus ilmoittaa tunnistusjärjestelmä lompakkosovelluksen avulla. Jäsenvaltioiden ei siis olisi välttämätöntä antaa lompakkosovellusta ja lisäksi ilmoittaa muita sähköisen tunnistamisen järjestelmiä ja tunnistusvälineitä. 

3.5  Velvollisuus hyväksyä lompakkosovellukset ja ilmoitus lompakkosovelluksen hyväksymisestä palveluissa

Asetuksessa säädettäisiin rajat ylittävästä luottamuksesta lompakkosovelluksiin. Ehdotuksen mukaan lompakkosovelluksen laaja käytettävyys ja saatavuus edellyttävät, että sen avulla henkilö voi tunnistautua julkisen ja yksityisen sektorin sähköisissä asiointipalveluissa sekä fyysisessä käyntiasioinnissa (online and offline authentication). Aiemmin eIDAS-asetus on koskenut tunnistautumista vain julkisen sektorin tarjoamiin sähköisiin palveluihin.  

Ehdotuksen mukaan jatkossa tietyillä yksityisen sektorin toimialoilla olisi velvollisuus hyväksyä lompakkosovellus yhtenä tapana tunnistautua tai päästä sen palveluihin. Toimialalistaus sisältyisi uuteen 12 b artiklaan. Velvollisuus lompakkosovelluksen hyväksymiseen olisi silloin, kun kansallinen tai EU:n lainsäädäntö tai sopimusvelvoitteet edellyttävät palveluiden käyttäjien vahvaa tunnistamista näillä toimialoilla. Lisäksi tulevan EU:n digipalvelusäädöksen 25.1 artiklan mukaisten erittäin suurten verkkoalustojen, esimerkiksi Googlen ja Facebookin kaltaisten toimijoiden, tulisi hyväksyä lompakkosovellus yhdeksi keinoksi tunnistautua alustalle silloin kun ne ylipäänsä edellyttävät käyttäjän tunnistamista palvelujen käyttämiseksi.  

Ehdotuksen mukaan asiointipalvelujen, jotka aikovat luottaa lompakkosovellukseen, tulee lisäksi ilmoittaa tästä sille jäsenvaltiolle, johon ne ovat asettuneet. Menettelyllä on tarkoitus varmistaa, että asiointipalvelut ovat luotettavia ja noudattavat EU-lainsäädännön tai kansallisen lainsäädännön vaatimuksia. Tarkoitus on näin suojella käyttäjiä petoksilta ja estää henkilötietojen ja todistusten väärinkäytöksiä. Jäsenvaltioiden olisi otettava käyttöön yhteinen mekanismi asiointipalveluiden luotettavuuden todentamiseksi. Komission on tarkoitus antaa tätä mekanismia koskevat tarkemmat vaatimukset lompakkosovellusta koskevassa täytäntöönpanoasetuksessa.  

3.6  Sähköisen tunnistamisen järjestelmän sertifiointi

Ehdotuksella on tarkoitus sujuvoittaa sähköisten tunnistusjärjestelmien ilmoittamismenettelyä. Nykyisin ilmoittamismenettelyyn sisältyy lähes poikkeuksetta ilmoitettavaan tunnistusjärjestelmään kohdistuva toisten jäsenvaltioiden tekemää vertaisarviointi. Tarkoitus on ehkäistä vaatimusten harmonisoinnilla sähköisen tunnistamisen järjestelmien arviointiin liittyvistä jäsenvaltioiden erilaista lähestymistavoista syntyviä haasteita sekä helpottaa luottamuksen rakentamista jäsenvaltioiden välillä. Ehdotuksen mukaan jäsenvaltiot voisivat jatkossa vertaisarvioinnin sijaan osoittaa lompakkosovelluksen vaatimustenmukaisuuden sertifiointimenettelyn avulla.  

Jäsenvaltio voisi nimetä julkisen tai yksityisen sektorin elimiä, jotka voivat antaa sertifiointeja vaatimustenmukaisuuden täyttymisestä. Sääntely antaisi lisäksi jäsenvaltioille mahdollisuuden käyttää akkreditoituja vaatimustenmukaisuuden arviointilaitoksia tai vapaaehtoisten tieto- ja viestintätekniikan turvallisuutta koskevia sertifiointijärjestelmiä, kuten niin kutsutun EU:n kyberturvallisuusasetuksen (EU) 2019/881 mukaisesti perustettuja sertifiointilaitoksia ja niiden laatimia raportteja ja arviointeja. Suomessa ei toistaiseksi ole tahoja, joilta olisi mahdollista saada ehdotuksen mukaisia sertifiointeja. 

Vertailun vuoksi luottamuspalveluiden arvioinnissa on käytettävä akkreditoituja vaatimustenmukaisuuden arviointilaitoksia. Valvonnassa eurooppalaisten valvontaviranomaisten havainto on ollut, että arviointilaitosten arviointimenettelyt ja raportoinnin laatu vaihtelevat ja luottamuspalveluiden hyväksyntä edellyttää käytännössä valvontaviranomaisen lisäselvityksiä. Arvioinnin sääntelyä ehdotetaan harmonisoitavan, mitä voi pitää kokemusten perusteella kannatettavana. Arviointipalvelujen saatavuudesta voidaan todeta, että Suomeen ei ole syntynyt akkreditoituja vaatimustenmukaisuuden arviointilaitoksia. Sähköisten tunnistuspalveluiden arvioinnissa voi Suomessa käyttää tunnistus- ja luottamuspalvelulain nojalla joustavasti erilaisia arviointielimiä, kunhan osoittaa objektiivisesti niiden riippumattomuuden ja pätevyyden.  

3.7  Uudet ja laajentuvat sähköiset luottamuspalvelut

Ehdotuksessa esitetään neljän uuden luottamuspalvelun lisäämistä asetuksen soveltamisalaan. Edellä kohdassa 3.3 käsiteltiin sähköisen todistusten tarjoamista, joka olisi yksi ehdotuksen uusista luottamuspalveluista. Muutoin ensinnäkin asetuksen soveltamisalaan lisättäisiin sähköisten asiakirjojen sähköinen arkistointi. Monet jäsenvaltiot ovat jo kehittäneet kansallisia vaatimuksia ja sääntelyä näihin palveluihin liittyen. Komission mukaan oikeusvarmuuden ja luottamuksen lisäämiseksi näille palveluille olisi tarpeen luoda EU-tason harmonisoidut säännökset.  

Toiseksi asetuksen soveltamisalaan lisättäisiin sähköisen allekirjoituksen ja -leiman etäluontivälineiden hallinnointi. Voimassa oleva asetus sääntelee sähköisten allekirjoitusten järjestelmiä vain tietyiltä osin. Ehdotetulla sääntelyllä varmistettaisiin, että kaikki tarpeelliset osa-alueet sähköisten allekirjoitusten ja leimojen luomiseksi on säännelty yhtenäisesti EU:ssa.  

Kolmanneksi asetuksen soveltamisalaan lisättäisiin sähköiset hajautetut tilikirjat. Nämä palvelut yhdistävät tiedon aikaleimaamisen vaikutuksen varmuuteen tiedon alkuperästä sähköisen allekirjoituksen tavoin. Palvelut mahdollistavat hajautetummat hallintomallit, jotka helpottavat ja tehostavat usean osapuolen välistä yhteistyötä. Niiden avulla on esimerkiksi mahdollista luoda luotettava kirjausketju hyödykkeiden alkuperästä rajat ylittävässä kaupassa, tukea teollis- ja tekijänoikeuksien toteutumista sekä luoda perusta itsehallittavalle sähköiselle identiteetille.  

Lisäksi ehdotuksessa laajennetaan verkkosivustojen todentamisen hyväksyttyjä varmenteita koskevaa sääntelyä. Verkkoselaimille asetettaisiin velvollisuus tunnustaa nämä varmenteet, esittää niiden sisältämä identiteettitieto käyttäjäystävällisellä tavalla ja tietyin poikkeuksin varmistaa tuki ja yhteentoimivuus. 

Suomessa ei toistaiseksi ole juurikaan tarjottu hyväksyttyjä luottamuspalveluita. Liikenne- ja viestintäviraston ylläpitämässä luotetussa luettelossa kansallisena hyväksyttynä luottamuspalveluntarjoajana on ainoastaan Digi- ja väestötietovirasto, tarjoten yksityiselle sektorille ja julkiselle sektorille luonnollisen henkilön tai organisaation allekirjoitusvarmenteita ja verkkosivun todentamisen varmenteita. Markkinoilla kuitenkin tarjotaan sellaisia luottamuspalveluja, joille ei ole hankittu eIDAS-asetuksen tarkoittamaa hyväksyntää. Odotettavissa on, että tulevaisuudessa myös hyväksyttyjen luottamuspalvelujen tarjonta lisääntyisi.  

3.8  Toimivallan siirto

Asetusehdotuksessa annetaan komissiolle toimivaltaa antaa delegoituja ja täytäntöönpanosäädöksiä. 

Ehdotuksessa komissiolle siirretään valtaa antaa delegoituja säädöksiä muun muassa vaatimuksista, joita asetetaan lompakkosovellusten vaatimuksia arvioiville elimille (6c artikla). Delegoituja säädöksiä voitaisiin antaa myös koskien lompakkosovellusten rajat ylittävää luotettavuutta ja velvoitetta hyväksyä lompakkosovellus vahvan sähköisen tunnistamisen menetelmänä (12b artikla). Artiklassa säädettyjen velvoitteiden lisäksi 12 b artiklan 5 kohdan mukaan komission tulee tehdä 18 kuukauden jälkeen lompakkosovelluksen käyttöönotosta arviointi siitä, tuleeko muiden yksityisten verkkopalveluiden tarjoajille antaa velvollisuus hyväksyä lompakkosovelluksen käyttö käyttäjän vapaaehtoisen pyynnön perusteella. Komissiolle annettaisiin valtaa antaa delegoituja säädöksiä tämän arvioinnin perusteella muuttaakseen lompakkosovelluksen tunnustamisen vaatimuksia, jotka on kuvattu kyseisessä artiklassa. Asetuksen jatkovalmistelussa kyseistä delegointivaltuutta tulisi vielä tarkastella sen laajuuden ja tarkkarajaisuuden osalta. Komissiolle siirrettäisiin valtaa antaa delegoituja säädöksiä myös tarkemmista toimenpiteistä, joita hyväksyttyjen luottamuspalvelun tarjoajien olisi otettava käyttöön riskien hallitsemiseksi (24 artikla).  

Asetusehdotuksessa komissiolle annetaan monia valtuuksia antaa täytäntöönpanosäädöksiä. Komission tulisi antaa täytäntöönpanosäädökset 6-12 kuukauden kuluessa asetuksen voimaantulosta. Täytäntöönpanosäädösten antamisessa käytetään tarkastelumenettelyä komitologia-asetuksen (EU) No 182/2011 mukaisesti. 

Osa komissiolle annettavasta täytäntöönpanovallasta liittyisi muun muassa standardeihin, teknisiin ja operatiivisiin eritelmiin sekä referenssinumeroihin (art. 6a, art. 6b, art. 6c, art. 20, art. 24, art. 28, art. 29a, art. 32, art. 34, art. 37, art. 38, art. 39a, art.42, art. 44, art. 45, art. 45c, art. 45d, art. 45g, art. 45i). Komission olisi mahdollista antaa täytäntöönpanosäädöksiä asetukseen liittyvien prosessien muodoista ja menettelyistä (art. 6d, art. 21, art. 31). Lisäksi komissio voisi antaa täytäntöönpanosäädöksiä tarkemmista toimenpiteistä, jotka liittyvät lompakkosovelluksia koskeviin turvallisuusloukkauksiin (art. 10 a) tai yksilölliseen tunnistamiseen (art. 11a). 

Asetusehdotuksessa komissiolle annettaisiin valtaa antaa täytäntöönpanosäädöksiä ehdoista, joilla kolmannen maan luottamuspalveluille ja niiden tarjoajille asetettavat vaatimukset vastaavat unionin alueella toimiville hyväksytyille luottamuspalveluille tai niiden tarjoajille asetettuja vaatimuksia (art. 14). Tämän osalta asetuksen jatkovalmistelussa tulisi kiinnittää huomiota täytäntöönpanovallan tarkkarajaisuuteen. Lisäksi komissiolla olisi valta antaa täytäntöönpanosäädöksiä valvontaviranomaisten tehtävistä (art. 17) ja valvontaviranomaisten yhteistyötä koskevasta prosessista (art. 18). Asetuksen jatkovalmistelussa tulee tarkastella, onko täytäntöönpanosäädös tarkoituksenmukainen keino säätää valvontaviranomaisen tehtävistä. 

3.9  Loppusäädökset

Komission tulee tarkastella uudelleen asetuksen soveltamista ja raportoida siitä Euroopan parlamentille ja EU:n neuvostolle 24 kuukauden jälkeen asetuksen voimaantulosta. Komission tulee arvioinnissaan tarkastella tarvetta muuttaa asetuksen soveltamisalaa tai tiettyjä säännöksiä asetuksen soveltamisesta saatujen kokemusten tai teknologian, markkinoiden tai lainsäädännön kehityksen perusteella. Lisäksi komission tulee raportoida Euroopan parlamentille ja EU:n neuvostolle joka neljäs vuosi edellä mainitun raportin toimittamisen jälkeen siitä, kuinka asetuksen tavoitteiden saavuttamisessa on edistytty. 

Asetus on suoraan sovellettavaa oikeutta EU:n jäsenvaltioissa ja tulee voimaan 20 päivän jälkeen asetuksen julkaisusta EU:n virallisessa lehdessä. Sähköisiä allekirjoituksia ja hyväksyttyjä todistuksia koskevat kuitenkin siirtymäajat. Turvallisten sähköisten allekirjoitusten luontivälineet, joiden vaatimustenmukaisuus on määritelty sähköisiä allekirjoituksia koskevan direktiivin 1999/93/EY nojalla, tullaan pitämään hyväksytyn sähköisen allekirjoituksen luontivälineinä tämän asetuksen perusteella neljän vuoden ajan asetuksen voimaantulosta. Direktiivin 1999/93/EY nojalla luonnollisille henkilöille myönnettyjä hyväksyttyjä allekirjoitusvarmenteita pidetään hyväksyttyinä tämän asetuksen perusteella neljän vuoden ajan asetuksen voimaantulosta.  

Ehdotuksen oikeusperusta ja suhde suhteellisuus- ja toissijaisuusperiaatteisiin

Ehdotuksen oikeusperustana on Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 114 artikla. Artikla koskee sisämarkkinoiden toteuttamiseen ja toimintaan liittyviä toimenpiteitä ja sen tavoitteena on lähentää jäsenvaltioiden kansallisia lainsäädäntöjä. Unionin tuomioistuin on vakiintuneesti katsonut, että säädös voidaan hyväksyä SEUT 114 artiklan perusteella ainoastaan, mikäli siitä ilmenee objektiivisesti ja tosiasiallisesti, että sen tarkoituksena on sisämarkkinoiden toteuttamista ja toimintaa koskevien edellytysten parantaminen. Komissio on valinnut kyseisen oikeusperustan, koska ehdotuksen tavoitteena on edistää EU:n digitaalisten sisämarkkinoiden toimintaa. Komission mukaan rajat ylittävät julkiset ja yksityiset palvelut hyödyntävät yhä enemmän digitaalisen identiteetin ratkaisuja, minkä vuoksi kansalaiset eivät välttämättä pysty täysimääräisesti hyödyntämään verkkopalveluita saumattomasti unionin alueella ja säilyttämään yksityisyyttään. Ehdotusta käsitellään noudattaen tavallista lainsäätämisjärjestystä, jossa Euroopan parlamentti ja neuvosto hyväksyvät yhdessä asetuksen. Neuvostossa edellytetään määräenemmistöpäätöksentekoa. 

Komissio katsoo, että ehdotus on toissijaisuusperiaatteen mukainen. Komission mukaan kansalaisten ja yritysten tulisi olla mahdollista hyödyntää turvallisia digitaalisia identiteettiratkaisuja sekä heitä koskevia vahvistettuja henkilötietoja ja todistuksia kaikkialla EU:ssa. Komission mukaan EU-tason ratkaisu antaa parhaat mahdollisuudet tämän toteuttamiseen. Jäsenvaltioiden tasolla hajanaisesti kehitettävillä ratkaisuilla rajat ylittävää toimintaa ja sen edellyttämää luottamusta toisten jäsenvaltioiden ratkaisuihin on vaikeaa rakentaa. Sen sijaan EU:n tasolla on mahdollista asettaa yhteiset vaatimukset sellaisten ratkaisujen kehittämiselle, joiden avulla turvataan käyttäjien mahdollisuus hallita omia henkilötietojaan ja pääsy rajat ylittäviin sähköisiin palveluihin. EU-tason ratkaisuilla on myös mahdollista luoda luottamusta käytettäviin digitaalisiin identiteetinratkaisuihin palveluntarjoajien näkökulmasta. Yhteisten vaatimusten avulla on mahdollista luoda luottamusta toisen jäsenvaltion myöntämiin sähköisiin todistuksiin tai toisen jäsenvaltion digitaalisen identiteetin ratkaisuihin. Jäsenvaltioiden kansallisen tason ratkaisut eivät komission arvion mukaan olisi yhtä tehokkaita ja vaikuttavia.  

Komission mukaan ehdotus on suhteellisuusperiaatteen mukainen. Ehdotuksella pyritään vastaamaan niihin havaittuihin haasteisiin ja rajoitteisiin, joita nykyinen yhteentoimivuuteen ja vastavuoroiseen tunnustamiseen perustuva sähköisen tunnistamisen lainsäädäntö sisältää. Ehdotuksen katsotaan olevan oikeasuhtainen sen tavoitteisiin nähden, sillä sen avulla luodaan yhteentoimivuuteen perustuva eurooppalaisen digitaalisen identiteettiratkaisujen lainsäädännöllinen kehikko. Sen perustana ovat jäsenvaltioiden myöntämät identiteetit sekä siihen liittyvien henkilötietojen liikkuminen käyttäjän tahdon mukaan. Yhteinen lainsäädäntökehikko palvelee myös digitaalisten sisämarkkinoiden edistämistä.  

Komission mukaan ehdotus on oikeasuhtainen myös sen aiheuttamien kustannusten osalta, joita jäsenvaltioissa syntyy esimerkiksi lompakkosovelluksen kehittämisestä ja saattamisesta kansalaisten käyttöön. Komission mukaan kustannuksilta ei voida välttyä, mikäli halutaan päästä tavoitteeseen ratkaisujen käytettävyydestä ja saavutettavuudesta. Ehdotuksella saavutettavien hyötyjen arvioidaan kuitenkin ylittävän kustannukset, sillä ehdotuksella on tarkoitus helpottaa ja lisätä käyttäjien ja yritysten toimintaa sisämarkkinoilla. 

Valtioneuvosto katsoo, että komission oikeusperustaa sekä toissijaisuus- ja suhteellisuusperiaatetta koskevat näkemykset ovat lähtökohtaisesti asianmukaisia. Suhteellisuusperiaatteen noudattamisen arviointia olisi kuitenkin tehtävä vielä asetuksen käsittelyn aikana erityisesti niiltä osin, kuin ehdotuksen sisältö tarkentuu tai edellyttää selventämistä. Esimerkiksi jäsenvaltioiden julkisen sektorin velvollisuudet suhteessa sähköisesti vahvistettaviin henkilötietoihin ja todisteisiin jäävät ehdotuksessa osin epäselväksi. Erityistä huomiota tulee kiinnittää myös delegoitujen ja täytäntöönpanosäädösten rooliin osana ehdotusten täytäntöönpanoa, sekä niiden laajuuteen ja sisältöön. 

Ehdotuksen vaikutukset

5.1  Komission vaikutusarvioinnit

Komissio on laatinut vaikutusarvioinnit ehdotuksestaan (Komission vaikutusarvioinnit). Ehdotuksella arvioidaan olevan positiivisia vaikutuksia erityisesti EU-kansalaisten näkökulmasta. Lompakkosovellus antaisi sen käyttäjille mahdollisuuden hallita itsenäisesti käyttäjän digitaalista identiteettiä ja siihen liittyviä eri lähteissä olevia digitaalisia henkilö- ja tunnistetietoja. Sovelluksen avulla käyttäjät pääsisivät käyttämään julkisen ja yksityisen sektorin sähköisiä palveluita kaikkialla EU:ssa. Ehdotuksen jäsenvaltiolle aiheuttamat taloudelliset vaikutukset riippuvat pitkälti siitä, tuottaako jäsenvaltio itse sääntelyn tarkoittaman lompakkosovelluksen vai luottaako jäsenvaltio toisen tahon tuottamaan sovellukseen. Lompakkosovelluksen käyttö olisi joka tapauksessa luonnollisille henkilöille ilmaista ja vapaaehtoista.  

Komission arvioiden mukaan pienet ja keskisuuret yritykset voisivat olla kiinnostuneita ottamaan lompakkosovelluksen käyttöön liiketoiminnassaan. Yrityksille arvioidaan kuitenkin aiheutuvan kustannuksia lompakkosovelluksen käyttöönotosta, sillä se edellyttää tiettyjen rajapintojen avaamista sovelluksen käyttöä varten. Lompakkosovelluksen käytöstä saatavat tehokkuuteen ja prosessien yksinkertaistamiseen liittyvät hyödyt voisivat olla komission arvion mukaan kustannuksia suurempia. Saavutettavat hyödyt riippuvat kuitenkin liiketoiminnan luonteesta. Ehdotettu sääntely loisi myös uusia liiketoimintamahdollisuuksia erityisesti pienille ja keskisuurille identiteetti- ja luottamuspalvelujentarjoajille. Näiden yritysten osalta kehitystyöhön ja sertifiointiin liittyvät kustannukset saattavat kuitenkin vaikeuttaa markkinoille pääsyä.  

Komission arvion mukaan jäsenvaltioiden kansallisiin talousarvioihin ja hallintoon liittyviä vaikutuksia aiheutuu sähköisen tunnistamisen järjestelmien käyttöönotosta sellaisissa jäsenvaltioissa, joissa sellaisia ei ole aiemmin ollut käytössä. Komission arvion lisäksi vaikutuksia tulee Suomelle sen vuoksi, että Suomessa on jo laajasti yhteiskunnassa käytössä oleva, pääsääntöisesti markkinaehtoiseen toimintaan perustuva sähköisen tunnistamisen toimintaympäristö. Lisäksi jäsenvaltioille aiheutuu kustannuksia sähköisen tunnistamisen järjestelmän ilmoittamisesta, johon sääntely jatkossa velvoittaisi. Lisäksi jäsenvaltioille aiheutuisi kustannuksia lompakkosovelluksen kehittämisestä ja ylläpitämisestä siinä tapauksessa, että jäsenvaltiot päättävät itse kehittää ja tuottaa sovelluksen. Komissio on arvioinut kustannuksiksi noin 10 miljoonaa euroa. Lisäksi vaikutuksia ja kustannuksia on arvioitu aiheutuvan esimerkiksi sääntelyn edellyttämästä standardoinnista, sertifioinnista sekä lainsäädäntömuutoksista sekä uusien luottamuspalvelujen valvonnasta. Komission arviota sähköisen lompakon toteutuskustannuksista voidaan pitää alimitoitettuna. Suomessa parhaillaan valmistelussa olevassa digitaalisen identiteetin kehittämisen hankkeessa on arvioitu komission ehdotusta suppeamman lompakkosovelluksen toteuttamisen kertaluonteisten kustannusten olevan noin 16 miljoonaa euroa ja vuotuisten kustannusten olevan arviolta noin 6 miljoonaa euroa. Ehdotuksen taloudellisia vaikutuksia on kuvattu tarkemmin jäljempänä. 

Komission arvioiden mukaan ehdotus edistää innovaatioita ja yhteentoimivuutta sisämarkkinoilla. Lisäksi ehdotuksella arvioidaan olevan myönteisiä vaikutuksia työllisyyteen. Ehdotus edistää verkossa tapahtuvan kaupan ja liiketoiminnan laajentumista sekä vähentää esteitä sisämarkkinoilla. Lisäksi ehdotuksella arvioidaan olevan myönteisiä vaikutuksia kansalaisten osallistumisen lisäämiseen. Sääntelyn odotetaan luovan turvallisen ja kilpailukykyisen perustan henkilön digitaalisten henkilö- ja identiteettitietojen hallinnalle.  

Suomen näkökulmasta komission vaikutusten arvioinnissa ei käsitellä vaikutuksia suhteessa nykyiseen vahvan sähköisen tunnistamisen lainsäädäntöön ja sen perusteella sähköisen tunnistamisen markkinoille toimiviin toimijoihin sekä yksityisen sektorin digitaalisten asiointipalvelujen tarjoajiin. Jatkossa vaikutuksia tulee erityisesti arvioida niillä sektoreilla, joissa komission ehdottama digitaalinen lompakko olisi pakko hyväksyä sähköisenä tunnistusvälineenä. Vaikutuksia tulee tarkentaa komission keinovalikoiman valmistelun tarkentuessa.  

5.2  Taloudelliset vaikutukset

Asetus sisältää jäsenvaltiolle velvoitteen tuottaa ehdotuksen mukainen lompakkosovellus ja ilmoittaa ainakin yksi vahvan sähköisen tunnistamisen menetelmä. Kansallisesti on arvioitava, miten velvoite täytetään. Valtiovarainministeriön asettamassa kansallisessa digitaalisen identiteetin kehittämisen hankkeessa on tavoitteena toteuttaa valtion digitaalinen lompakko, jolla digitaalista identiteettiä voidaan käyttää ja siihen liitettyjä varmennettuja väittämiä voidaan osoittaa tai välittää digitaalisiin palveluihin. 

Digitaalisen lompakkosovelluksen toteutus- ja käyttökustannusten arvioidaan olevan merkittäviä. Valtiovarainministeriön digitaalisen henkilöllisyyden kehittämisen hankkeessa toteutettavan digitaalisen henkilöllisyystodistuksen kertaluonteisten toteutuskustannusten arvioidaan olevan yli 16 miljoonaa euroa sekä jatkuvien ylläpitokustannusten vuosittain noin 6 miljoonaa euroa. Ehdotuksen mukainen lompakkosovellus on kuitenkin toiminnallisuuksiltaan huomattavasti tätä laajempi. Tästä johtuen ehdotuksen mukaisen lompakkosovelluksen toteutus- ja ylläpitokustannukset tulevat tämän hetken arvion mukaan olemaan merkittävästi korkeammat, kuin kansallisessa digitaalisen identiteetin kehittämisen hankkeessa suunnitellun lompakkosovelluksen toteuttamisen kustannukset. 

Lompakkosovelluksen käyttöönotto voi edellyttää tietoja tarjoavilta sekä tietoja hyödyntäviltä toimijoilta merkittäviäkin investointeja rajapintojen kehittämiseen. Käyttöönottokustannuksia aiheutuisi myös yksityisen sektorin palveluissa, joilla olisi velvollisuus mahdollistaa lompakkosovelluksen käyttö asiointipalveluun tunnistauduttaessa. Yksityisen sektorin osalta palvelun käyttöönoton kustannusten määrää voidaan arvioida tarkemmin vasta ehdotuksen teknisten vaatimusten tarkentuessa.  

Ehdotus todennäköisesti muuttaisi merkittävästi nykyisen vahvan sähköisen tunnistamisen toimintaympäristön liiketoimintaperusteita. Lisäksi tuleekin arvioida mahdolliset liiketoimintamahdollisuuksien muutokset nykyisille vahvan sähköisen tunnistamisen toimijoille. Ehdotus voi tarjota joillekin toimijoille uusia liiketoimintamahdollisuuksia, mutta myös kaventaa joidenkin toimijoiden mahdollisuuksia. Tarkempia vaikutuksia nykyisiin vahvan sähköisen tunnistamisen luottamusverkoston toimijoihin voidaan arvioida vasta ehdotuksen tarkentuessa ja yhteistyössä yritysten kanssa. Ehdotuksessa pyritään edistämään rajat ylittävää sähköistä tunnistamista kahdella rinnakkaisella keinolla. Käytännössä tämä tarkoittaa jo olemassa olevan ilmoitusmenettelyn säilyttämistä tietyin muutoksin. Lisäksi luodaan uusi lainsäädäntökehikko lompakkosovellukselle. Suomessa on lisäksi kansallisesti vireillä hanke digitaalisen identiteetin kehittämiseksi, jossa valmistellaan kansallisen tason ratkaisua digitaalisen identiteetin hyödyntämiseksi. Vaikka säädösehdotus on tavoitteiltaan samansuuntainen kuin kansallinen hanke, olisi kustannusten ja kehitystyön päällekkäisyyden välttämiseksi kiinnitettävä huomiota kansallisen työn yhteensovittamiseen EU-valmistelun kanssa. 

Taloudellisten vaikutusten osalta on myös huomioitava mahdolliset kustannussäästöt, joita voidaan saavuttaa prosessien digitalisoimisesta. Esimerkkeinä prosesseista, jotka voitaisiin digitalisoida, voidaan mainita ulkomaalaisten tutkintotietojen tarkastaminen, mikä tehdään usein manuaalisesti, ja pankkiasiakkuuden perustaminen, mikä vaatii käynnin toimipisteessä. 

Lompakkosovelluksen kehittäminen voi vaatia resursseja useilta eri viranomaisilta. Lompakkototeutuksilla voisi olla taloudellisia vaikutuksia myös maksullisia tietopalveluita tuottaville rekisteriviranomaisille.  

Asetuksen ehdotuksilla voi olla muitakin taloudellisia vaikutuksia muun muassa viranomaisiin, julkisen ja yksityisen sektorin asiointipalvelujen tarjoajiin. Niiden määrää on tässä vaiheessa vaikea arvioida. Taloudellisia vaikutuksia voi olla esimerkiksi jäsenvaltioiden yhteistyön tiivistämisellä, pilottihankkeiden toteuttamisella, arviointi- ja sertifiointielinten nimeämisellä ja valvonnalla sekä lompakkosovelluksen kautta tarjolle saatettavien henkilötietojen ja todistusten sähköistämisellä ja lompakkosovellukseen luottavien osapuolten ilmoitusten käsittelyllä. Ehdotuksessa ei ole arvioitu kustannuksia rekisteriviranomaisille tietorajapintojen avaamisesta. 

5.3  Lainsäädännölliset vaikutukset

Ehdotus on säädöstyypiltään asetus, joten se olisi sellaisenaan Suomessa sovellettavaa oikeutta eikä lähtökohtaisesti vaatisi erillistä kansallista täytäntöönpanoa.  

Kansallisesti sähköisiä tunnistus- ja luottamuspalveluja säännellään vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009). Sääntely vastaa vaatimuksiltaan eIDAS-asetusta täydentävässä nk. varmuustasoasetuksessa ((EU) 2015/1502) säädettyä korotetun tai korkean varmuustason mukaista sähköistä tunnistuspalveluntarjontaa. Suomessa toimivilta vahvan sähköisen tunnistamisen järjestelmiltä vaaditaan vähintään samat luotettavuutta ja tietoturvaa koskevat vaatimukset kuin mitä eIDAS-asetuksessa täytäntöönpanosäädöksineen vaaditaan unionin rajat ylittäviltä sähköisen tunnistamisen järjestelmiltä korotetulla varmuustasolla. Kansallisen vahvan sähköisen tunnistamisen järjestelmien vaatimukset on siis päätetty harmonisoida eIDAS-asetuksen sääntelyn kanssa. Tarkoitus on ollut helpottaa Suomessa vahvan sähköisen tunnistamisen toimijoita hakemaan omalle tunnistusvälineelleen ns. rajat ylittävän tunnistusvälineen asemaa.  

Koska kansallisen lainsäädännön vaatimukset on tällä hetkellä harmonisoitu eIDAS-asetuksen asettamien vaatimusten kanssa, ehdotuksen myötä myös kansallisia lainsäädännön muutostarpeita tulee tarkastella. Ensinnäkin tarkastelua tulee tehdä siitä näkökulmasta, ovatko eIDAS-asetuksen mukaiset vaatimukset muuttuneet, mikä voisi aiheuttaa muutospaineita myös kansallisiin vaatimuksiin. Toiseksi tarkastelua tulee tehdä siitä näkökulmasta, asettaako eIDAS-asetus uusia vaatimuksia palvelujen tarjoamiselle. Erityisesti tulee tarkastella sitä, halutaanko kansallisen tason vaatimukset lompakkosovelluksille yhteensovittaa eIDAS-asetuksen EUid-lompakkosovellukselle asettamien vaatimusten kanssa. Tällä voitaisiin helpottaa Suomessa lompakko-sovelluksia tarjoavien toimijoiden mahdollisuuksia hakemaan omalle lompakkosovellukselleen EUid-lompakkosovelluksen asemaa. Asetus sisältää jäsenvaltiolle velvoitteen tuottaa ehdotuksen mukainen lompakkosovellus ja ilmoittaa ainakin yksi vahvan sähköisen tunnistamisen menetelmä. Kuten edellä kappaleessa 5.2. on todettu, kansallisesti on arvioitava, miten velvoite täytetään. Valtiovarainministeriön asettamassa kansallisessa digitaalisen identiteetin kehittämisen hankkeessa on tavoitteena laatia ehdotukset sellaiseksi lainsäädännöksi, joka mahdollistaa digitaalisen todisteen luomisen sekä sen hyödyntämisen yhteiskunnan palveluissa henkilöllisyyden ja varmennettujen identiteettitietojen osoittamiseksi. Hankkeessa on tarkoitus toteuttaa valtion digitaalinen lompakko, jolla digitaalista identiteettiä voidaan käyttää ja siihen liitettyjä varmennettuja väittämiä voidaan osoittaa tai välittää digitaalisiin palveluihin.  

Ehdotuksen tavoitteena on muun muassa mahdollistaa käyttäjän hallintaa siitä, miten hänen henkilötietojaan käytetään. Henkilön omien tietojen hallinnan näkökulmasta olisi selkeytettävä sitä, miltä osin viranomaistietojen nykyistä laajempi hyödyntäminen sähköisesti vahvistettuina henkilötietoina ja todisteina edellyttäisi säädösmuutoksia, erityisesti tiedonhallinnan ja tietovarantojen erityissääntelyn näkökulmasta. Lisäksi olisi arvioitava, missä määrin sähköisesti vahvistettuja henkilötietoja ja todisteita koskeva sääntely velvoittaa viranomaisia asettamaan tietoja saataville lompakkosovelluksen avulla käytettäväksi taikka mahdollistamaan tietojen välittämisen muiden luottamuspalveluiden tarjoajien toimesta. Tällä voi olla vaikutusta velvoitteen piiriin kuuluvien tietojen tai tietovarantojen sääntelyyn. Myös velvoitteiden suhde kansalliseen asiakirjojen julkisuutta ja tiedonhallintaa koskevaan sääntelyyn olisi arvioitava.  

Edelleen on tarpeen kansallisesti tarkastella, voivatko kansallisella sääntelyllä määritellyt hyväksytyt tunnistusvälityspalvelut hyödyntää asetusehdotuksen mahdollisuuksia esimerkiksi attribuuttipalvelun tarjoajina palveluntarjoajien täyttäessä myös hyväksytyn luottamuspalveluntarjonnalle asetetut edellytykset (kappale 3.3.). 

Kansallisessa sääntelyssä on myös varmistettava edellytykset sertifiointielinten nimeämiselle ja valvonnalle. Kotimaisten vaatimustenmukaisuuden arviointilaitosten ja sertifiointielinten syntyminen edesauttaisi palvelujen syntymistä. 

Komissiolle ehdotetaan useita uusia valtuuksia antaa delegoituja ja täytäntöönpanosäädöksiä. Muuttuvan EU-säädöskokonaisuuden myötä tarkasteltavaksi tulisi myös Liikenne- ja viestintäviraston määräyksenantovaltuudet ja viraston antamat määräykset.  

5.4  Viranomaisvaikutukset

Tunnistus- ja luottamuspalvelulain mukaan Liikenne- ja viestintävirasto toimii eIDAS-asetuksen tarkoittamana valvontaelimenä ja hoitaa sille asetuksessa säädettyjä tehtäviä. Liikenne- ja viestintävirasto valvoo myös kansallisen tunnistus- ja luottamuspalvelulain vaatimusten noudattamista. Ehdotuksella olisi vaikutuksia viraston valvontatehtäviin ja se voi lisätä niitä. 

Hyväksyttyjen luottamuspalvelujen hyväksyntä ja valvonta on kansallisen valvontaviranomaisen, Liikenne- ja viestintäviraston, tehtävä. Hyväksytyillä luottamuspalveluilla voidaan nähdä olevan tärkeä merkitys osana lompakkosovellusten toteuttamista. Tällä hetkellä ainoastaan Digi- ja väestötietovirasto tarjoaa Suomessa luotettuun luetteloon merkittyjä hyväksyttyjä luottamuspalveluja. Lompakkoratkaisut edellyttänevät hyväksyttyjen luottamuspalvelujen tarjonnan laajentamista, jotta tarvittavia hyväksyttyjä luottamuspalveluja voidaan hyödyntää tulevissa lompakkototeutuksissa. Palveluiden mahdollinen lisääntyminen voi mahdollisesti lisätä myös Liikenne- ja viestintäviraston tehtäviä.  

Tunnistus- ja luottamuspalvelulain 42a §:n 3 momentin mukaan Liikenne- ja viestintäviraston tehtävä on lisäksi ilmoittaa sähköisen tunnistamisen järjestelmiä Euroopan komissiolle. Liikenne- ja viestintävirasto on nykyisin osallistunut vertaisarviointiin, kun toiset jäsenvaltiot ovat ilmoittaneet niiden omia tunnistusvälineitä komissiolle. Lompakkosovelluksen sertifiointi tai muu vaatimustenmukaisuuden osoittaminen ja tunnistusjärjestelmien vertaisarvioinnit voivat vaikuttaa Liikenne- ja viestintäviraston tehtäviin. 

Viranomaisten koordinoinnin ja viranomaisneuvonnan tarve kasvaa ainakin siirtymävaiheessa merkittävästi, jotta julkisen ja yksityisen sektorin toimijat saavat tarvittavan tiedon toteuttaakseen muutokset ja hyödyntääkseen muutosten mahdollisuudet. 

Tunnistus- ja luottamuspalvelulain mukaan Digi- ja väestötietoviraston tehtävänä on ylläpitää kansallista solmupistettä. Solmupisteillä on keskeinen merkitys jäsenvaltioiden sähköisen tunnistamisen järjestelmien yhteentoimivuuden kannalta. Solmupiste osallistuu henkilöiden todentamiseen rajojen yli. Lisäksi se pystyy tunnistamaan sekä käsittelemään tai siirtämään tietoja muihin solmupisteisiin tarjoamalla rajapinnan muiden jäsenvaltioiden sähköisen tunnistamisen järjestelmiin. Ilmoitettujen välineiden määrän lisääntymisen voidaan arvioida lisäävän kansallisen solmupisteen kautta tapahtuvien tunnistustapahtumien määrää. 

Ehdotuksella tulisi olemaan vaikutuksia myös viranomaisten rekistereiden tuottamiseen ja tietosisältöjen hyödyntämiseen erityisesti yksityisen sektorin palveluissa. Viranomaisten väliseen tietojen saantiin tai vaihtoon ehdotuksella ei arvioida olevan merkittäviä vaikutuksia. Viranomaisrekistereiden tuottamisessa ja kehittämisessä tulisi jatkossa ottaa huomioon myös mahdollisuus tietojen jakamiseen henkilön digitaalisen lompakon kautta. Tämä on merkittävä muutos nykyiseen viranomaiskontrolloituun tietojen luovutuskäytäntöön. Ehdotuksen perusteella on osin epäselvää, missä määrin sähköisesti vahvistettuja henkilötietojen ja todisteita koskeva sääntely velvoittaa viranomaisia asettamaan tietoja käytettäväksi lompakkosovelluksella taikka mahdollistamaan tietojen välittämisen muiden luottamuspalveluiden tarjoajien toimesta. Asetusehdotuksessa luetellaan ne osa-alueet, joita koskevat julkisen sektorin tarjoamat tiedot ja todistukset olisi voitava tarkistaa alkuperäisestä viranomaislähteestä. 

Ehdotetulla asetuksella ei olisi vaikutusta siihen, millä tavalla jäsenvaltiot yksilöivät henkilöitä, rekisteröivät identiteettitietoa tai muuten luotettavasti liittävät luonnollisiin henkilöihin tai oikeushenkilöihin niiden identiteettiä koskevia tietoja. Asetus sisältää säännöksiä yksilöivän tunnuksen käsittelystä sekä jäsenvaltioiden velvollisuudesta varmistaa yksilöinti tietyissä tilanteissa, mutta ei ota kantaa henkilöllisyystiedon tai todistusten myöntämiseen jäsenvaltioissa. Ehdotuksella ei olisi esimerkiksi vaikutusta henkilöiden rekisteröintiin väestötietojärjestelmässä tai kansallisten henkilöllisyyttä osoittavien asiakirjojen myöntämiseen.  

Ehdotuksen suhde perustuslakiin sekä perus- ja ihmisoikeuksiin

Ehdotuksella on vaikutuksia perusoikeuksiin. Komission mukaan asetusehdotuksella olisi myönteisiä vaikutuksia henkilötietojen suojaan, sillä se mahdollistaa lompakkosovelluksen käyttäjälle omien tietojen hallintaa ja tarjoaa vaihtoehtoja tietojen jakamiseen sekä julkisen että yksityisen sektorin palveluissa. 

Suomessa ehdotusta olisi arvioitava ainakin yksityisyyden ja henkilötietojen suojan (10 §), yhdenvertaisuuden (6 §), elinkeinonvapauden ja oikeuden työhön (18 §) sekä oikeusturvan ja hyvän hallinnon (21§) näkökulmasta.  

Yksityisyys ja henkilötietojen suoja  

Asetuksella pyritään edistämään yksilöiden kontrollia omiin henkilötietoihinsa. Mobiililompakon avulla käyttäjä voisi hallita nykyistä laajemmin omien tietojensa käyttöä ja hyödyntämistä sekä julkisella että yksityisellä sektorilla. Asetusehdotuksen sääntely on siten merkityksellistä perustuslain 10 §:ssä säädetyn yksityiselämän ja henkilötietojen suojan kannalta. Sääntely on merkityksellistä myös EU:n perusoikeuskirjan kannalta. EU:n perusoikeuskirjan 7 artiklassa turvataan yksityiselämän suoja ja 8 artiklassa jokaisen oikeus henkilötietojen suojaan. Euroopan ihmisoikeussopimuksen (SopS 19/1990) 8 artiklan mukaan jokaisella on oikeus nauttia yksityis- ja perhe-elämäänsä, kotiinsa ja kirjeenvaihtoonsa kohdistuvaa kunnioitusta. Artiklan on Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä katsottu kattavan myös henkilötietojen suojan.  

Ehdotuksella on liityntä yleiseen tietosuoja-asetukseen (EU 2016/679). Henkilötietojen käsittelyn tulee olla yhdenmukainen tietosuoja-asetuksen sääntelyn kanssa ja ehdotuksessa korostetaankin henkilötietojen minimoinnin periaatetta. Henkilötietojen suojan kannalta tiedon esittämisen ja hallinnan siirtäminen tietyiltä osin henkilön itsensä vastuulle edistää henkilötietojen suojaa ja tiedollista itsemääräämisoikeutta. Asetusehdotuksessa myös luodaan yleiset perusteet tietoturvalliselle attribuuttitietojen välittämiselle ja käsittelylle, mikä on osaltaan omiaan edistämään henkilötietojen suojaa. Ehdotuksessa lompakkosovelluksen edellytetään olevan varmuustasolla ”korkea”, mikä vastaa korkeinta mahdollista tasoa ja on siten käyttäjälle tietoturvallinen tapa hallita omia tietojaan. Sähköisten attribuuttipalvelujen tarjoajat eivät saa tietosuojasyistä yhdistää attribuuttipalvelujen tarjoamiseen liittyviä henkilötietoja muiden tarjoamiensa palvelujen yhteydessä keräämiinsä henkilötietoihin. Lisäksi attribuuttipalvelujen tarjoamiseen liittyvät henkilötiedot on pidettävä erillään muista palveluntarjoajan hallussa olevista tiedoista. 

Säännökset merkitsevät parannusta nykytilaan siten, että ne luovat turvalliset toimintatavat vahvistettujen henkilötietojen välittämiseen ja esittämiseen. Asetuksen käsittelyssä olisi kuitenkin arvioitava edelleen säädösten suhdetta tietosuojasääntelyyn, huomioiden erityisesti julkisen sektorin henkilötietojen käsittelyn oikeusperusta ja käyttötarkoitussidonnaisuuden periaate.  

Yhdenvertaisuus 

Perustuslain 6 §:n 1 momentin mukaan ihmiset ovat yhdenvertaisia lain edessä. Kyseessä on yleinen yhdenvertaisuussäännös, johon kuuluvat vaatimus samanlaisesta kohtelusta samanlaisissa tapauksissa ja mielivallan kielto. Yleistä yhdenvertaisuussäännöstä täydentää pykälän 2 momentissa säädetty syrjintäkielto. Säännöksen mukaan kiellettyjä erotteluperusteita ovat su-kupuoli, ikä, alkuperä, kieli, uskonto, vakaumus, mielipide, terveydentila ja vammaisuus. Luet-teloa ei kuitenkaan ole pidettävä tyhjentävänä vaan kiellettyihin erotteluperusteihin rinnastuvat muut henkilöön liittyvät syyt (HE 309/1993 vp, s. 43–44). Yhdenvertaisuuslain (1325/2014) mukaan ketään ei saa syrjiä iän, alkuperän, kansalaisuuden, kielen, uskonnon, vakaumuksen, mielipiteen, poliittisen toiminnan, ammattiyhdistystoiminnan, perhesuhteiden, terveydentilan, vammaisuuden, seksuaalisen suuntautumisen tai muun henkilöön liittyvän syyn perusteella. 

Asetusehdotuksessa edellytetään jäsenvaltioita mahdollistamaan yhdenvertaisesti kaikille pääsyn digitaalisiin lompakkosovelluksiin sekä mahdollisuuden yhdenvertaisesti hyödyntää siihen tuotettuja ominaisuuksia. Ehdotuksen mukaan lompakkosovelluksen tulee olla yhdenmukainen Euroopan parlamentin ja neuvoston (EU 2019/882) tuotteiden ja palvelujen esteettömyysvaatimuksista annetun direktiivin kanssa, jäljempänä esteettömyysdirektiivi. Esteettömyysdirektiivissä edellytetään direktiivin soveltamisalaan kuuluvien tuotteiden ja palvelujen huomioivan vammaisten henkilöiden oikeudet ja mahdollisuudet käyttää erilaisia palveluja. Esteettömyysvaatimukset edesauttavat perustuslain turvaamaa yhdenvertaisuutta. 

Elinkeinonvapaus ja oikeus työhön 

Perustuslain 18 §:n 1 momentin mukaan jokaisella on oikeus lain mukaan hankkia toimeentulonsa valitsemallaan työllä, ammatilla tai elinkeinolla. Julkisen vallan on huolehdittava työvoiman suojelusta. Ehdotuksessa asetetaan vaatimuksia tietyille yksityisen sektorin toimijoille hyväksyä lompakkosovellus vahvan sähköisen tunnistamisen menetelmänä niiden toiminnassa. Ehdotukseen sisältyvän 12 b artiklan mukaan jatkossa tietyillä yksityisen sektorin toimialoilla olisi velvollisuus hyväksyä lompakkosovellus yhtenä tapana tunnistautua tai päästä niiden palveluihin. Velvollisuus lompakkosovelluksen hyväksymiseen olisi silloin, kun kansallinen tai EU:n lainsäädäntö tai sopimusvelvoitteet edellyttävät palveluiden käyttäjien vahvaa tunnistamista näillä toimialoilla. Komissiolle siirrettäisiin myös toimivaltaa hyväksyä arvion pohjalta delegoituja säännöksiä, joilla velvoitteita voitaisiin muuttaa tai laajentaa. 

Kyseiset vaatimukset merkitsevät puuttumista perustuslaissa turvattuun elinkeinonvapauteen. Elinkeinonvapauteen tehtävien poikkeusten tarkoituksena on kuitenkin tarkoitus edistää kansainvälisten markkinoiden toimivuutta luomalla yhdenmukaiset vaatimukset lompakkosovellusten tuottamiseksi sekä niihin liittyvien tietoturva- ja tietosuojaedellytysten huomioimiseksi. Komissio on arvioinut, että standardipohjaisen järjestelmän käyttöönotto vähentää markkinoiden toimijoiden epävarmuutta, ja sillä odotetaan olevan myönteinen vaikutus innovaatioiden syntymiseen. On oletettavaa, että ehdotettu sääntely loisi uusia mahdollisuuksia markkinatoimijoille ja edistäisi talouskasvua unionin alueella. Jatkokäsittelyssä tulisi kuitenkin varmistaa, etteivät vaatimukset rajoita yksityisen sektorin elinkeinonvapautta perustuslain näkökulmasta perusteettomasti. 

Oikeusturva ja hyvä hallinto 

Asetusehdotusta tulee tarkastella perustuslain 21 §:ssä turvatun oikeusturvan ja hyvän hallinnon takeiden kannalta. Hyvän hallinnon takeisiin kuuluu myös hallinnon palveluperiaate, josta on säädetty hallintolain 7 §:ssä. Palveluperiaatteen mukaan asiointi ja asian käsittely viranomaisessa on pyrittävä järjestämään niin, että hallinnon asiakas saa asianmukaisesti hallinnon palveluja ja viranomainen pystyy suorittamaan tehtävänsä tuloksellisesti.  

Asetusehdotuksen tarkoituksena on edistää sähköisen tunnistautumisen käyttöä julkisissa digitaalisia palveluissa EU:n alueella. EU:n jäsenvaltioilla on velvollisuus tuoda saataville lompakkosovellus, jonka avulla olisi mahdollista päästä rajat ylittävästi julkisiin palveluihin. Asetuksella on mahdollisia vaikutuksia hallinnon järjestämiseen tehokkuutta edistävällä tavalla ja palveluperiaatteen toteutumiseen. Vaikutuksia hyvän hallinnon toteutumiseen tulee arvioida edelleen asetusehdotuksen jatkokäsittelyssä. 

Ahvenanmaan toimivalta

Voimassa olevan eIDAS-asetuksen ei ole katsottu kuuluvan Ahvenanmaan itsehallintolain (1144/1991) mukaan Ahvenanmaan lainsäädäntövaltaan. Ahvenanmaan itsehallintolain 18 §:n 22 kohdan mukaan maakunnalla on lainsäädäntövalta asioissa, jotka koskevat elinkeinotoimintaa ottaen huomioon mitä on säädetty 27 §:n 2, 10, 12, 40 ja 41 kohdassa. Itsehallintolain 27 §:n 2 kohdan mukaan valtakunnalla on lainsäädäntövalta, kun kyse on sanan-, yhdistys- ja kokoontumisvapauden käyttämistä ja kirje-, lennätin- ja puhelinsalaisuudesta, 10 kohdan mukaan, kun kyseessä on kuluttajansuojasta, 12 kohdan mukaan kun kyse on ulkomaankaupasta ja 40 kohdan mukaan kun kyse on teletoiminnasta. 27 §:n 41 kohdan mukaan valtakunnalla on lainsäädäntövalta, kun kyse on muusta yksityisoikeudellista kysymyksestä, jollei kysymys välittömästi liity sellaiseen oikeudenalaan, joka tämän lain mukaan kuuluu maakunnan lainsäädäntövaltaan. Itsehallintolain sanamuodon tulkinnassa on huomattava, että internetin kaltaisia tietoverkkoja ei ole voitu ottaa huomioon itsehallintolakia säädettäessä (ks. PeVL 22/2001 vp). Joka tapauksessa valtakunnan lainsäädäntövaltaan kuuluvat 27 §:n 42 kohdan mukaan lisäksi muut itsehallintolain perusteiden mukaan valtakunnan lainsäädäntövaltaan kuuluviksi katsottavat asiat. Asetusehdotuksessa tarkoitetut asiat eivät valtioneuvoston näkemyksen mukaan lähtökohtaisesti kuulu maakunnan lainsäädäntövaltaan. 

Komission ehdotus sisältää kuitenkin myös joitakin säännöksiä, joiden johdosta Ahvenanmaan asemaa olisi arvioitava tarkemmin. Ahvenanmaan itsehallintolain 18 pykälän 1 kohdan mukaan maakunnalla on lainsäädäntövalta asioissa, jotka koskevat maakunnan hallitusta sekä sen alaisia viranomaisia ja laitoksia sekä 4 kohdan mukaan asioissa, jotka koskevat kuntien hallintoa. Lainsäädäntövalvonnassa on katsottu, että viranomaisten hallussa olevien asiakirjojen julkisuus ja niiden hallussa olevien henkilötietojen suoja ovat maakunnan lainsäädäntövaltaan kuuluvia asioita.  

Ehdotus sisältää säännöksiä siitä, että sähköisesti vahvistettuja henkilötietoja ja todistuksia olisi kohdeltava samalla tavalla kuin vastaavia paperisia versioita. Säännökset koskevat muun muassa sitä, milloin sähköisesti vahvistetuilla todistuksilla olisi oltava sama oikeusvaikutus kuin lain mukaan annetuilla paperisilla todistuksilla. Silloin kun vahvistetut henkilötiedot ja todistukset perustuvat julkisen sektorin lähteisiin tai rekistereihin, tulee palveluntarjoajan olla mahdollista tarkistaa tiedot sähköisesti alkuperäisestä lähteestä. Sähköisesti vahvistettujen henkilötietojen ja todistusten antamista koskeva säännökset voisivat mahdollisesti merkitä velvollisuuksia myös maakunnan viranomaisille, riippuen tarkoitettujen tietoryhmien ja velvoitteen sisällöstä. Sääntelyn kohde on kuitenkin osin epäselvä ja julkiseen sektoriin kohdistuvien velvollisuuksien sisältö tulisi varmistaa asetusehdotuksen käsittelyssä. 

Siltä osin, kun sääntely koskisi viranomaisten tietojärjestelmiä, tiedonhallinnan prosesseja ja tiedon uudelleenkäyttöä, mukaan lukien julkisuuden ja henkilötietojen suojan näkökulmat, kuuluisi asetuksen tarkoittama sääntely maakunnan lainsäädäntövaltaan. Näiltä osin ehdotuksen suhdetta Ahvenanmaan asemaan olisi arvioitava vielä asetuksen käsittelyssä, kun ehdotuksen sisältö tarkentuu. 

Ehdotuksen käsittely Euroopan unionin toimielimissä ja muiden jäsenvaltioiden kannat

Asetusehdotuksen käsittely alkoi neuvostossa 17.6.2021 komission ehdotuksen esittelyllä televiestintätyöryhmän kokouksessa. EU:n neuvoston puheenjohtaja Slovenia aikoo antaa asetusehdotuksesta tilanneselvityksen televiestintäneuvostossa joulukuussa 2021. 

Komissio on hahmotellut ehdotuksen käsittelylle ja hyväksymiselle alustavaa aikataulua. Sen mukaan lainsäädäntöehdotus hyväksyttäisiin syksyllä 2022. Lähes samaan aikaan komissio julkaisisi myös sääntelyn edellyttämät tekniset standardit ja viitekehykset, jotka työstettäisiin yhteistyössä komission ja jäsenvaltioiden kanssa lainsäädäntöehdotuksen kanssa samaan aikaan. Jo ennen lainsäädäntöehdotuksen hyväksymistä ja teknisten standardien ja viitekehysten julkaisemista aloitettaisiin lainsäädäntöehdotukseen liittyvät pilottikokeilut esimerkiksi lompakkosovelluksiin liittyen. Kevään 2023 aikana eurooppalaisen digitaalisen identiteetin lompakkosovelluksia tuotaisiin markkinoille. Jäsenvaltioiden tulisi antaa omat lompakkosovellusratkaisunsa käyttäjille kesään 2024 mennessä. 

Euroopan parlamentissa ehdotuksen vastuuvaliokuntana on teollisuus-, tutkimus- ja energiavaliokunta (ITRE). Ehdotuksen raportöörinä toimii Romana Jerković. 

Muiden jäsenvaltioiden virallisia kantoja ei ole vielä tiedossa. Ruotsi on julkaissut 7.7.2021 alustavat kantansa asetusehdotukseen (Faktapromemoria 2020/21:FPM118). 

Ehdotuksen kansallinen käsittely

Asetus sisältää sekä valtiovarainministeriön että liikenne- ja viestintäministeriön hallinnonalaan kuuluvaa sääntelyä. Lisäksi asetus sisältää oikeusministeriön hallinnonalaan kuuluvaa oikeusvaikutusten sääntelyä. Valtiovarainministeriöllä on kuitenkin asetuksen valmistelussa kansallinen koordinointivastuu. Valtioneuvoston kirjelmä on valmisteltu valtiovarainministeriön ja liikenne- ja viestintäministeriön yhteistyössä. Valmistelussa on kuultu Digi- ja väestötietovirastoa ja Liikenne- ja viestintävirastoa. 

Ehdotus ja sitä koskeva U-kirjelmäluonnos on käsitelty kirjallisessa menettelyssä viestintäjaostossa (EU19), kilpailukykyjaostossa (EU8), rahoituspalvelut ja pääomaliikkeet -jaostossa (EU10) henkilöiden liikkuvuuteen liittyvien sosiaaliturvakysymysten jaostossa (EU27) ja koulutusjaostossa (EU30) 5. – 11.8.2021. 

U-kirjelmäluonnos on käsitelty EU-ministerivaliokunnassa 3.9.2021. 

Ehdotuksesta ja sitä koskevasta kirjelmäluonnoksesta on lisäksi pyydetty kirjallisia kommentteja Liikenne- ja viestintäviraston ylläpitämiltä eIDAS-sidosryhmäjakelulta ja sähköisen tunnistamisen luottamusverkostolta 6. – 11.8.2021. 

10  Muut käsittelyyn vaikuttavat tekijät

E 24/2020 vp Valtioneuvoston selvitys: Komission tiedonanto Euroopan digitaalisesta tulevaisuudesta, komission tiedonanto Euroopan datastrategiasta ja komission valkoinen kirja teko-älystä  

E 109/2020 vp Valtioneuvoston selvitys: Suomen EU-ennakkovaikuttaminen - eIDAS-asetuksen uudelleenarviointi 

E 48/2021 vp Valtioneuvoston selvitys: Komission tiedonanto: 2030 digitaalinen kompassi: eurooppalainen lähestymistapa digitaalista vuosikymmentä varten 

11  Valtioneuvoston kanta

Valtioneuvosto pitää komission ehdotusta eIDAS-asetuksen muuttamiseksi yleisesti tärkeänä ja kannattaa pyrkimystä edistää entistä paremmin jäsenvaltioiden rajat ylittävää sähköistä asiointia ja liiketoimintaa.  

Valtioneuvosto kiinnittää huomiota siihen, että EU:ssa on lähivuosina annettu tai siellä on parhaillaan valmistelussa useita lainsäädäntöehdotuksia, jotka liittyvät rajat ylittävään sähköiseen asiointiin tai ovat merkityksellisiä nyt annetun ehdotuksen kannalta. Valtioneuvosto pitää tärkeänä, että ehdotettu sääntely sovitetaan yhteen muun EU-lainsäädännön kanssa. Erityisesti huomiota on kiinnitettävä henkilötietojen suojan sääntelyyn, ja täytäntöönpanovaiheessa olevaan yhteistä digitaalista palveluväylää (SDG) koskevaan sääntelykokonaisuuteen. On tärkeää, että sääntely muodostaa yhtenäisen kokonaisuuden, jossa ei esimerkiksi aseteta päällekkäisiä tai ristiriitaisia velvoitteita jäsenvaltioille tai markkinatoimijoille. Valtioneuvosto kiinnittää lisäksi huomiota EU-säädösten keskinäiseen riippuvuuteen. Rajat ylittävä sähköinen tunnistautuminen ja sähköisten asiakirjojen käyttö on keskeistä myös joidenkin muiden EU-säädösten toimeenpanon ja käytännön toimivuuden kannalta. Pohjoismaiden ja Baltian maiden yhteistä sähköistä henkilötunnusta koskevaa hanketta (NOBID) on myös tärkeä edistää. 

Valtioneuvosto suhtautuu lähtökohtaisesti myönteisesti ehdotetun lainsäädännöllisen kehikon luomiseen eurooppalaisen digitaalisen identiteetin lompakkosovellukselle. On tärkeää, että jokaisella EU-kansalaisella, EU:n alueella asuvalla henkilöllä ja EU:n alueella toimivalla oikeushenkilöllä on tosiasiassa mahdollista käyttää turvallisesti sähköisiä palveluita riippumatta siitä ovatko ne yksityisen vai julkisen sektorin tarjoamia, sekä hallita heitä koskevia tietojaan. On tärkeää, että lainsäädäntökehikon luomisessa varmistetaan ratkaisun aito saavutettavuus, kuten sellaisten henkilöiden näkökulmasta, joilla ei ole käytössään älypuhelinta. Lompakkosovellusta koskevan lainsäädäntökehikon tulisi täydentää kansallisia identiteetinhallinnan menetelmiä, eli se perustuisi kansallisesti rekisteröidylle henkilöllisyydelle. Lainsäädäntökehikon tulisi myös mahdollistaa yhteistyö julkisen sektorin sekä yksityisen sektorin toimijoiden välillä.  

Valtioneuvosto kiinnittää huomiota siihen, että ehdotus mahdollistaa sekä yksityisen että julkisen sektorin tuottaman lompakkosovelluksen ja jättää kansallisesti ratkaistavaksi, miten vaatimukset täyttävä lompakkosovellus saatetaan tarjolle jäsenvaltioissa kansalaisille, asukkaille ja oikeushenkilöille. Kyseessä on periaatteellisesti merkittävä jäsenvaltioihin kohdistuva velvoite, jonka takia jatkovalmistelussa on erityisesti huomioitava jäsenvaltioiden vaihtelevat valmiudet tarjota lompakkosovellus ehdotuksen edellyttämille tahoille. Suomessa vastaaviin tavoitteisiin tähtäävä kehitystyö on jo päätetty käynnistää. Valtioneuvosto pitää tärkeänä perusrekisterien asemaa tietoyhteiskunnan perustana. Lompakkosovelluksia suunniteltaessa ja toteutettaessa on pyrittävä yhteentoimivuuteen jo olemassa ja parhaillaan kehitteillä olevien tietojenkäytön tapojen kanssa niin, että talousvaikutukset otetaan huomioon. Lisäksi ehdotettuun lainsäädäntökehikkoon liittyy sellaisia seuraavia seikkoja, joita olisi valtioneuvoston mielestä tärkeää vielä selventää jatkovalmistelussa.  

Valtioneuvosto voi kannattaa korkean varmuustason edellyttämistä lompakkosovelluksen toteuttamisessa. Korkea varmuustaso lisää turvallisuutta ja käyttömahdollisuuksia erilaisiin palveluihin. Valtioneuvoston mielestä olisi kuitenkin tärkeää arvioida, onko korkeaa varmuustasoa välttämätöntä edellyttää aina lompakkosovellusratkaisuissa. Olisi tärkeää arvioida, voisiko korotetun varmuustason avulla varmistaa sovelluksen käytön riittävä turvallisuus ja luotettavuus käyttäjän ja sovellukseen luottavan osapuolen näkökulmasta. Valtioneuvosto kiinnittää lisäksi huomiota siihen, voidaanko korkean varmuustason vaatimukset saavuttaa mobiilissa toimivassa sovelluksessa ottaen huomioon komission ehdottama aikataulu. 

Käyttäjän näkökulmasta on tärkeää, että lompakkosovellusta voi käyttää mahdollisimman laajasti yhteiskunnan palveluissa. Käyttäjän kannalta olisi helppoa, jos lompakkosovellusta voisi käyttää niin sähköisessä asioinnissa kuin fyysisessä käyntiasioinnissakin. Vastuukysymysten näkökulmasta olisi kuitenkin tärkeää selventää, mikä oikeudellinen merkitys lompakkosovelluksella ja sen avulla osoitettavilla henkilötiedoilla on fyysisessä asioinnissa. Jatkotyössä tulisi vielä selventää lompakkosovellukseen luottavien osapuolten ilmoittautumismenettelyä ja esimerkiksi sen vaikutuksia viranomaisen resursseihin ja henkilötietojen suojaan sekä erityisesti pk-yrityksille aiheutuvaan hallinnolliseen taakkaan. 

Valtioneuvosto pitää tärkeänä, että sääntelyssä huolehditaan myös yksityisen sektorin tunnistuspalvelun tarjoajien toimintaedellytysten turvaamisesta sekä innovaatioiden mahdollistamisesta. On tärkeää, että sääntely mahdollistaa yksityisen sektorin tarjoamien tunnistusjärjestelmien ja lompakkosovellusten ilmoittamisen komissiolle ja siten niiden käytön rajat ylittävässä tunnistuksessa. Yksityisen sektorin sähköisten tunnistusjärjestelmien ilmoittamiseen tulisi myös kannustaa sääntelyn keinoin. Valtioneuvosto pitää myönteisenä, että monet ehdotetut muutokset tähtäävät näiden tavoitteiden edistämiseen.  

Valtioneuvosto korostaa, että ehdotuksen vaikutuksia niin toiminnalliselta kuin taloudelliselta kannalta tulee arvioida tarkemmin ehdotuksen tarkentuessa. Vaikka kansallinen luottamusverkosto ei perustu EU-sääntelyyn, ehdotuksella voidaan arvioida olevan heijastusvaikutuksia myös luottamusverkoston liiketoimintamahdollisuuksiin. Valtioneuvosto pitää huomion arvioisena todennäköisesti merkittäviä taloudellisia vaikutuksia yksityiselle ja julkiselle sektorille, joita on vaikea arvioida vielä tässä vaiheessa. 

Valtioneuvosto pitää tärkeänä turvallisen sähköisen asioinnin sekä sähköisen liiketoiminnan edistämistä julkisen sektorin palveluiden lisäksi yksityisen sektorin palveluissa. Tästä näkökulmasta voidaan pitää myönteisenä, että tietyt yksityisen sektorin toimijat velvoitetaan hyväksymään lompakkosovellus palveluissaan. Käyttäjien näkökulmasta tämä tukee lompakkosovelluksen yleiskäyttöisyyttä yhteiskunnan eri palveluissa ja samalla se myös lisää asioinnin turvallisuutta. Yksityisen sektorin asiointipalvelujen näkökulmasta sääntely vahvistaa luottamusta lompakkosovellukseen ja sen avulla osoitettaviin henkilötietoihin. Valtioneuvosto kiinnittää huomiota ehdotuksen mukaiseen listaukseen toimialoista, joilla olisi velvollisuus hyväksyä lompakkosovellus palveluissaan. Jatkovalmistelussa tulisi huolehtia siitä, että toimialalistaus on tarkkarajainen, tarkoituksenmukainen ja palvelee käytännön tarpeita.  

Valtioneuvosto suhtautuu lähtökohtaisesti myönteisesti jäsenvaltioille ehdotettuun velvollisuuteen ilmoittaa tunnistusjärjestelmä komissiolle. Valtioneuvosto haluaa kuitenkin kiinnittää huomiota, että käytännön tasolla on ollut haasteita päästä käyttämään toisen jäsenvaltion julkisia sähköisiä palveluita toisen jäsenvaltion ilmoittamalla tunnistusmenetelmällä. Velvollisuus ilmoittaa sähköisen tunnistamisen järjestelmä ei yksin ole ratkaisu tähän käytännön tilanteiden haasteisiin. Malli ei mahdollista suoraa asiointia viranomaispalveluissa, koska ne on rakennettu kansallisen identiteetin (henkilötunnuksen) varaan. Valtioneuvosto suhtautuu myönteisesti siihen, että halukkailla toimijoilla on jatkossakin mahdollisuus ilmoittaa menetelmänsä ja mahdollistaa siten sen rajat ylittävä käyttö. Tavoitteena tulee kuitenkin olla palveluiden rajat ylittävän käytön mahdollistaminen nykyistä laajemmin ja tehokkaammin. Kokonaisuudessa olisi huomioitava, että rajat ylittävän palvelun avaaminen voi aiheuttaa merkittäviä kustannuksia, koska se edellyttää muutoksia sekä tietomalleihin että järjestelmiin. Toisaalta rajat ylittävät palvelut voivat tehostaa hallintoa ja henkilöiden oikeuksien toteuttamista. 

Valtioneuvosto pitää tarpeellisena, että sähköisen tunnistamisen järjestelmien ilmoittamiseen liittyvään menettelyyn luodaan uusi vaihtoehtoinen menettelytapa, sertifiointi, ja suhtautuu myönteisesti mahdollisuuteen osoittaa tunnistusjärjestelmän vaatimustenmukaisuus sertifioinnin avulla. Sertifiointi ja siihen liittyvä standardointi voivat parantaa vaatimusten yhdenmukaisuutta ja ennakoitavuutta, nopeuttaa varsinaista ilmoittamista ja vähentää ilmoittamiseen liittyvää hallinnollista taakkaa. Sertifiointimenettelyn mahdollistaminen voi osaltaan kannustaa myös yksityisen sektorin palveluntarjoajia ilmoittamaan niiden tuottamia tunnistusjärjestelmiä. Valtioneuvosto pitää tärkeänä, että sertifioinnin käytännön toimivuuteen ja sertifiointielinten nimeämiseen liittyviä seikkoja vielä selvennetään. Näin voidaan varmistaa, että sertifiointimenettelyn hyödyt ovat käytännössä mahdollisia saavuttaa. Tässä tulisi kiinnittää erityisesti huomiota sertifiointipalvelujen saatavuuteen jäsenvaltioissa ja menettelyn luotettavuuteen. Huomiota tulisi kiinnittää siihen, että aiemmin kansallisten sähköisten tunnistusjärjestelmien luotettavuutta ovat arvioineet jäsenvaltioiden kansalliset viranomaiset, millä on vahva luottamusta luova vaikutus ja jatkossa tätä arviointia tekisivät yksityiset sertifiointielimet. 

Valtioneuvosto kannattaa sähköisten attribuuttitodistusten lisäämistä asetuksen soveltamisalaan. Valtioneuvosto pitää tärkeänä, että henkilön omien tietojen jakamisen ja välittämisen mahdollisuus digitaalisessa toimintaympäristössä eli niin sanottu OmaData-periaate toteutuisi Euroopassa. Sääntelyssä tulee varmistaa riittävä tietosuojan ja tietoturvan taso. Valtioneuvosto kannattaa myös ehdotettujen uusien luottamuspalveluiden lisäämistä asetuksen soveltamisalaan. Sähköisten luottamuspalveluiden vaatimuksia ja kriteerejä on hyvä yhdenmukaistaa nykyistä enemmän, jotta palveluiden tarjoaminen sisämarkkinoilla olisi käytännössä mahdollista. Sääntelyn tulee myös olla yhteensopiva julkisuusperiaatteen ja asiakirjajulkisuutta koskevan lainsäädännön kanssa. Kriteerejä voisi yhdenmukaistaa esimerkiksi komission täytäntöönpanosäädöksien ja standardien avulla. Tässä tulisi kuitenkin ottaa huomioon mitkä ovat luottamuspalveluiden käyttäjien ja markkinoilla toimivien luottamuspalvelujen tarjoajien tarpeet. Erityisesti tulisi vielä kiinnittää huomiota esimerkiksi sähköisten allekirjoituspalveluiden sääntelyn selkeyteen.  

Valtioneuvosto kiinnittää huomiota siihen, että ehdotuksessa pyritään edistämään rajat ylittävää sähköistä tunnistamista kahdella rinnakkaisella keinolla. Käytännössä tämä tarkoittaa jo olemassa olevaan ilmoitusmenettelyyn kohdistuvia muutoksia sekä uuden lainsäädäntökehikon luomista lompakkosovellukselle. Valtioneuvoston mielestä olisi vielä tärkeää huomioida, että valittu lähtökohta ei aiheuta päällekkäisiä kustannuksia ja päällekkäistä kehitystyötä jäsenvaltioissa. 

Valtioneuvosto kiinnittää huomiota komission suunnittelemaan kokonaisaikatauluun lompakkosovelluksen kehittämisessä. Valtioneuvosto pitää tärkeänä, että ehdotuksen vaatimien toimenpiteiden kehittämiselle ja toteuttamiselle varataan riittävä aika, jotta voidaan varmistaa asetettujen tavoitteiden saavuttaminen. Käsittelyn aikataulua voidaan pitää kunnianhimoisena ottaen huomioon esimerkiksi, että lompakkosovelluksen teknisten rakenteiden ja viitekehyksen määrittäminen on tarkoitus aloittaa jäsenvaltioiden kanssa yhteistyössä lainsäädäntöehdotuksen käsittelyn kanssa rinnakkain. Lisäksi huomiota tulisi kiinnittää siihen, että ehdotuksessa edellytetään jäsenvaltioiden tuottavan kokonaan uudenlaisen palvelun kaikkien sen kansalaisten, asukkaiden ja oikeushenkilöiden käyttöön. Lisäksi keskeisiä lompakkosovellukseen ja sen käyttöön liittyviä seikkoja on vielä määrittelemättä, kuten sopimukselliset tai säädetyt toimintamallit lompakkosovelluksen, rekistereiden, uusien attribuuttipalvelujen ja luottavien osapuolten välillä (nk. ekosysteemi). 

Ehdotukseen sisältyy useita valtuuksia komissiolle antaa täytäntöönpano- ja delegoituja säädöksiä. Valtioneuvosto kiinnittää huomiota siihen, että asetus muodostaa sääntelykehyksen, jonka ulottuvuutta on mahdollista muuttaa delegoitujen ja täytäntöönpanosäädösten avulla. Jatkovalmistelussa on huolehdittava, että komissiolle annettavat valtuudet ovat oikeasuhtaisia, tarkoituksenmukaisia, selkeitä ja tarkasti rajattuja. Valtioneuvosto kiinnittää huomiota siihen, että säädös- ja täytäntöönpanovaltaa ei voida kuitenkaan siirtää komissiolle säädöksen keskeisten osien osalta.