Kysymyksiä ja vastauksia eurooppalaisesta lompakkosovelluksesta

Onko lompakkosovelluksen käyttäminen pakollista?

Lompakkosovelluksen käyttäminen on sen käyttäjän näkökulmasta täysin vapaaehtoista. Jäsenvaltioilla on velvollisuus varmistaa, että niiden alueella on vä-hintään yksi lompakkosovellus tarjolla kansalaisille, mutta kansalaisten ei ole pakko ottaa lompakkosovellusta käyttöön.

Onko yritysten tai organisaatioiden pakko mahdollistaa lompakkosovelluksen käyttö?

Lainsäädäntöehdotuksessa on lähtökohtana, että julkisen sektorin sekä tiettyjen yksityisen sektorin toimialoilla toimivien yritysten ja organisaatioiden on mahdollistettava, että lompakkosovelluksella voi tunnistautua niiden sähköisiin palveluihin. Tämä velvollisuus koskisi kuitenkin todennäköisesti vain sellaisia tilanteita, joissa EU- tai kansallinen lainsäädäntö edellyttää muutoinkin yritykseltä tai organisaatiolta, että sen palveluihin on tunnistauduttava vahvaa sähköistä tunnistamista käyttäen.

Milloin lompakkosovellus on mahdollista ottaa käyttöön?

Tämän hetken arvioiden mukaan lompakkosovelluksia tulisi tarjota vuonna 2026. Ajankohta tulee kuitenkin vielä tarkentumaan, sillä lompakkosovellusten tarjoamista koskevan velvoitteen määräaika määräytyy sen perusteella, milloin komission asetusta täydentävät asetukset tulevat voimaan. Jäsenvaltioilla on 24 kk määräaika lompakkosovellusten tarjoamiseen lukien siitä, kun komission täydentävät asetukset ovat tulleet voimaan.

Mitä tarkoittaa itsehallittavuus ja miten se liittyy lompakkosovelluksiin?

Henkilön omien tietojen toimittamista digitaalisessa ympäristössä henkilön itsensä hallittavaksi kutsutaan yleisesti itsehallittavaksi identiteetiksi. Lompakkosovellukset perustuvat itsehallittavuuden ajatukselle, ja niitä koskevassa lainsäädäntöehdotuksessa lähtökohdaksi on kirjattu, että lompakkosovelluksen käyttäjällä pitää olla täysi hallinta sovelluksessa oleviin tietoihin. Lompakkosovellusten osalta itsehallittavuus tarkoittaa käytännössä siis sitä, että tiedot toimitetaan käyttäjän mobiilipäätelaitteessa olevaan lompakkosovellukseen ja että käyttäjä voi päättää itse omien henkilötietojensa käytöstä. Tiedot ovat käyttäjän hallussa sovelluksessa, eikä taustalle synny esimerkiksi viranomaisen ylläpitämää rekisteriä kaikista lompakkosovelluksessa olevista tiedoista.

Mitä tietoja lompakkosovelluksessa voisi olla?

Tavoitteena on, että lompakkosovelluksessa voisi olla samanlaisia tietoja kuin nykyisin taskussamme olevissa lompakoissa voi olla. Lompakkosovelluksessa voisi esimerkiksi olla tieto voimassa olevasta ajo-oikeudesta (ajokortti) tai todistus henkilön hygieniaosaamisesta (hygieniapassi). Lisäksi lompakkosovelluksessa voisi olla muita henkilöön liittyviä tietoja ja todistuksia, kuten tieto suoritetusta tutkinnosta (tutkintotodistus) tai tieto matkustusoikeudesta (passi). Tiedot eivät kuitenkaan tulisi lompakkosovellukseen automaattisesti, vaan ne pitäisi ladata sovellukseen erikseen kutakin tietoa tarjoavalta taholta. Lompakkosovelluksia koskeva lainsäädäntö ei tule vaatimaan, että tietyt tiedot tai todistukset olisi pakko ladata lompakkosovellukseen.

Miten Suomi osallistuu EU-lainsäädännön valmisteluun?

Suomi on osallistunut asetuksen valmisteluun virkamiestyönä vaikuttamalla Euroopan unionin neuvoston televiestintä- ja tietoyhteiskuntatyöryhmän sekä komission johtaman ja jäsenvaltioiden eIDAS-asiantuntijoista koostuvan ryhmän (eIDAS Expert Groupin) kokouksissa ja käynyt aktiivisesti keskustelua muiden jäsenvaltioiden kanssa. Suomi on lisäksi hakenut kolmessa eri konsortiossa EU-komissiolta rahoitusta eurooppalaisten lompakkosovellusten pilotointiin yhdessä muiden maiden kanssa.

Miten lompakkosovelluksen tietosuoja on varmistettu?

Lompakkosovellusten tietosuoja ja turvallisuus ovat erittäin keskeisiä teemoja lainsäädännön ja teknisten vaatimusten valmistelussa. Lompakkosovellukselta tullaan edellyttämään niin kutsutun korkean varmuustason vaatimusten täyttämistä, mikä käytännössä tarkoittaa kaikista vaativimpien ja turvallisimpien edellytysten täyttämistä. Lisäksi asetukseen on neuvottelujen aikana lisätty useita konkreettisia henkilötietojen suojaa parantavia vaatimuksia. Tällaisia vaatimuksia ovat esimerkiksi se, että vain lompakkosovelluksen käyttäjä voi seurata sitä, miten lompakkosovellusta käytetään ja, että lompakkosovelluksen ja siellä olevien tietojen tulee olla täysin käyttäjän hallinnassa.

Miten EU:n digitaalisessa lompakkosovelluksessa tunnistetaan tiedon vastaanottaja?

eIDAS-asetusehdotuksessa tietojen vastaanottajia kutsutaan luottaviksi osapuoliksi. Niitä ovat esimerkiksi erilaiset asiointipalvelut, kuten verkkokaupat ja julkishallinnon sähköiset asiointipalvelut. Asetusehdotus sisältää vaatimuksen siitä, että lompakkosovelluksen tulee sisältää tekninen ominaisuus, jolla käyttäjän on mahdollista tunnistaa asiointipalvelu, jolle käyttäjä haluaa tietojaan osoittaa. Tämän lisäksi asetusehdotus sisältää velvollisuuden asiointipalveluille ilmoittaa viranomaiselle, jos asiointipalvelu haluaa mahdollistaa lompakkosovelluksen käytön palveluissaan. Asiointipalvelu voi esimerkiksi mahdollistaa sähköisen tunnistautumisen tai joidenkin muiden tietojen osoittamisen lompakkosovelluksen avulla. Viranomainen pitäisi listaa ilmoituksen tehneistä asiointipalveluista, jolloin lompakkosovellusta hyödyntävät tahot olisivat tiedossa.

Onko oikeushenkilöiden mahdollista käyttää EU:n digitaalista lompakkosovellusta?

eIDAS-asetus mahdollistaa sen, että lompakkosovelluksen käyttäjä voi olla oikeushenkilö tai luonnollinen henkilö oikeushenkilön edustajana. Asetusehdotus ei siis rajoita oikeushenkilöiden mahdollisuutta saada lompakkosovelluksia käyttöönsä. Komission johtamassa lompakkosovelluksen teknisten vaatimusten määrittelytyössä on kuitenkin ensisijaisesti keskitytty näkökulmaan, jossa lompakon käyttäjä on luonnollinen henkilö. Suomi on kuitenkin aktiivisesti pitänyt esillä myös oikeushenkilöiden lompakkosovellusten kehittämisen tärkeyttä.