Sisällysluettelo

Hallituksen esitys eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi HE 284/2018

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Esityksessä ehdotetaan uutta lakia julkisen hallinnon tiedonhallinnasta. Laki olisi tiedonhallintaa koskeva yleislaki. Laki koskisi laajasti viranomaistoiminnassa tapahtuvaa tiedonhallintaa. Lailla varmistettaisiin viranomaisten tietoaineistojen yhdenmukainen hallinta ja tietoturvallinen käsittely julkisuusperiaatteen toteuttamiseksi. Lisäksi laissa säädettäisiin viranomaisten tietojärjestelmien välillä tapahtuvasta tietojen luovuttamisesta sähköisesti. Sääntelyllä tehostettaisiin viranomaisten tiedonhallintaa, jotta viranomaiset voivat tarjota hallinnon asiakkaalle palveluitansa hyvää hallintoa noudattaen laadukkaasti ja hoitaa tehtävänsä tuloksellisesti. Lain tarkoituksena on edistää myös tietojärjestelmien ja tietovarantojen yhteentoimivuutta.

Ehdotetun lain sääntely korvaisi ja uudistaisi voimassa olevan julkisen hallinnon tietohallinnon ohjauksesta annetun lain säännökset. Tämä laki ehdotettaisiin kumottavaksi. Lisäksi ehdotettu laki korvaisi viranomaisten toiminnan julkisuudesta annetun lain hyvää tiedonhallintatapaa koskevat säännökset. Esityksessä ehdotetaan kumottavaksi tai muutettavaksi eräitä viranomaisten toiminnan julkisuudesta annetun lain, sähköisestä asioinnista viranomaistoiminnasta annetun lain sekä eräiden muiden lakien säännöksiä.

Ehdotettavassa tiedonhallintalaissa säädettäisiin julkisen hallinnon yleisistä velvoitteista tiedonhallinnassa ja tietojärjestelmien käytössä: tiedonhallinnan suunnittelusta ja kuvaamisesta, tietoturvallisuudesta, turvallisuusluokittelusta, tietoaineistojen muodostamisesta sekä asian ja palvelujen tiedonhallinnasta. Tiedonhallintalakia sovellettaisiin tietyiltä osin myös yksityisiin henkilöihin sekä yksityisiin yhteisöihin, kun niiden toimintaan sovelletaan viranomaisten toiminnan julkisuudesta annettua lakia. Lisäksi tiedonhallintalakia sovellettaisiin eräisiin viranomaistoiminnan ulkopuolelle jääviin julkisyhteisöihin siltä osin kuin niihin sovelletaan viranomaisten toiminnan julkisuudesta annetun lain säännöksiä. Julkisen hallinnon tiedonhallinnasta ehdotetulla lailla pantaisiin kansallisesti täytäntöön eräiltä osin Euroopan parlamentin ja neuvoston direktiivi julkisen sektorin hallussa olevien tietojen uudelleenkäytöstä.

Laissa säädettäisiin julkisen hallinnon tiedonhallinnan yleisestä ohjauksesta. Valtiovarainministeriön ja ministeriöiden ohjaus vastaisi pääosin nykyisiä toimivaltuuksia. Lisäksi laissa ehdotetaan säädettäväksi uudesta toimielimestä, julkisen hallinnon tiedonhallintalautakunnasta, jonka tehtävänä olisi arvioida tiedonhallintalain vaatimusten ja menettelyjen toteuttamista sekä edistää laissa säädettyjen menettelyjen yhdenmukaista toteuttamista.

Ehdotetussa laissa julkisen hallinnon tiedonhallinnasta olisivat säännökset teknisten rajapintojen ja katseluyhteyden avulla tapahtuvasta tietojen luovuttamisesta. Samalla ehdotetaan kumottavaksi erityislainsäädännössä säädettyjä säännöksiä, jotka koskevat teknisten käyttöyhteyksien avulla tapahtuvaa tietojen luovuttamista. Sääntelyn tarkoituksena on vähentää tarvetta säätää erityislainsäädännössä teknisluonteisesta tietojen luovutustavasta. Ehdotetulla sääntelyllä ei ole vaikutusta tiedonsaantioikeuksia koskevaan sääntelyyn. Sääntelyä uudistettaisiin siten, että se nykyistä paremmin ottaa huomioon tietoteknisen kehityksen myötä tapahtuneita ja tulevaisuudessa tapahtuvia muutoksia tiedonhallinnassa.

Lakien on tarkoitus tulla voimaan 1 päivänä syyskuuta 2019.

YLEISPERUSTELUT

1 Johdanto

Hallituksen esityksellä toteutetaan kahta pääministeri Juha Sipilän hallituksen hallitusohjelmaan kuuluvaa kärkihanketta: Digitalisoidaan julkiset palvelut -kärkihanketta sekä Sujuvoitetaan säädöksiä -kärkihanketta. Hallituksen esityksen tarkoituksena on edistää hallinnon digitalisointia ja tehokkuutta sekä parantaa hallinnon asiakkaille tuotettavien palvelujen laatua. Esityksellä purettaisiin myös teknisluonteista sääntelyä erityislainsäädännöstä. Hallituksen esitys liittyy myös eduskunnan esittämiin kannanottoihin tietojärjestelmien yhteentoimivuuden ja tietohallinnon ohjauksen kehittämisestä (EK 30/2009 vp ja EK 10/2012 vp). Tiedonhallintaa koskeva sääntely on hajanaista ja monin osin jo vanhaa suhteessa siihen toimintaympäristöön, jossa hallinto toimii nykyään. Uusittavalla sääntelyllä pyritään edistämään ja turvaamaan viranomaisten toiminta muun muassa yhtenäistämällä ja tarkentamalla tietoturvallisuutta koskevaa sääntelyä.

Esityksessä ehdotetaan säädettäväksi uusi laki julkisen hallinnon tiedonhallinnasta. Laki olisi julkisen hallinnon tiedonhallintaa sääntelevä yleislaki. Laki kokoaisi yhteen sääntelyä viranomaistoiminnan julkisuudesta annetusta laista (621/1999, jäljempänä julkisuuslaki), julkisen hallinnon tietohallinnon ohjauksesta annetusta laista (634/2011, jäljempänä tietohallintolaki) ja sähköisestä asioinnista viranomaistoiminnasta annetusta laista (13/2003, jäljempänä asiointilaki). Ehdotetulla lailla uudistettaisiin sääntelyä vastaamaan teknologista kehitystä ja yhteiskunnan toimintojen lisääntyneestä tietointensiivisyydestä johtuneita tiedonhallinnan muuttuneita toimintatapoja ja asetettaisiin uudistetulla sääntelyllä tarkennettuja velvoitteita, jotka edistävät tiedon hyödyntämistä hallinnon toiminnassa. Ehdotetun lain tarkoituksena olisi edistää viranomaisten tiedonhallinnan laatua, tietoturvallisuutta sekä viranomaisten tietoaineistojen tietoturvallista ja vastuullista hyödyntämistä siten, että viranomainen voi hoitaa tehtävänsä hyvää hallintoa noudattaen tehokkaasti ja tuloksellisesti tuottamalla laadukkaita palveluita hallinnon asiakkaille.

Ehdotettu tiedonhallintalaki olisi julkisen hallinnon viranomaisissa tapahtuvan tiedon käsittelyn ja hallinnon sääntelyrakennetta muuttava uudistus. Uuden lain säätämisen myötä ehdotetaan kumottavaksi tietohallintolaki. Sääntely sisältyisi uudistettuna uuteen tiedonhallintalakiin. Samoin ehdotetaan kumottavaksi julkisuuslain hyvää tiedonhallintatapaa koskevat säännökset sekä asiointilaissa olevat rekisteröintiä koskevat säännökset, koska sääntely olisi jatkossa uudessa laissa. Julkisuuslain nojalla annettu asetus tietoturvallisuudesta valtionhallinnossa (681/2010) sekä pääosin viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta annettu asetus (1030/1999) kumoutuisivat asetuksenantovaltuutta koskevien muutosten vuoksi. Tietoturvallisuutta ja asianhallintaa koskevia säännöksiä nostettaisiin lain tasolle kattamaan pääosin koko julkinen hallinto, mutta turvallisuusluokiteltavien tietojen käsittelystä valtionhallinnossa säädettäisiin uudella asetuksella.

Tiedon hyödyntämisen uudet muodot sekä entistä verkottuneemmat toimintatavat eri toimijoiden välisessä yhteistyössä asettavat sääntelylle uusia vaatimuksia koskien yhtenäisempää ja yhteentoimivampaa tiedonhallintaa eri toimijoiden välillä. Yhtenäisellä ja mahdollisimman kattavalla yleissääntelyllä voidaan osaltaan varmistaa, että eri toimijoiden tiedonhallinta on laadukasta ja tehokasta, ja sellaista, että tietoja voidaan vaihtaa tehokkaasti viranomaisten välillä hallinnon asiakkaan oikeudet huomioon ottaen. Laajasti sovellettavalla sääntelyllä voidaan varmistaa riittävän laadukas tiedonhallinta ja tietoturvallisuuden taso kaikissa sääntelyn soveltamisalaan kuuluvissa toimijoissa. Ehdotetulla sääntelyllä voitaisiin karsia sähköiseen luovutustapaan liittyviä menettelyitä, joissa viranomaiset selvittävät toisiltaan muun muassa tietojen suojaamiskäytäntöjä tai asettavat perustietoturvatason varmistamiseksi toisilleen tietoluovutuspäätöksiin liittyen tietoturvallisuusvaatimuksia. Ehdotettu sääntely ei vaikuta tiedonsaantioikeuksiin tai niitä koskeviin menettelyihin, vaan viranomaisten välillä jatkossakin tiedot luovuttavan viranomaisen on tehtävä päätös tietojen luovuttamisesta esimerkiksi teknisen rajapinnan toteuttamisen yhteydessä tai ensimmäistä kertaa avattaessa se toiselle viranomaiselle.

Esityksen tietopoliittisena tavoitteena on parantaa tietojen tehokasta luovuttamista ja käyttöä viranomaisten, muiden toimijoiden ja palvelujen välillä. Kansalaisen näkökulmasta tämä edistää sitä, että viranomaisten hallussa olevia häntä koskevia tietoja hyödynnetään mahdollisimman laajasti, eikä niitä kysytä eri palveluprosesseissa tarpeettomasti uudelleen, jos viranomaiset voivat tietoja luovuttaa olemassa olevien tiedonsaantioikeuksien puitteissa.

Ehdotettu sääntely luo yleislain tasolla perustan yhtenäisille menettelytavoille, joilla julkinen hallinto käsittelee hallussaan olevia tietoja. Ehdotetulla sääntelyllä ei muuteta julkisuutta ja salassapitoa tai tietojen luovutusta koskevaa sääntelyä. Näitä koskevat yleissäännökset ovat julkisuuslaissa.

Ehdotetulla tiedonhallintalailla muodostetaan myös perustaa kansalaisten tiedollisten oikeuksien toteuttamiselle, koska viranomaisten tulee entistä tarkempien säännösten perusteella kuvata yleisölle, miten tietoja voi saada viranomaisten tietojärjestelmistä. Nämä oikeudet ovat suoraan riippuvaisia myös Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (jäljempänä myös EU:n yleinen tietosuoja-asetus) sääntelystä sekä julkisuuslaissa säädetyistä tiedonsaantioikeuksista. Ehdotettavalla tiedonhallintalailla ei vaikuteta näiden oikeuksien sisältöön, vaan tehokas ja yhdenmukainen tiedonhallinta ja siihen liittyvät kuvaukset edistävät rekisteröityjen, hallinnon asiakkaiden tai asianosaisten tiedollisten oikeuksien toteuttamista. Ehdotetussa laissa tarkoitettujen tiedonhallintayksikköjen on tiedonhallintaansa toteuttaessaan ja suunnitellessaan otettava huomioon myös kansalaisten tietoon liittyvät oikeudet.

Ehdotettavan tiedonhallintalain keskeisiä sääntelykohteita ovat laissa tarkoitettujen tiedonhallintayksikköjen toiminnalle asetettavat vaatimukset tiedonhallinnan järjestämisestä, tiedonhallinnan suunnittelusta ja kuvaamisesta sekä tietoturvallisuudesta. Keskeistä uudistettavaa sääntelyä ovat asian- ja palvelujen tiedonhallintaa koskevat säännökset sekä tietoaineistojen muodostamista ja sähköistä luovutustapaa koskevat säännökset. Näillä säännöksillä tuotaisiin yleiseen sääntelyyn ensimmäistä kertaa teknisten rajapintojen käyttöä koskevat yleiset velvoitteet.

Ehdotettavalla tiedonhallintalailla pantaisiin kansallisesti voimaan Euroopan parlamentin ja neuvoston direktiivin 2003/98/EY, annettu 17 päivänä marraskuuta 2003, julkisen sektorin hallussa olevien tietojen uudelleenkäytöstä 5 artiklan kohta 1 sellaisena kuin se on muutettuna Euroopan parlamentin ja neuvoston direktiivissä 2013/37/EU annettu 26 päivänä kesäkuuta 2013, julkisen sektorin hallussa olevien tietojen uudelleenkäytöstä annetun direktiivin 2003/98/EY muuttamisesta (jäljempänä PSI-direktiivi). PSI-direktiivin sisältö on muilta osin sisällytetty osaksi viranomaisten toiminnan julkisuudesta annettua lakia.

2 Nykytila

2.1 Lainsäädäntö ja käytäntö

2.1.1 Tiedonhallinnan sääntely

Tiedonhallinnalle ei ole löydettävissä yhtä tyhjentävää määritelmää, vaan käsitteellä tarkoitetaan yleensä tietojen käsittelyyn ja käyttöön sekä tiedon esittämiseen yleisellä tasolla liittyvää tapaa kerätä ja ylläpitää tietoja niiden laadun ja käytettävyyden varmistamiseksi. Tiedonhallinnan sääntely on hajautunut useaan yleislakiin sekä runsaaseen erityislainsäädäntöön. Lainsäädännössä ja lakien valmisteluaineistoissa tiedonhallinta määritetään usealla eri tavalla sääntelykohteesta ja sääntelyn näkökulmasta riippuen.

Hallintolaki muodostaa hallintoasioissa tiedonhallinnan järjestämisen perustan, jota julkisuuslaki täydentää. Lainkäytössä hallintolainkäyttölaki (586/1996), oikeudenkäymiskaari (4/1734) ja oikeudenkäynnistä rikosasioissa annettu laki (689/1997) luovat tiedonhallinnan pohjan, johon vaikuttaa myös oikeudenkäynnin julkisuudesta hallintotuomioistuimissa annettu laki (381/2007) ja oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa annettu laki (370/2007).

Hallintolaissa on säädetty hyvän hallinnon perusteista ja asiankäsittelyprosesseille asetetuista vaatimuksista. Tiedonhallinnan asianmukainen järjestäminen on osa hyvän hallinnon toteuttamista, koska sillä palvellaan muun muassa joutuisan asiankäsittelyn toteuttamista ohjaamalla asiakirjat oikeisiin asiankäsittelyprosesseihin sekä huolehtimalla asiankäsittelyn asianhallinnasta.

Palveluperiaatteen mukaisesti viranomaisen tulee pystyä vastaamaan viranomaisille tulleisiin tietopyyntöihin sekä pyrkiä edistämään viranomaisen tehtävien suorittamista tuloksellisesti huolehtimalla viranomaisten asiakirjojen saatavuudesta ja käyttökelpoisuudesta.

Julkisuuslain 3 §:ssä säädetään viranomaisen velvollisuuksista, joiden tarkoituksena on avoimuuden ja hyvän tiedonhallintatavan toteuttaminen. Tämän toteuttamiseksi viranomaisen tulee huolehtia muun muassa asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muusta tietojen laatuun vaikuttavista tekijöistä (julkisuuslain 18 § 1 mom.).

Julkisuuslakiin sisältyvän sääntelyn tavoitteena ei ole ollut tyhjentävästi esittää kaikkia hyvään tiedonhallintatapaan kuuluvia velvoitteita, vaan niiden on katsottu määräytyvän aina ajan ja tilanteen mukaan. Jättäessään asiakirjan määrityksen yleiselle tasolle, julkisuuslaki ei kovinkaan selkeästi määritä, mistä tiedoista tai toimenpiteistä tiedonhallinnassa kulloinkin on kyse. Julkisuuslain 18 §:n hyvän tiedonhallintatavan sääntely kuitenkin pitää sisällään tiedon ja asiakirjan elinkaareen liittyvien toimenpiteiden yleisluonteisen sääntelyn.

Arkistolaissa (831/1994), ei terminologisesti määritellä erikseen tiedonhallintaa, mutta lain 4 luvussa säädetään viranomaisten velvoitteista laatia, säilyttää ja käyttää asiakirjoja, jotka liittyvät suoraan viranomaisten tiedonhallintaan. Määritelmää selittää osaltaan arkistolain näkökulma, jossa tiedonhallinta rinnastetaan asiakirjallisen tiedon pitkäaikaiseen ja pysyvään säilyttämiseen (arkistolain 11 §).

Sektorikohtaisessa lainsäädännössä tiedonhallinta määrittyy pääasiassa sääntelyn kohteen ja asiayhteyden kautta. Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (159/2007, jäljempänä asiakastietolaki) 14 §:ssä säädetään terveydenhuollon valtakunnallisesta tiedonhallintapalvelusta, jolla tarkoitetaan potilasasiakirjojen säilyttämiseen ja luovuttamiseen tarkoitettua kokonaisuutta. Asiakastietolain valmisteluaineistoissa tiedonhallinnan sisältöä ei myöskään määritellä tarkemmin.

Sosiaalihuollon asiakasasiakirjoista annetun lain (254/2015) valmisteluaineistossa sosiaalihuollon valtakunnalliselle tietojärjestelmälle on linjattu tavoitteeksi yhtenevät sosiaalihuollon tiedonhallinnanprosessit, jotka tukevat sosiaalipalvelujen laadukasta tuottamista. Asiakasasiakirjojen yhteydessä tiedonhallinnan kokonaisuuden on katsottu koostuvan kansallisista tietojärjestelmäpalveluista sekä niihin liittyvistä sosiaalihuollon asiakastietojärjestelmistä ja potilastietojärjestelmistä. Asiakastietolain tai asiakasasiakirjalain valmisteluaineistoissa ei ole tarkemmin analysoitu, mitä mainitut tiedonhallinnan prosessit ovat tai mitkä ovat niiden tehtävät.

Tiedonhallinta sääntelykohteena edellyttäisi sen sisältämien hallintakohteiden sekä hallintaan liittyvien tehtävien yhteistä ja tarkempaa määrittelyä. Liian abstraktille tasolle jätetty määritelmä tiedonhallinnasta heikentää kehitettävän sääntelyn ohjausvaikutusta sen aiheuttaman tulkinnanvaraisuuden vuoksi. Tiedonhallinta sääntelykohteena tulisi määritellä tiedonhallintaan liittyvien tehtävien sekä vastuiden ja velvollisuuksien kautta. Tiedonhallinta käsitteenä ei ole sääntelykohde.

Tietohallinto on määritelty tietohallintolaissa, mutta käytännössä määrittely on jäänyt laissa apukäsitteeksi eikä se määritele tietohallinnon varsinaisia tehtäviä tai organisointia viranomaisissa. Viranomaisten sisäisen hallinnon järjestämistä ei tulisi säännellä käsitteillä, vaan sääntelyn tulisi kohdistua niihin tehtäviin ja velvollisuuksiin, joilla asianmukaista, perusoikeudet huomioon ottavaa, tiedonhallintaa toteutetaan.

Sähköisestä asioinnista viranomaistoiminnassa annetun lain 2 §:ssä säädettyä soveltamisalaa ei ole määritelty organisatorisesta näkökulmasta. Lain soveltamisala on määritelty asiallisesti siten, että lakia sovelletaan hallintoasian, tuomioistuinasian, syyteasian ja ulosottoasian sähköiseen vireillepanoon, käsittelyyn ja päätöksen tiedoksiantoon, jollei muualla laissa toisin säädetä. Lakia sovelletaan soveltuvin osin myös muussa viranomaistoiminnassa. Lakia sovelletaan sähköiseen asiointiin lisäksi silloin, kun hallintoasian käsittely on muun kuin julkisyhteisön tehtävänä tai kun oikeudenkäyntiasiakirja saadaan toimittaa tuomioistuimen asiakirjan vastaanottamaan määräämälle henkilölle. Lakia ei sovelleta esitutkintaan eikä poliisitutkintaan. Laissa ei ole määritelty, mitä julkisyhteisöllä tässä yhteydessä tarkoitetaan organisatorisesti.

Tiedonhallintaan vaikuttavien hallinnon yleislakien organisatoriset soveltamisalat eivät ole yhdenmukaisia. Hallintolaki ja sähköisestä asioinnista viranomaistoiminnassa annettu laki koskevat viranomaisten lisäksi julkista hallintotehtävää hoitavia organisaatioita.

Julkisuuslaissa on säädetty muun muassa tietoturvallisuuteen, asianhallinnan järjestämiseen sekä hyvän julkisuus- ja salassapitorakenteen toteuttamiseen liittyvistä velvollisuuksista. Viranomainen on velvollinen suunnittelemaan tiedonhallintansa sekä kuvaamaan sen. Kuvaamisvelvollisuuksia on useassa laissa. Julkisuuslain 18 §:n 1 momentin 3 kohdan mukaan viranomaisen tulee selvittää tietojärjestelmien käyttöönottoa sekä hallinnollisia ja lainsäädännöllisiä uudistuksia valmisteltaessa suunniteltujen toimenpiteiden vaikutus asiakirjojen julkisuuteen, salassapitoon ja suojaan sekä tietojen laatuun. Selvityksen perusteella viranomaisen tulee ryhtyä tarpeellisiin toimenpiteisiin tietoon liittyvien oikeuksien ja tiedon laadun turvaamiseksi sekä asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen suojan järjestämiseksi.

Julkisuuslain 18 §:n 1 momentin 4 kohdan mukaan viranomaisen tulee suunnitella ja toteuttaa asiakirja- ja tietohallintonsa samoin kuin ylläpitämänsä tietojärjestelmät ja tietojenkäsittelyt niin, että asiakirjojen julkisuus voidaan vaivattomasti toteuttaa.

Julkisuuslain 18 §:n 1 momentin 2 kohdan mukaan viranomaisen tulee laatia ja pitää saatavilla kuvaukset pitämistään tietojärjestelmistä sekä niistä saatavissa olevista julkisista tiedoista. Julkisuusasetuksen (1030/1999, koskee valtion viranomaisia) 8 §:n mukaan viranomaisen on laadittava ylläpitämistään tietojärjestelmistä seloste, josta ilmenee tietojärjestelmän käyttötarkoitus ja siihen talletettavat tiedot.

Tietohallintolain 4 §:n 1 momentin 1 kohdan mukaan valtiovarainministeriön tulee huolehtia julkisen hallinnon toiminta-, tieto-, järjestelmä- ja teknologia-arkkitehtuurin (kokonaisarkkitehtuuri) suunnittelusta ja kuvaamisesta. Tietohallintolain 7 §:ssä on säädetty viranomaisen kokonaisarkkitehtuurin suunnittelu- ja kuvaamisvelvollisuudesta.

2.1.2 2.1.2. Tietoturvallisuuden sääntely

Tietoturvallisuutta julkisella sektorilla säännellään yleislain tasolla julkisuuslaissa ja valtionhal-linnon osalta lisäksi tietoturvallisuudesta valtionhallinnossa annetussa valtioneuvoston asetuksessa (681/2010).

Salassa pidettävät viranomaisen asiakirjat on yleislain tasolla määritelty julkisuuslain 24 §:n 1 momentissa. Salassapito- ja luokitusmerkinnän tekemisestä säädetään julkisuuslain 25 §:ssä sekä tietoturvallisuudesta valtionhallinnossa annetun asetuksen 8—12 §:ssä. Luokitellun asiakirjan käsittelyvaatimuksista säädetään edellä mainitun asetuksen 13—21 §:ssä.

Salassa pidettävien asiakirjojen luokittelussa käytetään tietoturvallisuudesta valtionhallinnossa annetun asetuksen 9 §:n mukaista neliportaista suojaustasoluokitusta. Salassa pidettävä asiakirja voidaan luokitella kuuluvaksi suojaustasoon I , jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa erityisen suurta vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle, suojaustasoon II, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa merkittävää vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle, suojaustasoon III, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle tai yksityiselle edulle ja suojaustasoon IV, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa haittaa salassapitosäännöksessä tarkoitetulle yleiselle tai yksityiselle edulle.

Jos asiakirjan tai siihen sisältyvän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi ai-heuttaa vahinkoa kansainvälisille suhteille, valtion turvallisuudelle, maanpuolustukselle tai muulle yleiselle edulle viranomaisten toiminnan julkisuudesta annetun lain 24 §:n 1 momentin 2 ja 7—10 kohdassa tarkoitetulla tavalla, salassa pidettävän asiakirjan suojaustasoa koskevan merkinnän yhteyteen tai sen sijasta voidaan tietoturvallisuudesta valtionhallinnossa annetun asetuksen 11 §:n mukaan tehdä erityinen turvallisuusluokitusmerkintä. Turvallisuusluokitusmerkintä tehdään suojaustasoon I kuuluvaan asiakirjaan merkinnällä "ERITTÄIN SALAINEN", suojaustasoon II kuuluvaan asiakirjaan merkinnällä "SALAINEN", suojaustasoon III kuuluvaan asiakirjaan merkinnällä "LUOTTAMUKSELLINEN" ja suojaustasoon IV kuuluvaan asiakirjaan merkinnällä "KÄYTTÖ RAJOITETTU".

Viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetussa laissa (1406/2011) on säädetty tietoturvallisuuden arvioinnin perusteista, valtiovarainministeriön toimivallasta ja tehtävistä sekä Viestintäviraston tehtävistä.

2.1.3 Asiakirjan, tietoaineiston, tietovarannon ja tietojärjestelmän käsitteiden sääntely

Julkisuuslain 5.1 §:n mukaan asiakirjalla tarkoitetaan julkisuuslaissa kirjallisen ja kuvallisen esityksen lisäksi sellaista käyttönsä vuoksi yhteen kuuluviksi tarkoitetuista merkeistä muodostuvaa tiettyä kohdetta tai asiaa koskevaa viestiä, joka on saatavissa selville vain automaattisen tietojenkäsittelyn tai äänen- ja kuvantoistolaitteiden taikka muiden apuvälineiden avulla.

Julkisuuslain 5.2 §:n mukaan viranomaisen asiakirjalla tarkoitetaan viranomaisen hallussa olevaa asiakirjaa, jonka viranomainen tai sen palveluksessa oleva on laatinut taikka joka on toimitettu viranomaiselle asian käsittelyä varten tai muuten sen toimialaan tai tehtäviin kuuluvassa asiassa.

Arkistolain 6.2 §:n mukaan asiakirjalla tarkoitetaan kirjallista tai kuvallista esitystä taikka sellaista sähköisesti tai muulla vastaavalla tavalla aikaansaatua esitystä, joka on luettavissa, kuunneltavissa tai muutoin ymmärrettävissä teknisin apuvälinein. Arkistolain asiakirjan käsite on käytännössä yhtenäinen julkisuuslain 5.1 §:n kanssa.

Sähköisestä asioinnista viranomaistoiminnassa annetun lain (13/2003) 4 §:n 3 kohdan mukaan sähköisellä asiakirjalla tarkoitetaan sähköistä viestiä, joka liittyy asian vireillepanoon, käsittelyyn tai päätöksen tiedoksiantoon. Käytännössä sähköinen asiakirja on aina julkisuuslaissa tarkoitettu viranomaisen asiakirja.

Oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa annetun lain (370/2007) 3.1 §:n 5 kohdan mukaan oikeudenkäyntiasiakirjalla tarkoitetaan julkisuuslain 5 §:n 1 ja 2 momentissa tarkoitettua asiakirjaa, joka on toimitettu tuomioistuimelle tai laadittu tuomioistuimessa oikeudenkäyntiä varten.

Oikeudenkäynnin julkisuudesta hallintotuomioistuimissa annetun lain (381/2007) 7 §:n mukaan oikeudenkäyntiasiakirjalla tarkoitetaan valituskirjelmää tai muuta vireillepanoasiakirjaa, valituksen kohteena olevaa päätöstä sekä muuta hallintotuomioistuimelle hallintolainkäyttöasiassa toimitettua asiakirjaa. Oikeudenkäyntiasiakirja on myös hallintotuomioistuimen päätös ja muu sen hallintolainkäyttöasiassa laatima asiakirja sekä hallintotuomioistuimen diaari ja vastaava asiakirjarekisteri.

Sosiaalihuollon asiakkaan asemasta ja oikeuksista annetun lain (812/2000) 3 §:n 3 kohdan mukaan asiakirjalla tarkoitetaan viranomaisen ja yksityisen järjestämään sosiaalihuoltoon liittyvää, julkisuuslain (621/1999) 5 §:n 1 ja 2 momentissa mainittua asiakirjaa, joka sisältää asiakasta tai muuta yksityistä henkilöä koskevia tietoja.

Potilaan asemasta ja oikeuksista annetun lain (785/1992, jäljempänä potilaslaki) potilasasiakirjoilla tarkoitetaan potilaan hoidon järjestämisessä ja toteuttamisessa käytettäviä, laadittuja tai saapuneita asiakirjoja taikka teknisiä tallenteita, jotka sisältävät hänen terveydentilaansa koskevia tai muita henkilökohtaisia tietoja.

Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (159/2007) 3 §:n 2 kohdan mukaan asiakasasiakirjalla tarkoitetaan asiakaslaissa tarkoitettua asiakirjaa sekä potilaslaissa tarkoitettua potilasasiakirjaa.

Sosiaalihuollon asiakasasiakirjoista annetun lain (254/2015) 3 §:n 7 kohdan mukaan asiakasasiakirjalla tarkoitetaan viranomaisen ja yksityisen järjestämään sosiaalihuoltoon liittyvää, julkisuuslain 5 §:n 1 ja 2 momentissa tarkoitettua asiakirjaa, joka sisältää asiakasta tai muuta yksityishenkilöä koskevia asiakastietoja.

Verotustietojen julkisuudesta ja salassapidosta annetun lain (1346/1999) 1.1 §:n mukaan verotusasiakirjalla tarkoitetaan verotusta varten Verohallinnolle annettuja ja Verohallinnossa laadittuja yksittäistä verovelvollista koskevaa asiakirjaa.

Julkisista hankinnoista ja käyttöoikeussopimuksista annetun lain (1397/2016, jäljempänä hankintalaki) 4 §:n 11 kohdan mukaan hankinta-asiakirjalla tarkoitetaan mitä tahansa asiakirjaa, jonka hankintayksikkö on laatinut tai johon se viittaa kuvatakseen tai määrittääkseen hankinnan tai menettelyn eri osia.

Asiakirjan termi ja sisältö vaihtelevat eri laeissa. Suurin osa asiakirjan käsitteistä palautuu julkisuuslain 5.2 §:ssä säädettyyn viranomaisen asiakirjan käsitteeseen. Terminologian epäyhtenäisyys voi johtaa semanttiseen yhteentoimimattomuuteen.

Tietojärjestelmällä ei ole yhdenmukaista määritelmää lainsäädännössä. Julkisen hallinnon tietohallinnon ohjauksesta annetun lain (634/2011) 3 §:n 2 kohdan mukaan tietojärjestelmällä tarkoitetaan tiettyä käyttötarkoitusta varten kerätyistä tiedoista muodostettua automaattisen tietojenkäsittelyn avulla pidettyä tiedostoa tai tietovarantoa, jonka avulla käyttäjä voi tuottaa palveluja tai suorittaa muita tehtäviä järjestelmän käyttötarkoituksen ja tietojen käsittelyä koskevien vaatimusten mukaisesti.

Viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain 2 §:n 1 kohdan mukaan tietojärjestelmällä tarkoitetaan tietojenkäsittelylaitteista, ohjelmistoista ja muusta tietojenkäsittelystä koostuvaa kokonaisjärjestelyä.

Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (159/2007) 3 §:n 6 kohdan mukaan tietojärjestelmällä tarkoitetaan sosiaali- tai terveydenhuollon asiakastietojen sähköistä käsittelyä varten toteutettua ohjelmistoa tai järjestelmää, jonka avulla tallennetaan ja ylläpidetään asiakas- tai potilasasiakirjoja ja niissä olevia tietoja sekä kerätyistä tiedoista muodostettua automaattisen tietojenkäsittelyn avulla ylläpidettävää tiedostoa tai tietovarantoa, jonka valmistaja on erityisesti suunnitellut sosiaali- tai terveydenhuollon asiakas- tai potilasasiakirjojen ja niissä olevien tietojen käsittelyyn; lisäksi tietojärjestelmällä tarkoitetaan välityspalvelua, jolla sosiaali- tai terveydenhuollon asiakastietoja välitetään jäljempänä 14 §:n 1 momentissa tarkoitettuihin Kansaneläkelaitoksen ylläpitämiin valtakunnallisiin tietojärjestelmäpalveluihin.

Rikoslain (39/1889) 38 luvun 13.1 §:n mukaan tietojärjestelmällä tarkoitetaan: 1) laitetta tai toisiinsa kytkettyjä tai liitettyjä laitteita, joista yksi tai useampi on ohjelmoitu automaattista tietojenkäsittelyä varten; sekä 2) dataa, jota kyseisessä laitteessa tai toisiinsa kytketyissä tai liitetyissä laitteissa varastoidaan, käsitellään, haetaan tai välitetään sen tai niiden toimintaa, käyttöä, suojausta tai huoltoa varten.

2.1.4 Asian ja asiakirjojen rekisteröinnin sääntely

Asiakirjojen rekisteröintivelvollisuudesta on säädetty julkisuuslain 18 §:n 1 momentin 1 kohdassa, jonka mukaan viranomaisen tulee pitää luetteloa käsiteltäviksi annetuista ja otetuista sekä ratkaisuista ja käsitellyistä asioista tai muutoin huolehtia siitä, että sen julkiset asiakirjat ovat vaivattomasti löydettävissä.

Sähköisestä asioinnista viranomaistoiminnassa annetun lain 13 §:n mukaan saapuneet sähköiset asiakirjat on kirjattava tai niiden saapuminen on muulla luotettavalla tavalla rekisteröitävä. Asianhallinnan järjestäminen ja asiakirjojen rekisteröinti ovat paitsi osa julkisuusperiaatteen, mutta myös hyvän hallinnon toteuttamista.

Viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta annetussa asetuksessa (1030/1999, jäljempänä julkisuusasetus) on säädetty tarkentavasti asiakirjarekisteristä sekä siihen kirjattavista tiedoista. Säännökset koskevat valtion viranomaisia julkisuuslaissa säädetyn asetuksenantovaltuuden perusteella, vaikka julkisuusasetuksessa viitataankin yleisesti viranomaiseen.

Julkisuusasetuksen 5 §:n 1 momentin mukaan viranomaisella tulee olla sillä käsiteltävinä olevien asioiden seurantaa varten tiedot siitä, mitä diaareja, luetteloita, hakemistoja ja muita asiakirjahallinnon rekistereitä (asiakirjarekisterit) viranomaisella on tai miten tieto viranomaisen julkisista asiakirjoista voidaan muuten löytää. Julkisuusasetuksen 5 §:n 2 momentin mukaan viranomaisen tulee huolehtia, että asiakirjarekisterien väliset suhteet selvitetään ja että käsiteltävä asia, mikäli mahdollista, kirjataan vain kerran ja että asiakirjarekisterien avulla voidaan täyttää arkistolain nojalla annetut määräykset asiakirjojen rekisteröinnistä ja luetteloinnista.

Julkisuusasetuksen 6 §:n 1 momentissa on säädetty kirjattavista tiedoista. Julkisuusasetuksen 6 §:n 2 momentin mukaan asiakirjarekisteriä suunniteltaessa ja laadittaessa on pidettävä huolta siitä, että asiakirjarekisteristä voidaan vaivatta antaa tieto siihen tehdyistä julkisista merkinnöistä.

Vaikka asiakirjojen rekisteröintiä koskeva sääntely on lain tai asetuksen tasoista, on arkistolaitokselle säädetty sähköisestä asioinnista viranomaistoiminnassa annetun lain 22.1 §:ssä oikeus antaa ohjeita ja määräyksiä sähköisen asioinnin kirjaamisesta tai muusta rekisteröinnistä. Määräyksenantovalta koskee koko julkista hallintoa pois luettuna esitutkinta, poliisitutkinta ja evankelis-luterilainen kirkko. Määräyksenantovaltuuden laajuus sekä sisällöllisesti että organisatorisesti on ongelmallinen valtiosääntöisistä syistä. Niin ikään yleisesti ohjeiden antamista koskeva säännös on ongelmallinen ja tarpeeton. Ohjeiden antamista koskevat valtuussäännökset ovat omiaan hämärtämään oikeudellisesti sitovien sääntöjen ja suositusluonteisten ohjeiden välistä eroa (ks. PeVL 6/2003 vp, PeVL 20/2004 vp ja PeVL 30/2005 vp, PeVL 5/2013 vp).

2.1.5 Tietoaineistojen säilyttämisen sääntely

Henkilötietojen säilyttämistä koskevat yleiset säännökset on säädetty Euroopan unionin yleisessä tietosuoja-asetuksessa, jonka mukaan rekisterinpitäjän tehtävänä on asettaa määräajat henkilötietojen poistoa tai niiden säilyttämisen tarpeellisuuden määräaikaistarkastelua varten, jotta voidaan varmistaa, ettei henkilötietoja säilytetä pidempään kuin on tarpeen. Siltä osin kuin tietosuoja-asetus ei tule sovellettavaksi, arkistonmuodostaja määrittelee arkistolain mukaan asiakirjojen säilytysajat ja -tavat, ja pitää niistä yllä arkistonmuodostussuunnitelmaa. Julkisuuslain 18 §:n 1 momentin 4 kohdassa on säädetty asianmukaisesta tietojen arkistoinnista ja hävittämisestä sekä hyvän julkisuus- ja salassapitorakenteen toteuttamisesta viranomaisten tietoaineistoja käsiteltäessä ja säilytettäessä.

Sähköisestä asioinnista viranomaistoiminnassa annetun lain (13/2003) 21 §:ssä on säädetty sähköisten asiakirjojen arkistoinnista.

Perustuslakivaliokunnan lausuntokäytännössä on vakiintuneesti katsottu henkilörekisteriin otettavien tietojen säilytysajat seikoiksi, joista on perustuslain 10.1 §:n mukaan säädettävä lailla. Niin ikään perustuslakivaliokunta on todennut toistuvasti, ettei tietojen pysyvä säilyttäminen ole henkilötietojen suojan mukaista.

Perustuslakivaliokunnan kannanottojen mukaan säilytysaikaa koskevan sääntelyn tulee lain tasolla olla kattavaa ja yksityiskohtaista. Perustuslakivaliokunnan mukaan säilytysaikaa koskevissa säännöksissä on oltava aikamääre.

Asiakirjojen säilytysajoista on säädetty sekä lain- että asetustasoisesti. Säilytysaikoja koskevat säännökset kohdistuvat puolestaan joko asiakirjoihin tai henkilörekistereihin. Esimerkiksi potilasasiakirjoista annetussa asetuksessa (298/2009) on säädetty potilasasiakirjojen säilytysajoista. Potilasasiakirjat puolestaan muodostavat henkilörekisterin. Sosiaalihuollon asiakasasiakirjoista annetussa laissa (254/2015) on säädetty sosiaalihuollon asiakirjojen säilytysajoista. Pysyvästi säilytettävistä asiakirjoista on säädetty esimerkiksi perintökaaressa (40/1965), jonka 20 luvun 12 a §:n mukaan perukirja tai sen tekninen tallenne säilytetään Verohallinnossa pysyvästi. Henkilörekisterinä pysyvästi säilytettäväksi on säädetty esimerkiksi maakaaren (540/1995) 7 luvun 1 §:n 4 momentissa lainhuuto- ja kiinnitysrekisteri.

Käsitteellisesti voimassa oleva arkistolaki on ongelmallinen, koska siellä säädetään asiakirjojen säilyttämisestä sekä pysyvästä säilyttämisestä, josta Kansallisarkisto voi päätöksellään määrätä. Tietosuoja-asetuksessa ja tietosuojalaissa säilyttäminen ja arkistointi on eriytetty toisistaan, vaikka henkilötietojen yleisen edun mukainen arkistointi ei olekaan yhteensopimaton henkilötietojen käsittelyn alkuperäisen käyttötarkoituksen kanssa. Perustuslakivaliokunta on myös asettanut vaatimuksia sille, mille perusteilla henkilötietoja voidaan säilyttää pysyvästi henkilörekisterissä. Nykyisessä tilanteessa säädöksissä oleva käsitteistö on epäyhtenäinen tietojen säilyttämisen osalta, mutta tietosuoja-asetuksen saadessa etusijan kansalliseen lakiin nähden, on henkilötietojen säilyttämisenä pidettävä tietojen käsittelyä siihen käyttötarkoitukseen kuin ne on kerätty ja erikseen on arvioitava, miltä osin yleisen edun mukaisesti henkilötietoja voidaan arkistoida.

Julkisuuslain 18 §:n 1 momentin 4 kohdassa velvoitetaan viranomaisia suunnittelemaan ja toteuttamaan asiakirja- ja tietohallintonsa samoin kuin ylläpitämänsä tietojärjestelmät ja tietojenkäsittelyt niin, että asiakirjojen julkisuus voidaan vaivattomasti toteuttaa ja että asiakirjat ja tietojärjestelmät sekä niihin sisältyvät tiedot arkistoidaan tai hävitetään asianmukaisesti.

2.1.6 Tietohallinnon ja tiedonhallinnan ohjauksen sekä tietojärjestelmien yhteentoimivuuden sääntely

Julkisen hallinnon tietohallinnon ohjauksesta annetun lain (634/2011, tietohallintolaki) tarkoituksena on tehostaa julkisen hallinnon toimintaa sekä parantaa julkisia palveluja ja niiden saatavuutta säätämällä julkisen hallinnon tietohallinnon ohjauksesta ja tietojärjestelmien yhteentoimivuuden edistämisestä ja varmistamisesta. Laissa säädetään eräiden julkisen hallinnon viranomaisten velvollisuuksista niiden hoitaessa tietohallintotehtäviä.

Tietohallinnon kokonaisarkkitehtuurilla tarkoitetaan tietohallintolain mukaan kuvausta julkisen hallinnon organisaatioiden, palvelujen, toimintaprosessien, käsiteltävien tietojen sekä käytettyjen tietojärjestelmien ja teknologian muodostaman tietohallinnon kokonaisuuden rakenteesta ja sen osien välisistä suhteista.

Julkisen hallinnon viranomaisen on tietohallintolain 7 §:n mukaan julkisen hallinnon tietojärjestelmien yhteentoimivuuden mahdollistamiseksi ja varmistamiseksi suunniteltava ja kuvattava kokonaisarkkitehtuurinsa sekä noudatettava laadittua ja ylläpidettyä kokonaisarkkitehtuuria ja sen edellyttämiä yhteentoimivuuden kuvauksia ja määrityksiä sekä toimialakohtaisia tietojärjestelmien yhteentoimivuuden kuvauksia ja määrityksiä. Valtiovarainministeriön tulee lain mukaan huolehtia julkisen hallinnon toiminta-, tieto-, järjestelmä- ja teknologia-arkkitehtuurin (kokonaisarkkitehtuuri) suunnittelusta ja kuvaamisesta.

Ministeriön on tietohallintolain 8 §:n 1 momentin mukaan huolehdittava, että sen toimialalle laaditaan ja ylläpidetään sen toimialan tietojärjestelmien yhteentoimivuuden kuvaukset ja määritykset. Ministeriön asetuksella voidaan säätää toimialan tietojärjestelmien yhteentoimivuuden kuvausten ja määritysten sisällöstä. Tietohallintolain 8 §:n 2 momentin mukaan, jos tietojärjestelmien yhteentoimivuuden kuvaukset ja määritykset koskevat julkista valtaa käyttävän yhteisön tai säätiön julkisen hallintotehtävän hoitamisessa käyttämää tietojärjestelmää, voidaan ministeriön asetuksella säätää tällaisen tietojärjestelmän yhteentoimivuuden edellyttämistä riippuvuuksista ja suhteista julkisen hallinnon viranomaisten tietojärjestelmiin.

Valtioneuvoston asetuksella voidaan tietohallintolain mukaan säätää julkisen hallinnon tietohallinnon standardiin perustuvasta julkisen hallinnon tietohallinnon yhteisestä kokonaisarkkitehtuurista. siltä osin kuin se koskee tieto-, järjestelmä- ja teknologia-arkkitehtuuria ja sen edellyttämien yhteentoimivuuden kuvausten ja määritysten sisältöä.

Hallituksen esityksessä ei esitetä, mitä tietohallintolain 4 §:n 1 momentissa tarkoitetulla yhteentoimivuuden edellytysten sisällöllä tarkoitetaan. Sen sijaan lain 7 §:n perusteluissa todetaan, että valtiovarainministeriö tarkentaa kokonaisarkkitehtuuria koskevissa määrityksissä ja kuvauksissa, missä laajuudessa, miltä osin ja kuinka tarkasti julkisen hallinnon viranomaisen tulee kuvata arkkitehtuurinsa.

Tietohallintolain 5 §:n 2 momentissa mukaan julkisen hallinnon tietohallinnon neuvottelukunnan tehtävänä on muun ohessa antaa julkisen hallinnon tietohallintoa koskevia suosituksia (JHS-suositukset). Tietohallintolain 6 §:n mukaan valtiovarainministeriö voi päättää, että julkisen hallinnon tietohallinnon neuvottelukunnan antamaa julkisen hallinnon tietohallinnon yhteistä kokonaisarkkitehtuuria ja sen edellyttämiä yhteentoimivuuden kuvauksia ja määrityksiä koskeva suositus (JHS-suositus) on julkisen hallinnon tietohallinnon standardi (jäljempänä JH-standardi).

Tietohallintolaki sisältää myös säännöksen viranomaisten välisen tietojen vaihdon edistämiseksi. Tietohallintolain 10 §:n mukaan julkisen hallinnon viranomaisen on pyrittävä järjestämään toimintansa siten, että se käyttää tässä pykälässä tarkoitettuihin tietojärjestelmiin talletettuja tietoja, jos viranomaisen toiminta edellyttää näiden tietojen käyttöä.

Tietohallintolain 4 §:n 4 momentin mukaan ennen kuin valtion virasto, laitos tai valtion liikelaitos taikka tuomioistuin tai muu lainkäyttöelin päättää tietohallintoa koskevasta omasta hankinnastaan taikka muusta sellaisesta sen ratkaistavissa olevasta valtion talousarviosta rahoitetusta tietohallintoa koskevasta hankinnasta, jolla on laajaa toiminnallista merkitystä tai joka on taloudelliselta arvoltaan merkittävä, sen on pyydettävä asiasta valtiovarainministeriön lausunto. Tästä menettelystä on annettu tarkempia määräyksiä valtioneuvoston asetuksessa lausuntomenettelystä tietohallinnon hankintoja koskevissa asioissa (1249/2014).

Julkisuuslaissa säädetään hyvästä tiedonhallintatavasta. Lain 18 §:n 1 momentin mukaan viranomaisen tulee hyvän tiedonhallintatavan luomiseksi ja toteuttamiseksi huolehtia asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muusta tietojen laatuun vaikuttavista tekijöistä. Säännöksessä on lisäksi viisi kohtaa, mitä viranomaisten on erityisesti hyvän tiedonhallintatavan toteuttamiseksi tehtävä muun muassa suunnitelmilla ja kuvauksilla.

2.2 Kansainväliset sopimukset ja EU-oikeus

2.2.1 Euroopan neuvoston sopimukset

Euroopan ihmisoikeussopimuksen 6 artiklan 1 kohdassa on määrätty oikeudenmukaisen oikeudenkäynnin periaatteista. Oikeudenmukaiseen oikeudenkäyntiin kuuluu oikeudenkäynnin lähtökohtainen julkisuus.

Euroopan ihmisoikeussopimuksen 8 artiklan 1 kohdan mukaan jokaisella on oikeus nauttia yksityis- ja perhe-elämäänsä, kotiinsa ja kirjeenvaihtoonsa kohdistuvaa kunnioitusta. Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä henkilötietojen suoja on katsottu olennaiseksi osaksi 8 artiklan yksityis- ja perhe-elämän suojaa, ja toisaalta henkilötietojen suojalla on vaikutuksensa ihmisoikeussopimuksen 10 artiklassa tarkoitetun sananvapauden käyttämiseen. EIT ratkaisuissa on korostettu muun muassa, että lainsäädännössä pitää olla asianmukaiset takeet siitä, että henkilötietoja ei käsitellä 8 artiklan vastaisesti. Käsiteltävien tietojen tulee olla tarpeellisia sekä sisällöltään että säilytysajaltaan rajattuja rekisteröinnin käyttötarkoitukseen nähden. Niin ikään sääntelyssä tulee olla riittävät takeet, joilla estetään henkilötietojen lainvastainen käyttö.

Euroopan neuvoston yksilöiden suojelusta automaattisessa tietojenkäsittelyssä laadittu yleissopimuksen tarkoituksena on turvata henkilötietojen automaattisessa tietojenkäsittelyssä jokaisen sopimuspuolen alueella jokaiselle yksilölle riippumatta hänen kansalaisuudestaan tai asuinpaikastaan hänen oikeutensa ja perusvapautensa ja erityisesti hänen oikeutensa yksityisyyteen ("tietosuoja").

Yleissopimus sisältää tietosuojan perusperiaatteet: asianmukaisuus, laillisuus, käyttötarkoitussidonnaisuus, tarpeellisuus, ajantasaisuus sekä tietojen säilyttämistä koskeva rajoitus suhteessa käyttötarkoitukseen. yleissopimuksessa on myös määrätty erityisiä tietoryhmiä (arkaluonteisia tietoja) koskevasta käsittelykiellosta, henkilötietojen suojaamista koskevista vaatimuksista (tietoturva) sekä rekisteröidyn oikeuksista. Yleissopimusta sovelletaan automaattisesti käsiteltäviin henkilörekistereihin ja henkilötietojen automaattiseen tietojenkäsittelyyn julkisella ja yksityisellä sektorilla.

Yleissopimusta ollaan parhaillaan muuttamassa Euroopan tietosuoja-asetuksen kanssa yhteneväiseksi.

Sopimuksen 4 artiklassa on määritelty ne menettelyt, joilla asiakirjapyyntö käsitellään. Viranomaisen asiakirjaa pyytävää ei saa velvoittaa ilmoittamaan syytä, jonka vuoksi hän haluaa saada tiedon viranomaisen asiakirjasta. Asiakirjaa pyytävän voidaan edellyttää tunnistautumaan, jos se on välttämätöntä pyynnön käsittelemiseksi. Sopimuksen 5 artiklan mukaan viranomaisen on autettava hakijaa mahdollisuuksien mukaan yksilöimään pyytämänsä viranomaisen asiakirja.

Sopimuksen 7 artiklassa on määritelty perusteet asiakirjan antamisesta perittävistä maksuista. Sopimuksen 8 artiklassa on määritelty muutoksenhakumenettelyyn liittyvät vaatimukset. Sopimuksen 9 artiklassa on määritelty toimenpiteet viranomaisten asiakirjojen julkisuuden ja tiedonsaannin edistämiseksi muun muassa tiedotus- ja koulutusvelvollisuudesta.

Sopimuksen 10 artiklan mukaan viranomaisen on omasta aloitteestaan ja sen ollessa tarkoituksenmukaista ryhdyttävä tarvittaviin toimenpiteisiin hallussaan olevien viranomaisen asiakirjojen julkistamiseksi lisätäkseen julkishallinnon avoimuutta ja tehokkuutta sekä tukeakseen yleisön osallistumista yleistä etua koskeviin asioihin niistä riittävästi tietoisena. Sopimuksen 11 artiklassa on määritelty sopimuksen toimeenpanoon liittyvä sopimusosapuolten asiantuntijaryhmän toiminta. Sopimuksen 12 artiklassa on määritelty sopimusosapuolten konsultatiivisen kokouksen menettely ja 13 artiklassa sihteeristöstä.

Suomessa yleissopimuksesta on annettu laki viranomaisten asiakirjojen julkisuudesta tehdyn Euroopan neuvoston yleissopimuksen lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta (16/2015). Sopimus ei ole vielä voimassa, vaikka Suomi onkin sen ratifioinut. Riittävän monta maata ei ole saattanut vielä ratifiointia päätökseen.

2.2.2 Yhdistyneiden kansakuntien yleissopimuksen tiedon saannista, yleisön osallistumisoikeudesta päätöksentekoon sekä muutoksenhaku- ja vireillepano-oikeudesta ympäristöasioissa

Yleissopimus tiedon saannista, yleisön osallistumisoikeudesta päätöksentekoon sekä muutoksenhaku- ja vireillepano-oikeudesta ympäristöasioissa on tiedonsaantia, kansalaisten osallistumisoikeutta sekä muutoksenhakua ja vireillepano-oikeutta ympäristöasioissa koskeva yleissopimus. Yleissopimuksen keskeisimmät määräykset on mahdollista jakaa kolmeen osaan, jotka ovat 4 ja 5 artikla ympäristötiedonsaannista, 6—8 artikla osallistumisoikeudesta päätöksentekoon sekä 9 artikla muutoksenhaku- ja vireillepano-oikeudesta.

2.2.3 Euroopan unionin perusoikeuskirja ja Euroopan unionin yleinen tietosuoja-asetus

Euroopan unionin perusoikeuskirjan 8 artiklassa on määritelty henkilötietojen suojan perusvaatimukset ja -elementit. Säännöksen mukaan jokaisella on oikeus henkilötietojensa suojaan. Tällaisten tietojen käsittelyn on oltava asianmukaista, ja sen on tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Jokaisella on oikeus tutustua niihin tietoihin, joita hänestä on kerätty, ja saada ne oikaistuksi. Perusoikeuskirjan 7 artiklan mukaan jokaisella on oikeus siihen, että hänen yksityis- ja perhe-elämäänsä, kotiaan sekä viestejään kunnioitetaan. Unionin toimielimiä, elimiä ja laitoksia koskien perusoikeuskirjassa on artiklat oikeudesta hyvään hallintoon (41 artikla) ja oikeudesta tutustua asiakirjoihin.

Euroopan unionin yleisen tietosuoja-asetuksen 6 artiklassa on säädetty henkilötietojen käsittelyn lainmukaisuudesta. Artiklan 1 kohdan mukaan käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin vähintään yksi artiklassa mainituista edellytyksistä täyttyy. Viranomaistoiminnassa käsittelyperusteet ovat tyypillisesti lakisääteisten velvoitteiden noudattaminen (c kohta) sekä yleisen edun mukaisen tehtävän suorittaminen tai julkisen vallan käyttäminen (e kohta).

Asetuksen 6 artiklan 2 kohdan mukaan jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä tässä asetuksessa vahvistettujen sääntöjen soveltamisen mukauttamiseksi sellaisessa käsittelyssä, joka tehdään 1 kohdan c ja e alakohdan noudattamiseksi määrittämällä täsmällisemmin tietojenkäsittely- ja muita toimenpiteitä koskevat erityiset vaatimukset, joilla varmistetaan laillinen ja asianmukainen tietojenkäsittely muun muassa muissa erityisissä käsittelytilanteissa. Asetuksen johdanto-osan 45 kohdan mukaan, kun käsittely tapahtuu rekisterinpitäjää koskevan lakisääteisen velvoitteen mukaisesti tai kun se on tarpeen yleisen edun vuoksi toteutettavan tehtävän tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi, käsittelyllä olisi oltava perusta unionin oikeudessa tai jäsenvaltion lainsäädännössä. Johdanto-osan 45 kohdan mukaan tietosuoja-asetuksessa ei edellytetä, että kaikkia yksittäisiä tiedonkäsittelytilanteita varten olisi olemassa erityislaki. Useiden käsittelytoimien perustana oleva yksi laki voi olla riittävä käsittelyn perustuessa rekisterinpitäjän lakisääteiseen velvoitteeseen tai jos käsittely on tarpeen yleisen edun vuoksi toteutettavan suorittamiseksi tai julkisen vallan käyttämiseksi.

Asetuksen 6 artiklan 3 kohdan mukaan edellä olevan 1 kohdan c ja e alakohdassa tarkoitetun käsittelyn perustasta on säädettävä joko a) unionin oikeudessa; tai b) rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä. Käsittelyn tarkoitus määritellään kyseisessä käsittelyn oikeusperusteessa tai, 1 kohdan e alakohdassa tarkoitetussa käsittelyssä, sen on oltava tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi.

Johdanto-osan 45 kohdan mukaan unionin oikeudessa tai jäsenvaltion lainsäädännössä olisi myös määritettävä, olisiko yleisen edun vuoksi toteutettavan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi rekisterinpitäjän oltava julkinen viranomainen tai muu julkis- tai yksityisoikeudellinen luonnollinen henkilö tai oikeushenkilö, esimerkiksi ammatillinen yhteenliittymä, kun se on perusteltua yleistä etua koskevien syiden, kuten terveyteen liittyvien syiden vuoksi, esimerkiksi kansanterveyden ja sosiaalisen suojelun alalla ja terveydenhuoltopalvelujen hallintoa varten.

Tietosuoja-asetuksen 5(1) artiklan e alakohdan mukaan henkilötietoja on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.

Tietosuoja-asetuksen 86 artiklan mukaan viranomaiset taikka julkis- tai yksityisoikeudelliset yhteisöt yleisen edun vuoksi toteutetun tehtävän suorittamiseksi voivat luovuttaa viranomaisten tai yhteisöjen hallussa olevien virallisten asiakirjojen sisältämiä henkilötietoja viranomaiseen tai yhteisöön sovellettavan unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti, jotta voidaan sovittaa yhteen virallisten asiakirjojen julkisuus ja tämän asetuksen mukainen oikeus henkilötietojen suojaan.

Johdanto-osan 154 kohdan mukaan tätä asetusta sovellettaessa voidaan ottaa huomioon virallisten asiakirjojen julkisuusperiaate.

Tietosuoja-asetuksen johdanto-osan 156 kohdan mukaan henkilötietojen myöhempi käsittely yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten on tehtävä, jos rekisterinpitäjä on arvioinut, onko kyseiset tarkoitukset mahdollista saavuttaa käsittelemällä tietoja, joiden avulla ei voida tai ei enää voida tunnistaa rekisteröityjä, kunhan asianmukaiset suojatoimet (kuten tietojen pseudonymisointi) on toteutettu.

Johdanto-osan 157 kohdan mukaan henkilötietoja voidaan käsitellä tieteellisiin tutkimustarkoituksiin tieteellisen tutkimuksen helpottamiseksi edellyttäen, että unionin oikeudessa tai jäsenvaltion lainsäädännössä asetettuja asianmukaisia edellytyksiä ja suojatoimia noudatetaan. Johdanto-osan 159 kohdan mukaan henkilötietojen käsittelyä tieteellisiä tutkimustarkoituksia varten olisi tietosuoja-asetuksen soveltamista varten tulkittava laajasti niin, että se tarkoittaa myös teknologian kehittämistä ja esittelyä, perustutkimusta, soveltavaa tutkimusta ja yksityisin varoin rahoitettua tutkimusta. Siinä olisi lisäksi otettava huomioon SEUT 179 artiklan 1 kohdassa vahvistettu eurooppalaisen tutkimusalueen toteuttamista koskeva unionin tavoite. Johdanto-osan 160 kohdan mukaan tietosuoja-asetusta sovelletaan, jos henkilötietoja käsitellään historiallisia tutkimustarkoituksia varten. Johdanto-osan 162 kohdan mukaan asetusta sovelletaan, jos henkilötietoja käsitellään tilastotarkoituksia varten.

2.2.4 PSI-direktiivi

Julkisen sektorin hallussa olevien tietojen uudelleenkäyttöä koskevan EU:n direktiivin (ns. PSI-direktiivi) 2003/98/EY tavoitteena on ollut helpottaa julkishallinnon hallussa olevien tietovarantojen uudelleen käyttöä myös muihin tarkoituksiin kuin niihin, joita varten tiedot on alun perin kerätty.

Muutoksen pääperiaatteena on, että kaikkia julkisia direktiivin soveltamisalaan kuuluvia asiakirjoja tulee voida käyttää uudelleen kaupallisiin ja ei-kaupallisiin tarkoituksiin silloin, kun näiden tietojen saatavuutta ei ole kansallisesti rajoitettu. Direktiivin ulkopuolelle jäävät muun muassa asiakirjat, joihin kohdistuu kolmansien osapuolten tekijänoikeuksia.

PSI-direktiivin johdanto-osan 21 kohdassa ja 1 artiklan 4 kohdassa todetaan, että PSI-direktiivillä ei kajota eikä millään tavalla vaikuteta yhteisön ja kansallisen lainsäädännön säännösten mukaiseen yksilöiden suojelun tasoon henkilötietojen käsittelyssä.

Julkisen sektorin elimellä tarkoitetaan valtion viranomaisia, alue- ja paikallisviranomaisia, julkisoikeudellisia laitoksia sekä yhden tai useamman tällaisen viranomaisen tai yhden tai useamman tällaisen julkisoikeudellisen laitoksen muodostamia yhteenliittymiä. Direktiivissä oleva julkisoikeudellisen laitoksen käsite vastaa hankintadirektiivissä olevaa julkisoikeudellisen laitoksen käsitettä.

Direktiivin 3 (1) artiklan mukaan jäsenvaltioiden on varmistettava, että asiakirjoja, joihin tätä direktiiviä sovelletaan 1 artiklan mukaisesti, voidaan käyttää uudelleen kaupallisiin tai muihin kuin kaupallisiin tarkoituksiin III ja IV luvussa säädetyin ehdoin. Kuitenkin direktiivin 3 (2) artiklan mukaan, kun kyseessä ovat asiakirjat, joiden osalta kirjastoilla, korkeakoulujen kirjastot mukaan lukien, sekä museoilla ja arkistoilla on teollis- ja tekijänoikeuksia, jäsenvaltioiden on varmistettava, että tällaisten asiakirjojen uudelleenkäytön ollessa sallittua asiakirjoja voidaan käyttää uudelleen kaupallisiin tai muihin kuin kaupallisiin tarkoituksiin III ja IV luvussa säädetyin ehdoin.

Direktiivin 4 (1) artiklan mukaan julkisen sektorin elinten on käsiteltävä uudelleenkäyttöä koskevat pyynnöt mahdollisuuksien mukaan ja tarkoituksenmukaisissa tapauksissa sähköisessä muodossa, ja asetettava asiakirjat pyynnön esittäjän saataville uudelleenkäyttöä varten, tai jos siihen tarvitaan lupa, viimeisteltävä hakijalle tehtävä käyttöoikeustarjous kohtuullisessa ajassa, joka vastaa aikaa, jossa tiedonsaantipyynnöt käsitellään.

Direktiivin 4 (2) artiklan mukaan, jos määräaikoja tai muita sääntöjä asiakirjojen pikaisesta toimittamisesta ei ole asetettu, julkisen sektorin elinten on käsiteltävä pyyntö ja toimitettava asiakirjat pyynnön esittäjälle uudelleenkäyttöä varten, tai jos siihen tarvitaan lupa, viimeisteltävä hakijalle tehtävä käyttöoikeustarjous enintään 20 työpäivän kuluessa pyynnön vastaanottamisesta. Tätä määräaikaa voidaan jatkaa 20 työpäivällä laajojen tai monimutkaisten pyyntöjen osalta. Tällaisissa tapauksissa pyynnön esittäjälle on ilmoitettava kolmen viikon kuluessa alkuperäisen pyynnön vastaanottamisesta, että sen käsittelyyn tarvitaan lisäaikaa.

Direktiivin 4 (3) artiklan mukaan evätessään pyynnön julkisen sektorin elinten on ilmoitettava pyynnön esittäjälle epäämisen syyt, jotka perustuvat kyseisen jäsenvaltion asiakirjojen saatavuutta koskevan järjestelmän soveltuviin säännöksiin tai PSI-direktiivin, erityisesti 1 artiklan 2 kohdan a—c alakohdan tai 3 artiklan, nojalla hyväksyttyihin kansallisiin säännöksiin. Direktiivin 4 (4) artiklan mukaan kaikissa uudelleenkäyttöä koskevissa päätöksissä on ilmoitettava, miten pyynnön esittäjä voi halutessaan hakea muutosta päätökseen.

PSI-direktiivin 5 (1) artiklan mukaan julkisen sektorin elinten on asetettava asiakirjansa saataville kaikissa jo olemassa olevissa esitysmuodoissa ja kaikkina jo olemassa olevina kielitoisintoina ja silloin kun se on mahdollista ja tarkoituksenmukaista, avoimessa koneellisesti luettavassa esitysmuodossa yhdessä niitä koskevien metatietojen kanssa. Sekä esitysmuodon että metatietojen olisi mahdollisuuksien mukaan oltava virallisten avointen standardien mukaisia. Direktiivin 5(2) artiklan 1 kohdasta ei seuraa, että julkisen sektorin elimillä olisi kyseistä kohtaa noudattaakseen velvollisuus luoda tai muuntaa asiakirjoja tai toimittaa niistä otteita, jos tätä velvollisuutta ei voida täyttää yksinkertaisin toimenpitein ja siitä aiheutuu suhteetonta vaivaa. Julkisuuslain 16.1 ja 21 § toteuttavat direktiivin 5(2) artiklan sisältöä.

Direktiivin 5(3) artiklan mukaan julkisen sektorin elimiä ei voida PSI-direktiivin perusteella vaatia jatkamaan tietyn tyyppisten asiakirjojen tuottamista ja säilyttämistä, jotta yksityisen tai julkisen sektorin organisaatio voisi käyttää niitä uudelleen.

Direktiivin 6 artiklassa on säädetty maksujen määräytymisperusteista ja 7 artiklassa maksuperusteiden avoimuudesta. Asiakirjojen antamisesta perittävistä maksuista on säädetty julkisuuslain 34 §:ssä.

Direktiivin 8 artiklassa on säädetty tietolupiin liittyvistä kysymyksistä. Julkisuuslain 9, 13, 16.3, 27 ja 28 §:ssä on säädetty tiedonsaantioikeuksista ja tietojen antamisen edellytyksistä.

PSI-direktiivin 10(1) artiklan mukaan asiakirjojen uudelleenkäytön ehdot eivät saa olla syrjiviä toisiinsa verrattavissa olevien uudelleenkäyttölajien suhteen. Direktiivin 10(2) artiklan mukaan, jos julkisen sektorin elin käyttää uudelleen asiakirjoja julkisen tehtävänsä ulkopuolisessa kaupallisessa toiminnassa, siihen on sovellettava samoja ehtoja ja maksuja kuin muihinkin käyttäjiin. Direktiivin 11 artiklassa on säädetty yksinoikeusjärjestelyjen kieltämisestä.

2.2.5 Yhteentoimivuuden sääntelykehitys

EU:n sähköisen hallinnon toimintaohjelman (COM(2016) 179) periaatteisiin sisältyy oletusarvoinen yhteentoimivuus: Julkiset palvelut on suunniteltava toimimaan saumattomasti kaikkialla sisämarkkinoilla ja organisaatiolokeroiden yli käyttäen pohjana tietojen ja digitaalipalvelujen vapaata liikkuvuutta.

Jäsenmaiden ja toimialojen rajat ylittävien, digitaalisten ja yhteentoimivien julkisten palveluiden kehittämisen tueksi perustettiin ISA2-ohjelma ((EU) 2015/2240) vuosiksi 2016—2020. Ohjelma on jatkoa vuosien 2010–2015 ISA-ohjelmalle. ISA2-ohjelman tavoitteena on: 1) kehittää, ylläpitää ja edistää kokonaisvaltaista lähestymistapaa yhteentoimivuuteen; 2) helpottaa tehokasta ja toimivaa maiden tai hallinnonalojen rajat ylittävää sähköistä vuorovaikutusta sekä edistää toimivamman, yksinkertaisemman ja käyttäjäystävällisemmän sähköisen viranomaisasioinnin kehittämistä; 3) yksilöidä, luoda ja käyttää yhteentoimivuusratkaisuja, joilla tuetaan unionin eri politiikkojen ja toimien toteuttamista; sekä 4) helpottaa yhteentoimivuusratkaisujen uudelleenkäyttöä.

Ohjelman perustamispäätöksen johtolauseissa todetaan toisistaan poikkeavien tai yhteensopimattomien ratkaisujen kansallisen tason käyttönoton muodostavan riskin sähköisten esteiden syntymiselle ja sisämarkkinoiden sujuvalle toiminnalle, sekä vaikeuttavan markkinoiden avoimuutta, niillä harjoitettavaa kilpailua ja yleishyödyllisten palvelujen tarjoamista. Johtolauseissa kiinnitetään huomiota myös eurooppalaisten yhteentoimivuusperiaatteiden edistämiseen sekä avointen eritelmien ja standardien noudattamiseen.

ISA-ohjelmassa on laadittu Eurooppalaiset yhteentoimivuusperiaatteet (European Interoperability Framework, EIF). Periaatteet päivitettiin vuonna 2017 (COM(2017)134). Ne sisältävät 47 suositusta yhteentoimivuuden ohjaukseen, organisaatioiden välisen yhteentoimivuuden kehittämiseen, digitaalisten palveluiden sujuvoittamiseen sekä yhteentoimivuuteen liittyvien lainsäädännöllisten esteiden poistoon. Eurooppalainen yhteentoimivuuden kuvauskehys (European Interoperability Architecture, EIRA) on sekin kehitetty osana ISA-ohjelmia. EIRA on kokonaisarkkitehtuurin ylätason kuvaus, joka sisältää keskeisimmät yhteentomivien julkisen hallinnon sähköisten palveluiden rakenneosien kuvaukset. Sekä Eurooppalaisten yhteentoimivuusperiaatteiden (EIF) että Eurooppalaisen yhteentoimivuuden kuvauskehyksen (EIRA) tarkastelutapa on samansuuntainen kuin nyt ehdotetussa hallituksen esityksessä: yhteentoimivuutta ja parempia sähköisiä palveluja edistetään yhteisten määrittelyjen ja ratkaisujen avulla.

Toimialakohtaisesti tietojen ja tietojärjestelmien yhteentomivuuteen ohjataan jäsenmaita ja niiden toimijoita sekä direktiivi- että asetustasolla:

Paikkatietoinfrastruktuuria koskevassa INSPIRE-direktiivissä (2007/2/EY) edellytetään jäsenmaiden varmistavan, että sen piirissä olevista paikkatietoaineistoista tuotetaan metatietoja ja että tiedot pidetään ajan tasalla. Täytäntöönpanosäännöissä vahvistetaan tekniset järjestelyt paikkatietoaineistojen ja -palvelujen yhteentoimivuutta ja mahdollista yhdenmukaistamista varten.

Julkisen hallinnon keskus-, kauppa- ja yhtiörekisterien yhteentoimivuutta ja tietojenvaihdon sujuvuutta ohjaavassa direktiivissä (2012/17/EU) edellytetään, että jäsenvaltioiden keskus-, kauppa- ja yhtiörekisterit ovat yhteentoimivia keskusjärjestelmän kautta. Rekisterien yhteenliittäminen takaa rajat ylittävän tietojenvaihdon ja helpottaa mahdollisuuksia saada yhtiöitä koskevia tietoja.

Potilasdirektiivissä (2011/24/EU) sekä kansallinen että jäsenvaltioiden rajat ylittävä tietojärjestelmien sekä sähköisten ratkaisujen yhteentoimivuus on keskeisessä roolissa.

Euroopan parlamentin ja neuvoston standardointia koskevassa asetuksessa ((EU) 1025/2012) yhteentoimivuus mainitaan standardoinnin olennaisena tuloksena tieto- ja viestintätekniikan alalla.

Tullin, verotuksen ja valmisteverojen osalta yhteentoimivuus on ollut keskeinen tekijä kattavien Euroopan laajuisten tieto- ja viestintätekniikkajärjestelmien toiminnassa sekä komission ja jäsenmaiden kansallisten hallintojen toteuttamien ja käyttämien Fiscalis 2013- ja Tulli 2013 -ohjelmista rahoitettavien yhteentoimivien yrityspalvelujen syntymisessä.

Yhteentoimivuus on myös keskeinen osatekijä laajakaistainfrastruktuurien ja -palvelujen Verkkojen Eurooppa -välineessä ((EU) 1316/2013). Asetuksessa (EU) 283/2014 säädetään erityisesti niin sanotuista rakenneosista, kuten sähköisestä tunnistamisesta, asiakirjojen sähköisestä toimittamisesta ja automatisoidusta kääntämisestä, joilla helpotetaan rajat ylittävää yhteentoimivuutta.

Euroopan pilvipalvelualoite (engl. European Cloud Initiative) (COM(2016) 178) pyrkii puolestaan ratkaisemaan tutkimusdatan ja kansallisten sekä tutkimusalojen datakeskusten yhteentoimivuuden liittyviä ongelmia ja kehittämään yhteentoimivuutta edistäviä standardeja.

2.2.6 Eräiden valtioiden lainsäädäntö

Ruotsi

Tiedonhallinta

Ruotsin hallitus asetti 24 päivänä marraskuuta 2016 selvitystyön digitaalisesti toimivan julkisen hallinnon lainsäädännöllisistä edellytyksistä. Selvitystyöstä vastuussa ollut työryhmä luovutti mietintönsä SOU 2018:25 (Juridik som stöd för förvaltninges digitalisering) hallitukselle 28.3.2018. Selvityksen pääasiallisena tarkoituksena oli selvittää, kuinka paljon Ruotsissa on sellaista lainsäädäntöä, joka tarpeettomasti estää ja haittaa julkisen hallinnon digitalisoimista ja yhteentoimivuutta. Mietintöön sisältyy ehdotuksia lainsäädännöllisistä muutoksista ja lisäyksistä, joilla parhaiten edistettäisiin digitaalista julkista hallintoa.

Mietinnössä ehdotetaan muutoksia Ruotsin julkisuus- ja salassapitolakiin (Offentlighets- och sekretesslag). Muutosten tavoitteena on mahdollistaa se, että julkiset viranomaiset voisivat varmistaa kansalaisten pääsyn julkisiin tietoihin tehokkaammin, kun on kyse heidän oikeuksia ja velvollisuuksiaan koskevista automatisoiduista prosesseista. Muutoksella turvattaisiin julkisuusperiaatteen toteutuminen ja vahvistettaisiin oikeusvarmuutta, kun kansalaisia koskevien päätösten taustalla vaikuttavien algoritmien ja tietokoneohjelmien sisällöstä olisi mahdollista antaa tietoja yksilöille.

Toisena muutoksena mietinnössä ehdotetaan lisäyksiä Ruotsin hallintoprosessilakiin (Förvaltningslag) sähköisestä asioinnista. Muutosten tarkoituksena olisi parantaa julkisen hallinnon sähköisten palvelujen saavutettavuutta muun muassa velvoittamalla viranomaiset tarjoamaan digitaalisia palveluja, jonne kansalaiset voisivat lähettää asiakirjoja sähköisesti. Tähän pääsääntöön sisältyisi kuitenkin poikkeuksia tehokkuudesta ja tietoturvasta johtuvista syistä. Toisena pääsääntönä mietinnössä ehdotetaan, että kaiken viranomaisviestinnän yksilöille tulisi olla sähköistä.

Ruotsin nykyinen julkisen sektorin digitalisaation tavoiteohjelma perustuu digitaalisten palvelujen ensisijaisuuteen (Digitalt först). Tämä ohjelma aloitettiin vuonna 2015 ja se toimii vuoden 2018 loppuun saakka. Ohjelman tavoitteena on vahvistaa hallintoa ja sen koordinaatiota, sekä edistää yksinkertaista, läpinäkyvää ja tehokasta julkista hallintoa. Tarkoituksena on tehdä digitaalisista palveluista pääasiallinen väylä kommunikointiin julkisen sektorin ja yksilöiden sekä yritysten välillä. Ohjelman toisena tavoitteena on tasoittaa digitaalisten palvelujen saavutettavuuden ja laadun eroja kuntien välillä.

Vuonna 2015 perustettiin Ruotsin julkisen hallinnon digitalisaation neuvosto (Rådet för digitalisering av det offentliga Sverige), jonka mandaatti kestää vuoden 2018 loppuun. Neuvoston pyrkimyksenä on yhdistää erilliset digitaaliset järjestelmät hallinnon eri tasoilla ja eri julkisen hallinnon sektoreilla. Tavoitteen saavuttamiseksi neuvosto pyrkii yhteentoimivuuden edistämiseen ja yhteisten standardien omaksumiseen muun muassa sähköisessä terveydenhuollossa.

Vuodelle 2018 budjetoitu useita aloitteita, joiden tavoitteena on julkisen hallinnon digitalisoiminen ja julkisten palvelujen parantaminen. Ruotsin vuoden 2018 talousarvio sisältää erityisesti varoja avoimen datan tavoitteita varten seuraavalle kolmen vuoden jaksolle. Talousarviossa on myös yhdenmukaistamistoimia, joilla pyritään kehittämään julkisten viranomaisten välistä tiedonvaihtoa. Näiden toimien tarkoituksena on edistää ”tietoja kysytään vain kerran” (En uppgift en gång) periaatteen implementoimista osaksi julkista hallintoa.

Ruotsissa päätettiin 7.12.2017 annetussa komiteadirektiivissä 2017:117 (Inrättande av en myndighet för digitalisering av den offentliga sektorn) uuden julkisen sektorin digitalisaatiosta vastuussa olevan viranomaisen perustamisesta. Uusi viranomaisen (Myndigheten för Digital Förvaltning, DIGG) aloittaa toimintansa syyskuussa 2018 ja se tulee olemaan vastuussa julkisten viranomaisten ja kuntien hallinnon digitalisoimisen kehittämisestä, koordinoinnista ja tukemisesta. Uuden julkisen sektorin digitalisoimisesta vastaavan viranomaisen tehtäviä tulevat olemaan myös kansallisen digitaalisen infrastruktuurin kehittäminen ja hallinnoiminen, sekä nykyisin eri viranomaisten vastuulla olevat hankkeet, kuten avoin data ja e-ID:t.

Ruotsin arkistolain (Arkivlag, SFS 1990:782) soveltamisala on yhdenmukainen julkisuus- ja salassapitopitolain kanssa. Laissa ei säännellä arkistotoimintaa yksityiskohtaisesti, vaan asetetaan viranomaisten arkistotoiminnalle, myös asiakirjojen säilytystarpeen määrittelylle, yleisiä tavoitteita. Taustalla on perustuslain tasoinen painovapausasetus (Tryckfrihetsförordningen). Viranomaisten velvoitteet on arkistolaissa määritelty yleisin säännöksin kuten, että viranomaisen on kiinnitettävä huomiota yleisiä asiakirjoja rekisteröidessään asiakirjojen merkitykseen tarkoituksenmukaisen arkistohoidon kannalta ja että, pysyvästi arkistoitavat asiakirjat on määriteltävä. Laissa on erityissäännökset valtion viranomaisten ja kunnallisten viranomaisten asiakirjoista.

Tietoturva

Ruotsissa salassa pidettäviä tietoja luokitellaan usean rinnakkaisen luokittelujärjestelmän mukaisesti. Tiedon luottamuksellisuuden merkitseminen (sekretessmarkering) tehdään yleisesti julkisuus- ja salassapitolain perusteella. Merkintä voi olla myös kvalifikoitu merkintä, milloin kyse on julkisuus- ja salassapitolain mukaan luottamuksellisesta tiedosta ja samaan aikaan turvallisuusasetuksen (säkerhetsskyddsförordning) mukaisesta valtion turvallisuutta koskevasta tiedosta. Lisäksi käytössä on Puolustusvoimien turvaluokittelujärjestelmä, joka asiallisesti vastaa kansainvälistä neliportaista järjestelmää.

Ruotsissa toteutettiin vuonna 2017 sekä julkisuus- ja salassapitolain että kansallisen turvallisuuslainsäädännön kokonaisuudistus, jonka keskiössä oli ehdotus uudeksi turvallisuuslaiksi (Förslag till säkerhetsskydlag). Kokonaisuudistukseen sisältyy myös turvallisuuslakia täsmentävän turvallisuusasetuksen uudistus. Ruotsin hallitus antoi esityksen uudeksi turvallisuuslaiksi 20.2.2018 ja sen olisi tarkoitus astua voimaan 1.4.2019.

Uuden turvallisuuslain mukainen turvaluokittelu jakautuu neljään kansainvälistä neliportaista järjestelmää vastaavaan pääluokkaan sen perusteella, millaista vahinkoa tiedon paljastuminen voi aiheuttaa Ruotsin valtiolle. Uuden turvallisuuslain soveltamisala kattaisi Ruotsin valtion, kunnat ja maakunnat sekä muut yhteisöt, mikäli niillä on merkitystä Ruotsin turvallisuudelle tai sovellettavuuden aiheuttava kansainvälinen liitäntä. Lisäksi säädettäisiin velvollisuudesta tehdä turvallisuussopimus kolmannen osapuolen kanssa, milloin sopimuskumppani voi saada pääsyn luottamukselliseen tietoon, jonka luokitus on luottamuksellinen (konfidentiell) tai milloin yhteistyössä on kyse vastaavan merkityksen asioista Ruotsin valtion turvallisuudelle.

Viro

Tiedonhallinta

Viron elinkeino- ja viestintäministeriö ohjaa valtion tietopolitiikan kehittämistä mukaan lukien valtion tietojärjestelmien ja palvelujen hakemistoa (RIHA). Lisäksi digitalisointia ja julkisen hallinnon sähköistämistä ohjaa vuonna 2014 perustettu hallituksen E-Viro -valiokunta. Valiokuntaan kuuluu viisi asiantuntijajäsentä, kolme ministeriä ja puheenjohtajana pääministeri.

Elinkeino- ja viestintäministeriön alainen Viron tietojärjestelmävirasto (RIA, Riigi Infosüsteemi Amet) koordinoi valtion tietojärjestelmien kehitystä ja on vastuussa valtionhallinnon perustietojärjestelmien organisoinnista ja turvallisuudesta. RIA osallistuu lainsäädännön valmisteluun ja toimeenpanoon sekä koordinoi tärkeitä kehityshankkeita kuten kansalaisten käyttöön kehitettyjä sähköisiä palveluja. RIA vastaa myös hallinnon IT-infrastruktuurista, muun muassa erilaisista valtion organisaatioissa käytettävistä ohjelmistoista.

Lisäksi RIA valvoo hallinnonalojen virastojen sekä tärkeimpien palveluntuottajien tietoturvallisuutta. RIA:n toimivalta perustuu lakiin julkisesta informaatiosta (Avaliku teabe seadus) ja hätätilalakiin (Hädaolukorra seadus).

Viron tietojärjestelmäviraston tehtävänä on myös koordinoida kansallisten tietojärjestelmien hallinnointia ja kehittämistä laadukkaiden hallinnon palvelujen tuottamiseksi kansalaisille. RIA valvoo lain julkisesta informaatiosta nojalla, että viranomaisten tietojärjestelmissä noudatetaan lakeja, alemman asteisia säännöksiä ja teknisiä vaatimuksia. Lisäksi RIA valvoo, että kriittisen infrastruktuurin toimijat noudattavat tietojärjestelmiensä osalta niille säädettyjä turvallisuusvaatimuksia.

Virossa tiedonhallinnasta määrätään hallituksen antamissa palvelunhallinnan ja tiedonhallinnan perusteissa (Teenuste korraldamise ja teabehalduse alused), joita sovelletaan julkisiin viranomaisiin ja yksityisiin toimijoihin niiden suorittaessa julkisia hallintotehtäviä. Perusteiden 3 §:ssä määritellään tiedonhallinto ja sen alakohtia ovat muun muassa datanhallinta, asiakirjahallinta ja sisällönhallinta. Perusteiden 4 luku koskee yksinomaan tiedonhallintaa ja siinä on määräyksiä muun muassa tiedonhallinnan yleisistä vaatimuksista, tiedon järjestämisestä, tiedon hallinnasta ja tietoon pääsyn organisoimisesta sekä tiedon jakamisesta ja vaihdosta.

Viron arkistolaissa (Arhiiviseadus) säädetään julkista tehtävää hoitavien virastojen ja henkilöiden asiakirjatiedon (asiakirjahallinto) ja arkistoasiakirjojen hallinnan periaatteista. Arkistoasiakirjat ovat lain mukaan asiakirjatietoja, jotka on määrätty arvonmääritysprosessin tuloksena pysyvästi säilytettäväksi. Julkista tehtävää hoitavien virastojen tai henkilöiden asiakirjahallinnosta säädetään hallituksen asetuksella.

Julkisesta informaatiosta annetun lain 1 §:n mukaan lain tarkoituksena on varmistaa, että jokaisella on oikeus saada tietoa julkisesta asiakirjasta. Julkinen tieto määritellään lain 3 §:ssä ja siinä säädetään myös julkisen tiedon uudelleenkäytöstä. Lain 5 §:ssä säädetään tietojen ylläpitäjistä, 6 §:ssä tietopyynnöistä ja 8 §:ssä pääsystä tietoihin. Tietopyyntöjen kustannuksista säädetään lain 25—27 §:ssä.

Viron laissa sähköisestä asioinnista (Elektroonilise side seadus) on määritelty yhteentoimivuus. Määritelmistä säätelevän 2 §:n 16 kohdassa on määritelty yhteentoimivuus ja 23 kohdassa rajapinta. Yhteentoimivuuden määritelmä väestötietojärjestelmän näkökulmasta on Viron väestötietolain (Rahvastikuregistri seadus) 98 §:n 2 momentista.

Tietoturva

Virossa tietoturvallisuudesta säädetään osaksi laissa valtionsalaisuuksista ja salassa pidettävistä tiedoista (Riigisaladuse ja salastatud välisteabe seadus), jossa määritellään neljä turvallisuusluokkaa, niihin kuuluvat tiedot sekä menettelyt näiden tietojen suojaamiselle. Näiden vaatimusten noudattamista kontrolloidaan itsearvioinnilla.

Muut julkishallinnon asiakirjat luokitellaan neliasteisen (julkinen tieto, sisäinen käyttö, luottamuksellinen tieto ja salainen käyttö) ISKE täytäntöönpano-ohjeen mukaisesti, joka perustuu määräykseen tietojärjestelmien turvajärjestelmistä (Infosüsteemide turvameetmete süsteem). ISKE-järjestelmä perustuu Saksan kansallisen tietoturvaviranomaisen (Bundesamt für Sicherheit in der Informationstechnik, BSI) laatimaan tietoturvallisuuden ohjekirjaan, IT Baseline Protection Manual (IT-Grundschutz Katalogue), jota on muokattu Viron lainsäädäntöön sopivaksi. ISKE pohjautuu kolmelle eri tietoturvavaatimukselle, jotka ovat saatavuus (K), eheys (T) sekä luottamuksellisuus (S). Jokaiselle asiakirjalle annetaan kaikkien vaatimusten osalta numeerinen arvo yhdestä kolmeen. ISKE:ä sovelletaan valtionhallinnossa ja kunnissa ja se kattaa tietojärjestelmät, jotka eivät sisällä turvallisuusluokiteltua, vaan muutoin sensitiivistä tietoa. ISKE sisältää myös velvollisuuden suorittaa tietojärjestelmän ja laitetilojen arviointeja, joita suorittavat hyväksytyt arviointilaitokset.

Tanska

Tiedonhallinta

Tanskassa julkisen hallinnon digitalisaation edistämisestä on vastuussa vuonna 2011 perustettu Tanskan Digitalisaatiovirasto (Digitaliseringsstyrelsen). Digitalisaatiovirasto on vastuussa Tanskan hallituksen digitaalisten tavoitteiden implementoinnista osaksi julkista sektoria. Kesäkuusta 2018 alkaen Tanskassa on ollut pakollista arvioida kaiken uuden lainsäädännön digitalisaatiovalmius, ja tämän mahdollistamiseksi hallitus on laatinut seitsemän digivalmiin lainsäädännön periaatetta (Vejledning om digitaliseringsklar lovgivning), jotka toimivat ohjeina lainsäädäntöä valmisteleville ministeriöille.

Tanskassa kansalaiset on velvoitettu lain nojalla sähköisten itsepalvelujen käyttäjiksi. Tanskan julkista digitaalista postia koskevassa laissa (Lov om offentlig digital post) kansalaiset ja yritykset on velvoitettu käyttämään sähköisiä palvelukanavia tietyin poikkeuksin. Lain 3 §:n mukaan 15 vuotta täyttäneiden luonnollisten henkilöiden, joilla on asuinpaikka tai jotka oleskelevat kiinteästi Tanskassa, on liityttävä julkiseen digitaaliseen postiin, jollei henkilöä ole vapautettu pakollisesta liittymisestä. Lain 10 §:ssä säädetään postin oikeusvaikutuksista. Sen mukaan viesti, joka on lähetetty postin kautta, katsotaan saapuneeksi perille sinä ajankohtana, jolloin viesti on vastaanottajan saatavilla postijärjestelmässä ja sen on lähettänyt ilmoituksessa mainittu lähettäjä.

Tanskan asiakirjahallinnolle on tyypillistä se, että arkistoviranomaiset eivät merkittävästi puutu arkistonmuodostusprosessiin aktiivivaiheessa vaan toimenpiteet painottuvat siirtovaiheeseen, jolloin aineisto on tyypillisesti 10—20 vuoden ikäistä. Tanskan arkistolaki (Arkivloven) kattaa lähtökohtaisesti vain julkishallinnon. Sähköisen asiakirjahallinnon kehittäminen on johtanut viranomaisten ja arkistolaitoksen väliseen yhteistyöhön, jolla siirrettävän aineiston arkistokelpoisuus pyritään varmistamaan jo varhaisemmassa vaiheessa.

Tanskassa on parhaillaan käynnissä julkisen sektorin digitaalisen arkkitehtuurin uudistaminen, jonka tavoitteena on rakentaa yhtenäinen digitaalinen julkinen sektori. Tähän liittyen Tanskassa on kesäkuussa 2017 julkaistu valkoinen kirja yhteisestä julkisesta digitaalisesta arkkitehtuurista (Hvidbog om fællesoffentlig digital arkitektur). Uudistuksen on tarkoitus mahdollistaa turvalliset julkisen hallinnon organisaatioiden väliset prosessit ja tehokas tietojen jakaminen niin julkisen sektorin toimijoiden kuin julkisen ja yksityisen sektorin välillä. Yksi tavoitteista on se, että sama tieto kerättäisiin vain kerran, jonka jälkeen viranomaiset voisivat jakaa sitä toisilleen tarvittaessa.

Tanskassa valtiovarainministeriö vastaa yhteisestä IT-politiikasta. IT-strategia laaditaan neljäksi vuodeksi kerrallaan ja se kattaa valtion virastot ja paikallishallinnon. Strategian erityinen painopiste on hallinnonalat ylittävässä toiminnassa. IT-strategiaan liittyen Tanskassa laaditaan julkisen hallinnon sähköisten palvelujen yhteisiä standardeja ja IT-arkkitehtuuria koskevia standardeja. Ne ovat suosituksia ja niiden käyttöönotto perustuu kunkin ministeriön omaan päätökseen. Valtiohallinnon sähköistämistä ohjataan toimialakohtaisesti. Toimialoilla toimii sähköistämisen lautakuntia, joiden tehtävänä on edistää hallinnonrajat ylittävien IT-hankkeiden toteutusta. Tällaisia ovat esimerkiksi dokumenttien hallintaa, julkisia hankintoja ja palkkahallintoa koskevat hankkeet. Tanskassa on myös koko valtionhallinnolle yhteinen IT-palvelukeskus (Statens IT).

Tietoturva

Tietoturvasta Tanskassa säädellään tietoturvaohjeessa (Sikkerhedscirkulære), joka sääntelee sellaisen salaiseksi luokitellun tiedon suojelemisesta, jolla on merkitystä Naton, EU:n tai kansallisten intressien kannalta. Ohjeen 1 §:ssä tieto on luokiteltu neljään eri kategoriaan sen arkaluontoisuuden perusteella. Korkeimman turvallisuusluokituksen tieto kulkee nimellä ”Erittäin salainen” (Yderst hemmeligt), toisiksi korkein turvallisuusluokitus on ”salainen” (hemmeligt), kolmas taso on ”luottamuksellinen” (fortroligt) ja neljäs sekä samalla alin turvallisuusluokitus on ”käyttö rajoitettu” (til tjenestebrug). Ohjeen 2 §:n mukaan turvallisuusluokituksen arvioinnissa otetaan huomioon tietojen sisältö sekä lähde, josta tieto on peräisin.

Tanskan hallitus julkaisi kesäkuussa 2018 uuden kansallisen tietoturvastrategian vuosille 2018—2021, jossa on 25 konkreettista aloitetta hallinnon turvallisuuden ja väestön tietoturvataitojen vahvistamiseksi. Yksi strategian tärkeimmistä painopisteistä on parempi tietoturva IT-järjestelmille ja tiedolle, jota valtio ja muut kriittiset yhteiskunnan toimijat käsittelevät. Tätä varten nämä yhteiskunnan kriittiset toimijat ovat velvoitettuja vuoden 2018 loppuun mennessä perustamaan erityiset kyber- ja tietoturvallisuusyksiköt.

Vuodesta 2014 lähtien kaikkien Tanskan valtion instituutioiden on tullut noudattaa kansainvälistä ISO/IEC 27001 -standardia tietoturvasta.

2.3 Nykytilan arviointi

Nykytilassa julkisen hallinnon tiedonhallintaan liittyvä lainsäädäntö on hajautunut useaan eri yleislakiin, joissa käsitteistö ei ole yhtenäinen. Tiedonhallintaan liittyy eri näkökulmista velvollisuuksia, jotka johtavat moninkertaiseen velvollisuuksien toteuttamiseen, kuten tiedonhallintaa koskevien kuvausten laatimiseen käsittelytoimia koskevana selosteena, tietojärjestelmäselosteena, arkistonmuodostussuunnitelmana sekä kokonaisarkkitehtuurikuvauksina. Erilaiset kuvaukset johtavat myös viranomaisorganisaatioissa epäyhtenäisiin kuvauksiin.

Tiedonhallintaan liittyvää yleislainsäädäntöä on julkisuuslaissa, tietohallintolaissa sekä sähköisestä asioinnista viranomaistoiminnassa annetussa laissa. Lisäksi arkistoinnin perusteista ja arkistotoimen tehtävistä on säädetty arkistolaissa, mutta arkistointiin vaikuttavat myös Euroopan unionin yleinen tietosuoja-asetus sekä kansallinen tietosuojalaki.

Tiedonhallinnan menettelyt ja käytännöt ovat kehittyneet siten, että osittain menettelyille ja käytännöille ole ollut enää lainsäädännöllistä tukea. Toisaalta menettelyt ja käytännötkin vaihtelevat eri viranomaisissa. Osa tiedonhallinnan lainsäädännöstä on jo yli 20 vuotta vanhaa ja säädetty toimintaympäristössä, jossa tietoverkon käyttö ja tietoaineistojen sähköinen käsittely ei ollut yleistä viranomaistoiminnassa.

Tietojärjestelmien yhteentoimivuuteen liittyviä ongelmia on pyritty ratkaisemaan tietohallintolain mahdollistamilla tietohallinnon ohjauksen menetelmillä, mutta ne eivät ole osoittautuneet kaikin puolin tehokkaiksi. Lisäksi tietohallintolain kanssa rinnakkainen sääntely on heikentänyt osittain mahdollisuuksia tietojärjestelmien ja niissä olevien tietojen tehokkaaseen hyödyntämiseen. Eduskunnan tarkastusvaliokunta on painottanut mietinnössään (TrVM 2/2012 vp), että ”pelkästään tietohallintolaki ei ratkaise julkisen hallinnon tietojärjestelmien yhteentoimivuuden ongelmia, vaan laki luo mahdollisuuksia vaikuttavien ohjausmekanismien käyttämiseen. Tietohallintolain kanssa oleva päällekkäinen tai aukollinen sääntely tulee kartoittaa ja poistaa mahdollisimman pian, jotta tietohallinnon ohjausmekanismit olisivat yhdenmukaisia ja kunkin viranomaisen ohjausvastuut tietohallinnon kehittämisessä ja tietojärjestelmien yhteentoimivuuden turvaamisessa olisivat mahdollisimman selkeitä”. Puolestaan eduskunnan hallintovaliokunnan lausunnossa todetaan muun ohella, että kokonaisarkkitehtuurin toteutuksen eteen on tehty työtä, mutta kokonaisuudessaan se on vielä varsin keskeneräinen (HaVL 41/2014 vp). Työ on monelta osin painottunut järjestelmä- ja teknologia-arkkitehtuurin näkökulmiin tai keskittynyt vain suppeaan osakokonaisuuteen tai rajattuun toimintoon. Valiokunta on jo aiemmin painottanut sitä, että tietojärjestelmien kehittämistä ei pidä nähdä pelkkinä tietotekniikkahankkeina, vaan osana toiminnan ja palvelujen kehittämistä (HaVL 22/2013 vp). Valiokunta korosti tietojohtamista sekä laajempaa näkökulmaa kehittämistyöhön: toimintaprosessien ja tiedonhallinnan kokonaisvaltainen suunnittelu on osa viranomaisen toiminnan ja talouden suunnittelua sekä johtamista (HaVL 22/2013 vp ja HaVL 41/2014 vp).

Julkisen hallinnon asiakaspalvelutuotanto ja IT-palvelutuotanto verkottuu koko ajan enemmän. Tiedonhallinta tulisi nähdä koko tiedon elinkaaren ajan yhtenä kokonaisuutena, jossa eri toimijoiden vastuut on kuitenkin selkeästi määritelty. Myös tiedonhallinnan menettelylliseen ja toiminnalliseen ohjaukseen tarvitaan uusia elementtejä. Tiedonhallinnan sääntelyn hajautuminen näkyy myös viranomaisten toiminnan ohjauksessa katvealueina. Lainsäädännössä viitataan asiakirjahallintoon, mutta asiakirjahallinnon ohjausta ei ole vastuutettu millekään viranomaiselle. Toisaalta tiedonhallinta muodostaa laaja-alaisen kokonaisuuden, jossa tarvitaan monialaista asiantuntemusta. Tiedonhallintaan liittyy keskeisesti sen asianmukainen suunnittelu, tietoturvallisuuden järjestäminen, yhteentoimivuuden hallinta tietovarantojen ja tietojärjestelmien välillä, tiedonmuodostuksen ohjaus, tietovarantojen hallinta sekä arkistoinnin hallinta. Tällaiseen kokonaisuuteen tarvitaan monialaista yhteistyötä, jotta julkisen hallinnon tiedon elinkaarenhallintaa voidaan kehittää saumattomasti.

Tiedonhallintaan liittyy myös raskasta erityislainsäädäntöä. Teknisten käyttöyhteyksien avaamismahdollisuudesta on säädetty sadoissa säännöksissä. Suurin osa säännöksistä ovat muodollisia. Niin ikään lainsäädännössä on satoja henkilötietojen säilytysaikaa koskevia säännöksiä, mutta suuri osa henkilötietojen ja asiakirjojen säilytysajoista määräytyy yleislainsäädännön perusteella. Arkistolainsäädännössä on puolestaan säädetty pysyvästä säilyttämisestä, jolla tarkoitetaan arkistointia, kun taas perustuslakivaliokunnan vakiintuneissa kannanotoissa pysyvää säilyttämistä on käsitelty henkilörekistereissä olevien tietojen säilytysaikaa koskevien kysymysten yhteydessä. Tietosuojaa koskeva yleislainsäädäntö muuttui osittain 25.5.2018, kun Euroopan unionin yleistä tietosuoja-asetusta alettiin soveltaa. Kansallisesti tietojen säilyttämistä koskeva sääntely on sekavaa niin käsitteistöltään kuin toteuttamistavaltaankin. Sääntely-ympäristössä on myös säilyttämiseen liittyviä säädöshierarkiaan liittyviä epäselvyyksiä ja päällekkäisyyksiäkin, koska säilytysajoista on säädetty osittain laissa ja osittain asetuksissa. Säilyttäminen perustuu myös arkistonmuodostajien tai Kansallisarkiston päätöksiin.

Laadukas tiedonhallinta on osa viranomaisten hyvän hallinnon toteuttamista. Vanhentunut, sekava ja raskaskin tiedonhallinnan sääntely ei välttämättä tue hallinnon kehittämistä siten, että siinä voitaisiin hyödyntää riittävän tehokkaita tarjolla olevia tiedonhallinnan palveluita ja saatavilla olevia tiedonsaantioikeuksiin ja käsittelyoikeuksiin kuuluvia tietoja. Myös hallinnon asiakkaiden oikeuksien turvaaminen edellyttää ajantasaista ja selkeää tiedonhallinnan lainsäädäntöä. Tiedonhallinnan sääntelyn pitäisi muodostaa eheä kokonaisuus tiedon elinkaaren mukaisesti. Toimintaympäristön muutokset edellyttävät uusittavaa lainsäädäntöä tukemaan hallinnon kehittämistä ja laadukasta palvelujen tuottamista niin hallinnon asiakkaille kuin hallinnon sisäisiinkin prosesseihin.

3 Esityksen tavoitteet ja keskeiset ehdotukset

3.1 Esityksen tavoitteet

Esityksen tavoitteena on uudistaa ja yhtenäistää julkisen hallinnon tiedonhallintaa koskevaa yleissääntelyä sekä vähentää teknisluonteisen sääntelyn tarvetta erityislainsäädännössä. Esitettävä laki olisi uusi ja sillä koottaisiin yhteen sääntelyä julkisuuslaista, tietohallintolaista ja asiointilaista. Tietohallintolaki kumottaisiin ja uuden lain säännökset korvaisivat siinä olevan sääntelyn.

Esitettävällä lailla säänneltäisiin tiedon elinkaaren hallintaan liittyvistä vaatimuksista yhtenäisellä tavalla koskien koko julkista hallintoa. Tavoitteena on, että tietoon perustuvat julkiset palvelut ja toiminta on mahdollista toteuttaa entistä laadukkaammin, tuloksellisemmin ja tehokkaammin laadukkaan tiedonhallinnan tukemana. Laadukas tiedonhallinta edistää myös tietosuojaa, tietoturvallisuutta ja tietoaineistojen vastuullista hyödyntämistä. Viranomaisten tietoaineistojen hallinnalla edistettäisiin myös julkisuusperiaatteen toteutumista.

Esityksen tietopoliittisena tavoitteena on parantaa tietojen tehokasta luovuttamista ja käyttöä viranomaisten, muiden toimijoiden ja palvelujen välillä. Kansalaisen näkökulmasta tämä edistää sitä, että häntä koskevia tietoja ei palveluprosesseissa kysytä tarpeettomasti useaan kertaan, vaan viranomaisten hallussa olevia tietoja hyödynnetään mahdollisimman laajasti tietosuoja ja oikeusturva huomioon ottaen. Esityksen tavoitteena on mahdollistaa, että viranomaisten tiedonhallinta pystyy vastaamaan koko ajan laajenevaan ja reaaliaikaisemmaksi muuttuvaan tietojen käyttöön muun muassa rajapintojen sääntelyn avulla. Lisäksi sääntelyehdotukseen sisältyvät säännökset suunnitteluvelvoitteista edellyttäisivät viranomaisten ottavan tiedonhallintaa ja muutoksia suunnitellessaan huomioon tiedon hyödyntämisten tarpeet eri toimijoiden toiminnassa ja palveluketjuissa. Ehdotettu sääntely edellyttäisi, että teknisiä rajapintoja hyödynnetään viranomaisten välisessä tietojen vaihdossa ensisijaisesti. Sääntely tukee myös teknisten rajapintojen suunnittelua yleisemmin hyödynnettäväksi sekä niiden käyttöä myös tietojen luovutuksissa viranomaisilta yksityisille.

Esityksessä saatettaisiin kansallisesti voimaan PSI-direktiivin 5 artiklan 1 kohdan vaatimukset, joita ei kansallisesti ole selkeästi saatettu voimaan aiemmin. Tältä osin täytäntöönpano selkeyttäisi ja tarkentaisi PSI-direktiivistä johtuvien velvoitteiden toteuttamista.

Esityksen tavoitteena on mahdollistaa erityissääntelyn yhtenäistämistä ja purkamista. Esitykseen sisältyy liitelakeina teknistä käyttöyhteyttä koskevien säännösten muutoksia. Lisäksi esitetty sääntely mahdollistaa ainakin tietojen säilytysaikoja koskevan sääntelyn selkiyttämistä ja yhtenäistämistä erityislaeista.

3.2 Toteuttamisvaihtoehdot

Ehdotettavan uuden tiedonhallintalain sijaan useassa laissa hajanaisesti olevaa tiedonhallinnan sääntelyä voisi kehittää nykyisten lakien puitteissa. Voimassa olevia lakeja muuttamalla olisi yhtenäisyyttä tiedonhallinnan järjestämiseen liittyvään sääntelyyn, kuten suunnittelu- ja kuvaamisvelvoitteisiin sekä ohjaamiseen liittyviin rakenteisiin, kuitenkin vaikea saavuttaa. Vaikka yhdenmukaistaminen sääntelyteknisesti olisikin mahdollista, jäisi sääntely vaikeaselkoiseksi ja soveltamisalaan kuuluvat toimijat joutuisivat soveltamaan useampaa lakia samaan toimintaan. Eri lakien vaihtelevat soveltamisalat aiheuttaisivat mitä todennäköisimmin myös soveltamisvaikeuksia. Eri laeissa oleva sääntely ei mahdollistaisi tiedon elinkaareen perustuvan sääntelyn kokoamista yhteen.

Tiedonhallinnan yleisiä velvoitteita koskevia säännöksiä voitaisiin osittain uudistaa julkisuuslain puitteissa. Uudistuksen kohteena olisivat tällöin lain hyvää tiedonhallintatapaa koskevat säännökset. Tällöin kuitenkin muun muassa tietohallintolain säännösten suhde uudistettavaan sääntelyn pitäisi arvioida uudelleen, koska esityksen tavoitteena on muun muassa säännellä eri tarkoituksissa tapahtuvasta tiedon käsittelyyn ja hallintaan liittyvistä suunnittelu- ja kuvaamisvelvollisuuksista. Tietohallintolain kokonaisarkkitehtuuria ja yhteentoimivuutta koskevat säännökset tulisi joka tapauksessa tarkastella, kun julkisuuslain hyvään tiedonhallintatapaan kuuluvia suunnittelu ja järjestämisvelvoitteita kuin myös tietoturvallisuutta koskevaa sääntelyä uudistettaisiin.

Esityksessä sääntelyn muutosesitykset on rajattu tiedon elinkaaren hallintaa koskeviin yleisiin vaatimuksiin, joilla varmistetaan yhtenäiset, laadukkaat tiedonhallinnan toimintatavat julkisessa hallinnossa. Ensimmäisessä vaiheessa tiedonhallinnan yleislakiin ei sisällytettäisi arkistoinnin perusteita koskevia säännöksiä eikä arkistotoimen tehtäviin kuuluvia asioita, vaan tällaiset muutokset on arvioitava vielä erikseen suhteessa tietosuoja-asetukseen, tietosuojalakiin, julkisuuslakiin ja arkistolakiin nähden. Nykyinen arkistointia koskeva sääntely jäisi toistaiseksi voimaan sellaisena kuin siitä on säädetty edellä mainituissa säädöksissä. Tiedon elinkaaren hallintaa koskeva sääntely noudattelisi siten jatkossa ennen arkistolainsäädännön uudistamista samaa linjaa kuin nykyinenkin sääntely siten, että arkistotoimen tehtävistä säädetään arkistolaissa ja arkistotoimen vaatimukset on otettava huomioon arkistonmuodostajan tieto- ja asiakirjahallinnossa. Siten viranomaisten tiedonhallintaan vaikuttaa myös arkistotoimen vaatimukset arkistolain perusteella siltä osin kuin tietosuoja-asetuksessa ei ole säädetty rekisterinpitäjän vastuista toisin.

3.3 Keskeiset ehdotukset

Laki julkisen hallinnon tiedonhallinnasta

Esityksessä ehdotetaan säädettäväksi uusi laki julkisen hallinnon tiedonhallinnasta. Lailla koottaisiin uuteen julkisen hallinnon toimintaa sääntelevään yleislakiin yleiset säännökset tiedon elinkaaren hallinnasta viranomaisten tehtävien hoitamista varten. Voimassa olevassa lainsäädännössä tämä sääntely hajautunut julkisuuslakiin, sähköisestä asioinnista viranomaistoiminnasta annettuun lakiin ja tietohallintolakiin. Ehdotetussa laissa ei säädettäisi arkistoinnin perusteista tai arkistotoimesta, vaan niistä säädettäisiin erikseen Euroopan unionin yleisessä tietosuoja-asetuksessa ja tietosuojalaissa sekä siltä osin kuin tietosuoja-asetuksessa tai tietosuojalaissa ei ole säädetty arkistoinnista, sovelletaan arkistolaissa ja muissa kansallisissa laeissa säädettyjä säännöksiä arkistoinnista ja arkistonmuodostuksesta. Arkistointi ja arkistotoimen tehtävät kuuluvat osana tiedon elinkaaren hallintaan, mutta tiedonhallintalakiin ei ehdoteta säädettäväksi ensimmäisessä vaiheessa näistä tiedon elinkaareen kuuluvasta hallinnasta, vaan se jäisi myöhemmin kehitettävään sääntelyyn, johon vaikuttavat myös jo voimassa oleva ja sovellettava uusi Euroopan unionin yleinen tietosuoja-asetus sekä kansallinen tietosuojalaki. Arkistointia koskevan sääntelyn uudistamiseen vaikuttaa myös julkisuuslainsäädäntö, jonka suhde arkistointiin on arvioitava erikseen.

Ehdotetun lain sääntely kohdistuisi laissa määriteltyihin viranomaisiin ja tiedonhallintayksiköihin. Tiedonhallintayksikön käsite olisi uusi lainsäädännössä ja sillä tarkoitettaisiin organisaatiota, joka on vastuussa tiedonhallinnan järjestämisestä. Tiedonhallintayksikön vastuu vastaisi käytännössä voimassa olevia käytänteitä siitä, että tiedonhallinnan järjestäminen kuuluu organisaatiolle, vaikka organisaatiossa toimisikin useampi viranomainen. Perusteena esitettyyn ratkaisuun on se, että julkisuussääntely, jonka viranomaiskäsitettä myös ehdotetussa laissa noudatetaan, lähtee viranomaisten erillisyysperiaatteesta, jonka vuoksi osa valtion virastoista koostuu useista viranomaisista tai kunnat koostuvat kunnallisista toimielimiin jakautuneista viranomaisista. Osa tiedonhallintaan liittyvistä velvollisuuksista kuitenkin kohdistuisi siihen organisaatioon eli tiedonhallintayksikköön, jossa viranomainen toimii. Ehdotettua lakia sovellettaisiin myös yksityisiin henkilöihin sekä yksityisiin yhteisöihin ja muihin kuin julkisuuslaissa määriteltyihin julkisyhteisöihin siltä osin kuin niihin sovelletaan viranomaisten toiminnan julkisuudesta annetun lain säännöksiä.

Ehdotetun lain lukujaon mukaisesti laissa säädettäisiin julkisen hallinnon tiedonhallinnan yleisestä ohjauksesta, tiedonhallinnan suunnittelusta ja kuvaamisesta, tietoturvallisuudesta, turvallisuusluokittelusta, asian ja palvelujen tiedonhallinnasta, tietoaineistojen muodostamisesta ja sähköisestä luovutustavasta sekä tietoaineistojen säilyttämisestä. Esityksellä kumottaisiin tietohallintolaki. Esitykseen sisältyisivät myös uuden lain johdosta tehtävät muutokset julkisuuslakiin ja lakiin sähköisestä asioinnista viranomaistoiminnasta annettuun lakiin. Salassapitomerkintöjä sekä turvallisuus- ja suojausluokittelua koskevan sääntelyn muutokset aiheuttaisivat muutoksia turvallisuusselvityslakiin, puolustus- ja turvallisuushankinnoista annettuun lakiin, lakiin valtion talousarviosta sekä valtion virkamieslakiin. Tietohallintolain kumoamisen vuoksi ehdotetaan teknisiä muutoksia eräisiin muihin lakeihin. Lisäksi lakiehdotukseen sisältyy eri hallinnonalojen substanssilainsäädäntöön sisältyvien teknistä käyttöyhteyttä koskevien säännösten muutoksia, jotka johtuvat tiedonhallintalakiin ehdotettavista uusista säännöksistä, jotka koskevat tietojen luovuttamista teknisen rajapinnan avulla. Näitä lakiehdotuksia on liitetty esitykseen niiltä osin kuin niitä on ehditty ministeriöissä valmistelemaan. Jäljeltä jäävin osin muutoksia tehtäneen myöhemmän säädöshuollon yhteydessä. Ehdotetun lain tiedonhallintaan liittyvillä säännöksillä tarkennettaisiin voimassa olevaa julkisuuslain hyvää tiedonhallintatapaa koskevaa sääntelyä. Erityisesti tarkennettaisiin vastuuta tiedonhallinnan huolellisesta järjestämisestä kohdentaen se ensi sijassa organisaation johdon vastuulle.

Ehdotetussa laissa uudistettaisiin myös yleistä tiedonhallintaa koskevan lainsäädännön käsitteistöä. Käsitteiden määrittely on välttämätöntä sen vuoksi, että lainsäädännöllä kootaan eri aikoina säädettyjen lakien, kuten julkisuuslain ja tietohallintolain sääntelyä yhteen. Käsitteitä on uudistettava myös tulevan kehityksen joustavuutta ajatelleen. Ehdotetussa laissa pyritään myös käyttämään sellaisia käsitteitä, jotka eivät sido tai ohjaa lain soveltamista esimerkiksi yksittäisen ammattikunnan ja menettelytavan käsitteistöön. Käsitteistössä on huomioitu Euroopan unionin yleisessä tietosuoja-asetuksessa omaksutut käsitteet.

Ehdotetussa laissa olisivat säännökset julkisen hallinnon tiedonhallinnan yleisestä ohjauksesta. Tietojärjestelmien ja tietovarantojen yhteentoimivuuteen liittyvä ohjaus säilyisi perusteiltaan vastaavana kuin tietohallintolaissa. Ohjaus kohdistuisi edelleen niihin keinoihin, joilla varmistetaan yhteentoimivuus. Sääntelystä poistettaisiin kuitenkin sellaiset toimintatavat ja muun muassa ongelmallisiksi havaitut asetuksenantovaltuudet, joita ei olla tehokkaasti pystytty käyttämään. Yleinen ohjaus säilyisi valtiovarainministeriön tehtävänä.

Ehdotetussa laissa ehdotetaan perustettavaksi tiedonhallintaan monialainen asiantuntijaviranomainen, tiedonhallintalautakunta. Suomessa ei ole yhtä viranomaista, joka keskittyisi koko julkisen hallinnon tiedonhallinnan kehittämiseen ja ohjaukseen, vaan tiedonhallinnan kehittämistä toteuttavat useat viranomaiset kukin omalla toimialallaan. Tiedonhallintalautakunnan tehtävänä olisi arvioida eräitä tiedonhallinnan menettelyitä sekä edistää tiedonhallinnan menettelytapojen ja vaatimusten mukaisuuden toteuttamista. Lautakuntamalli olisi tarkoituksenmukainen tapa järjestää monialainen asiantuntijatyö ja huolehtia eri näkökulmien huomioon ottamisesta ja perusoikeuksien, kuten julkisuusperiaatteen, oikeusturvan ja muiden hyvän hallinnon takeiden edistämisestä tiedonhallinnassa.

Ehdotettu laki sisältäisi kattavasti sääntelyn tiedonhallinnan suunnitteluun ja kuvaamiseen liittyvistä velvoitteista. Sääntelyllä pyritään kattamaan eri tiedonhallinnallisista tarpeista, kuten julkisuusperiaatteen toteuttamisesta, toiminnan tehokkaasta järjestämisestä ja henkilötietojen suojasta, syntyvät vaatimukset. Suunnittelua ja kuvaamista koskevilla säännöksillä on tarkoitus tehostaa ja parantaa tiedon elinkaaren laadukasta hallintaa sekä tiedon hyödyntämistä eri organisaatioiden toimintaprosessien välillä. Tiedonhallinnan suunnittelu- ja kuvaamisvelvoitteita toteutettaisiin tiedonhallintamallin ja siihen tehtävien muutosten arviointivelvollisuuden avulla.

Ehdotetussa laissa säänneltäisiin tietoturvallisuuden perustason vaatimuksista. Sääntelyn tavoitteena on varmistaa, että kaikki tiedonhallintayksiköt täyttävät vähintään samat perustason vaatimukset. Tällä edistetään yhteiskunnan kokonaistietoturvallisuutta ja mahdollistetaan viranomaisten keskinäisen luottamuksen vahvistamista, jotta muun muassa tarpeettomista tietoturvallisuutta koskevista selvityksistä viranomaisten välillä voidaan luopua. Tietoturvallisuutta koskeva sääntely ulotetaan yhtenäisenä myös kunnallisiin viranomaisiin. Yleinen sääntely on tähän asti ollut julkisuuslain nojalla annetussa tietoturvallisuusasetuksessa, joka velvoittaa vain valtion viranomaisia.

Ehdotetun lain asianhallintaa ja palvelujen tiedonhallintaa koskevilla säännöksillä määritettäisiin menettelytavat ja vaatimukset viranomaisilla olevien asioiden yksilöimiseksi, asiarekisterien sekä palveluja tuotettaessa muodostuvien tietoaineistojen tiedonhallinnan ylläpitämiseksi . Säännösten mukaisilla yhtenäisillä toimintatavoilla edistettäisiin tiedonhallinnan laadukkuutta ja julkisuusperiaatteen toteutumista.

Ehdotetussa laissa olisivat säännökset tietoaineistojen sähköisestä muodostamisesta ja sähköisestä luovuttamistavasta. Sääntelyä uudistettaisiin siten, että se nykyistä paremmin ottaa huomioon tietoteknisen kehityksen vuoksi tapahtuneita ja tulevaisuudessa tapahtuvia muutoksia tiedonhallinnassa. Sääntely velvoittaisi ensisijaisesti sähköiseen tietoaineistojen käsittelyyn. Ehdotettujen säännösten mukaan viranomaiselle saapuvat ja viranomaisen laatimat asiakirjat säilytetään lähtökohtaisesti vain sähköisessä muodossa. Teknisten rajapintojen käyttö tietojen vaihdossa viranomaisten välillä olisi ehdotetun sääntelyn mukaan ensisijainen toimintatapa. Sääntely mahdollistaa teknistä käyttöyhteyttä koskevan toimialakohtaisen sääntelyn purkamista.

Ehdotetussa laissa säädettäisiin myös tietoaineistojen säilytysajan määräytymisen perusteista. Tiedon aktiiviaikaisen viranomaisten tehtävien hoitoa varten muodostuneiden tietoaineistojen elinkaari voi jatkua arkistoituna tietoaineistona, jos tietoaineisto voidaan siirtää arkistoon siten kuin siitä erikseen säädetään. Arkistointiin vaikuttavat Euroopan unionin yleinen tietosuoja-asetus, tietosuojalaki, arkistolaki sekä yksittäiset arkistointia koskevat säännökset. Tiedonhallintalaissa olevat säännökset koskisivat kuitenkin tietoturvallisuuden, tietoaineistojen sähköisen luovutustavan ja tietojärjestelmiä koskevien vaatimusten osalta myös arkistoituja tietoaineistoja. Jos tietoaineistoja ei arkistoida säilytysajan päättymisen jälkeen, tulisi ne tiedonhallintalaissa säädetyn velvollisuuden perusteella tuhota tietoturvallisella tavalla.

Viranomaisten toiminnan julkisuudesta annettuun lakiin ja turvallisuusselvityslakiin ehdotettavat muutokset

Esityksessä ehdotetaan muutettavaksi myös viranomaisten toiminnan julkisuudesta annettua lakia. Sen hyvää tiedonhallintatapaa koskevat säännökset ehdotetaan kumottaviksi. Näistä asioista ehdotetaan säädettäväksi jatkossa tiedonhallintalaissa.

Samoin kumottavaksi ehdotetaan julkisuuslain säännös, joka koskee mahdollisuutta avata toiselle viranomaiselle tekninen käyttöyhteys henkilörekisterin sellaisiin tietoihin, jotka toisen viranomaisen on laissa erikseen säädetyn velvollisuuden mukaan otettava päätöksenteossaan huomioon. Oikeudesta tiedon saamiseen säädettäisiin jatkossakin julkisuuslaissa. Samoin asiakirjan antotavasta säädettäisiin jatkossakin julkisuuslaissa, lukuun ottamamatta säännöksiä, jotka koskisivat mahdollisuutta avata viranomaisen tietojärjestelmään katseluyhteys toiselle viranomaiselle tai tekninen rajapinta viranomaiselle tai muulle tiedonsaantiin oikeutetulle. Näitä luovutustapoja koskevat säännökset olisivat jatkossa tiedonhallintalaissa, ja asiakirjan antotapoja koskevassa julkisuuslain säännöksessä viitattaisiin tältä osin tiedonhallintalakiin.

Koska tiedonhallintalaissa säädettäisiin jatkossa myös niistä asioista, joista nykyisin on säädetty julkisuuslain nojalla annetuilla valtioneuvoston asetuksilla, ehdotetaan julkisuuslaissa olevat asetuksenantovaltuudet kumottaviksi lukuun ottamatta valtuutta säätää valtioneuvoston asetuksella tarkemmin toiminnan avoimuuden toteuttamisesta viestinnän suunnittelun ja järjestämisen avulla. Nykyisellään valtioneuvoston asetuksella on säädetty viranomaisen velvollisuudesta selvittää ja arvioida hallussaan olevat tietoaineistot sekä niiden käsittelyprosessit, asiakirjarekistereihin ja tietojärjestelmäselosteisiin merkittävistä tiedoista, tietoaineistojen luokittelusta asianmukaisten tietoturvallisuustoimenpiteiden toteuttamiseksi, velvollisuudesta tehdä turvallisuusluokkaa koskeva merkintä asiakirjoihin sekä eri turvallisuusluokkia koskevista tietoturvallisuusvaatimuksista. Asetuksenantovaltuuksien kumoutuessa myös nämä valtuutuksien nojalla annetut alemman asteiset säännökset kumoutuvat.

Salassa pidettävät asiakirjat tai niihin sisältyvät tiedot on voitu voimassa olevan lainsäädännön mukaan luokitella sen mukaan, minkälaisia tietoturvallisuutta koskevia vaatimuksia niiden käsittelyssä on tarpeen noudattaa. Asiakirjojen suojausluokituksesta ja sitä koskevasta sääntelystä ehdotetaan luovuttavaksi kokonaan. Sen sijaan turvallisuusluokittelu ehdotetaan ulotettavaksi eräisiin uusiin asiaryhmiin. Muutoin tietojen käsittelyn vaatimukset perustuisivat tietoturvallisuutta koskeviin vähimmäisvaatimuksiin sekä riskiperusteiseen arviointiin ja siihen perustuvaan toteuttamistapaan. Muutokset heijastuvat myös turvallisuusselvityslakiin, jonka suojausluokitteluihin perustuvia säännöksiä on myös muutoksen johdosta tarkistettava. Turvallisuusselvityslain muutokset ehdotetaan toteutettavaksi siten, etteivät muutokset vaikuta turvallisuusselvitysten alaan kuuluvien tehtävien piiriin. Turvallisuusselvityslaissa ehdotetaan jatkossakin käytettävän nykyisiä suojausluokiteltujen asiakirjojen käsittelyvaatimuksia kuvaavia kriteeristöjä, kun arvioidaan turvallisuusselvityksen tekemisen edellytyksiä sekä sitä minkä tasoinen henkilöturvallisuusselvitys selvityksen kohteesta voidaan tehdä.

Lisäksi julkisuuslain salassapitomerkintöjä koskevia säännöksiä ehdotetaan täsmennettäviksi ja samalla lisättäväksi säännökset muihin kuin salassa pidettäviin asiakirjoihin tehtävistä merkinnöistä.

Eräitä julkisuuslain säännöksiä on myös teknisesti tarkistettava vastaamaan tiedonhallintalaissa säädettäväksi ehdotettua.

4 Esityksen vaikutukset

Ehdotuksen vaikutukset eri toimijoille vaihtelevat suuresti sen mukaan, miten ja missä laajuudessa lakiehdotusta sovelletaan tiedonhallintayksikön, viranomaisen tai yhteisön toimintaan. Ehdotuksen vaikutusten suuruuteen vaikuttaa osaltaan myös se, miten ehdotuksen soveltamisalaan kuuluvat toimijat ovat toteuttaneet voimassa olevan lainsäädännön velvoitteet. Ehdotuksen vaikutusten arvioinnin lähtökohtana on ehdotettujen säännösten aiheuttama muutos verrattuna voimassa olevaan sääntelyyn. Arviointi on tehty vain uusien tai muuttuneiden velvoitteiden osalta. Vaikutusten arvioinnin perustana on voimassa olevien velvoitteiden analysointi, jota on tarkennettu arvioimalla ehdotuksen soveltamisalaan kuuluvien toimijoiden sisäisiä määräyksiä, sääntöjä ja toimintaohjeita. Ehdotuksen vaikutuksia on selvitetty myös lakiehdotuksen soveltamisalaan kuuluville tahoille tehtyjen kyselyiden avulla.

Esityksen keskeisenä tavoitteena on varmistaa viranomaisten tietoaineistojen yhdenmukainen hallinta ja tietoturvallinen käsittely, mahdollistaa tietoaineistojen turvallinen ja tehokas hyödyntäminen sekä edistää tietojärjestelmien ja tietovarantojen yhteentoimivuutta julkisen hallinnon toiminnan tehostamiseksi ja palvelujen parantamiseksi. Lailla luodaan yhdenmukainen perusta, jonka avulla viranomaisten on mahdollista toimia entistä tuloksellisemmin. Pääosa esityksen vaikutuksista, erityisesti tavoiteltujen hyötyjen osalta, on välillisiä, koska ehdotus jättää tavoitteita toteuttavat toimenpiteet ja näiden toteutustavat pääosin viranomaisten harkintaan. Tämän vuoksi vaikutukset eri soveltamisalaan kuuluville tahoille on pyritty esittämään laajempina kokonaisuuksina ja suuruusluokkina. Organisaatiokohtaiset vaikutukset riippuvat pitkälti siitä, miten lakiehdotuksen uudet velvoitteet toteutetaan ja miten jo voimassa olevat velvoitteet on organisaatioissa toimeenpantu. Lisäksi esityksen vaikutukset jaksottuvat pidemmälle aikavälille. Esityksen lopulliset vaikutukset riippuvat myös esityksen toimenpiteiden tehokkaasta toimeenpanosta.

4.1 Taloudelliset vaikutukset tiedonhallintayksiköille ja viranomaisille

Esityksen taloudelliset vaikutukset tiedonhallintayksiköille muodostuvat tiedonhallinnan järjestämiseen liittyvien vaatimusten suunnittelusta ja toteuttamisesta sekä vaatimusten mukaisen toiminnan jatkuvasta kehittämisestä sekä valvonnasta. Ehdotukseen sisältyvien säännösten tavoitteena on yhdenmukaistaa tiedonhallintayksiköiden nykyisiä vaatimuksia sekä selkiyttää tiedonhallintaan liittyviä vastuita ja velvollisuuksia. Tarkoituksena on muodostaa tiedonhallintayksiköille yhdenmukainen ja ymmärrettävä vaatimuskokonaisuus, jonka avulla niiden olisi nykyistä helpompaa toteuttaa ja ohjata tiedonhallintaan liittyviä toimenpiteitä sekä kehittää omia palvelu- ja tiedonhallintaprosessejaan tehokkaammiksi. Tiedon paremman hallittavuuden ja siihen liittyvien suunnittelu-, kuvaus- ja tietoturvallisuusvelvoitteiden kokoaminen kattavasti yhteen sääntelykokonaisuuteen loisi tiedonhallintayksiköille paremmat edellytykset kehittää tietojen käsittelyssä käytettäviä tietojärjestelmiä tukemaan paremmin toiminnan tarpeita sekä tehostamaan kertaalleen kerätyn tiedon hyödyntämistä. Lisäksi sääntely loisi perustan tiedonhallintayksiköille varautua paremmin muutos- ja häiriötilanteiden aiheuttamiin toimenpiteisiin. Pidemmällä aikavälillä ohjaavan sääntelyn voidaan arvioida parantavan tietojärjestelmien yhteentoimivuuden ja tiedonvaihdon edellytyksiä sekä alentavan tiedonhallintayksiköiden tiedonkeruu-, luovutus- ja integraatiokustannuksia.

Ehdotuksen keskeiset taloudelliset vaikutukset kohdentuvat kertaluonteisiin kustannuksiin, jotka aiheutuvat niistä toimenpiteistä, joilla tiedonhallinnan järjestämiseen, kuvausten kokoamiseen sekä tiedonkäsittelyprosesseihin liittyvät käytännöt muutetaan vastaamaan muuttuneita vaatimuksia. Ehdotuksesta aiheutuvien muutoskustannusten suuruus lain soveltamisalaan kuuluville toimijoille riippuu pitkälti siitä, millä tasolla tiedonhallintayksikkö on tällä hetkellä omien tiedonhallintakäytänteidensä osalta. Siirtymäaikojen jälkeen tietoaineistojen turvallinen hallinta ja tiedonhallinnan menettelyiden jatkuva kehittäminen muodostavat resurssitarpeen tiedonhallintayksiköille. Esityksestä aiheutuvat kustannukset arvioidaan kuitenkin olevan katettavissa olemassa olevien resurssien hallinnollisella uudelleen järjestelyllä sekä voimavarojen uudelleen kohdentamisella. Edelleen ehdotuksessa esitetyt siirtymäajat sekä ehdotuksessa säädetyt velvoitteisiin liittyvät poikkeamaperusteet mahdollistavat tiedonhallintayksikön tiedonhallinnan ja toiminnan uudistamisen huomioiden tiedonhallintayksiköiden ja viranomaisten erilaiset lähtötilanteet sekä muutoksen toteuttamisen kustannustehokkaasti tarkoituksenmukaisella hetkellä. Seuraavassa taulukossa kuvataan tiedonhallintayksiköiden näkökulmasta ehdotuksen aiheuttamat keskeisiä muutostarpeita.

Velvoite / tehtäväkoko-naisuus Tiedonhallinnan järjestäminen Tietoturval-lisuus Asian ja palvelujen tiedonhallinta

Tietoaineistojen muodostaminen

ja luovutus

Ohjeet ja kuvaukset

Olemassa olevien tiedonhallinnan ohjeiden muuttaminen vastaamaan muuttuneita velvoitteita

Olemassa olevien kuvausten kokoa-minen ja yhteen-sovittaminen hallittavaan muotoon

Olemassa olevien ohjeiden muuttaminen vastaamaan muuttuneita velvoitteita Eri asiankäsittely-prosesseissa synty-vien tietoaineistojen sekä tietoa tuottavien tietojärjestelmien ja tietovarantojen koko-aminen yhtenäiseen kuvaukseen Olemassa olevien tietoaineistojen säilytystarpeen määrittelyä koskevan ohjeistuksen muuttaminen vastaamaan muuttuneita velvoita
Tehtävien organisointi ja prosessit

Olemassa olevien tiedonhallinnan toimintamallien muuttaminen vastaamaan muuttuneita velvoitteita

Kuvausten laadinta- ja ylläpitomenette-lyjen muutta-minen vastaamaan muuttuneita velvoitteita

Tietoturvalli-suuden suunnittelu-, arviointi- ja valvontamenet-telyjen muutta-minen vastaa-maan muuttu-neita velvoit-teita

Asiakirjojen ja tietoaineistojen kirjaamiskäytäntöjen muuttaminen vastaamaan muuttuneita velvoitteita

Julkisuusperiaatteen toteuttamista koskevan tietovarantojen ja asiarekisterien kuvauksen julkaisuprosessin käyttöönotto

Muussa kuin sähköisessä muodossa vastaanotetun aineiston digitoinnin sekä muilta tiedonhallintayksiköiltä kerättävien tietojen tiedonsaantimenettelyiden muodostaminen
Tietojärjes-telmät Tietojärjestelmien käyttö-oikeushallinnan ja lokitietojen keräämisen varmistaminen sekä tarvittavien muutosten suunnittelu ja toteutus Tarvittavien yksilöintitietojen lisääminen asiakirjojen käsittelyssä käytettäviin tietojärjestelmiin Velvoitteiden mukaisten tiedonluovutusta-pojen toteutta-minen tieto-järjestelmiin

Ehdotuksen tiedonhallinnan järjestämistä koskevien velvoitteiden ei arvioida aiheuttavan tiedonhallintayksiköille ja viranomaisille lisäresurssitarvetta velvollisuuksien vastatessa pitkälti voimassa olevaa lainsäädäntöä. Tiedonhallinnan menettelyihin, tietoaineistojen käsittelyyn sekä tiedon salassapitoa koskeviin ohjeistuksiin ja osaamiseen liittyvistä vaatimuksista on säädetty muun muassa viranomaisten toiminnan julkisuudesta annetun lain hyvää tiedonhallintatapaa koskevissa, EU:n tietosuoja-asetuksen (EU 2016/679) tietojen käsittelyä sekä henkilötietolain henkilötietojen käsittelyn suunnitelmallisuutta koskevissa säännöksissä. Lisäksi julkisuuslaki, EU:n tietosuoja-asetus sekä henkilötietolaki ovat jo nykyisin edellyttäneet viranomaista tai rekisterinpitäjää varmistamaan tietojen käsittelyyn liittyvän valvonnan järjestämisen. Edelleen viranomaisten hallintoa ja taloutta koskevat säännökset edellyttävät viranomaisen huolehtimaan tehtäviensä sisäisen valvonnan ja tarkastuksen järjestämisestä.

Tiedonhallinnan järjestämisen osalta ehdotus muodostaa tiedonhallintayksiköille tarpeen päivittää tiedonhallintaansa liittyvät määräykset ja toimintaohjeet vastaamaan muuttuneita velvoitteita sekä omaksumaan näiden mukaisia uusia toimintatapoja. Velvoitteiden edellyttämä osaamisen varmistaminen tulee vaatimaan tiedonhallintayksiköiltä panostuksia sekä henkilöstönsä että tiedonhallintayksilön lukuun toimivien tahojen opastamiseen ja kouluttamiseen. Voimassa olevien säännösten noudattamisen edellyttämän tietoisuuden ja osaamisen kuuluessa tiedonhallintayksiköiden ja viranomaisten perustehtäviin, ei ehdotukseen arvioida edellyttävän näiltä osin tiedonhallintayksiköiltä lisäresursointia, vaan velvoitteet voidaan toteuttaa olemassa olevia voimavaroja uudelleen kohdentamalla. Toisaalta voidaan arvioida, että pidemmällä aikavälillä paremman osaamisen ja tehostuneen tiedonhallinnan avulla voimavaroja voidaan myös vähentää tiedonhallinnan perusteita koskevien velvoitteiden hoitamisesta sekä kohdentaa vapautuvia resursseja uudelleen esimerkiksi tiedon laajemman hyödyntämisen kehittämiseen, mikä edelleen välillisesti tehostaa tiedon hallintaa.

Tiedonhallintayksiköille ehdotettavat tiedonhallinnan suunnittelu- ja kuvausvelvoitteet vastaavat myös voimassa olevan lainsäädännön velvoitteita. Tiedonhallintalakiehdotuksessa säädettyjen tiedonhallinnan suunnittelu- ja kuvaustehtävien arvioidaan edellyttävän tiedonhallintayksiköiltä tiedonhallintamallin sekä asiarekistereitä ja tietovarantoja koskevan kuvauksen kokoamisen osalta noin 0,5—1 henkilötyövuoden työpanosta. Työmääräarvio on muodostettu julkisen hallinnon kokonaisarkkitehtuurityöstä saatujen kokemusten kautta kokonaisarkkitehtuurityön vastatessa lähtökohdiltaan pitkälti nyt ehdotettua sääntelyä. Olemassa olevien kuvausten kokoamisen ehdotuksen tarkoittamaksi hallittavaksi kokonaisuudeksi arvioidaan olevan tehtävissä samoilla suunnittelu- ja kuvausresursseilla, jotka tällä hetkellä ylläpitävät julkisuuslaissa, EU:n tietosuoja-asetuksessa, tietohallintolaissa sekä arkistolaissa säädettyjä tietoja. Ehdotuksella on tavoitteena vähentää kuvausvelvoitteita nykyisiin velvollisuuksiin verrattuna. Nykyisin tiedonhallintamallin sisältämien toimintaprosessien kuvaamisesta säädetään muun muassa julkisen hallinnon tietohallinnon ohjauksesta annetun lain 7 §:ssä, prosessien lopputuloksista hallinnon yhteisistä sähköisen asioinnin tukipalveluita koskevan lain 6 §:ssä, tietovarannoista ja tietojärjestelmistä tietohallintolaissa sekä julkisuuslain hyvää tiedonhallintatapaa koskevissa säännöksissä sekä tietoaineistojen käsittelyn ja säilytysaikojen osalta EU:n tietosuoja-asetuksessa. Edelleen tietojen kuvaamisesta säädetään arkistolain 8 §:n 2 momentin arkistonmuodostussuunnitelman laatimista ja ylläpitoa koskevissa velvoitteissa. Lisäksi EU:n tietosuoja-asetus, julkisuuslaki sekä valtion tietoturvallisuusasetus (681/2010) velvoittavat rekisterinpitäjiä ja valtion viranomaisia kuvaamaan tietoaineistojen hallintaan liittyviä tietoturvallisuustoimenpiteitä.

Julkisuusperiaatteen toteuttamiseksi laadittavan ja ylläpidettävän kuvauksen asiarekisteristä ja tietovarannoista ei arvioida myöskään vaativan lisäresursointia lain soveltamisalaan kuuluville organisaatioille. Ehdotus vastaa pitkälti voimassa olevan julkisuuslain 18 §:n 1 momentin 1 ja 2 kohtien velvoitteita. Lisäksi EU:n tietosuoja-asetuksen henkilötietojen käsittelytoimista ylläpidettävää selostetta sekä henkilötietolain 10 §:n rekisteriselosteen laatimista koskeva sääntely edellyttää rekisteripitäjiä ylläpitämään osaltaan vastaavia tietoja kuin ehdotetussa asiarekisterin ja tietovarantojen kuvauksessa on. Edelleen ehdotuksen velvoite asiarekisterin kuvauksen julkaisemisesta yleisessä tietoverkossa vastaa tiedoiltaan pitkälti julkisuusasetuksen 7 §:ssä säädettyä velvoitetta valtion viranomaisille huolehtia asiarekisterin saatavilla olosta sekä henkilötietolain 10 §:n 2 momentissa rekisterinpitäjille säädettyä velvoitetta pitää rekisteriselosteet jokaisen saatavilla.

Voimassa olevan lainsäädännön lisäksi julkisen hallinnon yhteistyönä on tuotettu viranomaisten tiedonhallinnan suunnittelua ja kuvaamista koskevia suosituksia, joilla on pyritty tarkentamaan ja yhdenmukaistamaan laissa esitettyjä suunnittelu- ja kuvausvelvoitteita. Vaikka suositukset eivät ole viranomaisia sitovaa sääntelyä, ovat muun muassa julkisen hallinnon digitaalisen turvallisuuden johtoryhmän (VAHTI), julkisen hallinnon tietohallinnon neuvottelukunnan (JUHTA) alaisen julkisen hallinnon suositusjärjestelmän (JHS) sekä Kansallisarkiston antamat tiedonhallintaa koskevat suositukset laajasti julkisen hallinnon käytössä.

Edellä esitetyn perusteella ehdotuksen säädettyjen kuvausvelvoitteiden ei arvioida edellyttävän tiedonhallintayksiköiltä nykyistä enempää voimavaroja. Kyse on enemmän olemassa olevien resurssien siirtämisestä muuttuneiden velvoitteiden mukaisiin toimenpiteisiin. Olemassa olevien kuvausten kokoaminen hallittavaksi kokonaisuudeksi tiedonhallintamalliin ja asiarekisteriä sekä tietovarantoja kuvaavaan kokonaisuuteen ja näiden sisältämien tietojen ylläpitomenettelyjen muodostaminen edellyttävät tiedonhallintayksiköiltä kertaluoteista panostusta, joka on mahdollista kohdentaa nykyisten kuvausten ylläpitoon ja kehittämiseen käytetyistä resursseista.

Ehdotetuilla suunnittelu- ja kuvausvelvoitteilla on tavoitteena koota yhteen edellä mainittuja, osittain hajallaan olevia kuvausvelvoitteita ja luoda edellytykset sille, että jatkossa tiedonhallinnan suunnittelua ja kuvaamista tehdään yhtenä kokonaisuutena tiedonhallintayksiköiden toimintaa tukien. Ehdotuksen sääntelytason ollessa yleinen ja monilta osin myös joustava tiedonhallintayksiköiden on mahdollista toteuttaa tiedonhallinnan kuvaus- ja suunnitteluvelvoitteensa organisaation erityispiirteiden ja tämän hetkisen kypsyystason mukaisesti. Ehdotus parantaisi myös tiedonhallinnan läpinäkyvyyttä edistäen samalla julkisuusperiaatteen toteutumista. Ehdotuksen tavoitteena on, että julkisen hallinnon tiedonhallintaa tehostetaan ja kehitetään paremmaksi tiedonhallintalain avulla. Suunnittelu- ja kuvausvelvoitteet tulisi nähdä merkitykselliseksi osaksi tiedonhallintayksikön jatkuvaa toimintaa, näiden velvoitteiden ohjatessa osaltaan tiedonhallintayksikköä tietovetoiseen toimintaan.

Pidemmällä aikavälillä suunnittelu- ja kuvausvelvoitteiden tulisi saada aikaan niin välittömiä kuin välillisiä kustannussäästöjä sekä edistää toiminnan tuloksellisuutta. Yhdenmukaisesti ja yksiselitteisesti säädettyjen suunnittelu- ja kuvausvelvoitteiden voidaan arvioida vähentävän viranomaisten työmäärää useiden erillisten kuvausten laatimis- ja ylläpitotarpeen poistuessa. Voimassa olevassa lainsäädännössä sekä sääntelyä täydentävissä julkista hallintoa koskevissa suosituksissa viranomaisten on tullut kuvata samat tiedot useasta eri näkökulmasta ja usealla eri formaatilla. Tiedonhallintalakia koskevassa ehdotuksessa suunnittelua- ja kuvaamista koskeva sääntely on pyritty muodostamaan kattavuudeltaan ja sisällöltään sellaisiksi, että kertaalleen ylläpidettyä tietoa voidaan hyödyntää keskeisissä käyttötarkoituksissa. Välillisiä kustannussäästöjä ja edellytyksiä tuloksellisuudelle syntyy, kun systemaattinen tiedonhallinnan suunnittelu ja kuvaukset omaksutaan osaksi operatiivista toimintaa ja tietojohtamista. Tiedonhallintayksikön tiedonhallinnan kokonaiskäsityksen ja tilannekuvan parantuessa parantuvat myös edellytykset ennakoida paremmin tulevia muutoksia ja viranomaisten muutos- ja häiriötilanteiden ratkaisemisessa tarvittavat resurssit vähenevät pidemmällä aikavälillä.

Ehdotukseen sisältyvät tietoturvallisuutta ja turvallisuusluokittelua koskevat säännökset vastaavat myös pitkälti voimassa olevaa lainsäädäntöä. Muuttuvat ja tarkentuvat velvoitteet edellyttävät tiedonhallintayksiköiltä ja viranomaisilta niiden ohjeistuksen muuttamista ja osaamisen varmistamiseen liittyvien toimenpiteiden toteuttamista. Tietoturvallisuusvelvoitteet arvioidaan kuitenkin pääosin olevan mahdollista toteuttaa järjestämällä olemassa olevat resurssit uudelleen. Valtionhallinnon osalta ehdotettu sääntely vastaa voimassa olevan julkisuuslain, valtion tietoturvallisuusasetuksen (681/2010) sekä henkilötietojen käsittelyä koskevan lainsäädännön velvoitteita. Julkisuuslain ja EU:n tietosuoja-asetuksen soveltamisalan kattaessa ehdotuksen soveltamisalaan kuuluvat viranomaiset ja yksityiset, ei ehdotuksella arvioida olevan taloudellisia vaikutuksia muillekaan soveltamisalaan kuuluville tahoille. Uutena velvollisuutena ehdotettavan viranomaisen toimintaympäristönsä tietoturvallisuuden tilan seuraamisen ei myöskään arvioida edellyttävän viranomaisilta toimenpiteitä, joita ne eivät voi olemassa olevien voimavarojensa puitteissa toteuttaa. Nykypäivän verkostoituneessa maailmassa toimintaympäristössä tapahtuvien muutosten seuranta ja arviointi on katsottava kuuluvaksi viranomaisten normaaleihin tehtäviin. Vaikka ehdotuksessa säädettävien tietoaineistojen turvallisuuden varmistamiseen liittyvät velvoitteet tarkentavat julkisuuslaissa koko julkisen hallinnon tietoturvallisuuden varmistamiseksi säädettyjen toimenpiteiden sisältöä, vastaavat ne henkilötietojen käsittelyä koskevaa lainsäädäntöä sekä pitkälti myös olemassa olevia käytäntöjä.

Tietoturvallisuusvelvoitteiden ei arvioida edellyttävän merkittäviä muutoksia lain soveltamisalaan kuuluvien toimijoiden käyttämiin tietojärjestelmiin. Tietojärjestelmien käyttöoikeuksien määrittämistä koskevat velvoitteet sisältyvät voimassa olevaan tietosuojalainsäädäntöön. EU:n tietosuoja-asetuksen sisäänrakennettu ja oletusarvioinen tietosuoja edellyttää rekisterinpitäjää toteuttamaan tarvittavat toimenpiteet, joilla varmistetaan vain käsittelytarkoituksen kannalta tarpeellisten henkilötietojen käsittely. Vastaavasti henkilötietolaki (523/1999) on edellyttänyt rekisterinpitäjää määrittämään käsittelyn käyttötarkoituksen suhteessa rekisterinpitäjän tehtäviin. Julkisuuslain 18 §:n 1 momentissa säädetyt velvoitteet tietoihin liittyvien oikeuksien ja tiedon laadun turvaamisesta ja valvonnasta ovat edellyttäneet tietojärjestelmien käyttöoikeuksien hallinnan toteuttamista. Ehdotuksen lokitietojen keräämistä koskevien velvoitteiden aiheuttaman muutoksen vaikutusten voidaan arvioida olevan vähäisiä, sillä velvoite kohdistuu ainoastaan sellaisiin tietojärjestelmiin, joiden käyttö edellyttää tunnistautumista tai muuta kirjautumista. Lisäksi lokitietojen kerääminen tietojärjestelmien käytöstä on ollut tähänkin saakka edellytyksenä, jotta tietoaineistojen käyttöä ja luovutusta sekä tietojärjestelmien teknisiä virheitä voidaan seurata ja valvoa. Ehdotukseen sisältyvä velvoite toteuttaa tietojensiirto tietoverkossa salattua tai muuta suojattua tiedonsiirtoyhteyttä tai -tapaa käyttämällä, jos siirrettävät tiedot ovat salassa pidettäviä, kokoaa olemassa olevan sääntelyn yhteen ja vahvistaa nykyisten käytäntöjen mukaisen menettelyn lain tasolla. Sähköisen viestinnän palveluista annetun lain (917/2014) 243 § edellyttää tiedonsiirrossa käytettävien viestintäverkkojen ja -palvelujen olevan tekniseltä laadultaan hyviä ja tietoturvallisia sekä mahdollistavan tietoturvaloukkausten ja -uhkien havaitsemisen. Digitaalisten palvelujen tietoturvallisuuden toteuttamisen perusvaatimuksia on määritelty muun muassa julkisen hallinnon digitaalisen turvallisuuden johtoryhmän (VAHTI) laatimassa ohjeessa Sähköisen asioinnin tietoturvallisuus (Valtiovarainministeriön julkaisuja 25/2017). Perustietoturvavaatimuksia ovat esimerkiksi salassa pidettävien ja muiden käsittelyrajoituksia koskevien tietojen, kuten erityisiin henkilötietoryhmiin kuuluvien tietojen, siirtäminen suojattua yhteyttä käyttäen tietoverkossa sekä tarvittaessa palvelun käyttäjän tunnistaminen palveluun kirjauduttaessa. Velvoitteen aiheuttamia taloudellisia vaikutuksia vähentää se, että tiedonsiirtoyhteyttä tai tiedonsiirtotapaa ja vastaanottajan tunnistamista tai varmentamista koskevat velvoitteet on ehdotuksessa säädetty joustavaksi, jolloin velvoitteen toteuttamistapa jää viranomaisen harkintaan.

Ehdotuksen viranomaisten asiakirjojen rekisteröintiä koskevat velvoitteet vastaavat valtionhallinnon osalta julkisuusasetuksen 6 §:n sääntelyä ja noudattavat pitkälti muiden viranomaisten sekä yliopistojen ja ammattikorkeakoulujen olemassa olevia kirjauskäytäntöjä. Tiedonhallintayksikön velvollisuus muodostaa käsiteltäväksi otettujen ja annettujen asioiden yksilöivä asiatunnus olisi nykyiseen sääntelyyn nähden uusi. Ehdotus vastaa kuitenkin pääosiltaan sitä, mitä asioista on tähänkin asti kirjattu diaareihin ja muihin asiakirjahakemistoihin. Keskeisin muutos koskisi asialle määriteltäviä tietoja, joilla yksilöidään tiedonhallintayksikkö (yritys- ja yhteisötunnus, Y-tunnus), viranomainen sekä toimintaprosessi. Asialle määriteltävien yksilöintitietojen toteutustavan jäädessä tiedonhallintayksikön harkintaan, ei uusien velvoitteiden arvioida aiheuttavan merkittäviä muutostarpeita viranomaisten käyttämiin asiankäsittelyjärjestelmiin. Asiaan liitettävät yksilöintitiedot voidaan hallita tietojärjestelmissä erilaisin viite- tai metatietojen käsittelytoimintojen avulla, joiden lisäämisen tai muuttamisen ei pitäisi edellyttää merkittäviä muutoksia yleisesti käytössä oleviin asiankäsittelyjärjestelmiin.

Tiedonhallintayksiköiden velvoite järjestää muussa kuin asiankäsittelyn yhteydessä muodostuvien tietoaineistojen hallinta siten, että tietoaineistoista muodostettavat asiakirjat ovat haettavissa jollakin tietokokonaisuuden yksilöivällä tunnuksella, edellyttää tiedonhallintayksiköiltä nykyisten asiakirjojen hallintakäytänteiden selvittämistä kaikkien tietoaineistoja käsittelevien tietojärjestelmien osalta sekä suunnittelemat tarvittavista asiakirjojen luovutusmenettelyistä tietoja pyytäville. Velvoitteen joustava muoto jättää tiedonhallintayksiköiden harkintaan tiedon haussa eri tilanteissa käytettävän yksilöintitiedon sekä antaa mahdollisuuden hyödyntää olemassa olevia, toiminnassa syntyvän tiedon yksilöintitunnuksia, esimerkiksi tehtävä-, palvelu- tai muita suoritetietoja koskevia tunnisteita. Lisäksi, koska muussa kuin asiankäsittelyn yhteydessä muodostuvista tiedoista muodostettujen asiakirjojen luettelointivaatimus vastaa voimassa olevan julkisuuslain 18 §:n 1 momentin 1 kohdassa säädettyä, ei palvelutoiminnan tiedonhallintaan kohdistuvilla velvoitteilla arvioida olevan taloudellisia vaikutuksia lain tarkoittamille tiedonhallintayksiköille. Edelleen asian ja palvelujen tiedonhallintaa koskevien sääntelyehdotusten tuottamien tietojärjestelmämuutosten toteuttamisen vaatimien resurssien määrää vähentää se, että lakia sovellettaisiin näiltä osin pääsääntöisesti vain lain voimaantulon jälkeen hankittaviin tietojärjestelmiin.

Asianhallinnassa ja palveluissa syntyvien tietoaineistojen ja asiakirjojen yksilöintiä ja rekisteröintiä koskevien vaatimusten arvioidaan mahdollistavan jatkossa entistä paremmat edellytykset tehostaa viranomaisten julkisuusperiaatteen toteuttamista sekä viranomaisten välistä tiedonluovutusta luovutuksen kohteena olevien tietojen yksilöinnin sekä löytämisen parantuessa. Lisäksi asiarekisterin hallinta koko tiedonhallintayksikön laajuudessa mahdollistaa asiaan liittyvien tietoaineistojen hallinnan asiankäsittelyn elinkaaren ajan.

Tietoaineistojen muodostamisen ja tietoaineistojen sähköisen säilyttämisen velvoitteen tarkoituksena on parantaa ja tehostaa tallennettavan tiedon hyödyntämistä. Velvoitteen toteuttaminen edellyttää tiedonhallintayksiköiltä sen käyttämien tietovarantojen ja tietojärjestelmien tietojen käsittely- ja tallennustoiminnallisuuksien selvittämistä, jotta tiedon säilyminen voidaan varmistaa ehdotukseen sisältyvien vaatimusten mukaisesti. Muussa kuin sähköisessä muodossa saapuvien asiakirjojen sähköiseen muotoon muuttamisen velvoite edellyttää lisäksi tiedonhallintayksiköiltä toiminnallisia ja teknisiä ratkaisuja, joilla tiedon luovutettavuuden ja eheyden säilyttäminen muutoksen yhteydessä olisi mahdollista varmistaa. Vaatimus asiakirjojen hyödynnettäväksi saattamisesta koneluettavassa muodossa liittyy julkisen sektorin hallussa olevien tietojen uudelleenkäytöstä annetun Euroopan parlamentin ja neuvoston direktiivin 2003/98/EY (PSI-direktiivi) kansalliseen täytäntöönpanoon. Tiedonhallintayksikön on huolehdittava, että tietoaineisto on saatavilla ja hyödynnettävissä koneluettavassa ja saavutettavassa muodossa, jos tietoaineisto voidaan saattaa alkuperäisestä muodosta suoraan koneluettavaan muotoon. Tiedonhallintayksiköllä ei olisi kuitenkaan velvollisuutta muokata asiakirjoja siten, että kaikki aineistot olisivat koneluettavassa muodossa, jos siihen olisi jokin teknisistä ratkaisuista johtuva syy esimerkiksi siten, että skannattua asiakirjaa ei voitaisi koneellisesti lukea tai muuntaa luotettavalla tavalla koneluettavaan muotoon. Tietojen koneluettavan muodon vaatimus koskisi erityisesti tietoaineistoja, jotka olisivat rakenteisessa muodossa. Tästä johtuen vaatimuksen ei arvioida aiheuttavan taloudellisia kustannuksia tiedonhallintayksikölle.

Asiakirjan sähköiseen muotoon muuttamista koskevan vaatimuksen arvioidaan aiheuttavan aluksi kustannuksia sellaisille tiedonhallintayksiköille, jotka eivät vielä tällä hetkellä muuta saapuneita paperisia asiakirjoja sähköiseen muotoon. Asiakirjojen digitoinnin vaatimaan työmäärään vaikuttaa olennaisesti se, millä menetelmällä ja teknologialla digitointi toteutetaan sekä digitoitavan lähtöaineiston valmistelun vaatima työmäärä. Arkistoitavien aineistojen osalta vaatimuksia digitoiduille aineistoille on asetettu muun muassa arkistolaitoksen määräyksessä digitoitujen aineistojen teknisistä vaatimuksista (24.8.2016, AL/11130/07.01.02.04.02/2008) sekä arkistolaitoksen suosituksessa digitoinnin laatukriteereistä (15.8.2008, AL/11130/07.01.02.04.02/2008).

Pidemmällä aikavälillä paperisten asiakirjojen käsittelystä luopumisesta on arvioitu kuitenkin syntyvän säästöjä niin tiedon käsittely- kuin säilytyskustannuksissa. Tiedon muuttaminen laissa ehdotettujen säännösten mukaiseksi mahdollistaisi säilytettävien tietojen paremman ja tehokkaamman hyödyntämisen (tiedon hakeminen, saavutettavuus ja käyttö) sekä kertaalleen tallennetun tiedon uudelleenkäytön. Muun muassa Kansallisarkiston Massadigitoinnin suunnitteluprojektin loppuraportin mukaan paperiarkistoinnista ja siihen liittyvistä prosesseista luopumalla on mahdollista säästää tulevien arkistotilojen rakentamistarpeesta sekä asiakirjahallinnon ja arkistotoimeen käytetyistä henkilöresursseista muun muassa tietopyyntöihin vastaamisen tehostumisella.

Ehdotukseen sisältyvä vaatimus tietojen luovuttamisesta teknisen rajapinnan avulla kohdistuu viranomaisten väliseen tietojen luovuttamiseen tilanteissa, joissa vastaanottavalla viranomaisella on laissa säädetty tiedonsaantioikeus ja tietojen luovuttaminen on säännöllisesti toistuvaa. Ehdotuksen valmistelun yhteydessä tehtyjen selvitysten mukaan viranomaiset hyödyntävät jo nykyisin tietojen luovuttamisessa merkittävässä määrin teknisiä rajapintoja tai keskitetyn tietovarannon tarjoamia rajapintoja. Edelleen ehdotuksen vaatimusten mukainen tiedonluovutus on useiden viranomaisen kehityskohteena. Velvoitteiden mukaisten rajapintojen toteutuksen edellyttämien resurssien määrään vaikuttaa olennaisesti tiedonvaihdossa käytettävä teknologia sekä tapa, jolla muutos tietojärjestelmiin tai olemassa oleviin rajapintoihin toteutetaan. Esimerkiksi Väestörekisterikeskuksen ylläpitämään Suomi.fi-palveluväylään liittyneiden toteutusten osalta rajapintojen toteutuskustannusten keskiarvoksi muodostui noin 70 000 euroa rajapintaa kohden. Rajapintojen toteutusvaatimuksen taloudellisia vaikutuksia minimoi se, että lain tarkoituksen ollessa tulevan kehityksen ohjaaminen, pääsääntönä olisi vaatimuksen kohdistuminen lain voimaantulon jälkeen hankittaviin järjestelmiin. Uusien järjestelmien hankinnan yhteydessä ehdotetut velvoitteet vain tarkentavat hankinnassa käytettäviä vaatimuksia tietojärjestelmiin toteutettavien liittymien osalta. Ennen voimaantuloa hankittujen järjestelmien osalta tietojen sähköisen luovutustavan teknisten valmiuksien toteuttaminen 48 kuukauden siirtymäaikana mahdollistaa sen, että viranomaiset voivat ottaa rajapinnat käyttöön huomioiden tietojärjestelmien elinkaaret ja kokonaistaloudellisesti edullisimmat kehitysajankohdat. Lisäksi sääntely mahdollistaa tiedon luovuttamisen myös muilla tavoilla, jos teknisen rajapinnan toteuttaminen tai käyttö ei ole teknisesti tai taloudellisesti tarkoituksenmukaista. Poikkeamaperusteen tarkoituksena on, ettei velvollisuuden edellyttämää muutosta ole velvollisuutta toteuttaa elinkaarensa loppupäässä oleviin tietojärjestelmiin, jos tietojen luovuttamisen järjestäminen aiheuttaisi enemmän kustannuksia toteutuksesta saatavaan hyötyyn verrattuna. Mikäli rajapintoja ei ole olemassa, sääntely edellyttäisi käytännössä joka tapauksessa viranomaisia arvioimaan siirtymäajan puitteissa, onko tiedon luovuttaminen muilla tavoin teknisesti tai taloudellisesti tarkoituksenmukaisempaa kuin rajapinnan rakentaminen. Edelleen velvoitteiden taloudellisia vaikutuksia vähentää se, että tiedonsiirtorajapintoihin tehdään käytännössä muutoksia tiedon luovutus- ja raportointitarpeiden muuttuessa. Tällöin ehdotuksen sisältämät vaatimukset ovat otettavissa huomioon muun rajapintakehityksen yhteydessä. Kokonaisuutena arvioiden rajapintaa koskevilla vaatimuksilla ei siten arvioida syntyvän taloudellisia vaikutuksia aiheuttavia lisäkustannuksia.

Teknisten rajapintojen toteutuksesta viranomaisille aiheuttamia taloudellisia vaikutuksia vähentää edelleen ministeriöille säädettävä velvoite selvittää useiden viranomaisten väliset säännölliset ja vakioitavissa olevat tiedonluovutukset sekä johtaa tiedonvaihdossa käytettävien tietomääritysten valmistelua. Käytännössä tällä tarkoitetaan tilanteita, joissa useat viranomaiset luovuttavat samoja tietoja samaan käyttötarkoitukseen. Esimerkiksi, kun kuntien viranomaiset luovuttavat tietoja valtion viranomaisille. Kerran ja yhteystyössä tehdyt määritykset vähentävät viranomaiskohtaista työmäärää. Ehdotuksen tavoitteiden vauhdittamiseksi ehdotuksen siirtämäsäännöksissä edellytetään ministeriöiltä lain tarkoittaman tiedonluovutuksen selvittämistä ja toteutuksen suunnittelua 12 kuukauden kuluessa lain voimaantulosta.

Koneluettavassa muodossa rajapintojen avulla luovutettavien tietojen arvioidaan vähentävän viranomaisten hallinnollista työtä ja muodostavan kustannussäästöjä, kun tietopyyntöihin vastaamisen edellyttämää tiedonluovuttamista on mahdollista automatisoida. Edelleen koneluettava muoto mahdollistaa tiedon vaivattoman hyödyntämisen vastaanottavassa viranomaisessa ja säästää tiedonkäsittelyn vaatimia resursseja jatkossa.

4.2 Vaikutukset valtiontalouteen

Ehdotuksella ei arvioida olevan merkittäviä vaikutuksen valtiontalouteen. Ehdotukseen sisältyvän sääntelyn lähinnä korvatessa ja tarkentaessa voimassa olevaa sääntelyä, voidaan ehdotukseen sisältyvien velvoitteiden toteuttaminen kattaa olemassa olevien voimavarojen uudelleen järjestelyillä.

Tietoturvallisuutta ja tietojen turvallisuusluokittelua koskevat säännösehdotukset vastaavat valtion viranomaisia koskevaa voimassa olevaa sääntelyä. Säännönmukaisen ja vakioitavissa olevan viranomaisten välisen tiedonsiirron toteuttaminen teknisten rajapintojen avulla ei arvioida edellyttävän merkittävää kehityspanostusta tulevina vuosina. Vuoden 2018 valtion tietohallintoa koskevan kyselyn perusteella viranomaisten välinen tiedonsiirto on monien lakiehdotuksessa tarkoitettujen käyttötarkoitusten osalta valtionhallinnossa jo nykyisin järjestetty tietojärjestelmien välisellä tiedonsiirrolla. Lisäksi suunnitteilla olevien tiedonsiirron kehittämiskohteiden osalta toteutuksen edellyttämät voimavarat on pääsääntöisesti huomioitu kunkin kehityskohteen resursseissa. Tietovarantojen katseluyhteyksiä koskevat vaatimukset ovat toteutettavissa siirtymäaikojen puitteissa.

Ehdotukseen sisältyvän valtiovarainministeriön yhteydessä toimivan tiedonhallintalautakunnan ei arvioida edellyttävän alkuvaiheessa lisäresursseja, vaan toiminnan käynnistämisen edellyttämät voimavarat voidaan kohdentaa olemassa olevia resursseja uudelleen järjestelemällä. Lautakunnan toiminnan kustannuksista puheenjohtajan ja jäsenten korvaus osallistumisesta lautakunnan työhön koostuisi kokouspalkkioista. Lautakunnalle päätöksiä ja suosituksia valmistelevien jaostojen resurssitarve koostuisi tehtävään osoitettujen sihteerien ja jaostojen jäsenten työpanoksesta. Valmistelun edellyttämä työmäärä on pääosin katettavissa nykyisten suositusten laatimiseen ja ylläpitoon käytetyistä henkilöresursseista sekä julkisen hallinnon ja valtionhallinnon suositustoimintaan varatuista määrärahoista.

Valtionhallinnon virastojen ja laitosten velvoitteen arvioida vaikutuksia tiedonhallinnan muutostilanteessa voidaan katsoa vastaavan olemassa olevia velvoitteita, mistä johtuen sillä ei arvioida olevan taloudellisia vaikutuksia valtionhallintoon. Velvoite vastaa voimassa olevan julkisuuslain 18 §:n 1 momentin 3 kohdassa, tietohallintolain 4 §:n 4 momentissa sekä valtion taloussuunnittelua ja talousarvion laadintaa koskevissa säännöksissä esitettyjä velvoitteita. Tiedonhallintaan koskevien muutosten arviointivelvoitteen tavoitteena on parantaa valtion tiedonhallintayksiköiden kykyä arvioida muutosten edellyttämää resurssitarvetta sekä luoda edellytyksiä paremmalle taloudellisten riskien arvioinnille. Muutosten vaikutusten paremmat arvioinnit näkyvät merkittävinä välillisinä hyötyinä siten, että tiedonhallintayksiköiden tietojärjestelmiin liittyvän hanketoiminnan suunnitelmat laaditaan realistisille pohjille ja taloudellisten sekä toiminnallisten riskien ennakointi ja hallinta kehittyvät, mikä luo edellytyksiä hanketoiminnan tuloksellisuudelle ja sitä kautta toiminnan tehokkuudelle ja vaikuttavuudelle.

4.3 Vaikutukset kuntatalouteen

Ehdotuksessa esitettyjen velvoitteiden toteuttamisella ei arvioida olevan merkittäviä taloudellisia vaikutuksia kuntatalouteen. Ehdotukseen sisältyvät velvoitteet vaativat kunnilta ja kuntayhtymiltä resursseja tarvittavien muutosten toteuttamiseksi säädettyjen siirtymäaikojen puitteissa, mutta pääosa toimenpiteiden edellyttämistä voimavaroista voidaan toteuttaa olemassa olevien resurssien uudelleen kohdentamisella.

Merkittävimmät ehdotuksen vaatimat työmäärät arvioidaan muodostuvan tiedon luovuttamisen mahdollistamien teknisten rajapintojen toteuttamisesta. Valmistelun yhteydessä tehdyn selvityksen mukaan ehdotuksen tarkoittaman tiedonluovutustavan toteuttaminen edellyttäisi noin 1 000 rajapinnan toteuttamista tai muuttamista kuntien käyttämiin tietojärjestelmiin seuraavien vuosien aikana. Arvioon on päädytty vuonna 2016 valtiovarainministeriön tekemän selvityksen perusteella (Valtiovarainministeriön julkaisuja 20/2016), jonka mukaan kunnille säädetty tiedonantovelvoite sisältyy arviolta noin 150 säännökseen ja tiedonsaantioikeus sisältyy noin 50 säännökseen. Tiedonhallintalain valmistelun yhteydessä tehtyjen kartoitusten perusteella edellä mainituista velvoitteista ja tiedonsaantioikeuksista noin 10—15 prosenttia arvioidaan vaativan muutoksia ehdotuksen vaatimusten toteuttamiseksi. Pääosa ehdotuksen tarkoittamasta tietojen luovutuksesta perustuu jo tälläkin hetkellä tietojärjestelmien väliseen tiedonsiirtoon tai keskitetyn tietovarannon tarjoamaan käyttöliittymään, joiden avulla ehdotuksessa tarkoitettu tiedonantotapaa koskeva velvoite toteutetaan. Rajapintojen arvioidulla 70 000 euron keskiarvokustannuksella ehdotettu sääntely tarkoittaisi kuntien ja kuntayhtymien rajapintatoteutukseen kohdennettavaa noin 70 miljoonan euron kertaluonteista, vuosille 2020—2024 jakautuvaa resurssitarvetta. Vaatimusten ei kuitenkaan arvioida edellyttävän lisärahoitusta kunnille tiedonantotapaa koskevien velvoitteiden vaatimien teknisten järjestelyiden toteuttamisen tapahtuessa pääsääntöisesti uusien tietojärjestelmien hankinnan yhteydessä. Käytössä olevien tietojärjestelmien ja palvelujen osalta kunnilla ja kuntayhtymillä olisi neljä vuotta aikaa lain voimaantulosta huolehtia säännönmukaisen ja vakioitavissa olevan viranomaisten välisen tiedonluovutuksen järjestämisestä lain edellyttämällä tavalla. Lisäksi rajapintojen toteutukseen kohdentuvia kustannuksia alentaa osaltaan myös ehdotukseen sisältyvä poikkeamaperuste tiedon luovuttamisesta muulla tavoin, jos teknisen rajapinnan toteuttaminen tai käyttö ei ole teknisesti tai taloudellisesti tarkoituksenmukaista. Sääntely edellyttäisi käytännössä kuitenkin viranomaisia arvioimaan edellä mainitun siirtymäajan puitteissa, onko tiedon luovuttaminen muilla tavoin teknisesti tai taloudellisesti tarkoituksenmukaisempaa kuin rajapinnan rakentaminen. Edelleen erityisesti kuntien tietojärjestelmiin kohdistuvien tietojärjestelmämuutosten taloudellisten vaikutusten vähentämiseksi säännösehdotukseen on muodostettu mekanismi, jossa tiedonsaantioikeuksia koskevan sääntelyn valmistelusta vastaavien ministeriöiden tehtävänä olisi 12 kuukauden kuluessa selvittää ja suunnitella toimialaltaan lain tarkoittamien useita viranomaisia koskevassa tiedonvaihdossa käytettävät tietorakenteet. Tällöin kuntien samankaltaisten tietojen luovutusvelvoitteiden määrittely ja suunnittelu sekä tarvittavien toteutusten toimeenpano olisi mahdollista tehdä yhteisesti koordinoituna mahdollisimman kustannustehokkaalla tavalla.

Muutoksen taloudellisten vaikutusten suuruuteen vaikuttaa mahdollisesti myös se, että noin kaksi kolmasosaa ehdotuksen kuntien tiedonantotapaa koskevista velvoitteista kohdentuu maakunta- ja sosiaali- ja terveydenhuoltouudistuksessa kunnilta maakunnille siirtyviksi suunniteltuihin tehtäviin sekä valtion valvontatehtävien uudelleen järjestelyihin. Uudistuksen toteutuessa erityisesti kuntien ja valtion viranomaisten välinen tiedonvaihto tulisikin toteuttaa osana uudistuksessa kehitettäviä toimintamalleja ja näihin liittyviä tietojärjestelmähankintoja. Keskitetysti ohjattuna, koordinoituna ja toteutettuna edellä esitettyä arvioita rajapintatoteutuksen edellyttämistä lisäresursseista voidaan alentaa merkittävästi. Kunnille aiheutuvien tietojärjestelmien rajapintojen toteutuksesta aiheutuvien kustannusten kehittymistä ja kustannuksia alentavien yhteisten toimenpiteiden kehittymistä tulee seurata lain toimeenpanon yhteydessä.

Muiden ehdotukseen sisältyvien velvoitteiden ei arvioida aiheuttavan kunnille ja kuntayhtymille merkittävää lisäresursointitarvetta. Ehdotuksen tiedonhallinnan suunnittelu- ja kuvaustehtävien arvioidaan olevan toteutettavissa olemassa olevia voimavaroja uudelleen kohdentamalla sekä hyödyntämällä aikaisemmin koottuja tietoja, esimerkiksi maakunta- ja sosiaali- ja terveydenhuoltouudistuksen valmistelun yhteydessä kerättyä tietoa kuntien ja kuntayhtymien tietojärjestelmistä. Tietoturvallisuutta ja tietoaineistojen luokittelua koskevien säännösten arvioidaan edellyttävän kunnilta ja kuntayhtymiltä noin 0,5—1 henkilötyövuoden lisäresursointia säännösten edellyttämien menettelyjen ja tietoturvallisuudesta vastaavien asiantuntijoiden osaamisen nostamiseksi sääntelyn edellyttämälle tasolle. Lisäksi tietojen käsittelyyn osallistuvan muun henkilöstön osaamistason nostamisen arvioidaan edellyttävän 0,5—5 henkilötyökuukauden panostusta osaamisen varmistavaan koulutukseen. Tietoturvallisuutta koskevien velvoitteiden edellyttämien toimenpiteiden toteutuksen ei kuitenkaan arvioida aiheuttavan kunnille sellaisia lisäresurssitarpeita, joita ei olisi mahdollista toteuttaa olemassa olevien voimavarojen uudelleen järjestelyllä. Lisäksi, vaikkakin osa ehdotukseen sisältyvistä tietoturvallisuutta koskevista velvoitteista ovat sääntelytarkkuuden osalta lain tasolla kunnille ja kuntayhtymille uusia, ovat vastaavat velvoitteet sisältyneet jo nykyisin monien kuntien ja kuntayhtymien sisäisiin määräyksiin ja ohjeisiin.

Tiedonhallintalaissa ehdotetut velvoitteet tiedonhallintayksiköille rekisteröidä niille saapuneet tai viranomaisen laatimat asiakirjat asiarekisteriin ja asian yksilöivien tietojen liittäminen asiakirjoihin laajentaa aikaisemmin valtionhallinnon asiakirjarekistereitä ja niihin merkittäviä tietoja koskemaan myös muita tiedonhallintalain soveltamisalaan kuuluvia tiedonhallintayksiköitä. Uudet velvoitteet tarkentavat tältä osin kuntien ja kuntayhtymien kohdalla voimassa olevan julkisuuslain 18 §:n 1 momentin 1 kohdan sisältöä. Tarkennusten ei kuitenkaan arvioida edellyttävän kunnilta ja kuntayhtymiltä merkittävää lisäresursointia asiakirjojen kirjauskäytäntöjen muuttamiselle vastaamaan ehdotuksen sääntelyä vastaavien käytäntöjen sisältyessä jo nykyisin monien kuntien ja kuntayhtymien toimintaohjeisiin. Ehdotuksen ei myöskään arvioida edellyttävän merkittäviä muutoksia kuntien käyttämiin tietojärjestelmiin, hallintoasioiden rekisteröinnin ja käsittelyn perustuessa jo tälläkin hetkellä kunnissa ennalta määriteltyihin prosesseihin ja pääsääntöisesti prosesseja tukeviin tietojärjestelmiin. Lain soveltamisen kohdistuessa lain voimaantulon jälkeen tehtäviin tietojärjestelmähankintoihin ei asianhallinnan menettelyjä tai tietojen kirjaamista koskevilla säännöksillä arvioida olevan taloudellista vaikutusta kunnille ja kuntayhtymille.

4.4 Vaikutukset muuhun julkiseen talouteen

Ehdotuksella ei arvioida olevan merkittäviä taloudellisia vaikutuksia muulle julkiselle hallinnolle. Koska ehdotetut säännökset lähinnä korvaavat ja tarkentavat voimassa olevaan sääntelyä, voidaan myös muun julkisen hallinnon osalta olettaa, että ehdotukseen sisältyvien velvoitteiden toteuttaminen voidaan kattaa olemassa olevien voimavarojen uudelleen järjestelyillä.

Tietoturvallisuutta koskevan lainsäännön tarkentaminen ja valtion hallintoa koskeneen sääntelyn laajentaminen kattamaan muu julkinen hallinto edellyttää tiedonhallintayksiköiltä ja viranomaisilta vastaavan kaltaisia toimenpiteitä kuin kuntien osalta. Ehdotukseen sisältyvien velvoitteiden edellyttämien toimenpiteiden ei kuitenkaan arvioida aiheuttavan muille lain tietoturvallisuusvaatimuksia soveltaville toimijoille sellaisia lisäresurssitarpeita, joita ei olisi mahdollista toteuttaa olemassa olevien voimavarojen uudelleen järjestelyllä. Lisäksi, vaikkakin osa ehdotukseen sisältyvistä tietoturvallisuutta koskevista velvoitteista ovat tarkkuustasonsa osalta laintasolla uusia, ovat vastaavat velvoitteet sisältyneet jo nykyisin useiden lain soveltamisalaan kuuluvien tiedonhallintayksiköiden, esimerkiksi yliopistojen ja ammattikorkeakoulujen sisäisiin määräyksiin ja ohjeisiin.

Asiakirjojen rekisteröintiä koskevien säännösten sisältyessä voimassa olevan julkisuuslain hyvää tiedonhallintaa koskeviin säännöksiin, ei ehdotettujen asiarekisterin ylläpitoa sekä muussa kuin asiankäsittelyssä syntyvien asiakirjojen rekisteröintiä koskevien säännösten arvioida aiheuttavan merkittäviä taloudellisia vaikutuksia muille lain soveltamisalaan kuuluville toimijoille. Sähköistä tiedonluovutusta koskeviin ehdotuksiin sisältyvät siirtymäajat ja tarkoituksenmukaisuusperusteet mahdollistavat viranomaisten välisen tiedonvaihdon automatisoinnin myös muun julkisen hallinnon osalta osana tietojärjestelmien kehittämisen normaalia elinkaarta.

4.5 Vaikutukset viranomaistoimintaan

Ehdotettu laki tarkentaisi viranomaisten tiedonhallinnan järjestämistä koskevia velvoitteita järjestämiseen liittyvien tehtävien ja niiden sisällön osalta. Tehtävien sisällölliset tarkennukset koskisivat muun muassa tiedonhallintayksiköiden velvoitetta huolehtia tiedonhallintaan liittyvien vastuiden, ohjeiden ja tarvittavan osaamisen kehittämisestä ja ylläpidosta sekä tehtävien mukaisten resurssien, työvälineiden sekä valvonnan järjestämistä. Velvoitteista osa kohdentuisi viranomaisiin ja osa organisaatioon jossa viranomainen toimii (tiedonhallintayksikkö). Ehdotuksen vaikutuksia tiedonhallintayksiköille ja viranomaisille on käsitelty tarkemmin edellä.

Lakiehdotus tarkentaisi valtiovarainministeriön vastuuta huolehtia yhteentoimivien julkisten palvelujen edellyttämästä kuvauksesta, miten tiedonhallinta on järjestetty julkisessa hallinnossa (julkisen hallinnon tiedonhallintakartta). Ministeriöiden tehtävänä olisi huolehtia kuvauksen tietojen laadusta ja ajantasaisuudesta oman toimialansa osalta. Tietovarantojen yhteentoimivuuden varmistamiseksi valtiovarainministeriön vastuulla olisi myös muodostaa tiedonhallinnan yleisiä linjauksia, joilla ohjataan viranomaisten ylläpitämien yhteisten tietovarantojen yhteentoimivuuden kehittämistä. Valtiovarainministeriön ohjaustehtävää vahvistaisi valtionhallinnon osalta valtion virastoille ja laitoksille ehdotettu velvoite toimittaa valtiovarainministeriölle tiedonhallinnan muutossuunnitelmat lausuttavaksi, kun tietojärjestelmiin kohdistuvien muutoksen arvioitu taloudellinen vaikutus valtiontalouteen ylittää miljoona euroa tai muutos koskee julkisen hallinnon yhteisten tietovarantojen rajapintojen tietorakenteiden olennaisia muutoksia. Nykyisen tietohallintolain 4 §:n 4 momentin mukaisen lausuntomenettelyn korvaava lausuntomenettely tarkentaisi lausuntojen kohdistumisen valtionhallinnon tietovarantojen ja tietojärjestelmien hyödyntämiseen, yhteentoimivuuteen ja tietoturvallisuuteen.

Valtiovarainministeriön vastuulla olisi järjestää myös valtion, kuntien ja maakuntien viranomaisten tiedonhallinnan ja julkisen hallinnon tieto- ja viestintätekniikan hyödyntämisen yhteisten tavoitteiden muodostamiseksi sekä tieto- ja viestintäteknisten palvelujen tuotannon koordinoimiseksi tarvittavat yhteistyötavat ja -menettelyt. Yhteistyön tarkoituksena on seurata ja arvioida nykyistä paremmin julkisen hallinnon tiedonhallinnan ja tieto- ja viestintäteknisten palvelujen kehittymistä, muutoksia sekä vaikuttavuutta.

Keskeinen tiedonhallintalakiin sisältyvä hallinnollinen muutos koskisi valtiovarainministeriön yhteydessä toimivan uuden ehdotettujen säännösten toteuttamista ja noudattamista arvioivan sekä ehdotettujen säännösten mukaisten tiedonhallinnan ja tietoturvallisuuden menettelytapojen toteuttamista edistävän itsenäisen viranomaisen perustamista (julkisen hallinnon tiedonhallintalautakunta). Suomessa ei ole yhtä viranomaista, joka keskittyisi koko julkisen hallinnon tiedonhallinnan kehittämiseen ja ohjaukseen, vaan tiedonhallinnan kehittämistä toteuttavat useat viranomaiset kukin omalla toimialallaan. Koska tiedonhallinta perustuu nykyisin monialaiseen asiantuntijoiden ja usean viranomaisen väliseen yhteistyöhön tiedonhallintayksiköissä, järjestettäisiin tiedonhallinnan kehittäminen ja informaatio-ohjaus jatkossa monialaisesta asiantuntemuksesta koostuvaan toimielimeen.

4.6 Vaikutukset elinkeinoelämään

Tiedonhallintalakiin ehdotetuilla säännöksillä ei arvioida olevan suoria uusia tai merkittäviä vaikutuksia muille kuin lain soveltamisalaan kuuluville viranomaisille ja yhteisöille. Ehdotus ei myöskään merkitse julkista hallintotehtävää hoitaville tai tiedonhallintayksikön lukuun toimiville yrityksille ja yhteisöille merkittävää muutosta suhteessa voimassa olevaan sääntelyyn. Julkisuuslain säännöksiä on sovellettu lain tai asetuksen taikka lain tai asetuksen nojalla annetun säännöksen tai määräyksen perusteella julkista tehtävää hoitaviin yhteisöihin, laitoksiin, säätiöihin ja yksityisiin henkilöihin niiden käyttäessä julkista valtaa. Lisäksi vaikkakin ehdotukseen sisältyviä säännöksiä sovelletaan osittain myös hallinnon ulkopuolisiin, niiden tuottaessa palveluja tiedonhallintayksiköille ja siinä toimivien viranomaisten lukuun, ei ehdotusten vaikutusten arvioida edellyttävän merkittäviä lisäpanostuksia lain vaatimusten toteuttamiseksi. Edelleen vastaavan kaltaisia velvollisuuksia toimijoille näiden suorittaessa henkilötietojen käsittelyä rekisterinpitäjän lukuun sisältyy EU:n tietosuoja-asetuksen sääntelyyn.

Välillisten vaikutusten osalta ehdotukseen sisältyvien tiedon säilyttämistä koskevien säännösten voidaan katsoa muodostavan tiedon säilyttämiseen erikoistuneiden tietojärjestelmäpalvelujen toimittajille selkeämmin säännellyn toimintaympäristön tehostaa toimintaansa ja sitä kautta parantaa palvelujaan. Myös ehdotukseen sisältyvät velvoitteet tiedonhallintoyksiköille julkaista julkisuusperiaatteen toteuttamiseksi tietoja asiarekisteristään sekä tietovarannoistaan voidaan katsoa parantavan välillisesti yritysten tulemista julkisen hallinnon tiedonhallinnan palvelujen markkinoille, kun tieto viranomaisten tiedonhallinnasta ja siihen liittyvistä menettelyistä on hyödynnettävissä yritysten palvelu- ja tuotekehityksessä. Edelleen tietojen saatavuutta kuvaavien tietojen julkaisulla voidaan katsoa olevan välillisiä hyötyjä tiedon toissijaisen käytön edistämiselle ja uuden liiketoiminnan synnyttämiselle. Lisäksi sääntely mahdollistaa julkisen ja yksityisen sektorin digitaalisten palvelujen integroinnin nykyistä tehokkaammalla tavalla teknisiä rajapintoja hyödyntämällä. Sinällään uudistettavassa lainsäädännössä ei ehdoteta uusia tiedonsaantioikeuksia, vaan sääntely mahdollistaa viranomaisten tietoaineistojen tehokkaamman hyödyntämisen myös yksityisten toiminnassa, kunhan tietoihin on olemassa tiedonsaantioikeudet ja käsittelyoikeudet olemassa muun lainsäädännön perusteella.

4.7 Yhteiskunnalliset vaikutukset

Esitykseen sisältyvät ehdotukset tiedonhallintayksiköille säädettävistä velvoitteista koskien tiedonhallintaa, tietoturvallisuutta sekä tietojen antamistapaa lisäävät ja parantavat kansalaisten mahdollisuuksia saada tietoja viranomaisten toiminnasta, julkisen vallan käytöstä, yhteiskuntaoloista sekä julkisen päätöksenteon vaikutuksesta niihin. Edelleen ehdotus parantaa hallinnon asiakkaan julkisten palveluiden palvelukokemusta. Tiedonhallintayksiköiden ja niiden viranomaisten asianhallinnan ja asiakirjojen rekisteröintiä sekä tiedonhallintaa koskevien velvollisuuksien yhdenmukaistanen parantaisi sekä julkisuusperiaatteen, mutta myös hyvän hallinnon toteuttamista. Ehdotukseen sisältyvä velvoite asiarekisteristä ja siihen rekisteröitävistä tiedoista edistäisi julkisuusperiaatteen toteuttamista sekä hyvään hallintoon kuuluvan asianmukaisen ja joutuisan asiankäsittelyn seuraamista ja todentamista.

Tiedonhallintayksiköille säädettäväksi esitetty velvoite ylläpitää tietoverkossaan julkisuusperiaatteen toteuttamiseksi kuvausta asiarekisteristään ja tietovarannoistaan parantaa kansalaisten mahdollisuutta saada tietoa lain tarkoittamien tiedonhallintayksiköiden palveluista ja toiminnasta sekä niissä käsiteltävistä tiedoista. Kuvauksen perusteella jokainen voisi tehdä muun muassa tietopyyntöjä ja saada tietoaineistosta viranomaisen asiakirjoja. Kansalaisten tiedonsaantimahdollisuuksien edistämiseksi ehdotukseen on lisätty vaatimus tiedonhallintayksiköille hallita myös muita kuin asiankäsittelyssä syntyvä asiakirjoja siten, että tiedot olisi haettavissa vaivattomasti asiakkaan yksilöintitietojen, asiointitunnuksen, palvelutapahtumatunnuksen tai muun vastaavan yksilöintitunnuksen avulla. Hallinnon asiakkaiden tiedonsaantioikeuksien mukaisten tietoaineistojen edelleen käytön ja hyödynnettävyyden parantamiseksi ehdotus sisältää velvoitteen tiedonhallintayksiköille huolehtia tietoaineistojen saatavuudesta koneluettavassa ja saavutettavassa muodossa jos tietoaineistot ovat muutettavissa vaatimuksen mukaiseksi.

Lakiehdotuksessa viranomaisille ehdotettu kielto olla vaatimatta hallinnon asiakasta toimittamaan asiankäsittelyä varten todistuksia tai otteita, jos viranomaisella olisi oikeus tietojen saantiin toiselta viranomaiselta ajantasaisesti teknisten rajapintojen tai katseluyhteyden avulla, vähentäisi hallinnon asiakkaan hallinnollista taakkaa ja parantaisi palvelukokemusta, kun asiakkaan ei tarvitsisi hankkia ja toimittaa viranomaiselle asiansa hoitamisessa tarvittavia todistuksia ja otteita. Ehdotuksella parannettaisiin välillisesti julkisen sektorin palveluiden tuottavuutta sekä säästettäisiin kansalaisten ja yritysten aikaa ja resursseja.

5 Esityksen valmistelu

5.1 Valmisteluvaiheet ja -aineistot

Hallituksen esitykseen sisältyvän tiedonhallintalain valmistelu on osa pääministeri Juha Sipilän hallitusohjelmaa ja 28.9.2015 annettua toimintasuunnitelmaa strategisen hallitusohjelman kärkihankkeiden ja reformien toimenpanemiseksi. Tiedonhallintalaki on yksi toimenpide Digitalisoidaan julkiset palvelut -kärkihankkeessa.

Tiedonhallintalain valmistelun taustalla on myös aiempaa valmistelua, jota on tehty arkistolain uudistamisen näkökulmasta. Opetus- ja kulttuuriministeriön 19.3.2013 asettaman arkistolakityöryhmän tehtävänä oli selvittää arkistolakiin ja -asetukseen liittyvät keskeiset uudistustarpeet ja tehdä esitys uudeksi lainsäädännöksi. Työryhmä laati määräaikansa 31.12.2014 puitteissa esityksen arkistolaitosta koskevan lainsäädännön uudistamiseksi (Arkistolakityöryhmän muistio, OKM 2015:3). Työryhmä katsoi muistiossaan, että lainsäädäntöä olisi uudistettava arkistolain päivitystä laajemmin kokoamalla yhteen yleislakiin kaikki keskeiset tiedonhallintaa ja tietojen käsittelyä julkishallinnossa koskevat säännökset ottaen huomioon informaation koko elinkaari. Ministeriö jatkoi arkistolakityöryhmän määräaikaa 30.4.2015 saakka työryhmän työn loppuun saattamiseksi (arkistolain jatkotyöryhmä). Arkistolain jatkotyöryhmä esittää säädettäväksi lain tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa. Voimassa oleva arkistolaki (831/1994) ja laki julkisen hallinnon tietohallinnon ohjauksesta (634/2011) sekä viranomaisten toiminnan julkisuudesta annettuun lakiin (621/1999) sisältyvät säännökset hyvästä tiedonhallintatavasta kumottaisiin ja niitä vastaava uudistettu sääntely otettaisiin tähän uuteen yleislakitasoiseen lakiin.

Valtiovarainministeriö asetti 17.11.2016 julkisen hallinnon tiedonhallinnan kehittämistä selvittävän työryhmän, jonka toimikausi oli 17.11.2016—31.5.2017. Työryhmä selvitti julkisen hallinnon tiedonhallinnan lainsäädännön kehittämistarpeita ja julkaisi kehittämislinjauksia koskevan raporttinsa (Valtiovarainministeriön julkaisuja 37/2017). Valmistelun aikana pidettiin työryhmän kokousten ohella useita työpajoja, joissa kehittämislinjauksista keskusteltiin sidosryhmien kanssa. Työryhmä näki kehittämislinjauksia käsittelevässä raportissaan tarpeellisena, että tiedonhallinnan sääntelyn kehittämiseksi ryhdyttäisiin valmistelemaan yleislakia julkisen hallinnon tiedonhallinnasta. Valtiovarainministeriö pyysi työryhmän raportista lausuntoja.

Valtiovarainministeriö asetti 9.1.2018 valmistelutiimin ja sen työtä tukevan ohjausryhmän, joiden tavoitteena on valmistella uusi tiedonhallintaa julkisessa hallinnossa sääntelevä yleislaki. Tehtävänä oli valmistella hallituksen esitys uudeksi julkisen hallinnon tiedonhallintalaiksi. Asettamispäätöksen mukaan tiedonhallintalain säännökset kattaisivat koko tiedon elinkaaren seuraavista asioista: tiedonhallinnan suunnitteluvelvollisuus, julkisen hallinnon tietoturvallisuusvaatimukset, asian- ja palvelunhallinnan rekisteröinnin perusteet, perustietovarantojen hyödyntämisen yleiset perusteet, viranomaisten tietojärjestelmien välillä tapahtuvan tiedonvaihdon tehostamiseksi tekniset ja toiminnalliset edellytykset rajapintojen avaamiseksi ja yhteentoimivuuden edistämiseksi, julkisen hallinnon tietoaineistojen hyödyntäminen tieteelliseen ja historialliseen tutkimukseen, tietoaineistojen säilyttäminen ja arkistointi sekä julkisen hallinnon tiedonhallinnan ohjauksen ja tuen perusteet. Vuonna 2018 tapahtuneen valmistelun aikana järjestettiin useita kommentointitilaisuuksia valmistelussa olevasta sääntelykokonaisuudesta.

5.2 Lausunnot ja niiden huomioon ottaminen

5.2.1 Lausuntopyyntö ja saadut lausunnot

Hallituksen esityksen luonnos oli lausuntokierroksella 20.8.2018—1.10.2018. Lausuntopyyntö ja saadut lausunnot ovat lausuntopalvelu.fi -sivustolla. Esitysluonnoksesta pyydettiin lausuntoja noin 700 organisaatiolta. Lausuntoja saatiin yhteensä 218. Lausunnon antoivat: Yhdenvertaisuusvaltuutetun toimisto, Konneveden kunta, Leppävirran kunta, Lapuan kaupunki, Sonkajärven kunta, Kankaanpään kaupunki, Nurmeksen kaupunki, Metropolia Ammattikorkeakoulu Oy, Kansallisarkisto, Kajaanin kaupunki, Kirkkohallitus, Pohjois-Pohjanmaan sairaanhoitopiiri, Rovaniemen kaupunki, Kyyjärven kunta, Pielaveden kunta, Kempeleen kunta, Valtion taloudellinen tutkimuskeskus, Joensuun kaupunki, Jyväskylän kaupunki, Ammattikorkeakoulujen rehtorineuvosto Arene ry, Suomen Historiallinen Seura, korkein hallinto-oikeus, liikenne- ja viestintäministeriö, Hansel Oy, Lapinlahden kunta, Eläketurvakeskus, Korkein oikeus, oikeusministeriön HAIPA -hanketoimisto, Turun yliopisto, Säteilyturvakeskus, Aalto yliopisto, Siuntio, Hämeenlinnan hallinto-oikeus, Karelia Ammattikorkeakoulu Oy, Museovirasto, Maanmittauslaitos, Hätäkeskuslaitos, Puolustushallinnon rakennuslaitos, ulkoministeriö, Suomen Kuntaliitto ry, Suomen taloushistoriallinen yhdistys – Ekonomiskhistoriska föreningen i Finland r.y., Karelia Ammattikorkeakoulu Oy, Valtion talous- ja henkilöstöhallinnon palvelukeskus, Geologian tutkimuskeskus, Hämeenkyrön kunta, Valtakunnansyyttäjänvirasto, Vantaan kaupunki, Yhteiskuntatieteellinen tietoarkisto, Tekniikan Akateemiset TEK ry, Espoon kaupunki, Suomen Erillisverkot Oy, Keski-Pohjanmaan liitto, Pohjois-Karjalan sosiaali- ja terveyspalvelujen kuntayhtymä, Kansalliskirjasto, Turvallisuus- ja kemikaalivirasto Tukes, Innofactor Oyj, Eduskunnan oikeusasiamiehen kanslia, Rikosseuraamuslaitos, Raision kaupunki, Itä-Suomen hovioikeus, Eduskunnan kanslia, Suomen yliopistojen rehtorineuvosto UNIFI ry, Vaalijalan kuntayhtymä, Kårkulla samkommun, Tampereen kaupunki, Etelä-Savon sosiaali- ja terveyspalvelujen kuntayhtymä, Senaatti-kiinteistöt, Eläkeläisliittojen etujärjestö EETU ry, KEHA-keskus, Turun hovioikeus, Valtakunnanvoudinvirasto, Oulun kaupunki, Tuusulan kunta, Tiedon- ja arkistonhallinnan ammattiyhdistys ry, Kokonaisarkkitehtuurin osaamisyhteisö KAOS, Maaseutuvirasto, Haaga-Helia ammattikorkeakoulu Oy, Kunnallisarkistoyhdistys ry, Kuopion kaupunki, Suomen Pankki, Tapaturmavakuutuskeskus, Tulli, Keva, Ähtärin kaupunki, Lääkealan turvallisuus- ja kehittämiskeskus Fimea, Lappeenrannan kaupunki, Oikeusrekisterikeskus, Valtiokonttori, Yrkeshögskolan Arcada, Finnvera Oyj, Maahanmuuttovirasto, Tampereen teknillinen yliopisto, Maatalousyrittäjien eläkelaitos, Kansallinen turvallisuusviranomainen NSA, Liperin kunta, Pohjois-Pohjanmaan liitto, Raseborgs stad, Mikkelin kaupunki, Suomalaisen Kirjallisuuden Seura, Vakuutusoikeus, Ylä-Savon koulutuskunta-yhtymä, Päijät-Hämeen Hyvinvointikuntayhtymä, Yksityiset keskusarkistot – De privata centralarkiven ry, Loviisan kaupunki, Lapin sairaanhoitopiiri ky, Eläkesäätiöyhdistys ESY ry, Työeläkevakuuttajat TELA ry, Suomen ortodoksinen kirkko, Salon kaupunki, Oriveden kaupunki, Palvelualojen työnantajat PALTA ry, Porin kaupunki, Suomen itsenäisyyden juhlarahasto SITRA, Finanssiala ry, Jyväskylän yliopisto, SOSTE Suomen sosiaali ja terveys ry, Opetushallitus, Kolarin kunta, Suojelupoliisi, Kangasalan kaupunki, Liikenteen turvallisuusvirasto Trafi, Työttömyyskassojen Yhteisjärjestö ry, Turun kaupunki, Oulun yliopisto, Svenska litteratursällskapet i Finland, Turun yliopisto, Oulaisten kaupunki, Suomen Sukututkimusseura, ympäristöministeriö, Suomen Akatemia, Terveyden ja hyvinvoinnin laitos THL, Suomen opiskelijakuntien liitto - SAMOK ry, Suomen metsäkeskus, CSC - Tieteen tietotekniikan keskus Oy, Kansaneläkelaitos, Oikeuskanslerinvirasto, Satakunnan maakuntauudistus, Suomen ympäristökeskus SYKE, Onnettomuustutkintakeskus, Työttömyysvakuutusrahasto, Ylä-Savon SOTE kuntayhtymä, sosiaali- ja terveysministeriö, Julkisten ja hyvinvointialojen työttömyyskassa, Kainuun liitto, Ilmatieteen laitos, Satakunnan sairaanhoitopiirin kuntayhtymä, Taideyliopisto, Kilpailu- ja kuluttajavirasto, Teknologiateollisuus ry, Helsingin kaupunki, Tieto Finland Oy, Pohjois-Karjalan maakuntaliitto, Väestörekisterikeskus, Pelastuslaitosten kumppanuusverkosto, Turun yliopiston humanistinen tiedekunta, Patentti- ja rekisterihallitus, Luonnonvarakeskus, Kuurojen Liitto ry, Hyvinkään kaupunki, Satakunnan ammattikorkeakoulu, Viestintävirasto, Valtiontalouden tarkastusvirasto, Liikennevakuutuskeskus, Tampereen yliopisto, Tietosuojavaltuutetun toimisto, Elintarviketurvallisuusvirasto Evira, Finavia Oyj, Varkauden kaupunki, Etelä-Pohjanmaan sairaanhoitopiiri, Innovaatiorahoituskeskus Business Finland, Metsähallitus, Elinkeinoelämän keskusliitto EK, Itä-Suomen yliopisto, Vaasan hovioikeus, Etelä-Suomen aluehallintovirasto, Suomen Sukuhistoriallinen yhdistys ry, Ammattiosaamisen kehittämisyhdistys AMKE ry, työ- ja elinkeinoministeriö, Varsinais-Suomen sairaanhoitopiirin kuntayhtymä, Åbo Akademi, Lieksan kaupunki, Valvira, Kansallisgalleria, Laurea-ammattikorkeakoulu Oy, Arkistoyhdistys - Arkivföreningen ry, Kontiolahden kunta, Pirkanmaan sairaanhoitopiiri, oikeusministeriö, Koulutuskeskus Salpaus, Tilastokeskus, Suomen avoimien tietojärjestelmien keskus ry, IAET -kassa, Suomen ylioppilaskuntien liitto SYL ry, Helsingin yliopisto, Elisa Oyj, Helsingin hallinto-oikeus, maa- ja metsätalousministeriö, Valtion tieto- ja viestintätekniikkakeskus Valtori, ProUnioni ry, Poliisihallitus, Palkansaajien tutkimuslaitos, Liikennevirasto, valtioneuvoston kanslia, puolustusministeriö, opetus- ja kulttuuriministeriö, Verohallinto, Raahen kaupunki, Statens ämbetsverk på Åland, Ålands landskapsregering, sisäministeriö, Nousiaisten kunta ja valtiovarainministeriö. Lisäksi lausunnon antoi muutama yksityishenkilö.

5.2.2 Lausuntojen keskeisin sisältö

Lähtökohtaisesti lausunnonantajat kannattivat laajasti tiedonhallinnan sääntelyä yhteen kokoavaa ja selkeyttävää yleislakia. Lausunnoista kävi ilmi, että nykyisen tiedonhallinnan sääntelykokonaisuuden hahmottaminen on ollut vaikeaa sääntelyä soveltaville tahoille, mikä osaltaan vaikutti siihen, että myös luonnoksella olleen esitysluonnoksen sisällön ymmärtäminen oli osittain haasteellista. Edelleen lausujien mukaan oli osittain haastavaa tunnistaa, miten ehdotettu sääntely muuttaa nykytilaa, kun ei välttämättä ole ymmärretty nykyisiäkään tiedonhallinnan velvoitteita. Lausuntojen perusteella esitystä on selkeytetty ja tarkennettu siten, että kokonaisuus olisi entistä ymmärrettävämpi. Lisäksi esityksen sisältöä on supistettu niiltä osin, kuin katsottiin esityksen tavoitteiden tehokkaan toimeenpanon kannalta tarkoituksenmukaiseksi. Suurimpana muutoksena esityksestä on poistettu arkistointia koskevat säännösehdotukset. Lausuntojen perusteella arkistointia koskevan sääntelyn uudistaminen tässä yhteydessä ei ole tarkoituksenmukaista, koska eri toimijoiden arkistojen hallinnan toiminnallisiin kysymyksiin ja muun muassa tietojärjestelmäratkaisuihin liittyy vielä keskeneräisiä asioita. Ehdotuksen rajaaminen verrattuna lausunnoilla olleeseen luonnokseen tällä tavoin mahdollistaa julkisen hallinnon organisaatioiden tiedonhallinnan tehostamiseen liittyvien tavoitteiden edistämisen ehdotettavan sääntelyn avulla. Seuraavassa kuvataan lausuntojen keskeisimmät kommentit ja näkökulmat sekä se, kuinka lausunnot on otettu huomioon esityksen jatkovalmistelussa.

5.2.3 Lausuntojen huomioon ottaminen ja muu jatkovalmistelu

Tavoitteet

Lähtökohtaisesti kaikki lausunnonantajat pitivät lain tavoitteita hyvinä ja kannatettavina. Erityisesti hyvänä asiana nostettiin esille tavoite koota hajallaan olevat tiedonhallinnan säännökset yhteen selkeään yleislakiin ja samalla edistää viranomaisten tiedonhallinnan tapojen yhtenäistämistä ja tietojen hallinnan elinkaarta. Edelleen kommenteissa nostettiin esille, että lain tavoitteita edistää julkisuusperiaatteen ja kansalaisten oikeusturvan toteutumista pidetään ehdottoman kannatettavina. Osa lausunnon antajista nosti esille, ehdotetun lain voidaan katsoa olevan siirtymä asiakirjoja koskevasta spesifistä sääntelystä kohti tiedon muodosta riippumatonta sääntelyä, mitä pidettiin erinomaisena asiana. Toisaalta huomautettiin, että tehokkaan tietojen luovuttamisen tietopoliittisen tavoitteen edistämiseksi tiedonhallintalain yleislakina tulisi pitää sisällään nimenomaisia säännöksiä tietojen luovuttamisesta ja käytöstä.

Lain tavoitteiden osalta lausunnoissa nostettiin toisaalta esille huoli siitä, että esityksessä ei ole arvoitu riittävästi esityksen vaikutuksia eri toimijoiden kannalta. Esitysluonnoksessa olevat tiedonhallinnan vaatimukset nähtiin merkittävinä ja osittain myös täysin uusina, mikä tarkoittaa, että niiden toimeenpano vaatii merkittävää panostusta ja taloudellisia resursseja. Asiaa kommentoineet esittivätkin, että jatkovalmistelussa tulisi huolellisesti arvioida esityksen vaikutuksia siltä osin, kuin esityksen vaatimukset muuttuvat merkittävästi verrattuna voimassaoleviin viranomaisen tiedonhallinnan vaatimuksiin.

Saatujen lausuntojen perusteella vaikutustenarviointia on tarkennettu siten, että ehdotetun lain vaikutukset näkyisivät entistä selvemmin ja tukisivat myös lain toimeenpanovaihetta. Toisaalta taloudellisista vaikutuksista saatujen lausuntojen perusteella on muodostettavissa näkemys siitä, etteivät kaikki viranomaiset ole tietoisia voimassa olevan, tiedonhallinnan sääntelyyn liittyvistä velvoitteista, jolloin myös käsillä olevan lakiehdotuksen säännökset ja niihin sisältyneet velvoitteet ovat voineet vaikuttaa täysin uusilta, vaikka kyseessä olisikin ainoastaan tarkennus voimassa olevaan sääntelyyn nähden.

Soveltamisala

Soveltamisalan osalta lausunnoissa nostettiin esille, että tiedonhallinnan yleislakia ollaan ulottamassa myös sellaisiin organisaatioihin, joihin ei sovelleta voimassaolevaa lainsäädäntöä kaikilta osin. Lakisääteistä vakuutustoimintaa harjoittavien tahojen edustajat toivat esille, että ehdotetun lain säännökset aiheuttaisivat tarpeettoman yksityiskohtaista ja raskasta sääntelyä ottaen huomioon se, että tähän saakka niiden toimintaan ei ole sovellettu muun muassa tietohallintolakia ja julkisuusasetusta. Yliopistot toivat esille yliopistojen itsehallinnon merkityksen arvioitaessa, missä määrin ehdotetun lain vaatimuksia voidaan ulottaa yliopistoihin. Itsenäiset julkisoikeudelliset laitokset toivat esille, että tietohallintolakia ei sovelleta niiden toimintaan, joten ehdotettu esitys muuttaisi merkittävästi niiden nykykäytäntöjä. Tuomioistuimet toivat lausunnoissaan esille, että tiedonhallintalain soveltamisen ulottaminen lainkäyttöön sisältää monia periaatteellisia ja käytännöllisiä ongelmia. Ahvenanmaa toi lausunnossaan esille, että ehdotetun lain soveltamisalaa tulisi rajata Ahvenanmaan itsehallinnon johdosta samoin kuin tietohallintolaissa on rajoitettu. Kirkkohallitus kiinnitti lausunnossaan huomiota siihen, että Suomen evankelis-luterilaisen kirkon soveltamisalan määrittely tulisi tehdä selkeästi siten, että se jättää kirkolle sille kuuluvan harkintavallan tiedonhallintaan kuuluvan sääntelyn osalta. Lisäksi koulutussektorin edustajat toivat esille, että soveltamisalan määrittelyssä tulisi huomioida se, kuinka esityksen soveltamisala määritellään sellaisten yksityisten opetustoimintaa järjestävien tahojen osalta, jotka hoitavat myös viranomaiselle säädettyjä tehtäviä. Tältä osin lausunnonantajien mukaan tulisi välttää sitä, että opetustoiminnan järjestämisen osalta eri toimijat olisivat eriarvoisessa asemassa.

Saatujen lausuntojen perusteella soveltamisalaan on tehty rajauksia, joilla varmistetaan toisaalta se, että edistettäisiin tehokkaasti tiedonhallinnan lain tavoitteiden toteutumista, mutta toisaalta huomioitaisiin edellä esitettyjen organisaatioiden erityisasemat ja velvoitteet suhteessa viranomaisen tiedonhallinnan velvoitteisiin ja ohjaukseen. Lisäksi on huomioitu, että julkisuuslaki velvoittaa jo nyt näitä organisaatioita eikä lausunnoista ilmennyt mitään asiallisia perusteluita siihen, että julkisuuslain 18 §:stä johtuvia velvollisuuksia kavennettaisiin. Hallituksen esityksen tarkoituksena on julkisuusperiaatteen toteuttamisen varmistaminen tiedonhallinnassa, joten tiedonhallinnan järjestämistä ja toteuttamista koskevat perusteet sisältyvät laajasti sovellettuina hallituksen esitykseen. Soveltamisalaa rajattaisiin siten, että ohjausta ja arviointia koskevia säännöksiä ei sovellettaisi lainkäyttöön, eduskunnan oikeusasiamiehen ja valtioneuvoston oikeuskanslerin toimintaan, eduskunnan virastoihin, Kansaneläkelaitokseen, Suomen Pankkiin, muihin itsenäisiin julkisoikeudellisiin laitoksiin ja yliopistolaissa tarkoitettuihin yliopistoihin. Lainkäytön osalta soveltamisalaan ehdotetaan tehtävän myös muita perusteltuja soveltamisalan rajauksia siten, että lainkäyttötehtävien erityispiirteet tulevat huomioiduksi. Toisaalta julkisuuslain hyvää tiedonhallintapaa koskevaa 18 §:ää on sovellettu tuomioistuinten toimintaan, joten hyvää tiedonhallintatapaa vastaava ja osaltaan tarkentava sääntely tulisi sovellettavaksi myös lainkäyttöasioissa. Lisäksi lainkäyttöasioissa tulee toteuttaa tietoturvallisuuden perustason vaatimukset. Suomen evankelis-luterilaisen kirkon soveltamisalaa ehdotetaan täsmennettäväksi siten, että todetaan selkeästi, että tiedonhallinnasta säädetään kirkkolaissa.

Yksityisten osalta soveltamisalaan on tehty selventäviä tarkennuksia niiltä osin, kun ne toimivat viranomaisen toimeksiannosta tai viranomaisen lukuun. Esityksessä ehdotetaan, että näissä tilanteissa yksityisiin sovellettaisiin tietoturvallisuutta koskevia säännöksiä sekä säännöksiä koskien tietojen luovuttamista teknisen rajapinnan avulla ja asiarekisterin rekisteröintivaatimuksesta. Lisäksi niissä tilanteissa kun, yksityiseen sovelletaan viranomaisten toiminnan julkisuudesta annettua lakia, sovellettaisiin yksityiseen edellä mainittujen säännösten lisäksi 4 §:ää koskien tiedonhallinnan järjestämistä sekä 27 §:ää koskien kuvausta asiakirjajulkisuuden toteuttamiseksi. Kyseiset velvoitteet koskettavat myös nykyisin yksityisiä julkisuuslain perusteella. Kaiken kaikkiaan jatkovalmistelussa on yksityisten osalta tarkennettu olemassa olevien velvoitteiden sisältöä, eikä sinällään ole luotu uusia velvoitteita.

Tiedonhallinnan järjestäminen

Lausuntojen perusteella osa lausunnonantajista kannatti tiedonhallintayksikköä, kun taas osa ei puolestaan ymmärtänyt tiedonhallintayksiköllä tavoiteltavaa lisäarvoa. Lisäksi tiedonhallintayksikön määrittelyä kommentointiin runsaasti. Eduskunnan oikeusasiamiehen kanslian lausunnossa tuotiin esille, että tiedonhallintayksikön käsitettä tulisi pyrkiä määrittelemään tarkemmin, sillä muuten epätarkka määrittely voisi johtaa hyvin erilaisiin käytäntöihin esimerkiksi kunnallishallinnossa. Oikeusministeriö näki tarkoituksenmukaisemmaksi, että jätettäisiin ministeriöiden päätettäväksi, millaisia tiedonhallintayksiköitä sen omalla hallinnonalalla on.

Yhtäältä osa lausujista toi esille, että tiedonhallintamalli on sisältönsä puolesta tarpeellinen niin toiminnan kuin sen kehittämisen näkökulmasta. Myös useampi kuntien edustaja näki tiedonhallintamallin kannatettavana lähestymistapana, jonka kautta kunnan on mahdollista tarkastella toimintaansa kattavasti. Toisaalta usea lausui siitä, että tiedonhallintamallin ja muiden ehdotuksen kuvausten osalta sisältö ei ole täysin selvää. Useat kuntien edustajat, Kuntaliitto mukaan lukien, huomauttivat, että tiedonhallintamallin suhde muun muassa tiedonohjaussuunnitelmaan, tietojärjestelmäselosteeseen ja kokonaisarkkitehtuuriin jää epäselväksi. Lisäksi tiedonhallintamallin osalta lausunnoissa tuotiin esille, että vaikka sinänsä tiedonhallintamallin tarkoitus ja tavoite ymmärrettiin, koettiin se hyvin raskaaksi toteuttaa ja ylläpitää. Osa lausunnonantajista toi esille, että luonnoksen mukaiset kuvaus- ja suunnitteluvelvollisuudet käsittävät laajemman kokonaisuuden verrattuna voimassa olevaan julkisuuslain 18 §:n mukaisiin hyvän tiedonhallintatavan toteuttamista koskevat velvoitteisiin.

Muutossuunnitelmaa koskevat lausunnot olivat kahtalaisia. Yhtäältä osa asiaa kommentoineista oli sitä mieltä, että muutossuunnitelma on tarpeellinen keino arvioida ja kiinnittää etukäteen huomiota muutosten vaikutuksiin. Toisaalta osa lausujista näki, että muutossuunnitelmien ylläpitäminen on raskasta toimintaympäristössä, joka on jatkuvassa muutoksessa. Lausunnoissa tuotiinkin esille, että muutossuunnitelmat tulisi kohdistaa vain tilanteisiin, joissa tapahtuu laajavaikutteisia ja merkittäviä muutoksia.

Muun muassa saatujen lausuntojen johdosta tiedonhallintamallin perusteluja on tarkennettu ja selvennetty siten, että tiedonhallintamalli olisi ymmärrettävä kokonaisuus, jolla edistetään tiedonhallinnan suunnittelun ja kuvauksen tapahtumista yhtenä ymmärrettävänä kokonaisuutena sekä siten, että se tukee tiedonhallintayksikön toimintaa. Kuvausten sisällön selkeyttämiseksi poistetaan tiedonhallinnan muutossuunnitelman ja tiedonhallintakartan käsitteet. Tiedonhallinnan muutossuunnitelmaa vastaavat asiat liitetään osaksi tiedonhallintamallin kokonaisuutta ehdotuksen 5 §:ään. Muutosvaikutusten arviointia koskeva velvoite ei ole kuitenkaan uusi, sillä julkisuuslain 18 §:n hyvään tiedonhallintotapaan on jo sisältynyt velvoite arvioida muutosten vaikutuksia. Tiedonhallintayksikön osalta määrittelyä tarkennettiin ja valtionhallinnon osalta tiedonhallintoyksikköjen muodostumisesta ehdotetaan säädettäväksi valtioneuvoston asetuksella. Lausunnonantajien perusteluissa ilmeni, että julkisuuslaissa olevia epätarkkoja hyvään tiedonhallintaan liittyviä säännöksiä ei ole mielletty velvoittaviksi tai niiden sisältöä ei tunnettu. Tiedonhallintamalli palvelee useita tarkoituksia, joita varten se on laadittava. Ehdotukseen lisättiin pykälätasolle selvyyden vuoksi luettelo niistä tarkoituksista, joita varten tiedonhallintamalli pitää laatia ja ylläpitää. Tiedonhallintamallin sisältöä vastaa eri laeissa olevia kuvausvelvoitteita, joita eri yhteyksissä on säädetty. Siten velvollisuus ei ole kaikilta osin uusi millekään laissa säädetylle organisaatiolle. Tiedonhallintamalliin ei ole tarkoituksenmukaista sisällyttää laissa säädettynä vaatimuksena tietojärjestelmien vaatimusmäärittelytasoisia kuvauksia, kuten tiedonohjaussuunnitelmaa, vaan niiden sisällyttäminen ja yhteensovittaminen tiedonhallintamalliin tapahtuisi tiedonhallintayksikköjen harkinnan pohjalta.

Julkisen hallinnon tiedonhallinnan yleinen ohjaus

Useimmat yleisestä ohjauksesta lausuneet lausujat olivat sitä mieltä, että valtiovarainministeriölle ehdotettu tietovarantojen yhteentoimivuuden ohjaus on tärkeä ja perusteltu tehtävä tietojen hyödyntämisen edistämiseksi. Toisaalta yhteentoimivuuteen liittyen esille nostettiin kysymys siitä, pystytäänkö ehdotetulla tehtävänjaolla edistämään myös tietojen ja tietovarantojen semanttista yhteentoimivuutta. Edelleen kaikille lausujille ei ollut ehdotuksen perusteella täysin selvää, miten ohjaus jakautuu valtiovarainministeriön ja muiden ministeriöiden välillä sekä mitä tarkoitetaan julkisen hallinnon yleisellä tiedonhallintakartalla.

Tiedonhallintalautakunnalle suunniteltu rooli arkistointiin liittyvässä päätöksenteossa oli monen lausujan mielestä epäsuhteinen verrattuna tiedonhallintalautakunnan resursointiin. Erityisesti lausunnoissa kiinnitettiin huomiota siihen, kykeneekö lautakunta annetuilla resursseilla toteuttamaan aineiston seulontaa ja säilyttämistä tehokkaasti ja kulttuuriperintöä turvaavalla tavalla. Lisäksi esille nostettiin tiedonhallintalautakunnan tarkoituksenmukainen kokoonpano, ja onko kokoonpanon sisältöä tarpeen määritellä laissa. Osa valtionhallinnon ja kuntien edustajista nosti lisäksi esille, että tiedonhallintalautakunnan suhdetta JUHTAan ja VAHTIin tulisi kuvata perusteluissa selkeämmin.

Muutosten arviointia koskevan valtionhallinnon lausuntomenettelyn osalta kommentointiin lähinnä nykyiseen lausuntomenettelyn kokemuksiin pohjautuen, että hyödynnettäessä lausuntomenettelyä, sen lisäarvo tulisi olla selkeästi nähtävissä.

Saatujen lausuntojen perusteella jatkovalmistelussa on tarkennettu ja samalla rajattu tiedonhallintalautakunnan tehtäviä arkistoinnin osalta siten, että arkistointiin liittyvät tehtävät jätetään lain ulkopuolelle. Arkistointia koskeva sääntely sisältyy keskeisiltä osin yleiseen tietosuoja-asetukseen, kansalliseen tietosuojalakiin sekä arkistolakiin. Lisäksi tiedonhallinnanlautakunnan kokoonpano määriteltäisiin yleisemmällä tasolla laissa ja tarkemman kokoonpanon määrittelyn jätettäisiin asetukseen. Lisäksi valtiovarainministeriön ja ministeriöiden välistä tehtävänjakoa ja tehtävien sisältöä ohjauksessa on selkeytetty. Edelleen valtionhallintoa koskien muutosten arvioinnin lausuntomenettelyä kevennetään siten, että euromääräinen alaraja lausuntomenettelyyn vietäville arvioinneille poistettaisiin ja viitattaisiin lausunnon tarpeeseen tilanteissa, joissa muutoksella arvioidaan olevan merkittäviä taloudellisia tai toiminnallisia vaikutuksia taikka muutos koskee julkisen hallinnon yhteisten tietovarantojen rajapintojen tietorakenteiden olennaisia muutoksia. Näistä säädettäisiin valtioneuvoston asetuksella, kuten nykytilassakin. Valtiovarainministeriön ohjaustoimivaltaa koskevat säännökset perustuvat eduskunnan esittämiin sääntelytarpeisiin. Lausuntomenettelyä uudistetaan sisällön osalta uuden sääntelyn tullessa voimaan valtiovarainministeriön lausuntojen vaikuttavuuden lisäämiseksi ja ohjauksen selkeyttämiseksi.

Tietoturvallisuus

Tietoturvallisuudesta lausuneet pitivät yleisesti hyvänä riskilähtöistä lähestymistapaa tietoturvallisuuteen. Osa lausujista nosti esille, että tällä hetkellä valtionhallinnossa ei ole yhtenäistä viitekehystä toteuttaa riskienhallintaa, mistä johtuen tulisi arvioida, miten toimeenpanossa kiinnitettäisiin tähän huomiota. Tietoturvallisuuden osalta erityisesti valtionhallinnon edustajat korostivat lausunnoissaan, että esitysluonnoksen tietoturvallisuutta koskevat säännökset jäävät yleisemmälle tasolle kuin kumottavaksi ehdotettavassa valtioneuvoston asetuksessa tietoturvallisuudesta valtionhallinnossa (681/2010). Kansallinen turvallisuusviranomainen NSA painotti, että jatkovalmistelussa tulisi tarkistaa, että kaikki tarpeelliset, nykyisin olemassa olevat tietoturvallisuusvaatimukset sisältyvät esitykseen. Valtionhallinnon edustajien lisäksi kunnallishallinnon edustajat katsoivat, että tietoturvallisuuden minimitason tarkempi määrittely olisi tarpeellista. Toisaalta tuotiin esille, että teknisen kehityksen vauhti huomioon ottaen on perusteltu olla määrittelemättä tietoturvallisuuden tarkempaa tasoa laissa.

Vakuutusalan edustajat toivat lausunnoissaan yleisesti esille, että vakuutusliiketoiminnassa tietoturvallisuuden huomioon ottaminen on hyvin vakiintunutta, minkä lisäksi tietosuoja-asetus, tietosuojalaki sekä sektorikohtainen erityissääntely takaavat riittävän tietoturvallisuuden tason. Tästä johtuen esitysluonnoksen mukainen yksityiskohtainen sääntely ei ole tarpeen.

Osa tietoturvallisuudesta lausuneista nosti lausunnoissaan esille tietojärjestelmien ja tietovarantojen suunnitteluvelvoitteen julkisuusperiaatteen toteuttamiseksi. Vaikka sinänsä hyvän tiedonhallintatavan edistäminen on kannatettava tavoite, lausujien mukaan tietosisältöjen erottaminen toisistaan voi olla haastavaa käytännössä, kun kaikki olemassa olevat tietojärjestelmät eivät tue rakenteisen tiedon käsittelyä.

Useassa lausunnossa kommentoitiin tietojen siirtämisen tietoturvallisuusvaatimuksia ja sitä, että tietojen siirtämiselle tietoverkossa asetettu salausvaatimus koskien myös henkilötietoja olisi merkittävä tiukennus nykyiseen oikeustilaan ja asettaisi kansallisessa lainsäädännössä tiukempia vaatimuksia kuin henkilötietoja koskeva EU-sääntely (yleinen tietosuoja-asetus).

Myös lokitietojen keräämisen osalta lausunnoissa tuotiin kauttaaltaan esille, että ehdotettu vaatimus lokitietojen keräämisestä, jos tietojärjestelmässä käsitellään henkilötietoja tai salassa pidettäviä tietoja, on kohtuuttoman raskas ja kallis vaatimus toteuttaa nykyisiin tietojärjestelmiin. Kunnan edustajista useat totesivat, että kunnan toiminnoista ja palveluista valtaosassa syntyy jonkinasteista henkilötietoa, vähintään ip-osoitteen muodossa. Lausujien mukaan vaatimusta tulisi tarkentaa enemmän riskiperusteisempaan suuntaan ja vaatimuksen voimaantulo tulisi huomioida myös määriteltävässä siirtymäajassa.

Turvallisuusluokittelun osalta osa kunnallishallinnon edustajista toi esille, että turvallisuusluokittelua koskeva sääntely ei ole aikaisemmin koskettanut kuntia, joten luokittelun laajentaminen kuntia koskevaksi toisi kunnille lisää kustannuksia. Suojeluspoliisi puolestaan nosti esille, että lakiluonnoksen 22 §:n 2 momentin säännös salassapitomerkinnän poistamisen tai muuttamisen mahdollisuudesta tulisi poistaa, sillä erityisesti arkaluonteisten asiakirjojen osalta on ehdottoman välttämätöntä, että asiakirjan laatija voi luottaa siihen, että asiakirjaa käsitellään tiettyjen tietoturvamääräysten mukaisesti, eikä sen jakelua laajenneta tarpeettomasti. Puolustusministeriö piti hyvänä ehdotusta suojaustasoista luopumisesta turvallisuusluokiteltujen asiakirjojen luokittelun yhteydessä ja näki sen selkeyttävän ja yksinkertaistavan sääntelyä.

Muun muassa lausunnoista johtuen tietojärjestelmien vikasietoisuuden testaamisen vaatimuksia on jatkovalmistelussa kevennetty siten, että se koskee vain olennaisia tietojärjestelmiä. Tietojärjestelmien suunnitteluvelvoitteen osalta esitystä on tarkennettu siten, että vaatimuksena on asiakirjojen julkisuuden vaivaton toteuttaminen, ottamatta kuitenkaan kantaa toteutustapaan. Säännös vastaisi julkisuuslain 18 §:n 1 momentin 4 kohdassa säädettyä eikä olisi siten uusi velvoite, vaan täsmennys. Lokitietojen keräämisen osalta ehdotettu vaatimus on lausunnoilla olleeseen esitysluonnokseen verrattuna suppeampi siten, että lokitietoja tulisi kerätä niissä tilanteissa, joissa tietojärjestelmän käyttö edellyttää kirjautumista tai muuta tunnistautumista. Siten lokitietoja ei tarvitsisi kerätä järjestelmistä, joiden käyttöä ei ole erikseen rajoitettu. Turvallisuusluokittelun osalta esitystä on kevennetty siten, että turvallisuusluokittelua koskevan sääntelyn soveltamisala rajataan valtionhallintoon. Edelleen turvallisuusluokittelun osalta ehdotetaan, että turvallisuusluokittelusta ja menettelystä säädetään tarkemmin asetustasolla eikä lain tasolla.

Asian ja palvelujen tiedonhallinta

Asian ja palvelujen tiedonhallinnasta lausuneet kiinnittivät lausunnoissaan erityisesti huomiota ehdotetuilla vaatimuksilla saatavaan lisäarvoon suhteessa muutoksista aiheutuviin kustannuksiin. Kaikki vakuutusalan edustajat painottivat, että vakuutustoimialalla on jo nykyisin toimivat käytänteet asioiden yksilöimiseen ja käsittelyyn, eikä tästä johtuen yksityiskohtaisesti määritellyille asiakohtaisille asiatunnuksille ja niiden muodostamalle asiarekisterille ole tarvetta. Sääntelyn ulottaminen vakuutustoimialalle aiheuttaisi huomattavia kustannuksia, mutta ei lisäarvoa asiakkaille.

Osasta lausuntoja kävi myös ilmi, että ehdotettujen säännösten muotoilut ja perustelut olivat sillä tavoin epäselviä, että lausujat eivät olleet ymmärtäneet ehdotettua asian ja palvelujen tiedonhallinnan sääntelyn sisältöä ja sitä, miltä osin se vastaa voimassa olevaa sääntelyä. Erityisesti hämmennystä herättivät asiarekisteriin rekisteröitävien tietojen vaatimus sekä tietoaineistojen hallinta palveluja tuotettaessa. Moni kunnallishallinnon edustaja tulkitsi, että ehdotettu velvoite tietoaineistojen hallinnasta tarkoittaisi sitä, että kaikkiin operatiivisiin järjestelmiin tulisi ulottaa asiankäsittelyprosessi, mikä aiheuttaisi merkittäviä tietojärjestelmäkustannuksia. Useat lausujat huomauttivat, että on epäselvää, mikä ero tiedonhallintakartan ja asiarekisterin kuvauksen välillä on, sillä niissä vaaditut tiedot vaikuttivat päällekkäisiltä.

Y-tunnuksen vaatimus yhdeksi asian yksilöintitiedoksi herätti paljon kommentteja. Monen lausujan mukaan esitysluonnoksesta ei käynyt ilmi, miksi Y-tunnus tarvitaan uutena organisaation yksilöintitunnuksena, kun esimerkiksi kunnilla on käytössä vakiintuneet tavat yksilöidä kunnat. Osa lausunnonantajista nosti esille, että yhteentoimivuuden edistämisessä yhteinen tehtäväluokittelu olisi tärkeää. Metatietojen vähimmäisvaatimusten osalta asiakirjan yksilöinnissä olisi hyödyllistä olla myös asiakirjan nimi, aihe tai muu asiakirjan luonnetta kuvaava tieto, joka helpottaisi asiakirjan yksilöintiä esimerkiksi tietopyynnöissä.

Jatkovalmistelussa on huomioitu lausunnoissa esitetty siten, että asian ja palvelujen tiedonhallintaa koskevia säännöksiä on selvennetty ja perusteluja tarkennettu, jotta sääntely ja ehdotetut vaatimukset olisivat selkeitä. Asianhallinnan ja palvelujen tiedonhallinnan säännösten soveltamisalaa on rajattu niin, että jos yksityiseen sovelletaan julkisuuslakia, tulisi sen sovellettavaksi säännös, jolla velvoitetaan yksityinen ylläpitämään asiarekisteriä. Lisäksi yksityisen tulisi laatia kuvaus asiarekisteristä ja tietovarainnoista. Yksityiseen ei tämän soveltamisalan osalta kuitenkaan sovellettaisi tarkempia säännöksiä asiarekisteriin rekisteröitävistä tiedoista ja tietoaineistojen hallinnasta palveluja tuotettaessa. Ehdotettava sääntely vastaisi pääosin nykytilaa yksityisten yhteisöjen osalta silloin, kun niiden toimitaan sovelletaan julkisuuslakia.

Palvelujen tiedonhallintaa koskevia säännöksiä on tarkennettu siten, että palvelujen tuottamisessa muodostuvien asiakirjojen ja muiden tietojen rekisteröimisessä ei tarvitse käyttää asian rekisteröimisessä käytettäviä yksilöintitietoja, vaan harkintavalta yksilöimisen tavasta jätetään viranomaiselle. Kuvausvelvoitteiden osalta tiedonhallintakartta ehdotetaan poistettavaksi ja asiarekisterin kuvausta ehdotetaan täsmennettäväksi kuvaukseksi asiarekisteristä ja tietovarannoista. Tällä tavoin kuvausvelvoitteet ovat selkeämmät, minkä lisäksi julkisuusperiaatteen toteuttamiseksi ylläpidettävän kuvauksen voidaan katsoa oikeudellisen ja muun arvion perusteella olevan tarkoituksenmukainen kuvaustapa.

Tietoaineistojen muodostaminen ja sähköinen luovutustapa

Yleisesti lausunnonantajat pitivät pyrkimystä ensisijaisesti sähköisesti säilytettäviin tietoaineistoihin kannatettavana. Toisaalta usea lausunnonantaja nosti esille, että tulisi arvioida kustannushyötyperusteisesti, onko kannattavaa muuttaa esimerkiksi lyhyen määräajan säilytettävät paperiset asiakirjat sähköiseen muotoon. Edelleen usean lausunnonantajan mukaan lakiehdotuksesta ei käy ilmi, koskeeko tietoaineistojen digitointivaatimus nykyisin viranomaisen hallussa olevia paperisia asiakirjoja. Niin ikään osassa lausuntoja huomautettiin, että turvallisuusluokitellun aineiston käsittelyvaatimukset tulisi huomioida vaatimuksessa koskien asiakirjojen sähköistä muotoa.

Lakiluonnoksen vaatimuksia tietoaineistojen keräämiselle viranomaisten tehtäviä varten pidettiin perusteltuina hallinnon asiakkaan yhden luukun palvelumallin edistämisen näkökulmasta.

Työeläke- ja vakuutusalan edustajien mukaan ei ole perusteita ulottaa kustannuksia tuovia tietojen luovuttamista koskevia säännöksiä koskemaan ko. toimialaa, kun tietoluovutukset on jo valmiiksi toteutettu tiedonhallintalain tavoitteiden mukaisesti. Esimerkiksi Finanssiala ry toi lausunnossaan esille, että sääntelyn toteuttaminen luonnoksessa ehdotetulla tavalla merkitsisi mittavia järjestelmämuutoksia kaikissa vakuutusyhtiöissä.

Osa lausunnonantajista piti erinomaisena selkeytyksenä sitä, että julkisuuslain epäselvästä teknisen käyttöyhteyden käsitteestä luovutaan ja tilalle tulee teknistä rajapintaa koskeva sääntely. Lisäksi osa lausunnonantajista piti ehdotusta tietojen luovuttamisesta teknisten rajapintojen avulla kannatettavana ja näki sen edistävän viranomaistiedon liikkuvuutta ja käytettävyyttä. Toisaalta esille nostettiin, että vaatimus tulee edellyttämään muutoksia tietojärjestelmiin ja sitä kautta kustannuksia. Tietojen luovutuksesta vaadittavien kontrollien osalta tulisi ilmaista selkeästi se, tuleeko kontrollia tehdä ennen tietojen luovuttamista vai jälkikäteisenä kontrollina. Asiasta lausuneet huomauttivat, että kontrollin ajankohdan vaatimuksen kohdistumisesta riippuu, millaisia järjestelmäkustannuksia siitä syntyisi viranomaisille. Kunnallishallinnon edustajat ilmaisivat huolensa siitä, että teknisten rajapintojen vaatimusten toteuttaminen edellyttää riittävää resursointia. Lisäksi vaatimuksen voimaantulo tulisi huomioida siirtymäajoissa. Lisäksi lausunnoissa nostettiin esille, että tietojen luovutuksen edellytykset ovat muodostettu arkaluonteisen tietojen käsittelynäkökohdista, mikä aiheuttaa suurimmalle osalle soveltajista ylimitoitettuja teknisiä ratkaisuja ja merkittäviä kustannuksia saatavaa lisäarvoon ja tiedonhallinnan riskeihin nähden. Useat lausunnonantajat nostivat esille, että rajapintojen osalta ei olisi tarkoituksenmukaista säätää teknisistä toteuttamistavoista, jotka vanhenevat nopeasti. Tästä syystä rajapinnan viestipohjaisen muodon käyttämistä tulisi välttää. Tietosuojavaltuutetun toimiston lausunnossa painotettiin, että luovutustapojen toteuttamisen yhteydessä tulee varmistaa, että luovutuksen laillisuus on etukäteen tai jälkikäteen selvitettävissä.

Jatkovalmistelun ja lausuntojen perusteella tietoaineistojen sähköisen muodon vaatimusta on ehdotuksessa täsmennetty siten, että se koskettaa pysyvästi säilytettäviä tai arkistoitavia asiakirjoja. Lisäksi mahdollistettaisiin tietoturvallisuusvaatimusten tai asiakirjan luonteeseen liittyvän välttämättömän syyn vuoksi poikkeaminen sähköisen muodon ja käsittelyn vaatimuksista. Viranomaisen tehtäviä varten tapahtuvaan tietoaineistojen keräämistä koskevaan säännökseen on tehty tarkennus siten, että todistuksia ja otteita kerätään vain, jos se on välttämätöntä. Säännös koskisi tilanteita, joissa tiedot on saatavissa vastaavalla tavalla teknisen rajapinnan tai katseluyhteyden avulla. Siten, jos tällaista tiedonsaantitapaa ei olisi toteutettu viranomaisten välille, voisi viranomainen pyytää edelleen näitä todistuksia ja otteita sekä muita vastaavia tietoja hallinnon asiakkaalta asian selvittämiseksi. Pääasiallisesti tulisi pyrkiä viranomaisten välisen tiedonvaihdon edistämiseen ja asiakaslähtöiseen toimintaan.

Teknisen rajapinnan sääntelyä on jatkovalmistelussa muutettu siten, että säännöksissä ei oteta kantaa rajapintojen tekniseen toteutustapaan, millä mahdollistetaan tarkoituksenmukaisten tekniikoiden hyödyntäminen ja teknologisen kehityksen huomioon ottaminen. Teknisiin rajapintoihin liittyvät kontrollit jätetään lakiin, koska henkilötietojen ja salassa pidettävien tietojen luovutukset on oltava kontrolloituja, joilla varmistetaan, että annettavat tiedot perustuvat tiedonsaantioikeuksiin ja että tietojen käsittelylle on olemassa se peruste, jonka vuoksi tiedonsaantioikeus on säädetty viranomaiselle ja että käsittelyn oikeusperuste vastaa luovutusperustetta.

Tietoaineistojen säilyttäminen ja arkistointi

Tietoaineistojen säilyttämisestä ja arkistoinnista lausuneet tahot pitivät yleisesti kannatettavana tavoitteena tietoaineistojen arkistointiin liittyvien menettelyjen ja päätöksenteon selkeyttämistä. Ongelmallisiksi nähtiin luonnoksessa ehdotetut säännökset, joiden ei nähty edistävän asetettujen tavoitteiden saavuttamista. Korkeakoulusektorin mukaan ehdotetut säännökset ja toimenpiteet eivät ole tieteellisen maailman näkökulmasta tarkoituksenmukaisia ja toimivia. Säilytysajan määrittelyä koskeva säännös nähtiin olevan poikkeava voimassa olevasta laista ja vakiintuneesta käytännöstä, sen ei myöskään nähty selkeyttävän määrittelyyn liittyviä tulkinnanvaraisuuksia. Osa lausujista ehdotti arkistointia muutettavaksi siten, että arkistointi kohdistuisi tosiasiallisesti aineistoon jonka säilytysaika on päättynyt, ja aineisto arkistoitaisiin nimenomaisesti arkistointitarpeen vuoksi. Arkistoinnista päättämisen nähtiin sisältävän päätöksenteon joutuisuuteen, toimijoiden rooleihin ja toimivaltaan sekä kansallisen kulttuuriperintöön liittyvän asiantuntemuksen hyödyntämiseen liittyviä riskejä. Myös tiedonhallintalautakunnan resurssien riittävyydestä kannettiin huolta.

Jatkovalmistelussa on muun muassa lausuntopalautteen perusteella päädytty siihen, että jatkovalmistelussa on poistettu arkistointia koskevat säännökset. Tällöin myös tiedonhallintalautakunnan tehtäviä muutettaisiin siten, että niihin ei kuuluisi arkistointia koskevat asiat. Tietoaineistojen säilytystarpeen määrittämistä koskevaa säännöstä tarkennetaan siten, että säilytysajan päättymisen jälkeen tietoaineistot olisi joko arkistoitava tai tuhottava tietoturvallisella tavalla.

Siirtymäajat

Yleisesti lausunnoissa kannettiin huolta ehdotuksen siirtymäajoista. Tiedonhallintayksiköille tulevaa velvoitetta laatia tiedonhallintamalli 12 kuukauden kuluttua lain voimaantulosta pidettiin hyvin haastavana siitäkin huolimatta, että tiedonhallintayksikköjen olisi mahdollista hyödyntää olemassa olevia kuvauksia. Kunnallishallinnon edustajat toivat esille, että kunnat ovat jo lähtökohtaisesti eri kypsyystasoilla kokonaisarkkitehtuurina kuvaamisessa. Lisäksi Kunnallishallinnon edustajat toivat sähköisen säilyttämisen vaatimuksen osalta esille, että luonnoksen 12 kuukauden siirtymäaika on liian lyhyt, sillä digitointimenettelyt ja välineet ovat tällä hetkellä isoilta osin sellaisia, että ne eivät täytä ehdotuksessa esitettyjä vaatimuksia asiakirjan luotettavuudesta ja eheydestä. Edelleen osa kunnista säilyttää edelleen paperisia asiakirjoja, ja varsinkin pienemmille kunnille pysyvä sähköinen säilyttäminen on raskas menettely. Tietojen sähköistä luovutustapaa koskevien teknisten menettelyjen 24 kuukauden siirtymäaikaa pidettiin niin ikään epärealistisina. Usea lausunnonantaja toi esityksessään esille, että sähköistä luovutustapaa koskevien teknisten menettelyjen siirtymäajan määrittelyssä tulisi huomioida se, että siirtymäaika mahdollistaa järjestelmämuutosten toteuttamisen sellaisessa tilanteessa, kun se on kustannustehokkainta toteuttaa.

Siirtymäaikoja on jatkovalmistelussa muutettu siten, että niissä huomioitaisiin asianmukaisesti sääntelystä aiheutuvien muutosten toteuttamisen laajuus sekä se, että soveltamisalaan kuuluvat organisaatiot voisivat toteuttaa säännösten johdosta aiheutuvia merkityksellisiä tietojärjestelmämuutoksia huomioiden tietojärjestelmien elinkaareen liittyviä seikkoja siten, että järjestelmämuutokset ovat kustannustehokkaasti toteutettavissa.

Muu jatkovalmistelu

Esitys on käsitelty kunnallistalouden ja -hallinnon neuvottelukunnassa.

6 Riippuvuus muista esityksistä

Hallituksen esityksen 1. lakiehdotus sisältää sääntelyä, joka kohdistuu maakuntiin. Eduskunnan käsittelyssä on maakuntien perustamista ja toimintaa koskeva lainsäädäntö. Hallituksen esityksen 5. lakiehdotuksessa ehdotetaan muutettavaksi turvallisuusselvityslakia. Eduskunnan käsittelyssä ovat seuraavat hallituksen esitykset, joissa ehdotetaan muutoksia turvallisuusselvityslakiin: HE 13/2018 vp, HE 224/2018 vp, HE 241/2018 vp ja HE 242/2018 vp. Hallituksen esityksen 1. lakiehdotuksessa viitataan lakiin digitaalisten palvelujen tarjoamisesta. Hallituksen esitys laeiksi digitaalisten palvelujen tarjoamiseksi sekä sähköisestä asioinnista viranomaistoiminnassa annetun lain muuttamisesta (HE 60/2018 vp) on eduskunnan käsittelyssä. Siinä ehdotetaan myös muutoksia sähköisestä asioinnista viranomaistoiminnassa annettuun lakiin. Myös tämän hallituksen esityksen 3. lakiehdotuksessa ehdotetaan muutoksia sähköisestä asioinnista viranomaistoiminnassa annettuun lakiin.

Eduskunnan hyväksyttäviksi annetaan seuraavat lakiehdotukset:

YKSITYISKOHTAISET PERUSTELUT

1 Lakiehdotusten perustelut

1.1 Laki julkisen hallinnon tiedonhallinnasta

1 luku Yleiset säännökset

1 §. Lain tarkoitus. Lain 1 § sisältäisi lain tarkoituksen kuvauksen, jolla lain sisältö sidotaan osaksi perusoikeuksien toteuttamista laintasolla. Lakiehdotuksen 1 pykälän mukaan lain tarkoituksena olisi varmistaa viranomaisen tietoaineistojen yhdenmukainen ja laadukas hallinta sekä tietoturvallinen käsittely, mahdollistaa viranomaisen tietoaineistojen turvallinen ja tehokas hyödyntäminen, jotta viranomainen voi hoitaa tehtävänsä ja tarjota palvelunsa hallinnon asiakkaille hyvää hallintoa noudattaen tuloksellisesti ja laadukkaasti, sekä edistää tietojärjestelmien ja tietovarantojen yhteentoimivuutta. Viranomaisten toiminta on pääosin tietointensiivistä. Tästä syystä viranomaisten tehtävien hoitaminen ja palvelujen tuottaminen ovat sidoksissa käytettävissä oleviin tietoihin. Viranomaisella on oltava käytössään ajantasaisia tietoja, joiden perusteella voidaan määrittää hallinnon asiakkaiden etuja, oikeuksia ja velvollisuuksia. Jotta viranomainen voi hoitaa tehtäviään tehokkaasti, tulee näiden tarvittavien, ajantasaisten tietojen olla saatavilla. Viranomaisten toiminnan verkottuminen, yhteisten tietojärjestelmien käyttö ja yhteisten palvelujen tuottaminen lisäävät tarvetta yhdenmukaistaa viranomaisten tiedonhallinnan menettelyitä. Tietojen saatavuus sähköisessä muodossa edellyttää, että tietojärjestelmät ja tietovarannot ovat yhteentoimivia, jotta tiedon liikkuminen viranomaisten tietojärjestelmien välillä on mahdollista silloin, kun viranomaisella on oikeus saada toiselta viranomaiselta tietoja.

Pykälän 1 momentin 1 kohdassa säädettäisiin lain tarkoituksesta siten, että lailla varmistetaan viranomaisten tietoaineistojen yhdenmukainen ja laadukas hallinta. Nykytilassa tiedonhallintaa on toteutettu eri säädösten perusteella erilaisilla tavoilla, jotka ovat lisänneet muun muassa tiedonsaantiin liittyviä ongelmia sekä viranomaisten tietovarantojen ja tietojärjestelmien yhteentoimivuusongelmia. Lailla yhdenmukaistettaisiin eri viranomaisten tiedonhallinnan menettelyjä sekä säädettäisiin tietojärjestelmien yhteentoimivuuden toteuttamisesta aiempaan sääntelyyn nähden velvoittavammin, jolla varmistettaisiin tietojärjestelmien ja tietovarantojen yhteentoimivuus viranomaisten toiminnassa. Momentin 1 kohdassa tietoaineistojen laadukkaalla hallinnalla tarkoitettaisiin siitä huolehtimista, että viranomaisen käyttämien tietoaineistojen ajantasaisuus, virheettömyys ja käyttökelpoisuus käyttötarkoitukseensa on varmistettu. Lain tarkoituksena olisi myös varmistaa tietoturvallisuuden toteuttamista viranomaistoiminnassa. Laissa olisi säännökset niistä hallinnollisista, toiminnallisista ja teknisistä vaatimuksista, jotka viranomaisen tulisi toteuttaa tietoturvallisuuden minimitason varmistamiseksi asiakirjoja ja tietoaineistoja käsiteltäessä. Lain tavoitteena on näillä toimenpiteillä tehostaa viranomaisten tiedonhallintaan liittyviä menettelyitä ja vähentää moninkertaisen tiedonhallinnan tarvetta ja tiedonhallinnan sääntelyä. Laki myös lisäisi viranomaisten välistä vastuullisuutta tiedonhallinnan menettelyjen toteuttamiseksi yhdenmukaisella ja tietoturvallisella tavalla, jolloin viranomaisten ei tarvitsisi erikseen asettaa toisilleen erilaisia tietoturvallisuusvaatimuksia, kuten nykytilassa. Tiedonhallinnan perimmäisenä tarkoituksena on julkisuusperiaatteen edistäminen siten, että viranomaisten julkiset asiakirjat olisivat helposti saatavilla. Perustuslain 12 §:n 2 momentin mukaan jokaisella on oikeus saada tieto julkisesta asiakirjasta ja tallenteesta. Viranomaisten toiminnan julkisuudesta annetun lain 9 §:n 1 momentin mukaan jokaisella on oikeus saada tieto viranomaisen asiakirjasta, joka on julkinen. Julkisuuslaissa tarkoitettu tiedonsaantioikeus koskee niin luonnollista henkilöä, oikeushenkilöä kuin viranomaistakin. Tiedonsaantioikeuden toteuttaminen on tapahduttava viranomaisten toiminnan julkisuudesta annetun lain 14 §:n 4 momentin mukaan viivytyksettä, mitä on tehostettu ehdottomilla asiakirjan antamista koskevilla määräajoilla. Laadukas ja tehokas tiedonhallinta edistää tietopyyntöjen käsittelyn viivytyksettömyyttä. Tehokkaaseen tiedonhallintaan ohjaava sääntely edistää siten julkisuusperiaatteen toteuttamista. Eduskunnan tarkastusvaliokunta on edellyttänyt viranomaisten välisen tietojenvaihdon kehittämistä (TrVL 5/2015 vp). Ehdotettava laki tehostaa viranomaisten sähköistä tiedonvaihtoa teknisten rajapintojen ja katseluyhteyksien avulla, mutta laissa ei säädettäisi muuten viranomaisten välisistä tiedonsaantioikeuksista tai päätöksentekomenettelyistä, vaan niistä säädettäisiin julkisuuslainsäädännössä.

Hallintolaissa säädettyihin hyvän hallinnon perusteisiin kuuluu hallinnon tehokkuus ja tuloksellisuus. Viranomaisten tehtävien hoitamisen ja palvelujen tuottamisen yhteydessä toteutettava tehokas tiedonhallinta lisää viranomaisen toiminnan tuloksellisuutta. Tiedonhallinnan siirtyessä paperiasiakirjojen käsittelystä ja hallinnasta sähköiseen toimintaympäristöön myös tiedonhallintaan ja tiedonsaantitapaan liittyvät menettelyt edellyttävät kehittämistä, jotta hallinnon asiakas saa asiansa hoidettua viranomaisessa tehokkaasti ja viranomainen voi käsitellä asiat tuloksellisesti.

Pykälän 1 momentin2 kohdan mukaan ehdotettava tiedonhallintaa koskeva laki edistäisi hyvän hallinnon toteuttamista viranomaisten tehtävien hoidossa ja palveluja tuotettaessa, kun tiedonhallinnan menettelyitä tehostetaan. Laissa säädettäisiin muun muassa viranomaisen velvollisuudesta suunnitella palvelujen tuottamiseen liittyvät toimintaprosessinsa siten, että tarpeetonta tiedonkeruuta hallinnon asiakkaalta vähennetään, jos tiedot ovat viranomaisen saatavilla muutenkin olemassa olevien tiedonsaantioikeuksien puitteissa teknisten rajapintojen ja katseluyhteyksien avulla. Tiedonhallintaan kuuluu asian- ja palvelunhallinnan järjestäminen. Asian- ja palvelunhallinnan menettelyillä voidaan ohjata viranomaisten tehtävien hoitamista sekä seurata viranomaisen asiankäsittely- ja palveluaikoja. Sääntely edistää tältäkin osin hyvän hallinnon toteuttamista viranomaisten toiminnassa. Lain keskeisenä tavoitteena on tiedonhallinnan tehostamisella ja laadun parantamisella edistää viranomaisten hallinnon asiakkailleen tuottamien palvelujen laatua ja tehokkuutta.

Pykälän 1 momentin 3 kohdan mukaan lain kolmantena keskeisenä tavoitteena on edistää tietojärjestelmien ja tietovarantojen yhteentoimivuutta. Eduskunta on edellyttänyt toimenpiteitä, joilla taataan julkisen hallinnon tietojärjestelmien yhteentoimivuus, yhteiset sovelluspalvelut ja avoimet rajapinnat tietojärjestelmien väliseen saumattomaan tietojen vaihtoon (EK 21/2008 vp). Lisäksi eduskunta on edellyttänyt hallituksen valmistelevan valtion tietohallinnon vaikuttavuuden lisäämiseksi tarpeellisen lainsäädännön, jossa määritellään valtiovarainministeriön ohjaustoimivalta ja muut tarpeelliset asiat (EK 11/2008 vp). Vuonna 2011 voimaan tulleella julkisen hallinnon tietohallinnon ohjauksesta annetulla lailla säädetään valtiovarainministeriön ohjaustoimivallasta ja tietojärjestelmien yhteentoimivuudesta. Eduskunnan tarkastusvaliokunta on kuitenkin kiinnittänyt huomiota julkisen hallinnon tietohallinnon ohjauksesta annetun lain hitaaseen täytäntöönpanoon ja muihin siihen liittyviin ongelmiin (TrVM 2/2012 vp, TrVL 7/2013 vp). Eduskunta onkin edellyttänyt, että hallitus ryhtyy toimenpiteisiin ja käyttää pikaisesti tietohallintolain mahdollisuutta asetuksin säätää muun muassa avoimista rajapinnoista. Eduskunnan kirjelmän mukaan samanaikaisesti, kun päätetään sosiaali- ja terveydenhuollon palvelurakenteista ja järjestämisvastuusta, tulee linjata tietohallintorakenteen vaatimat toimivalta- ja vastuusuhteet tavalla, joka ei jätä epäselvyyttä siitä, millä toimijalla on viimekätinen vastuu asiassa (EK 10/2012 vp).

Ehdotettavan lain tavoitteena on edistää tietojärjestelmien ja tietovarantojen yhteentoimivuutta siten, että tietohallintolaissa olevat tehokkaan täytäntöönpanon estävät säännökset uudistetaan uuteen lakiin ja kumotaan tietohallintolaista. Lisäksi yhteentoimivuudesta sekä eduskunnan edellyttämästä valtiovarainministeriön ohjaustoimivallasta säädettäisiin uudessa tiedonhallintalaissa. Ehdotuksessa säädetään sitovammin muun muassa rajapintojen käytöstä, jolla pyritään tehostamaan viranomaisten tietojärjestelmien ja tietovarantojen käyttöä viranomaisissa sekä vähentämään viranomaisten rinnakkaista tiedonkeruuta. Laissa uudistettaisiin tietojärjestelmien yhteentoimivuuden ohjaukseen liittyvä sääntely siten, että sillä edistetään yhteentoimivuudelle asetettuja tavoitteita tehokkaammin kuin tietohallintolaissa. Laissa säädettäisiin yksityiskohtaisemmin, mitä tietoja tiedonhallinnasta on kuvattava tiedonhallintayksiköissä ja miten muutoksia on arvioitava yhteentoimivuuden toteuttamiseksi. Laissa olisi myös säännökset valtiovarainministeriön toimivallasta antaa tiedonhallintaan liittyvien uudistusten yhteydessä ohjausta valtion virastoille ja laitoksille. Ohjauksen mekanismia tehostetaan tiedonhallintaan liittyvien linjausten laadinnalla, niiden mukaisella valtion viraston tai laitoksen arvioinnilla tiedonhallintaan vaikuttavista muutoksista sekä valtiovarainministeriön antamalla lausunnolla valtion virastolle tai laitokselle muutosten arvioinnista ja muusta lausuntopyynnössä esitetystä selvityksestä. Laissa ehdotetaan säädettäväksi valtiovarainministeriölle tiedonsaantioikeus lausuntoasian käsittelyä varten. Tietojärjestelmien ja tietovarantojen yhteentoimivuutta edistettäisiin säätämällä vastuut rajapintojen suunnittelun ja ylläpidon vastuista sekä velvollisuudeksi käyttää rajapintoja viranomaisten välisessä säännöllisessä tietojenvaihdossa. Laissa ehdotetaan säädettäväksi julkisen hallinnon yleisestä tiedonhallintakartasta, jonka ylläpidosta valtiovarainministeriö vastaisi. Ministeriöiden tehtävänä olisi sisällöllisesti ylläpitää tiedonhallintakarttaa, jotta valtiovarainministeriön sekä ministeriöiden tiedonhallinnan toimialakohtainen ohjaus voidaan hoitaa koordinoidusti ja jotta julkisen hallinnon tiedonhallinnan toteuttamisesta muodostuu kokonaiskuva muun muassa lainsäädännön uudistamisen ja siihen liittyvien muutosvaikutusten arvioimiseksi.

Pykälän 2 momentin mukaan tällä lailla pannaan täytäntöön eräiltä osin Euroopan parlamentin ja neuvoston direktiivi 2013/37/EU julkisen sektorin hallussa olevien tietojen uudelleenkäytöstä annetun direktiivin 2003/98/EY muuttamisesta. Niin kutsuttu PSI-direktiivi on ollut voimassa jo pitkään ja sen asettamia vaatimuksia kansalliselle lainsäädännölle on toteutettu pääosiltaan viranomaisten toiminnan julkisuudesta annetulla lailla. PSI-direktiivin 5 artiklan vaatimuksia ei Suomessa ole kuitenkaan selkeästi pantu täytäntöön tietoaineistojen saatavuuden osalta. Direktiivin täytäntöönpanoon selkeyttämiseksi lakiin ehdotetaan säännös, jolla täytettäisiin asiakirjojen saatavilla oloa koskeva PSI-direktiivin 5 artiklassa säädetty vaatimus.

2 §. Määritelmät. Pykälä sisältäisi olennaisimmat laissa käytetyt käsitteet ja niiden määritelmät. Pykälän 1 kohdan mukaan viranomaisella tarkoitettaisiin viranomaisten toiminnan julkisuudesta annetun lain 4 §:n 1 momentissa tarkoitettuja viranomaisia. Julkisuuslain 4 §:n 1 momentin mukaan viranomaisilla tarkoitetaan

1) valtion hallintoviranomaisia sekä muita valtion virastoja ja laitoksia;

2) tuomioistuimia ja muita lainkäyttöelimiä;

3) valtion liikelaitoksia;

4) kunnallisia viranomaisia;

5) Suomen Pankkia mukaan lukien Rahoitustarkastus (nykyinen Finanssivalvonta), Kansaneläkelaitosta sekä muita itsenäisiä julkisoikeudellisia laitoksia; Eläketurvakeskuksen ja Maatalousyrittäjien eläkelaitoksen asiakirjoihin lakia kuitenkin sovelletaan 2 momentissa säädetyllä tavalla;

6) eduskunnan virastoja ja laitoksia;

7) Ahvenanmaan maakunnan viranomaisia niiden huolehtiessa valtakunnan viranomaisille kuuluvista tehtävistä maakunnassa;

8) lain tai asetuksen taikka 1, 2 tai 7 kohdassa tarkoitetun viranomaisen päätöksen perusteella tiettyä tehtävää itsenäisesti hoitamaan asetettuja lautakuntia, neuvottelukuntia, komiteoita, toimikuntia, työryhmiä, toimitusmiehiä ja kunnan ja kuntayhtymän tilintarkastajia sekä muita niihin verrattavia toimielimiä.

Julkisuuslain 4 §:n 2 momentin mukaan mitä viranomaisesta säädetään, koskee myös lain tai asetuksen taikka lain tai asetuksen nojalla annetun säännöksen tai määräyksen perusteella julkista tehtävää hoitavia yhteisöjä, laitoksia, säätiöitä ja yksityisiä henkilöitä niiden käyttäessä julkista valtaa. Julkisuuslain samassa momentissa todetaan, että evankelis-luterilaisen kirkon asiakirjojen julkisuudesta säädetään erikseen.

Ehdotettavan tiedonhallintalain sääntely olisi sidoksissa hallinnon yleislakeihin, erityisesti julkisuuslakiin, joten tiedonhallintalain ja julkisuuslain organisatorista soveltamisalaa koskevat viranomaisen määritelmät olisivat toisiaan vastaavia, mutta ehdotettavan lain soveltamisalan rajauksessa olisi säädetty tietyistä rajauksista, jotka koskevat lain 3 luvun soveltamista sekä eräiltä osin myös muita pykäliä. Tiedonhallintalaki koskisi eräiltä osin myös luonnollisia henkilöitä ja oikeushenkilöitä, jotka toimivat viranomaisen toimeksiannosta tai viranomaisen lukuun sekä niissä tilanteissa, joissa julkisuuslain soveltamisesta on säädetty erikseen muualla lainsäädännössä.

Ehdotettavassa laissa osa velvollisuuksista kohdistuisi viranomaisiin, jotka olisivat toimivaltaisia käsittelemään tietoaineistoja ja päättämään niiden käytöstä siten kuin julkisuuslaissa tai erityislainsäädännössä on säädetty. Julkisuussääntely lähtee viranomaisten erillisyysperiaatteesta, jonka vuoksi tiedonhallinnallisesti osa valtion virastoista koostuu useista viranomaisista tai kunnat koostuvat kunnallisista toimielimiin jakautuneista viranomaisista. Laissa olisi erikseen säädetty tiedonhallinnan järjestämisvelvollisuus organisaatiotasoisena velvollisuutena, jolloin tiedonhallinnan järjestämiseen liittyvät velvollisuudet koskisivat muun muassa valtion virastoa, kuntaa tai kuntayhtymää. Poikkeuksena julkisuuslaissa säädettyyn viranomaisen määritelmään ja tästä johtuvaan organisatoriseen soveltamisalaan, ehdotettavaa tiedonhallintalakia ei sovellettaisi Ahvenanmaalla toimiviin viranomaisiin. Soveltamisalan rajaamisesta olisi säädetty tältä osin 3 §:n 5 momentissa ja se vastaisi tietohallintolaissa tehtyä soveltamisalan rajausta Ahvenanmaan viranomaisiin. Tuomioistuimiin, eduskunnan virastoihin ja itsenäisiin julkisoikeudellisiin laitoksiin lakia sovellettaisiin osittain.

Pykälän 2 kohdan mukaan tietojärjestelmällä tarkoitetaan tietojenkäsittelylaitteista, ohjelmistoista ja muusta tietojenkäsittelystä koostuvaa kokonaisjärjestelyä. Tarkoituksena on, että tietojärjestelmän käsite on kattava. Tietojärjestelmän määritelmä vastaisi viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain (1406/2011) 2 §:n 1 kohdan määritelmää tietojärjestelmästä. Tietojärjestelmän käsitteeseen sisältyisivät siten erilaiset päätelaitteet, joilla käsiteltäisiin erilaisia ohjelmistoja. Ohjelmistoilla puolestaan käsiteltäisiin tietoaineistoja, joista voidaan muodostaa tai hakea eri hakuperusteilla asiakirjoja. Tietojärjestelmän käsite liittyy keskeisesti yhteentoimivuuden toteuttamiseen. Tietojärjestelmien yhteentoimivuudella tarkoitetaan niiden kykyä käyttää samoja tietoja tai toimia yhteen toisen tai toisten tietojärjestelmien kanssa rajapinnan kautta tai muulla tavalla siten että tietojen merkitys ja hyödynnettävyys säilyvät.

Pykälän 3 kohdassa viitattaisiin julkisuuslakiin viranomaisen asiakirjan käsitteen osalta. Viranomaisen asiakirjojen käsittelystä, salassapidosta ja tiedonsaannista on säädetty yleislaintasolla julkisuuslaissa. Määritelmällä sidotaan osittain tiedonhallinnan kohde julkisuuslain tieto-objektina olevaan sääntelykohteeseen – viranomaisen asiakirjaan. Muualla lainsäädännössä on säädetty erilaisista asiakirjan käsitteistä. Esimerkiksi oikeudenkäynnin julkisuudesta hallintotuomioistuimissa annetussa laissa (381/2007) sekä oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa annetussa laissa (370/2007) on säädetty oikeudenkäyntiasiakirjojen määritelmistä sekä verotustietojen julkisuudesta ja salassapidosta annetussa laissa (1346/1999) on säädetty verotusasiakirjoista. Nämä asiakirjat ovat kuitenkin viranomaisen hallussa olevia asiakirjoja, joten ne sisältyvät julkisuuslaissa säädettyyn viranomaisen asiakirjan käsitteeseen. Siten nämä erityislainsäädännössä säädetyt asiakirjatkin sisältyvät tässä laissa säädettyyn asiakirjan käsitteeseen ottaen huomioon lakiin esitetyt rajoitteet soveltamisalasta siten, että ehdotettavan lain kaikkia säännöksiä ei sovellettaisi lainkäyttöön. Näin lain kaikki säännökset eivät tulisi sovellettaviksi oikeudenkäyntiasiakirjojen tiedonhallintaan. Niin ikään sosiaalihuollon asiakasasiakirjat rinnastuvat viranomaisen asiakirjoihin ja potilasasiakirjat ovat myös viranomaisen asiakirjoja, kun niitä käsittelee julkisuuslaissa tarkoitettu viranomainen tai muu julkisuuslain organisatoriseen soveltamisalaan kuuluva toimija.

Tarkoituksena on, että ehdotettavan tiedonhallintalain asiakirjan käsite on kattava ja sillä tarkoitetaan tiedonhallintayksiköissä toimivien viranomaisten tehtävien hoitamisen yhteydessä syntyviä asiakirjoja siten kuin julkisuuslaissa on säädetty viranomaisen asiakirjasta, riippumatta siitä, mitä erityislainsäädännössä on käsitteellisesti asiakirjoista ja niiden käsittelystä säädetty. Ehdottavan lain asiakirjan käsite saa merkityssisältönsä julkisuuslain viranomaisen asiakirjan käsitteen kautta. Siten ehdotettavan lain soveltaminen kohdistuu julkisuuslaissa tarkoitettuihin viranomaisen asiakirjoihin ja asiakirjan käsite määrittelee osittain lain asiallista soveltamisalaa. Laissa käytettäisiin asiakirjan ohella tiedon käsitettä, jolla tässä yhteydessä tarkoitetaan asiakirjaan rinnastettavia tietoja, joista voidaan muodostaa erilaisilla ennalta määritellyillä hakuperusteilla asiakirjoja. Tiedonhallinnassa hallinnoidaan paitsi asiakirjoja, myös yksittäisiä tietoja, joista voidaan muodostaa viranomaisen tehtävien hoitamista varten erilaisilla hakuperusteilla asiakirjoja. Hakuperusteet voivat perustua myös tietopalvelujen tuottamiseen. Asiakirjaa vastaavilla muilla tiedoilla tarkoitetaan niitä tietoja, joista voidaan muodostaa asiakirjoja. Tiedon käsitettä ei kuitenkaan ehdoteta määriteltäväksi lakiin, koska tiedon antamisesta viranomaisen asiakirjasta tai muuten tiedon antamisesta tai tiedon saannista on säädetty muualla ilman, että sitä on sidottu pelkästään asiakirjan käsitteeseen tai, että tietoa tiedon saannin tai antamisen kohteena olisi erikseen määritelty. Tieto saa merkityssisältönsä konkreettisena käsittelykohteena olevan asiakirjan käsitteen kautta.

Pykälän 4 kohdassa säädettäisiin tietoaineiston käsitteestä, jolla tarkoitettaisiin asiakirjoista ja muista vastaavista tiedoista muodostuvaa tiettyyn viranomaisen tehtävään tai palveluun liittyvää tietokokonaisuutta. Määritelmässä mainituilla muilla vastaavilla tiedoilla tarkoitettaisiin asiakirjallisia tietoja, jotka viranomainen on tehtäviensä hoitamisen yhteydessä tallentanut tietojärjestelmään tietoyksiköiksi, joista voidaan tarvittaessa muodostaa eri hakuperusteilla asiakirjoja. Viranomaiset ovat siirtyneet monin osin käsittelemään rakenteisia asiakirjoja, jotka muodostetaan asiankäsittelyssä tai palvelujen tuottamisessa kunkin käsittelyvaiheen tai palveluvaiheen aikana tietojärjestelmissä olevien hakuperusteiden avulla. Sinällään julkisuuslaissa tarkoitettu asiakirjan käsite pitää sisällään myös rakenteiset tietojärjestelmiin tallennetut tietoyksiköiden joukot. Tietojärjestelmissä olevia tietoyksikköjä voidaan pitää myös perustuslain 12 §:n 2 momentissa tarkoitettuina tallenteina (ks. PeVL 3/2009 vp), jotka sisältyvät julkisuuslaissa säädettyyn asiakirjan määritelmään. Koska asiakirja jäsentyy eri yhteyksissä konkreettiseksi tietojenkäsittelyn kohteeksi, on tietoaineistoissa käsiteltäviin tietoyksikköihin kohdistettua tiedonhallintaa syytä kuvata paremmin kuvaavalla ja käsitteellisesti paremmin mielleyhtymiä tietoaineistojen sisältöön kohdistavalla käsitteellä – tiedolla. Tietojärjestelmän tietosisältö kokonaisuudessaan asiakirjana on vieras ajatus sääntelykohteena olevassa toimintaympäristössä, johon kuuluu erityisesti asiakirjahallinto ja tietohallinto. Asiakirjallisen tiedon käsitettä on käytetty jo pitkään asiakirjahallinnossa kuvaamaan tietoyksikköjen käsittelyä ja hallintaa paremmin kuvaavana käsitteenä kuin asiakirjan käsite. Lain säännöksiin ei kuitenkaan ehdoteta otettavaksi lisämääreellä olevaa asiakirjallisen tiedon käsitettä, vaan tietoaineistoon kuuluvat tiedot määritellään viranomaisten tehtävien tai palvelujen hoitamisen yhteydessä syntyneiksi tiedoiksi, joita viranomaisissa käsitellään asiakirjoina, kun niistä muodostetaan asiakirjoja erilaisilla ohjelmistojen mahdollistamilla hakuperusteilla. Laissa operoitaisiin asiakirjan, tietoaineiston ja tietovarannon käsitteillä erilaisia vastuita ja velvollisuuksia määriteltäessä. Konkreettinen käsittelykohde viranomaisissa olisi edelleen asiakirja, jota viranomainen käsittelee hoitaessaan tehtäviään. Tietoaineiston käsite ei olisi uusi, vaan esimerkiksi julkisuuslain 21 §:ssä viitataan tietoaineistoihin ja kansainvälisistä tietotietoturvallisuusvelvoitteista annetussa laissa (588/2004) säädetään erityissuojattavista tietoaineistoista.

Pykälän 5 kohdan mukaan tietovarannolla tarkoitettaisiin viranomaisen tehtävien hoidossa ja toiminnassa käytettäviä tietoaineistoja sisältävää kokonaisuutta, jota käsitellään tietojärjestelmien avulla tai manuaalisesti. Tietovaranto koostuisi sekä tietojärjestelmissä olevista tiedoista sekä muusta aineistosta, kuten paperiasiakirjoista. Tietovaranto olisi viranomaisten tehtävien hoidon tuloksena syntyvistä tietoaineistoista muodostuva looginen kokonaisuus. Tietovarannoissa olevia tietoja käytettäisiin hallinnon asiakkaiden ja muiden etujen, oikeuksien ja velvollisuuksien määrittämiseen ja toteuttamiseen sekä viranomaisten tehtävien hoitamiseen. Tietovarannon käsite liittyy paitsi tiedonhallinnan mutta myös yhteentoimivuuden toteuttamiseen. Tietovarannossa olevat tietoaineistot olisivat aktiivivaiheen käytössä olevia, kunnes tietoaineisto tai sen osa säilytysajan päättymisen jälkeen siirrettäisiin arkistoon tai tuhottaisiin, jos tietoaineistoa ei ole määritelty arkistoitavaksi. Aktiivivaiheessa tapahtuvalla säilyttämisellä tarkoitetaan tietoaineistojen säilyttämistä yksilöiden, yhteisöjen ja viranomaisten etujen, oikeuksien ja velvollisuuksien määrittämiseksi, toteuttamiseksi ja valvomiseksi.

Useita tietoaineistoja sisältäviä loogisia tietovarantoja ovat esimerkiksi väestötietojärjestelmässä olevat henkilö-, rakennus- ja huoneistotiedot, joista muodostuu väestötietovaranto tai kiinteistötietojärjestelmässä olevat tiedot kiinteistöistä (kiinteistörekisteri) sekä lainhuuto- ja kiinnitystiedoista (lainhuuto- ja kiinnitysrekisteri), joista muodostuu kiinteistötietovaranto. Verotuksessa puolestaan muodostuu eri verotustehtävien hoitamisen yhteydessä tietoaineistoja, joista muodostuu verotustietovaranto. Tarkoituksena on, että myöhemmin tiedonhallintalaissa omaksuttu käsitteistö yhdenmukaistetaan erityislainsäädäntöön niiltä osin kuin se on tarpeen.

Pykälän 6 kohdassa määriteltäisiin yhteisen tietovarannon käsite. Yhteisellä tietovarannolla tarkoitettaisiin useiden toimijoiden käyttöön suunniteltua ja ylläpidettyä tietovarantoa, jonka tiedot ovat luovutettavissa ja hyödynnettävissä eri tarkoituksiin. Tietovarannon tiedot kerätään vain kerran ja päivitetään tiedon muuttuessa, jonka jälkeen ne ovat tietopalvelujen ja muiden tietoja hyödyntävien palvelujen käytettävissä. Yhteisiä tietovarantoja on muodostunut muun muassa väestötietojärjestelmästä, kiinteistötietojärjestelmästä sekä yritys- ja yhteisötietojärjestelmästä. Paikkatiedon infrastruktuuri kuuluu myös yhteisiin tietovarantoihin. Terveydenhuollossa yhteisen tietovarannon muodostaa puolestaan Kanta-arkistopalvelu sekä potilaan tiedonhallintapalvelu sekä reseptikeskus. Näiden yhteisten tietovarantojen hallinnointi ja tietovarannoista tiedonsaanti on säädetty erikseen erityislainsäädännössä. Yhteisiä tietovarantoja ei voida määritellä luettelomaisesti, vaan osa yhteisistä tietovarannoista palvelee laajasti yhteiskunnan ja osa tietyn toimialan tietotarpeita.

Pykälän 7 kohdassa määriteltäisiin tietoturvallisuustoimenpiteiden käsite, jolla tarkoitettaisiin tietoaineistojen saatavuuden, eheyden ja luottamuksellisuuden varmistamista hallinnollisilla, toiminnallisilla ja teknisillä toimenpiteillä (tietoturvallisuustoimenpide). Teknisillä toimenpiteillä tarkoitetaan teknisiä menettelyitä, joilla varmistetaan tietoaineistojen saatavuus, eheys ja luottamuksellisuus sopivilla ja riittävillä teknisillä ratkaisuilla. Hallinnollisilla toimenpiteillä tarkoitetaan tietoaineistojen hallinnoinnin järjestämistä siten, että tietoaineistoja käsitellään turvallisella ja viranomaisten toimintaa sekä julkisuusperiaatetta palvelevalla tavalla. Toiminnallisilla toimenpiteillä tarkoitetaan menettelyitä, joilla viranomaisen toiminnassa varmistetaan tietoaineistojen turvallinen käsittely. Saatavuudella tarkoitetaan ominaisuutta, jolla varmistetaan, että tietoaineisto, tietojärjestelmä tai palvelu on siihen oikeutettujen saatavilla ja hyödynnettävissä haluttuna aikana ja vaaditulla tavalla. Eheydellä tarkoitetaan tiedon oikeellisuutta ja alkuperäisyyttä siten, että tietokokonaisuuteen, kuten asiakirjaan, tehdyt tai siinä tapahtuneet muutokset voidaan jälkikäteen todentaa. Eheydellä tarkoitetaan myös tietojen semanttista yhteentoimivuutta siten, että viranomaisten keskinäisessä tietojenvaihdossa tietojen siirto järjestelmästä toiseen voidaan toteuttaa tiedon eheys säilyttäen varmistamalla tietojen vaihdossa semanttinen yhteentoimivuus. Luottamuksellisuudella tarkoitetaan tiedon käytön rajoittamista tarpeen mukaan siten, että tietoja voivat käsitellä vain siihen oikeutetut henkilöt. Tietoturvallisuustoimenpiteillä tarkoitetaan esimerkiksi toiminnan turvallisuuden, tietoliikenneturvallisuuden, fyysisen turvallisuuden, laitteisto- ja ohjelmistoturvallisuuden sekä tietoaineistoturvallisuuden varmistavia toimenpiteitä. Nämä toimet on 13 §:ssä tarkoitetuin riskienhallinnan keinoin suhteutettava muun muassa uhkien vakavuuteen, tekniseen kehitystasoon ja kustannuksiin.

Pykälän 8 kohdassa määriteltäisiin tiedonhallinnan käsite. Sillä tarkoitettaisiin viranomaisen tehtävien hoidossa tai toiminnassa syntyviin tarpeisiin perustuvia toimia viranomaisen tietoaineistojen ja niiden käsittelyvaiheiden sekä tietoaineistoihin sisältyvien tietojen hallinnoimiseksi, riippumatta tietoaineistojen tallentamis- ja muista käsittelytavoista. Tiedonhallinnalla tarkoitettaisiin erilaisia toimia, jotka kohdistuisivat tietoaineistoissa oleviin tietoihin tai asiakirjoihin sekä näiden tietoaineistojen hallintaa muun muassa käsittelyvaiheiden metatietojen keräämisellä asiankäsittelyn ohjauksen ja asianmukaisuuden toteuttamiseksi ja varmistamiseksi. Tiedonhallinnan olennaisena osana ovat tietoturvallisuustoimenpiteet, joilla varmistetaan, että viranomainen voi hoitaa tehtävänsä ja velvollisuutensa tehokkaasti, mutta samalla suojataan asianosaisten ja muiden hallinnon asiakkaiden oikeuksien toteuttamista. Tiedonhallinta kohdistuu kaikkiin tietojen ja tietoaineistojen käsittelyvaiheisiin. Kysymys ei olisi organisaation rakenteita kuvaavasta käsitteestä, vaan käsite olisi toiminnallinen. Tehokkaalla ja asianmukaisella tiedonhallinnalla pyritään edistämään julkisuusperiaatteen ja hyvän hallinnon vaatimusten toteuttamista.

Pykälän 9 kohdassa määriteltäisiin toimintaprosessin käsite, jolla tarkoitetaan viranomaisen asiankäsittely- ja palveluprosesseja. Asiankäsittelyprosessissa asiat tulevat vireille viranomaisessa joko asianosaislähtöisesti tai viranomaislähtöisesti. Hallintolaissa on säädetty erityisesti asianosaislähtöisten asioiden vireilletulosta. Viranomaislähtöisiä asioita ovat puolestaan esimerkiksi valvontaan liittyvät asiat. Asiankäsittelyprosessit päättyvät yleensä viranomaisen ratkaisun sisältävään toimeen, joka voi olla hallintopäätös, rekisterimerkintä, yleisohjeen antaminen, määräyksen antaminen tai muu vastaava toimi. Palveluprosessit puolestaan alkavat hallinnon asiakkaan palvelutarpeesta, jonka pohjalta viranomainen tai sen lukuun toimiva tuottaa laissa säädetyllä tavalla palvelun hallinnon asiakkaalle. Asiankäsittely- ja palveluprosessit ovat viranomaisen toimintaprosesseja, joiden perusteella viranomaisille syntyy tietoaineistoja. Tiedonhallintalaissa säädettäisiin näiden tietoaineistojen ja niitä kuvaavien tietojen hallinnasta siltä osin kuin tietoaineistot koostuvat asiakirjoista tai tiedoista, joista voidaan muodostaa tässä laissa tarkoitettuja asiakirjoja.

Pykälän 10 kohta sisältäisi teknisen rajapinnan määritelmän, jonka mukaan teknisellä rajapinnalla tarkoitettaisiin sähköisen tietojenvaihdon mahdollistavaa tiedonsiirtoratkaisua kahden tai useamman tietojärjestelmän välillä. Teknisen rajapinnan toteutus mahdollistaa tietojärjestelmien välisen sähköisen tietojensiirron yhteentoimivalla tavalla. Tekniseen rajapintaan kuuluisivat myös tietomääritykset, joiden perusteella tietoja voidaan siirtää tietojärjestelmien välillä. Kysymys olisi kahden tai useamman järjestelmän välisestä integraatiosta. Tekninen rajapinta voisi olla mikä tahansa tekninen tiedonsiirtoratkaisu, jolla tiedot siirretään tietojärjestelmästä toiseen. Rajapinta voidaan toteuttaa esimerkiksi viestipohjaisena nk. online-yhteytenä tai tiedostopohjaisena sanomana eräajopohjaisesti tietyin väliajoin tapahtuvana tiedonsiirtona. Teknisen rajapinnan käsite ei ole sidottu tiedonsiirtotapaan tai tiedostomuotoon, vaan teknisen rajapinnan toteuttamistapa ja teknologia määrittyvät kunkin teknisen ratkaisun mukaisesti. Teknisten rajapintojen käyttöä koskevat säännökset sisältyisivät ehdotettavan lain 5 lukuun.

Pykälän 11 kohdassa olisi säädetty katseluyhteyden määritelmästä. Katseluyhteydellä tarkoitettaisiin tietojärjestelmään toteutettua tietoaineistojen katselun mahdollistavaa rajattua näkymää. Ehdotettavassa laissa säädettäisiin niistä edellytyksistä, joilla katseluyhteys voitaisiin avata viranomaisen tietojärjestelmään niissä tilanteissa, kun toisella viranomaisella on tietoihin tiedonsaantioikeus ja käsittelyperuste. Käsite olisi uusi ja sillä tarkoitettaisiin nimenomaan sellaisia tietojen luovutustilanteita, joissa luovutus ei tapahtuisi tietojärjestelmien välillä, vaan toinen viranomainen voisi katsella erillisellä näkymällä rajatusti toisen viranomaisen tietojärjestelmässä olevia tietoja. Käytännössä katseluyhteyden toteuttaminen on tapa, jolla tiedot luovuttava viranomainen toteuttaa tietopalvelua toisella viranomaiselle, kun tiedonsaanti- ja käsittelyoikeus on varmistettu.

Pykälän 12 kohta sisältäisi tietovarantojen yhteentoimivuuden määritelmän, jonka mukaan niiden yhteentoimivuudella tarkoitetaan tietojen hyödyntämistä ja vaihtoa eri tietojärjestelmien välillä siten, että tietojen merkitys ja käytettävyys säilyvät. Yhteentoimivuus koostuu paitsi teknisestä toteutustavasta, jolla tietoja voidaan siirtää tietojärjestelmien välillä, mutta myös semanttisesta yhteentoimivuudesta siten, että siirrettävät tiedot ovat sisällöltään eri tietojärjestelmissä tulkittavissa merkityssisällöltään samalla tavalla. Yhteentoimivuuteen sisältyy myös tietojen käytettävyyden varmistaminen siten, että tiedot ovat käyttötarkoitukseensa soveltuvassa muodossa, jossa niitä voidaan hyödyntää suunnitelluissa käsittelytoimissa. Siten tietovarantojen yhteentoimivuus sisältää vaatimukset teknisten toteutustapojen yhteensovittamisesta, tietoaineistojen merkityssisältöjen vakioimisesta sekä tietojen rakenteiden määrittelystä siten, että tietovarannoissa olevat tietoaineistot ovat hyödynnettävissä eri viranomaisissa ennalta suunniteltuihin käyttötarkoituksiin. Yhteentoimivuus edellyttää sanastojen ja tietorakenteiden määrittelyä, koodistojen ylläpitoa ja tiedonsiirtomenetelmien sekä siihen liittyvien teknisten toteutustapojen yhteensovittamista.

Pykälän 13 kohdassa on määritelty koneluettava muoto. Määritelmä perustuu julkisen hallinnon hallussa olevan tiedon uudellenkäytöstä annetun direktiivin (PSI-direktiivi) 2 artiklan luettelon 6 kohtaan, jonka mukaan koneellisesti luettavalla esitysmuodolla tarkoitetaan tiedostomuotoa, jonka rakenne mahdollistaa sen, että ohjelmistot pystyvät helposti yksilöimään, tunnistamaan ja poimimaan siitä määrättyjä tietoja, yksittäiset tietoalkiot ja niiden rakenne mukaan lukien. Koneluettava muoto tarkoittaa, että sekä tietoaineiston sisältö että sitä selittävät tietoaineistoa kuvailevat metatiedot ovat koneellisesti luettavassa ja tulkittavassa muodossa siten, että niitä voidaan käsitellä tietojärjestelmien avulla. Koneluettavaan muotoon kuuluu, että tietoaineisto on esitetty tavalla, joka on vakioitu siten, että se noudattaa tiedostomuodoltaan jotain alan standardia tai alalla muuten vakiintuneita vaatimuksia.

3 §. Lain soveltamisala ja sen rajoitukset. Pykälässä säädettäisiin lain soveltamisalasta, joka osaltaan määrittyy 2 §:ssä määriteltyjen käsitteiden perusteella. Lakia sovellettaisiin 1 momentin mukaan tiedonhallintaan ja tietojärjestelmien käyttöön, kun viranomaiset käsittelevät tietoaineistoja. Lakia sovellettaisiin tässä laissa tarkoitettuun tiedonhallintaan, jonka käsitteellisestä sisällöstä olisi säädetty 2 §:ssä. Tämän lain säännöksiä ei sovellettaisi mihin tahansa viranomaisen hallussa olevien tietojen tiedonhallintaan, vaan sääntely kohdistuu sellaisiin tietoaineistoihin, jotka koostuvat asiakirjoista tai tiedoista, joista voidaan muodostaa asiakirjoja. Siten sääntely koskee niitä tietoaineistoja ja asiakirjoja, joihin sovelletaan viranomaisten toiminnan julkisuudesta annettua lakia. Tiedonhallintalaki olisi tiedonhallintaa koskeva yleislaki, jota noudatettaisiin lähtökohtaisesti kattavasti viranomaistoiminnassa. Tiedonhallintaan voi kuitenkin eri toimialoilla, kuten sosiaali- ja terveydenhuollossa, sisältyä erityisiä sääntelytarpeita, joita ei voida säätää yleislaissa. Tästä syystä, jos muussa laissa olisi säädetty tiedonhallintalaista poikkeavalla tavalla, tulisi tällainen laki sovellettavaksi tiedonhallintalain sijaan siltä osin kuin sääntely poikkeaisi tiedonhallintalain säännöksistä. Jos erityislaissa olisi joitakin poikkeavia säännöksiä, erityislakia sovellettaisiin näissä tilanteissa siltä osin kuin säännöksissä on poikkeuksia suhteessa ehdotettavaan tiedonhallintalakiin. Pykälän 1 momentissa olisi säädetty lain soveltamisesta korkeakouluihin. Ehdotettavan tiedonhallintalain viranomaisia koskevia säännöksiä sovellettaisiin yliopistolaissa tarkoitettuihin yliopistoihin ja ammattikorkeakoululaissa tarkoitettuihin ammattikorkeakouluihin, koska asianomaisissa laeissa viitataan viranomaisten toiminnan julkisuudesta annettuun lakiin siten, että yliopistoihin ja ammattikorkeakouluihin sovelletaan mitä julkisuuslain 4 §:n 1 momentissa säädetään viranomaisesta.

Lain 3 §:n 2 momentti olisi informatiivinen säännös tiedonhallintaan ja viranomaisten toimintaan liittyvän muun sääntelyn suhteesta ehdotettavaan lakiin, mutta sillä säädettäisiin selventävästi eri sääntelykohteiden suhteesta toisiinsa. Asiankäsittelystä hallintoasioissa viranomaisissa on säädetty yleislaintasolla hallintolaissa, mutta menettelysäännöksiä sisältyy myös muuhun lainsäädäntöön, kuten sähköisestä asioinnista viranomaistoiminnassa annettuun lakiin (13/2003), ulosottokaareen (705/2007), esitutkintalakiin (805/2011), poliisilakiin (872/2011), tuomioistuinten toimintaa koskeviin lakeihin sekä verotusmenettelystä annettuun lakiin (1558/1995). Palvelujen tuottamista koskevia säännöksiä sisältyy muun muassa sosiaali- ja terveydenhuollon sekä opetustoimen lainsäädäntöön. Tiedonhallintalaki ei varsinaisesti vaikuta menettelysäännöksiin, mutta tiedonhallinnan avulla kerätään tietoja siitä, miten viranomaiset toimivat tai ovat toimineet asiankäsittelyssä tai palveluja tuotettaessa. Tästä syystä tiedonhallinnalliset toimet voivat vaikuttaa myös menettelyllisten säännösten toteuttamiseen muun muassa tietoturvallisuustoimenpiteiden toteuttamiseksi. Ensimmäisessä virkkeessä viitattaisiin myös tiedonsaantioikeutta koskevaan sääntelyyn, jossa yleislaintasoiset säännökset on säädetty viranomaisten toiminnan julkisuudesta annetussa laissa, mutta tiedonsaantioikeuksia koskevaa sääntelyä on myös muualla erityislainsäädännössä, kuten oikeudenkäynnin julkisuutta koskevissa säädöksissä. Salassapidosta on säädetty pääsääntöisesti viranomaisten toiminnan julkisuudesta annetussa laissa. Lisäksi asiakirjojen arkistoinnista säädettäisiin erikseen. Arkistointia koskeva sääntely perustuu Euroopan unionin yleiseen tietosuoja-asetukseen, kansalliseen tietosuojalakiin, arkistolakiin sekä muihin arkistointia ja arkistotoimea koskeviin säännöksiin. Tiedonhallintalain tietoturvallisuuteen ja tietojärjestelmien toimintaan kohdistuvat säännökset koskisivat kaikkia tietoaineistoja riippumatta siitä, onko ne viranomaisen tehtävien hoitamista varten muodostuneita aineistoja tietovarannoissa vai siirrettynä arkistoon, mutta ehdotettava laki ei vaikuta muuten niihin perusteisiin, joilla asiakirjoja arkistoidaan sekä miten arkistotoimen tehtäviä arkistolain mukaan hoidetaan.

Lain 3 §:n 2 momentin toisessa virkkeessä olisi todettu, että tiedonhallinnasta Suomen evankelis-luterilaisessa kirkossa säädetään kirkkolaissa (1054/1993). Perustuslain 76 §:n 1 momentin mukaan evankelis-luterilaisen kirkon järjestysmuodosta ja hallinnosta säädetään kirkkolaissa. Ehdotetussa laissa säännellään tiedonhallinnasta, joka on sidoksissa julkisuuslain säännöksiin. Kirkkolain 25 luvun 8 §:ssä on säädetty julkisuuslain soveltamisesta kirkkohallinnossa. Evankelis-luterilaisen kirkon toimintamahdollisuudet hoitaa sille säädettyjä julkisia hallintotehtäviä sekä toteuttaa perustuslaissa säädettyä asiakirjajulkisuutta edellyttävät riittävää tiedonhallinnan sääntelyä kirkkolaissa, mutta sen säätäminen kirkkolakiin jää evankelis-luterilaisen kirkon harkintaan ja lainsäädäntötoimien varaan perustuslain edellyttämällä tavalla.

Lain 3 §:n 3 momentissa olisi säädetty tiedonhallintalain soveltamista koskevista rajoituksista, jotka johtuvat pääosin eräiden julkiseen sektoriin kuuluvien organisaatioiden perustuslaissa säädetystä asemasta, jonka perusteella valtion keskushallintoon kuuluvien viranomaisten ohjaustoimivaltaa ei voida ulottaa näiden organisaatioiden sisäisen hallinnon ohjaukseen. Lisäksi syynä on se, että ehdotettavassa laissa on säännöksiä, jotka kohdistuvat erityisesti hallinnon toimintaan, joiden soveltamista lainkäyttöön ei voida pitää perusteltuna. Näistä syistä 3 momentin ensimmäisen virkkeen mukaan 19 §:ä, 20 §:ä, 26 §:ä ja 27 §:ä ei sovellettaisi lainkäyttöön. Säännöksiä sovellettaisiin kuitenkin tuomioistuinten hallintotoimintaan. Julkisuuslain 18 §:ä on sovellettu tuomioistuimien toimintaan, joten julkisuuslain 18 §:n sisältöä vastaava, mutta tarkentava sääntely koskisi myös lainkäyttöä. Julkisuuslain nojalla annettua asetusta tietoturvallisuudesta valtionhallinnossa on sovellettu tuomioistuimien toimintaan. Myös julkisen hallinnon tietohallinnon ohjauksesta annettua lakia on sovellettu tuomioistuimiin ja muihin lainkäyttöelimiin niiden hoitaessa hallinnollisia tehtäviä. Julkisuuslaki ja tietohallintolaki on säädetty perustuslakivaliokunnan myötävaikutuksella. Tästä syystä soveltamisalan rajausta koskevan säännöksen ulkopuolelle jäävä tiedonhallintalain sääntely tulee sovellettavaksi tuomioistuimissa lainkäyttötehtävissäkin, koska vastaava sääntely on koskenut myös tuomioistuimia aiemmin. Tuomioistuimet käyttävät lainkäytössä viranomaisten tietojärjestelmiä, joten niiden toiminnassa olisi toteutettava myös lainkäytössä perustietoturvallisuustason takaavat vaatimukset, jotta tuomioistuimille voidaan avata teknisiä rajapintoja ja katseluyhteyksiä. Kuitenkaan tiedonhallintalautakunnan arviointitehtävä ei kohdistuisi tuomioistuimiin hallinnollisten tehtävienkään osalta, millä turvataan osaltaan tuomioistuimien toiminnan riippumattomuus valtion hallintoviranomaisten toiminnasta. Tästä rajauksesta olisi säädetty pykälän toisessa virkkeessä. Sääntely kuitenkin koskee esimerkiksi Oikeusrekisterikeskusta, joka tuottaa viranomaisena tuomioistuimille palveluja. Soveltamisalan rajaussäännös ei koskisi siten Oikeusrekisterikeskuksen palvelutuotantoa tai muuta toimintaa. Tiedonhallintalautakunnan arviointitehtävää koskeva toimivalta ulottuu siten Oikeusrekisterikeskuksen toimintaan, vaikka se onkin tuomioistuimien palveluntuottaja, mutta kuitenkin itsenäinen viranomainen. Säännöksessä tarkoitettu lainkäyttöä koskeva rajaus liittyy välittömästi lainkäyttötehtäviin liittyvään tiedonhallintaan.

Momentin toisen virkkeen mukaan eduskunnan oikeusasiamiehen ja valtioneuvoston oikeuskanslerin toimintaan, tuomioistuimien ja muiden lainkäyttöelimien toimintaan, tasavallan presidentin kansliaan, eduskunnan virastoihin, Kansaneläkelaitokseen, Suomen Pankkiin, muihin itsenäisiin julkisoikeudellisiin laitoksiin, yliopistolaissa tarkoitettuihin yliopistoihin ja ammattikorkeakoululaissa tarkoitettuihin ammattikorkeakouluihin ei sovellettaisi lain 3 luvun säännöksiä. Soveltamisalan rajaaminen valtiovarainministeriön ohjaustoimivaltaa ja tiedonhallintalautakunnan tehtävää koskien olisi tarpeellinen johtuen näiden toimijoiden ja organisaatioiden pääosin valtiosääntöisestä asemasta, joihin perustuslakivaliokunta on kiinnittänyt huomiota (PeVL 46/2010 vp). Lisäksi rajaukseen on otettu mukaan ammattikorkeakoulut, koska näiden toiminta on rinnastettavissa yliopistoihin, vaikka ammattikorkeakouluilla ei ole yliopistoja vastaavaa valtiosääntöistä asemaa. Myös muut kuin eduskunnan ohjauksessa olevat itsenäiset julkisoikeudelliset laitokset rajattaisiin ohjausta ja tiedonhallintalautakunnan tehtäviä koskevien säännösten soveltamisalan ulkopuolelle selvyyden vuoksi ja siitä syystä, etteivät ne kuuluu julkisen hallinnon tiedonhallintaa toteuttavien toimijoiden ytimeen. Vaikka 3 luvun soveltamisalan ulkopuolelle jäisi julkiseen hallintoon kuuluvia organisaatioita, voisivat ne hyödyntää omassa toiminnassaan esimerkiksi tiedonhallintalautakunnan tuottamia tiedonhallinnan menettelyjen yhtenäistämiseen liittyviä suosituksia tai kannanottoja sekä muuta informaatio-ohjauksena tuotettua materiaalia. Momentissa säädettäisiin myös 3 luvun soveltamista koskevasta rajauksesta maakuntiin, kuntiin ja kuntayhtymiin siten, että lain 3 lukua sovelletaan maakuntiin, kuntiin ja kuntayhtymiin niiden hoitaessa laissa säädettyjä tehtäviä. Säännös vastaisi tietohallintolaissa säädettyä rajausta, joka koskee valtiovarainministeriön ohjaustoimivaltaa. Säännös vastaisi myös perustuslakivaliokunnan kannanottoa ohjaustoimivaltaa koskevasta laajuudesta (PeVL 46/2010 vp).

Pykälän 4 momentissa soveltamisala laajennettaisiin organisatorisesti sillä perusteella, että tarkoituksenmukaisin osin tiedonhallintalaki tulisi sovellettavaksi myös muissa toimijoissa kuin julkisuuslaissa säädetyissä viranomaisissa. Momentin ensimmäisen virkkeen mukaan lain 4 lukua ja 22—25 §:ä sovellettaisiin yksityisiin henkilöihin tai yhteisöihin taikka muihin kuin viranomaisina toimiviin julkisoikeudellisiin yhteisöihin siltä osin kuin ne toimivat viranomaisen toimeksiannosta tai viranomaisen lukuun. Näiden viranomaisten toimeksiannosta tai lukuun toimivien käsittelemiin asiakirjoihin sovelletaan viranomaisen asiakirjan käsitteen määrittelyn kautta julkisuuslakia. Niin ikään julkisuuslaissa on säädetty näiden toimijoiden vaitiolovelvollisuudesta ja viranomaisen oikeudesta antaa tällaisille toimijoille salassa pidettäviä tietoja. Säännös tarkoittaisi sitä, että myös hallinnon ulkopuolisten tuottaessa viranomaisen toimeksiannosta tai muuten sen lukuun palveluja, tiedonhallintaa koskevat keskeiset säännökset tulisivat sovellettavaksi tällaisessa toiminnassa ilman erillisiä sopimuksiakin suoraan lain nojalla. Tietoturvallisuusvaatimukset tulisi kuitenkin ottaa osaksi ainakin viittauksena ostopalvelusopimuksien sopimusehtoihin, jotta niiden noudattamatta jättämistä voidaan käsitellä selkeästi myös sopimusoikeudellisena kysymyksenä esimerkiksi sopimussakkoa määriteltäessä. Sopimuksien sisältöön vaikuttaa myös yleisessä tietosuoja-asetuksessa säädetyt vaatimukset, joita sovelletaan ensisijaisesti.

Momentin toisen virkkeen mukaan tämän lain 4 §:ä, 4 lukua sekä 22—25 §:ä ja 28 §:ä sovellettaisiin yksityiseen henkilöön ja yhteisöihin siltä osin kuin niihin sovelletaan viranomaisten toiminnan julkisuudesta annetun lain säännöksiä. Eri laeissa on säädetty julkisuuslain soveltamisesta eriasteisesti. Näissä laeissa julkisuuslain soveltamista on laajennettu yksityisiin henkilöihin, yksityisiin yhteisöihin tai muihin kuin viranomaisina toimiviin julkisoikeudellisiin yhteisöihin niiden hoitaessa julkisia hallintotehtäviä tai muuten niiden toiminnassa. Esimerkiksi Suomen ortodoksiseen kirkon ja sen seurakuntien toimintaan sovelletaan julkisuuslakia ortodoksisesta kirkosta annetun lain (985/2006) nojalla. Siten ortodoksiseen kirkon ja sen seurakuntien toimintaan sovellettaisiin tiedonhallintalakia 4 §:n, 4 luvun sekä 22—25 §:n ja 28 §:n osalta, koska niiden toimintaan sovellettaisiin julkisuuslakia erityislain perusteella. Sääntely jättäisi ortodoksiselle kirkolle ja sen seurakunnille liikkumavaraa, miten ne organisoituvat tiedonhallintayksiköksi tai -yksiköiksi. Puolestaan ylioppilaskunnat ovat julkisoikeudellisia yhdistyksiä ja niiden toimintaan sovelletaan julkisuuslakia siten kuin yliopistolaissa on säädetty.

Myös julkisuuslain 4 §:n 2 momentissa on säädetty julkisuuslain soveltamisesta eräisiin toimijoihin, jotka eivät ole julkisuuslaissa tarkoitettuja viranomaisia. Julkisuuslain 4 §:n 2 momentin mukaan mitä viranomaisesta säädetään, koskee myös lain tai asetuksen taikka lain tai asetuksen nojalla annetun säännöksen tai määräyksen perusteella julkista tehtävää hoitavia yhteisöjä, laitoksia, säätiöitä ja yksityisiä henkilöitä niiden käyttäessä julkista valtaa. Siten tiedonhallintalain säännökset tulisivat sovellettavaksi laissa ilmenevin rajoituksin muun muassa lakisääteisiä vakuutuksia tarjoavien vakuutusyhtiöiden toiminnassa sekä julkisoikeudellisissa yhdistyksissä siltä osin kuin ne hoitavat toiminnassaan julkista tehtävää ja käyttävät siinä julkista valtaa.

Pykälän 5 momentissa olisi säädetty lain soveltamisalan rajaamisesta Ahvenanmaan maakunnassa toimivien viranomaisten osalta. Ehdotuksen mukaan lakia ei sovellettaisi Ahvenanmaan maakunnassa toimiviin maakunnan, valtion ja kunnallisiin viranomaisiin. Soveltamisalan rajaus vastaisi tietohallintolaissa olevaa soveltamisalan rajausta Ahvenanmaan maakunnassa toimiviin viranomaisiin. Ehdotettu soveltamisalaa koskeva säännös on tarpeellinen, koska viranomaisten toiminnan julkisuudesta annetun lain 4 §:n 1 momentin 7 kohdan mukaan laissa viranomaisella tarkoitetaan Ahvenanmaan maakunnan viranomaisia niiden huolehtiessa valtakunnan viranomaisille kuuluvista tehtävistä maakunnassa. Ehdotettavan lain 2 §:n 1 kohdassa määritelty viranomaisen käsite kattaisi suoraan julkisuuslakiin viitattuna myös Ahvenmaan maakunnan viranomaiset, kun ne huolehtivat valtakunnan viranomaisille kuuluvista tehtävistä. Tästä syystä soveltamisalan rajausta koskeva säännös on tarpeellinen ja se vastaa tietohallintolain soveltamisalaa koskevaa rajausta Ahvenanmaan osalta.

2 luku Tiedonhallinnan järjestäminen

4 §. Tiedonhallinnan järjestäminen tiedonhallintayksikössä. Pykälässä säädettäisiin tiedonhallintayksiköstä ja sen tiedonhallintaan liittyvästä järjestämisvelvollisuudesta. Pykälän 1 momentin ensimmäisen virkkeen mukaan viranomainen kuuluisi tiedonhallintayksikköön. Tämä säännöksen tarkoituksena on jäsentää viranomaisen suhdetta tiedonhallinnan järjestämisestä vastaavaan koko organisaation kattavaan tiedonhallintayksikköön. Laissa osa velvollisuuksista on säädetty koskemaan sitä organisaatiota, joka koostuu yhdestä tai useammasta viranomaisesta. Säännöksellä on tarkoitus selventää nykytilaa, koska tosiasiassa tiedonhallinnan järjestäminen on pääasiassa järjestetty organisaatiotasolla, vaikka organisaatio koostuisi useammasta viranomaisesta. Esimerkiksi kunta muodostaa yhden organisatorisen kokonaisuuden, mutta kunta koostuu viranomaisista. Kunnissa tiedonhallintaan liittyvät tehtävät on organisoitu hallintosäännöissä kuntalain (410/2015) perusteella kuntaorganisaation sisäisen palvelurakenteen mukaisesti. Niin ikään valtion virastoissa voi toimia useita viranomaisia, mutta niiden tiedonhallinnan järjestäminen on toteutettu viraston yhteisinä toimintoina. Niin ikään työnantajavastuut kohdistuvat valtionhallinnossa työnantajavirastoon, joka voi koostua itsenäisistä viranomaisista, jotka loppujen lopuksi käsittelevät sekä tuottavat tiedonhallintaan liittyviä tietoja. Momentin mukaan tiedonhallintayksikön tehtävänä olisi järjestää tiedonhallinta tämän lain vaatimusten mukaisesti.

Pykälän 1 momenttiin sisältyisi myös luettelo siitä, miten tiedonhallintayksiköt muodostuvat. Tiedonhallintayksiköllä tarkoitettaisiin valtion virastoa tai laitosta. Näistä tiedonhallintayksiköistä käytettäisiin laissa valtion tiedonhallintayksikön käsitettä, kun säännökset kohdistuvat valtionhallintoon. Lisäksi tiedonhallintayksiköllä tarkoitettaisiin eduskunnan virastoa, valtion liikelaitosta, maakuntaa, kuntaa, kuntayhtymää, itsenäistä julkisoikeudellista laitosta, yliopistolaissa tarkoitettua yliopistoa sekä ammattikorkeakoululaissa tarkoitettua ammattikorkeakoulua. Eduskunnan virastot olisivat itsenäisinä organisaatioina omia tiedonhallintayksikköjä. Kunnat ja maakunnat koostuvat toimielimiin jaetuista viranomaisista. Kukin kunta ja kuntien muodostama kuntayhtymä olisivat omia tiedonhallintayksikköjään riippumatta siitä, miten ne ovat toimintansa organisoineet. Itsenäiset julkisoikeudelliset laitokset, kuten Kansaneläkelaitos, Suomen Pankki, Työterveyslaitos, Keva, Kuntien takauskeskus, Suomen Riistakeskus ja Suomen Metsäkeskus, ovat valtionhallinnosta erillisiä organisaatioita, joiden toiminnasta ja tehtävistä säädetään erikseen laissa. Itsenäiset julkisoikeudelliset laitokset rinnastetaan hallinnon yleislaeissa viranomaisiin. Ne muodostavat erillisinä oikeushenkilöinä omat tiedonhallintayksikkönsä. Yliopistojen ja ammattikorkeakoulujen toimintaan sovelletaan julkisuuslakia ja ne rinnastetaan julkisuuslain viranomaisiin yliopistolain (558/2009) ja ammattikorkeakoululain (932/2014) perusteella. Osa yliopistoista on itsenäisiä julkisoikeudellisia laitoksia ja osa säätiöitä. Ne ovat itsenäisiä oikeushenkilöistä. Ammattikorkeakoulut ovat puolestaan osakeyhtiöitä. Siten ne muodostavat kukin oman tiedonhallintayksikkönsä. Tiedonhallintayksiköt voisivat tehdä yhteistyötä ja järjestää tiedonhallinnan velvollisuuksiin liittyviä toimintoja yhteisesti.

Valtion virastojen ja laitoksen sekä niissä toimivien viranomaisten tiedonhallinnan järjestämistä ja toteuttamista koskevia tehtäviä ei voida tyhjentävästi organisoida virasto- tai laitoskohtaisesti. Tästä syystä pykälän 2 momentissa säädettäisiin asetuksenantovaltuudesta, jonka perusteella valtioneuvoston asetuksella voitaisiin säätää valtion tiedonhallintayksikköjen välisestä tämän lain mukaisten tehtävien hoitamisesta. Asetuksenantovaltuudella ei muutettaisi tiedonhallintayksiköissä toimivien viranomaisten toimivaltasuhteita, joten asetuksella ei voitaisi poiketa siitä, mitä laissa on säädetty viranomaisen tehtäväksi tai velvollisuudeksi eikä asetuksella voida laajentaa myöskään tiedonsaantioikeuksia yli viranomaisten rajojen, vaan tästä olisi säädettävä erikseen laissa, jos yleislakien perusteella tietoja ei voisi antaa. Esimerkiksi ministeriöiden yhteinen asiakirjahallinto ja tietohallinto on keskitetty valtioneuvoston kansliaan valtioneuvostolain (175/2003) ja valtioneuvoston ohjesäännön (262/2003) nojalla. Valtioneuvostosta annetun erityislain mukaan valtioneuvoston kanslia vastaa valtioneuvoston ja sen ministeriöiden yhteisistä hallinto- ja palvelutehtävistä. Valtioneuvoston ohjesäännön 12 §:n 1 mom. 9 kohdan mukaan valtioneuvoston kanslian toimialaan kuuluu valtioneuvoston ja sen ministeriöiden yhteinen tietohallinto, mukaan lukien ulkoasianhallinnon ulkomaanedustustojen tieto- ja viestintätekniset peruspalvelut, ja asiakirjahallinto sekä niihin liittyvä hyvän tiedonhallintatavan ja yhteentoimivuuden ohjaus, kehittäminen ja yhteensovittaminen sekä arkistonmuodostajan tehtävät. Käytännössä valtioneuvoston kanslian tehtäviin kuuluu muun muassa ministeriöiden asiakirjahallinnon, kirjaamopalveluiden, asiankäsittelyn, tiedonohjauksen ja arkistoinnin johtaminen, kehittäminen ja yhteen sovittaminen, edellisiin liittyvät toiminnalliset tehtävät salassa pidettävien aineistojen käsittely mukaan lukien, valtioneuvoston yhteisen tiedonohjaussuunnitelman laatiminen yhteistyössä ministeriöiden kanssa sekä ohjeiden laadinta ja koulutuksen järjestäminen ministeriöiden henkilöstölle. Koska valtioneuvosta annetun lain säännös valtioneuvoston ja sen ministeriöiden yhteisten hallinto- ja palvelutehtävien vastuusta on valtioneuvoston ohjesäännössä tarkennetulla tavalla erityissäännös myös tiedonhallinnan tehtävistä suhteessa ehdotetun lain lähtökohtaiseen virastokohtaiseen vastuun määrittelyyn, ei ehdotettavan lain sääntely muuttaisi valtioneuvoston ja ministeriöiden toimintojen järjestämisestä säädettyä. Nykytilaan ei olla siten esittämässä tältä osin muutosta, vaan edelleen valtioneuvoston kanslia vastaisi valtioneuvoston ja sen ministeriöiden yhteisestä, muusta kuin toimialasidonnaisesta tiedonhallinnasta. Sääntely mahdollistaisi edelleen tällaisen toimintojen järjestämisen erillisillä säännöksillä, joko tiedonhallintalaissa säädetyn asetuksenantovaltuuden tai erityislaissa tai sen nojalla säädetyn perusteella. Asetuksentasoisessa sääntelyssä on kuitenkin varmistettava, että esimerkiksi johdon tosiasiallinen vastuu voidaan toteuttaa siihen osaan tiedonhallinnan järjestämistä, mihin valtion tiedonhallintayksikköjen toiminta on organisoitu. Siten tämän lain asetuksenantovaltuutuksen perusteella asetuksessa voitaisiin säätää ainoastaan tiedonhallintayksikölle säädettyjen tehtävien organisoimisesta valtion tiedonhallintayksikköjen välillä palvelujen tuottamiseksi tai yhteisistä valtion tiedonhallintayksikköjen palveluista. Valtion tiedonhallintayksikön käsitettä käytettäisiin laissa kohdentamaan tietyt velvollisuudet koskemaan pelkästään valtion virastoja ja laitoksia ellei soveltamisalarajauksista muuta johdu.

Pykälän 3 momentin mukaan tiedonhallintayksikön johdon vastuulla olisi huolehtia siitä, että tiedonhallinta järjestettäisiin tiedonhallintayksikössä kohdassa tarkoitetulla tavalla asianmukaisesti. Tiedonhallintayksikön johdolla tarkoitettaisiin virastojen ja laitosten työjärjestyksissä sekä eri toimijoiden hallintosäännöissä määriteltyä virastopäällikköä tai johtavaa toimielintä. Johdolla tarkoitettaisiin valtion viraston tai laitoksen päällikköä, joka on tyypillisesti virkanimikkeeltään pääjohtaja tai ylijohtaja. Kuntalain (410/2015) 38 §:n 2 momentin mukaan kunnanhallitus johtaa kunnan toimintaa, hallintoa ja taloutta. Siten kunnanhallitus toimisi lähtökohtaisesti tiedonhallintalaissa tarkoitettuna tiedonhallintayksikön johtona, ellei vastuuta ole delegoitu kunnan hallintosäännössä jollekin muulle toimielimelle tai viranhaltijalle, kuten kunnanjohtajalle. Muissa laissa tarkoitetuissa organisaatioissa johdolla tarkoitetaan yliopistojen ja ammattikorkeakoulujen osalta rehtoria, ellei yliopisto tai ammattikorkeakoulu olisi määritellyt tiedonhallinnan vastuuta toisin sisäisillä johtosäännöillä. Itsenäisissä julkisoikeudellisissa laitoksissa johdolla tarkoitettaisiin kutakin laitosta koskevien säännösten perusteella määriteltyä johtoa, joka voi delegoida vastuitaan muulle johdolle.

Pykälän 3 momentin luettelon 1 kohdan mukaan johdon tulisi huolehtia siitä, että tiedonhallintayksikössä olisi määritelty tiedonhallintalaissa tai muussa laissa säädettyjen tiedonhallinnan toteuttamiseen liittyvien tehtävien vastuut. Säännöksellä tarkoitetaan konkreettisten vastuiden määrittämistä siitä, miten ja kenen vastuulla toteutetaan tämän lain mukaiset velvoitteet ja palvelut. Vastuut olisi määritettävä tiedonhallintamallin ylläpidon ja tietoaineistojen muodostamisen toteuttamiselle, tietoturvallisuuden ja asianhallinnan järjestämiselle, tietojärjestelmien yhteentoimivuuden turvaamiselle sekä tietoaineistojen säilyttämisen järjestämiselle. Tiedonhallintayksikön johdon tulisi siten määrittää ja käytännössä määrätä työjärjestyksissä tai hallintosäännöissä, miten tiedonhallinnan vastuut ja niihin liittyvät tehtävät jakautuvat tiedonhallintayksikössä, kuten valtion virastossa tai kunnassa. Tehtävien järjestäminen tarkoittaa asiakirjahallinnon ja tietohallinnon sekä muiden toimintojen vastuiden määrittämistä tiedonhallinnan velvollisuuksien ja palvelujen toteuttamiseksi. Laissa ei säädettäisi siitä, mitkä tehtävät kuuluvat tietohallinnolle ja asiakirjahallinnolle, vaan tämä järjestäminen kuuluu kunkin tiedonhallintayksikön johdon vastuulle. Laissa ei säädettäisi organisaatioiden sisäisistä hallinnollisista rakenteista.

Pykälän 3 momentin luettelon 2 kohdan mukaan johdon tulisi huolehtia siitä, että tiedonhallintayksikössä olisi ajantasaiset ohjeet tietoaineistojen käsittelystä, tietojärjestelmien käytöstä, tietojenkäsittelyoikeuksista, tiedonhallinnan vastuiden toteuttamisesta käytännössä, tiedonsaantioikeuksien toteuttamisesta ja niiden toteuttamisessa noudatettavista menettelytavoista ja vastuista, tietoturvallisuustoimenpiteistä sekä poikkeusoloihin varautumisesta. Tiedonhallintayksiköllä pitäisi olla ohjeet siitä, miten tietoaineistoja käsitellään toimintaprosesseissa. Tietojärjestelmien käytöstä pitäisi olla ajantasaiset ohjeet, jotta tietojärjestelmien käyttäjät tietävät ja saavat selon siitä, miten tietojärjestelmiä käsitellään tietoturvallisella tavalla lainmukaisiin käyttötarkoituksiin. Lisäksi ohjeet pitäisi laatia tietojenkäsittelyoikeuksien määrittelemiseksi tietojärjestelmiin ja niillä operoitaviin tietovarantoihin ja niissä oleviin tietoaineistoihin. Ohjeessa tulisi määritellä, millä perusteella käyttöoikeuksia määritellään ja kuka käyttöoikeudet myöntää. Ohjeissa tulisi myös määritellä, miten tiedonhallinnan vastuut toteutetaan käytännössä tiedonhallintayksikössä sen luettelon 1 kohdassa tarkoitetun sisäisten tehtävävastuiden mukaisesti. Tiedonhallintayksiköllä pitäisi olla ohjeet siitä, miten ja kenen vastuulla on vastata julkisuuslain tai muun lain perusteella tehtyihin tietopyyntöihin ja millä tavalla pyydetyt tiedot annetaan. Ohjeissa pitäisi olla kuvaukset myös varautumisesta poikkeaviin tilanteisiin, joiden vuoksi normaali tietojenkäsittely ja tiedonhallinta ei ole mahdollista, esimerkiksi tietoliikennehäiriöön, tietojärjestelmässä olevan käyttökatkoon tai muuhun häiriöön liittyen. Ohjeissa olisi oltava myös kattavat kuvaukset tietoturvajärjestelyistä. Jokaisella tiedonhallintayksikössä toimivalla tulisi olla tieto siitä, miten tietoturvallisuuteen liittyvät vastuut jakautuvat tiedonhallintayksikössä ja millaisilla järjestelyillä pyritään huolehtimaan tiedonhallinnan ja tietojenkäsittelyn tietoturvallisuudesta. Ohjeistuksen laatimisvelvollisuus ei olisi uusi, vaan sääntelyä täsmennettäisiin uudessa laissa. Julkisuuslain 18 §:n 1 momentin 5 kohdan mukaan viranomaisen on tullut huolehtia siitä, että sen palveluksessa olevilla on tarvittava tieto käsiteltävien asiakirjojen julkisuudesta sekä tietojen antamisessa ja käsittelyssä sekä niiden ja asiakirjojen ja tietojärjestelmien suojaamisessa noudatettavista menettelyistä, tietoturvallisuusjärjestelyistä ja tehtävänjaosta. Lisäksi valtionhallintoa koskien on säädetty vielä erikseen viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta annetun asetuksen (1030/1999) 4 §:ssä ohjeiden laatimisvelvollisuudesta. Puolestaan yleisessä tietosuoja-asetuksessa on säädetty rekisterinpitäjän velvollisuudesta laatia ohje henkilötietojen käsittelystä.

Pykälän 1 momentin luettelon 3 kohdan perusteella tiedonhallintayksiköissä pitäisi tarjota mahdollisuutta koulutukseen tai muuhun perehdytykseen sen toiminnassa noudatettavista tiedonhallinnan menettelytavoista, sovellettavasta lainsäädännöstä, asiakirjojen julkisuutta ja salassapitoa koskevista säädöksistä sekä tiedonhallintayksikön tai siinä toimivien viranomaisten määräyksistä sekä ohjeista tiedonhallinnan toteuttamiseksi. Koulutusta pitäisi järjestää henkilöstölle, mutta myös muille tiedonhallintayksikössä toimiville, esimerkiksi yrityksien asiantuntijoille, jos asiantuntijat osallistuvat tiedonhallinnan toteuttamiseen tai käsittelevät viranomaisten tietoaineistoja. Ehdotettava uusi säännös sisältyy pääosin julkisuuslain 18 §:n 1 momentin 5 kohdassa säädettyihin vaatimuksiin.

Pykälän 1 momentin luettelon 4 kohdan perusteella johdon vastuulla olisi huolehtia siitä, että tiedonhallintayksikön käytössä olisivat tarkoitukseen soveltuvat asianmukaiset työvälineet, jotta tiedonhallintayksikössä toimivat viranomaiset voivat hoitaa tiedonhallintaan liittyvät tehtävänsä hyvän hallinnon edellyttämällä tavalla tehokkaasti ja tuloksellisesti. Säännöksellä korostettaisiin sitä, että tiedonhallinnassa tarvittavat työvälineet, kuten päätelaitteet, palvelimet ja ohjelmistot ovat tehtävien edellyttämällä tavalla ajantasaisia ja riittävän suojattuja siten, että työvälineiden käyttö tukee viranomaisten tehtävien hoitamista hyvän hallinnon edellyttämällä tavalla. Asianmukaisten työvälineiden hallinnointia varten tiedonhallintayksikköjen tulisikin suunnitella laitteistojen ja tietojärjestelmien elinkaaret siten, että näiden avulla viranomainen voi hoitaa tiedonhallintayksikössä sille laissa kuuluvat tehtävät asianmukaisesti.

Pykälän 1 momentin luettelon 5 kohdan mukaan johdon olisi järjestettävä riittävä valvonta tiedonhallintaan liittyvien säädösten, määräysten ja ohjeiden noudattamisesta. Siten johdon tulisi huolehtia siitä, että tiedonhallintayksikössä on olemassa riittävät kontrollit, joilla varmistetaan, että tiedonhallintayksikössä toimivat viranomaiset noudattavat tiedonhallintaa koskevia tässä tai muussa laissa säädettyjä vaatimuksia ja että tiedonhallintayksikön sisäisiä määräyksiä ja ohjeita tiedonhallinnasta noudatetaan. Valvontaan sisältyisi myös sen kontrollointi, että henkilöstöllä on riittävä osaaminen tietoturvallisuuden ja muun tiedonhallinnan toteuttamisesta. Valvonnan järjestäminen olisi osa tiedonhallintayksikön sisäisen valvonnan järjestelyjä ja tietoturvallisuustoimenpiteiden toteuttamista. Säännös ei olisi uusi, koska kumottavaksi ehdotetun julkisuuslain 18 §:n 1 momentin 5 kohdassa on säädetty valvonnan järjestämisestä hyvän tiedonhallintatavan toteuttamiseksi.

5 §. Tiedonhallintamalli ja muutosvaikutuksen arviointi. Pykälässä säädettäisiin tiedonhallintayksikön velvollisuudesta laatia ja ylläpitää toimintaympäristönsä tiedonhallintamallia. Säännöksen tarkoituksena olisi, että tiedonhallintayksiköllä on selkeä kuvaus toimintaympäristön tiedonhallinnasta, jolla palvellaan tietojärjestelmien yhteentoimivuutta, tietovarantojen käsittelyn avoimuutta ja julkisuutta sekä tietoaineistojen hallinnan ennakollista suunnittelua viranomaisten tehtävien hoitamista varten. Tiedonhallinnan suunnittelu-, arviointi- ja kuvaamisvelvollisuuksien kokoamisella samaan lakiin ja yhteen pykälään tavoitellaan nykyisten eri säädöksiin hajautuneiden velvoitteiden yhdenmukaistamista sekä sitovien kuvausvelvoitteiden kohdentamista tiedonhallinnan kannalta olennaisiin kohteisiin. Pykälä korvaisi osittain julkisuuslain 18 §:n 1 momentin 2 kohdassa säädetyn vaatimuksen kuvata viranomaisen käytössä olevat tietojärjestelmät ja niissä olevat julkiset tiedot. Pykälä edistäisi myös tietosuoja-asetuksen 30 artiklassa säädetyn käsittelytoimia koskevan selosteen tietosisällön aktiivista ylläpitoa. Pykälä korvaisi myös kumottavaksi ehdotettavan tietohallintolain 7 §:ssä säädetyn viranomaisen velvollisuuden kuvata kokonaisarkkitehtuurinsa. Tiedonhallintamalliin sisältyisi myös tiedot viranomaisen operatiivisten tehtävien hoitamisen yhteydessä muodostuvien tietoaineistojen elinkaaren päättämiseen liittyvistä arkistoinnin tiedoista tai tietoaineiston tuhoamisesta. Arkistolain 8 §:n 2 momentin mukaan arkistonmuodostajan on määrättävä tehtävien hoidon tuloksena kertyvien asiakirjojen säilytysajat ja -tavat sekä ylläpidettävä niistä arkistonmuodostussuunnitelmaa. Koska tietoaineistojen säilytysajat ja -tavat sekä tieto arkistoinnista ja arkistointitavasta sisältyisivät tiedonhallintamalliin, vastaisi tiedonhallintamalli myös niitä vaatimuksia, joita arkistolaissa arkistonmuodostussuunnitelman sisällöstä on säädetty. Siten arkistonmuodostussuunnitelman laissa säädetty sisältö voitaisiin sisälyttää osaksi tiedonhallintamallia. Tällä vähennetään tiedonhallintayksikköjen hallinnollista taakkaa ja moninkertaisia kuvaamisvelvollisuuksia. Hallituksen esityksessä ei ehdoteta muutettavaksi arkistolakia, joten arkistonmuodostussuunnitelmaa koskeva säännös jäisi arkistolakiin. Koska arkistonmuodostussuunnitelmalle ei ole asetettu muotovaatimuksia, täyttää tiedonhallintamallin minimisisältö myös arkistonmuodostussuunnitelmalle säädetyt vaatimukset. Tällöin tiedonhallintamalli muodostaa tiedonhallinnan kokonaiskuvauksena eheän kokonaisuuden. Laissa olisi säädetty tiedonhallintamallin sisällön minimivaatimuksista. Siten tiedonhallintayksiköt voisivat sovittaa ja täydentää tiedonhallintamalliaan tarvittavilla lisäkuvauksilla esimerkiksi asiakirjahallinnon tehtävien hoitamiseksi. Siten tiedonhallintayksiköissä käytössä olevat tiedonhallintasuunnitelmat, eAMS-suunnitelmat taikka tiedonohjaussuunnitelmat voitaisiin sisällyttää tiedonhallintamalliin kuitenkin siten, että ne yhteensovitetaan tiedonhallintamallin muuhun sisältöön, jotta tiedonhallintamalli muodostaa eheän kokonaisuuden muun muassa viranomaisen prosesseista ja tietovarannoista sekä niissä käsiteltävistä tiedoista.

Jotta pykälässä tarkoitetut kuvaukset palvelevat julkisuusperiaatteen, tietoturvallisuuden, hyvän hallinnon edellyttämien asianmukaisten palvelujen toteuttamisen sekä tietovarantojen ja tietojärjestelmien yhteentoimivuuden tarpeita, on tiedonhallintamallissa kuvattava tiedonhallintayksikön toimintaprosessien, niitä toteuttavien tietojärjestelmien sekä niissä käsiteltävien tietovarantojen muodostama kokonaisuus ja näiden suhteet toisiinsa. Toimintaympäristöllä tarkoitettaisiin pykälässä tiedonhallintayksikön oman toiminnan kuvausta sekä tiedonhallintayksikön toiminnan kannalta keskeisten sidosryhmien tunnistamista suhteessa tiedonhallintayksikön toimintaan. Sidosryhmät voivat muodostua tiedonhallintayksikön asiakkaiden, toimintaan osallistuvien muiden tiedonhallintayksiköiden tai tiedonhallintayksikön palvelutoimintaan liittyvien palvelun tuottajien kautta. Toimintaympäristön kuvaus kattaisi siten tiedonhallintayksikön palvelut, prosessit, tietovarannot ja tietojärjestelmät sekä näiden väliset suhteet ja liittymät tiedonhallintayksikön ulkoisiin toimijoihin. Kuvaus myös edesauttaisi tietoturvallisuuteen liittyvien velvoitteiden täyttämistä. Tiedonhallintamallin perusteella tiedonhallintayksikössä viranomaiset toteuttavat tiedonhallintaa yhtenäisten ennalta suunniteltujen menettelyiden mukaisesti ja tiedonhallinta toteutettaisiin tiedonhallintamallissa määritellyllä tavalla. Käytännössä tiedonhallintamalli olisi tiedonhallintayksikössä noudatettava hallinnon sisäinen määräys siitä, miten asiankäsittely, palvelujen tuottaminen sekä niihin liittyvä tiedonhallinta on järjestettävä tiedonhallintayksikössä. Tiedonhallintamallista ilmenisi, mitä toimintaprosesseja tiedonhallintayksikössä on, millä tietojärjestelmillä toimintaprosesseissa muodostuvia asiakirjoja ja muita vastaavia tietoja käsitellään sekä mihin tietovarantoihin asiakirjat kuuluvat. Tiedonhallintamallia täydentävät kuvaukset voivat olla esimerkiksi tietojärjestelmien toimintakuvauksia tai prosessiohjauksen tarkoituksessa laadittuja tietojärjestelmien määrityksiä tiedonohjaussuunnitelmina, mutta näistä ei säädettäisi laissa, vaan tiedonhallintayksiköt voisivat arvioida tarpeittensa mukaisen kuvaustason, kunhan laissa säädetyt minimivaatimukset täyttyvät.

Tehtävien ja palvelujen kuvaaminen tiedonhallintamallissa mahdollistaisi tiedonhallinnan kytkemisen tiedonhallintayksikölle säädettyihin tehtäviin, joka palvelisi ehdotuksen 28 §:ssä säädettyä velvoitetta järjestää muussa kuin asiankäsittelyn yhteydessä muodostuvan tiedonhallinta siten, että tiedot olisi haettavissa erilaisten yksilöintitietojen tai tunnisteiden avulla. Tämä edesauttaisi hallinnon asiakkaan muden oikeuksien toteuttamista muun muassa tiedonsaantia itseään koskevista asiakirjoista tai niitä vastaavista tallenteista.

Pykälän 1 momentin mukaan tiedonhallintayksikön olisi ylläpidettävä toimintaympäristönsä tiedonhallintaa määrittelevää ja kuvaavaa tiedonhallintamallia. Tiedonhallintamallin laatimisen perusteet olisi säädetty niin ikään 1 momentissa. Tiedonhallintamalli tulisi laatia ja ylläpitää palvelujen, asiankäsittelyn ja tietoaineistojen hallinnan suunnittelemiseksi ja toteuttamiseksi, tiedonsaantia koskevien oikeuksien ja rajoitusten toteuttamiseksi, moninkertaisen tietojen keruun vähentämiseksi, tietojärjestelmien ja tietovarantojen yhteentoimivuuden toteuttamiseksi sekä tietoturvallisuuden ylläpitämiseksi. Näitä tarkoituksia varten 2 momentissa olisi säädetty yksityiskohtaisesti niistä tiedonhallinnan elementeistä, joista voidaan muodostaa kokonaiskuva kunkin tiedonhallintayksikön tiedonhallinnan toteuttamisesta.

Pykälän 2 momentissa säädettäisiin tiedonhallintamallin sisällöstä. Ehdotetun säännöksen mukaan tiedonhallintamalliin kuuluisivat kuvaukset tiedonhallintayksikön toimintaprosesseista, tietovarainnoista, tietoaineistoista, tietojärjestelmistä ja tietoturvajärjestelyistä. Momentti sisältäisi luettelon niistä seikoista, jotka tiedonhallintamallissa tulisi olla kuvattuna tiedonhallinnan asianmukaisen toteuttamisen varmistamiseksi. Luettelossa on mainittu tiedonhallintamallin minimitietosisältö, jota tiedonhallintayksikkö voi täydentää omilla tietotarpeillaan, esimerkiksi kokonaisarkkitehtuurikuvausten mukaiseksi. Laissa ei säädettäisi, millä menettelyllä tai muodossa kuvaukset tuotettaisiin. Ne jäisivät tiedonhallintayksikköjen harkintaan. Tiedonhallintamallin voisi kuvata soveltuvin osin esimerkiksi kokonaisarkkitehtuurimenetelmää tai muuta kuvausmenetelmää käyttäen.

Pykälän 2 momentin 1 kohdan mukaan tiedonhallintamallissa kuvattaisiin tiedonhallintayksikön toimintaprosessit. Toimintaprosesseista kuvattaisiin niitä kuvaavat nimikkeet, prosesseista vastaavat viranomaiset, prosessin tarkoitus sekä prosessin sidokset muihin prosesseihin. Kohdan tarkoituksena on varmistaa, että tiedonhallintayksikkö ylläpitäisi aktiivisesti kokonaiskuvausta toimintaprosesseistaan tiedonhallinnan asianmukaisen toteuttamisen näkökulmasta ja ottaen huomioon tiedonhallintamallin kokonaisuuden kuvaukseen liittyvät muut asiat. Kuvaus ja sitä tarkentavat tiedot palvelisivat tietovarantojen ja tietojärjestelmien yhteentoimivuuden edistämisessä ja helpottaisivat lain sisäisten velvoitteiden täyttämisessä. Viranomaisten tiedonhallinta perustuu toimintaprosesseissa muodostuviin ja käsiteltäviin tietoihin. Toimintaprosessien koostaminen tiedonhallintamalliin muodostaa kokonaiskuvan tiedonhallintayksikölle siitä, missä ja miten viranomaisten tietoaineistot muodostuvat tiedonhallintayksikössä ja miten niitä käsitellään. Toimintaprosessit ovat erottamaton osa tiedonhallinnan toteuttamista. Toimintaprosessien sitominen tietojärjestelmiin ja tietovarantoihin edistää myös tiedonhallintayksikköjen johdon tietojohtamisen päämääriä. Se, millä tasolla ja miten prosessit mahdollisesti kuvataan tarkemmin, jää tiedonhallintayksikköjen tarkoituksenmukaisuusarvioinnin varaan. Laissa on säädetty vain minimivaatimukset, jotta tiedonhallinnan asianmukainen järjestäminen voidaan toteuttaa pykälässä mainittujen tarkoitusten toteuttamiseksi. Toimintaprosessien luetteloita ja kuvauksia on tehty jo aiemmin osana kokonaisarkkitehtuurikuvauksia ja asiakirjahallinnon käytäntöinä toteutetuissa tiedonohjaussuunnitelmissa, joiden laatiminen on perustunut ainoastaan alan käytäntöihin eikä lain säännöksiin. Tiedonohjaussuunnitelmissa on kuvattu tehtävätasolla toimintaprosessit luettelomaisesti tehtäväluokituksena. Velvollisuus kuvata prosessit yleisellä tasolla ei olisi siten uusi.

Pykälän 2 momentin 2 kohdan mukaan tietovarantojen sisältökuvaukset koostuisivat tietovarantojen nimikkeistä sekä kuvauksista tietovarantojen sidoksista niitä käyttäviin toimintaprosesseihin ja tietojärjestelmiin. Tällä kuvauksella käytettävät tietovarannot sidotaan toimintaprosesseihin ja tietojärjestelmiin. Käytännössä tietovarantojen kuvauksia laaditaan viranomaisissa jo nyt tietosuoja-asetuksen 30 artiklan 1 kohdan perusteella käsittelytoimia koskevina selosteina. Tietosuoja-asetuksessa ei ole säädetty selosteen laatimisen muodosta, joten sen sisältöä voidaan hyödyntää tiedonhallintamallin kuvauksena, kun kohteena on tietovaranto. Tietosuoja-asetuksen 30 artiklan 1 kohdan mukainen seloste pitää laatia henkilötietojen käsittelytoimista, joten laatimisvelvollisuus ei koskisi muita tietoja. Tästä syystä 2 kohdassa olisi säädetty vaihtoehtoisesti siitä, että selosteeseen sisältyvät tiedot tulisi kuvata, jos selostetta ei tarvitsisi tietosuoja-asetuksen mukaan laatia. Siten tietovarannot, joihin ei kohdistu henkilötietojen käsittelytoimia eikä henkilötietoja, kuvattaisiin ehdottavan lain perusteella siten, että kuvauksesta ilmenee tiedot tietovarannosta vastaavasta viranomaisesta, tietovarannon käyttötarkoituksesta, keskeisistä tietoryhmistä tietoaineistoissa, tietojen luovutuskohteista ja tietojen säilytysajoista. Tietovarantojen sisältökuvaukset edistäisivät tietovarantojen yhteentoimivuutta, siihen liittyvien tarpeiden tunnistamista ja yhteentoimivuuden kehittämistä sekä tietoturvallisuuteen liittyvien velvoitteiden sekä julkisuusperiaatteen toteuttamista. Tietovarantojen kuvaukset kuvaavat mitä tietoaineistoja viranomaisilla on ja mihin niitä käytetään sekä miten tietovarantojen käyttöön liittyvä toiminta on sidoksissa eri prosesseihin ja tietojärjestelmiin. Kun tiedonhallintayksiköillä on olemassa tietovarantojen kuvaukset, voivat ne toteuttaa tämän lain 28 §:ssä säädetyn velvollisuuden laatia julkisuusperiaatteen toteuttamiseksi kuvauksen, jonka perusteella yleisö ja asianosaiset voivat pyytää tiedonsaantioikeuksien puitteissa tietoja tietovarannoissa olevista tiedoista.

Pykälän 2 momentin 3 kohdan mukaan tietoaineiston kuvauksessa tulisi olla tieto siitä, mitkä aineistot siirretään säilytysajan jälkeen arkistoon, millä tavalla tietoaineisto arkistoidaan, mikä on arkistointipaikka ja miten tietoaineistot on suunniteltu tuhottavaksi. Kuvausvelvollisuus kattaisi tältä osin arkistolaissa säädetyn vaatimuksen ylläpitää arkistonmuodostussuunnitelmaa. Tiedonhallintamalli sisältäisi myös tiedot tietoaineistojen ja niissä olevien asiakirjojen säilytysajoista 2 kohdan perusteella. Arkistoinnista ja tietojen säilytysaikojen määrittelemisen vastuista on säädetty erikseen tietosuoja-asetuksessa ja siltä osin kuin tietosuoja-asetus ei tule sovellettavaksi arkistolaissa. Alan käytänteiden varaan jää sen määrittäminen, miten tietojärjestelmien suunnittelussa ja toteutuksessa tarvittavat kuvaukset ja suunnitelmat tulisi laatia. Tiedonhallintamallia ei ole tarkoitettu yksittäisen tietojärjestelmän tai sen osan toimintalogiikan määritykseksi.

Pykälän 2 momentin 4 kohdan mukaan tietojärjestelmistä tulisi kuvata tietojärjestelmien nimikkeet, tietojärjestelmästä vastaava viranomainen, tietojärjestelmän käyttötarkoitukset, tiedot liittymistä muihin tietojärjestelmiin sekä liittymissä käytettävät tiedonsiirtotavat. Tiedonsiirtotavalla tarkoitettaisiin sitä, millä tavoilla ja mitä tietoja siirretään tietojärjestelmästä mahdollisesti muihin tietojärjestelmiin, esimerkiksi tapahtuuko tietojensiirto teknisiä rajapintoja käyttämällä vai katseluyhteydellä. Tietojärjestelmien sidokset tietovarantoihin ja niissä oleviin tietoaineistoihin sekä toimintaprosesseihin kuvattaisiin 1 ja 2 kohtien perusteella. Tietojärjestelmien kuvaus edistäisi tietojärjestelmien yhteentoimivuutta ja siihen liittyvien tarpeiden tunnistamista sekä yhteentoimivuuden kehittämistä sekä tietoturvallisuuteen liittyvien velvoitteiden sekä julkisuusperiaatteen toteuttamista.

Tietojärjestelmistä on pitänyt laatia kuvaukset julkisuuslain 18 §:n 1 momentin 2 kohdan perusteella, joten tietojärjestelmien kuvaamisvelvollisuus ei olisi uusi, mutta edelleen jatkossakin viranomaisten tulisi laatia julkisuusperiaatteen toteuttamiseksi oma kuvauksensa, kuten siitä on ehdotettu säädettäväksi 28 §:ssä. Tietojärjestelmän kuvauksesta on käytetty aiemmin valtion viranomaisia koskien tietojärjestelmäselosteen käsitettä, jonka sisällöstä on annettu erikseen julkista hallintoa koskeva suositus JHS 146 tietojärjestelmäselosteen laadinnasta. Suositus on koskenut sekä valtion että kuntien viranomaisia, koska julkisuuslaissa ei ole sinällään säädetty tietojärjestelmiä koskevien kuvausten sisällöstä mitään. Kunnatkin ovat joutuneet laatimaan julkisuuslain mukaiset kuvaukset.

Pykälän 2 momentin 5 kohdan mukaan tiedonhallintamalliin kuuluisivat kuvaukset tietoturvamenettelyistä. Tällä halutaan korostaa sitä, että viranomaisen on suunniteltava ennalta, miten tietoturvallisuus toteutetaan ja mitä menettelyistä tietojenkäsittelyn, tietojärjestelmien ja tietoaineistojen turvaamiseksi on toteutettu tai aiottu toteuttaa. Viranomaisten on pitänyt kuvata tietoturvallisuusjärjestelyt henkilörekistereihin henkilötietolain (523/1999) 10 §:n nojalla. Samoin tietosuoja-asetuksen 30 artiklan käsittelytoimia koskevassa selosteessa on kuvattava tekniset ja organisatoriset turvatoimet, joten tietoturvallisuustoimenpiteiden kuvausvelvollisuus ei olisi uusi, vaan voimassa oleviin vaatimuksiin nähden täydentävä.

Pykälän 3 momentissa olisi säädetty tiedonhallinnan muutosten arviointivelvollisuudesta. Eduskunnan tarkastusvaliokunta on todennut mietinnössään 7/2014 vp, että ministeriöiden ja virastojen hanketoiminnan ja projektien johtaminen sekä hankkeiden tuloksellisuuden seuranta ja arviointi kuuluvat ministeriöiden ja virastojen johdon vastuulle. Ehdotettavalla pykälällä pyritään vahvistamaan tietojärjestelmien hanketoiminnan taloudellisten ja toiminnallisten riskien ennakointia ja suunnitelmien saattamista realistiselle pohjalle. Samoin pyritään edistämään yhteentoimivuuden ja tietoturvallisuuden toteuttamista. Tiedonhallintaa koskevien muutoksien ohjaus kuuluu asianmukaiseen tiedonhallintayksikön johtamiseen. Pykälään ei kuitenkaan erikseen ehdoteta johdon vastuuttamista tiedonhallinnan muutossuunnitelman hyväksymisessä, koska johdon vastuulla on huolehtia kokonaisuudessaan tiedonhallinnan järjestämisestä 4 §:n nojalla. Velvollisuus ei olisi uusi, koska julkisuuslain 18.1 §:n 3 kohta on edellyttänyt arvioimaan hallinnollisten ja lainsäädännöllisten uudistusten sekä tietojärjestelmien käyttöönoton yhteydessä uudistusten vaikutukset tiedonhallintaan. Pykälän 3 momentin mukaan suunniteltaessa tiedonhallintamallin sisältöön vaikuttavia olennaisia hallinnollisia uudistuksia ja tietojärjestelmien käyttöönottoa, tiedonhallintayksikössä on arvioitava näihin kohdistuvat muutokset ja niiden vaikutukset suhteessa:

- tiedonhallinnan vastuisiin, jolla tarkoitetaan muutoksia, jotka voivat johtua järjestämisvastuun muutoksista, palvelutuotannon muutoksista tai tietojärjestelmien tuotannon uudistuksista. Tiedonhallinnan vastuiden osalta tulisi arvioida muuttuvatko rekisterinpitäjän vastuut, viranomaisen vastuut, palveluntuottajan vastuut ja miten näiden vastuiden muutokset vaikuttavat tiedonhallinnan vastuisiin, joista on säädetty tässä tai muussa laissa. Erityisesti tulisi arvioida, miten tiedonsaantioikeuksien toteuttamiseen liittyvä toimivalta määräytyy muutosten jälkeen. Esimerkiksi tilanteessa, jossa tiedonhallintayksikkö päättää ulkoistaa palvelujaan, tulisi kuvata, miten tiedonhallinnan vastuut muuttuvat ulkoistuksen yhteydessä. Vastaavalla tavalla palvelukeskusten käytön osalta pitäisi kuvata palvelukeskuksen vastuut suhteessa tiedonhallintayksikköön.

- 4 luvussa säädettyihin tietoturvallisuusvaatimuksiin ja -toimenpiteisiin, jolla tarkoitetaan riskiarviota, jossa selvitetään, minkälaisia riskejä muutos voi aiheuttaa tiedonhallinnalle, tietojenkäsittelylle, tietojärjestelmille ja tietoaineistoille. Riskikartoituksen perusteella tiedonhallintamalliin suunniteltaisiin toimenpiteet, joilla riskit voidaan minimoida. Ennakollisen suunnittelun tarkoituksena on varmistaa tietojen saanti ja viranomaisen toiminta lakisääteisten tehtävien hoitamiseksi ja palvelujen tuottamiseksi.

- 5 luvussa säädettyihin tietoaineistojen muodostamista ja luovutustapaa koskeviin vaatimuksiin, jolla tarkoitetaan muun muassa arviota siitä, voidaanko tässä laissa säädetyistä velvollisuuksista poiketa laissa säädetyillä perusteilla. Arviosta tulisi ilmetä perusteet, jos sähköiseen muotoon muuttamisesta tai säilyttämisestä poiketaan laissa säädetyillä perusteilla. Niin ikään arviosta tulisi ilmetä, mitkä tiedot ovat saatavilla koneluettavassa muodossa laissa säädetyllä tavalla. Arvioon sisältyisi myös perusteet, jos viranomaiselle olisi tarve kerätä hallinnon asiakkailta otteita ja todistuksia, vaikka tiedot olisivat saatavilla laissa tarkoitetulla tavalla luotettavasti ja ajantasaisesti teknistä rajapintaa tai katseluyhteyttä käyttämällä. Arviolla tiedonhallintayksikkö tai viranomainen voivat osoittaa, että laissa säädettyjen velvollisuuksien poikkeuksille on olemassa olevat arviointiin perustuvat perusteensa.

- 6 luvussa säädettyihin asian ja palvelujen tiedonhallinnan vaatimuksiin sekä muualla laissa säädettyihin asiakirjojen julkisuuteen, salassapitoon, suojaan ja tiedonsaantioikeuksiin. Arvioinnissa tulisi kiinnittää erityisesti huomiota siihen, että tietojen julkisuus ja salassapito toteutuvat muutostenkin jälkeen lainsäädännössä edellytetyllä tavalla. Niin ikään arvioinnissa olisi otettava huomioon muualla lainsäädännössä asetetut vaatimukset tietojen suojaamiseksi. Asianhallinnan ja palvelujen tiedonhallinnan muutoksia voisivat olla uuteen tietojärjestelmään tehtävät asianhallinnan toiminnallisuudet sekä asiankäsittelyn metatietojen määritykset. Jos muutoksen seurauksena muodostuu täysin uusia tietoaineistoja, tulisi jo arviointivaiheessa varmistaa, että ne olisivat tietosisältöön oikeutettujen viranomaisten ja muiden toimijoiden hyödynnettävissä tiedonsaantioikeuksien mukaisesti.

Pykälän 3 momentin mukaan tiedonhallintayksikön olisi arvioinnissaan otettava huomioon viranomaisen toiminnan kannalta keskeisten tietovarantojen yhteentoimivuus sekä niiden hyödynnettävyys tietoaineistoja muodostettaessa ja käytettäessä. Säännöksellä tarkoitetaan sitä, että tiedonhallintayksikössä olisi selvitettävä, voidaanko olemassa olevien tiedonsaantioikeuksien puitteissa ja käytettävissä olevalla teknologialla hyödyntää olemassa olevia toisten viranomaisten tietovarantoja tai yhteisiä tietovarantoja vai onko tiedot kerättävä asianosaiselta tai asiakkaalta. Tietojen hyödynnettävyyden arvioinnin tarkoituksena on osaltaan parantaa tiedonhallintayksiköiden edellytyksiä kehittää ja automatisoida omia tiedon luovutus- ja vastaanottoprosesseja sekä edistää tietojen luovutuksen automatisointia tapahtuvaksi pääsääntöisesti teknisten rajapintojen avulla. Arviointivelvollisuudella pyritään myös ohjaamaan tiedonhallintayksiköitä hyödyntämään tehokkaasti jo kerättyjä tietoja sekä varmistamaan, että tiedon tarvitsijat saavat tiedot, joihin niillä on oikeus.

Arvioinnin sisältö riippuu siitä, minkälaisia muutoksia tiedonhallintayksikkö tekee ja mihin toimintaan uudistukset kohdistuvat. Esimerkiksi hallintotoimintaan kohdistuvat muutokset ja niiden arviointitarve voi poiketa lainkäyttöön liittyvien muutosten arviointitarpeesta. Arvion laajuus ja tarkka sisältö jäävät tiedonhallintayksikköjen harkintaan, mutta tiedonhallintalautakunta voisi tiedonhallinnan menettelyjen yhtenäistämiseksi antaa esimerkiksi suosituksen arvioinnin tekemisestä. Laissa olisi myös säädetty siitä, että arviointi olisi tehtävä olennaisia hallinnollisia uudistuksia tai tietojärjestelmien käyttöönottoja tehtäessä. Siten tiedonhallintayksikön harkintaan jäisi, miltä osin ja missä laajuudessa arvio tehtäisiin. Esimerkiksi tietojärjestelmän uuden version käyttöönotto ei välttämättä edellyttäisi arvioinnin tekemistä, mutta uuden tietojärjestelmän käyttöönotto olisi laissa tarkoitettu olennainen tietojärjestelmän uudistus. Niin ikään hallinnollisten uudistusten tekemisen olennaisuus vaikuttaa arviointivelvollisuuden toteuttamiseen ja sisältöön. Muutokset, joilla ei olisi vaikutusta tiedonhallintamallin vähimmäissisältöön, ei edellyttäisi muutosten arviointia. Laissa säädetty arviointivelvollisuus olisi täydentävä suhteessa tietosuoja-asetuksen 35 artiklassa säädettyyn vaikutusarviointiin nähden.

Pykälän 3 momentin mukaan arvioinnin perusteella tiedonhallintayksikön on ryhdyttävä tarpeellisiin toimenpiteisiin tiedonhallintamallin muuttamiseksi ja muutosten toimeenpanemiseksi. Siten säännös tarkoittaa sitä, että tiedonhallintayksikössä toimivilla viranomaisilla on toimintavelvollisuus ryhtyä toimenpiteisiin tehdyn arvioinnin perusteella, jotta viranomaisten toiminta voidaan turvata sekä yksilöiden edut, oikeudet ja velvollisuudet toteuttaa. Momentti sisältäisi myös selvyyden vuoksi tarpeelliset viittaukset tietosuojalainsäädäntöön. Tietosuoja-asetuksen 35 artiklassa on säädetty tietosuojaa koskevasta vaikutuksenarvioinnista ja 36 artiklassa on säädetty tähän liittyvästä valvontaviranomaisen ennakkokuulemismenettelystä. Tietosuoja-asetuksessa säädetyt velvollisuudet ja menettelyt tulisi ottaa huomioon tiedonhallinnan muutosvaikutuksia arvioitaessa. Vastaavasta tietosuojan vaikutusarvioinnista on säädetty laissa henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ja ylläpitämisen yhteydessä (HE 31/2018 vp). Tietosuojasääntely ja tiedonhallintalain säännökset muodostavat toisiaan täydentävän arviointikokonaisuuden.

3 luku Julkisen hallinnon tiedonhallinnan yleinen ohjaus

6 §. Tietovarantojen yhteentoimivuuden yleinen ohjaus. Pykälässä säädettäisiin julkisen hallinnon tietovarantojen yhteentoimivuuden yleisestä ohjauksesta. Jokainen viranomainen vastaa omien tietovarantojensa ylläpidosta ja kehittämisestä toimivaltansa puitteissa. Kuitenkin verkostomaisesti toimivassa hallinnossa on kehitetty yhteisiä tietovarantoja joko viranomaisten yhteiseen käyttöön tai yhteiskunnan yleiseen käyttöön. Tietovarantojen tietoja hyödynnetään sähköisessä muodossa yhteiskunnan eri toiminnoissa. Jotta viranomaisten tietovarantojen keskinäinen yhteentoimivuus voitaisiin varmistaa ja yhteensovittaa kansallisella tasolla, tarvitaan tähän tätä työtä ohjaava viranomainen, jonka tehtävistä olisi säädetty ehdotettavassa pykälässä.

Pykälän 1 momentin mukaan valtiovarainministeriön tehtävänä olisi julkisen hallinnon yhteisten tietovarantojen yhteentoimivuuden yleinen ohjaus. Momentissa säädettäisiin myös niistä tehtävistä, joilla ohjausta erityisesti toteutettaisiin. Tehtävät rajaavat osaltaan valtiovarainministeriön toimivaltaa ohjauksessa laissa määriteltyjen tehtävien hoitamiseen. Ehdotettu sääntely ei kuitenkaan muuttaisi tai rajaisi valtiovarainministeriön valtioneuvoston ohjesäännön mukaista toimialaa. Valtiovarainministeriön tehtävänä olisi yhteentoimivuuden yleisen ohjauksen toteuttamiseksi 1 momentin toisen virkkeen 1 kohdan mukaan huolehtia julkisen hallinnon tiedonhallintakartan ylläpidosta. Julkisen hallinnon tiedonhallintakartan tarkoituksena on tuottaa pääpiirteinen kuvaus julkisen hallinnon tiedonhallinnasta, jonka perusteella voidaan suunnitella ja kehittää julkisen hallinnon tietovarantojen ja tietojärjestelmien yhteentoimivuutta. Tiedonhallintakartan tarkoituksena on muodostaa riittävän laaja ja kattava kuvaus julkisen hallinnon toimintaa tukevan tiedonhallinnan järjestämisestä sekä tietovarantojen välisistä tietovirroista keskeisten yhteentoimivuuden ongelmakohtien sekä niiden vaikutusten arvioimiseksi. Lisäksi julkisen hallinnon tiedonhallintaa ja sen järjestämistä koskeva kuvaus muodostaisi jatkossa paremmat lähtökohdat arvioida laajojen hallinnollisten tai rakenteellisten muutosten vaikutuksia tiedonhallinnasta vastaaville viranomaisille. Julkisen hallinnon yleisen tiedonhallintakartan sisällön ylläpidosta vastaisivat ministeriöt. Ministeriöt ylläpitäisivät toimialastaan vastaavaa informaatiota ja päivittäisivät tiedonhallintakarttaa esimerkiksi silloin, kun lainsäädäntöä, toimintatapoja tai tietojärjestelmiä uudistetaan siten, että tiedonhallintakartassa kuvattuihin tietovarantoihin tulee uudistuksista johtuvia muutoksia.

Pykälän 1 momentin 2 kohdassa olisi säädetty valtiovarainministeriön tehtäväksi ylläpitää julkisen hallinnon tiedonhallinnan kehittämisen yleisiä linjauksia tietovarantojen ja tietojärjestelmien yhteentoimivuuden edistämiseksi. Käytännössä linjaukset vaikuttavat valtion virastojen ja laitosten vastuulla olevien tietovarantojen kehittämiseen, jossa valtiovarainministeriöllä olisi ohjauskeinona käytettävissä 9 §:ssä säädettäväksi ehdotettava lausuntomenettely. Siten linjaukset eivät ohjaisi valtionhallinnon ulkopuolisten tiedonhallintayksikköjen toimintaa kuin välillisesti siltä osin kuin nämä muut tiedonhallintayksiköt käyttävät yhteisiä tietovarantoja ja tietojärjestelmiä. Linjausten ylläpidon käytännön toteutus voidaan tehdä Väestörekisterikeskuksen tehtävänä ja viranomaisten välisessä yhteistyössä. Linjausten ylläpidolla tarkoitettaisiin julkisen hallinnon tietovarantojen yhteentoimivuuden varmistamiseksi tarvittavien tietomääritysten kokoamista yhteiseen palveluun saataville, kehityshankkeissa syntyvien määritysten harmonisointia ja linkittämistä Euroopan unionin tasoiseen määritystyöhön sekä määritysten käyttökelpoisuuden varmistavaa hallintamallia. Linjausten hyödyntäminen ja yhteisiin määrityksiin perustuva kehittäminen parantaa yhteentoimivuuden ohjauksen vaikuttavuutta. Pykälän 2 momentissa säädettäisiin ministeriöiden tehtävästä ylläpitää vastaavia yhteentoimivuuden linjauksia omalla toimialallaan.

Yleisen tiedonhallintakartan sisällön ylläpidosta olisi säädetty pykälän 2 momentissa, jonka mukaan ministeriöiden on huolehdittava julkisen hallinnon tiedonhallintakartan sisällön ajantasaisuudesta omalla toimialallaan. Momentti sisältäisi valtioneuvostolle asetuksenantovaltuuden siitä, mitä tietoja tiedonhallintakartta sisältää ja millä tavalla ylläpito toteutetaan. Tarkoituksena on, että valtiovarainministeriö ylläpitäisi verkkosivustoa, esimerkiksi Avoindata.fi-portaalissa, jonne tiedonhallintakartan tiedot sisällytettäisiin. Julkisen hallinnon tiedonhallintakartan sisällössä olisi samoja elementtejä kuin tietohallintolaissa tarkoitetussa julkisen hallinnon kokonaisarkkitehtuurin kuvauksessa.

Valtiovarainministeriön yleisellä ohjauksella edistettäisiin semanttista yhteentoimivuutta. Tällä tarkoitetaan sitä, että tietojärjestelmien vaihtamien tietoaineistojen muodot ja merkityssisällöt tulkitaan tietojärjestelmien välillä samalla tavalla. Ohjaus tarkoittaisi myös sitä, että valtiovarainministeriö koordinoisi ja ohjaisi muun muassa julkisen hallinnon yhteisten tietovarantojen sanastojen määrittelyä sekä toimialakohtaisten yhteentoimivuuden linjausten laatimista, joilla mahdollistetaan osaltaan tietojärjestelmien yhteentoimivuus. Teknisten rajapintojen käyttöön liittyvästä yhteentoimivuudesta olisi säädetty erikseen 22—24 §:ssä. Tähän liittyvien tietorakenteiden kuvausten määrittely olisi ehdotetun lain 22 §:n perusteella kunkin viranomaisen vastuulla. Suunniteltaessa usean viranomaisen välistä tietojen luovuttamista teknisen rajapinnan avulla toimialasta vastaava ministeriö tai vastaavat ministeriöt yhteistyössä ohjaisivat teknisen yhteentoimivuuden mahdollistavien rajapintojen määrittelytyötä.

Pykälän 1 momentin 1 kohdassa tarkoitetulla tiedonhallintakartalla ja valtiovarainministeriön yleiseen ohjaukseen liittyvillä tehtävillä luodaan kansallinen yhteentoimivuuden viitekehys, jolla tarkoitetaan Eurooppalaisten yhteentoimivuusperiaatteiden (EIF) esittämän lähestymistavan muuntamista kansallisten erityispiirteiden mukaiseksi sekä yhteensopivaksi eurooppalaisten toimialakohtaisten yhteentoimivuuden viitekehysten kanssa (esim. INSPIRE). Eurooppalaisten yhteentoimivuusperiaatteiden tavoitteena on edistää yhteentoimivien julkisten palvelujen tuottamista jäsenvaltioissa.

Ehdotetulla sääntelyllä muutettaisiin julkisen hallinnon tietohallinnon ohjauksesta annetussa laissa (634/2011, tietohallintolaki) säädettyä julkisen hallinnon viranomaisten tietojärjestelmien yhteentoimivuuden ohjausmekanismia vastaamaan paremmin eduskunnan edellyttämien tietojärjestelmien yhteentoimivuuden ja rajapintojen sääntelyä (EK 30/2009 vp, EK 10/2012 vp). Tietohallintolaissa julkisen hallinnon tietojärjestelmien yhteentoimivuuden ohjaus on perustunut lain 7 §:ssä julkisen hallinnon viranomaisille säädettyyn velvoitteeseen ottaa tietojärjestelmiensä suunnittelussa ja hankinnoissa huomioon ministeriöiden laatimat toimialakohtaiset yhteentoimivuuden kuvaukset sekä 9 §:ssä säädettyyn velvoitteeseen saattaa tietojärjestelmänsä vastaamaan valtioneuvoston tai ministeriön asetuksella säädettyjä ministeriöiden laatimia tietojärjestelmien yhteentoimivuuden kuvauksia ja määrityksiä. Tietohallintolain nojalla ei lain voimassa olon aikana ole annettu julkisen hallinnon viranomaisten tietojärjestelmien yhteentoimivuutta koskevia asetuksia, eikä määritelty tarkemmin sääntelyn kohteena olevan yhteentoimivuuden kuvauksen ja määrityksen sisältöä. Ohjauksen yksinkertaistamiseksi ja tehostamiseksi ei lakiin enää sisältyisi tietohallintolain monivaiheista tietojärjestelmien yhteentoimivuuden kuvausten ja määritysten valmisteluprosessia ja siihen liittynyttä asetuksenantovaltuutta. Jatkossa ehdotukseen sisältyvä yleinen tietovarantojen yhteentoimivuuden ohjaus toteutettaisiin yhteentoimivuuden edistämiseksi muodostettavilla valtiovarainministeriön ja ministeriöiden ylläpitovastuulla olevilla linjauksilla, joiden toteutuminen kehittämiskohteissa valtionhallinnon osalta varmistettaisiin 9 §:ssä säädettäväksi ehdotetulla lausuntomenettelyllä ja muun julkisen hallinnon osalta 24 §:ssä säädettäväksi ehdotetulla ministeriöiden johdolla tapahtuvalla yhteisellä suunnittelulla. Ehdotettu sääntely osin tiukentaa teknisen yhteentoimivuuden toteutuksen vaatimuksia rajapintojen kuvaamisvelvollisuudella, josta olisi säädetty ehdotetun lain 22 §:ssä.

7 §. Julkisen hallinnon tiedonhallinnan sekä tieto- ja viestintäteknisen palvelujen tuottamisen yhteistyö. Pykälässä säädettäisiin valtiovarainministeriön velvollisuudesta huolehtia julkisen hallinnon tiedonhallinnan sekä tieto- ja viestintäteknisten palvelujen tuottamisen yhteistyöstä. Yhteistyövelvoite koskisi ehdotetussa laissa sääntelykohteena olevan tiedonhallinnan ohella tieto- ja viestintäteknisten palvelujen tuottamista julkisessa hallinnossa. Lisäksi valtiovarainministeriön toimialaan kuuluu valtioneuvoston toimialaa ja ministeriöiden tehtäviä koskevien säännösten perusteella valtionhallinnon ohjaus ja valtion, maakuntien ja kuntien tietohallintoyhteistyö. Tieto- ja viestintäteknisten palvelujen tuottamisella ja yleisemminkin tieto- ja viestintäteknisten keinojen hyödyntämisellä organisaatioiden toiminnassa on läheinen vaikutus siihen, miten tämän lain mukaiset tavoitteet julkisen hallinnon toiminnassa toteutuvat. Säännöksen mukaan valtiovarainministeriön olisi järjestettävä tarvittavat yhteistyötavat ja -menettelyt, joissa on mukana valtion viranomaiset sekä maakuntien ja kuntien viranomaiset. Säännöksessä ei sidottaisi sitä, miten yhteistyö järjestetään eikä myöskään sitä, voiko yhteistyöhön osallistua myös muita tahoja kuin säännöksessä nimenomaan mainitut viranomaiset, kuten Kansaneläkelaitos. Käytännössä toimintaa voidaan järjestää nykyisellä tavalla neuvottelukunnan tai muiden yhteistyöelimien avulla.

Ehdotetun pykälän 1 momentin mukaan yhteistyön tarkoituksena olisi edistää tämän lain tarkoituksen toteuttamista sekä julkisen hallinnon toimintatapojen ja palveluiden tuotantotapojen kehittämistä tietovarantoja sekä tieto- ja viestintätekniikkaa hyödyntämällä. Yhteistyössä keskeisenä tehtävänä olisi seurata julkisen hallinnon tiedonhallinnan ja tieto- ja viestintäteknisten palvelujen kehittymistä, muutoksia ja vaikutuksia. Tehtävän mukaisesti olisi tarkoitus yhteistyössä seurata muun muassa julkisen hallinnon tiedonhallinnan kehitystä sekä arvioida julkisen hallinnon tehtäviin, palvelu- ja hallintorakenteisiin sekä tietojärjestelmiin suunniteltujen muutosten vaikutuksia julkisen hallinnon viranomaisten toimintaan.

Julkisen hallinnon tietohallinnon neuvottelukunta on toiminut vuodesta 1988 alkaen. Sitä koskeva perussäännös otettiin lain tasolle vuonna 2011 säädetyssä laissa julkisen hallinnon tietohallinnon ohjauksesta. Neuvottelukunta on ollut valtion viranomaisten, Kansaneläkelaitoksen ja kunnallisten viranomaisten pysyvä yhteistyö- ja neuvotteluelin.

Ehdotettu säännös mahdollistaa vastaavan julkisen hallinnon tietohallinnon ohjaamista neuvoa-antavan neuvottelukunnan, työryhmän tai vastaavan yhteistyöelimen asettamisen. Ehdotetun pykälän 2 momentin mukaan valtioneuvosto voi asettaa tällaisen yhteistyöelimen. Asettaessaan yhteistyöelintä valtioneuvosto voi samalla päättää yhteistyöelimen tehtävistä, toimikaudesta ja jäsenistä.

Nykyisen kaltaisen julkisen hallinnon tietohallinnon neuvottelukunnan toiminnan jatkamiseen vaikuttaa ehdotetun lain 10 §:ssä tarkoitetun tiedonhallintalautakunnan perustaminen. Erityisesti tämä vaikuttaisi neuvottelukunnan tai vastaavan yhteistyöelimen avulla tehtävään ohjaukseen siten, ettei se enää jatkossa antaisi julkisen hallinnon tietohallinnon suosituksia (JHS), jotka koskevat tiedonhallintaa. Tiedonhallintaa koskevia suosituksia antaisi jatkossa tiedonhallintalautakunta. Julkisen hallinnon tietohallinnon suositukset on valmisteltu julkisen hallinnon tietohallinnon neuvottelukunnan koordinoimana työnä. Työhön on osallistunut laajasti julkisen hallinnon tietohallinnon ohjaukseen ja kehittämiseen osallistuvia sidosryhmiä. Julkisen hallinnon tietohallinnon neuvottelukunnan antamat suositukset eivät ole koskeneet pelkästään tietohallintoa, vaan ne ovat kohdistuneet myös asiakirjahallintoon ja muuhun tiedonhallintaan. Työtä on tehty henkilöiden varsinaisen työn ohella ilman erilliskorvauksia. Jonkin verran valmistelutyötä on ostettu ostopalveluna valtiovarainministeriön ja Väestörekisterikeskuksen toimesta. Tällaisen työn tehokas järjestäminen on nähty haasteellisena. Lisäksi tietohallintolain sääntelykohteena olevia julkisen hallinnon tietohallinnon yhteistä kokonaisarkkitehtuuria ja yhteentoimivuuden kuvauksia ja määrityksiä koskeviin suosituksiin perustuvia standardeja ei ole annettu lainkaan. Tämän syynä on käytännössä ollut se, ettei tietohallintolain mukainen valmisteluprosessi ole ollut toimiva sitovamman luonteisten standardien antamiseksi. Jatkossakin muiden kuin tiedonhallintaa koskevien suositusten valmistelussa voidaan koordinoida ja toteuttaa säännöksessä tarkoitetun yhteistyöelimen puitteissa tai valtiovarainministeriön taikka muun toimivaltaisen viranomaisen, kuten Väestörekisterikeskuksen toimesta.

Yhteistyöelimien kautta tapahtuvaa toimintaa on jatkossa tarkoitus kehittää enemmän toiminnan kehittämistä strategisesti ja ennakollisesti ohjaavaksi. Julkisen hallinnon tieto-hallinnon ja toiminnan kehityksen digitalisaatio on nostanut entistä tärkeämmäksi huolehtia niin sanotusta poikkihallinnollisesta yhteistyöstä. Näin ollen jatkossakin on tarkoituksenmukaista, että valtion viranomaisten, kuntien ja maakuntien viranomaisten sekä muiden julkisoikeudellisten yhteisöjen, kuten Kansaneläkelaitoksen, välinen yhteistyö on valtiovarainministeriön yhteyteen järjestetty. Yhteistyötä olisi syytä tehdä myös muiden julkisen hallinnon tiedonhallinnan ja tieto- ja viestintäteknisten palvelujen tuottamisen edistämiseen osallistuvien toimijoiden kanssa. Yhteistyöhön on tarpeen ottaa mukaan myös maakunnat. Tarkoituksenmukaista on, että nykyisessä nopeasti muuttuvassa toimintaympäristössä ja moninaisessa kehitystyössä jätetään järjestäytymistapa kuitenkin valtioneuvoston joustavammin ratkaistavaksi. Edelleenkin neuvottelukuntarakenne voi olla toimiva.

Valtion viranomaisten, kuntien ja maakuntien viranomaisten yhteistyössä olisi jatkossa edelleen syytä edistää julkisen hallinnon toimintatapojen ja palveluiden tuotantotapojen kehittämistä tieto- ja viestintätekniikkaa hyödyntämällä. Tämän yhteisen tavoitteen ympärille muodostettavan neuvottelukunnan tai vastaavan yhteistyöelimen tehtävänä voisi olla seurata julkisen hallinnon digitalisaation ja tietohallinnon yleistä kehitystä sekä seurata julkisen hallinnon tehtäviin, palvelu- ja hallintorakenteisiin sekä tietojärjestelmiin suunniteltujen muutosten vaikutuksia julkiseen talouteen ja julkisen hallinnon viranomaisten toimintaan tiedonhallinnan tai tieto- ja viestintäteknisten palvelujen tuottamisen näkökulmasta. Seurantatehtävien tarkoituksena olisi parantaa laajakantoisten uudistusten vaikutusten arviointia kaikkien julkisen hallinnon sektoreiden näkökulmasta uudistusten valmisteluvaiheessa. Merkittävien uudistusten laaja-alainen arviointi tukisi kehittämisprojektin tai lainsäädäntöhankkeen valmistelusta vastaavien tehtäviä muodostamalla jo muutosten suunnitteluvaiheessa näkemyksen ehdotuksen vaikutuksesta julkisen hallinnon tietohallintoon. Toiminnassa voitaisiin käsitellä julkisen hallinnon toimintaan vaikuttavia periaatteellisesti tärkeitä ja laajakantoisia julkisen hallinnon toimintaan, tiedonhallintaan ja tietojärjestelmiin liittyviä kehittämisprojekteja, lainsäädäntöhankkeita sekä rakenteellisia uudistuksia. Neuvottelukunta voisi muodostaa näistä käsityksensä ja saattaa se projekteista, hankkeista ja uudistuksista vastaavien tietoon. Neuvottelukunnan olisi mahdollista tehtäviensä toteuttamiseksi tehdä selvityksiä ja aloitteita. Yhteisten ja laaja-alaisten muutosten arvioimiseksi ja hallinnoimiseksi yhteisesti koordinoidusti, esimerkiksi neuvottelukunnan käynnistämänä, voitaisiin toteuttaa myös erillisiä selvitys- ja tutkimustoimenpiteitä sekä tehdä kehittämisehdotuksia.

Ehdotettu säännös edellyttää valtiovarainministeriötä huolehtimaan yhteistyöstä laajasti. Toisaalta säännös mahdollistaa sen, että yhteistyöelimiä on useampia siten kuin asiakokonaisuuksien kannalta kulloinkin on tarpeellista. Tällä hetkellä säännöksessä tarkoitetuissa asiakokonaisuuksia koskevaa yhteistyötä ja valtiovarainministeriön ohjauksen tueksi on asetettu julkisen hallinnon digitaalisen turvallisuuden johtoryhmä (VAHTI) sekä ministeriöiden tietohallintojohtajien yhteistyöryhmä, Tietohallinnon kehittämis- ja koordinaatioryhmä. Ehdotettu säännös mahdollistaisi myös tämän kaltaisten toimijoiden muodostamisen ja asettamisen tarvittaessa valtioneuvoston asetuksella erikseen tai osana edellä mainittua neuvottelukuntatoimintaa, esimerkiksi neuvottelukunnan alaisina jaostoina.

8 §. Tiedonhallinnan muutosten arviointi valtion tiedonhallintayksiköissä. Pykälän 1 momentissa säädettäisiin valtion tiedonhallintayksiköiden velvollisuudesta lain tarkoituksen toteuttamiseksi arvioida lain 5 §:n 3 momentissa säädetyn tiedonhallintamalliin vaikuttavien muutosten lisäksi myös muutoksen aiheuttamat taloudelliset vaikutukset. Taloudellisten vaikutusten arviointi tehdään samassa yhteydessä tiedonhallintaa koskevien vaikutusten arvioinnin kanssa.

Taloudellisilla vaikutuksilla tarkoitettaisiin tässä tiedonhallintayksikön tai siinä toimivan viranomaisen suunnitteleman muutoksen taloudellisia vaikutuksia tiedonhallintayksikölle sekä myös laajemmin valtion ja julkisen talouden kokonaisuuksissa. Taloudelliset vaikutukset voisivat tarkoittaa säästöjä tai menojen lisäyksiä. Arvioinnin lähtökohtana ovat muutoksen toteutuksen edellyttämät määrärahatarpeet sekä muutoksen taloudelliset vaikutukset uudistusta toteuttavan tiedonhallintayksikön toimintaan. Muutoksen kokonaisvaikutuksen esittämiseksi, tiedonhallintayksikön tulisi pyrkiä arvioimaan vaikutukset myös muutoksen kohteeseen liittyvien muiden tiedonhallintayksilöiden osalta ja eritellä vaikutukset julkisen talouden sektoreittain (valtio, maakunnat, kunnat sekä lakisääteiset työeläkeyhtiöt ja -laitokset ja muut sosiaaliturvarahastot). Muutoksen arviointi julkisen talouden osalta on merkityksellinen, jotta tiedonhallintayksikkö tunnistaisi uudistusten taloudelliset vaikutukset hyvissä ajoin ennen varsinaista suunnitelman toimeenpanoa ja suunnitelman viemistä osaksi toiminnan ja talouden suunnitelmaa.

Ehdotettavalla pykälällä pyritään vahvistamaan tietojärjestelmien hanketoiminnan taloudellisten ja toiminnallisten riskien ennakointia ja suunnitelmien saattamista realistiselle pohjalle. Eduskunnan tarkastusvaliokunta on todennut mietinnössään 7/2014 vp, että ministeriöiden ja virastojen hanketoiminnan ja projektien johtaminen sekä hankkeiden tuloksellisuuden seuranta ja arviointi kuuluvat ministeriöiden ja virastojen johdon vastuulle. Lisäksi eduskunta on edellyttänyt, että hallitus arvioi merkittävien ICT-hankkeiden tuloksia, kustannuksia ja tuottavuushyötyjä. Valtion tiedonhallintayksiköiden tiedonhallintaa koskevien muutosten arviointi ja muutoksen taloudellisen vaikutuksen esittäminen jo muutosten suunnittelun yhteydessä tukisi hankkeen toteutuksen suunnittelun lisäksi hankkeen seurannassa käytettävien arviointimenetelmien ja mittareiden suunnittelua.

Pykälän 2 momentin mukaan toimialasta vastaavan ministeriön on laadittava myös tiedonhallinnan muutosten arvointi, kun lainvalmisteluun liittyy tiedonhallintaa koskevia säännöksiä. Säännöksen tarkoituksena olisi varmistaa, että lainsäädännön valmisteluvaiheessa tunnistetaan tiedonhallintaan kohdistuvien säännösten vaikutukset viranomaisten toimintaan ja että arvioinnin perusteella voidaan ryhtyä suunnittelemaan kohdealueen tiedonhallinnan muutoksia tarkemmin. Arvioinnin avulla lainvalmistelussa tunnistetaan nykytila ja suoritetaan arvio tavoitetilasta valmisteltavan lain näkökulmasta. Vastaava tiedonhallinnan muutosten arviointi pitäisi tehdä myös asetusten valmistelun yhteydessä, jos ne kohdistuvat tiedonhallintaan.

Pykälä toimisi myös lähtökohtana 9 §:ssä säädettäväksi ehdotetulle valtiovarainministeriön lausunnolle yhteisten tietovarantojen ja tietojärjestelmien hyödyntämisestä, yhteentoimivuudesta ja tietoturvallisuudesta.

9 §. Lausunto muutosten arvioinnista valtionhallinnossa. Pykälässä säädettäisiin valtiovarainministeriön toimivallasta ohjata valtionhallinnon tiedonhallinnassa käytettävien tietovarantojen ja tietojärjestelmien hyödyntämistä, yhteentoimivuutta sekä tietoturvallisuutta.

Eduskunnan tarkastusvaliokunta on todennut mietinnössään 7/2014 vp, että ministeriöiden ja virastojen hanketoiminnan ja projektien johtaminen sekä hankkeiden tuloksellisuuden seuranta ja arviointi kuuluvat ministeriöiden ja virastojen johdon vastuulle. Valiokunta edellytti, että hallitus arvioi merkittävien ICT-hankkeiden tuloksia, kustannuksia ja tuottavuushyötyjä osana hankesalkun seurantaa ja raportoi tuloksista eduskunnalle. Eduskunta on edellyttänyt hallituksen valmistelevan valtion tietohallinnon vaikuttavuuden lisäämiseksi tarpeellisen lainsäädännön, jossa määritellään valtiovarainministeriön ohjaustoimivalta ja muut tarpeelliset asiat (TrVM 1/2008 vp, EK 11/2008 vp). Valtiovarainministeriön ohjaustoimivalta on perustunut muun muassa tietohallintolaissa säädettyyn lausuntomenettelyyn.

Ehdotuksen mukaan valtiovarainministeriö lausuisi valtion tiedonhallintayksikön toimittaman arvion perusteella tietovarantojen ja tietojärjestelmien hyödyntämisestä, yhteentoimivuudesta sekä tietoturvallisuudesta. Lausuntomenettelyllä varmistettaisiin, että valtionhallintoon ja julkisen hallinnon yhteiseen käyttöön kehitettävissä tietovarannoissa olisi huolehdittu semanttisesta yhteentoimivuudesta ja tehokkaasta tietojen hyödyntämisestä ja että tietojärjestelmien yhteentoimivuus, tietoturvallisuus ja yhteisten tieto- ja viestintäteknisten palvelujen käyttö olisi otettu huomioon asianmukaisella tavalla.

Ehdotettavassa pykälässä säädettyä valtiovarainministeriön ohjaustoimivaltaa, ei olisi kiinnitetty enää tietohallintolain mukaisesti tietojärjestelmien hankintoihin, vaan lausunto annettaisiin 8 §:ssä säädettäväksi ehdotetusta valtionhallinnon tiedonhallintayksiköiden tiedonhallinnan muutosten arvioinnista. Kysymys olisi kehitystyön varhaisen vaiheen ohjauksesta, jolloin varsinaista muutoksen toteutuksen suunnitteluhanketta ei olisi vielä käynnistetty. Tiedonhallinnan muutosten arviointi tulisi toimittaa valtiovarainministeriölle, kun arvioidulla muutoksella on merkittäviä taloudellisia tai toiminnallisia vaikutuksia tiedonhallintaan tai toimintaan taikka muutos koskee julkisen hallinnon yhteisten tietovarantojen rajapintojen tietorakenteiden olennaisia muutoksia. Yhteisten tietovarantojen rajapintojen tietorakenteiden olennaisilla muutoksilla tarkoitetaan tilanteita, jossa tietovarannon tietosisältöön liittyvät muutokset tai tietovarannon tietojen luovuttamisessa käytettävien rajapintojen toiminnalliset tai tekniset muutokset aiheuttavat taloudellisia resursseja vaativan muutostarpeen tietovarantoja hyödyntäville tahoille. Lausunnon yhteisten tietovarantojen rajapintoja koskevan osuuden tarkoituksena on varmistaa, että jatkossa tietovarantojen tiedonvaihtoon liittyvien muutosten vaikutukset arvioidaan riittävän kattavasti kaikkien tietovarannon tietoja hyödyntävien tahojen osalta. Siten kaikkia tiedonhallinnan muutoksia koskevia suunnitelmia ei tarvitsi toimittaa valtiovarainministeriöön lausuntoa varten, vaan ainoastaan tiedonhallinnan muutoksista johtuvat merkittävät ja vaikutuksiltaan laajat suunnitelmat.

Valtiovarainministeriö ohjaisi tietojärjestelmähankkeiden toteuttamista taloudellisesti myös valtion talousarviolain (423/1988) ja talousarvioasetuksen (1243/1992) perusteella. Tähän ohjausmalliin on suunnitteilla olemassa olevan valtiontalouden suunnitteluun ja talousarvion soveltamismääräyksiin perustuen investointien ohjausmalli, joka kohdistuisi tietojärjestelmäinvestointien arviointiin.

Pykälän mukaan valtiovarainministeriöllä olisi oikeus saada valtion tiedonhallintayksiköissä toimivilta viranomaisilta salassapitosäännösten estämättä välttämättömät tiedot lausunnon laatimista varten. Säännöksen tarkoituksena on varmistaa valtiovarainministeriön riittävä tiedonsaantioikeus tiedonhallinnan muutosten arviointeihin, jotka voivat olla salassa pidettäviä. Pykälä sisältäisi myös asetuksenantovaltuuden valtioneuvostolle antaa tarkentavia säännöksiä lausuntoasiassa noudatettavista menettelyistä.

10 §. Julkisen hallinnon tiedonhallintalautakunta. Suomessa ei ole yhtä viranomaista, joka keskittyisi koko julkisen hallinnon tiedonhallinnan kehittämiseen ja arviointiin, vaan tiedonhallinnan kehittämistä toteuttavat useat viranomaiset kukin omalla toimialallaan. Julkisen hallinnon tiedonhallintaan liittyvää yhteistyötä on koordinoitu eri aikoina erilaisissa viranomaisten välisissä yhteistyöryhmissä ja valtionhallinnon tietoturvallisuuden johtoryhmän työssä sekä julkisen hallinnon tietohallinnon neuvottelukunnassa. Perusrekisteriviranomaisilla on ollut eri aikoina erilaista yhteistyötä Rekisteripoolin ja perusrekisteriasiainneuvottelukunnan yhteydessä. Niin ikään sosiaali- ja terveydenhuollossa on tiedonhallinnan yhteistyötä organisoitu erilaisten yhteishankkeiden sekä sosiaali- ja terveydenhuollon sähköisen tietohallinnon neuvottelukunnan toiminnassa. Kansallisarkisto on antanut ohjeita ja määräyksiä arkistolakiin ja sähköisestä asioinnista viranomaistoiminnassa annetun lakiin perustuen, mutta määräysten antamisessa on ilmennyt ongelmia nykyisen perustuslain 80 §:n 2 momentissa säädettyyn lainsäädäntövallan delegointisäännökseen nähden. Määräykset ovat pitäneet sisällään myös vaatimuksia muun muassa viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta annetun asetuksen noudattamisesta kunnissa, vaikka julkisuuslaissa valtioneuvoston asetuksenantovaltuuskaan ei anna mahdollisuutta säätää asetuksella näistä asioista kuntia koskien. Informaatio-ohjaus on hajautunut siten, että tiedonhallinnan kokonaiskehittämistä ei ole pystytty toteuttamaan toimintaympäristön muutoksiin nähden riittävän tehokkaasti ja vastuullisesti työryhmä- ja neuvottelukuntatyönä. Tietohallinnon ja asiakirjahallinnon informaatio-ohjausta on pyritty tekemään julkisen hallinnon tietohallinnon neuvottelukunnan antamien JHS-suositusten kautta. Osa suosituksista on muodostunut näille aloille yleiseksi käytännöksi.

Tiedonhallinta perustuu monialaiseen asiantuntijoiden ja usean viranomaisen väliseen yhteistyöhön tiedonhallintayksiköissä, joten tästä syystä tiedonhallinnan kehittäminen ja informaatio-ohjaus tulisi järjestää monialaisesta asiantuntemuksesta koostuvaksi toimielimeksi. Monialaisen asiantuntemuksen käyttötarve ei ole jatkuvaa, vaan sitä tarvitaan päätöksiä valmisteltaessa ja tehtäessä. Tästä syystä ei ole perusteita esimerkiksi pysyvään lisäresursointiin monialaisen asiantuntemuksen varmistamiseksi, vaan lautakuntamalli toimisi tarkoituksenmukaisena tapana huolehtia eri näkökulmien huomioon ottamisesta ja perusoikeuksien, kuten julkisuusperiaatteen, oikeusturvan ja muiden hyvän hallinnon takeiden turvaamisesta tiedonhallinnassa. Lautakuntien tehtävänä on tyypillisesti omalla toimialalla ohjata, edistää ja valvoa alan toimintaa, kun taas neuvottelukuntien tarkoituksena on tyypillisesti pysyväisluonteisesti valmistella erilaisia asioita eri sidosryhmien välisenä yhteistyönä tai kehittää muuten alan toimintaa. Ehdotettavat tiedonhallinnan ohjaukseen liittyvät tehtävät ovat lautakunnalle tyypillisesti kuuluvia.

Tiedonhallinnan lakisääteisten vaatimusten toteuttamista ei ole arvioitu systemaattisesti eikä arviointia ole pystytty tekemään selkeänä ohjauksena. Tiedonhallinnan ongelmat kuitenkin ilmenevät ylimpien laillisuusvalvojien kanteluasioiden ratkaisuissa, joissa on kiinnitetty eri viranomaisten huomiota julkisuuslain 18 §:ssä säädettyjen vaatimusten noudattamiseen muun muassa tiedonsaannin estyttyä, kun henkilöstö ei ole tuntenut tiedonsaantiin liittyviä menettelysäännöksiä tai asiakirjoja ei ole rekisteröity asianmukaisella tavalla (ks. esimerkiksi OKV/1153/1/2014, 28.10.2015; OKV/1225/1/2012, 5.11.2014; OKV/1156/1/2013, 13.10.2014; OKV/1138/1/2013, 13.10.2014; OKV/1640/1/2012 ja OKV/1645/1/2013, 19.8.2014; EOAK/6253/2017, 5.7.2018; EOAK/4311/2017, 7.12.2017; EOAK/1473/2016, 18.9.2017). Tiedonhallinnan menettelyjen yhtenäistämiseksi, julkisuusperiaatteen toteuttamiseksi sekä tiedonhallinnan sääntelyn toimeenpanon ja noudattamisen tehosteeksi laissa ehdotettaisiin säädettäväksi julkisen hallinnon tiedonhallintalautakunnasta.

Lain 10 §:n 1 momentin mukaan valtiovarainministeriön yhteydessä toimisi julkisen hallinnon tiedonhallintalautakunta (tiedonhallintalautakunta), jonka tehtävänä olisi arvioida valtion virastojen ja laitosten sekä kuntien, kuntayhtymien ja maakuntien tämän lain 4 §:n 3 momentin, 5 §:n, 19 §:n, 22—24 §:n ja 6 luvun säännösten toteuttamista ja noudattamista. Arviointitehtävä on tarpeellinen, koska arviointiin kuuluvilla säännöksillä edistetään tiedonsaantioikeuksien ja hyvän hallinnon vaatimusten toteuttamista. Arviointitehtävä on tarpeellinen perusoikeuksien toteutumisen varmistamiseksi tiedonhallinnassa. Ylimmille laillisuusvalvojille tulevat kantelut indikoivat sitä, että viranomaisten tiedonhallinnassa on varsin yleisesti puutteita, jotka heijastuvat ongelmiin tiedonsaantioikeuksien toteuttamisena sekä tietojärjestelmien puutteiden vuoksi palvelujen saatavuudessa. Tiedonhallinnan menettelyjen arviointi edistää paitsi laissa säädettyjen velvoitteiden täytäntöönpanon varmistamista, mutta mahdollistaa tiedonmuodostamisen siitä, miten tiedonhallintalaki toimii käytännössä sekä miten tiedonhallinnan menettelyitä voidaan kehittää voimassa olevan lainsäädännön puitteissa. Arviointitehtävää ei pidä nähdäkään pelkästään valvonnallisena, vaan myös tiedonhallintaa kehittävänä ja ohjaavana.

Tiedonhallintalautakunnassa integroitaisiin tiedonhallintaan liittyvät näkökulmat asiantuntijoiden väliseksi yhteistyöksi, jolloin tiedon elinkaareen vaikuttavat näkökulmat tulevat kattavammin huomioiduksi. Koska tiedon elinkaaren eri osa-alueet asettavat tiedonhallinnalle erilaisia vaatimuksia, on perusteltua, että niiden ohjausta ja kehittämistä toteutetaan toimielimeksi organisoidussa viranomaisessa.

Momentin 1 kohdan mukaan tiedonhallintalautakunnalla olisi arviointitehtävä sen varmistamiseksi, että tiedonhallinnan menettelyt toteutetaan viranomaisissa ja että menettelyissä oleviin tulkinnallisiin ongelmiin voidaan antaa hallinnollista ohjausta. Arviointimenettelyllä on tarkoitus kerätä tietoa tiedonhallinnan menettelyjen toimivuudesta, mutta myös sen varmistaminen, että keskeisiä tiedonhallintaan liittyviä laissa säädettyjä menettelyitä noudatetaan. Lautakunnan arviointitehtävään ei kuulu suositusten noudattamisen valvonta, koska suositukset ovat informaatio-ohjausta, johon ei sisälly velvoittavia elementtejä. Arviointitehtävän avulla tiedonhallintalautakunta voi esittää myös tulkintoja tiedonhallintalain arviointikohteena olevien säännösten soveltamisesta, joka puolestaan ohjaa tiedonhallinnan menettelyjen yhtenäistämistä. Arviointitehtävän toteuttamisesta olisi säädetty tarkemmin ehdotettavan lain 11 §:ssä. Arviointitehtävä kohdistuisi valtion virastojen ja laitosten tiedonhallintaan sekä maakuntien, kuntien ja kuntayhtymien tiedonhallintaan siltä osin kuin se koskee lakisääteisten tehtävien hoitamista. Tämä soveltamisalan rajaus olisi todettu 3 §:ssä olevissa soveltamisalaa koskevissa säännöksissä. Arviointitehtävään liittyvää toimivaltaa on rajattu myös muutoin 3 §:ssä, jossa on säädetty 3 luvun soveltamista koskevista rajoituksista. Arviointitehtävä ei ulottuisi siten muihin lain soveltamisalaa kuuluviin tiedonhallintayksikköihin ja niissä toimiviin viranomaisiin, vaan arviointi kohdistuisi keskeisiin tiedonhallintaa toteuttaviin organisaatioihin. Tiedonhallintalautakunnan arviointitoimivaltaan ei kuuluisi tietoturvallisuussäännösten toteuttamisen arviointi, vaan tietoturvallisuuden arvioinnista on säädetty erikseen viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetussa laissa. Arviointitoimivaltaan ei kuuluisi myöskään asiat, jotka kuuluvat tietosuojan valvontaviranomaisen tehtäviin yleisen tietosuoja-asetuksen ja tietosuojalain mukaan.

Momentin 2 kohdan mukaan tiedonhallintalautakunnan toinen tehtävä olisi edistää tämän lain mukaisia tiedonhallinnan ja tietoturvallisuuden menettelyjä ja hyviä käytäntöjä sekä vaatimusten toteuttamista. Konkreettisesti tehtävän hoitaminen voisi sisältää muun muassa viranomaisten asiantuntijoiden yhteistyönä kehitettäviä tiedonhallinnan menettelytapoja, joiden perusteella lautakunta voisi antaa tehtävän hoitamisen tuloksena suosituksia tiedonhallintalaissa säädettyjen vaatimusten toteuttamiseksi. Suositukset eivät olisi velvoittavia, vaan niiden mukaisesti toimimalla tiedonhallintayksiköt voisivat toteuttaa tiedonhallintaan liittyvät velvollisuudet hyvien käytäntöjen mukaisesti. Siten tiedonhallintayksiköt päättäisivät miltä osin ne noudattaisivat tiedonhallintalautakunnan suosituksia, mutta ne voisivat toimia myös toisin, kunhan laissa säädetyt tiedonhallintaa koskevat vaatimukset täyttyisivät. Siten tiedonhallintalautakunta ei ohjaisi sitovasti tiedonhallintayksikköjen toimintaa, vaan tukisi niiden tiedonhallintaan liittyvien velvollisuuksien toteuttamista järjestämällä monialaisessa yhteistyössä asiantuntijoista koostuvissa jaostoissa kehittämishankkeita tiedonhallinnan menettelyjen kehittämiseksi. Nykytilaan nähden tiedonhallintalautakunta yhteensovittaisi erilaiset intressit tiedonhallinnan toteuttamiseksi.

Nykytilaan nähden julkisen hallinnon tietohallinnon neuvottelukunnan toiminnan kautta tapahtunut informaatio-ohjaus suositusten muodossa siirtyisi tiedonhallintalautakunnalle. JHS-suositukset ovat kohdistuneet sekä tietohallintoon että asiakirjahallintoon, joten tilanne ei tältä osin tulisi muuttumaan olennaisesti, vaan uudella järjestelyllä korostettaisiin entisestään tietohallinnon ja asiakirjahallinnon välisen yhteistyön merkitystä ja niiden intressien yhteensovittamista tiedonhallinnan toteuttamiseksi. Tiedonhallintalautakunta voisi antaa myös kannanottoja tiedonhallintaan liittyvistä merkittävistä kysymyksistä sekä edistää muillakin keinoilla tiedonhallinnan menettelyjä. Laissa ei siten sidottaisi tiedonhallinnan menettelyjen ja vaatimusten toteuttamisen edistämistehtävää tiettyyn muotoon, vaan lautakunta voisi arvioida tarkoituksenmukaisimmat tavat toteuttaa edistämistehtäväänsä. Tiedonhallintaan kuuluu myös arkistointi, josta ei kuitenkaan esitetä säädettäväksi tässä laissa, vaan se jää muun sääntelyn varaan. Mitään estettä sille, että arkistointiin liittyvä informaatio-ohjaus arkistotoimen tehtävistä sekä tietosuojan toteuttamisesta tehtäisiin lautakunnan toiminnan yhteydessä yhteistyössä arkistoviranomaisen ja tietosuojan valvontaviranomaisen kanssa ei olisi, vaan tämä kuuluu hyvän hallinnon toteuttamista edistävään viranomaisten väliseen yhteistyöhön, josta ei ole tarvetta säätää erikseen erityislaissa. Hallintolain 10 §:n 1 momentin mukaan viranomaisen on toimivaltansa rajoissa ja asian vaatimassa laajuudessa avustettava toista viranomaista tämän pyynnöstä hallintotehtävän hoitamisessa sekä muutoinkin pyrittävä edistämään viranomaisten välistä yhteistyötä. Siten hallintolaissa säädetty tavoite viranomaisten välisestä yhteistyöstä on riittävä eri viranomaisten tiedonhallintaan liittyvien informaatio-ohjauksen intressien yhteensovittamiseksi. Tiedonhallintalautakunnan toiminnan yhteydessä kehitettävien menettelyjen tarkoituksena olisi yhdenmukaistaa tiedonhallinnan menettelyjä ja esittää hyviä käytäntöjä tiedonhallinnan velvollisuuksien toteuttamiseksi.

Pykälän 2 momentissa olisi säädetty lautakunnan nimittämisestä, kokoonpanosta ja pätevyysvaatimuksista. Valtioneuvosto nimittäisi tiedonhallintalautakunnan neljäksi vuodeksi kerrallaan valtiovarainministeriön esittelystä. Lautakunnalla olisi puheenjohtaja, varapuheenjohtaja sekä jäseniä, joilla on asiantuntemus julkisen hallinnon tietoturvallisuudesta, tietojärjestelmien ja tietovarantojen yhteentoimivuudesta, tilastoinnista tai tietoaineistojen tiedonhallinnasta. Jäsenien edustus tulisi kattamaan asiantuntemuksen siten, että lautakunnassa olisi jäseninä valtion, kuntien, kuntayhtymien sekä maakuntien asiantuntijoita. Lautakunnan jäsenmäärästä ja kokoonpanosta säädettäisiin tarkemmin asetuksella sekä jäseniltä edellytettävästä pätevyydestä. Asetuksen tasolla säädettäisiin, minkälaisesta asiantuntemuksesta lautakunta koostuu, kuitenkin ottaen huomioon sen, mitä asiantuntemusta lautakunnalla tulisi olla ehdotettavan säännöksen perusteella. Siten asetuksessa tulisi olla huomioituna se, että lautakunta koostuu kattavasti laissa tarkoitetusta asiantuntemuksesta ja että nimitettäessä lautakuntaa, varmistetaan lautakunnan riittävä asiantuntemus. Momentti sisältäisi myös asetuksenantovaltuuden, jossa olisi määritelty ne kohteet, joista voitaisiin säätää asetuksella. Lautakunnan kokoonpanosta, toiminnan järjestämisestä, päätöksentekomenettelystä ja jäsenten pätevyysvaatimuksista voitaisiin säätää asetuksella. Toiminnan järjestämisestä säädettäisiin asetuksella siltä osin kuin se liittyy toimielimen johtamiseen, puheenjohtajan ja varapuheenjohtajan tehtäviin, lautakunnan työn organisointiin, koollekutsumiseen ja raportointiin. Lautakunnan toimintaan sovelletaan yleislakina hallintolakia, joten hallintolaissa säädetyt lautakunnan toimintaan kohdistuvat säännökset tulisivat suoraan sovellettavaksi. Päätöksentekomenettelystä säädettäisiin siltä osin asetuksella, miten lautakunnassa päätettäisiin erilaisista lautakunnan kannanmuodostuksista, suositusten antamisesta, arviointien toteuttamisesta ja niistä tehtävistä johtopäätöksistä. Pätevyysvaatimukset liittyvät monialaisen asiantuntemuksen varmistamiseen lautakunnan toiminnassa.

Pykälän 3 momentin mukaan valtiovarainministeriö määräisi virkamiehistään lautakunnan sivutoimiset sihteerit tehtäviinsä lautakunnan toimikaudeksi. Sihteerien tehtävistä säädettäisiin tarkemmin valtioneuvoston asetuksella. Laissa ei säädettäisi sihteerien tehtävänjaosta tai määrästä, vaan ne jäisivät asetuksentasoiseen sääntelyyn. Niin ikään asiassa jäisi harkintavaltaa valtiovarainministeriölle, miten monta sihteeriä lautakunnalla olisi. Tämä puolestaan riippuu lautakunnassa vireille olevien asioiden määrästä.

Koska lautakunta olisi viranomainen säädettäisiin 4 momentissa tähän liittyvistä vastuista. Lautakunnan jäseneen ja varajäseneen sovellettaisiin rikosoikeudellista virkavastuuta koskevia säännöksiä hänen hoitaessa lautakunnalle säädettyjä tehtäviä. Rikosoikeudellisella virkavastuulla tarkoitetaan tässä sitä, että lautakunnan jäsenet ja varajäsenet rinnastetaan virkamieheen. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974). Lautakunnan jäsenille ja varajäsenille maksetaan tehtävien hoitamisesta palkkio. Valtiovarainministeriö vahvistaa palkkioiden määrät, koska lautakunnasta aiheutuvat kustannukset katettaisiin valtiovarainministeriön määrärahoista. Lautakunnan menot katettaisiin olemassa olevista määrärahoista, jotka on varattu julkisen hallinnon tietohallinnon neuvottelukunnan suositusten sekä joiltakin osin valtionhallinnon tietoturvallisuusohjeiden laatimiseen. Momentissa ei säädettäisi sihteerien virkavastuusta, koska sihteerit olisivat valtiovarainministeriön virkamiehiä ja siten asemansa perusteella virkavastuussa muutenkin.

Pykälän 5 momentissa olisi säädetty julkisen hallinnon tiedonhallintaa koskevien menettelyjen kehittämisen organisoinnista siten, että tiedonhallintalautakunta voisi asettaa väliaikaisia jaostoja tiedonhallinnan menettelyjen kehittämiseksi, kuten suositusten laatimiseksi. Jaostoihin voisi kuulua tiedonhallintayksikköjen asiantuntijoita, joten jaostoissa voisi olla eduskunnan, valtion, kuntien, kuntayhtymien, maakuntien, itsenäisten julkisoikeudellisten laitosten, yliopistojen ja ammattikorkeakoulujen sekä muiden tässä laissa tarkoitettujen tiedonhallintayksikköjen asiantuntijoita. Laissa säädettäisiin niistä organisaatioista, joista lautakunnan jaostoissa voisi olla edustus sen mukaan kuin minkäkin jaoston tehtävä on määritelty. Jaostoissa voisi siten olla myös sellaisia asiantuntijoita organisaatioista, joihin sinällään lautakunnan toimivalta ei kohdistuisi. Säännöksellä korostettaisiin sitä, että lautakunnan tiedonhallinnan menettelyjen yhtenäistämistä koskeva tehtävä olisi tarkoitusperiltään koko julkista hallintoa koskeva, jolloin kattava asiantuntemus jaostoissa olisi tarpeellista. Lautakunnan sihteerit toimisivat puheenjohtajina jaostoissa, koska sihteerit esittelisivät jaostojen tuotokset lautakunnalle. Jaostojen jäsenille ei olisi asetettu pätevyysvaatimuksia eikä jaostojen toimintaan sovellettaisi virkavastuuta koskevia säännöksiä, koska esimerkiksi suositukset olisivat keino ohjata tiedonhallinnan menettelyjen yhtenäistämistä eikä suosituksilla olisi oikeudellista sitovuutta eivätkä jaostot päättäisi suosituksista. Jaostot toimisivat lautakunnan apuna suositusten laadinnassa. Väestörekisterikeskuksen tehtävänä olisi tuottaa lautakunnalle asiantuntijapalveluja tiedonhallinnan menettelyjen ja tietoturvallisuuden menettelyjen kehittämisessä. Julkisen hallinnon tietohallinnon suositusten laadinta ja ylläpito sekä julkisen hallinnon tietoturvallisuuden johtoryhmän (VAHTI) tietoturvallisuusohjeiden ylläpitäminen on organisoitu osaksi Väestörekisterikeskuksen toimintaa, joten nykyiset tehtävät säilyisivät Väestörekisterikeskuksella siten kuin niistä on säädetty Väestörekisterikeskuksen eräistä tehtävistä annetussa valtioneuvoston asetuksessa (760/2017). Väestörekisterikeskus tuottaisi asiantuntijapalveluja muun muassa erilaisten suositusten, ohjeiden ja kannanottojen laatimiseksi ja näiden julkaisemiseksi, kuten aiemminkin JHS-suosituksien ylläpidossa.

11 §. Tiedonhallintalautakunnan arviointitehtävä. Pykälän 1 momentissa säädettäisiin siitä, mihin arviointitehtävä perustuisi. Momentin mukaan arviointien toteuttaminen perustuisi tiedonhallintalautakunnan hyväksymään arviointisuunnitelmaan. Säännös tarkoittaa sitä, että arvioinnit toteutettaisiin lautakunnan hyväksymän arviointisuunnitelman mukaan, jolloin arviointi olisi suunnitelmallista lautakunnan hyväksymää toimintaa. Arviointisuunnitelma olisi toimeksianto lautakunnan sihteereille toimeenpanna arviointisuunnitelman mukainen arviointi. Lautakunta voisi hyväksyä arviointisuunnitelman vuodeksi tai kahdeksi vuodeksi tai koko toimikaudekseen. Lautakunta voisi myös muuttaa arviointisuunnitelmaa kesken arviointikauden. Säännöksellä on tarkoitettu osoittaa, miten lautakunta toteuttaa arviointitehtäväänsä. Siten tiedonhallintalautakunta ei tekisi arviointeja toimeksiantopohjaisesti tai erilaisten yhteydenottojen perusteella, vaan päättäisi itsenäisesti mitä arvioidaan ja miltä osin arviointia suoritetaan.

Pykälän 2 momentissa säädettäisiin tiedonhallintalautakunnan arviointitehtävään liittyvästä tiedonsaantioikeudesta, joka olisi sidottu lautakunnan arviointitehtävän hoitamiseen siten, että tiedonsaantioikeus koskisi välttämättömiä selvityksiä sekä tarpeellisia tietoja, jotka liittyvät tämän lain mukaisen arviointitehtävän piiriin. Tiedonhallintalautakunnalla ei olisi mitään yleistoimivaltaa tiedonhallintaan liittyviin asioihin, joista olisi säädetty erityislainsäädännössä, vaan arviointi koskisi tiedonhallintalaissa säädettyjen eräiden menettelyjen toteuttamista. Säännöksen mukaan tiedonhallintalautakunnalla olisi oikeus saada salassapitosäännösten estämättä maksutta tarpeelliset tiedot tiedonhallintayksiköiden viranomaisilta tiedonhallintamallista, tiedonhallinnan muutosten arvioinnista, 28 §:ssä tarkoitetusta kuvauksesta, käytettävistä asianhallinnan ja palvelujen tiedonhallinnan menettelyistä, asiakirjojen sähköiseen muotoon muuttamista koskevasta teknologiasta, katseluyhteyksien toteutuksesta ja teknisten rajapintojen kuvauksista, teknisten rajapintojen käytöstä ja hallinnoinnista sekä rajapintojen käytön menettelyistä lukuun ottamatta turvallisuusluokiteltavia asiakirjoja. Lautakunnalla olisi siten oikeus saada selvityksiä arviointitehtävän piiriin kuuluvista asioista sekä oikeus saada laissa mainitut tarpeelliset tiedot arviointitehtävän toteuttamiseksi. Viranomaisen olisi toimitettava pyydetyt tiedot asetettuun määräaikaan mennessä tiedonhallintalautakunnalle. Lautakunta voisi siten asettaa määräajan tietojen saannille. Salassapitosäännösten edelle menevä tiedonsaanti perustuisi tiedonhallintalautakunnan tehtävään, jolla varmistettaisiin tiedonhallintalain eräiden säännösten toteuttaminen viranomaisten toiminnassa siten, että julkisuusperiaatteen ja hyvän hallinnon vaatimukset voidaan varmistaa tiedonhallinnassa. Lautakunnalla ei olisi tarkastusoikeuksia, vaan lautakunnalla olisi oikeus saada selvityksiä viranomaisilta tiedonhallinnan toteuttamisesta. Lautakunnan toiminta näiltä osin ei olisi varsinaista laillisuusvalvontaa tai muutoksenhakua. Ylimmät laillisuusvalvojat huolehtivat olemassa olevien toimivaltuuksiensa puitteissa muuten tiedonhallintaan liittyvästä laillisuusvalvonnasta muun muassa kanteluasioiden käsittelyn yhteydessä. Puolestaan tietosuojavaltuutettu toimii henkilötietojen käsittelyn valvontaviranomaisena.

Pykälän 3 momentissa säädettäisiin tiedonhallintalautakunnan arviointitehtävään liittyvästä toimivaltuudesta kiinnittää arviointikohteena olevan viranomaisen huomiota havaittuihin puutteisiin suhteessa tiedonhallintalaissa säädettyyn nähden. Siten arviointi sisältäisi tarvittaessa hallinnollista ohjausta. Säännöksen mukaan tiedonhallintalautakunta voisi kiinnittää viranomaisen huomiota tiedonhallintaan liittyvien vaatimuksien täyttämiseen. Säännöksen mukaan, jos tiedonhallintalautakunta havaitsee 10 §:n 1 momentin 1 kohdassa tarkoitettujen arviointikohteena olevien säännösten noudattamisessa puutteita, voisi lautakunta kiinnittää viranomaisen huomiota tiedonhallintaan liittyvien tämän lain mukaisten menettelyjen toteuttamiseen ja vaatimuksien täyttämiseen. Säännöksen tarkoituksena olisi, että arvioinnin yhteydessä tehdyistä havainnoista säännösten noudattamisessa olevien epäkohtien muuttamiseksi, lautakunta voisi kiinnittää huomiota arviointikohteena olevien viranomaisten toimintaan, jotta mahdolliset puutteet voitaisiin viranomaisissa korjata tiedonhallintalautakunnan havaintojen perusteella. Tiedonhallintalautakunta ei voisi hallinnollisesti tai muuten pakottaa viranomaisia toimimaan lautakunnan ohjauksen mukaisesti, vaan arvioinnin yhteydessä tehtävä huomion kiinnittäminen toimisi informatiivisena ohjauksena sille, että viranomaisen tulisi tarkistaa menettelyitään laissa säädettyjä vaatimuksia vastaaviksi. Tapa, jolla viranomainen toteuttaisi laissa säädetyt vaatimukset, jäisi viranomaisen harkintaan, mutta huomion kiinnittämisen yhteydessä lautakunta voisi myös opastaa, miten viranomainen voisi ainakin toteuttaa laissa säädetyt vaatimukset tai toteuttaa lain mukaisesti menettelynsä.

Pykälän 4 momentissa säädettäisiin tiedonhallintalautakunnalle velvollisuus raportoida arvioinnin tuloksista kertomuksena valtiovarainministeriölle joka toinen vuosi. Kertomuksen tarkoituksena olisi koota yhteen tiedonhallintalautakunnan tekemät havainnot ja johtopäätökset julkisen hallinnon tiedonhallinnasta siltä osin kuin se liittyy lautakunnan arviointitehtävään. Kertomuksen laatiminen joka toinen vuosi olisi tarkoituksen mukainen, jotta lautakunnalle kertyisi riittävästi arviointiaineistoa kertomuksen laatimiseksi. Käytännössä lautakunta laatisi kertomuksen kahdesti toimikautensa aikana. Valtiovarainministeriö saisi kertomuksesta tietoja muun muassa lainvalmistelun kehittämiseksi sekä tässä laissa säädettyjen muiden tehtävien hoitamisen tueksi.

4 luku Tietoturvallisuus

12 §. Luotettavuutta edellyttävien tehtävien tunnistaminen ja luotettavuudesta varmistuminen. Pykälässä säädettäisiin tietoaineistojen käsittelyyn liittyvän henkilöstöturvallisuuden toteuttamisen perusteista. Pykälän ensimmäisessä virkkeessä tiedonhallintayksiköt velvoitettaisiin tunnistamaan ne tehtävät, joiden suorittaminen edellyttää sen palveluksessa olevilta tai sen lukuun toimivilta henkilöiltä erityistä luotettavuutta. Säännöksen tarkoituksena on varmistaa, että tiedonhallintayksiköt ja niissä toimivat viranomaiset arvioivat tietoaineistojensa käsittelyyn osallistuvien henkilöiden tehtävät sekä niissä edellytettävän luotettavuuden. Säännöksen tarkoituksena ei ole velvoittaa viranomaisia tekemään luotettavuusarviointeja, vaan niiden tulisi arvioida ne tehtävät, joissa käsitellään sellaisia tietoaineistoja, joiden käsittelyn tietoturvallisuuden varmistamiseksi olisi tarpeellista erikseen varmistaa henkilön luotettavuus. Se, millä perusteella tiedonhallintayksikkö ja siinä toimivat viranomaiset voisivat teettää henkilöarviointeja tai turvallisuusselvityksiä, säädetään erikseen. Tästä syystä pykälässä olisi viittaukset muihin säädöksiin, joilla mahdollistetaan turvallisuusselvitysten tekeminen ja henkilöarviointien suorittaminen tietyissä tilanteissa. Henkilöstön ja palveluja tuottavien luotettavuuden arvioinnista on säädetty muuten turvallisuusselvityslaissa (726/2014) sekä muusta työntekijöiden ja työnhakijoiden arvioinnista yksityisyyden suojasta työelämässä annetussa laissa. Näihin säädöksiin olisi viittaukset pykälän toisessa virkkeessä. Ne olisivat informatiivisia, mutta ne ovat merkityksellisiä muodostettaessa sääntelykokonaisuutta tietoaineistojen käsittelyyn liittyvästä henkilöstöturvallisuudesta ja sen perusteista. Säännös ei luo uusia velvollisuuksia henkilöarviointien tekemiseen, vaan siihen, että tiedonhallintayksiköissä tunnistetaan sellaiset tehtävät, joiden suorittaminen edellyttää tietoaineistojen käsittelyn osalta erityistä luotettavuutta.

13 §. Tietoaineistojen ja tietojärjestelmien tietoturvallisuus. Pykälässä olisi säädetty tietoaineistoturvallisuudesta ja tietojärjestelmäturvallisuudesta. Pykälän 1 momentti koskisi tiedonhallintayksikön ja siinä toimivien viranomaisten velvollisuuksia tietoaineistojen ja tietojärjestelmien tietoturvallisuuden järjestämiseksi. Pykälän 1 momentin ensimmäisen virkkeen mukaan tiedonhallintayksikön olisi seurattava toimintaympäristönsä tietoturvallisuuden tilaa ja varmistettava tietoaineistojen ja tietojärjestelmien tietoturvallisuus koko niiden elinkaaren ajan tunnistamalla tietoaineistojen ja niitä käsittelevien tietojärjestelmien olennaiset tietojenkäsittelyyn kohdistuvat riskit. Tiedonhallintayksikön olisi mitoitettava tietoturvallisuustoimenpiteet riskiarvioinnin mukaisesti. Säännöksen perusteella tiedonhallintayksikköjen olisi arvioitava tietoaineistoihin ja tietojärjestelmiin liittyviä riskejä säännöllisesti niiden koko elinkaaren ajan. Säännös koskisi siten sekä tietoaineistojen että tietojärjestelmien elinkaareen liittyvien riskien arviointia aina tietoaineistojen muodostamisesta niiden tuhoamiseen asti samoin kuin tietojärjestelmien hankinnasta aina niiden poistamiseen ja tuhoamiseen asti. Riskiarvioinnissa olisi tunnistettava olennaiset riskit, jotka voisivat vaikuttaa tietoaineistojen luottamuksellisuuden, eheyden ja saatavuuden vaarantumiseen taikka tietojärjestelmien käyttöön ja vikasietoisuuteen. Olennaisilla riskeillä tarkoitetaan riskejä, jotka voivat vaikuttaa viranomaisen toimintaan tai hallinnon asiakkaan toimintaan haittaavalla tai vahingoittavalla tavalla. Riskiarvion perusteella tiedonhallintayksikössä pitäisi mitoittaa tietoturvallisuustoimenpiteet riskiarvioinnin perusteella. Siten säännös muodostaisi kokonaisuuden, johon kuuluisi riskien arviointi, tietoturvallisuustoimenpiteiden suunnittelu tunnistettujen riskien perusteella sekä tietoturvallisuustoimenpiteiden toteuttaminen. Riskienarviointi ei olisi kertaluonteista, vaan jatkuvaa toimintaa, jossa muun muassa arvioidaan suunnitelmien toteutumista ja toteutettujen tietoturvatoimenpiteiden vaikuttavuutta.

Pykälän 2 momentissa olisi säädetty vielä erikseen tietojärjestelmien tietoturvallisuuden toteuttamiseen liittyvistä erityisvaatimuksista. Viranomaisen olennaisten tietojärjestelmien vikasietoisuus tulisi testata säännöllisesti toiminnan jatkuvuuden varmistamiseksi ja tietoturvallisuustoimenpiteiden ajan tasalla pitämiseksi. Olennaisilla tietojärjestelmillä tarkoitettaisiin sellaisia tietojärjestelmiä, jotka olisivat kriittisiä viranomaisen lakisääteisten tehtäviä toteuttamisen kannalta erityisesti hallinnon asiakkaille palveluja tuotettaessa. Siten testaaminen ei koskisi tukitoiminnoissa käytettäviä järjestelmiä taikka muita käytössä olevia järjestelmiä, jotka eivät vaikuta viranomaisten tehtävien hoitamiseen merkittävällä tavalla. Momentin mukaan niin ikään tietojärjestelmien toiminnallinen käytettävyys tulisi varmistaa testauksen avulla niin hankintavaiheessa kuin merkittävien ylläpitotoimien yhteydessä. Toiminnallisella käytettävyydellä tarkoitetaan tietojärjestelmän käyttäjän kannalta sen varmistamista, että tietojärjestelmä on helposti opittava ja käytössä sen toimintalogiikka on helposti muistettava, sen toiminta tukee niitä työtehtäviä, joita käyttäjän pitää tehdä tietojärjestelmällä ja tietojärjestelmä edistää sen käytön virheettömyyttä. Tietojärjestelmien toiminnallinen käytettävyys on osa tietoturvallisuustoimenpiteitä, koska tietojärjestelmässä olevat vaikeasti opittavat ja muistettavat sekä toimintalogiikaltaan vaikeat toiminnallisuudet voivat johtaa virheelliseen tietojärjestelmän käyttöön ja tästä johtuen tietoturvallisuuden vaarantumiseen. Tietojärjestelmien toiminnallinen käytettävyys tehostaa viranomaisten toimintaa ja sillä on sidoksensa myös perustuslain 21 §:ssä säädettyyn viranomaisen toiminnan viivytyksettömyysvaatimuksen toteuttamiseen.

Pykälän 3 momentin tarkoituksena on edistää tietojen saantia viranomaisten tietojärjestelmien ja tietoaineistojen tietosisällöstä. Vaatimukset kohdistuisivat viranomaisiin, jotka käytännössä vastaavat tietoaineistoissa olevien tietojen saatavuudesta. Säännöksellä edistettäisiin hyvän julkisuus- ja salassapitorakenteen toteutumista viranomaisten tietojärjestelmissä ja niissä olevissa tietoaineistoista muodostuvissa tietokannoissa. Pykälän 3 momentin mukaan viranomaisen olisi suunniteltava tietojärjestelmät, tietovarantojen tietorakenteet ja niihin liittyvät tietojenkäsittelyt siten, että asiakirjojen julkisuus voidaan vaivatta toteuttaa. Säännös korostaa sitä, että viranomaisen tietojärjestelmissä olevista tiedoista on pystyttävä muodostamaan tietojärjestelmässä olevilla hakutoiminnoilla viranomaisen asiakirjoja viranomaisen toiminnan julkisuuden toteuttamiseksi. Säännöksen tarkoituksena on tietojen saatavuuden varmistaminen julkisuusperiaatteen toteuttamiseksi, viranomaisten tehtävien hoitamiseksi sekä salassa pidettävien tietojen osalta salassapitointressin turvaamiseksi. Velvollisuus ei olisi uusi, vaan se on sisältynyt julkisuuslain 18 §:n 1 momentin 4 kohtaan.

Pykälän 4 momentin mukaan viranomaisten olisi varmistettava hankinnoissaan, että hankittavaan tietojärjestelmään on toteutettu asianmukaiset tietoturvallisuustoimenpiteet. Julkisia hankintoja toteuttavat hankintalainsäädännön mukaan hankintayksiköt, jotka ovat käytännössä tiedonhallintayksiköissä toimivia viranomaisia. Säännöksen tarkoituksena on korostaa sitä, että tietojärjestelmien hankinnoissa on suunniteltava ja varmistettava asianmukaisten tietoturvallisuustoimenpiteiden toteuttaminen. Viranomaisten tietojenkäsittelyn keskittyessä tietojärjestelmien käyttöön, on hankinnoissa varmistettava, että hankittava tietojärjestelmä täyttää käsiteltävien tietoaineistojen mukaiset tietoturvallisuusvaatimukset ja että tietojärjestelmä on käyttökelpoinen viranomaisen tehtävien hoitamiseksi tuloksekkaasti ja tehokkaasti.

Pykälän 5 momenttiin sisältyisi informatiivinen viittaussäännös, jonka tarkoituksena on muodostaa sidos viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen arvioinnista annettuun lakiin (1406/2011, arviointilaki) ja tähän liittyvään tietoturvallisuuden arviointilaitoksista annettuun lakiin (1405/2011). Säädöksissä on säädetty, miten viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuus on arvioitava tietyissä tilanteissa. Pykälän 5 momentti on tarpeellinen, jotta tietojärjestelmien tietoturvallisuuden suunnittelu ja sen arviointia koskeva sääntely muodostaisi selkeän kokonaisuuden. Tiedonhallintalautakunnan arviointitehtävään ei sisältyisi tässä luvussa olevia tietoturvallisuuden toteuttamisen arviointitehtäviä, vaan ne kuuluisivat arviointilain mukaiselle viranomaiselle. Toisaalta tietosuojan valvontaviranomaisena toimivat tietosuojavaltuutettu ja tietosuojavaltuutetun toimisto valvovat henkilötietojen tietoturvallisuuden toteuttamista. Siten tällainen valvonta ja arviointi kattavat merkittäviltä osin myös tiedonhallintaan liittyvät tarpeet tietoturvallisuustoimenpiteiden toteuttamisen varmistamiseksi julkisessa hallinnossa. Myös tiedonhallintayksiköillä on velvollisuus valvoa tietoturvallisuustoimenpiteiden toteuttamista tämän lain 4 §:n perusteella.

14 §. Tietojen siirtäminen tietoverkossa. Pykälässä säädettäisiin niistä perusteista, joilla viranomainen voisi siirtää salassa pidettäviä tietoja tietoverkossa. Pykälän 1 momentin ensimmäisen virkkeen mukaan viranomaisten olisi toteutettava tietojensiirto tietoverkossa salattua tai muuta suojattua tiedonsiirtoyhteyttä tai -tapaa käyttämällä, jos siirrettävät tiedot ovat salassa pidettäviä. Säännös jättäisi viranomaisen harkintaan, minkälaista yhteyttä tai tiedonsiirtotapaa käyttäen salassa pidettävien tietojen suojaaminen tietoverkossa toteutettaisiin. Yhteys voisi olla suojattu esimerkiksi salauksella tai tiedot voitaisiin siirtää yleisessä tietoverkossa ilman tietoliikenneyhteyden suojaustakin, jos tiedot olisivat salattuna siirrettävässä tiedostossa ja salaus voitaisiin purkaa vain erillisellä PIN-koodilla tai muulla salasanalla. Pykälän toisessa virkkeessä olisi lisäedellytys salassa pidettävien tietojen siirrolle tietoverkossa. Säännöksen mukaan tietojensiirto olisi järjestettävä siten, että vastaanottaja varmistetaan tai tunnistetaan riittävän tietoturvallisella tavalla ennen kuin vastaanottaja pääsee käsittelemään siirrettyjä salassa pidettäviä tietoja. Jos tietojen siirto tapahtuu tietoverkossa tietojärjestelmien välillä, on vastaanottava tietojärjestelmä varmistettava esimerkiksi palvelinvarmenteita käyttämällä. Jos puolestaan salassa pidettävien tietojen vastaanottaja olisi luonnollinen henkilö, olisi hänet tunnistettava jollakin luotettavalla menetelmällä, kuten vahvaa sähköistä tunnistusmenetelmää käyttämällä. Säännöstä sovellettaisiin tunnistamisen osalta lähinnä viranomaisten välisessä tietojenvaihdossa, koska yleisölle tarjottavien digitaalisten palvelujen tunnistamista koskevista vaatimuksista on säädetty erikseen digitaalisten palvelujen tarjoamisesta ehdotetussa laissa, joka on eduskunnan käsittelyssä omana hallituksen esityksenään (HE 60/2018 vp) samanaikaisesti tämän hallituksen esityksen kanssa.

Edellä esitetystä syystä pykälän 2 momentti sisältäisi myös tarpeellisen informatiivisen viittaussäännöksen digitaalisten palvelujen tarjoamisesta ehdotettuun lakiin, jossa olisi säädetty yleisölle tarjottavien viranomaisten digitaalisten palvelujen käyttäjien tunnistamisen perusteista. Tiedonhallintalaki olisi yleislaki suhteessa digitaalisten palvelujen tarjoamisesta ehdotettuun lakiin, jossa on säädetty erityisesti digitaalisten palvelujen käyttöön liittyvistä eräistä menettelyistä ja vaatimuksista silloin, kun digitaalista palvelua tarjotaan yleisölle. Siten tunnistamista tai varmistamista koskeva tiedonhallintalain säännös koskisi muun muassa viranomaisten välistä viestintää sähköisten tiedonsiirtomenetelmien, kuten sähköpostin, avulla taikka viranomaisten tietojärjestelmien välistä viestintää rajapintojen avulla. Kun kysymys on yleisölle tarjottavista digitaalisista palveluista, tunnistamiseen sovellettaisiin mitä digitaalisten palvelujen tarjoamisesta ehdotetussa laissa säädettäisiin sähköisestä tunnistamisesta. Sen sijaan tietojen siirtämiseen tietoverkossa ja siihen liittyviä salaus- tai suojausvaatimuksia sovellettaisiin tiedonhallintalaissa säädetyllä tavalla myös digitaalisten palvelujen tarjoamiseen yleisölle. Informatiivinen viittaussäännös olisi siten tarpeellinen, jotta lakien väliset suhteet olisivat selkeitä tunnistamis- tai varmistamisvaatimuksen toteuttamiseksi.

15 §. Tietoaineistojen turvallisuuden varmistaminen. Pykälässä säädettäisiin tietoaineistojen tietoturvallisuuden varmistamisesta. Vaatimukset kohdistuvat viranomaisiin, koska viranomaiset käsittelevät ja käyttävät päätöksentekovaltaa tietoaineistoihinsa. Tiedonhallintayksikön on kuitenkin järjestettävä siinä toimivien viranomaisten toiminta siten, että tietoaineistojen käsittely on säännösten mukaista. Pykälä sisältäisi luettelon niistä tietoturvallisuustoimenpiteistä, joilla tietoaineistojen tietoturvallisuus varmistetaan kaikissa tiedonhallintayksiköissä ja niissä toimivissa viranomaisissa. Säännökset koskisivat kaikkia viranomaisten tietoaineistoja. Pykälän 1 momentti sisältäisi luettelon pakollisista vaatimuksista tietoaineistojen tietoturvatoimenpiteiden toteuttamiseksi. Momentin 1 kohdan mukaan viranomaisten olisi varmistettava tietoaineistojen muuttumattomuus siltä osin kuin tietoaineisto on tarpeen pitää muuttumattomana. Tietoaineistojen muuttumattomuus on osassa tietoaineistoja tärkeää niiden todistusvoimaisuuden kannalta katsottuna. Tietoaineiston muuttumattomuuden varmistaminen riippuu tietoaineiston luonteesta. Muuttumattomuus tulisi varmistaa tietoaineistoissa, joilla määritellään yksilöiden ja yhteisöjen etuja, oikeuksia ja velvollisuuksia, jotta tietoaineistoissa olevien asiakirjojen ja muiden tietojen aitous ja alkuperäisyys voidaan jälkikäteen todentaa taikka havaita näihin tehdyt muutokset. Säännös jättää viranomaiselle harkintamahdollisuuden, miten muuttumattomuus varmistetaan, joten säännöksessä olisi asetettu vaatimukseksi ainoastaan muuttumattomuuden riittävä varmistaminen, jolla tarkoitetaan tietoaineiston luonteeseen liittyvää harkintaa tarpeellisten tietoturvallisuustoimenpiteiden toteuttamisesta. Momentin 2 kohdan mukaan tietoaineistot tulisi suojata teknisiltä ja fyysisiltä vahingoilta. Vaatimus koskisi muun muassa tietojärjestelmien ja niihin liittyvien palvelimien säilytystiloja sekä paperimuotoisten tietoaineistojen säilytyspaikkoja. Momentin 3 kohdassa asetettaisiin vaatimus tietoaineistojen alkuperäisyyden, ajantasaisuuden ja virheettömyyden varmistamisesta. Vaatimus olisi tärkeää viranomaistoiminnan asianmukaisuuden varmistamiseksi sekä hallinnossa työskentelevien ja hallinnon asiakkaiden oikeusturvan toteuttamiseksi ja varmistamiseksi. Laillisuusvalvonnassa on todettu itsestään selvänä lähtökohtana, että viranomaisen laatimien asiakirjojen ja ylläpitämien tiedostojen on oltava oikeita, virheettömiä ja ajantasaisia (AOKS OKV/1242/1/2013, 28.4.2014). Momentin 4 kohdan mukaan tietoaineistojen saatavuus ja käyttökelpoisuus olisi myös varmistettava. Viranomaisten toiminta on tietointensiivistä ja riippuvaa viranomaisten tietovarannoissa olevista tietoaineistoista. Asianmukaisen viranomaistoiminnan varmistamiseksi olisi varmistettava, että tiedot olisi saatavissa käyttökelpoisessa muodossa. Momentin 5 kohdan mukaan tietoaineistojen saatavuutta pitäisi rajoittaa tarvittaessa. Käytännössä tiedon saatavuutta rajoitettaisiin käyttöoikeuksin ja se riippuisi, minkälaista tietoaineistoa käsitellään. Julkisiin tietoaineistoihin ei olisi tiedon saatavuutta koskevia rajoituksia, kun taas henkilötietoihin ja erityisesti salassa pidettäviin tietoihin täytyy olla järjestettynä sellaiset toimenpiteet, että asianmukainen tietojenkäsittely voidaan varmistaa. Momentin 6 kohdassa säädettäisiin vaatimuksesta huolehtia siitä, että tietoaineistot voidaan arkistoida tarpeellisilta osin. Arkistoinnista olisi kuitenkin säädetty muuten erikseen arkistointia koskevissa säädöksissä, joista keskeisimpiä ovat yleinen tietosuoja-asetus, tietosuojalaki sekä arkistolaki. Arkistoituihin tietoaineistoihin sovellettaisiin kuitenkin tämän lain tietoaineistoja ja tietojärjestelmiä koskevia tietoturvallisuussäännöksiä, ellei muualla olisi toisin säädetty.

Pykälän 2 momentissa säädettäisiin toimitilaturvallisuuden perusteista. Säännöksen mukaan tietoaineistoja olisi käsiteltävä ja säilytettävä toimitiloissa, jotka ovat tietoaineiston luottamuksellisuuteen, eheyteen ja saatavuuteen liittyvien vaatimusten toteuttamiseksi riittävän turvallisia. Säännös korostaa sitä, että tietoaineistojen säilyttämisessä käytettävissä toimitiloissa on huomioitava kaikki tietoaineistoihin kohdistuvat tietoturvallisuusvaatimukset.

16 §. Tietojärjestelmien käyttöoikeuksien hallinta. Pykälän tarkoituksena olisi säätää tietojärjestelmien käyttöoikeuksien hallinnan perusteista siten, että säännöksellä varmistettaisiin tietojärjestelmiin pääsy vain niille, joilla on oikeus käsitellä tietojärjestelmän tietoaineistoja ja vain siltä osin kuin kunkin käyttäjän käyttötarpeet sitä edellyttävät. Pykälän säännökset olisivat kohdistettuja viranomaiseen, mutta käytännössä tiedonhallintayksiköt antavat ohjeen käyttöoikeuksien hallinnoinnille sekä toteuttavat käyttöoikeuksien hallinnointia organisaatiotasolla. Pykälän mukaan tietojärjestelmässä vastuussa olevan viranomaisen olisi määriteltävä tietojärjestelmän käyttöoikeudet. Käyttöoikeudet olisi määriteltävä kuhunkin tietojärjestelmään käyttäjän tehtäviin liittyvien tarpeiden mukaisella tavalla ja ne olisi pidettävä ajantasaisena. Säännös edellyttäisi, että käyttöoikeudet on määriteltävä ennalta kullekin tietojärjestelmän käyttäjälle. Käyttöoikeudet määräytyisivät käyttäjän tyypillisten työtehtävien mukaisesti. Käyttöoikeudet olisi pidettävä myös ajantasaisena, jotta tietoihin pääsy voidaan asianmukaisissa tilanteissa varmistaa ja toisaalta estää vanhentuneiden käyttöoikeuksien perusteella tiedonsaanti laajemmin kuin käyttäjän tehtävät edellyttäisivät. Tietojärjestelmien ylläpito ja siihen liittyvät vastuut tulisi määritellä tiedonhallintamalleissa. Siten niistä myös ilmenisi, kenen vastuulle käyttöoikeuksien määrittely ja käyttöoikeuksien ylläpito kuuluisivat. Tietojärjestelmästä vastuussa oleva viranomainen ei välttämättä ylläpitäisi käyttöoikeuksia, vaan tietojärjestelmää käyttävä viranomainen voisi olla vastuussa käyttöoikeuksien ajan tasalla pitämisestä. Tyypillisesti tällaisia tietojärjestelmien käyttöoikeuksien vastuiden jakamista tapahtuu verkottuneissa usean viranomaisen yhteiskäytössä olevissa tietojärjestelmissä esimerkiksi palvelukeskuksiin organisoiduissa palveluntuotantomalleissa. Siten palvelukeskus määrittelisi käyttöoikeudet tietojärjestelmän vastuuviranomaisena, mutta tietojärjestelmää käyttävä viranomainen ylläpitäisi käyttöoikeuksia ajantasaisina.

17 §. Lokitietojen kerääminen. Lokitiedot tulisi kerätä, jos tietojärjestelmän käyttö edellyttäisi tunnistautumista tai muuta kirjautumista. Mistä tahansa tietojärjestelmästä ei lokitietoja tarvitsisi kerätä tiedonhallintalain perusteella. Lokitiedot tulisi kerätä tietojärjestelmän käytöstä ja tietojen luovutuksista, mutta tietojen kerääminen olisi sidottu tarpeellisuuteen. Jos tietojärjestelmästä luovutetaan rajapintojen tai katseluyhteyden avulla salassa pidettäviä tietoja tai henkilötietoja, tulisi luovuttavassa järjestelmässä kerätä luovutuslokitiedot sen varmistamiseksi, että tietojen luovuttamiselle on ollut laillinen perusteensa. Lisäksi käyttölokitiedot tulisi kerätä ainakin tietojärjestelmistä, joissa käsitellään salassa pidettäviä tietoja. Ehdotetun säännöksen perusteella käyttölokitietojen keräämisen tarve tulisi arvioida puolestaan sillä perusteella, tarvitaanko niitä virheselvittelyjä varten tai yksilön etujen, oikeuksien ja velvollisuuksien sekä oikeusturvan toteuttamiseksi taikka virkavastuun todentamiseksi. Erityisesti näistä näkökulmista tulisi arvioida käyttölokitietojen tarpeellisuutta, kun tietojärjestelmässä käsitellään muita kuin salassa pidettäviä tietoja taikka tietoja, joilla voisi olla merkitystä yksilön oikeusturvan toteuttamisen näkökulmasta. Tarpeellisuusarviointiin vaikuttaa myös yleisessä tietosuoja-asetuksessa säädetyt vaatimukset teknisten ja organisatoristen toimenpiteiden toteuttamiseksi henkilötietojen suojaamiseksi. Lokitietoja ei tämän lain perusteella erikseen tarvitsi kerätä yleisesti tietoverkosta, esimerkiksi verkkosivustoilta, saatavista avoimista tietoaineistoista. Lokitietojen kerääminen perustuisi tarpeeseen, jonka määrittelee se viranomainen, joka on vastuussa tietojärjestelmästä. Se, missä laajuudessa ja mitä lokitietoja kerätään, perustuu tarpeellisuusarviointiin. Lokitiedot voidaan jättää keräämättä, jos niiden keräämiselle ei ole tässä tai muussa säädöksessä tarkoitettua perustetta.

Lokitiedot ovat pääosin henkilötietoja, joten niiden sääntelyssä on otettava huomioon tietosuojan yleissääntely. Lokitiedot ovat osa viranomaisten tietojärjestelmien tietoturvajärjestelyjä, joten ne ovat vakiintuneen oikeuskäytännössä esitetyn tulkinnan perusteella (KHO 2014:69 ja KHO 27.5.2015 t. 1419) salassa pidettäviä julkisuuslain 24 §:n 1 momentin 7 kohdan perusteella, jollei ole ilmeistä, että tiedon antaminen niistä ei vaaranna turvajärjestelyjen tarkoituksen toteutumista. Lokitietojen keräämisen tarkoituksena ja perusteena on toteuttaa viranomaisten tietojärjestelmien tietoturvallisuutta siten, että lokitietojen perusteella voidaan selvittää virhetilanteita ja valvoa tietojärjestelmien käyttöä muun muassa oikeusturvan toteuttamiseksi ja virkavastuun todentamiseksi. Lokitietojen tarkoituksena on myös dokumentoida tietojärjestelmistä tehtävät luovutukset ja samalla osaltaan varmistaa, että luovutuksille on ollut olemassa lainmukainen peruste. Näistä syntyvät tietojärjestelmien käyttölokit ja luovutuslokit. Lokirekisteri on tietojärjestelmien ja käyttäjien toimintaa kuvaava pääsääntöisesti henkilötietoja sisältävä rekisteri. Tästä syystä lokitietojen käyttötarkoitus olisi määritelty pykälän toisessa virkkeessä. Lokitietoja kerätään tietojärjestelmien käytöstä, jolla tarkoitetaan tietojen tallentamista, muuttamista, poistamista, katselua tai muuta tietoihin kohdistuvaa toimenpidettä. Pykälässä ei säädettäisi lokitietojen tiedonsaannista, vaan se ratkaistaisiin julkisuuslain tai erityislakien perusteella. Pykälä ei sisältäisi myöskään lokitietojen säilytysaikaa koskevaa säännöstä, vaan lokitietojen säilytysaika määritellään tarpeellisuusvaatimus huomioon ottaen siten kuin muukin tietojen säilyttäminen. Yleisesti lokitietojen säilytysaika on tyypillisesti vähintään viisi vuotta viranomaistoiminnassa rikosoikeudellisten vanhentumisaikojen vuoksi. Erityislainsäädännössä voi olla säädettynä erikseen lokitietojen säilytysajoista erityisesti, jos lokitietoja säilytetään pitempiä aikoja kuin on tarpeen viranomaisella olevien velvollisuuksien toteuttamiseksi. Pykälässä ei säädetä myöskään siitä sisällöstä, jota lokitiedoissa tulisi kerätä, vaan lokitietojen käyttötarve määrittelee sen, mitä tietoja lokitietoina voidaan kerätä tietystä tietojärjestelmästä.

18 §. Turvallisuusluokiteltavat asiakirjat valtionhallinnossa. Pykälän 1 momentin mukaan asiakirja tai siihen sisältyvät tiedot tulisi turvallisuusluokitella ja niihin tulisi tehdä turvallisuusluokkaa koskeva merkintä, jos asiakirja tai siihen sisältyvä tieto olisi salassa pidettävä viranomaisten toiminnan julkisuudesta annetun lain 24 §:n 1 momentin 2, 5 tai 7—11 kohdan perusteella ja asiakirjaan sisältyvän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voisi aiheuttaa vahinkoa maanpuolustukselle, poikkeusoloihin varautumiselle, kansainvälisille suhteille, rikosten torjunnalle, yleiselle turvallisuudelle tai valtion- ja kansantalouden toimivuudelle taikka muulla niihin rinnastettavalla tavalla Suomen turvallisuudelle.

Turvallisuusluokittelua koskevaa sääntelyä ehdotetaan muutettavaksi nykyisestä siten, että asiakirjojen turvallisuusluokittelu muuttuu pakolliseksi ja että turvallisuusluokittelua laajennetaan koskemaan myös julkisuuslain 24 §:n 1 momentin 5 ja 11 kohdissa tarkoitettuja asiakirjoja – eli muun muassa poliisin taktisia ja teknisiä menetelmiä ja suunnitelmia koskevia tietoja sisältäviä asiakirjoja sekä asiakirjoja, jotka sisältävät tietoja raha- ja valuuttapoliittisista päätöksistä tai toimenpiteistä taikka niiden valmistelusta tai tietoja finanssi- ja tulopolitiikan valmistelusta taikka finanssi-, tulo-, raha- tai valuuttapoliittisten päätösten tai toimenpiteiden tarpeiden selvittämisestä. Osittain tämä johtuu käytännössä ilmenneistä tarpeista, osittain siitä, että ehdotetun sääntelyn mukaan jatkossa muita kuin turvallisuusluokiteltuja asiakirjoja ei enää luokiteltaisi eri suojaustasoille, vaan niitä voitaisiin käsitellä toteuttamalla vähimmäisvaatimukset riskienhallinnan perusteella.

Mikäli asiakirja olisi vasta valmisteluvaiheen asiakirja eli ei vielä valmis, voitaisiin siihen merkitä turvallisuusluokka, mikäli asiakirja sisältönsä puolesta kuuluu tässä säännöksessä tarkoitettuihin turvallisuusluokiteltuihin asiakirjoihin.

Merkinnät voitaisiin tehdä myös asiakirjan kopioihin. Tietojärjestelmissä merkintä tehtäisiin myös asiakirjan metatietoihin. Merkintä voitaisiin tehdä asiakirjaan liitettävään erilliseen asiakirjaan, jos merkintöjen tekeminen asiakirjaan tai merkinnän muuttaminen ei ole teknisesti mahdollista tai jos luokkaa vastaavat käsittelyvaatimukset ovat tarpeen vain tietyn lyhyehkön ajan. Turvallisuusluokkaa osoittava merkintä olisi tehtävä selvästi ja oikein asiakirjaan, ja luokitus on säilytettävä vain niin kauan, kuin se suojattavan edun vuoksi on tarpeen. Turvallisuusluokittelu voidaan suorittaa myös siten, että tietoturvallisuutta koskevat vaatimukset kohdistetaan vain sellaisiin asiakirjoihin tai sellaisiin asiakirjan käsittelyvaiheisiin, joissa erityistoimenpiteet ovat suojattavan edun vuoksi tarpeen. Luokitusta ei saisi ulottaa sellaiseen asiakirjaan tai asiakirjan osiin, joissa käsittelyvaatimusten noudattaminen ei suojattavan edun vuoksi ole tarpeen.

Ehdotetun 2 momentin mukaan turvallisuusluokitusmerkintää ei saisi käyttää muissa kuin 1 momentissa tarkoitetuissa tapauksissa, ellei merkinnän tekeminen olisi tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi tai asiakirja muutoin liity kansainväliseen yhteistyöhön.

Ehdotetun 3 momentin mukaan kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa tarkoitettuihin asiakirjoihin olisi tehtävä turvallisuusluokituksesta merkintä siten kuin mainitussa laissa säädetään.

Ehdotetun 4 momentin mukaan turvallisuusluokittelusta, turvallisuusluokiteltaviin asiakirjoihin tehtävistä merkinnöistä ja niiden käsittelystä säädettäisiin tarkemmin valtioneuvoston asetuksella. Tarkoitus ei ole muuttaa nykyisiä tietoturvallisuusasetuksessa säädettyjä turvallisuusluokkia, jotka on laadittu vastaamaan kansainvälisissä yhteyksissä yleisesti käytettyä luokittelua ja merkintöjä. Näistä merkinnöistä säädettäisiin jatkossakin asetuksella. Tarkoitus on myös asetuksen tasolla mahdollistaa alimman turvallisuusluokan asiakirjojen käsittely noudattaen ehdotetussa laissa säädettäviä tiedonhallinnan perusvaatimuksia. Käsittelyssä olisi luonnollisesti otettava huomioon myös mitä ehdotetun lain 13 §:n 1 momentissa tarkoitettu riskiarviointiin perustuva tietoturvallisuuden toteuttaminen. Ehdotettu 4 momentti sisältäisi myös informatiivisen viittaussäännöksen salassapitomerkinnöistä, joista säädettäisiin julkisuuslain 25 §:ssä, jota myös ehdotetaan tällä esityksellä muutettavaksi.

5 luku Tietoaineistojen muodostaminen ja sähköinen luovutustapa

19 §. Tietoaineistojen sähköiseen muotoon muuttaminen ja saatavuus. Pykälässä säädettäisiin tietoaineistojen muuttamisesta sähköiseen muotoon. Pykälän tarkoituksena olisi ohjata viranomaisia käsittelemään tietoaineistojaan vain sähköisessä muodossa, riippumatta siitä, missä muodossa viranomainen on saanut sille toimitetut asiakirjat. Pykälässä ehdotetaan säädettäväksi viranomaisen velvollisuudesta tiedonhallintayksikön sijaan, koska asiakirjat saapuvat viranomaiselle ja toimivaltainen viranomainen käsittelee sille saapuneet asiakirjat.

Pykälän 1 momentin ensimmäisen virkkeen mukaan, jos asiakirja saapuu viranomaiselle muussa kuin sähköisessä muodossa, olisi se muunnettava sähköiseen muotoon, jos asiakirja on säädetty pysyvästi säilytettäväksi taikka lailla tai lain nojalla arkistoitavaksi. Osa asiakirjoista ja tietoaineistoista on säädetty laissa pysyvästi säilytettäväksi. Pysyvä säilyttäminen tarkoittaa henkilötietojen käsittelyssä sitä, että tietoja säilytetään alkuperäiseen käyttötarkoitukseensa siten, ettei niitä tuhota tai siirretä varsinaisesti arkistoon lainkaan, vaan niiden säilyttämiselle on olemassa pysyvä peruste etujen, oikeuksien tai velvollisuuksien määrittäjänä. Joissakin tilanteissa pysyvästä säilyttämisestä on säädetty lain nojalla. Niin ikään arkistointia koskevassa sääntelyssä käytetään käsitettä pysyvä säilyttäminen, joka on erilaisen merkityssisältönsä perusteella ongelmallinen käsite henkilötietojen säilytyksestä säädettäessä. Ehdotettava säännös tarkoittaisi, että tiedon säilyttäminen pysyvästi alkuperäiseen käyttötarkoitukseensa tai ennalta määriteltynä arkistoitavaksi muodostaisivat perusteen sille, että asiakirja olisi muunnettava sähköiseen muotoon. Viranomaisen harkintaan jäisi, milloin saapunut asiakirja muunnetaan sähköiseen muotoon. Kun viranomainen muuntaa asiakirjaa sähköiseen muotoon, on viranomaisen huolehdittava muunnetun asiakirjan todistusvoimaisuudesta siten, että sähköiseen muotoon muunnetun asiakirjan luotettavuus ja eheys voidaan varmistaa. Tästä syystä viranomaisella on oltava tarvittavat tekniset järjestelyt, joilla paperiasiakirja voidaan muuntaa luotettavalla tavalla sähköiseen muotoon siten, että asiakirjaan sisältyvien tietojen todistusvoimaisuus säilyy. Käytettävän tekniikan on sisällettävä varmennus siitä, että muunnetun asiakirjan tietosisältö on viranomaisessa tarkastettu ja varmistettu. Muunnetut asiakirjat tulisi esimerkiksi varmentaa sähköisesti sen henkilön toimesta, joka muuntamisen on tehnyt. Varmennuksen olisi oltava sellainen, että jälkikäteen voitaisiin todentaa, jos muunnettuun sähköisessä muodossa olevaan asiakirjaan olisi tehty muutoksia. Muunnettu asiakirja olisi kopio alkuperäisestä, joten olisi erityisen tärkeää varmistaa, että muuntamisen yhteydessä varmistetaan tietosisällön eheys riittävällä tavalla ja että eheys säilyy sähköisessä muodossakin. Sähköiseen muotoon muunnetun asiakirjan todistusvoimaisuudella tarkoitetaan sitä, että sen perusteella voidaan todentaa, mitä asiakirjan perusteella on viranomaiselta vaadittu tai mihin asiakirjan tietosisältö oikeuttaa tai velvoittaa ja ettei asiakirjan tietosisältöä ole muutettu alkuperäisestä.

Pykälän 1 momentin kolmannen virkkeen mukaan viranomaisen laatimat asiakirjat olisi säilytettävä sähköisessä muodossa. Tämä olisi lähtökohta, mutta siitä voitaisiin myös poiketa. Momentin neljännessä virkkeessä olisi mainittu ne tilanteet, joissa viranomaiselle saapuneen asiakirjan tai viranomaisen laatiman asiakirjan sähköisestä säilyttämisestä voitaisiin poiketa. Sähköiseen muotoon muuttamisesta ja säilyttämisestä voitaisiin poiketa, jos se olisi välttämätöntä turvallisuusluokiteltavien asiakirjojen käsittelyä koskevien vaatimusten, muiden tietoturvallisuusvaatimusten tai muun asiakirjan luonteeseen liittyvän välttämättömän syyn vuoksi. Säännöksessä mainittu välttämätön syy voisi liittyä asiakirjan muotoon tai sisältöön siten, ettei asiakirjaa voitaisi muuttaa sähköiseksi siihen liittyvien turvatekijöiden tai asiakirjan sisällön muotoon liittyvien syiden vuoksi. Asiakirja voisi olla myös sisällöltään sellainen, että sen käsittely olisi välttämätöntä paperimuodossa ilman, että siitä otetaan jäljennöstä sähköiseen muotoon. Pykälän 1 momentissa ei olisi säädetty, mitä sähköiseen muotoon muutetuille alkuperäisille paperiasiakirjoille tehdään. Arviointi, miltä osin asiakirjat olisivat sellaisia, että niiden alkuperäinen muoto olisi tarpeellista säilyttää myöhemmin tehtävää tieteellistä tai historiallista tutkimusta taikka kulttuuriperinnön säilytystä varten jäisi arkistolainsäädännön varaan arkistotoimen tehtäväksi.

Pykälän 2 momentissa olisi säädetty sähköisessä muodossa olevien tietoaineistojen saatavuuteen liittyvistä velvollisuuksista. Säännös liittyy julkisen sektorin julkisen sektorin hallussa olevien tietojen uudelleenkäytöstä annetun Euroopan parlamentin ja neuvoston direktiivin 2003/98/EY (PSI-direktiivi) ja sen muutosdirektiivin 2013/37/EU kansalliseen täytäntöönpanoon. Direktiivin 2 artiklan luettelon 6 kohdan mukaan koneellisesti luettavalla esitysmuodolla tarkoitetaan tiedostomuotoa, jonka rakenne mahdollistaa sen, että ohjelmistot pystyvät helposti yksilöimään, tunnistamaan ja poimimaan siitä määrättyjä tietoja, yksittäiset tietoalkiot ja niiden rakenne mukaan lukien. Direktiivin 5 artiklan 1 kohdan mukaan julkisen sektorin elinten on asetettava asiakirjansa saataville kaikissa jo olemassa olevissa esitysmuodoissa ja kaikkina jo olemassa olevina kielitoisintoina ja, silloin kun se on mahdollista ja tarkoituksenmukaista, avoimessa koneellisesti luettavassa esitysmuodossa yhdessä niitä koskevien metatietojen kanssa.

Pykälän 2 momentin mukaan, ottaen huomioon mitä tiedonsaannista ja henkilötietojen suojasta erikseen säädetään, viranomaisen olisi huolehdittava, että tietoaineisto olisi saatavilla ja hyödynnettävissä yleisesti käytettävässä koneluettavassa muodossa kuvailutietoineen, jos tietoaineisto voidaan saattaa alkuperäisestä muodosta suoraan koneluettavaan muotoon. Säännös jättäisi viranomaiselle laajan harkinnan siitä, mitkä tietoaineistot sille muodostuisivat siten, että tietoaineisto olisi koneluettavassa muodossa. Säännös ei olisi itsenäinen vaan sitä pitäisi tulkita tiedonsaantioikeuksia ja käsittelyoikeuksia koskevien säännösten kanssa. Säännöksessä ei säädettäisi myöskään tavasta, jolla tietoaineistoja pitäisi pitää saatavilla, vaan se jää tiedonsaantia ja henkilötietojen suojaa koskevien säännösten varaan.

Viranomaisella olisi velvollisuus huolehtia tietojen saatavuudesta ja siihen liittyvästä hyödynnettävyydestä silloin, kun tietoaineistoon on olemassa tietojensaantioikeus ja tietojenkäsittelyoikeus. Tietojen saatavuus ja hyödynnettävyys koskevat tietoaineiston muotoa sitten, että sähköiset tietoaineistot tulisi muodostaa sellaiseen muotoon, että ne olisivat yleisesti käytettävässä koneluettavassa muodossa. Yleisesti käytettävällä muodolla tarkoitettaisiin jonkin standardin mukaista tai muun yleisesti käytössä olevan tiedostomuodon tai -rakenteen käyttöä. Viranomaisella olisi 2 momentissa tarkoitettu velvollisuus silloin, kun aineisto muodostuu sähköiseen muotoon. Tällöin aineiston tulee olla saatavilla yleisesti käytettävässä muodossa ja siihen on liitettävä tietoaineistoa kuvailevat tiedot (metatiedot). Nämä vaatimukset tulisi ottaa huomioon jo tietoaineistoja sähköiseen muotoon muodostettaessa.

Säännös tulisi sovellettavaksi tiedonsaantioikeuksia käytettäessä siten, että tiedonsaantiin oikeutettu voisi saada tietoaineiston yleisesti käytettävässä koneluettavassa muodossa kuvailutietoineen. Se, miten tiedot annettaisiin tai olisivatko tiedot saatavilla jostakin julkisesta verkko-osoitteesta, jää pääosin muun sääntelyn varaan ja joitakin osin myös viranomaisen harkintaan. Viranomaisella ei olisi velvollisuutta muokata asiakirjoja siten, että kaikki aineistot olisivat koneluettavassa muodossa, jos siihen olisi jokin teknisistä ratkaisuista johtuva syy, esimerkiksi, että skannattua asiakirjaa ei voitaisi koneellisesti lukea tai muuntaa luotettavalla tavalla koneluettavaan muotoon. Tietojen koneluettavan muodon vaatimus koskisi erityisesti tietoaineistoja, jotka olisivat asiakirjallisina tietoina rakenteellisessa muodossa. Säännös ei muodosta myöskään viranomaiselle velvollisuutta pitää yleisesti saatavilla sähköisessä muodossa olevia tietoaineistoja, vaan saatavuus koskee tässä momentissa muotoa, jossa tiedot annetaan tiedonsaantiin oikeutetulle.

Pykälän 3 momentissa olisi säännös, jolla mahdollistetaan se, että tiedonhallintayksikkö voi antaa teknisluonteisen asiakirjojen sähköiseen muotoon muuttamisen yksityisen henkilön tai yhteisön hoidettavaksi. Perustuslakivaliokunta on eräässä lausunnossaan (PeVL 30/2012 vp) todennut, että perustuslain 124 §:ssä tarkoitettuja julkisia hallintotehtäviä ovat Verohallinnolle annettavien ilmoitusten ja muiden asiakirjojen vastaanotto, lajittelu sekä asiakirjojen ja niihin sisältyvien tietojen tallentaminen. Koska asiakirjojen sähköiseen muotoon muuttaminen on asiakirjojen tallentamista, on se myös julkinen hallintotehtävä. Perustuslain 124 §:n mukaan julkinen hallintotehtävä voidaan antaa muulle kuin viranomaiselle vain lailla tai lain nojalla, jos se on tarpeen tehtävän tarkoituksenmukaiseksi hoitamiseksi eikä vaaranna perusoikeuksia, oikeusturvaa tai muita hyvän hallinnon vaatimuksia. Merkittävää julkisen vallan käyttöä sisältäviä tehtäviä voidaan kuitenkin antaa vain viranomaiselle. Ehdotettavan 3 momentin perusteella yksityinen voisi hoitaa asiakirjojen sähköiseen muotoon muuttamisen viranomaisen toimeksiannosta sopimusperusteisesti. Hallinnon yleislait tulisivat sovellettavaksi tällaisiin yksityisiin suoraan lain soveltamisalaa koskevien säännösten perusteella. Momentti sisältäisi viittaukset rikosoikeudelliseen virkavastuuseen ja vahingonkorvauslakiin, jotta tehtävä voitaisiin antaa yksityisen hoidettavaksi. Asiakirjojen muuttaminen sähköiseen muotoon ei ole julkisen vallan käyttöä, vaan julkisen vallan käyttöön liittyvän avustavan tehtävän hoitamista. Rikoslain virkarikoksia koskevat säännökset eivät siten tule sovellettavaksi suoraan rikoslain (39/1889) 40 luvun perusteella, vaan rikosoikeudellisen virkavastuun laajentaminen muihin kuin julkista valtaa sisältäviin julkisiin hallintotehtäviin on tehtävä erityislainsäädännössä. Perustuslakivaliokunta on edellyttänyt rikosoikeudellisen virkavastuun ulottamista myös sellaisiin julkisiin hallintotehtäviin, joissa ei käytetä julkista valtaa (ks. esimerkiksi PeVL 11/2006 vp, PeVL 3/2009 vp, PeVL 30/2012 vp). Asiakirjojen muuttaminen sähköiseen muotoon on teknisluonteinen tehtävä, joka edellyttää erityistä huolellisuutta. Tällaiset teknisluonteiset ja rutiiniluonteiset tehtävät voidaan katsoa viranomaisesta riippuen tarkoituksenmukaiseksi antaa yksityisen hoidettavaksi muun muassa viranomaistoiminnan tehokkuuden ja resurssien tarkoituksenmukaisen käytön mahdollistamiseksi sekä ruuhkahuippujen tasaamiseksi. Kunkin viranomaisen arvioitavaksi jää, onko tehtävän antaminen yksityiselle tarkoituksenmukaista, vaikka laissa tällainen ulkoistaminen mahdollistettaisiinkin (VaVM 10/2006 vp). Perustuslakivaliokunta on pitänyt mahdollisena asiakirjojen tallentamista koskevan tehtävän antamisen yksityiselle (PeVL 30/2012 vp) julkista hallintotehtävää koskevien sääntelyvaatimusten puitteissa. Säännös sisältäisi kuitenkin lisävaatimuksena, että viranomaisen olisi tällaiselta yksityiseltä palvelua hankittaessa varmistettava, että yksityisellä on riittävät tekniset valmiudet asiakirjojen sähköiseen muotoon muuttamiseksi ja että, yksityisellä olisi riittävä osaaminen tähän tehtävään. Osaamiseen liittyy erityinen huolellisuusvaatimus sen varmistamisessa, että asiakirja säilyy eheänä ja muuttumattomana sekä käyttökelpoisena. Myös tietoturvallisuus on varmistettava siten kuin tässä tai muussa laissa säädetään. Momentissa ei olisi kuitenkaan tällaista viittausta, vaan tietoturvallisuussäännökset on otettava huomioon kaikessa tietoaineistojen käsittelyssä.

20 §. Tietoaineistojen kerääminen viranomaisen tehtäviä varten. Pykälässä säädettäisiin tavoista, joilla tietoja kerättäisiin viranomaisten tehtävien hoitamista varten. Säännöksen tarkoituksena olisi vähentää viranomaisten rinnakkaista ja päällekkäistä tietojen keräämistä hallinnon asiakkailta sekä varmistaa, että viranomaiset käyttäisivät ajantasaisia tietoja niiden alkuperäisistä tietolähteistä. Säännöksessä ei säädettäisi tiedonsaantioikeuksista, vaan viranomaisen tietojen keräämiseen liittyvistä rajoituksista. Pykälän 1 momentti asettaisi viranomaiselle velvollisuuden hyödyntää toisen viranomaisen tietoaineistoja, jos viranomainen voisi niiden avulla hoitaa sille säädettyjä tehtäviä tarkoituksenmukaisella tavalla, ottaen huomioon hallinnon asiakkaan oikeusturvan toteuttamisen. Velvollisuus koskisi momentin mukaan tilanteita, joissa viranomaisella olisi tiedonsaantioikeus toisen viranomaisen tietoihin ja tiedot olisivat saatavilla teknisen rajapinnan tai katseluyhteyden avulla. Säännös sisältäisi vaatimuksen viranomaiselle arvioida toimintaprosessien suunnittelussaan, mistä jo olemassa olevista tietovarannoista sen tarvitsemat tiedot olisi mahdollista saada ajantasaisena tiedonsaantioikeuksien ja tietojen käsittelyoikeuksien puitteissa ilman, että tietoja tarvitsisi erikseen pyytää asianosaiselta tai muulta hallinnon asiakkaalta. Säännöksen tarkoituksena on ohjata hallinnon toimintaa tarkoituksenmukaisiin toimintaprosesseihin ja samalla kiinnitetään huomiota asianosaisen ja muun hallinnon asiakkaan oikeusturvan toteuttamisesta huolehtimiseen tietojen hyödyntämisessä ja käytössä. Viranomainen ei voisi tehdä hallinnon asiakasta koskevia välittömän oikeusvaikutuksen aiheuttavia päätöksiä pelkästään kerättyjen tietojen perusteella, vaan hallinnon asiakasta pitäisi muun muassa kuulla ennen päätöksentekoa tai järjestää asiankäsittely tai palvelujen tuottaminen siten, että asianosainen tai asiakas voivat varmistaa jo asiankäsittelyn tai palvelun tuottamisen aikana viranomaisella olevien tietojen oikeellisuuden. Säännös ei siten muodosta ehdotonta velvollisuutta viranomaiselle hyödyntää toisen viranomaisen tietoaineistoja, joita toinen viranomainen tarvitsee omien tehtäviensä hoitamisessa. Säännöksellä on tarkoitus ohjata suunnittelua, jossa on otettava huomioon asiankäsittelylle ja palvelutuotannolle asetetut menettelyvaatimukset.

Pykälän 2 momentissa säädettäisiin otteina ja todistuksina kerättävien tietojen keräämisestä. Monissa tilanteissa otteisiin tai todistuksiin sisältyvät tiedot on saatavissa viranomaisten käyttöön suoraan toiselta viranomaiselta. Tällaisia otteisiin tai todistuksiin sisältyviä tietoja on saatavissa teknisen rajapinnan tai katseluyhteyden avulla muun muassa väestötietojärjestelmästä (virkatodistus), kaupparekisteristä (kaupparekisteriote) ja kiinteistötietojärjestelmästä (kiinteistörekisteriote). Säännös ei olisi ehdoton, vaan sisältäisi ehtoja, joiden perusteella tietojen keräämistä rajoittava säännös tulisi sovellettavaksi.

Säännöksessä luotettavuudella ja ajantasaisuudella tarkoitettaisiin sitä, että tiedot luovuttavalla viranomaisella tietovarannon tietoaineistojen ajantasaisuus on varmistettu ja että tietojen alkuperäisyys ja eheys on varmistettu tietoaineiston tietohuoltoon liittyvissä prosesseissa. Tietoaineiston luotettavuuteen liittyy myös se, että hallinnon asiakkaalla tulee olla mahdollisuus päästä tutustumaan näihin tietoihin sen viranomaisen tietovarannosta, josta tietoja luovutetaan toiselle viranomaiselle.

Viranomaisilla on useissa tilanteissa mahdollisuus saada tehtäviensä hoitamiseen tarvitsemansa erilaisiin todistuksiin ja otteisiin liittyvät tiedot toiselta viranomaiselta ajantasaisesti. Tästä syystä ei ole perusteita, että hallinnon asiakasta edellytettäisiin toimittamaan tällaiset tiedot. Jos viranomaisella olisi tehtäviensä hoitamista varten oikeus saada luotettavasti ja ajantasaisesti teknisen rajapinnan tai katseluyhteyden avulla toisen viranomaisen tietovarannosta sellaisia tietoja, joita otteesta tai todistuksesta ilmenisi, ei otteita tai todistuksia saisi vaatia hallinnon asiakkaalta. Asiakasta ei myöskään muulla tavalla saisi vaatia toimittamaan vastaavaa tietoa. Tarkoituksena on varmistaa, ettei jo kerran asiakkaalta saatua tai muutoin viranomaisen rekisteröimää tietoa kysyttäisi uudestaan hallinnon asiakkaalta. Tarkoitus olisi myös luopua menettelyistä, joissa hallinnon asiakkaan pitäisi toimittaa sellaisia todistuksia tai otteita, joiden antajana olisi toinen viranomainen. Tällainen menettely olisi edelleen mahdollista erityislakien perusteella, mutta tarkoituksena on, että niistäkin luovuttaisiin säädöshuollon yhteydessä. Lähtökohtaisesti viranomaisen olisi asian käsittelemiseksi tai palvelun tuottamiseksi hankittava itse kaikki tarvitsemansa otteisiin ja todistuksiin sisältyvät tiedot, jos se on sille säädettyjen tiedonsaantioikeuksien puitteissa mahdollista. Kuitenkaan viranomaisilla ei kaikissa tilanteissa ole mahdollisuutta saada otteisiin ja todistuksiin liittyviä tietoja, esimerkiksi kun kysymys on ulkomaalaisesta hallinnon asiakkaasta.

Pykälän sääntelyllä pyritään tarpeettoman tiedonkeruun vähentämiseen ja viranomaisten tietovarantojen tehokkaampaan hyödyntämiseen viranomaisten toiminnassa. Viranomainen voisi edelleen pyytää otteita ja todistuksia, jos viranomaisella ei olisi tiedonsaantioikeuksia tietoihin suoraan toiselta viranomaiselta tai toisen viranomaisen tietoaineiston ajantasaisuudesta ei voitaisi varmistua. Säännös ei vaikuttaisi myöskään muualla laissa säädettyihin ilmoitusvelvollisuuksiin, vaan säännös tulisi sovellettavaksi lähinnä asianosaislähtöisissä asioissa hakemusten toimittamisen yhteydessä.

21 §. Tietoaineistojen säilytystarpeen määrittäminen. Pykälä sisältäisi säännökset siitä, millä perusteilla tietoaineistojen säilytystarve määritetään niille tietoaineistoille tai asiakirjoille, joiden säilytysajasta ei ole säädetty laissa. Pykälän tarkoituksena olisi yhdenmukaistaa perusteet, joilla asiakirjojen ja muiden tietoaineistojen säilytysaikoja määritetään. Määrittelyn kohteena oleva tietoaineisto voi sisältää tietokokonaisuuksia, joilla on useita eri säilytysaikoja. Ehdotettu säännös koskisi kaikenlaisia tietoaineistoja riippumatta niiden sisällöstä. Pykälässä ei olisi säädetty niistä perusteista, joilla tietoaineistot arkistoidaan, vaan se perustuu muuhun sääntelyyn. Siten säilytysaika ei tarkoita sitä, miten kauan tietoaineistoa hallitaan tiedonhallintayksikössä, vaan miten kauan sitä säilytetään siihen käyttötarkoitukseen, johon asiakirjat ja muut vastaavat tiedot on kerätty. Säilytysaikojen määrittämistä koskevan pykälän tarkoituksena on varmistaa oikeusturvan ja rikosoikeudellisen virkavastuun todentaminen viranomaisten tietoaineistoista.

Suomessa on noin 300 säännöksessä säädetty asiakirjojen tai henkilörekisterissä säilytettävin tietojen säilytysajasta tai sen määräytymisestä. Säilytysaikoja koskeva sääntely ei ole kuitenkaan kattavaa. Pykälässä säädettäisiin perusteista, joilla säilytysajat määriteltäisiin julkisessa hallinnossa. Pykälä täyttäisi perustuslakivaliokunnan lausunnoissaan esittämät vaatimukset täsmällisyydestä, kattavuudesta ja tarkkarajaisuudesta yleislaissa säädettävistä henkilötietojen käsittelyn vaatimuksista. Jatkossa tietoaineistojen ja asiakirjojen, mukaan luettuna henkilötietojen, säilytysajoista olisi tarpeen säätää erikseen laissa vain, jos säilytysajan määrittelyssä poiketaan tässä pykälässä säädetyistä perusteista taikka säilytysaikojen määrittely laintasolla on tarpeen esimerkiksi Euroopan unionin lainsäädäntöön liittyvien syiden vuoksi taikka jos kysymys olisi erityisiin henkilötietoryhmiin kuuluvien tietojen taikka muiden arkaluonteisten tietojen säilytysajoista.

Perustuslakivaliokunta on todennut vakiintuneesti, että henkilörekisterin säilytysajat kuuluvat niihin seikkoihin, joista on perustuslain 10 §:n 1 momentin mukaan säädettävä lailla (PeVL 14/1998 vp ja PeVL 25/1998 vp). Henkilötietojen pysyvästä säilyttämisestä on perustuslakivaliokunta todennut toistuvasti, ettei tietojen pysyvä säilyttäminen ole henkilötietojen suojan mukaista (PeVL 51/2002 vp ja PeVL 54/2010 vp). Kuitenkin, jos tähän on tietojärjestelmän luonteen tai tarkoituksen mukainen peruste, voidaan henkilötietoja säilyttää pysyvästi (PeVL 3/2009 vp ja PeVL 54/2010 vp). Perustuslakivaliokunta on tuoreimmassa lausuntokäytännössään todennut, ettei ole estettä sille, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla (PeVL 14/2018 vp, PeVL 2/2018 vp, PeVL 31/2017 vp, PeVL 5/2017 vp ja PeVL 38/2016 vp).

Ehdotettava pykälä koskisi kaikenlaisia tietoja, joten se täydentäisi sitä, mitä Euroopan unionin yleisessä tietosuoja-asetuksessa on säädetty säilytysaikojen määräytymisestä. Euroopan unionin yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdan mukaan henkilötietoja on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Artiklan mukaan henkilötietoja voidaan säilyttää pidempiäkin aikoja, jos henkilötietoja käsitellään ainoastaan yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti edellyttäen, että tietosuoja-asetuksessa vaaditut asianmukaiset tekniset ja organisatoriset toimenpiteet on pantu täytäntöön rekisteröidyn oikeuksien ja vapauksien turvaamiseksi (”säilytyksen rajoittaminen”). Tietosuoja-asetuksen 25 artiklassa kuvattuihin sisäänrakennetun ja oletusarvoisen tietosuojan toteuttamiseen kuuluu muun muassa, että rekisterinpitäjä määrittelee käsiteltävien henkilötietojen säilytysajat ja rekisterinpitäjän on huolehdittava, että niitä noudatetaan. Säilytysaikoja määriteltäessä rekisterinpitäjän tulee ottaa huomioon käsittelyyn liittyvä tarpeellisuusvaatimus.

Julkisessa hallinnossa henkilötietojen käsittely perustuu tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdassa tarkoitettuun lakisääteisten velvoitteiden noudattamiseen sekä e alakohdassa tarkoitettuun yleistä etua koskevan tehtävän suorittamiseen taikka julkisen vallan käyttämiseen. Näitä c ja e alakohdan käsittelyn oikeusperusteita varten kansallisessa lainsäädännössä voidaan tietosuoja-asetuksen 6 artiklan 3 kohdan perusteella säätää muun muassa säilytysajoista. Ehdotetussa 21 §:ssä ei säädettäisi säilytysajoista, vaan perusteista, jotka tulisi ottaa huomioon säilytysaikoja määriteltäessä. Pykälän 1 momentissa oleva luettelo ei olisi tyhjentävä, vaan siinä on tuotu esille ne säilyttämiseen liittyvät perusteet, jotka lähtevät yksilön etujen, oikeuksien ja velvollisuuksien toteuttamisesta, viranomaisen oikeuksien ja velvollisuuksien toteuttamisesta sekä perustuslain 118 §:ssä säädetyn virkavastuun todentamisesta viranomaisten asiakirjoista. Käytännössä virkavastuun toteuttamisen ja todentamisen kannalta tärkeässä asemassa ovat viranomaiselle muodostuneet asiakirjat, joita hallinnoidaan tietovarannoissa. Säilytysaikojen määrittäminen on merkityksellistä perustuslain 21 §:ssä säädetyn oikeusturvan sekä perustuslain 118 §:ssä säädetyn virkavastuun toteuttamisen kannalta katsottuna, kun jälkikäteen arvioidaan virkamiehen vastuuta tekemistään toimista asiakirja-aineiston perusteella.

Tiedonhallintayksikön olisi huolehdittava, että sen yhteydessä toimivat viranomaiset ja rekisterinpitäjät määrittelevät tietojen käsittelyyn liittyvät säilytysajat sekä ylläpitävät näistä tiedot tiedonhallintamallissa. Asianmukaisesti laaditussa tiedonhallintamallissa henkilötietojen, asiakirjojen, muiden näitä vastaavien tietojen sekä tietoaineistojen säilytysaikaa koskeva tieto yhdistetään viranomaisen toimintaprosesseihin.

Pykälässä ei säädettäisi erikseen säilytysaikojen laskentaperusteista, vaan ne jäisivät alan suositusten varaan. Säilytysaikojen määrittämisen jälkeen tiedonhallintayksiköissä on määriteltävä, miten säilytysajat lasketaan kussakin toimintaprosessissa. Säilytysaika voitaisiin laskea muun muassa sen vuoden päättymisestä, jolloin asiankäsittely viranomaisessa on päättynyt tai palvelun tuottaminen asiakkaalle on päätetty. Asiankäsittely katsotaan päättyneeksi viranomaisessa sen jälkeen, kun esimerkiksi viranomaisen päätös on tullut lainvoimaiseksi. Siten esimerkiksi päätöksestä tehty valitus vaikuttaa asiankäsittelyssä syntyneiden asiakirjojen ja muiden asiakirjallisten tietojen säilytysajan laskentaan. Lisäksi säilytysaika voitaisiin laskea sen tilikauden päättymisestä, jolloin tilinpitoon liittyvä tietoaineisto on muodostunut. Julkisen hallinnon tiedonhallintalautakunta voisi antaa suosituksia säilytysaikojen laskentaperusteista.

Pykälän 1 momentti sisältää ne perusteet, jotka tulee ottaa huomioon määritettäessä tietoaineistojen ja asiakirjojen säilytysaikoja. Momentin luettelosta ilmenevät ne huomioitavat perusteet, joilla säilytysajat määriteltäisiin. Luettelossa olevat kriteerit eivät ole toisiaan poissulkevia, vaan toisiaan täydentäviä eikä luettelo olisi tyhjentävä, vaan siinä olisi mainittu ne näkökulmat, jotka tulisi ottaa huomioon säilytysaikaa määriteltäessä. Siten esimerkiksi tietyn viranomaisen toimen toteuttamiseen liittyvän rikosoikeudellisen virkavastuun vanheneminen voi olla viisi vuotta, mutta tietovarannossa olevat tiedot voivat vaikuttaa asianosaisen tai rekisteröidyn asemaan pidemmänkin aikaa. Näissä tapauksissa pisin säilytysajan määräytymisperuste olisi ratkaiseva säilytysaikaa määriteltäessä.

Luettelon 1 kohdan mukaan säilytysajan määrittelyssä on tehtävä tietoaineistojen säilytyksen tarpeellisuuden arviointi sen suhteen, mitä tehtävää tai palvelua varten tietoja on kerätty. Luettelon 1 kohta on ensin arvioitava, jonka jälkeen säilytysajan määrittäminen tapahtuisi luettelon 2—5 kohtien perusteella. Luettelon 2 kohdan mukaan säilytysajan määrittelyssä tulisi arvioida, missä määrin asiakirjoja tai muita tietoja on tarpeen säilyttää luonnollisen henkilön tai oikeushenkilön etujen, oikeuksien, velvollisuuksien ja oikeusturvan toteuttamiseksi ja todentamiseksi. Viranomaisten tekemät päätökset, rekistereissä olevat merkinnät sekä tietojärjestelmissä olevat kirjaukset luovat hallinnon asiakkaille ja hallinnossa työskenteleville erilaisia etuja, oikeuksia ja velvollisuuksia. Viranomaisilla on tarve säilyttää erilaisia tietoaineistoja tietovarannoissaan näiden eri oikeuksien todentamiseksi ja toteuttamiseksi sekä oikeusturvan varmistamiseksi. Tällaiset tietoaineistot voivat vaikuttaa pitkäänkin eri henkilöiden oikeuksien toteuttamiseen tai niiden todentamiseen. Joissakin tilanteissa säilytysaika voi olla lyhyempi esimerkiksi kertaluonteisen korvauksen maksamisen yhteydessä, jolloin taloushallintoon liittyvänä asiakirjana sitä säilytetään 10 vuotta osana kirjanpitoaineistoa.

Luettelon 3 kohdan mukaan asiakirjoja säilytettäisiin se aika, joka sopimuksen tai muun yksityisoikeudellisen oikeustoimen oikeusvaikutus on. Siten sopimusasiakirjoja ja muita oikeustoimia kuvaavia asiakirjoja säilytetään vaihteleva aika, johon vaikuttaa sopimuksen pituus, mutta myös siihen liittyvät taloudelliset vaikutukset ja niiden kontrollointi. Vaikka sopimuskausi olisi esimerkiksi yhden vuoden, joutuisi tiedonhallintayksikkö säilyttämään sopimusta pidemmän ajan muun muassa jälkikäteisen valvonnan toteuttamiseksi tai vahingonkorvausvelvollisuuden todentamiseksi. Tästä olisi säädetty säilytysperusteena erikseen luettelon 4 kohdassa, jonka mukaan säilytysajan määrittämiseen vaikuttaa vahingonkorvausoikeudelliset vanhentumisajat. Luettelon 5 kohdassa viitattaisiin rikosoikeudellisiin vanhentumisaikoihin. Säilytysaikojen määrittelyyn viranomaistoiminnassa vaikuttavat rikosoikeudelliset syyteoikeuden vanhentumisajat, jotka on määritelty rikoslain (39/1889) 8 luvussa. Tiedonhallintayksiköissä on siten tehtävä 1—5 kohtien perusteella kokonaisarvio kunkin tietoaineiston osalta, mitkä seikat vaikuttavat tietoaineiston säilyttämiseen. Erityisesti oikeusturvaan liittyvät seikat ovat painavassa asemassa säilytysajan määrittämisessä.

Pykälän 2 momentin mukaan säilytysajan päättymisen jälkeen tietoaineistot on arkistoitava tai tuhottava viipymättä tietoturvallisella tavalla. Kun tietoaineiston tai siinä olevien asiakirjojen säilytysaika on päättynyt, ne tulee arkistoida tai tuhota viipymättä tietoturvallisella tavalla. Säännös vastaisi tältä osin julkisuuslain 18 §:n 1 momentin 4 kohdassa säädettyä. Säännöksellä korostetaan sitä, että viranomaisen on siirrettävä säilytysajan päättymisen jälkeen tietoaineisto tai asiakirjat arkistoon viipymättä. Se, miten arkistointi toteutetaan jää viranomaisen tai arkistonmuodostajan harkintaan ja arkistointia koskevan sääntelyn varaan. Arkistointi tai tietoaineistojen tuhoaminen on tehtävä tietoturvallisella tavalla siten, että tietoaineisto ei ole sivullisten saatavilla ja että tietoaineistoa ei enää käsitellä alkuperäiseen käyttötarkoitukseensa. Tuhoamisella tarkoitetaan sitä, että tietoaineisto on poistettava käytöstä siten, ettei sitä enää voida palauttaa uudelleen käyttöön. Tuhoamisella tarkoitetaan toimia, joilla tietoaineisto tosiasiassa tuhoutuu. Tuhoaminen voidaan tehdä erilaisilla teknisillä toimilla, kuten esimerkiksi kovalevyjen päällekirjoittamisella tai fyysisellä murskaamisella. Paperiaineistojen tuhoaminen tapahtuu puolestaan esimerkiksi polttamalla. Pelkästään silppuaminen ei ole tosiasiassa tuhoamista, vaan saattamista käyttökelvottomaksi. Säännöksellä korostetaan sitä, että aineistot on tuhottava tosiasiallisesti, kun säilyttämiselle ei ole perusteita tai ellei tietoaineistoa siirretä erikseen säädetyn perusteella arkistoon.

Pykälän 3 momentti sisältäisi informatiivisen viittaussäännöksen, jonka tarkoituksena olisi selventää, että säilytysaikojen määrittämisen vastuista ja arkistotoimen tehtävistä on säädetty erikseen. Viranomainen säilyttää tietoaineistoja viranomaiselle säädettyjen tehtävien hoitamista varten. Kun tietojen säilyttämiselle ei ole tarvetta viranomaisen tehtäviä varten, ne joko tuhotaan tai siirretään arkistoon. Arkistointia koskeva sääntely hajautuu ainakin Euroopan unionin yleiseen tietosuoja-asetukseen, tietosuojalakiin, sähköisestä asioinnista viranomaistoiminnassa annettuun lakiin sekä arkistolakiin, jonka perusteella arkistoinnista päättää Kansallisarkisto. Edellä mainituissa säädöksissä olevat yksittäiset säännökset muodostavat arkistointia koskevan lainsäädännön. Momentti sisältäisi selvyyden vuoksi viittauksen arkistotoimen tehtäviin, joihin vaikuttavat niin tietosuojalainsäädäntö kuin arkistolakikin. Ehdotettavassa momentissa ei kuitenkaan viitattaisi erikseen näihin säädöksiin.

Arkistolain perusteella asiakirjojen säilytysajat määrittelee arkistonmuodostaja. Yleisen tietosuoja-asetuksen perusteella henkilötietojen säilytysajat määrittelee rekisterinpitäjä. Perusteista, joilla henkilötietoja voidaan arkistoida, säädetään yleisessä tietosuoja-asetuksessa ja tietosuojalaissa. Arkistointi muodostaa oman yleisen edun mukaisen arkistointikäyttötarkoituksen, jonka määräytyminen tapahtuu rekisterinpitäjän arvioinnin perusteella siitä, onko henkilötiedot yleisen edun vuoksi arkistoitava. Riippuen siitä, mitä lakia kulloinkin sovelletaan, määräytyy säilytysaikojen määrittelyn vastuut eri perusteilla. Siten, jos tietoaineistojen käsittelyyn ei sovelleta yleistä tietosuoja-asetusta, määrittelee arkistonmuodostaja tietoaineiston säilytysajan arkistolain perusteella.

22 §. Tietojen luovuttaminen teknisen rajapinnan avulla viranomaisten välillä. Pykälässä säädettäisiin niistä edellytyksistä, joiden täyttyessä viranomainen voisi avata toiselle viranomaiselle teknisen rajapinnan tietojen luovuttamiseksi toisen viranomaisen lakisääteisten tehtävien hoitamista varten. Pykälässä ei säädettäisi tiedonsaantioikeuksista, vaan niistä säädettäisiin edelleen julkisuuslaissa tai erityislainsäädännössä. Säännöksen tarkoituksena olisi korvata erityislainsäädännössä olevat viranomaisten välisiä teknisiä käyttöyhteyksiä koskevat säännökset. Perustuslakivaliokunta on todennut toistuvasti, että perustuslain 10 §:n 1 momentissa tarkoitettuun henkilötietojen suojaa koskeviin sääntelykohteisiin kuuluu teknisestä käyttöyhteydestä säätäminen (lähtien PeVL 12/2002 vp), mutta viimeaikaisessa lausuntokäytännössä perustuslakivaliokunta ei ole enää erikseen maininnut tärkeänä sääntelykohdevaatimuksena teknisestä käyttöyhteydestä säätämistä (ks. PeVL 14/2018 vp, PeVL 2/2018 vp, PeVL 31/2017 vp). Perustuslakivaliokunnan viimeaikaisen lausuntokäytännön mukaan estettä ei ole sille, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla (ks. PeVL 14/2018 vp, PeVL 2/2018 vp, PeVL 31/2017 vp, PeVL 5/2017 vp, ja PeVL 38/2016 vp). Ehdotettavan pykälän ja siihen liittyvien 23 ja 24 §:en tarkoituksena olisi säätää yleislaissa siitä, millä edellytyksillä viranomainen voisi luovuttaa tietoja voimassa olevan käsitteen ”teknisen käyttöyhteyden” avulla vastaavasti teknistä rajapintaa tai katseluyhteyttä käyttäen. Sääntely ei vaikuta sinällään tiedonsaantioikeuksiin vaan tietojen luovutustapaan joko velvoittaen tai mahdollistaen tiettyjen teknisten ratkaisujen käytön viranomaisten välisessä tietojenvaihdossa. Sääntely täyttäisi kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset, kuten perustuslakivaliokunta on edellyttänyt.

Jatkossa viranomainen voisi luovuttaa toiselle viranomaiselle asiakirjoja ja tietoja teknisen rajapinnan avulla, jos pykälässä säädetyt edellytykset tietojen luovuttamiselle tällä tavalla täyttyisivät. Pykälä ei mahdollistaisi rajoittamatonta pääsyä toisen viranomaisen tietovarantoihin ja niissä oleviin tietoaineistoihin, vaan tietoluovutuksia valvottaisiin erilaisin teknisin menetelmin siten, että tietoluovutuksen vastaanottavan viranomaisen tietojärjestelmässä varmistuttaisiin tiedonsaannin asianmukaisuudesta ja tarpeellisuudesta esimerkiksi asiakassuhteen, konkreettiseen palvelutilanteen tai muiden toimintaprosesseihin liittyvien kontrollien perusteella.

Pykälän 1 momentin ensimmäisen virkkeen mukaan viranomaisten olisi järjestettävä säännöllisesti toistuva ja vakiosisältöinen tietojen luovuttaminen tietojärjestelmien välillä teknisten rajapintojen avulla, jos vastaanottavalla viranomaisella on laissa säädetty tiedonsaantioikeus. Säännös koskisi tilanteita, jolloin viranomainen luovuttaisi toiselle viranomaiselle säännöllisesti tietovarannostaan tietoja toisen viranomaisen tietotarpeita varten. Tietojen luovuttaminen teknisten rajapintojen avulla olisi tällaisissa säännöllisesti toistuvissa tilanteissa lähtökohta, josta voitaisiin poiketa vain, jos tässä tai muussa laissa toisin säädetään. Velvollisuus järjestää tietojen luovuttaminen teknisten rajapintojen avulla ei koskisi tilanteita, joissa tietojen luovuttaminen tapahtuisi harvoin. Säännöllisesti toistuvalla tietojen luovuttamisella tarkoitettaisiin tilanteita, joissa tietoja luovutettaisiin säännöllisesti päivittäin tai viikoittain viranomaisten välillä. Lisäksi vaatimuksena tietojen luovuttamiselle rajapintojen avulla olisi, että tiedot luovutetaan vakiosisältöisinä, jolloin rajapintojen avulla tiedot voidaan luovuttaa automaattisesti.

Säännös ei koskisi tilanteita, joissa viranomainen toimittaa tiedonantovelvollisuuden nojalla tai muutoin tietoja toiselle viranomaiselle käyttäen, esimerkiksi ilmoituksen antamiseen, digitaalista palvelua tai muuta sähköistä tiedonsiirtomenetelmää. Tällöin kysymys ei ole teknisten rajapintojen käytöstä ja tietojen luovuttamisesta tietojärjestelmien välillä.

Sekä tiedot luovuttavalla että tiedot saavalla viranomaisella olisi velvollisuus huolehtia siitä, että niiden tietojärjestelmien välinen tietoliikenne hoidetaan yhteentoimivien teknisten rajapintojen avulla. Säännös muun muassa tarkoittaisi sitä, että kummankin viranomaisen olisi huolehdittava siitä, että niiden tietojärjestelmiin voidaan toteuttaa tarvittavat tekniset rajapinnat tietoluovutusten mahdollistamiseksi. Viranomaisten olisi siten jo tietojärjestelmiä koskevien hankintasopimusten yhteydessä otettava huomioon vaatimukset tietojen luovuttamisesta teknisten rajapintojen avulla. Käytännössä tämä tulisi huomioida myös tiedonhallinnan suunnitteluvelvollisuutta toteutettaessa, kun tiedonhallintayksikkö uudistaa menettelyjään ja hankkii tai uudistaa tietojärjestelmiään.

Pykälän 1 momentin ensimmäinen virke sisältää myös ehdon, jonka mukaan teknisen rajapinnan avulla tietoja voidaan luovuttaa vain, jos tiedot vastaanottavalla viranomaisella on laissa säädetty tiedonsaantioikeus rajapinnan avulla luovutettaviin tietoihin. Tiedonsaantioikeuksista on säädetty muualla lainsäädännössä. Tiedonsaantiin olisi siten oltava jokin siihen oikeuttava säännös, joka voisi sisältyä julkisuuslakiin tai muuhun lakiin.

Pykälän 1 momentin toisen virkkeen mukaan tietojen luovuttaminen voitaisiin toteuttaa muulla tavalla, jos teknisen rajapinnan toteuttaminen tai käyttö ei ole teknisesti tai taloudellisesti tarkoituksenmukaista. Säännös tulisi sovellettavaksi silloin, kun viranomaisille olisi muodostunut velvollisuus tietojen luovuttamiseen teknisten rajapintojen avulla, mutta tietoja ei voida luovuttaa rajapintojen välityksellä esimerkiksi tietoturvallisuudelle asetettujen erityisten edellytysten vuoksi taikka muutostilanteessa, jossa ei ole taloudellisesti kannattavaa toteuttaa vanhaan ja enää vähän aikaa käytössä olevaan, poistuvaan järjestelmään teknisiä valmiuksia tietojenvaihtoon teknisten rajapintojen avulla. Mikäli rajapintoja ei ole olemassa, sääntely edellyttäisi käytännössä joka tapauksessa viranomaisia arvioimaan siirtymäajan puitteissa, onko tiedon luovuttaminen muilla tavoin teknisesti tai taloudellisesti tarkoituksenmukaisempaa kuin rajapinnan rakentaminen. Pyrkimyksenä tulisi kuitenkin olla, että alkuperäisen tietovarannon sisällöstä ei muodostettaisi tarpeettomasti laajoja henkilötietojen sisältäviä rekistereitä kopioina, vaan tietoja siirrettäisiin tai hyödynnettäisiin alkuperäisenä tietolähteenä toimivasta tietovarannosta vain silloin, kun sille on konkreettinen asiankäsittelyyn tai palvelujen tuottamiseen liittyvä tarve. Teknisenä syynä voisivat olla myös erilaiset huolto- ja käyttökatkot tai tietojärjestelmän uudistamisen käyttöönottovaihe. Pykälän 1 momentin kolmannen virkkeen mukaan viranomainen voi avata teknisen rajapinnan myös muissa tilanteissa tiedonsaantiin oikeutetulle viranomaiselle. Kolmannen virkkeen tarkoituksena on mahdollistaa viranomaisten tietojärjestelmien välinen tietojenvaihto muissakin kuin säännöllisesti toistuvissa vakiomuotoisissa tiedonsiirroissa, mutta tältä osin tiedonsiirron järjestäminen tietojärjestelmien välillä ei olisi pakollista. Kysymykseen tulisivat tilanteet, joissa tietoluovutukset eivät olisi säännöllisiä, mutta ne olisivat vakiosisältöisiä.

Pykälän 1 momentti ei tulisi sovellettavaksi, jos viranomaisten tietojen luovuttaminen olisi epäsäännöllistä eikä liittyvää tietotarvetta voitaisi vakioida, vaan tietotarve vaihtelisi eri tilanteissa, jolloin tietopyynnöt tehdään yksilöitynä erikseen esimerkiksi sähköisiä tiedonsiirtomenetelmiä käyttäen, jolloin myös tiedot luovutetaan sähköistä tiedonsiirtomenetelmää käyttäen tai muutoin soveltuvalla tavalla.

Lisäksi momentissa viitattaisiin asiakirjojen ja tietojen antamista koskevaan sääntelyyn, jossa on säädetty erikseen tietojen antamisesta muulla tavalla kuin rajapintojen avulla. Tällaista sääntelyä olisi muun muassa tässä laissa katseluyhteyttä koskevat säännökset tai julkisuuslaissa tietojen antamista kopiona, tulosteena tai sähköisessä muodossa koskevat säännökset.

Pykälän 2 momentissa viitattaisiin 4 luvussa säädettyihin tietoturvallisuusvaatimuksiin, jotka tulisi olla toteutettuna, jotta tekninen rajapinta voitaisiin avata. Pykälän 2 momentissa olisi säädetty myös lisäedellytyksistä, joiden olisi toteuduttava, jotta teknisten rajapintojen avulla tietojen luovuttaminen olisi mahdollista. Käytännössä 2 momentissa säädetyt edellytykset ovat viranomaisille velvollisuuksia, koska ne on toteutettava, jos edellytykset teknisten rajapintojen avulla tapahtuvalle tietojen luovuttamisen järjestämisvelvollisuudelle ovat olemassa. Momentin ensimmäisen virkkeen mukaan tietojen luovuttaminen teknisten rajapintojen avulla olisi toteutettava tietojärjestelmien välillä siten, että teknisesti varmistetaan luovutettavien tietoaineistojen tapauskohtainen tarpeellisuus tai välttämättömyys tietoja saavan viranomaisen tehtävien hoitamiseksi, jos luovutettavat tiedot ovat henkilötietoja tai salassa pidettäviä tietoja. Säännös edellyttäisi tietojen luovutuksen kontrollia kun tietoja tarvitsevalla viranomaisella olisi jokin asia käsiteltävänä tai palvelu tuotettavana ja johon tietoja luovutettaisiin teknisten rajapintojen avulla. Esimerkiksi voimassa olevan lainsäädännön mukaan terveydenhuollossa ennen potilasrekisterien välillä tapahtuvaa tietoluovutusta hoitosuhde potilaaseen on tietoteknisesti varmistettava. Teknisen rajapinnan avulla luovutettavien tietojen tietopyynnön lähettävässä tietojärjestelmässä tulisi olla kontrolli, jolla varmistetaan, että tiedot pyytävällä viranomaisessa toimivalla käyttäjällä on käsittelyssään sellainen asia tai tuotettavana sellainen palvelu, että pyydetyt tiedot ovat tarpeellisia asian selvittämiseksi tai palvelun tuottamiseksi. Tiedot pyytävän viranomaisen olisi teknisen kontrollin ja toisen viranomaisen teknisen rajapinnan avulla luovuttamien tietojen perusteella mahdollista yhdistää toiselta viranomaiselta saadut tiedot käsiteltävään asiaan tai tuotettavaan palveluun. Momentin säännökset koskisivat tilanteita, joissa luovutus kohdistuisi henkilötietoihin tai salassa pidettäviin tietoihin. Siten muissa tilanteissa ei sovellettaisi rajapintojen kautta tapahtuvissa luovutuksissa momentissa säädettyjä lisäedellytyksiä.

Pykälän 3 momentti sisältäisi säännökset siitä, miten teknisten rajapintojen toteuttamisessa välttämättömät tietorakenteet määriteltäisiin viranomaisissa. Säännöksen tavoitteena on edistää ja varmistaa tietojärjestelmien välistä yhteentoimivuutta. Momentin ensimmäisen virkkeen mukaan teknisen rajapinnan avulla luovutettavien tietojen tietorakenteen kuvauksen määrittelisi se viranomainen, joka luovuttaa tiedot. Monissa tilanteissa viranomaisten välinen tietojenvaihto teknisten rajapintojen avulla on kuitenkin verkottunut, jolloin ei välttämättä ole määriteltävissä viranomaista, joka tietorakenteen määrittelee. Tällaisia tilanteita on erityisesti kunnissa ja muissa viranomaisissa, jotka hoitavat omalla alueellaan viranomaistehtävää. Tästä syystä momentin toisessa virkkeessä olisi säädetty tilanteesta, jossa tietojen luovuttaminen tapahtuisi usean viranomaisen välillä. Tällöin tietorakenteet määriteltäisiin toimialasta vastaavan ministeriön johdolla, ja siten voitaisiin varmistaa, että tietorakenteiden määritys olisi koordinoitua ja tehokasta. Ministeriöiden olisi muun muassa lainvalmistelun yhteydessä selvitettävä, miten tietorakenteiden kuvausten määrittelytyö organisoidaan muutoksia tehtäessä. Tarvittaessa poikkeuksellisissa tilanteissa voitaisiin säätää erityislakiin tietorakenteiden kuvausten määrittely- ja ylläpitovastuusta erikseen, jos vastuu määrittelystä olisi esimerkiksi valtion virastolla tai laitoksella. Ministeriöiden johdolla tehtävällä tietojen määrittelyllä olisi luonteva yhteys 6 §:ssä valtiovarainministeriölle ja ministeriöille ehdotettuun velvoitteeseen ylläpitää yhteisten tietovarantojen kehittämisen linjauksia tietovarantojen ja tietojärjestelmien yhteentoimivuuden edistämiseksi. Ministeriöt voisivat usean viranomaisen välillä tapahtuvan tiedonluovutuksen suunnittelun yhteydessä ylläpitää oman toimialansa linjauksia sekä julkisen hallinnon tiedonhallintakarttaan kohdistuvia muutoksia. Lisäksi viranomaisten suunnittelun ohjaaminen ministeriöiden toimesta parantaisi ministeriöiden mahdollisuutta arvioida 8 §:n 2 momentin vaatimusten edellyttämällä tavalla valmistelemansa lainsäädännön vaikutuksia tietoaineistoihin ja tietojärjestelmiin sekä asiakirjojen julkisuuteen ja salassapitoon.

Momentissa tietorakenteen kuvauksella tarkoitetaan tiettyyn käyttötarkoitukseen määriteltyä tiedon esitystapaa, jonka perusteella viranomaisen on muodostettava vastaavassa tarkoituksessa luovuttamansa tiedot. Tietorakenteen kuvaus koostuisi tiedonsiirron toteuttamisen vaatimasta määrityksestä, jolla vakioidaan muun muassa luovutuksen kohteena olevien tietojen kuvaamisessa käytettävät sanastot ja käsitteet, koodistot sekä näiden väliset yhteydet. Tietorakenteiden tarkemman määrittämisen tarkoituksena on varmistaa tietoaineistojen koneluettavuus sekä saatavuus. Jotta saatavuus toteutuisi, tulee tietojen luovuttamisessa hyödyntää sellaisia tiedon kuvausmenetelmiä ja teknologioita, joilla turvataan tiedon käyttö yleisesti käytettävissä olevilla ja kustannustehokkailla välineillä. Tietoaineistojen tietorakenteisiin kohdistuva ohjaus ei muuttaisi viranomaisten vastuuta tehtäviensä mukaisen toiminnan edellyttämän tiedonhallinnan järjestämisestä.

23 §. Katseluyhteyden avaaminen viranomaiselle. Pykälä sisältäisi ne perusteet, jolloin viranomainen voisi avata katselumahdollisuuden, mutta katseluyhteyden avaaminen ei mahdollistaisi rajoittamatonta pääsyä tiedot antavan viranomaisen tietovarantoon ja siellä oleviin tietoaineistoihin ja henkilörekistereihin. Säännöksen tarkoituksena olisi osaltaan korvata tekniseen käyttöyhteyteen liittyvää sääntelyä niissä tilanteissa, joissa teknisellä käyttöyhteydellä on tarkoitettu erillisen katseluyhteyden avaamista toiselle viranomaiselle esimerkiksi verkkosivustolla olevan palvelun kautta. Pykälän 1 momentin ensimmäisen virkkeen mukaan viranomainen voisi avata tietovarantoonsa katseluyhteyden toiselle viranomaiselle sellaisiin tietoihin, joihin katseluoikeuden saavalla viranomaisella on tiedonsaantioikeus. Pykälässä ei ehdoteta säädettäväksi tiedonsaantioikeuksista, vaan tavasta, jolla tietoja voidaan antaa toiselle viranomaiselle nähtäväksi tietyissä tilanteissa. Siten viranomainen ei voisi avata katseluyhteyttä missä tahansa tilanteessa, vaan ainoastaan silloin, kun katseluyhteyden saavalla viranomaisella on laissa säädetty tiedonsaantioikeus katseluyhteyden kautta saataviin tietoihin. Tiedonsaantioikeus voisi perustua julkisuuslakiin tai erityislainsäädäntöön.

Pelkästään tiedonsaantioikeus ei vielä riitä katseluyhteyden avaamiseen, vaan tämän lisäksi tarvitaan tietojärjestelmiin liittyviä suojatoimia, jotta katseluyhteyksiä ei käytettäisi tarpeettomaan tiedonhankintaan ja estetään lainvastainen tietojen käsittely. Tästä syystä pykälän toisessa virkkeessä säädettäisiin edellytyksistä, joiden perusteella katseluyhteys voitaisiin avata. Lisäedellytysten olisi täytyttävä kaikilta osin, jotta katseluyhteysmahdollisuus voitaisiin avata. Edellytyksiin kuuluu, että lain 4 luvussa olevat tietoturvallisuusvaatimukset olisi toteutettava ennen kuin katseluyhteys voitaisiin avata. Lisäksi momentissa säädettäisiin lisäedellytyksistä katseluyhteyden avaamiseksi.

Ensimmäisenä edellytyksenä olisi, että katselumahdollisuus on mahdollista rajata vain tiedonsaantioikeuden määrittämiin tarpeellisiin tai välttämättömiin tietoihin. Säännöksen tarkoituksena on rajoittaa tietojen katselumahdollisuutta vain niihin tietoihin, jotka ovat katselumahdollisuuden saavan viranomaisen tehtävien hoitamiseksi tarpeellisia tai välttämättömiä ottaen huomioon erikseen laissa säädetyt tiedonsaantioikeudet. Siten katseluyhteyden avaamista olisi arvioitava ensin kunkin viranomaisen tiedonsaantioikeuksien kannalta katsottuna ja katselumahdollisuuden olisi rajoituttava niihin tietoihin, joita viranomainen tarvitsee tiedonsaantioikeuksiensa puitteissa. Katselumahdollisuus ei voisi olla rajoittumaton ja sitä ei voisi avata mihin tahansa tietoihin, vaan ainoastaan ennalta tehdyn arvioinnin osalta viranomaiskohtaisesti toteutettuihin katseluyhteyksiin, ellei katseluyhteys ole olemassa rekisterissä oleviin tietoihin, jotka on tarkoitettu erikseen laissa säädettynä yleiseen käyttöön tai joihin jokaisella on tiedonsaantioikeus. Tällaisissa tilanteissa katseluyhteyden avaaminen voisi olla toteutettu laajemmalle joukolle tiedon saavia toimijoita, kuten kaupparekisteriin, yhdistysrekisteriin tai säätiörekisteriin. Tällaisista katseluyhteyden mahdollistavista yleiseen käyttöön tarkoitetuista tietopalveluista pitäisi olla säädetty erikseen. Perustuslakivaliokunta on pitänyt henkilötietojen julkistamista perustuslain puitteissa mahdollisena toteuttaa julkisena tietopalveluna, jos sille on oikeusturvan takeiden ja perusoikeusjärjestelmän tavoitteiden kannalta hyväksyttävät perusteet (PeVL 2/2017 vp, PeVL 65/2014 vp, PeVL 32/2008 vp). Valiokunnan mukaan yksityiselämän ja henkilötietojen suojan kannalta on kuitenkin olennaista, että tietoverkkoon sijoitettavasta henkilörekisteristä tietoja ei voida hakea erilaisina massahakuina, vaan esimerkiksi ainoastaan yksittäisinä hakuina (PeVL 2/2017 vp, PeVL 32/2008 vp). Ehdotettava ensimmäinen edellytys on linjassa sen kanssa, mitä perustuslakivaliokunta on edellyttänyt avoimien tietopalvelujen toteuttamiseksi. Nyt ehdotettavassa pykälässä ei kuitenkaan säädettäisi perustuslakivaliokunnan tarkoittamista yleisessä tietoverkossa olevista tietopalveluista, vaan katseluyhteydestä, joka avataan viranomaisten välille tiedonsaantioikeuksien puitteissa. Yleiseen käyttöön tarkoitetuista tietopalveluista säädetään erikseen. Tähän liittyen ehdotettavan lain 24 §:n 2 momentissa olisi informatiivinen viittaussäännös yleisölle tarjottavista tietopalveluista ja niiden sääntelytarpeesta.

Katselumahdollisuus ehdotetaan rajoitettavaksi ensimmäisen edellytyksen perusteella yksittäisiin hakuihin eikä katselumahdollisuuden avulla ole mahdollisuutta saada massamuotoisesti toisen viranomaisen tietovarannon tietoja rajoituksetta. Tähän vaatimukseen liittyy myös ehdotettu toinen edellytys, jonka mukaan tietojen hakemisen yhteydessä tulisi selvittää tietojen käyttötarkoitus. Edellytyksen tarkoituksena olisi varmistaa mihin käyttötarkoitukseen tietoja hakeva käyttäjä on katselemassa toisen viranomaisen tietovarannon tietoja. Käytännössä tämä voitaisiin toteuttaa siten, että tietoja haettaessa käyttäjän pitäisi syöttää tai valita valikosta tai muusta vastaavasta tietojen hakemisen peruste. Tämä peruste käyttäjätietoineen jäisi katseluyhteyden avulla kerättäviin luovutuslokitietoihin, jolloin jälkikäteen voitaisiin todentaa kunkin katseluyhteyden avulla tehdyn haun käyttötarkoitus ja lainmukainen oikeusperuste käsittelylle. Samalla käyttäjän pitäisi arvioida kullakin hakukerralla ennen haun tekemistä, onko haku virka- tai työtehtävien hoitamisen kannalta tarpeen. Katseluyhteyden avulla voisi tehdä vain yksittäisiä hakuja, joissa jokaisella kerralla olisi haun tekevän käyttäjän arvioitava käyttötarkoitus erikseen. Tällä estetään osaltaan myös se, ettei hakuja voida tehdä automaattisesti esimerkiksi hakurobotin avulla.

Pykälän 2 momentin mukaan viranomaisen olisi toteutettava tietovarantoonsa katseluyhteys siten, että katseluyhteyden mahdollistava tietojärjestelmä tunnistaa automaattisesti poikkeavan tietojen hakemisen. Säännöksen tarkoituksena olisi varmistaa, että katseluyhteyksiin olisi toteutettu riittävät kontrollit, joilla estetään massamuotoinen tietojen hakeminen toisen viranomaisen tietovarannosta. Kontrolli olisi toteutettava siten, että yhteyden mahdollistavan tietojärjestelmän olisi mahdollista tunnistaa poikkeukselliset tietohaut esimerkiksi tietyn rekisteröidyn tietoihin tai tietyn käyttäjän poikkeavat tietohaut niiden lukumäärän perusteella. Näillä kontrolleilla estettäisiin tai rajoitettiin niitä tilanteita, joissa tietoja esimerkiksi urkittaisiin katseluyhteyden avulla perusteettomasti. Tällöin haun mahdollistava tietojärjestelmä voisi lähettää esimerkiksi pääkäyttäjälle tiedon poikkeavista hauista, jotta pääkäyttäjä voisi ryhtyä selvittämään massahaun syytä. Tämä osaltaan estäisi sen, ettei hakuja voida tehdä automaattisesti esimerkiksi hakurobotin avulla.

24 §. Tietoaineistojen luovuttaminen teknisen rajapinnan avulla muille kuin viranomaisille. Pykälässä säädettäisiin tietoaineistojen luovuttamisesta teknisen rajapinnan avulla muille kuin viranomaisille. Pykälä olisi mahdollistava eikä sillä säädettäisi tiedonsaantioikeuksista tai sen perusteella kukaan ei voisi vaatia teknisen rajapinnan avaamista, vaan se jäisi viranomaisen harkittavaksi ja päätettäväksi. Säännöksen perusteella tekninen rajapinta voitaisiin avata myös sellaisiin erikseen säädettyjen tiedonsaantioikeuksien nojalla luovutettaviin tietoihin, jotka pitävät sisällään myös salassa pidettäviä ja erityisiin henkilötietoryhmiin kuuluvia henkilötietoja. Pykälän 1 momentin ensimmäisen virkkeen mukaan viranomainen voisi luovuttaa teknisten rajapintojen avulla tietoja muulle kuin toiselle viranomaiselle, jos tiedot saavalla toimijalla on erikseen laissa säädetty tiedonsaantioikeus ja oikeus käsitellä näitä tietoja. Säännös mahdollistaisi teknisen rajapinnan kautta tietojen luovuttamisen myös hallinnon ulkopuolisiin tietojärjestelmiin edellytysten niin täyttyessä ja viranomaisen niin harkitessa tietojen luovutustavan tarkoituksenmukaiseksi. Tiedonsaantioikeuksista on säädetty erikseen julkisuuslaissa tai erityislainsäädännössä. Viranomaisen olisi erikseen selvitettävä tiedonsaantioikeuden lisäksi, onko tietoluovutuksen saajalla henkilötietojen suojaa koskevien säännösten perusteella oikeus käsitellä luovutettavia henkilötietoja, jos tietoluovutus koskisi henkilötietoja. Teknisen rajapinnan avulla tapahtuva tietojen luovuttaminen voisi siten tapahtua vasta sen jälkeen, kun viranomainen olisi ratkaissut, onko luovutuksen saajalla tiedonsaanti- ja käsittelyoikeus teknisen rajapinnan avulla tapahtuvalle toistuvalle ja kontrolloidulle tietojen luovuttamiselle. Säännös mahdollistaa tietojen luovuttamisen teknisten rajapintojen avulla ilman, että siitä tarvitsisi säätää erikseen erityislainsäädännössä. Samalla teknisten rajapintojen käyttöä tietoluovutuksissa koskeva sääntely olisi pääsääntöisesti yhdessä laissa. Säännöksellä ei mahdollistettaisi teknisten rajapintojen avulla tietojen edelleen luovutusta johonkin muuhun toimintaan, vaan tästä pitäisi säätää erikseen erityislainsäädännössä. Tällainen toiminta voisi liittyä esimerkiksi elinkeinotoimintaan, kehitystoimintaan tai tutkimustoimintaan. Pykälän toinen virke sisältäisi viittauksen 22 §:ssä säädettyihin yleisiin edellytyksiin, joiden perusteella tietojen luovuttaminen teknisen rajapinnan avulla olisi mahdollista. Käytännössä samat vaatimukset tulisi toteuttaa niin viranomaisten tietojärjestelmien väliseen kuin hallinnon ulkopuolistenkin tietojärjestelmien väliseen tietojen luovutukseen teknisten rajapintojen avulla.

Pykälän 1 momentin kolmannen virkkeen mukaan tiedot luovuttavan viranomaisen olisi varmistettava, että näiden luovutettavien tietojen tietoturvallinen käsittely on varmistettu tiedon saavan toimijan toiminnassa vastaavilla tietoturvatoimenpiteillä kuin tässä laissa säädetään tiedonhallintayksikölle. Säännöksen perusteella viranomaisen olisi selvitettävä tai varmistettava, että toiminta, johon tietoja luovutetaan täyttää vastaavat tietoturvavaatimukset kuin viranomaisen tietovarannossa olevilla tietoaineistoilla ja niiden käsittelyllä on. Viranomainen voisi pyytää selvitystä tietoturvallisuuden järjestämisestä, asettaa vaatimuksia sille tai voisi edellyttää raporttia tiedot saavan toimijan tietoturva-auditoinnista. Jos kysymys olisi tiedoista, joihin ei sisältyisi tiedonsaanti- tai käyttörajoituksia, voisi viranomainen luovuttaa tietoja teknisen rajapinnan avulla ilman eri selvitystäkin. Tästä syystä kolmannessa virkkeessä mainitaan, että viranomaisen tulisi varmistaa tietoturvallisuus tarvittaessa. Siten viranomaisen on arvioitava erikseen, minkälaisiin tietoaineistoihin on tarve sisällyttää tietoturvallisuuteen liittyvät kontrollit. Jos tietovarannossa oleva tietoaineisto on kokonaan avointa, ei viranomaisella ole perusteita selvittää tietoaineistojen käytön perusteita tai tietoturvallisuusjärjestelyjä tiedon saavan toiminnassa. Tällöin tiedot voidaan luovuttaa avoimesti ilman eri selvitystäkin.

Pykälän 2 momentin mukaan tiedon antamisesta muussa sähköisessä muodossa ja yleisölle katseluyhteytenä toteutettuna tietopalveluina säädetään erikseen. Säännös olisi informatiivinen yleinen viittaussäännös, jonka tarkoituksena olisi selventää, että tietojen luovuttamisesta muulla tavalla sähköisesti on säädetty erikseen muun muassa viranomaisten toiminnan julkisuudesta annetussa laissa. Pykälän perusteella viranomainen ei voisi esimerkiksi avata tietoverkkoon yleisiä tietopalveluja viranomaisen tietovarannoissa oleviin henkilötietoja sisältäviin tietoaineistoihin, vaan tästä tulisi säätää erikseen laissa, kuten perustuslakivaliokunta on eri yhteyksissä henkilötietojen suojaa koskien edellyttänyt (PeVL 2/2017 vp, PeVL 65/2014 vp, PeVL 32/2008 vp).

6 luku Asian ja palvelujen tiedonhallinta

25 §. Rekisteröinti asiarekisteriin. Pykälä pitäisi sisällään säännökset asiarekisteriin tehtävistä merkinnöistä sekä tiedonhallintayksikön velvollisuudesta huolehtia siitä, että asiarekisterin tai sen osien julkisista merkinnöistä voidaan tuottaa tiedot, joiden perusteella tiedonsaantia koskevat pyynnöt voidaan yksilöidä. Asiarekisteri olisi looginen rekisteri, joka koostuisi tiedonhallintayksikössä muodostuvista asiankäsittelyn metatiedoista riippumatta siitä, missä tietojärjestelmässä ne muodostuisivat. Tästä syystä pelkästään asianhallintajärjestelmässä olevat metatiedot eivät kaikissa tilanteissa muodostaisi asiarekisteriä, vaan siihen kuuluisivat myös operatiivisissa tietojärjestelmissä syntyvät metatiedot asiankäsittelyn kulkua kuvaavina tietoina. Asiarekisteriä ylläpidetään asiakirjajulkisuuden toteuttamiseksi tietopyyntöjen yksilöimiseksi, asiakirjojen ja muiden niitä vastaavien tietojen jäsentämiseksi, asiankäsittelyyn liittyvien toimenpiteiden järjestämiseksi, asiankäsittelyaikojen seuraamiseksi sekä prosessien ohjaamiseksi. Asiarekisteri edistää siten julkisuusperiaatteen toteuttamista ja hyvään hallintoon kuuluvan asianmukaisen ja joutuisan asiankäsittelyn seuraamista ja todentamista. Asiarekisterillä tarkoitetaan muun muassa aiemman terminologian mukaisia viranomaisten diaareja ja muita vastaavia hakemistoja, mutta asiarekisteriin kuuluvat myös tietojärjestelmissä olevat asianhallintaan liittyvät tiedot. Pykälän sisältö vastaisi pääosin kumottavaksi ehdotettavaa julkisuuslain 18 §:n 1 momentin 1 kohtaa sekä valtionhallintoa koskevan julkisuusasetuksen kumoutuvia 5—6 §:ää.

Pykälän 1 momentin ensimmäisen virkkeen mukaan tiedonhallintayksikön olisi ylläpidettävä viranomaisen käsittelyssä olevista ja olleista asioista asiarekisteriä, johon rekisteröidään asiaa, asiankäsittelyä ja asiakirjoja koskevat tiedot. Virke loisi tiedonhallintayksiköille ja niissä toimiville viranomaisille velvollisuuden asiarekisterin tietojen ylläpitoon sekä kertyvien asiakirjojen rekisteröintiin ja liittämiseen kuhunkin käsiteltävään asiaan. Momentin toisessa virkkeessä säädettäisiin asiakirjojen rekisteröinnin viivytyksettömyysvaatimuksesta, joka kohdistuisi viranomaiseen, koska käytännössä kukin viranomainen huolehtii asiakirjojen rekisteröimisestä asiarekisteriin. Säännöksellä pyritään tehostamaan viranomaisissa tapahtuvaa asianhallintaan liittyvää rekisteröintiä. Viranomaisen olisi rekisteröitävä viipymättä sille saapunut tai sen laatima asiakirja asiarekisteriin. Rekisteröinti olisi siten tehtävä, kun asiakirja on viranomaiselle saapunut tai kun viranomaisen laatima asiakirja on valmistunut käyttötarkoitukseensa. Rekisteröintivelvollisuus koskisi vireillepanossa, asiankäsittelyssä ja tiedoksiannossa kertyviä asiakirjoja, mutta myös muita viranomaisen toiminnassa kertyviä asiakirjoja. Palvelujen tuottamisen yhteydessä kertyvistä asiakirjoista ja niiden tiedonhallinnasta olisi säädetty erikseen 27 §:ssä.

Asiarekisterin tietosisältö muodostuisi asiankäsittelyn perusmetatiedoista, joista olisi säädetty 26 §:ssä. Asiarekisterissä olisi siten asian metatiedot, asiankäsittelyn metatiedot sekä asiakirjojen perusmetatiedot. Asiarekisteri ei siten olisi välttämättä yksi tietojärjestelmä eikä asiarekisteriin kuuluvia tietoja tarvitse sisällyttää yhteen tietojärjestelmään. Tiedonhallintayksiköillä tulee olla selkeä kuvaus siitä, missä asiarekisteriin kuuluvia tietoja muodostuu ja miten nämä tiedot on saatavissa sellaiseen muotoon, että asiakirjajulkisuus voidaan toteuttaa.

Ehdotettavaa säännöstä sovellettaisiin kattavasti eri tiedonhallintayksikköjen ja niissä toimivien viranomaisten toimintaan sekä myös yksityisiin toimijoihin siltä osin kuin ne käsittelisivät tässä laissa tarkoitettuja asiakirjoja. Rekisteröintiä koskeva säännös olisi laajasti sovellettava, koska asiakirjajulkisuuden toteuttamiseen liittyy keskeisesti tietopyyntöjen yksilöinti asiarekisterissä olevien tietojen perusteella. Säännös edistää perusoikeutena turvatun asiakirjajulkisuuden toteuttamista. Tästä syystä pykälän 2 momentissa olisi säädetty erikseen tiedonhallintayksikön velvollisuudesta huolehtia siitä, että sen toiminnassa muodostuvasta asiarekisteristä tai sen osista on mahdollista tuottaa tiedot niiden julkisista merkinnöistä, joiden perusteella julkisuuslain mukaisesti tiedonsaantia koskevat pyynnöt voidaan yksilöidä. Siten ei ole riittävää, että asianhallintajärjestelmissä on ominaisuudet, joista voidaan tuottaa näkymä asiarekisterin julkisista merkinnöistä, vaan tietojärjestelmistä pitää pystyä muodostamaan listaukset tai näkymät, joilla asiakirjapyyntö voidaan yksilöidä. Säännös ei olisi uusi, vaan sisältyy julkisuuslain 18 §:n 1 momentin 1 kohtaan, mutta säännöstä tarkennetaan uuteen säännökseen, jotta sähköisessä toimintaympäristössä voidaan varmistaa tietojen saannin tosiasiallinen toteutuminen julkisuuslain tarkoittamalla tavalla.

26 §. Asiarekisteriin rekisteröitävät tiedot. Pykälässä säädettäisiin asiaan liittyvien perusmetatietojen hallinnasta ja näiden perusmetatietojen yksilöintiin käytettävästä asiatunnuksesta. Asian käsitettä ei määriteltäisi laissa, mutta sillä tarkoitettaisiin asiakirjahallinnossa vakiintuneesti ymmärrettynä viranomaisen käsiteltäväksi saamaa tai ottamaa kokonaisuutta, jonka tuloksena viranomaisen toimintaprosessissa (asiankäsittelyprosessissa) tehdään toimenpiteitä, jonka lopputuloksena syntyy viranomaisen tekemä ratkaisu, joka voi olla esimerkiksi hallintopäätös, määräys, lausunto, hallituksen esitys, ohje tai muu viranomaisen kannanmuodostus. Hallintolaissa ei ole erityisesti määritelty hallintoasian käsitettä, vaan se on jätetty avoimeksi. Näistä syistä asian käsitettä ei määriteltäisi tiedonhallintalaissa. Asian perusmetatietojen perusteella voidaan yksilöidä asiaan liittyvät asiakirjat ja muut tiedot.

Pykälän 1 momentin mukaan tiedonhallintayksikön olisi muodostettava viranomaisen käsiteltäväksi otetun tai annetun asian yksilöivä asiatunnus, jonka avulla asiaan liittyvät tiedot yksilöidään. Asiatunnuksen avulla pitäisi pystyä yksilöimään asiaan liittyvät metatiedot, eikä säännöksellä asetettaisi asiatunnukselle mitään sisällöllisiä muotovaatimuksia. Siten viranomaisten käyttämät diaarinumerot, diaaritunnukset ja asianumerot vastaavat asiatunnuksen käyttötarkoitusta, jos tällaiset käytössä olevat tunnistesarjat yksilöivät asiaan liittyvät metatiedot. Säännöksellä ei siten olisi välittömiä vaikutuksia käytössä oleviin asian tunnisteisiin. Säännös yhtenäistää alan käsitteistöä asiatunnuksen ja asiaan liittyvien metatietojen osalta siten, että asiaan liittyvät metatiedot on pystyttävä hakemaan ja yksilöimään asiatunnuksen perusteella. Asiatunnuksen sisältö jää tiedonhallintayksikön harkintaan, mutta asiatunnuksessa voidaan hyödyntää asiaan liittyviä metatietoja tarpeen mukaan kuten aiemminkin. Käytettävistä asiatunnuksista olisi tiedohallintayksikössä kuitenkin muodostuttava eheä kokonaisuus asioiden yksiselitteiseksi yksilöimiseksi.

Pykälän 2 momentissa olisi luettelo niistä asian perusmetatiedoista, jotka tiedonhallintayksikön olisi määriteltävä kussakin toimintaprosessissa käsitellyistä asioista. Luettelo ei olisi tyhjentävä, vaan se sisältäisi minimivaatimukset asian perusmetatiedoista. Säännös olisi nykyiseen sääntelyyn nähden uusi, mutta se vastaisi pääosiltaan sitä, mitä asioista on tähänkin asti kirjattu diaareihin ja muihin asiakirjahakemistoihin.

Perusmetatietoihin kuuluisi pykälän 2 momentin luettelon 1 kohdan mukaan tiedonhallintayksikön yksilöivä tunnus, joka olisi kunkin tiedonhallintayksikön voimassa oleva yritys- ja yhteisötunnus. Esimerkiksi kunnalla ja valtion virastolla on olemassa oleva Y-tunnus, jota alettaisiin käyttää asian perusmetatiedoissa yksilöimään tiedonhallintayksikkö, jonka toiminnassa tietoaineistoon on muodostunut asiakirjoja tai muita tietoja. Y-tunnukset ovat jokaisen saatavilla yritys- ja yhteisötietojärjestelmän tietopalvelusta yleisessä tietoverkossa. Y-tunnus olisi tarpeellinen metatieto muodostettaessa eri tiedonhallintayksikköjen tietoaineistoista laajempia tietovarantoja, jolloin organisaatiota kuvaavan tiedon tulee olla yksiselitteinen sekä perustua johonkin pysyvään tunnisteeseen. Esimerkiksi tiedonhallintayksikköjen fuusioiden, kuten kuntaliitosten ja virastojen yhdistämisten, yhteydessä on tärkeää yksilöidä ja erottaa toisistaan tietoaineistot, jotka ovat muodostuneet aiemmassa organisaatiossa ja tietoaineistot, jotka ovat muodostuneet uudessa rakenteessa. Organisaatiotason tietoa tarvitaan myös keskitettyjä sähköisiä arkistopalveluja kehitettäessä. Keskitetyissä tietovarannoissa ja arkistoissa tietojen tulee olla yksilöitynä siten, että niistä voidaan todentaa, minkä tiedonhallintayksikön viranomaisessa tietoaineisto on muodostunut ja kuka vastaa tietojen käsittelystä. Viranomaisen yksilöiviä tunnisteita ei tällä hetkellä ole kattavasti käytössä eivätkä asiakirjahallinnossa kehitetyt kirjainyhdistelmät muodosta riittävän kattavaa ja eheää pohjaa jukisen hallinnon tietoaineistojen yksilöimiselle tai asiankäsittelyyn liittyvien tietojen hallinnalle.

Pykälän 2 momentin luettelon 2 kohdan mukaan perusmetatietoihin tulisi sisältyä viranomaisen yksilöivä tunniste: tieto, jonka perusteella voidaan selvittää, mille viranomaiselle asiaan liittyvien tietojen antamista ja muuta hallintaa koskevat vastuut määräytyvät tiedonhallintayksikössä. Viranomaisen yksilöivä tieto tulisi olla ymmärrettävässä muodossa siten, että ulkopuolinenkin saa selon siitä, minkä viranomaisen tietoaineistoon asiaan liittyvät tiedot kuuluvat. Viranomaisen yksilöivä tieto voisi olla myös yleisesti käytetty lyhenne viranomaisen nimestä.

Luettelon 3 kohdan mukaan metatietoihin tulisi liittää toimintaprosessin yksilöivä tunniste, joka voisi olla esimerkiksi tehtäväluokkatunnus tai muu vastaava. Nykyisessä toimintaympäristössä ei voida vakioida toimintaprosessien tunnisteita, vaikka eri tiedonhallintayksiköissä onkin tehty määrämuotoista työtä tehtäväluokittelujen kehittämiseksi. Lainvalmistelussa on arvioitu, ettei viranomaisilla ole tässä vaiheessa valmiuksia muodostaa yhtenäistä toimintaprosessien yksilöivää tunnistekokonaisuutta, vaikka se lisäisi yhteentoimivuutta ja edistäisi tiedonhallinnan tehostamista. Toiminnan kehittyessä voi olla tarpeen arvioida uudelleen toimintaprosessien yksilöintiin liittyvien tunnisteiden muodostamista, kun ehdotettavan lain toimeenpanoa seurataan. Tiedonhallintayksikkö voisi siten itse päättää toimintaprosessien yksilöivistä tunnisteista, ellei erityislainsäädännössä toisin säädetä. Luettelon 4 kohdassa olisi säädetty asian perusmetatietoihin asian vireilletuloajankohta, joka olisi ajankohta, jolloin viranomainen on saattanut sille saapuneiden asiakirjojen perusteella asian vireille tai oma-aloitteisissa asioissa käynnistänyt toimet asian vireillesaattamiseksi.

Pykälän 3 momentti sisältäisi viranomaiselle saapuneen asiakirjan perusmetatietoja koskevat vähimmäisvaatimukset. Tiedonhallintayksiköissä voitaisiin määritellä myös muita asiakirjojen metatietoja tarpeen mukaan. Asiakirjasta olisi rekisteröitävä ainakin luettelon 1 kohdan mukaan asiakirjan yksilöivä tieto siten, että asiakirja olisi jollakin tavalla yksilöitävissä. Yksilöinti voisi olla asiakirjan numeerinen tunniste tai muu tunnus taikka asiakirjan otsikkotieto. Luettelon 2 kohdan mukaan asiakirjan saapumisajankohta pitäisi myös rekisteröidä. Saapumisajankohdan rekisteröinti riippuu osittain asiakirjan saapumistavasta, koska postitse saapuvat asiakirjat voidaan ajankohdan osalta määrittää tiettyyn saapumispäivään, kun taas sähköisiä tiedonsiirtomenetelmiä tai digitaalisia palveluja käyttämällä asiakirjan saapumisajankohta voidaan määritellä tietyn päivän tiettyyn kellonaikaan. Saapumisajankohdan rekisteröinnillä, joka on tarpeellinen muun muassa määräaikojen laskemiseksi, on siten erityinen merkitys oikeusturvan toteuttamiseksi. Saapumisajankohtaan liittyy myös 3 kohdassa säädettäväksi ehdotettava saapumistavan rekisteröinti. Saapumistapa on merkityksellinen selvitettäessä sitä, miten saapumisajankohta määritellään määräaikoja laskettaessa tai määriteltäessä. Sähköisiä tiedonsiirtomenetelmiä koskien saapumisaika ja asiakirjan saapumista koskevat toimet on säädetty yleislaintasolla sähköisestä asioinnista viranomaistoiminnassa annetussa laissa, kun taas hallintoasioissa postitse tai muulla vastaavalla tavalla viranomaiselle toimitettu asiakirjan vastaanottotoimet, saapumisajankohdan määräytyminen ja vireilletulo määräytyvät hallintolain perusteella. Saapumistavan rekisteröinti liittyy asiakirjan lähettäjän oikeusturvan varmistamiseen sekä saapumista ja vireilletuloa koskevien säännösten soveltamisen määrittämiseen jälkikäteen, esimerkiksi laillisuusvalvonnassa tai määräaikojen laskennassa. Momentin 4 kohdan mukaan asiakirjasta rekisteröidään myös asiakirjan lähettäjä tai asiamies. Asiakirjan on voinut lähettää muukin kuin asianosainen itse, joten asiankäsittelyn eri vaiheiden asiakirja-aineistojen muodostumisen kannalta on tärkeää rekisteröidä asiakirjojen lähettäjien tiedot erityisesti, jos lähettäjä ei ole asianosainen. Asiakirjan lähettäjästä ja asiamiehestä on säädetty muualla lainsäädännössä.

Pykälän 4 momentissa olisi säädetty viranomaisen laatimien asiakirjojen rekisteröinnistä. Perusmetatietojen perusteella viranomaisen laatimat asiakirjat olisi pystyttävä yksilöimään jollakin tavalla, joko tunnisteella tai otsikkotietojen perusteella. Asiakirjan laatijasta pitäisi rekisteröidä tiedot, jotta jälkikäteen voitaisiin todentaa, kuka asiakirjan sisällöstä olisi vastuussa. Laatimisajankohdalla puolestaan tarkoitetaan ajankohtaa, jolloin viranomaisen asiakirja rekisteröidään asiarekisteriin tai ajankohtaa, jolloin asiakirja on ollut valmis käyttötarkoitukseensa. Viranomaisen asiakirjan metatietoihin voidaan lisäksi liittää myös muita tietoja, jotka voivat koskea muun muassa päätöksentekoa tai allekirjoittajia.

Pykälän 5 momentissa olisi säädetty muista asiankäsittelyyn liittyvistä tiedoista. Momentin luettelon 1 kohdan mukaan asiarekisteriin tulisi rekisteröidä tieto vireillepanijasta ja tarvittaessa asianosaisista. Vireillepanijaa ja asianosaista koskevat tiedot olisivat tarpeellisia muun muassa myöhemmin tapahtuvan tiedoksiannon toteuttamiseksi ja siten asianosaisten oikeusturvan varmistamiseksi. Jos asiankäsittelyn kaikkia asianosaisia ei voitaisi yksilöidä tai kysymys olisi laajasta henkilöjoukosta, tulisi asianosaistietona rekisteröidä ainakin asiaosaisryhmät, jos se olisi mahdollista määritellä. Asiarekisteristä tulisi ilmetä 2 kohdan mukaan asiankäsittelyn tila. Säännös on sidoksissa hallintolain 23 §:n 2 momentissa säädettyyn viranomaisen velvollisuuteen vastata asianosaisen tiedusteluun, joka koskee arviota päätöksen antamisajankohdasta tai muusta asiankäsittelyn etenemistä. Asian tilatiedot helpottavat asianosaisille vastaamista tai niiden perusteella voidaan toteuttaa tietopalvelu, josta asianosainen voi seurata asiansa käsittelyn tilaa. Tilatiedot on määriteltävä viranomaisissa selkeäksi ja niiden perusteella on pystyttävä muodostamaan kuva, missä vaiheessa asiankäsittely on. Laissa ei asian tilatiedoilla ei tarkoiteta teknisiä asian tai asiakirjan tilatietoja, vaan asiankäsittelyyn liittyviä tilatietoja. Momentin 3 kohdassa olisi säädetty viranomaisen velvollisuudesta rekisteröidä asiarekisteriin välitoimenpiteet ja käsittelyvaiheet, joiden perusteella voidaan jälkikäteen todentaa, miten asiankäsittely on toteutettu ja mitä toimenpiteitä siinä on tehty. Esimerkiksi selvityspyynnön lähettäminen tai lausuntopyyntö ovat välitoimenpiteitä, jotka eivät muodosta omaa asiankäsittelyprosessiaan. Siten viranomaisten on huolehdittava myös siitä, ettei asiarekisteriin rekisteröidä tarpeettomasti uusia asioita, jotka tosiasiassa liittyvät jo olemassa olevien asioiden toimenpiteisiin. Viranomaisten on vältettävä samaan asiankäsittelyyn liittyvää moninkertaista asian perustamista ja siihen liittyvää rekisteröintiä. Asiankäsittelyiden on muodostettava eheä kokonaisuus.

27 §. Tietoaineistojen hallinta palveluja tuotettaessa. Viranomaisten toiminnassa tuotetaan runsaasti tietoaineistoja muussakin kuin asiankäsittelyn yhteydessä. Tällainen tietoaineistojen tuottaminen on tyypillistä erilaisia palveluja tuotettaessa. Tähän asti lainsäädännössä ei ole ollut yleisiä säännöksiä siitä, miten tällaisten tietoaineistojen metatietojen hallinta järjestetään. Erityislainsäädännössä on voitu kuitenkin määrittää, miten esimerkiksi yksittäinen asiakirja muodostuu palvelua tuotettaessa. Kuitenkin asiakirjajulkisuuden takaava tiedonhallinta ja tietojen saanti on turvattava myös palvelujen tuottamisen yhteydessä muodostuviin asiakirjoihin. Ehdotettavan pykälän mukaan tiedonhallintayksikön olisi järjestettävä muussa kuin asiankäsittelyn yhteydessä muodostuvan tietoaineiston hallinta siten, että tietoaineistosta muodostettavat asiakirjat ovat haettavissa jollakin tietokokonaisuudet yksilöivällä tunnuksella, jotta tiedot voidaan antaa siihen oikeutetulle vaivattomasti. Säännöksen tarkoituksena on korostaa asiakirjajulkisuuden toteuttamista sellaisiin tietoaineistoihin, jotka eivät ole muodostuneet asiankäsittelyn yhteydessä. Näistäkin aineistoista on pystyttävä hakemaan tiedot muun muassa asiakirjajulkisuuden ja asianosaisten oikeuksien toteuttamiseksi. Tällaisten palvelujen tuottamisen yhteydessä muodostuvien tietoaineistojen tiedonhallinta on järjestettävä siten, että tiedot on haettavissa jonkin yksilöivän tunnuksen avulla. Tällainen tunnus voi olla asiakasnumero, henkilötunnus, Y-tunnus, kiinteistötunnus, oppijanumero, palvelutunnus tai muu vastaava yksilöintitieto. Pykälän toinen virke sisältäisi viranomaiselle asiakirjan tai muun vastaavan tiedon rekisteröintivelvollisuuden viipymättä sen jälkeen, kun asiakirja tai tieto on muodostunut palvelua tuotettaessa. Vaatimuksena olisi, että asiakirjaan tai muuhun vastaavaan tietoon tulisi liittää sellaiset tiedot, joiden avulla asiakirjan tai muun vastaavan tiedon muodostuminen voidaan jälkikäteen todentaa. Tällaisia metatietoja muodostettaessa voitaisiin hyödyntää asian metatietoja koskevia säännöksiä, mutta palvelujen tuottamisessa kertyvien metatietojen muodostaminen jäisi erityislainsäädännön ja tiedonhallintayksikköjen omien määritysten varaan. Pykälässä siten edellytettäisiin, että tällaiset, lähinnä palvelujen tuottamisessa syntyvät, tietoaineistot on muodostettava siten, että niissä olevat tiedot voidaan hakea. Palvelujen tuottamisen yhteydessä olisi tuotettava käytännössä saman tyyppiset metatiedot palveluprosesseista kuin asiankäsittelyprosesseistakin. Muodostuvasta tietoaineistosta on pystyttävä yksilöimään missä palvelun toimintaprosessissa tietoaineistoon on syntynyt asiakirjoja tai niitä vastaavia muita tietoja. Pykälässä tarkoitettuja palveluja ovat muun muassa lasten päivähoidon toteuttaminen, opetuksen antaminen ja kotihoidon toteuttaminen. Näiden palvelujen tuottamiseen voi liittyä myös toimintaprosesseja, jotka muodostavat asiankäsittelyprosessin, kuten päivähoitopaikan hakemisen yhteydessä.

28 §. Kuvaus asiakirjajulkisuuden toteuttamiseksi. Pykälässä säädettäisiin tiedonhallintayksikön velvollisuudesta ylläpitää kuvausta sen hallinnoimista asiarekistereistä ja tietovarannoista. Säännös korvaisi nykyisin voimassa olevan julkisuuslain 18 §:n 1 momentin 2 kohdassa säädetyn velvollisuuden kuvata tietojärjestelmät ja niiden tietosisältö julkisten tietojen osalta. Kuvauksella toteutettaisiin osaltaan julkisuusperiaatetta, sillä kuvaus helpottaa tietopyynnön tekemistä. Julkisuuslain 13 §:n 1 momentin mukaan pyyntö saada tieto viranomaisen asiakirjan sisällöstä on yksilöitävä riittävästi siten, että viranomainen voi selvittää, mitä asiakirjaa pyyntö koskee. Tiedon pyytäjää on diaarin ja muiden hakemistojen avulla avustettava yksilöimään asiakirja, josta hän haluaa tiedon. Jotta julkisuuslaissa tarkoitettu tietopyynnön yksilöinti voidaan toteuttaa tiedonhallintayksikössä, on sillä oltava kuvaus, josta riittävät tiedot tietopyynnön tekemiseksi ilmenevät. Lisäksi kuvauksen avulla on jokaisen mahdollista saada tietoa siitä, missä laajuudessa ja miten viranomainen käsittelee tietoja asiankäsittelyn ja palvelujen tuottamisen yhteydessä.

Pykälän 1 momentin mukaan tiedonhallintayksikön olisi julkisuusperiaatteen toteuttamista varten ylläpidettävä kuvausta sen hallinnoimista tietovarannoista ja asiarekistereistä. Momentissa olisi luettelo tiedoista, jotka kuvauksen on sisällettävä. Luettelon 1 kohdan mukaan kuvauksessa tulisi olla tiedot tietojärjestelmistä, jotka sisältävät asiarekisteriin tai palvelujen tiedonhallintaan kuuluvia tietoja. Tiedonhallintayksikössä asiarekisteri muodostaa yhden loogisen kokonaisuuden, johon kuuluvat kaikki asiankäsittelyä kuvaavat metatiedot. Useimmilla tiedonhallintayksiköillä asiarekisteriin kuuluvia tietoja sisältyy asianhallintajärjestelmään, mutta myös eri operatiivisiin tietojärjestelmiin. Tarkoituksena on, että tiedonhallintayksiköt kuvaisivat nykyistä paremmin, missä tietojärjestelmissä ja muilla alustoilla niillä on asiarekisterin kuuluvia tietoja. Kuvauksesta ilmenisi, miten tiedonhallintayksikön asiarekisteri on jäsentynyt. Vastaavasti tiedonhallintayksiköiden tulisi kuvata missä tietojärjestelmissä muodostuu palvelujen tiedonhallintaan kuuluvia tietoja, jotta ilmenisi, miten palvelujen tiedonhallinta on jäsentynyt. Luettelon 2 kohdan mukaan kuvauksessa tulisi olla tiedot asiarekisterin tai tietojärjestelmän sisältämien tietojen antamisesta päättävästä viranomaisesta ja sen yhteystiedoista tiedonsaantia koskevan pyynnön esittämiseksi. Julkisuuslain 14 §:n mukaan asiakirjan antamisesta päättää se viranomainen, jonka hallussa asiakirja on, jollei 15 §:n 3 momentissa tai muualla laissa toisin säädetä. Kuvauksen avulla tiedon pyytäjä pystyisi esittämään tietopyyntönsä selkeästi ja vaivattomasti sille viranomaiselle, joka päättää tietojen antamisesta. Luettelon 3 kohdan mukaan kuvauksessa tulisi olla tiedot tietojärjestelmien sisältämistä tietoaineistoista tietoryhmittäin. Velvoite julkaista tietojärjestelmien tietoaineistot tietoryhmittäin parantaa julkisuutta ja mahdollistaa tietopyynnön riittävän yksilöinnin. Luettelon 4 kohdan mukaan kuvauksessa tulisi olla tiedot hakuperusteista, joilla julkisia asiakirjoja tai muita tietoja voidaan hakea asiarekistereistä tai tietojärjestelmistä. Luettelon 5 kohdan mukaan kuvauksessa tulisi olla tiedot tietoaineistojen saatavuudesta avoimesti teknisen rajapinnan avulla. Mikäli tietoaineistot ovat saatavissa avoimesti teknisen rajapinnan avulla, tulisi kuvauksessa olla kohdan mukaisesti tieto, mistä tiedot ovat saatavissa. Luettelon 5 kohta ei tarkoittaisi sitä, että mikä tahansa rajapintojen kautta tapahtuva tiedonsaanti sisällytettäisiin tähän kuvaukseen, vaan ainoastaan tiedot sellaisista rajapinnoista, jotka olisivat yleisesti käytettävissä ja joiden kautta voisi saada hyödynnettäväksi viranomaisissa muodostuneita tietoaineistoja. Tietoaineistojen koneluettavasta muodosta olisi säädetty erikseen 19 §:n 2 momentissa.

Pykälän 2 momentissa olisi säädetty tiedonhallintayksikölle velvollisuus julkaista 1 momentissa tarkoitettu kuvaus yleisessä tietoverkossa siltä osin kuin tiedot eivät ole salassa pidettäviä. Säännöksen perusteella kuvauksen tulisi olla saatavissa esimerkiksi tiedonhallintayksikön verkkosivuilla. Kuvauksen saatavuus palvelee julkisuusperiaatteen toteuttamista.

7 luku Erinäiset säännökset

29 §. Voimaantulo. Pykälä sisältäisi voimaantulosäännöksen. Lain on tarkoitus tulla voimaan mahdollisimman pian tiedonhallintaa koskevan sääntelyn vanhentuneisuuden vuoksi ja ristiriitaisuuksien poistamiseksi tiedonhallinnan sääntelystä. Voimaantuloa koskeva pykälä sisältäisi julkisen hallinnon tietohallinnosta annetun lain kumoamisen.

30 §. Siirtymäsäännökset. Ehdotettava laki sisältäisi siirtymäsäännöksiä, koska lain voimaantullessa tiedonhallintayksiköillä ei ole kaikkia tarvittavia valmiuksia soveltaa uutta lakia ja siinä olevia uusia säännöksiä. Siltä osin kuin laissa olevat säännökset vastaavat voimassa olevaa, mutta kumottavaa tai muutettavaa lainsäädäntöä tai jos sääntely vastaa jo voimassa olevia käytäntöjä siirtymäaikoja ei ehdoteta säädettäväksi.

Pykälän 1 momentin mukaan viranomaisen olisi laadittava 5 §:n mukainen tiedonhallintamalli viimeistään 12 kuukauden kuluessa tämän lain voimaantulosta. Tällä hetkellä viranomaisilla on käsittelytoimia koskevia selosteita, tietojärjestelmäselosteita, arkistonmuodostussuunnitelmia sekä niitä lakiin perustumattomia tarkentavia prosessiohjausta varten laadittuja tiedonohjaussuunnitelmia ja arkkitehtuurikuvauksia, joiden kokoamiselle ja yhteensovittamiseen pitää varata riittävästi aikaa. Koska tiedonhallintamalli tuotetaan olemassa olevien dokumenttien perusteella, 12 kuukautta voidaan pitää riittävänä aikana tiedonhallintamallin laatimiselle.

Pykälän 2 momentissa olisi säädetty muiden kuin valtion virastoissa ja laitoksissa toimivien viranomaisten tietoturvallisuusvaatimusten toteuttamisen määräajasta. Osa tietoturvallisuusvaatimuksista perustuu jo voimassa olevaan julkisuuslain 18 §:ssä säädettyihin sekä EU:n tietosuoja-asetuksessa säädettyihin vaatimuksiin, joihin on aikanaan säädetty omat siirtymäaikansa. Lisäksi vaatimusten vastatessa viranomaisten olemassa olevia käytäntöjä, eivät ehdotettavat muutokset ole niin merkittäviä, että niihin tarvittaisiin 3 vuotta enempää siirtymäaikaa. Valtion virastoissa ja laitoksissa toimiville viranomaisille vaatimukset eivät muutu tavalla, joka edellyttäisi oman siirtymäajan säätämistä, koska valtionhallinnon tietoturvallisuudesta annetussa asetuksessa on säädetty pääosin vastaavalla tavalla tietoturvallisuuden järjestämisestä. Asetukseen sisältyi aikanaan vastaava siirtymäaika.

Pykälän 3 momentti sisältäisi sähköiseen muotoon liittyvien menettelyjen sekä tietoaineistojen saatavuuden toteuttamisen siirtymäsäännökset. Viranomaisen olisi toteutettava 19 §:n 1 momentissa tarkoitetut menettelyt vaatimusten mukaiseksi muussa kuin sähköisessä muodossa saapuvien asiakirjojen muuttamiseksi sähköiseen muotoon ja asiakirjojen säilyttämiseksi sähköisessä muodossa 18 kuukauden kuluessa lain voimaantulosta. Lain 19 §:n 2 momentin mukaisesti viranomaisen olisi huolehdittava tietoaineistojen saatavilla olosta ja hyödyntämisestä yleisesti käytettävässä koneluettavassa muodossa 2 vuoden kuluessa lain voimaantulosta. Siirtymäsäännöksillä mahdollistetaan viranomaisille riittävä aika varmistaa menettelyjen lainmukaisuus. Sääntely koskee uusia muodostuvia tietoaineistoja, joten ennen siirtymäaikojen päättymistä muodostuneisiin tietoaineistoihin säännöksiä ei sovellettaisi, mutta mitään estettä ei olisi myöskään sille, että lain säännöksiä noudatettaisiin viranomaisissa jo ennen siirtymäajan päättymistä. Lisäksi momentti sisältää 12 kuukauden siirtymäajan, joka koskee 20 §:ssä säädettyjä tietojen keräämistä koskevien säännöksiä. Ehdotettava 12 kuukauden siirtymäaika mahdollistaa viranomaisille tarkistaa tietojen keräämistä koskevat menettelyt.

Pykälän 4 momentissa olisi säädetty ministeriöiden velvollisuudesta selvittää omalla toimialallaan 12 kuukauden kuluessa lain voimaantulosta useiden viranomaisten välisen teknisten rajapintojen avulla tapahtuvan säännönmukaisen ja vakioitavissa olevan tiedonluovutuksen määrittelyn ja ylläpidon hallinnointia edellyttävät kohteet. Ministeriöt vastaavat tiedonluovutusta koskevan sääntelyn valmistelusta ja ministeriöiden tehtävänä on ollut vuoden 2011 syyskuusta saakka julkisen hallinnon tietohallinnon ohjauksesta annetun lain (634/2011) 8 §:n 1 momentin mukaisesti laatia ja ylläpitää oman toimialansa tietojärjestelmien yhteentoimivuuden kuvaukset ja määritykset. Koska ehdotuksen 22 §:n 3 momentissa ministeriöiden vastuulle ehdotetun velvollisuuden toteuttamisen edellyttämä tieto on olemassa, 12 kuukautta voidaan pitää riittävänä aikana selvittää lain tarkoittamat rajapintojen määrittelyn kohteet.

Pykälän 5 momentissa olisi säädetty viranomaisten lokitietojen keräämistä, tietojen luovuttamista teknisen rajapinnan avulla sekä katseluyhteyden avaamista viranomaisille koskevien tietojärjestelmämuutosten määräajoista. Säännöksiä sovellettaisiin lain voimaantulon jälkeen hankittaviin tietojärjestelmiin, joka jättäisi viranomaisille riittävän ajan varmistaa tulevissa hankinnoissa käytettyjen vaatimusten vastaavuus tiedonhallintalaissa säädettyihin vaatimuksiin. Lain 22—24 §:ssä säädetyt tietojen sähköistä luovutustapaa koskevat vaatimukset tulisi toteuttaa ennen lain voimaantuloa hankittuihin tietojärjestelmiin, kun tietojärjestelmien teknisiä rajapintoja tai katseluyhteyksiä päivitetään. Päivitysten yhteydessä tehtävät muutokset tulisi toteuttaa kuitenkin viimeistään 4 vuoden kuluttua lain voimaantulosta. Lain 17 §:ssä säädetyt lokitietojen keräämistä koskevat vaatimukset tulisi toteuttaa tietojärjestelmiin viimeistään 2 vuoden kuluttua lain voimaantulosta. Siirtymäsäännökset mahdollistavat sen, että viranomaiset voivat muuttaa tietojärjestelmänsä lainmukaiseksi harkintansa mukaan tarkoituksenmukaisena ajankohtana tietojärjestelmähankintojen ja järjestelmien normaalin elinkaaren aikaisen kehityksen yhteydessä. Lait, joissa on teknisiä käyttöyhteyksiä koskevia säännöksiä, jotka esitetään tässä hallituksen esityksessä kumottaviksi, tulisivat voimaan samaan aikaan kuin tiedonhallintalaki, mutta vanhoihin teknisiin käyttöyhteyksiin sovellettaisiin enintään 48 kuukautta vanhoja kumottuja säännöksiä. Uuden tiedonhallintalain mukaisesti tekniset käyttöyhteydet voidaan uudistaa siirtymävaiheen aikana, jolloin tiedonhallintalain säännöksiä alettaisiin soveltaa muutosten jälkeen.

Pykälän 6 momentti sisältäisi asianhallinnan ja palvelujen tiedonhallinnan menettelyjen siirtymäsäännökset. Viranomaisen olisi järjestettävä 12 kuukauden kuluessa lain voimaantulosta asioiden ja asiakirjojen rekisteröinti, tietoaineistojen hallinta palveluja tuotettaessa sekä kuvattava sen hallinnoimat tietovarannot ja asiarekisterit lain 26—28 §:n vaatimusten mukaiseksi. Viranomaiselle saapuneiden ja viranomaisen laatimien asiakirjojen rekisteröintiä koskevat vaatimukset perustuvat jo voimassa olevaan julkisuuslain 18 §:ssä säädettyihin vaatimuksiin, joihin on aikanaan säädetty omat siirtymäaikansa, joten 25 §:ää sovelletaan heti lain voimaantulosta. Asiarekisterin ja tietovarantojen kuvauksen sisällön vastatessa viranomaisten ylläpitämien tietojen käsittelytoimia koskevien selosteiden, tietojärjestelmäselosteiden, arkistonmuodostussuunnitelmien (tiedonohjaussuunnitelma) ja arkkitehtuurikuvausten sisältöä, voidaan 12 kuukauden siirtymäaikaa pitää riittävänä aikana kuvauksen laatimiselle.

1.2 Laki viranomaisten toiminnan julkisuudesta

3 §. Lain tarkoitus. Pykälässä säädettyä lain tarkoitusta koskevaa säännöstä ehdotetaan muutettavaksi siten, että säännöksen sanamuodosta poistettaisiin viittaus hyvään tiedonhallintatapaan. Julkisuuslain keskeinen tavoite on ollut edistää hyvää tiedonhallintatapaa. Hyvän tiedonhallinnan käsitteen avulla on pyritty liittämään yhteen viranomaisten tietoaineistoihin liittyvien erilaisten intressien huomioon ottamista koskevat velvoitteet, kuten asiakirjojen julkisuus ja salassapito, arkistointi, henkilötietojen suoja ja tietojen käyttörajoitukset sekä tietoturvallisuus. Hyvään tiedonhallintapaan on kuulunut, että viranomaiset huolehtivat toimintaansa koskevien ja siinä tarvittavien tietojen saatavuudesta, käytettävyydestä, laadusta sekä asianmukaisesta suojasta. Tietoon liittyvät oikeudet on otettava huomioon muun muassa tietojärjestelmiä suunniteltaessa ja käyttöön otettaessa siten, että julkiset asiakirjat ovat helposti saatavissa.

Saatavuudesta huolehtiminen merkitsee paitsi asiakirjojen julkisuutta koskevien tehtävien hoitamista, myös velvollisuutta edistää viranomaistoimintaa ja julkishallinnon toimenpiteiden vaikutusta koskevien tietojen tuottamista ja jakelua. Saatavuutta palvelee asiakirjojen luettelointi ja arkistointi. Viranomaisen on myös varmistettava toiminnassaan tarvittavien tietojen saatavuus, mikä edellyttää tehtävien hoidossa tarvittavien tietojen selvittämistä sekä huolehtimista siitä, että tietojen asianmukaiselle käytölle ei ole lainsäädännöllisiä tai teknisiä esteitä.

Tiedon käytettävyys on merkinnyt vaatimusta siitä, että tiedot ovat niihin oikeutettujen käytettävissä suunnitellulla tavalla. Käytettävyydellä on voitu ymmärtää myös tiedon käyttökelpoisuutta, jolloin käsite on viitannut myös tiedon laatuun. Käytettävyydestä huolehtiminen osana hyvää tiedonhallintatapaa on merkinnyt, että tarvittavat tiedot ovat häiriöttömästi ja toiminnan edellyttämällä tavalla saatavissa virkatehtävien hoitamista varten. Käytettävyyteen on liittynyt myös muiden viranomaisten tietotarpeiden ja niistä johtuvien vaatimusten huomioon ottaminen silloin, kun toinen viranomainen on riippuvainen muualta saatavasta tiedosta ja sen laadusta.

Viranomaisten tietoaineistojen laadulla on merkitystä myös yksilöiden ja yhteisöjen oikeusturvan vuoksi sekä muun muassa yhteiskuntapoliittisen päätöksenteon kunnollisen tietopohjan varmistamisessa. Tietojen käsittelyyn liittyviä riskejä on pyritty vähentämään tietoturvallisuustoimenpiteiden avulla. Tiedon eheydellä tarkoitetaan tiedon muodon säilyttämistä tahattomalta tai lainvastaiselta muuttamiselta. Muut tietojen laatua koskevat vaatimukset liittyvät muun muassa tietojen sisältöön suhteessa niiden käyttötarkoitukseen.

Hyvästä tiedonhallintatavasta ja sen toteuttamisesta on säädetty julkisuuslain 18 §:ssä. Jatkossa 18 §:ssä säädetyistä toimista säädettäisiin julkisen hallinnon tiedonhallinnasta annettavassa laissa. Tämän vuoksi ehdotetaan myös, että pykälään lisättäisiin uusi 2 momentti, jossa olisi informatiivinen viittaus julkisen hallinnon tiedonhallinasta annettavaan lakiin. Muilta osin lain tarkoitusta koskevaa säännöstä ei ehdoteta muutettavaksi.

15 §. Asiakirjan pyytämistä koskevan asian siirtäminen toiselle viranomaiselle. Pykälän 3 momentissa säädetään tilanteista, joissa viranomainen on velvollinen siirtämään sille tulleen asiakirjapyynnön toiselle viranomaiselle. Julkisuuslain lähtökohtana on, että asiakirjan antamisesta päättää se viranomainen, jonka hallussa asiakirja on (14 § 1 mom.). Kun kysymys on asiakirjasta, johon viranomaisella on velvollisuus tehdä turvallisuusluokkamerkintä, asiakirjan antamisesta päättää kuitenkin se viranomainen, jolla on parhaimmat edellytykset asian selvittämiseen. Tämän vuoksi asiakirjapyyntö on voimassa olevan lain mukaan siirrettävä sille viranomaiselle, joka turvallisuusluokitellun asiakirjan on laatinut, tai, jos kysymys on kansainvälisistä tietoturvallisuusvelvoitteista annetun lain mukaisesti turvallisuusluokitellusta asiakirjasta sille viranomaiselle, jolle sopimuspuoli on toimittanut turvallisuusluokitellun asiakirjan.

Velvollisuudesta tehdä turvallisuusluokkaa koskeva merkintä säädetään voimassa olevan lain 25 §:ssä ja sen nojalla annetussa tietoturvallisuutta valtionhallinnossa koskevassa valtioneuvoston asetuksessa. Jatkossa velvollisuudesta tehdä turvallisuusluokkaa koskeva merkintä ehdotetaan säädettäväksi julkisen hallinnon tiedonhallinnasta annettavassa laissa. Tämän vuoksi säännöksen viittaus 25 §:ään ehdotetaan korvattavaksi viittauksella julkisen hallinnon tiedonhallinnasta annettavaan lakiin. Muilta osin säännökseen ei ehdoteta muutoksia.

16 §. Asiakirjan antamistavat. Pykälässä säädetään asiakirjojen antamistavoista, eli siitä miten asiakirjan julkisuus käytännössä teknisesti toteutetaan. Pykälässä ei säädetä oikeudesta tiedon saantiin, vaan oikeus määräytyy lain 9—12 §:n mukaisesti. Kun tietojen saaminen perustuu muuhun lakiin, noudatetaan erityislaissa mahdollisesti olevia tietojen antamistapaa koskevia säännöksiä. Tieto asiakirjasta on annettava aina jollakin pykälän 1 momentissa säädetyllä tavalla eli suullisesti, viranomaisen luona nähtäväksi ja jäljennettäväksi tai kuunneltavaksi taikka antamalla kopio tai tuloste. Lähtökohtana on, että tieto annetaan tiedon pyytäjän haluamalla tavalla. Kuten lain 5 §:ssä säädetään, asiakirjalla tarkoitetaan myös sähköisesti talletettuja ja yhteenkuuluviksi tarkoitettuja merkintöjä. Lainkohdassa tarkoitettu kopio voi olla myös sähköisen asiakirjan jäljennös. Nähtäväksi asiakirja voidaan antaa myös esimerkiksi näyttämällä se näyttöpäätteeltä.

Pykälän 2 momentissa säädetään tiedon saamisesta muista kuin perinteisistä asiakirjoista. Sen mukaan viranomaisen ratkaisuista automaattisen tietojenkäsittelyn avulla ylläpidettyyn rekisteriin sisältyvistä julkisista tiedoista on oikeus saada kopio teknisenä tallenteena tai muutoin sähköisessä muodossa, jollei erityisistä syistä muuta johdu. Tietojen antaminen vastaavalla tavalla muusta julkisesta asiakirjasta on kuitenkin viranomaisen harkinnassa, jollei toisin säädetä. Tiedon pyytäjällä on yleensä oikeus saada viranomaisen ratkaisuista kopio teknisenä tallenteena siltä osin kuin ratkaisu on julkinen. Tiedonsaantioikeus kohdistuu säännöksen mukaan viranomaisen automaattisen tietojenkäsittelyn avulla ylläpitämiin rekistereihin. Erityisistä syistä kopion saanti voidaan kuitenkin evätä. Kun tietoja pyydetään sähköisessä muodossa muista asiakirjoista, viranomaisen on 17 §:n mukaisesti ratkaisuaan harkitessaan otettava huomioon pyydettyjen tietojen käyttötarkoitus suhteessa julkisuusperiaatteeseen ja sen tarkoitukseen.

Pykälän voimassa oleva 3 momentti sisältää henkilötietojen luovuttamista koskevan erityissäännöksen. Henkilötietojen luovutusrajoitus koskee tietojen antamista viranomaisen henkilörekisteristä kopiona tai tulosteena tai sähköisessä muodossa. Voimassa olevan lain 29 §:n 3 momentissa puolestaan säädetään, että viranomainen voi avata toiselle viranomaiselle teknisen käyttöyhteyden henkilörekisterinsä sellaisiin tietoihin, jotka toisen viranomaisen on laissa erikseen säädetyn velvoitteen mukaan otettava päätöksenteossaan huomioon. Pykälän tarkoituksena on ollut vähentää erityissäännösten tarvetta sellaisissa tilanteissa, joissa tiedon luovuttamista voidaan pitää hyväksyttävänä ja jotka perustuvat erityissäännöksiin. Salassa pidettäviä tietoja on kuitenkin voitu säännöksen mukaan teknisen käyttöyhteyden avulla hankkia vain henkilöistä, jotka ovat antaneet siihen suostumuksensa, jollei salassa pidettävien tietojen luovuttamisesta erikseen nimenomaisesti toisin säädetä.

Asiakirjan antamistapoja koskevaan pykälään ehdotetaan lisättäväksi uusi viittaussäännöksen sisältävä 4 momentti, jossa säädettäisiin, että tietojen antamisesta teknisen rajapinnan ja katseluyhteyden avulla säädetään julkisen hallinnon tiedonhallinnasta annetussa laissa. Julkisen hallinnon tiedonhallinnasta annettavan lain 22 §:ssä säädettäisiin tietojen luovuttamisesta teknisen rajapinnan avulla viranomaisten välillä, 23 §:ssä katseluyhteyden avaamista tietovarantoon viranomaiselle ja 24 §:ssä tietoaineistojen luovuttamisesta teknisen rajapinnan avulla muille kuin viranomaisille. Mainituissa pykälissä säädettäisiin niistä edellytyksistä, joiden täyttyessä viranomainen voisi avata teknisen rajapinnan tai katseluyhteyden tietojen luovuttamiseksi toiselle viranomaiselle tai muulle kuin viranomaiselle. Säännösten tarkoituksena olisi korvata erityislainsäädännössä olevat teknisiä käyttöyhteyksiä koskevat säännökset. Julkisen hallinnon tiedonhallinnasta annettavassa laissa ei säädettäisi tiedonsaantioikeuksista tai asiakirjan antotavoista muutoin, vaan niistä säädettäisiin edelleen julkisuuslaissa sekä osin erityislainsäädännössä.

Teknisen käyttöyhteyden avaamista koskevista edellytyksistä säätäminen ei vaikuttaisi varsinaisesti 16 §:ssä säädettävään asiakirjan antotapaan. Tiedot annetaan teknisen rajapinnan ja katseluyhteyden avulla aina sähköisessä muodossa. Kysymyksessä on siis pykälän 1 momentissa tarkoitetusta sähköisen asiakirjan kopiosta tai asiakirjan antamisesta nähtäväksi 1 momentissa tarkoitetulla tavalla. Huomattava on, että julkisuuslaissa tarkoitettuna asiakirjana, josta viranomainen olisi velvollinen antamaan tiedon, ei pidetä tietoaineistoa, joka voidaan valmistaa viranomaisen hallussa olevien tietojen perusteella esimerkiksi yhdistämällä eri käyttötarkoituksia varten talletettuja tietoja.

Asiakirjoja voitaisiin antaa jatkossakin nykytilaa vastaavalla tavalla sähköisessä muodossa joko teknisen rajapinnan tai katseluyhteyden avulla taikka muutoin sähköisesti. Pykälän ehdotettavan 4 momentin mukaisesti julkisen hallinnon tiedonhallinnasta annettavassa laissa säädettäisiin siitä, millä edellytyksin sähköisessä muodossa olevat tiedot voidaan luovuttaa toiselle viranomaiselle tai yksityiselle teknisen rajapinnan tai tietojärjestelmään avattavan katseluyhteyden avulla. Jos teknisen rajapinnan tai katseluyhteyden avaamisen edellytykset eivät täyttyisi, tai viranomainen ei katsoisi perustelluksi yhteyden avaamista, voitaisiin asiakirja edelleen muutoin luovuttaa julkisuuslain perusteella sähköisessä muodossa. Voimassa olevan pykälän 2 momentissa säädetään, että viranomaisen ratkaisuista automaattisen tietojenkäsittelyn avulla ylläpidetyn rekisterin julkisista tiedoista on oikeus saada kopio teknisenä tallenteena tai muutoin sähköisessä muodossa, jollei erityisistä syistä muuta johdu. Tietojen antaminen vastaavassa muodossa muusta julkisesta asiakirjasta on viranomaisen harkinnassa, jollei toisin säädetä. Viranomaisen henkilörekisteristä saa puolestaan antaa henkilötietoja sisältävän kopion tai tulosteen tai sen tiedot sähköisessä muodossa, jollei laissa ole toisin erikseen säädetty, jos luovutuksensaajalla on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää sellaisia henkilötietoja. Huomattava myös on, että jatkossa viranomaiselle saapuvat ja viranomaisen laatimat asiakirjat säilytettäisiin tiedonhallintalain 19 §:n perusteella pääosin sähköisessä muodossa.

Julkisen hallinnon tiedonhallinnasta annettavan lain 22 §:n 1 momentissa ehdotetaan säädettäväksi, että viranomaisten olisi toteutettava säännöllisesti toistuva vakiosisältöinen tietojen luovuttaminen tietojärjestelmien välillä teknisten rajapintojen avulla, jos vastaanottavalla viranomaisella on niihin laissa säädetty tiedonsaantioikeus. Tietojen luovuttaminen voidaan toteuttaa muuten vain silloin, jos teknisen rajapinnan toteuttaminen tai sen käyttö ei ole teknisesti tai taloudellisesti tarkoituksenmukaista. Ehdotettu säännös muodostaisi viranomaisten välisissä tietojen luovutuksissa erityissäännöksen suhteessa julkisuuslain 16 §:n 2 momenttiin sekä 16 §:n 1 momentin pääsääntöön antaa tiedot pyydetyllä tavalla.

5 luku Viranomaisen velvollisuudet edistää tiedonsaantia

Luvun otsikkoa ehdotetaan muutettavaksi siten, että siitä poistetaan 18 §:n kumoamisen vuoksi viittaus hyvään tiedonhallintatapaan.

18 §. Hyvä tiedonhallintatapa. Pykälä ehdotetaan kumottavaksi. Pykälässä on säädetty siitä millä tavalla hyvän tiedonhallintatavan tulisi toteutua viranomaisen asiakirjahallinnossa ja tietohuollossa. Hyvää tiedonhallintatapaa on kuvattu myös edellä 3 §:n perusteluissa.

Voimassa olevan pykälän 1 momentissa säädetään, että viranomaisen tulee hyvän tiedonhallintatavan toteuttamiseksi huolehtia asiakirjoihin ja tietojärjestelmiin sisältyvien tietojen saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muista tietojen laatuun vaikuttavista tekijöistä ja tässä tarkoituksessa erityisesti noudattaa pykälässä tarkemmin säädettyjä velvoitteita. Säännös ei ole tyhjentävä eikä yksityiskohtainen.

Pykälän 1 momentin 1 kohdassa säädetään velvollisuudesta pitää julkisista asiakirjoista luetteloa. Sen mukaan viranomaisen tulee pitää luetteloa sille käsiteltäviksi annetuista tai otetuista sekä sen ratkaisemista ja käsittelemistä asioista taikka muutoin huolehtia siitä, että sen julkiset asiakirjat ovat vaivattomasti löydettävissä. Säännöksen tarkoituksena on ollut taata se, että myös ulkopuolinen pystyy vaivattomasti selvittämään, mitä julkisia asiakirjoja viranomaisella on. Säännöksellä ei ole kuitenkaan luotu yleistä kirjaamisvelvoitetta. Asiakirjat on voitu luetteloida useamman asiakirjarekisterin tai asiankäsittelyjärjestelmän avulla tai arkistoimalla siten, että julkiset asiakirjat ovat helposti löydettävissä. Voimassa oleva luettelointi ja arkistointivelvoite koskee paitsi viranomaiselle käsiteltäviksi lähetettyjä, myös sen itse käsiteltäviksi ottamia asioita. Käytännössä se merkitsee velvollisuutta pitää luetteloita esimerkiksi sellaisista suunnitteluhankkeista, jotka on pantu vireille viranomaisen omasta aloitteesta. Tietoja käsiteltäviksi otetuista asioista ei ole kuitenkaan velvoitettu merkitsemään varsinaiseen hallintodiaariin vaan riittävää on ollut, että ne on luetteloitu tavalla tai toisella. Jatkossa asian ja palvelujen tiedonhallinnasta säädettäisiin julkisen hallinnon tiedonhallinnasta annettavan lain 6 luvussa.

Voimassa olevan 1 momentin 2 kohdan mukaan viranomaisten tulee laatia ja pitää saatavilla kuvaukset ylläpitämistään tietojärjestelmistä sekä niistä saatavissa olevista julkisista tiedoista, jollei tiedon antaminen ole vastoin lain 24 §:n tai muun lain säännöksiä. Kohdan tarkoituksena on ollut toteuttaa mahdollisuus saada tietoja myös muista kuin perinteisinä asiakirjoina talletetuista viranomaisen toimintaa koskevista aineistoista. Jatkossa kuvaamisvelvoitteista säädettäisiin julkisen hallinnon tiedonhallinnasta annettavan lain 28 §:ssä sekä tiedonhallintamallista 5 §:ssä.

Voimassa olevan 1 momentin 3 kohta koskee viranomaisten velvollisuutta selvittää ja ottaa huomioon tietoon liittyvät oikeudet suunnittelutoiminnassa. Tietoon liittyvillä oikeuksilla tarkoitetaan paitsi oikeutta saada tietoja julkisuusperiaatteen, asianosaisjulkisuuden sekä rekisteröidyn tarkastusoikeuden nojalla, myös esimerkiksi oikeutta yksityiselämän suojaan ja henkilötietojen suojaan tietojenkäsittelyssä. Tietojärjestelmien käyttöönotto sekä hallinnolliset ja lainsäädännölliset uudistukset voivat vaikuttaa viranomaisten asiakirjojen saatavuuteen. Lainkohdan mukaan viranomaiset ovat velvollisia selvittämään ja ottamaan huomioon kehittämistoimenpiteidensä vaikutukset tietoon liittyviin oikeuksiin. Velvoite koskee lainsäädännöllisten ja hallinnollisten uudistusten sekä tietojärjestelmien käyttöönoton valmistelua.

Kehittämistoimenpiteiden valmistelussa on tullut selvittää, aiheuttavatko suunnitellut uudistukset tietojensaannille perusteettomia rajoituksia tai suojattavien tietojen julkisiksi tulon tai voidaanko suunniteltu tietojärjestelmä toteuttaa voimassa olevan lainsäädännön puitteissa. Selvityksen perusteella arvioidaan tarvittavat toimenpiteet, kuten uuden lainsäädännön tarve, tietojen suojan ja tietoturvallisuustoimenpiteiden taso sekä tietojen antamista koskevien sisäisten ohjeiden tarve ja sisältö. Jatkossa vastaavia asioita on otettava huomioon tiedonhallinnan muutosvaikutusten arvioinnissa, josta säädettäisiin julkisen hallinnon tiedonhallinnasta annettavan lain 5 §:ssä.

Voimassa olevan 1 momentin 4 kohdan mukaan viranomaisen tulee suunnitella ja toteuttaa asiakirja- ja tietohallintonsa samoin kuin ylläpitämänsä tietojärjestelmät ja tietojenkäsittelyt niin, että asiakirjojen julkisuus voidaan vaivattomasti toteuttaa, ja että asiakirjat ja tietojärjestelmät sekä niihin sisältyvät tiedot arkistoidaan tai hävitetään asianmukaisesti.

Viranomaisen olisi myös pidettävä huolta siitä, että asiakirjojen ja niihin sisältyvien tietojen suoja, eheys ja laatu turvataan asianmukaisin menettelytavoin ja tietoturvallisuusjärjestelyin ottaen huomioon tietojen merkitys ja käyttötarkoitus. Velvoite edellyttää, että viranomainen selvittää muun muassa tietoaineistoihinsa sisältyvien tietojen saatavuuden, käytettävyyden ja laadun merkityksen sekä asiakirjoihin ja tietojärjestelmiin kohdistuvat uhkatekijät ja tietoturvallisuustoimenpiteistä aiheutuvat kustannukset sekä suunnittelee ja toteuttaa tämän perusselvityksen pohjalta tietoturvallisuustoimenpiteensä. Jatkossa tiedonhallinnan järjestämisestä säädettäisiin julkisen hallinnon tiedonhallinnasta annettavan lain 4 §:ssä, tiedonhallinnan suunnittelusta lain 5 §:ssä ja tietoturvallisuudesta lain 4 luvussa.

Voimassa olevan 1 momentin 5 kohdan mukaan viranomaisen velvollisuutena on pitää huolta siitä, että sen palveluksessa olevilla on tarvittava tieto käsiteltävien asiakirjojen julkisuudesta, tietojen antamisessa ja käsittelyssä sekä niiden ja asiakirjojen ja tietojärjestelmien suojaamisessa noudatettavista menettelyistä, turvallisuusjärjestelyistä ja tehtävänjaosta. Huolta on myös pidettävä siitä, että hyvän tiedonhallintavan toteuttamiseksi annettuja säännöksiä, määräyksiä ja ohjeita valvotaan.

Julkisuusperiaatteen toteutumisessa kysymys on myös asiakaspalvelun toimivuudesta. Tietojen saamista julkisista asiakirjoista voi haitata esimerkiksi se, että viranomainen ei ole antanut riittäviä sisäisiä menettelytapaohjeita tiedon antamisesta valmisteilla olevista asiakirjoista. Asiakaspalvelun toimivuus edellyttää, että viranomaisessa toimivilla on tieto asiakirjojen julkisuutta koskevista säännöksistä, myös sitä, että asiakirjapyyntöjen käsittelytapa on ennakolta suunniteltu hyvin. Viranomaisen sisäinen ohjaus ja valvonta ovat tarpeen asiakirjojen ja tietojärjestelmien suojaamisessa noudatettavien menettelyjen ja tietoturvallisuusjärjestelyjen toteuttamiseksi. Säännöksen tarkoituksena on ollut varmistaa, että viranomaisten asiakirjoista tietoja saavia palvellaan mahdollisimman tehokkaasti ja nopeasti. Jatkossa tiedonhallinnan järjestämisestä tiedonhallintayksikössä säädettäisiin julkisen hallinnon tiedonhallinnasta annettavan lain 4 §:ssä.

25 §. Salassapitoa ja käyttörajoituksia koskevat merkinnät. Pykälän 1 momentin mukaan viranomaisen asiakirjaan, jonka viranomainen antaa asianosaiselle ja joka on salassa pidettävä toisen tai yleisen edun vuoksi, on tehtävä merkintä sen salassa pitämisestä. Asianosaiselle on annettava tieto hänen salassapitovelvollisuudestaan myös silloin, kun salassa pidettäviä tietoja annetaan suullisesti. Pykälän 2 momentin mukaan merkintä voidaan tehdä muihinkin kuin 1 momentissa tarkoitettuihin salassa pidettäviin asiakirjoihin. Merkinnästä tulee käydä ilmi, miltä osin asiakirja on salassa pidettävä ja mihin salassapito perustuu. Jos salassapito perustuu säännökseen, jossa on vahinkoedellytyslauseke, merkintä voidaan tehdä kuitenkin niin, että siitä ilmenee vain se säännös, johon salassapito perustuu. Tämä mahdollisuus korostaa salassapitoarvion tilannekohtaisuutta.

Pykälän 2 momenttia ehdotetaan muutettavaksi siten, että siihen lisättäisiin säännös, joka selkeyttäisi ja yhtenäistäisi salassapitomerkinnöissä käytettävää terminologiaa. Julkisuuslain 25 §:n 2 momenttiin ehdotetaan lisättäväksi säännös, jonka mukaan salassapitoa ilmaisemaan käytettäisiin merkintää ”SALASSA PIDETTÄVÄ” ja ruotsiksi ”SEKTRETESSBELAGD”. Merkinnästä tulisi edelleen, voimassa olevaa lakia vastaavasti, käydä ilmi, miltä osin asiakirja on salassa pidettävä ja mihin salassapito perustuu. Jos salassapito perustuisi säännökseen, jossa on vahinkoedellytyslauseke, merkintä voitaisiin jatkossakin tehdä niin, että siitä ilmenee vain säännös, johon salassapito perustuu.

Pykälän 2 momenttia ehdotetaan täydennettäväksi myös säännöksellä, joka koskee salassapitomerkinnän poistamista. Salassapitomerkintä ei vaikuta viranomaisen velvollisuuteen arvioida asiakirjan julkisuutta joka kerta erikseen, kun asiakirjasta pyydetään julkisuuslain nojalla tietoa. Kun salassa pidettäväksi merkityn asiakirjan salassapidolle ei joiltakin osin tai kokonaisuudessaan olisi enää perusteita, tulisi salassapitomerkinnän poistamisesta tai muuttamisesta tehdä asianmukainen merkintä asiakirjaan, johon alkuperäinen merkintä on tehty. Jo tehdyn merkinnän asianmukaisuus olisi tarkistettava viimeistään silloin, kun viranomainen luovuttaa asiakirjan ulkopuoliselle. Ehdotettu säännös vastaisi sisällöltään mitä tietoturvallisuusasetuksen 10 §:n 3 momentissa on säädetty asiakirjan luokittelumerkinnän poistamisesta ja muuttamisesta.

Pykälän voimassa olevassa 3 momentissa säädetään asiakirjaan tehtävistä merkinnöistä sen osoittamiseksi, minkälaisia tietoturvallisuusvaatimuksia asiakirjaa käsiteltäessä noudatetaan. Lisäksi siinä säädetään turvallisuusluokitusmerkinnän tekemisestä asiakirjaan. Turvallisuusluokitusmerkintä on voimassa olevan lain mukaan pakollinen kahdessa tilanteessa: merkintä on tehtävä kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa tarkoitettuihin asiakirjoihin sekä silloin, kun valtioneuvoston lain 36 §:n nojalla antamalla asetuksella niin säädetään.

Turvallisuusluokitusmerkinnällä voi olla vaikutusta asiakirjan salassapitoon. Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain soveltamisalan piiriin kuuluvat asiakirjat, joihin on tehty turvallisuusluokkaa koskeva merkintä, ovat mainitun lain 6 §:n mukaan salassa pidettävä. Sen sijaan yksinomaan Suomen viranomaisten laatimiin kansalliseen käyttöön tarkoitettuihin asiakirjoihin tehty turvallisuusluokitusmerkintä ei sellaisenaan vielä luo salassapitovelvollisuutta, vaan viranomaisen on arvioitava asiakirjan julkisuus joka kerta erikseen.

Pykälän 3 momentti ehdotetaan muutettavaksi kokonaisuudessaan. Jatkossa luovuttaisiin nykymuotoisesta tietoaineistojen luokittelusta asianmukaisten tietoturvallisuustoimenpiteiden toteuttamiseksi (suojaustasoluokitus). Nykyinen neliportainen luokitus on koettu käytännössä hankalaksi toteuttaa. Turvallisuusluokittelusta ja turvallisuusluokittelumerkinnästä puolestaan säädettäisiin jatkossa julkisuuslain sijaan julkisen hallinnon tiedonhallinnasta annettavassa laissa, koska näiden merkintöjen tekeminen liittyy asiakirjajulkisuutta laajemmin tiedonhallintaan. Sen sijaan julkisuuslain 25 §:n 3 momentissa ehdotetaan säädettäväksi merkinnöistä, joita voitaisiin tehdä muuhun kuin salassa pidettävään asiakirjaan. Tällaiseen asiakirjaan voitaisiin tehdä merkintä ”HARKINNANVARAISESTI ANNETTAVA” ja ruotsiksi ”UPPGES ENLIGT PRÖVNING”, jos asiakirjan luovuttaminen on lain mukaan viranomaisen harkinnassa tai asiakirjaan sisältyviä tietoja saa lain mukaan käyttää tai luovuttaa vain määrättyyn tarkoitukseen ja jos tiedon oikeudeton paljastuminen voisi aiheuttaa haittaa yleiselle tai yksityiselle edulle tai heikentää viranomaisen toimintaedellytyksiä.

Voimassaolevan tietoturvallisuusasetuksen 9 §:n 2 momentin mukaan suojaustasoon IV kuuluvaksi voidaan luokitella muukin kuin salassa pidettäväksi säädetty asiakirja, jos asiakirjan luovuttaminen on lain mukaan viranomaisen harkinnassa tai asiakirjaan sisältyviä tietoja saa lain mukaan käyttää tai luovuttaa vain määrättyyn tarkoitukseen ja jos tiedon oikeudeton paljastuminen voi aiheuttaa haittaa yleiselle tai yksityiselle edulle tai heikentää viranomaisen toimintaedellytyksiä.

Muiden kuin salassa pidettäväksi säädettyjen asiakirjojen merkitseminen voi olla eräin edellytyksin jatkossakin tarpeen. Asiakirjan merkitseminen voi olla tarpeellista ensinnäkin, jos asiakirjan luovuttaminen on lain mukaan viranomaisen harkinnassa. Tämä viittaa tilanteisiin, joissa asiakirja ei ole vielä tullut 6 ja 7 §:n mukaisesti julkiseksi. Toiseksi merkinnän tekeminen voisi olla tarpeen silloin, kun asiakirjaan sisältyviä tietoja saa lain mukaan käyttää tai luovuttaa vain määrättyyn tarkoitukseen. Esimerkiksi tiedon luovuttaminen viranomaisen henkilörekisteristä on yleensä mahdollista vain tiettyjä käyttötarkoituksia varten. Kummassakin edellä kuvatussa tilanteessa lisäedellytyksenä merkinnän tekemiselle olisi, että tiedon oikeudeton paljastuminen voisi aiheuttaa haittaa yleiselle tai yksityiselle edulle tai heikentää viranomaisen toimintaedellytyksiä. Ehdotetut edellytykset vastaavat voimassa olevan tietoturvallisuusasetuksen nojalla muihin kuin salassa pidettäviin asiakirjoihin tehtävien suojausluokkamerkintöjen edellytyksiä. Säännöksen tarkoituksena on selkeyttää asiakirjoissa käytettäviä merkintöjä. Merkinnän tekeminen olisi aina vapaaehtoista.

Ehdotetun merkinnän tarkoituksena olisi ainoastaan ilmaista asiakirjan käsittelijälle, että asiakirjaan sisältyy tietoja, joiden luovuttamiseen kohdistuu erityisiä edellytyksiä, joko sen vuoksi, ettei asiakirja ole vielä julkinen tai sen vuoksi että sitä voidaan sen julkisuudesta huolimatta luovuttaa vain tietyin edellytyksin. Merkintä ei vaikuttaisi asiakirjan julkisuuteen eikä laajentaisi asiakirjan salassapitoa. Merkintä ei myöskään vaikutuksiltaan rinnastuisi salassapitomerkintään. Valmisteluvaiheen asiakirjoista annetaan tietoja kuten 9 §:n 2 momentissa ja 17 §:ssä säädetään. Henkilörekisteriin talletettavien tietojen antamisesta puolestaan säädetään yleislakina 16 §:n 3 momentissa. Kaikkia valmisteluvaiheen asiakirjoja ei myöskään olisi tarkoitus merkitä – ainoastaan ne, jotka täyttävät merkitsemiselle säädetyt edellytykset ja joiden merkitsemiselle katsotaan olevan erityisiä perusteita. Henkilötietojen paljastamisen osalta on joka tapauksessa otettava huomioon henkilötietojen käsittelyyn liittyvä vaitiolovelvollisuus.

Koska pykälän 3 momentissa ei enää jatkossa säädettäisi tietoturvallisuusvaatimuksia koskevista merkinnöistä (luokitusmerkinnät), mutta sen sijaan siinä säädettäisiin merkinnöistä, joita voidaan tehdä muihin kuin salassa pidettäviin asiakirjoihin, ehdotetaan pykälän otsikkoa muutettavaksi sen muuttunutta sisältöä vastaavalla tavalla.

Pykälään ehdotetaan myös lisättäväksi uusi 4 momentti, jossa olisi turvallisuusluokitusmerkintöjä koskeva informatiivinen viittaus. Niistä säädettäisiin jatkossa julkisen hallinnon tiedonhallinnasta annettavassa laissa. Viittaus on lainsäädännön ymmärrettävyyden vuoksi tarpeen.

29 §. Salassa pidettävien tietojen antaminen toiselle viranomaiselle. Pykälän 3 momentti ehdotetaan kumottavaksi. Momentissa on säädetty siitä, millä edellytyksillä viranomainen voi avata toiselle viranomaiselle teknisen käyttöyhteyden henkilörekisterinsä tietoihin. Jatkossa tietojen antamisesta teknisen rajapinnan ja katseluyhteyden avulla säädetään edellä 16 §:n perusteluissa kuvatulla tavalla julkisen hallinnon tiedonhallinnasta annetussa laissa.

36 §. Asetuksenantovaltuus. Voimassa olevassa laissa alemman asteisten säännösten ja määräysten antamiseen valtuuttavat säännökset ovat lain 36 §:ssä. Pykälän 1 momentissa on valtuus antaa lain 5 luvussa säädettyjen velvoitteiden toteuttamiseksi valtionhallinnossa säännöksiä valtioneuvoston asetuksella. Nämä velvoitteet liittyvät momentin voimassa olevaa 6 kohtaa lukuun ottamatta hyvään tiedonhallintatapaan ja sen toteuttamiseen. Momentin 1 kohdan mukaan säännökset ovat koskeneet velvollisuuksia selvittää ja arvioida hallussaan olevat tietoaineistot sekä niiden käsittelyprosessit hyvän tiedonhallintatavan toteuttamiseksi. Tällaiset säännökset sisältyvät nykyisin julkisuusasetuksen 1 §:ään. Momentin 2 kohdan nojalla voidaan antaa säännöksiä, jotka koskevat velvollisuutta merkitä diaariin ja muihin asiakirjarekistereihin sekä tietojärjestelmäselosteisiin asianmukaiset tiedot. Näistä seikoista säädetään nykyisin julkisuusasetuksen 5—8 §:ssä. Momentin 3 kohdassa oikeutetaan antamaan säännöksiä tietoaineistojen luokitellusta asianmukaisten tietoturvallisuustoimenpiteiden toteuttamiseksi. Momentin 4 kohdan mukaan asetuksella voidaan säätää velvollisuudesta tehdä turvallisuusluokkaa koskeva merkintä asiakirjoihin, joiden oikeudeton paljastuminen voi aiheuttaa vahinkoa maanpuolustukselle, valtion turvallisuudelle, kansainvälisille suhteille tai muille niihin verrattaville yleisille eduille lain 24 §:n 1 momentin 2, 7—10 kohdissa tarkoitetulla tavalla ja momentin 5 kohta oikeuttaa antamaan säännöksiä eri turvallisuusluokkia koskevista tietoturvallisuusvaatimuksista mukaan lukien toimitilojen turvallisuusvaatimukset sekä tietoturvallisuutta koskevien vaatimusten soveltamisesta salassa pidettäviin asiakirjoihin ja niihin sisältyviin tietoihin samoin kuin sellaisiin asiakirjoihin ja niihin sisältyviin tietoihin, joiden luovuttamista on muutoin lailla rajoitettu taikka joihin sisältyviä tietoja saa lain mukaan käyttää vain määrättyyn tarkoitukseen. Voimassa olevien 3—5 kohtien nojalla on annettu valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa.

Pykälän 2 momentin mukaan oikeusministeriön asetuksella voidaan säätää tuomioistuimen ja syyttäjän diaariin ja muihin asiarekistereihin merkittävistä tiedoista. Mainituista tiedoista ei ole annettu tarkempaa sääntelyä.

Pykälää ehdotetaan muutettavaksi siten, että voimassaolevat 1—5 kohdissa ja 2 momentissa olevat asetuksenantovaltuudet kumottaisiin. Näistä asioista säädettäisiin jatkossa julkisen hallinnon tiedonhallinnasta annettavalla lailla. Myös tuomioistuimen ja syyttäjän diaariin ja muihin asiarekistereihin merkittävät tiedot jäisivät jatkossa yleislain varaan.

Voimassa olevan 1 momentin 6 kohta liittyy viranomaisen toiminnan avoimuuteen ja tiedonsaannin edistämisvelvollisuuteen ja se oikeuttaa antamaan säännöksiä toiminnan avoimuuden toteuttamisesta viestinnän suunnittelun ja järjestämisen avulla. Jatkossakin näistä asioista voitaisiin säätää julkisuuslain nojalla annettavalla valtioneuvoston asetuksella. Nykyisin mainituista asioita on säännökset julkisuusasetuksen 2 a luvussa. Tältä osin asetuksenantovaltuus jäisi vastaamaan nykytilaa. Lainsäädäntöteknisistä syistä pykälä muutettaisiin kuitenkin kokonaisuudessaan. Samalla pykälän otsikko muutettaisiin vastaamaan vallitsevaa kirjoitustapaa.

1.3 Laki sähköisestä asioinnista viranomaistoiminnassa

3 §. Muu lainsäädäntö. Pykälää ehdotetaan muutettavaksi siten, että siihen lisättäisiin informatiivinen viittaus tiedonhallintaa koskevin säännöksiin.

13 §. Sähköisen asiakirjan kirjaaminen tai rekisteröiminen. Pykälä ehdotetaan kumottavaksi. Voimassa olevan säännöksen mukaan saapuneet sähköiset asiakirjat on kirjattava tai niiden saapuminen on muulla luotettavalla tavalla rekisteröitävä. Kirjaus- tai muista vastaavista merkinnöistä on käytävä ilmi asiakirjan saapumisajankohta sekä merkinnät asiakirjan eheyden ja alkuperäisyyden toteamisesta.

Jatkossa asiakirjan rekisteröintivaatimuksesta sekä asiakirjasta rekisteröitävistä tiedosta säädettäisiin julkisen hallinnon tiedonhallinnasta annetavan lain 25 ja 26 §:ssä.

Eheyttä ja alkuperäisyyttä koskevilla merkinnöillä on hallituksen esityksen (HE 17/2002 vp ja HE 153/1999 vp) mukaan tarkoitettu ”ensinnäkin sen seikan merkitsemistä, onko sähköinen asiakirja saapunut viranomaiseen muuttumattomana eli lähetetyssä muodossa. Toteama sähköisen asiakirjan alkuperäisyydestä on puolestaan sen seikan kirjaamista, onko sähköisenä viestinä saapuneen asiakirjan lähettäjä juuri se taho tai henkilö, joka on merkitty viestiin lähettäjäksi. Käytännössä nämä merkinnät tarkoittavat sitä, että viranomainen toteaa, onko asiakirjassa ollut sen saapuessa asianmukainen sähköinen allekirjoitus eli sähköinen allekirjoitus, joka täyttää sähköisistä allekirjoituksista annettavan lain allekirjoitusvaatimuksen tai viranomaisen harkinnan mukaan myös muunlainen sähköinen allekirjoitus. Tästä toteamisesta olisi tehtävä kirjaamismerkintä, jotta asiakirjan aitous voidaan myöhemmin tarvittaessa kiistattomasti todistaa.” Säännös on menettänyt käytännön merkityksensä, kun asioinnissa on siirrytty pääasiassa sähköiseen muotoon. Lisäksi käyttöön on otettu erilaisia tunnistamisratkaisuja ja -palveluja.

21 §. Arkistointi. Pykälän 2 momenttiin ehdotetaan otettavaksi nykyisin 22 §:ssä oleva sähköisen asiakirjan arkistointiin liittyvä määräyksenantovaltuus.

22 §. Tarkemmat määräykset ja ohjeet. Pykälä ehdotetaan kumottavaksi. Sen mukaan arkistolaitos on voinut antaa tarkempia määräyksiä ja ohjeita sähköisen asioinnin kirjaamisesta tai muusta rekisteröinnistä sekä arkistoinnista. Lisäksi valtiovarainministeriö on voinut antaa ohjeita ja suosituksia sähköisen asioinnin yhteentoimivuuden ja tietoturvallisuuden varmistamisesta sekä sähköisten asiointipalvelujen järjestämisestä. Jatkossa näistä asioista arkistointia lukuun ottamatta säädettäisiin julkisen hallinnon tiedonhallinnasta annettavalla lailla. Ohjeiden antamisesta ei muutoinkaan tule säätää lailla. Arkistointia koskeva määräyksenantovaltuus ehdotetaan siirrettäväksi 21 §:ään.

1.4 Laki kansainvälisistä tietoturvallisuusvelvoitteista

3 §. Suhde muuhun lainsäädäntöön. Pykälässä säädetään lain suhteesta muihin viranomaisten asiakirjojen tietoturvallisuutta koskeviin säännöksiin. Voimassa olevan lain mukaan erityissuojattavan tietoaineiston käsittelyssä noudatettavasta hyvästä tiedonhallintavasta on voimassa, mitä julkisuuslaissa ja sen nojalla säädetään, jollei ehdotetussa laissa toisin säädetä. Koska hyvästä tiedonhallintatavasta ei enää jatkossa säädettäisi viranomaisten toiminnan julkisuudesta annetussa laissa, ehdotetaan 1 momentin sanamuotoa muutattavaksi siten, että siinä viitattaisiin julkisuuslain lisäksi myös tiedonhallintaa koskevaan sääntelyyn. Julkisen hallinnon tiedonhallinnasta annettavassa laissa säädettäisiin jatkossa nykyisin hyvään tiedonhallintatapaan kuuluvista seikoista.

8 §. Turvallisuusluokan merkitseminen. Pykälää ehdotetaan muutettavaksi siten, että viittaus viranomaisten toiminnan julkisuudesta annettuun lakiin ehdotetaan muutettavaksi viittaukseksi julkisen hallinnon tiedonhallinnasta annettavaan lakiin, sillä jatkossa turvallisuusluokkaa koskevasta merkinnästä säädettäisiin mainitussa laissa.

1.5 Turvallisuusselvityslaki

3 §. Määritelmät. Pykälään sisältyy turvallisuusselvityslain soveltamisen kannalta keskeiset määritelmät. Voimassa olevan pykälän 1 momentin 11 kohdan mukaan luokitellulla asiakirjalla tarkoitetaan viranomaisten toiminnan julkisuudesta annetun lain 5 §:n 1 momentissa tarkoitettua asiakirjaa, johon on mainitun lain ja sen nojalla annettujen säännösten tai kansainvälisistä tietoturvallisuusvelvoitteista annetun lain nojalla tehty tai voidaan tehdä suojaustasoa koskeva luokittelumerkintä sen osoittamiseksi, minkälaisia tietoturvallisuusvaatimuksia asiakirjaa käsiteltäessä noudatetaan.

Julkisen hallinnon tiedonhallinnan kokonaisuudistuksen yhteydessä luovuttaisiin asiakirjojen suojaustasoluokittelusta. Turvallisuusluokittelu ehdotetaan säilytettäväksi ja muutettavaksi pakolliseksi valtionhallinnossa. Tästä johtuen ehdotetaan, että turvallisuusselvityslain 3 §:n 1 momentin 11 kohta muutettaisiin siten, että luokitellulla asiakirjalla tarkoitettaisiin jatkossa ainoastaan asiakirjaa, johon on julkisen hallinnon tiedonhallinnasta annetun lain tai sen nojalla annettujen säännösten nojalla taikka kansainvälisistä tietoturvallisuusvelvoitteista annetun lain nojalla tehty turvallisuusluokkaa koskeva merkintä sen osoittamiseksi, minkälaisia tietoturvallisuusvaatimuksia asiakirjaa käsiteltäessä noudatetaan. Luokitellut asiakirjat olisivat siten osa salassa pidettävien asiakirjojen joukkoa.

Voimassa olevan lain 3 momentissa tarkennetaan, että luokiteltua asiakirjaa koskevia säännöksiä sovelletaan myös tietoihin, jotka on saatu suullisesti tai voidaan saada havainnoimalla, jos tällaisia tietoja sisältävät asiakirjat olisivat salassa pidettäviä taikka luokiteltavissa 1 momentin 11 kohdassa tarkoitettujen säännösten perusteella. Koska luokitellun asiakirjan käsite yllä olevan mukaisesti kaventuisi koskemaan ainoastaan turvallisuusluokiteltuja asiakirjoja 3 momenttia esitetään muutettavaksi siten, että turvallisuusselvityslain säännöksiä salassa pidettävästä tai luokitellusta asiakirjasta sovellettaisiin myös tietoihin, jotka on saatu suullisesti tai havainnoimalla, jos tällaisia tietoja sisältävät asiakirjat olisivat salassa pidettäviä taikka luokiteltavissa 1 momentin 11 kohdassa tarkoitettujen säännösten perusteella. Ehdotettu muutos on tekninen ja vastaa sisällöltään voimassa olevaa 3 momenttia.

16 §. Valtionhallinnon viranomaisen velvollisuus hakea henkilöturvallisuusselvitystä. Voimassa olevan 1 momentin mukaan valtioneuvostolla on oikeus asetuksella säätää velvollisuudesta hankkia henkilöturvallisuusselvitys. Velvollisuus voi säännöksen mukaan koskea sellaisiin työtehtäviin valittavia, joilla työtehtävissään on muutoin kuin satunnaisesti oikeus käsitellä suojaustasoon I tai II kuuluvia asiakirjoja. Velvollisuus voidaan säätää koskemaan myös muita sellaisia tehtäviä, joissa selvityksen kohde salassa pidettäviä tietoja paljastamalla tai muilla tavoin voi vaarantaa valtion turvallisuutta, maanpuolustusta, kansainvälisiä suhteita, turvallisuusjärjestelyjä, poikkeusoloihin varautumista tai väestönsuojelua. Kysymys voi olla siten tehtävistä, joissa on mahdollista luokitustasosta riippumatta taikka esimerkiksi yksinomaan lainvastaisella tosiasiallisella toiminnalla aiheuttaa lainkohdassa määriteltäviä seurauksia.

Koska asiakirjojen suojaustasoluokittelua ei enää tehtäisi, ehdotetaan 1 momenttia muutettavaksi siten, että maininta asiakirjojen suojaustasoista poistettaisiin. Sen sijaan säännöksessä avattaisiin nykyiset suojaustasoluokittelun edellytykset. Asiakirjat määriteltäisiin siten jatkossa turvallisuusluokittelun avulla sekä käyttämällä voimassa olevan tietoturvallisuudesta valtionhallinnossa annetun valtioneuvoston asetuksen 9 §:ssä määriteltyjä suojaustasojen kriteerejä.

Pykälän 1 momentin mukaan valtioneuvoston asetuksella voitaisiin säätää, että valtion-hallinnon viranomaisen olisi hankittava henkilöturvallisuusselvitys henkilöstä, jolla olisi muutoin kuin satunnaisesti oikeus käsitellä turvallisuusluokan I tai II asiakirjoja tai muita salassa pidettävä asiakirjoja, jos näihin asiakirjoihin sisältyvän salassa pidettävän tiedon oikeudeton paljastaminen tai oikeudeton käyttö voisi aiheuttaa erityisen suurta tai merkittävää vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle. Säännöksessä käytetty määritelmä turvallisuusluokan I asiakirja tai muu salassa pidettävä asiakirja, jos tähän asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa erityisen suurta vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle vastaa voimassa olevan lain suojaustason I asiakirjaa.

Turvallisuusluokan II asiakirja tai muu salassa pidettävä asiakirja, jos tähän asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa merkittävää vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle vastaa taas suojaustason II asiakirjaa. Kyse olisi teknisluonteisesta muutoksesta eikä säännöksen soveltamisalaa ole tarkoitus muuttaa.

Velvollisuus voitaisiin jatkossakin säätää koskemaan myös muita sellaisia tehtäviä, joissa selvityksen kohde salassa pidettäviä tietoja paljastamalla tai muulla lainvastaisella teolla voi merkittävällä tavalla vaarantaa valtion turvallisuutta, maanpuolustusta, kansainvälisiä suhteita, poikkeusoloihin varautumista, väestönsuojelua tai yhteiskunnan elintärkeitä toimintoja taikka mainittujen etujen suojaamiseksi toteutettuja turvallisuusjärjestelyjä.

19 §. Perusmuotoisen henkilöturvallisuusselvityksen piiriin kuuluvat tehtävät. Pykälän 1 momentissa säädetään edellytyksistä, jotka määrittelevät, milloin työelämässä olevista tai työtehtäviin hakeutuvista voidaan laatia perusmuotoinen henkilöturvallisuusselvitys. Momentti koskee sekä virkamiehiä tai virkaan hakevia että työsuhteisesti tai toimeksiannosta tehtäviä hoitavia tai sellaisiin tehtäviin valittavia.

Perusmuotoinen henkilöturvallisuusselvitys voidaan voimassa olevan 1 kohdan mukaan laatia henkilöstä, joka saa oikeuden muutoin kuin satunnaisesti käsitellä sellaisia viranomaisen asiakirjoja, jotka voidaan tai tulee turvallisuusluokitella suojaustasoihin II—III kuuluviksi. Tällaisia tehtäviä on erityisesti ulkoasiainhallinnossa sekä puolustushallinnon ja muissa turvallisuusalan hallintotehtävissä. Kohdan mukaan turvallisuusselvitys voidaan laatia myös henkilöstä, joka hoitaa sellaisia tehtäviä, joissa hän salassa pidettäviä tietoja paljastamalla tai muulla lainvastaisella teolla voi merkittävällä tavalla vaarantaa valtion turvallisuutta, maanpuolustusta, kansainvälisiä suhteita, poikkeusoloihin varautumista, väestönsuojelua tai yhteiskunnan elintärkeitä toimintoja taikka mainittujen etujen suojaamiseksi toteutettuja turvallisuusjärjestelyjä.

Pykälän 1 momentin 1 kohdan sanamuotoa ehdotetaan tarkistettavaksi siten, että maininta suojaustasoista poistettaisiin. Jatkossa perusmuotoinen henkilöturvallisuusselvitys voitaisiin 1 kohdan mukaan laatia nykytilaa vastaavalla tavalla sellaiseen palvelussuhteeseen tai toimeksiantotehtävää suorittamaan valittavasta taikka palvelussuhdetta tai toimeksiantotehtävää hoitavasta, joka saa oikeuden muutoin kuin satunnaisesti käsitellä sellaisia viranomaisen asiakirjoja, jotka tulee turvallisuusluokitella turvallisuusluokkaan II—III kuuluviksi. Koska turvallisuusluokiteltavien asiakirjojen joukon ehdotetaan laajentuvan nykyisestä, voisi perusmuotoista henkilöturvallisuusselvitystä jatkossa laatia myös henkilöstä, joka saa oikeuden muutoin kuin satunnaisesti käsitellä uusien salassapitoperusteiden, eli viranomaisten toiminnan julkisuudesta annetun lain 24 §:n 1 momentin kohdan 5 ja 11, perusteella turvallisuusluokiteltavia asiakirjoja.

Edelleen 1 kohdan mukaan saisi hakea perusmuotoista henkilöturvallisuusselvitystä, jos selvitettävä muutoin hoitaa sellaisia tehtäviä, joissa hän salassa pidettäviä tietoja paljastamalla tai muulla lainvastaisella teolla voi merkittävällä tavalla vaarantaa valtion turvallisuutta, maanpuolustusta, kansainvälisiä suhteita, poikkeusoloihin varautumista, väestönsuojelua tai yhteiskunnan elintärkeitä toimintoja taikka mainittujen etujen suojaamiseksi toteutettuja turvallisuusjärjestelyjä.

Muutosehdotuksessa on kyse teknisluonteisesta muutoksesta eikä 19 §:n 1 momentin 1 kohdassa tarkoitettuja perusmuotoisen henkilöturvallisuusselvitysten edellytyksiä muuteta nykyisestä.

20 §. Laajan henkilöturvallisuusselvityksen piiriin kuuluvat tehtävät. Säännöksissä määritellään, missä tilanteissa turvallisuusselvityslain 27—29 §:ssä tarkoitettuja lisätietoja saataisiin hankkia henkilöturvallisuusselvityksen kohteesta. Menettely olisi mahdollista vain pykälässä säädettävistä erityisistä syistä. Laajempi tietopohja voidaan hankkia voimassa olevan 1 kohdan mukaan henkilöstä, joka työtehtävissään saa oikeuden muutoin kuin satunnaisesti käsitellä suojaustasoihin I tai II kuuluviksi luokiteltuja asiakirjoja. Kohdassa tarkoitettuja tehtäviä on etenkin puolustus- ja ulkoasiainhallinnossa sekä suojelupoliisissa.

Koska asiakirjojen suojaustasoluokittelua ei enää tehtäisi, ehdotetaan 1 momentin 1 kohtaa muutettavaksi siten, että maininta asiakirjojen suojaustasoista poistettaisiin. Sen sijaan pykälässä avattaisiin nykyiset suojaustasoluokittelun edellytykset. Asiakirjat määriteltäisiin siten jatkossa turvallisuusluokittelun avulla sekä käyttämällä voimassa olevan tietoturvallisuudesta valtionhallinnossa annetun valtioneuvoston asetuksen 9 §:ssä määriteltyjä suojaustasojen kriteerejä. Pykälään ehdotettava määritelmä turvallisuusluokan I asiakirja tai muu salassa pidettävä asiakirja, jos tähän asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa erityisen suurta vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle, vastaa sisällöltään voimassa olevan lainsäädännön mukaisen suojaustason I asiakirjan määritelmää. Turvallisuusluokan II asiakirja tai muu salassa pidettävä asiakirja, jos tähän asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa merkittävää vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle, vastaa taas voimassa olevassa laissa tarkoitettua suojaustason II asiakirjaa. Siten kyse olisi teknisluonteisesta muutoksesta. Ehdotettu ei muuta laajan henkilöturvallisuusselvitysten käytön edellytyksiä.

21 §. Suppean henkilöturvallisuusselvityksen piiriin kuuluvat tehtävät. Voimassa olevan pykälän 1 momentissa säädetään, että suppea turvallisuusselvitys voidaan laatia henkilöstä, joka saa palvelussuhteen tai viranomaisen toimeksiannon tai hankintasopimuksen johdosta oikeuden käsitellä viranomaisen suojaustasoihin III—IV kuuluviksi luokiteltuja asiakirjoja (1 kohta). Säännös koskee esimerkiksi tietojenkäsittelyn palveluyrityksen työntekijöitä kohdassa tarkoitetuissa tilanteissa.

Koska asiakirjojen suojaustasoluokittelua ei enää tehtäisi, ehdotetaan momentin 1 kohtaa muutettavaksi siten, että maininta asiakirjojen suojaustasoista poistettaisiin. Sen sijaan pykälässä avattaisiin nykyiset suojaustasoluokittelun edellytykset. Asiakirjat määriteltäisiin siten jatkossa turvallisuusluokittelun avulla sekä käyttämällä voimassa olevan tietoturvallisuudesta valtionhallinnossa annetun valtioneuvoston asetuksen 9 §:ssä määriteltyjä suojaustasojen kriteerejä. Pykälään ehdotettava määritelmä turvallisuusluokan III asiakirja tai muu salassa pidettävä asiakirja, jos tähän asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle tai yksityiselle edulle, vastaa sisällöltään voimassa olevan lainsäädännön mukaisen suojaustason III asiakirjan määritelmää. Turvallisuusluokan IV asiakirja tai muu salassa pidettävä asiakirja, jos tähän asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa haittaa salassapitosäännöksessä tarkoitetulle yleiselle tai yksityiselle edulle, vastaa taas voimassa olevassa laissa tarkoitettua suojaustason IV asiakirjaa. Siten kyse olisi teknisluonteisesta muutoksesta. Ehdotettu ei muuta suppean henkilöturvallisuusselvitysten käytön edellytyksiä.

25 §. Perusmuotoisen henkilöturvallisuusselvityksen tietolähteet. Pykälässä määritellään ne henkilörekisterit, joihin talletettuihin tietoihin perusmuotoinen henkilöturvallisuusselvitys voi perustua. Pykälän 2 momentin mukaan perusmuotoista turvallisuusselvitystä laadittaessa voidaan käyttää myös epäiltyjen rekisteriin sisältyviä sellaisia tietoja, joiden ilmoittamista keskusrikospoliisi on pitänyt välttämättömänä turvallisuusselvityksen perusteena olevan edun suojaamiseksi järjestäytyneen rikollisryhmän toimilta. Voimassa olevan 2 momentin 3 kohdan mukaan keskusrikospoliisi voi tehdä toimivaltaiselle viranomaiselle ilmoituksen, jos selvityksen kohteesta on epäiltyjen tietojärjestelmässä useita sellaisia laadultaan ja sisällöltään henkilön luotettavuuden arvioinnin kannalta merkittäviä merkintöjä, joiden muodostaman kokonaisuuden perusteella keskusrikospoliisi katsoo olevan perusteltu syy epäillä, että selvityksen kohde voi vaarantaa selvityksen perusteena olevassa työtehtävässään saamiensa suojaustasoon I tai II kuuluvien asiakirjojen ja niiden tietojen suojan ja siten edistävän järjestäytyneen rikollisryhmän toimia, jos tiedon välittäminen on välttämätöntä valtion keskeisten turvallisuusetujen suojaamiseksi järjestäytyneen rikollisryhmän toimilta tai vaikutuksilta taikka rikoksen ennalta estämiseksi.

Pykälän 2 momentin 3 kohtaa ehdotetaan muutettavaksi siten, että maininta asiakirjojen suojaustasoista poistettaisiin. Sen sijaan pykälässä avattaisiin nykyiset suojaustasoluokittelun edellytykset. Asiakirjat määriteltäisiin siten jatkossa turvallisuusluokittelun avulla sekä käyttämällä voimassa olevan tietoturvallisuudesta valtionhallinnossa annetun valtioneuvoston asetuksen 9 §:ssä määriteltyjä suojaustasojen kriteerejä. Turvallisuusluokan I asiakirja tai muu salassa pidettävä asiakirja, jos tähän asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa erityisen suurta vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle, vastaa suojaustason I asiakirjaa. Turvallisuusluokan II asiakirja tai muu salassa pidettävä asiakirja, jos tähän asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa merkittävää vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle, vastaisi vastaa taas suojaustason II asiakirjaa. Siten ehdotetun säännöksen tarkoitus ei ole muuttaa nykyistä keskusrikospoliisin ilmoittamiskynnystä.

33 §. Yritysturvallisuusselvityksen hakemiseen oikeutetut. Pykälän 1 momentin 2 kohdan mukaan viranomaisella, jolla on tarkoitus tehdä sopimus yrityksen kanssa, on oikeus hakea yritysselvitystä, jos sopimuksen yhteydessä yritykselle annetaan tai sopimuksen johdosta syntyy suojaustasoon I—III kuuluvaksi luokiteltuja asiakirjoja.

Pykälän 1 momentin 2 kohtaan ehdotetaan tehtäväksi teknisluonteinen muutos siten, että maininta asiakirjojen suojaustasoista poistettaisiin. Sen sijaan pykälässä avattaisiin nykyiset suojaustasoluokittelun edellytykset. Asiakirjat määriteltäisiin siten jatkossa turvallisuusluokittelun avulla sekä käyttämällä voimassa olevan tietoturvallisuudesta valtionhallinnossa annetun valtioneuvoston asetuksen 9 §:ssä määriteltyjä suojaustasojen kriteerejä. Yritysturvallisuusselvitystä voisi ehdotettavan 2 kohdan mukaan hakea viranomainen, jonka on tarkoitus tehdä sopimus selvityksen kohteen kanssa, jos sopimuksen yhteydessä yritykselle annetaan tai sopimuksen johdosta syntyy turvallisuusluokan I—III asiakirjoja tai muita salassa pidettäviä asiakirjoja, jos näihin asiakirjoihin sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle tai yksityiselle edulle.

Säännöksessä käytetty määritelmä turvallisuusluokan I asiakirja tai muu salassa pidettävä asiakirja, jos tähän asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa erityisen suurta vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle, vastaa suojaustason I asiakirjaa. Turvallisuusluokan II asiakirja tai muu salassa pidettävä asiakirja, jos tähän asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa merkittävää vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle, vastaa taas suojaustason II asiakirjaa. Turvallisuusluokan III asiakirja tai muu salassa pidettävä asiakirja, jos tähän asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle tai yksityiselle edulle, vastaa suojaustason III asiakirjaa.

34 §. Valtionhallinnon viranomaisen velvollisuus yritysturvallisuusselvityksen hakemiseen. Voimassa olevan pykälän mukaan valtioneuvoston asetuksella voidaan säätää, että yritysturvallisuusselvitys on haettava yrityksestä, jolle valtionhallinnon viranomaisen kanssa tehtävän sopimuksen toteuttamiseksi annetaan tai joita toteutettaessa syntyy tai muutoin saadaan suojaustasoon I—III kuuluviksi luokiteltuja asiakirjoja.

Koska asiakirjojen suojaustasoluokittelua ei enää tehtäisi, ehdotetaan pykälää muutettavaksi siten, että maininta asiakirjojen suojaustasoista poistettaisiin. Sen sijaan pykälässä avattaisiin nykyiset suojaustasoluokittelun edellytykset. Asiakirjat määriteltäisiin siten jatkossa turvallisuusluokittelun avulla sekä käyttämällä voimassa olevan tietoturvallisuudesta valtionhallinnossa annetun valtioneuvoston asetuksen 9 §:ssä määriteltyjä suojaustasojen kriteerejä. Turvallisuusluokan I asiakirja tai muu salassa pidettävä asiakirja, jos tähän asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa erityisen suurta vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle, vastaa suojaustason I asiakirjaa. Turvallisuusluokan II asiakirja tai muu salassa pidettävä asiakirja, jos tähän asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa merkittävää vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle, vastaa taas suojaustason II asiakirjaa. Turvallisuusluokan III asiakirja tai muu salassa pidettävä asiakirja, jos tähän asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle tai yksityiselle edulle, vastaa suojaustason III asiakirjaa. Kyse olisi teknisluonteisesta muutoksesta eikä soveltamisalaa ei ole tarkoitus muuttaa.

Valtioneuvoston asetuksella voidaan jatkossa säätää, että valtionhallinnon viranomaisen on han-kittava yritysturvallisuusselvitys yrityksestä, jolle valtionhallinnon viranomaisen kanssa tehtävän sopimuksen toteuttamiseksi annetaan turvallisuusluokan I—III asiakirjoja tai muita salassa pidettäviä asiakirjoja, jos näihin asiakirjoihin sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle tai yksityiselle edulle.

36 §. Yritysturvallisuusselvityksen laatimisen edellytykset. Yritysturvallisuusselvityksen tarve liittyy erilaisiin tilanteisiin. Pykälässä säädetään siitä, missä tapauksissa selvitys voidaan tehdä. Pykälän 1 momentin 2 kohdan mukaan yritysturvallisuusselvitys voidaan laatia, kun viranomainen on tekemässä yrityksen kanssa sopimusta, jonka yhteydessä yritykselle luovutetaan viranomaisen luokiteltuja asiakirjoja. Säännöksen tarkoituksena on osaltaan varmistaa, että luokiteltujen asiakirjojen suoja ja asianmukainen käsittely voidaan varmistaa silloinkin, kun ne ovat muun kuin viranomaisen hallussa.

Koska 3 §:n 1 momentin 11 kohdan määritelmä luokitellusta asiakirjasta ehdotetaan muutettavaksi koskemaan ainoastaan turvallisuusluokiteltavia asiakirjoja, ehdotetaan pykälän 1 momentin 2 kohtaa muutettavaksi siten, että kohta tulisi käsittämään kaikkia salassa pidettäviä asiakirjoja. Tämä vastaisi nykytilaa.

Ehdotuksen mukaan yritysturvallisuusselvitys voitaisiin myös laatia, jos selvitys on tarpeen yri-tyksen arvioimiseksi, kun viranomainen on tekemässä yrityksen kanssa sopimusta, jonka yhtey-dessä yritykselle luovutetaan viranomaisen salassa pidettäviä asiakirjoja.

44 §. Henkilöturvallisuusselvitystodistuksen sisältö. Henkilöturvallisuusselvitystodistukseen merkitään pykälän 1 momentin mukaan tieto selvityksen kohteesta ja todistuksen päivämäärästä ja antajasta sekä tehtävistä, joita varten se on annettu. Tarvittaessa todistukseen voidaan merkitä pykälän 2 momentin 3 kohdan mukaan tieto siitä, mille suojaustasolle luokiteltuihin asiakirjoihin selvityksen kohteelle voidaan antaa pääsy.

Pykälän 2 momentin 3 kohtaan ehdotetaan tehtäväksi teknisluonteinen muutos, jonka mukaan maininta asiakirjojen suojaustasoista poistettaisiin. Sen sijaan pykälässä avattaisiin nykyiset suojaustasoluokittelun edellytykset. Asiakirjat määriteltäisiin siten jatkossa turvallisuusluokittelun avulla sekä käyttämällä tietoturvallisuudesta valtionhallinnossa annetun valtioneuvoston asetuksen 9 §:ssä määriteltyjä suojaustasojen kriteerejä.

Jatkossa voitaisiin 3 kohdan mukaan tarvittaessa merkitä todistukseen tieto siitä, mihin turvalli-suusluokkaan luokiteltuihin asiakirjoihin tai muihin salassa pidettäviin asiakirjoihin, joiden oi-keudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa tai haittaa salassapitosään-nöksessä tarkoitetulle edulle selvityksen kohteelle voidaan antaa pääsy.

47 §. Yritysturvallisuusselvitystodistuksen sisältö. Pykälässä säädetään yritysselvitystodistukseen merkittävistä tiedoista. Annettavaan todistukseen merkitään sen 1 momentin 4 kohdan mukaan myös tarvittaessa tieto siitä, mille suojaustasolle luokiteltujen asiakirjojen käsittelyä koskevat vaatimukset yritys täyttää.

Pykälän 1 momentin 4 kohtaan ehdotetaan tehtäväksi teknisluonteinen muutos, jonka mukaan maininta asiakirjojen suojaustasoista poistettaisiin. Sen sijaan pykälässä avattaisiin nykyiset suojaustasoluokittelun edellytykset. Asiakirjat määriteltäisiin siten jatkossa turvallisuusluokittelun avulla sekä käyttämällä tietoturvallisuudesta valtionhallinnossa annetun valtioneuvoston asetuksen 9 §:ssä määriteltyjä suojaustasojen kriteerejä.

Jatkossa voitaisiin tarvittaessa merkitä yritysturvallisuusselvitystodistukseen tieto siitä, mihin turvallisuusluokkaan luokiteltujen asiakirjojen tai muiden asiakirjojen, joiden oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa salassapitosäännöksessä tarkoitetulle edulle käsittelyä koskevat vaatimukset yritys täyttää.

1.6 Laki julkisista puolustus ja turvallisuushankinnoista

3 §. Määritelmät. Puolustus- ja turvallisuushankinnoista annetun lain voimassa olevassa 3 §:n 2 momentissa tarkennetaan 3 §:n 1 momentin 14 kohdan turvallisuusluokitellun asiakirjan määritelmää. Säännös 2 momentissa perustuu hankintaviranomaisten ja hankintayksiköiden tekemien rakennusurakoita sekä tavara- ja palveluhankintoja koskevien sopimusten tekomenettelyjen yhteensovittamisesta puolustus- ja turvallisuusalalla ja direktiivien 2004/17/EY ja 2004/18/EY muuttamisesta annetun Euroopan parlamentin ja neuvoston direktiivin (2009/81/EY) 1 artiklan 1 kohdan 8 alakohdan määritelmään turvaluokitellusta tiedosta. Säännöksen mukaan lain turvallisuusluokiteltua asiakirjaa koskevia säännöksiä tulee soveltaa myös sellaiseen asiakirjaan, johon laissa salassa pidettäväksi säädetyn kansallisen turvallisuusedun suojaamiseksi on tehty asiakirjan käsittelyssä noudatettavaa suojaustasoa koskeva merkintä siten kuin siitä erikseen säädetään. Turvallisuusluokitellulla asiakirjalla tarkoitetaan 3 §:n 1 momentin 14 kohdan mukaan asiakirjaa tai siihen sisältyviä tietoja, joihin on lain tai lain nojalla annetun säännöksen perusteella tehty turvallisuusluokkaa koskeva merkintä.

Lain 3 §:n 2 momenttia ehdotetaan muutettavaksi, koska uuden julkisen hallinnon tiedonhallinnasta annettavan lain antamisen yhteydessä asiakirjojen suojaustasoluokittelusta luovuttaisiin. Asiakirjojen suojaustasoluokittelusta valtionhallinnossa säädetään tietoturvallisuudesta valtionhallinnossa annetussa valtioneuvoston asetuksessa 681/2010. Tietoturva-asetus kumottaisiin ja uuden tiedonhallintalain nojalla annettaisiin uusi valtioneuvoston asetus asiakirjojen tietoturvallisuusvaatimuksista valtionhallinnossa. Uusi asetus ei kuitenkaan enää sisältäisi asiakirjojen suojaustasoluokittelua koskevia säännöksiä, vaan koskisi ainoastaan turvaluokittelua sekä turvaluokiteltujen asiakirjojen merkitsemistä ja käsittelyä.

Ehdotetun säännöksen mukaan sovellettaisiin mitä puolustus- ja turvallisuushankinnoista annetussa laissa säädetään turvallisuusluokitellusta asiakirjasta, myös salassa pidettävään asiakirjaan, jos tähän asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voisi aiheuttaa haittaa tai vahinkoa salassapitosäännöksessä tarkoitetulle edulle. Ehdotettu säännös vastaisi sisällöltään muutettavaa säännöstä ja kattaisi samat asiakirjat, jotka tietoturva-asetuksen mukaan voidaan luokitella suojaustasoille I—IV. Siten ehdotetulla muutoksella ei olisi vaikutusta siihen, miten puolustus- ja turvallisuushankinnoista annetun lain 5, 41 tai 54 pykäliä tällä hetkellä sovelletaan.

1.7 Laki valtion talousarviosta

12 b §. Eräiden taloushallintotehtävien hoitaminen. Pykälän 4 momentissa säädetään palvelukeskuksen tietojensaantioikeudesta.

Voimassa olevan säädöksen mukaan keskitetyistä taloushallintotehtävistä vastaavalla virastolla tai laitoksella eli palvelukeskuksella on salassapitosäännösten estämättä oikeus saada kirjanpitoyksiköihin kuuluvilta virastoilta, laitoksilta ja muilta toimielimiltä tehtäviensä hoitamiseksi välttämättömät, julkisuuslain (621/1999) nojalla suojaustasoon neljä säädetyiksi kuuluvat asiakirjat. Palvelukeskuksella on lisäksi oikeus saada suojaustasoon kolme säädetyiksi kuuluvat asiakirjat. Poikkeuksen tästä muodostavat kuitenkin julkisuuslain 24 §:n 1 momentin 2 ja 7—10 kohdan nojalla, esimerkiksi valtion turvallisuuden vuoksi, salassa pidettävät suojaustasoon kolme säädetyksi kuuluvat asiakirjat.

Voimassa oleva sääntely merkitsee – ottaen huomioon, että julkisuuslain nojalla annetun tietoturva-asetuksen mukaan suojaustasoluokkiin yksi ja kaksi luokitellaan vain yleisen edun vuoksi salassa pidettäviä asiakirjoja – että palvelukeskuksella on oikeus saada kaikki tehtäviensä hoitamiseksi välttämättömät yksityisen edun vuoksi salassa pidettävät asiakirjat (esim. liike- tai ammattisalaisuus- tai virkamiesten sairauspoissaolotiedot) sekä julkisen edun vuoksi salassa pidettävät asiakirjat edellä mainituin suojaustaso- ja salassapitointressirajauksin. Palvelukeskuksella on mahdollisuus käsitellä tietojensaantioikeutensa piiriin kuuluvia asiakirjoja ja tietoja laissa säädetyn ja lain nojalla määrätyn tehtävänsä hoitamiseksi. Voimassa olevan lain mukaan palvelukeskuksella ei ole oikeutta saada suojaustasoon yksi tai kaksi säädetyiksi kuuluvia asiakirjoja. Näiden asiakirjojen tai niitä koskevia tietojen oikeudeton paljastuminen tai käyttö voisi aiheuttaa erityisen suurta tai merkittävää vahinkoa salassapidon suojaamalle yleiselle edulle. Jos palvelukeskuksella ei voimassa olevan 12 b §:n 4 momentin perusteella ole oikeutta saada tehtäviensä hoitamiseksi välttämättömiä tietoja, 12 b §:n 1 ja 2 momentin nojalla määrätystä tehtävästä vastaisi asianomainen kirjanpitoyksikkö, elleivät edellä tarkoitettu virasto tai laitos ja kirjanpitoyksikkö taloushallintotehtävän hoitamisesta toisin sovi.

Koska julkisuuslain nojalla annettu tietoturva-asetus kumottaisiin ja uuden tiedonhallintalain tai sen nojalla annettavan asetuksen nojalla annettavan valtioneuvoston asetuksen mukaan muita kuin turvallisuusluokiteltuja asiakirjoja ei enää luokiteltaisi eri suojaustasoille, ehdotetaan 4 momentin ensimmäistä virkettä muutettavaksi siten, että maininnat suojaustasoista poistettaisiin. Sen sijaan säädöksessä käytettäisiin palvelukeskuksen tiedonsaantioikeuden laajuuden määrittelemiseksi asiakirjojen turvallisuusluokittelua sekä muiden salassa pidettävien asiakirjojen kuin turvallisuusluokiteltavien asiakirjojen osalta sitä vahingon määrää, joka voisi aiheutua tiedon oikeudettomasta paljastumisesta tai oikeudettomasta käytöstä. Pykälän 4 momentin toista virkettä ei ehdoteta muutettavaksi.

Ehdotettavan säädöksen mukaan palvelukeskuksella olisi salassapitosäännösten estämättä oikeus saada kirjanpitoyksiköihin kuuluvilta virastoilta, laitoksilta ja muilta toimielimiltä tehtäviensä hoitamiseksi välttämättömät salassa pidettävät asiakirjat lukuun ottamatta tiedonhallintalain tai sen nojalla annettujen säännösten nojalla luokiteltuja turvallisuusluokan I, II ja III asiakirjoja. Niin ikään palvelukeskuksella ei olisi oikeutta saada muita salassa pidettäviä asiakirjoja, jos näihin asiakirjoihin sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voisi aiheuttaa merkittävää tai erityisen suurta vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle. Siten sääntely vastaisi pitkälti voimassa olevan säädöksen sääntelyä suojaustasoista. Koska turvallisuusluokittelua koskevaa sääntelyä ehdotetaan muutettavaksi nykyisestä siten, että asiakirjojen turvallisuusluokittelua laajennetaan, palvelukeskuksen tiedonsaantioikeus supistuisi vastaavasti nykyisten suojaustasoon III kuuluvien turvallisuusluokiteltujen asiakirjojen osalta. Turvaluokittelun laajennus koskee julkisuuslain 24 §:n 1 momentin kohtia 5 (poliisin, rajavartiolaitoksen ja tullilaitoksen sekä vankeinhoitoviranomaisen taktisia ja teknisiä menetelmiä ja suunnitelmia koskevia tietoja sisältävät asiakirjat) ja 11 (asiakirjat, jotka sisältävät tietoja raha- ja valuuttapoliittisista päätöksistä tai toimenpiteistä taikka niiden valmistelusta tai tietoja finanssi- ja tulopolitiikan valmistelusta taikka finanssi-, tulo-, raha- tai valuuttapoliittisten päätösten tai toimenpiteiden tarpeiden selvittämisestä). Lain valmistelussa on selvitetty, ettei tiedonsaantioikeuden supistuminen tältä osin tulisi vaikeuttamaan palvelukeskuksen tehtävien hoitamista.

Lisäksi ehdotetaan tehtäväksi pykälän 6 momenttiin teknisluontoinen muutos, jonka mukaan maininta tekniseen käyttöyhteyteen poistettaisiin. Yleiset säännökset tietojen luovuttamisen tavoista teknisen rajapinnan ja katseluyhteyden avulla sisältyisivät vastaisuudessa tiedonhallintalakiin.

1.8 Valtion virkamieslaki

7 §. Voimassa olevan valtion virkamieslain 7 pykälän 1 momentti sisältää 13 kohtaa sisältävän luettelon niistä viroista, joihin voidaan nimittää vain Suomen kansalainen. Pykälän 1 momentin 3 kohdassa säädetään ministeriön virasta, jonka tehtäviin kuuluu toimia ministeriön valmiuspäällikkönä tai jonka tehtäviin kuuluu valmius- ja varautumistehtäviä taikka jonka tehtäviin kuuluu muutoin kuin satunnaisesti käsitellä suojaustasoon I tai II kuuluviksi luokiteltuja asiakirjoja. Pykälän 7 kohdassa säädetään sisäministeriön toimialan viraston päällikön välittömänä alaisena toimivan päällikön ja johtajan virasta, poliisilaissa (872/2011) tarkoitettuun poliisimiehen virasta, suojelupoliisin muun kuin poliisimiehen virasta, poliisihallinnon virasta, jonka tehtäviin kuuluu muutoin kuin satunnaisesti käsitellä suojaustasoon I tai II kuuluviksi luokiteltuja asiakirjoja sekä rajavartiolaitoksen virasta.

Yllä mainituissa kohdissa tarkoitettuihin virkoihin kuuluu tehtäviä, joilla on kiinteä yhteys kansalliseen turvallisuuteen. Melkein kaikissa viroissa käytetään merkittävää julkista valtaa ja saadaan laajasti salassa pidettäviä tietoja. Lisäksi henkilöllä voi olla pääsy paikkoihin, joita koskevien tietojen paljastaminen tai muu oikeudeton käyttö voi vaarantaa kansallista turvallisuutta ja kansainvälisiä suhteita.

Koska asiakirjojen suojaustasoluokittelusäännöksiä sisältävä valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (681/2010, jäljempänä tietoturva-asetus) kumottaisiin uuden julkisen hallinnon tiedonhallinnasta annettavan lain (jäljempänä tiedonhallintalaki) yhteydessä ja asiakirjojen suojaustasoluokittelusta luovuttaisiin, ehdotetaan 1 momentin 3 ja 7 kohtia muutettavaksi siten, että maininnat suojaustasoluokittelusta poistettaisiin. Sen sijaan säädöksissä käytettäisiin uuden tiedonhallintalain mukaista asiakirjojen turvallisuusluokittelua tiettyjen virkojen kansalaisvaatimuksen perusteeksi. Muutoin 3 tai 7 kohtia ei ehdoteta muutettavaksi.

Tiedonhallintalain turvallisuusluokittelua koskevien säännösten mukaan asiakirjaan olisi tehtävä turvallisuusluokkaa koskeva merkintä, jos asiakirja on salassa pidettävä julkisuuslain 24 §:n 1 momentin 2, 5 tai 7—11 kohdan perusteella ja asiakirjaan sisältyvän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa maanpuolustukselle, poikkeusoloihin varautumiselle, kansainvälisille suhteille, rikosten torjunnalle, yleiselle turvallisuudelle tai valtion- ja kansantalouden toimivuudelle taikka muulla niihin rinnastettavalla tavalla Suomen turvallisuudelle. Turvallisuusluokittelu muuttuisi vapaaehtoisesta velvoittavaksi. Lisäksi turvallisuusluokittelun uusina salassapitoperusteina olisivat julkisuuslain 24 §:n 1 momentin kohdat 5 ja 11.

Ehdotettavan uuden 3 kohdan mukaan vain Suomen kansalainen voitaisiin nimittää ministeriön virkaan, jonka tehtäviin kuuluisi toimia ministeriön valmiuspäällikkönä, jonka tehtäviin kuuluisi valmius- ja varautumistehtäviä tai jonka tehtäviin kuuluisi muutoin kuin satunnaisesti käsitellä turvallisuusluokan I tai II asiakirjoja.

Ehdotettavan uuden 7 kohdan mukaan poliisihallinnon virkaan, jonka tehtäviin kuuluisi muutoin kuin satunnaisesti käsitellä turvallisuusluokan I tai II asiakirjoja, voitaisiin nimittää vain Suomen kansalainen.

8 c §. Voimassa oleva 8 c pykälä sisältää valtuuden säätää niistä tehtävistä, joihin nimitettävällä tulisi olla turvallisuusselvitystodistus. Säännös liittyy tarpeeseen asteittain tehostaa henkilöstöturvallisuutta valtionhallinnossa. Pykälän 3 momentin mukaan valtioneuvoston asetuksella voidaan säätää 2 momentissa tarkoitetusta henkilöturvallisuusselvitystodistusta koskevasta vaatimuksesta vain, jos virkaan nimitettävällä on oikeus muutoin kuin satunnaisesti käsitellä suojaustasoon I tai II luokiteltuja asiakirjoja tai jos hänen on muutoin tarkoitus toimia tehtävässä, jossa sen luonteen vuoksi edellytetään erityistä luotettavuutta.

Koska asiakirjojen suojaustasoluokittelusäännöksiä sisältävä tietoturva-asetus kumottaisiin eikä jatkossa muille kuin turvallisuusluokitelluille asiakirjoille enää annettaisi erityisiä käsittelyvaatimuksia eli suojaustasoja, ehdotetaan 3 momenttia muutettavaksi siten, että suojaustasojen sijaan asiakirjojen määrittely tapahtuisi turvallisuusluokitteluun sekä salassa pidettävän tiedon paljastumisesta mahdollisesti aiheutuvan vahingon suuruuteen perustuen.

Ehdotettavan säädöksen mukaan valtioneuvoston asetuksella voitaisiin säätää 2 momentissa tarkoitetusta henkilöturvallisuusselvitystodistusta koskevasta vaatimuksesta, jos virkaan nimitettävällä olisi oikeus muutoin kuin satunnaisesti käsitellä turvallisuusluokan I tai II asiakirjoja tai muita salassa pidettäviä asiakirjoja, jos näihin asiakirjoihin sisältyvän salassa pidettävän tiedon oikeudeton paljastaminen tai oikeudeton käyttö voisi aiheuttaa erityisen suurta tai merkittävää vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle, tai jos hänen olisi muutoin tarkoitus toimia tehtävässä, jossa sen luonteen vuoksi edellytetään erityistä luotettavuutta. Säädösehdotus vastaisi sisällöltään voimassa olevaa säädöstä.

1.9 Autoverolaki

87 a §. Pykälästä poistettaisiin erillinen säännös tietojen luovuttamisesta teknisen käyttöyhteyden avulla kumoamalla 4 momentti. Yleiset säännökset tietojen luovuttamisen tavoista teknisen rajapinnan ja katseluyhteyden avulla sisältyisivät vastaisuudessa julkisen hallinnon tiedonhallinnasta annettuun lakiin.

1.10 Laki Suomen Pankin virkamiehistä

58 a §. Voimassa olevan pykälän 3 momentissa viitataan valtion eläkelain (280/1966) 26 d ja 26 e §:ään sellaisena kuin ne ovat laissa 656/2002. Laki on kumottu lailla valtion eläkelain voimaanpanosta (1296/2006). Viimeksi mainittu laki on edelleen kumottu julkisten alojen eläkelain voimaanpanolailla (82/2016). Valtion eläkelain 26 d §:ssä säädettiin valtiokonttorin oikeudesta antaa tämän lain toimeenpanoon perustuvia tietoja sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa säädetään, salassapitosäännösten ja muiden tiedonsaantia koskevien rajoitusten estämättä laissa tarkemmin yksilöidyissä tilanteissa. Valtion eläkelain 26 e §:ssä säädettiin valtiokonttorin oikeudesta avata tekninen käyttöyhteys tietyissä tilanteissa. Pykälästä poistettaisiin viittaus tekniseen käyttöyhteyteen ja sähköiseen luovuttamiseen luovuttamisen tapana, koska luovutustapaan sovelletaan viranomaisten toiminnan julkisuudesta annettua lakia ja julkisen hallinnon tiedonhallinnasta annettua lakia.

Valtion eläkelain (1295/2006) 11 luvussa säädettiin tietojen antamisesta, saamisesta ja salassapidosta. Lain 156 § vastasi valtion eläkelain (280/1966) 26 d §:n 1 momentin 6 kohtaa, 157 § vastasi mainitun lain 26 d §:n 1 momentin 1 ja 5 kohtaa, 159 § vastasi mainitun lain 26 d §:n 1 momentin 2 ja 3 kohtaa sekä 2 momenttia, ja 160 § vastasi 26 d §:ää siltä osin kuin se koski tiedon eteenpäin luovuttajan vastuuta. Valtion eläkelain (1295/2006) 161 §:ssä säädettiin valtion eläkelain (280/1966) 26 e §:n tavoin tietojen antamisesta teknisen käyttöyhteyden avulla.

Julkisten alojen eläkelain (81/2016) 10 luvussa säädetään tietojen antamisesta, saamisesta ja salassapidosta. Lain 157 § vastaa muilta osin valtion eläkelain (1295/2006) 156 §:ää, mutta oikeus on säädetty valtiokonttorin sijaan Kevalle ja säännöksen otsikko on muuttunut.

Julkisten alojen eläkelain 161 §:ssä säädetään tietojen luovuttamisesta eteenpäin. Säännös vastaa pääosin valtion eläkelain (1295/2006) 159 §:ää.

Julkisten alojen eläkelain 162 §:ssä säädetään Kevan vastuusta tietojen eteenpäin luovuttamisessa. Säännös vastaa pääosin valtion eläkelain (1295/2006) 160 §:ää.

Julkisten alojen eläkelain 163 §:ssä säädetään tietojen luovuttamisesta teknisen käyttöyhteyden avulla. Säännös vastaa pääosin valtion eläkelain (1295/2006) 161 §:ää.

Pykälän 3 momentin viittaus korjattaisiin edellä mainittuihin julkisten alojen eläkelain säännöksiin.

1.11 Laki verotustietojen julkisuudesta ja salassapidosta

12 §. Tietojen saajaa koskevat velvoitteet. Verotustietojen julkisuudesta ja salassapidosta annetun lain 12 § ehdotetaan kumottavaksi. Säännös voidaan kumota kokonaan, koska säännöksessä mainitut velvoitteet sitovat tiedonsaajia suoraan yleislainsäädännön nojalla. Viranomaisten toiminnan julkisuudesta annetun lain 22 §:ssä ja 23 §:ssä säädetään asiakirjajulkisuudesta, vaitiolovelvollisuudesta sekä tietojen hyväksikäyttökiellosta. Tietojen käyttötarkoitussidonnaisuudesta säädetään henkilötietolain (523/1999) 7 §:ssä ja Euroopan unionin yleisen tietosuoja-asetuksen (EU) 2016/679 henkilötietojen käsittelyn periaatteita koskevassa 5 artiklassa. Eduskunnassa käsiteltävänä oleva tietosuojalaki (HE 9/2018 vp) laajentaa tietosuoja-asetuksen soveltamisen myös henkilötietojen käsittelyyn sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan eli verotuksessa kaikkiin verolajeihin. Pykälästä poistettaisiin erilliset säännökset tietojen luovuttamisesta teknisen käyttöyhteyden avulla, koska yleiset säännökset tietojen luovuttamisen tavoista sisältyisivät vastaisuudessa julkisen hallinnon tiedonhallinnasta annettuun lakiin.

14 §. Tietojen antaminen kunnalle. Pykälän 3 momentin kumoamisella poistettaisiin erillinen säännös tietojen luovuttamisesta teknisen käyttöyhteyden avulla tai muutoin sähköisesti. Yleiset säännökset tietojen luovuttamisen tavoista sisältyisivät vastaisuudessa julkisen hallinnon tiedonhallinnasta annettuun lakiin.

17 §. Tietojen antaminen ennakonpidätyksen toimittamista varten. Pykälän 3 momentin kumoamisella poistettaisiin erillinen säännös tietojen luovuttamisesta teknisen käyttöyhteyden avulla. Yleiset säännökset tietojen luovuttamisen tavoista sisältyisivät vastaisuudessa julkisen hallinnon tiedonhallinnasta annettuun lakiin.

17 a §. Tietojen antaminen veronumerosta. Pykälän 2 momentin kumoamisella poistettaisiin erillinen säännös tietojen luovuttamisesta teknisen käyttöyhteyden avulla tai muutoin sähköisesti. Yleiset säännökset tietojen luovuttamisen tavoista sisältyisivät vastaisuudessa julkisen hallinnon tiedonhallinnasta annettuun lakiin.

19 §. Tietojen antaminen syyttäjä- ja esitutkintaviranomaisille. Pykälän 3 kohdasta poistettaisiin erilliset säännökset tietojen luovuttamisesta teknisen käyttöyhteyden avulla. Yleiset säännökset tietojen luovuttamisen tavoista sisältyisivät vastaisuudessa julkisen hallinnon tiedonhallinnasta annettuun lakiin.

20 §. Tietojen antaminen eräille viranomaisille. Pykälän 1 ja 3 kohdasta poistettaisiin erilliset säännökset tietojen luovuttamisesta teknisen käyttöyhteyden avulla. Yleiset säännökset tietojen luovuttamisen tavoista sisältyisivät vastaisuudessa julkisen hallinnon tiedonhallinnasta annettuun lakiin.

20 e §. Verovelkarekisterin tietojen antaminen tilaajalle ja hankintayksikölle. Pykälän 3 momentin kumoamisella poistettaisiin erillinen säännös tietojen luovuttamisesta teknisen käyttöyhteyden avulla. Yleiset säännökset tietojen sähköisen luovuttamisen tavoista sisältyisivät jatkossa julkisen hallinnon tiedonhallinnasta annettuun lakiin.

1.12 Laki yksityisestä huvialuksesta suoritettavasta polttoainemaksusta

15 §. Oikeus tietojen saantiin liikenneasioiden rekisteristä. Pykälästä poistettaisiin erillinen säännös tietojen luovuttamisesta teknisen käyttöyhteyden avulla tai muutoin sähköisesti. Yleiset säännökset tietojen luovuttamisen tavoista sisältyisivät vastaisuudessa julkisen hallinnon tiedonhallinnasta annettuun lakiin.

1.13 Laki Finanssivalvonnasta

20 b §. Oikeus saada tietoja viranomaisilta ja julkista tehtävää hoitavalta. Pykälän 4 momentista poistettaisiin viittaus tekniseen käyttöyhteyteen ja sähköiseen luovuttamiseen luovuttamisen tapana, koska luovutustapaan sovelletaan viranomaisten toiminnan julkisuudesta annetun lain 16 §:ää ja julkisen hallinnon tiedonhallinnasta annettavaa lakia.

1.14 Laki väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista

22 §. Muiden viranomaisten toimivalta. Pykälän 7 momentista poistettaisiin sen viimeinen virke, jonka mukaan Väestörekisterikeskus voi antaa kunnalle oikeuden käyttää teknisen käyttöyhteyden avulla väestötietojärjestelmään talletettuja rakennushankkeita, rakennuksia ja huoneistoja koskevia tietoja rekisterinpitoa koskevan tehtävän hoitamiseksi. Kunta voi käyttää tietoja tässä tehtävässä viranomaisena yleisten tiedonluovutussäännösten nojalla. Säännös teknisestä käyttöyhteydestä olisi jatkossa tarpeeton, koska tiedon luovuttamisen tavoista säädettäisiin julkisen hallinnon tiedonhallinnasta annettavassa laissa.

26 §. Tietojen ilmoittaminen. Pykälän 1 momentissa korvattaisiin teknisen käyttöyhteyden käsite termillä rajapinta. Lisäksi momenttia muutettaisiin niin, että ilmoittamista koskevan luvan edellytyksenä olisi selvitys tietojen suojauksesta vain silloin, kun ilmoittajaan ei sovelleta julkisen hallinnon tiedonhallinnasta annettavaa lakia.

44 §. Selvitys tietojen käytöstä ja suojauksesta. Pykälässä säädettäisiin edelleen tietojen käytöstä ja suojauksesta annettavasta selvityksestä. Säännös selvityksen tavasta siirrettäisiin pykälän 2 momentista osaksi sen 1 momenttia. Säännökset tilanteista, joissa selvitys on vaadittava, pysyisivät ennallaan, mutta ne sisältyisivät vastaisuudessa pykälän 2 momenttiin. Lisäksi teknisen käyttöyhteyden sijaan säännöksissä viitattaisiin rajapinnan avulla tai katseluyhteyksin tehtävään tietojen luovuttamiseen. Uudessa 3 momentissa säädettäisiin poikkeuksesta 2 momenttiin. Poikkeuksen mukaan selvitystä ei vaadita käyttäjältä, jonka tietojen käsittely kuuluu julkisen hallinnon tiedonhallinnasta annettavan lain soveltamisalaan. Julkisen hallinnon tiedonhallinnasta annettava laki sisältää yleiset säännökset tietojen suojauksesta, eikä suojauksen tasoa ole tältä osin tarpeen selvittää luovutuksen yhteydessä.

46 §. Tietojen luovuttamisen tavat ja keinot. Pykälän 1 momentista poistettaisiin erilliset säännökset tietojen luovuttamisesta teknisen käyttöyhteyden avulla. Yleiset säännökset tietojen luovuttamisen tavoista sisältyisivät vastaisuudessa julkisen hallinnon tiedonhallinnasta annettavaan lakiin. Pykälän 1 momenttiin lisättäisiin viittaus yleislakiin ja lisäksi siinä säilytettäisiin asetuksenantovaltuutus, jonka nojalla voidaan antaa tarkempia säännöksiä todistuksista ja otteista.

47 §. Tietojen luovuttamisesta päättävä viranomainen. Pykälän 1 momentissa korvattaisiin teknisen käyttöyhteyden käsite. Sen sijaan viitattaisiin rajapinnan tai katseluyhteyksien avulla tapahtuvaan tietojen luovuttamiseen.

49 §. Muu luovutustoimivalta. Pykälän 2 momentissa muutettaisiin sen ensimmäinen virke. Muutos seuraa 44 §:stä, joka ei enää edellyttäisi selvitystä kaikilta toimijoilta. Tästä johtuen selvityksen antaminen ei enää olisi ehdoton edellytys myöskään sopimukselle tietojen luovuttamisesta. Pykälän sanamuotoa muutettaisiin niin, että tietojen luovuttajaan sovelletaan, mitä 44 §:ssä säädetään tietojen vastaanottajasta. Väestörekisterikeskuksen ei olisi mahdollista tehdä sopimusta, jos luovuttajalta 44 §:n nojalla edellytetään selvitystä, mutta riittävää selvitystä ei ole saatu.

53 §. Käyttäjärekisteri. Pykälän 1 momentin johdantokappaleessa korvattaisiin teknisen käyttöyhteyden käsite. Sen sijaan viitattaisiin rajapinnan tai katseluyhteyksien avulla tapahtuvaan tietojen käsittelyyn.

56 §. Lokirekisteri. Pykälän 1 momentin johdantokappaleessa korvattaisiin teknisen käyttöyhteyden käsite. Sen sijaan viitattaisiin rajapinnan tai katseluyhteyksien avulla tapahtuvaan tietojen käsittelyyn.

73 §. Tietojärjestelmien käytettävyys. Pykälä ehdotetaan kumottavaksi tarpeettomana. Pykälän ensimmäisen virkkeen kattamat asiat sisältyvät esitettävään lakiin julkisen hallinnon tiedonhallinnasta ja tästä aiheutuisi päällekkäisyyttä. Pykälän toinen virke koskien valtion kustannusvastuuta voidaan myös kumota, koska kustannusvastuu on valtiolla ja määräytyy valtion talousarvion ja maksuperustelain (150/1992) mukaisesti. Kustannusvastuuseen liittyvästä sääntelystä luovutaan erityislainsäädännössä tarpeettomana.

1.15 Valmisteverotuslaki

4 a §. Tietojenvaihto Tullin ja Verohallinnon välillä. Pykälästä poistettaisiin erillinen säännös tietojen luovuttamisesta teknisen käyttöyhteyden avulla tai muutoin sähköisesti kumoamalla 4 momentti. Yleiset säännökset tietojen luovuttamisen tavoista sisältyisivät vastaisuudessa julkisen hallinnon tiedonhallinnasta annettuun lakiin.

1.16 Laki Harmaan talouden selvitysyksiköstä

8 §. Tietojen maksuttomuus ja tekninen käyttöyhteys. Pykälästä poistettaisiin erillinen säännös tietojen luovuttamisesta teknisen käyttöyhteyden avulla. Yleiset säännökset tietojen luovuttamisen tavoista sisältyisivät vastaisuudessa julkisen hallinnon tiedonhallinnasta annettuun lakiin.

1.17 Sijoituspalvelulaki

7 luku Sijoituspalveluyrityksen toiminnan järjestäminen

6 §. Sidonnaisasiamies. Pykälän 5 momentista poistettaisiin viittaus tekniseen käyttöyhteyteen ja sähköiseen luovuttamiseen luovuttamisen tapana, koska luovutustapaan sovelletaan viranomaisten toiminnan julkisuudesta annettua lakia ja julkisen hallinnon tiedonhallinnasta annettua lakia. Momentissa säädettäisiin edelleen poikkeuksesta viranomaisten toiminnan julkisuudesta annetun lain 16 §:ään luonnollista henkilöä koskevien tietojen luovuttamisen osalta.

1.18 Laki valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä

1 §. Lain tarkoitus ja soveltamisala. Pykälän 2 momenttia ehdotetaan muutettavaksi siten, että viittaus julkisen hallinnon tietohallinnon ohjauksesta annettuun lakiin poistettaisiin ja muutettaisiin viittaukseksi lakiin julkisen hallinnon tiedonhallinnasta. Laki julkisen hallinnon tiedonhallinnasta olisi yleislaki suhteessa valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä annettuun lakiin.

4 §. Yhteisten palvelujen ohjaus. Pykälässä säädetään valtiovarainministeriön vastuista ja tehtävistä laissa tarkoitetun toimintakokonaisuuden ohjauksessa. Pykälästä ehdotetaan poistettavaksi tarpeettomana viittaus julkisen hallinnon tietohallinnon ohjauksesta annettuun lakiin, sillä laki ehdotetaan kumottavaksi. Valtiovarainministeriön tehtävänä olisi edelleen ohjata valtion tieto- ja viestintäteknisten palvelujen kokonaisarkkitehtuurin mukaisuutta osana muuta ohjausta.

1.19 Laki julkisen hallinnon turvallisuusverkkotoiminnasta

1 §. Lain tarkoitus ja soveltamisala. Pykälän 4 momenttia ehdotetaan muutettavaksi siten, että viittaus julkisen hallinnon tietohallinnon ohjauksesta annettuun lakiin poistettaisiin ja muutettaisiin viittaukseksi lakiin julkisen hallinnon tiedonhallinnasta. Laki julkisen hallinnon tiedonhallinnasta olisi yleislaki suhteessa julkisen hallinnon turvallisuusverkkotoiminnasta annettuun lakiin.

1.20 Laki rikostorjunnasta Tullissa

6 §. Viittaussäännös tietojen luovuttamisesta. Pykälä sisältää viittaussäännöksen tietojen luovuttamisesta. Säännös sisältää julkisen hallinnon tiedonhallinnasta annettavan lain kanssa yhteensopimattoman viittauksen siitä, että Tullin henkilörekisteriin talletettujen tietojen luovuttamisesta muille viranomaisille teknisen käyttöyhteyden avulla tai konekielisessä muodossa säädetään henkilötietojen käsittelystä Tullissa annetussa laissa. Tämä viittaus esitetään poistettavaksi. Säännös sisältää myös viittauksen, että Tullin henkilörekisteriin talletettujen henkilötietojen ulkomaille luovuttamisesta säädetään viitatussa laissa. Tämäkin viittaus, jolla on pelkästään informatiivinen merkitys voidaan poistaa, ottaen huomioon, että EU:n uuden tietosuojalainsäädännön toimeenpanemiseksi esitetyssä lainsäädännössä Tullin rikostorjuntatehtävissä käsiteltävien henkilötietojen luovuttamisesta ulkomaille säädettäisiin sekä henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa laissa että henkilötietojen käsittelystä Tullissa annetussa laissa.

1.21 Laki hallinnon yhteisistä sähköisen asioinnin tukipalveluista

1 §. Lain tarkoitus ja soveltamisala. Pykälän 4 momentti kumotaan, koska julkisen hallinnon tietohallinnon ohjauksesta annettu laki kumotaan. Kumottava momentti on informatiivinen säännös kumottavaan lakiin. Tämän johdosta pykälän 3 momenttia muutettaisiin siten, että lisättäisiin viittaus julkisen hallinnon tiedonhallinnasta annetun lain soveltamisesta yleislakina koskien tiedonhallintaa ja tietojärjestelmien käyttöä. Toisin kuin kumottava 4 momentin säännös viittaus julkisen hallinnon tiedonhallinnasta annettuun lakiin ei olisi vain informatiivinen viittaus. Lisäksi pykälän 3 momentin viittaukset henkilötietolakiin ja tietoyhteiskuntakaareen muutettaisiin viittauksiksi yleiseen tietosuoja-asetukseen, tietosuojalakiin ja tietoyhteiskuntakaaren nimenmuutoksesta johtuen sähköisen viestinnän palveluista annettuun lakiin. Informatiivinen viittaus tietosuoja-asetukseen ehdotetaan sisällytettäväksi lakiin, koska tukipalvelutuotannossa käsitellään sekä viestinnän välitystietoja että muita henkilötietoja ja tukipalvelulaki sisältää näiden tietojen käsittelyä koskevia erityissäännöksiä. Laissa viitataan myös henkilö- ja muiden tietojen käsittelyn osalta julkisuuslakiin. Lakiviittausten johdonmukaisuuden vuoksi on syytä viitata sekä välitystietojen että henkilötietojen käsittelyn yleislakeihin kattavasti.

9 §. Palvelutuotannossa säännönmukaisesti hyödynnettävät tietolähteet. Pykälän johdantokappaleesta poistettaisiin viittaus tekniseen käyttöyhteyteen luovuttamisen tapana, koska luovuttamiseen sovellettaisiin jatkossa ehdotetun julkisen hallinnon tiedonhallinnasta annetun lain säädöksiä.

12 §. Tietojen käsittely palvelutuotannossa. Pykälän 6 momentti kumotaan, koska teknisestä käyttöyhteydestä luovuttamisen tapana ei ole tarpeen säätää enää erikseen. Luovuttamiseen sovellettaisiin jatkossa julkisen hallinnon tiedonhallinnasta annetun lain säädöksiä.

13 §. Palvelutuotannossa käsiteltävien tietojen säilyttäminen. Pykälän 5 momentti kumotaan tarpeettomana, koska säännös on ollut informatiivinen ja arkistoinnista säädetään yleisessä tietosuoja-asetuksessa ja tietosuojalaissa sekä siltä osin kuin tietosuoja-asetuksessa tai tietosuojalaissa ei ole säädetty arkistoinnista, sovelletaan arkistolaissa ja muissa kansallisissa laeissa säädettyjä säännöksiä arkistoinnista ja arkistonmuodostuksesta.

14 §. Palvelutuotannossa käsiteltävien tietojen luovuttaminen. Pykälän 3 momentti kumotaan, koska teknisestä käyttöyhteydestä luovuttamisen tapana ei ole tarpeen säätää enää erikseen. Luovuttamiseen sovellettaisiin jatkossa julkisen hallinnon tiedonhallinnasta annetun lain säädöksiä.

15 §. Tietojen käsittely käyttäjäorganisaatiossa. Pykälän 2 momentista poistettaisiin viittaus tekniseen käyttöyhteyteen luovuttamisen tapana, koska luovuttamiseen sovellettaisiin jatkossa julkisen hallinnon tiedonhallinnasta annetun lain säädöksiä.

16 §. Tukipalvelujen laatu- ja tietoturvallisuusvaatimukset. Pykälän 2 momentin viittaus henkilötietolain 32 §:ään muutettaisiin viittaukseksi yleiseen tietosuoja-asetukseen ja tietosuojalakiin.

22 §. Yleinen ohjaus. Pykälässä säädetään valtiovarainministeriön vastuista ja tehtävistä laissa tarkoitettujen palvelujen ohjauksessa. Pykälän 1 momentista ehdotetaan poistettavaksi tarpeettomana viittaus julkisen hallinnon tietohallinnon ohjauksesta annettuun lakiin, sillä laki ehdotetaan kumottavaksi. Valtiovarainministeriön tehtävänä olisi edelleen ohjata laissa tarkoitettujen tukipalvelujen yhteentoimivuutta ja kokonaisarkkitehtuurin mukaisuutta.

1.22 Laki joukkolainanhaltijoiden edustajasta

21 §. Tietojen saatavilla pitäminen. Pykälän 2 momentista poistettaisiin viittaus tekniseen käyttöyhteyteen ja sähköiseen luovuttamiseen luovuttamisen tapana, koska luovutustapaan sovelletaan viranomaisten toiminnan julkisuudesta annetun lain 16 §:ää ja julkisen hallinnon tiedonhallinnasta annettua lakia.

1.23 Laki meriliikenteessä käytettävien alusten kilpailukyvyn parantamisesta

17 §. Tukiviranomaisen tiedonsaantioikeus. Pykälän 2 momentti esitetään kumottavaksi. Koska viranomaisen velvollisuudesta tietojen luovuttamiseen teknisen rajapinnan avulla viranomaisten välillä säädettäisiin julkisen hallinnon tiedonhallinnasta annettavan lain 22 §:ssä, miehistötukilain 17 § 2 momentti olisi tarpeeton. Muutos merkitsee, että julkisen hallinnon tiedonhallinnasta annettavan lain 22 §:n mukainen velvollisuus teknisen rajapinnan käyttöön suoraan lain nojalla koskisi kaikkia viranomaisia eli muun muassa Verohallintoa, Tullia ja Liikenne- ja viestintävirastoa.

23 §. Tietojen käsittely. Pykälän 1 momentin viittaukset muuhun lainsäädäntöön muutetaan vastaamaan voimassaolevaa ja esitettyä lainsäädäntöä muuttamalla viittaus henkilötietolakiin viittaukseksi yleiseen tietosuojalakiin ja lisäämällä viittaus julkisen hallinnon tiedonhallinnasta annettavaan lakiin. Viittaus viranomaisten toiminnan julkisuudesta annettavaan lakiin säilyy pykälässä.

Maininta tietojen luovuttamisen tavasta muutetaan vastaamaan julkisen hallinnon tiedonhallinnasta annettua lakia muuttamalla pykälän maininta teknisestä käyttöyhteydestä tekniseksi rajapinnaksi. Pykälän tarkoittama aiempi sanamuoto tämän lain tarkoittamista tiedoista muutetaan lisäämällä tarkennus siitä, että kyseessä ovat hakijan, Merimieseläkekassan ja vakuutusyhtiön tiedot. Pykälässä säilytetään säännös siitä, että tietojen toimittaminen edellyttää, että osapuolet sopivat ennalta tietojen toimittamistavasta.

29 §. Ilmoitukset ja tiedonannot. Pykälän 5 momenttiin lisättäisiin viittaus julkisen hallinnon tiedonhallinnasta annettuun lakiin.

1.24 Laki ajoneuvojen katsastustoiminnasta

27 §. Katsastusasiakirjojen säilyttäminen ja luovuttaminen. Pykälässä säädetään rekisteröinti-, muutos- ja kytkentäkatsastuksia koskevien todistusten ja muiden asiakirjojen säilyttämisestä Liikenne- ja viestintävirastossa ja niiden luovuttamisesta salassapitosäännösten estämättä muille katsastustoimipaikoille katsastustoimintaa varten teknisellä käyttöyhteydellä. Ajoneuvot hyväksytään liikenteeseen muun muassa rekisteröinti-, muutos- ja kytkentäkatsastuksia koskevien todistusten ja muiden asiakirjojen perusteella ja ne sisältävät ajoneuvon teknisiä tietoja. Ajoneuvoja koskevat tiedot ovat tarpeellisia esimerkiksi ajoneuvon myöhempää määräaikaiskatsastusta varten, minkä vuoksi niitä on tarpeen luovuttaa näitä tarkoituksia varten muille katsastustoimipaikoille.

Ajoneuvon katsastuksessa on kyse perustuslain 124 §:ssä tarkoitetusta julkisesta hallintotehtävästä, koska katsastuksessa ajoneuvo voidaan ajoneuvolain mukaan hyväksyä tai hylätä sekä määrätä ajoneuvo ajokieltoon. Koska laissa julkisen hallinnon tiedonhallinnasta säädettäisiin julkista hallintotehtävää hoitavan ja viranomaisten välillä tapahtuvasta tietojen luovuttamisesta teknisen rajapinnan avulla sekä katseluyhteyden avaamisesta tietovarantoon, ehdotetaan maininta asiakirjojen luovuttamisesta teknisellä käyttöyhteydellä poistettavaksi säännöksestä tarpeettomana.

1.25 Laki ajoneuvojen yksittäishyväksynnän järjestämisestä

20 §. Asiakirjojen säilyttäminen ja luovuttaminen. Pykälässä säädetään yksittäishyväksynnän myöntäjän velvollisuudesta toimittaa yksittäishyväksynnän myöntämistä koskevat asiakirjat Liikenne- ja viestintävirastolle, joka saa luovuttaa niitä salassapitosäännösten estämättä teknisellä käyttöyhteydellä muun muassa ajoneuvojen katsastustehtävän hoitamiseksi. Säännöksestä poistettaisiin tarpeettomana maininta asiakirjojen luovuttamisesta teknisellä käyttöyhteydellä, koska luovuttamiseen sovellettaisiin julkisen hallinnon tiedonhallinnasta annettun lain viranomaisten välistä tietojen luovuttamisesta teknisen rajapinnan avulla sekä katseluyhteyden avaamista tietovarantoon viranomaiselle koskevia säännöksiä. Yksittäishyväksynnän myöntäjät ja ajoneuvojen katsastus- tai rekisteröintitehtäviä suorittavat ovat muita kuin viranomaisia, mutta ne suorittavat pykälässä tarkoitetuissa tehtävissä perustuslain 124 §:ssä tarkoitettua julkista hallintotehtävää.

28 §. Liikenne- ja viestintäviraston tiedonsaantioikeus ja oikeus tietojen edelleen luovuttamiseen. Pykälän säännöstä Liikenne- ja viestintäviraston oikeudesta saada tietoja rikosrekisteristä muutettaisiin siten, ettei siinä mainittaisi teknistä käyttöyhteyttä tietojen luovuttamisen tapana, koska luovuttamiseen sovellettaisiin jatkossa julkisen hallinnon tiedonhallinnasta annettun lain viranomaisten välistä tietojen luovuttamisesta teknisen rajapinnan avulla sekä katseluyhteyden avaamista tietovarantoon viranomaiselle koskevia säännöksiä.

1.26 Kansanterveyslaki

13 h §. Säännös ehdotetaan kumottavaksi tarpeettomana, koska säännökset tietojen luovuttamisesta teknisten rajapintojen ja katseluyhteyksien avulla viranomaisten välillä sisältyy lakiin julkisen hallinnon tiedonhallinnasta. Tämän myötä viranomaisten välisestä tekniseen käyttöyhteyteen liittyvästä sääntelystä luovutaan erityislainsäädännössä tarpeettomana.

1.27 Lääkelaki

30 e §. Pykälän 3 momentin kaksi viimeistä virkettä, jotka koskevat tietojen luovuttamista teknisten käyttöyhteyden avulla sekä tietojen suojausta luovutuksen yhteydessä, ehdotetaan kumottavaksi. Tietojen luovuttamisesta teknisten rajapintojen ja katseluyhteyksien avulla viranomaisten välillä säädetään laissa julkisen hallinnon tiedonhallinnasta. Tämän myötä viranomaisten välisestä tekniseen käyttöyhteyteen liittyvästä sääntelystä luovutaan erityislainsäädännössä tarpeettomana.

89 b §. Pykälän 2 momentin viimeinen virke tietojen luovutuksesta teknisen käyttöyhteyden avulla tai muutoin sähköisesti ehdotetaan kumottavaksi, koska tietojen luovuttamisesta teknisten rajapintojen ja katseluyhteyksien avulla viranomaisten välillä säädetään laissa julkisen hallinnon tiedonhallinnasta. Tämän myötä viranomaisten välisestä tekniseen käyttöyhteyteen liittyvästä sääntelystä luovutaan erityislainsäädännössä tarpeettomana.

1.28 Laki yksityisestä terveydenhuollosta

14 b §. Tietojen luovuttaminen yksityisten palvelujen antajien rekisteristä ja niiden julkisuus. Säännös ehdotetaan muutettavaksi, koska tietojen luovuttamisesta teknisten rajapintojen ja katseluyhteyksien avulla viranomaisten välillä säädetään laissa julkisen hallinnon tiedonhallinnasta. Tämän myötä viranomaisten välisestä tekniseen käyttöyhteyteen liittyvästä sääntelystä luovutaan erityislainsäädännössä tarpeettomana.

1.29 Laki toimeentulotuesta

14 h §. Kansaneläkelaitoksen oikeus luovuttaa Terveyden ja hyvinvoinnin laitokselle tilastoinnin kannalta välttämättömiä tietoja. Säännös ehdotetaan muutettavaksi, koska tietojen luovuttamisesta teknisten rajapintojen ja katseluyhteyksien avulla viranomaisten välillä säädetään laissa julkisen hallinnon tiedonhallinnasta. Tämän myötä viranomaisten välisestä tekniseen käyttöyhteyteen liittyvästä sääntelystä luovutaan erityislainsäädännössä tarpeettomana.

18 b §. Tietojen luovuttaminen. Säännös ehdotetaan muutettavaksi, koska tietojen luovuttamisesta teknisten rajapintojen ja katseluyhteyksien avulla viranomaisten välillä säädetään laissa julkisen hallinnon tiedonhallinnasta. Tämän myötä viranomaisten välisestä tekniseen käyttöyhteyteen liittyvästä sääntelystä luovutaan erityislainsäädännössä tarpeettomana.

18 d §. Salassa pidettävien tietojen luovuttaminen Kansaneläkelaitoksen sekä apteekkien ja lääkkeellisen hapen toimittajien välillä. Pykälän 3 momentti ehdotetaan muutettavaksi, koska tietojen luovuttamisesta teknisten rajapintojen ja katseluyhteyksien avulla viranomaisten välillä säädetään laissa julkisen hallinnon tiedonhallinnasta. Tämän myötä viranomaisten välisestä tekniseen käyttöyhteyteen liittyvästä sääntelystä luovutaan erityislainsäädännössä tarpeettomana.

18 e §. Salassa pidettävien tietojen luovuttaminen Kansaneläkelaitoksen ja vuokranantajien välillä. Pykälän 2 momentti ehdotetaan muutettavaksi, koska tietojen luovuttamisesta teknisten rajapintojen ja katseluyhteyksien avulla viranomaisten välillä säädetään laissa julkisen hallinnon tiedonhallinnasta. Tämän myötä viranomaisten välisestä tekniseen käyttöyhteyteen liittyvästä sääntelystä luovutaan erityislainsäädännössä tarpeettomana.

1.30 Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista

14 §. Asiakirjasalaisuus. Pykälän 2 momenttia ehdotetaan muutettavaksi, koska tietojen luovuttamisesta teknisten rajapintojen ja katseluyhteyksien avulla viranomaisten välillä säädetään laissa julkisen hallinnon tiedonhallinnasta. Tämän myötä viranomaisten välisestä tekniseen käyttöyhteyteen liittyvästä sääntelystä luovutaan erityislainsäädännössä tarpeettomana.

21 §. Tietojen luovuttaminen. Säännös ehdotetaan muutettavaksi, koska tietojen luovuttamisesta teknisten rajapintojen ja katseluyhteyksien avulla viranomaisten välillä säädetään laissa julkisen hallinnon tiedonhallinnasta. Tämän myötä viranomaisten välisestä tekniseen käyttöyhteyteen liittyvästä sääntelystä luovutaan erityislainsäädännössä tarpeettomana.

1.31 Laki kuntouttavasta työtoiminnasta

27 §. Kansaneläkelaitoksen tietojenantovelvollisuus. Pykälän 2 momenttia ehdotetaan muutettavaksi, koska tietojen luovuttamisesta teknisten rajapintojen ja katseluyhteyksien avulla viranomaisten välillä säädetään laissa julkisen hallinnon tiedonhallinnasta. Tämän myötä viranomaisten välisestä tekniseen käyttöyhteyteen liittyvästä sääntelystä luovutaan erityislainsäädännössä tarpeettomana.

29 §. Tekninen käyttöyhteys. Säännös ehdotetaan kumottavaksi tarpeettomana, koska tietojen luovuttamisesta teknisten rajapintojen ja katseluyhteyksien avulla viranomaisten välillä säädetään laissa julkisen hallinnon tiedonhallinnasta. Tämän myötä viranomaisten välisestä tekniseen käyttöyhteyteen liittyvästä sääntelystä luovutaan erityislainsäädännössä tarpeettomana.

1.32 Laki sähköisestä lääkemääräyksestä

15 §. Tietojen luovuttaminen viranomaisille ja tieteelliseen tutkimukseen. Pykälän 1 ja 2 momenttia ehdotetaan muutettavaksi, koska tietojen luovuttamisesta teknisten rajapintojen ja katseluyhteyksien avulla viranomaisten välillä säädetään laissa julkisen hallinnon tiedonhallinnasta. Tämän myötä viranomaisten välisestä tekniseen käyttöyhteyteen liittyvästä sääntelystä luovutaan erityislainsäädännössä tarpeettomana.

1.33 Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä

14 §. Valtakunnalliset tietojärjestelmäpalvelut. Pykälän 3 momenttia ehdotetaan muutettavaksi, koska tietojen luovuttamisesta teknisten rajapintojen ja katseluyhteyksien avulla viranomaisten välillä säädetään laissa julkisen hallinnon tiedonhallinnasta. Tämän myötä viranomaisten välisestä tekniseen käyttöyhteyteen liittyvästä sääntelystä luovutaan erityislainsäädännössä tarpeettomana.

1.34 Laki yksityisistä sosiaalipalveluista

31 §. Tietojen luovuttaminen. Säännös ehdotetaan muutettavaksi, koska tietojen luovuttamisesta teknisten rajapintojen ja katseluyhteyksien avulla viranomaisten välillä säädetään laissa julkisen hallinnon tiedonhallinnasta. Tämän myötä viranomaisten välisestä tekniseen käyttöyhteyteen liittyvästä sääntelystä luovutaan erityislainsäädännössä tarpeettomana.

1.35 Laki eräistä asbestipurkutyötä koskevista vaatimuksista

13 §. Tietojen luovuttaminen, henkilötietojen käsittely ja rekisteröidyn oikeudet. Säännös ehdotetaan kumottavaksi tarpeettomana, koska tietojen luovuttamisesta teknisten rajapintojen ja katseluyhteyksien avulla viranomaisten välillä säädetään laissa julkisen hallinnon tiedonhallinnasta. Tämän myötä viranomaisten välisestä tekniseen käyttöyhteyteen liittyvästä sääntelystä luovutaan erityislainsäädännössä tarpeettomana.

1.36 Laki vankiterveydenhuollon yksiköstä

7 §. Oikeus saada tietoja muulta terveydenhuollon toimintayksiköltä ja muulta viranomaiselta. Pykälän 3 momenttia ehdotetaan muutettavaksi, koska tietojen luovuttamisesta teknisten rajapintojen ja katseluyhteyksien avulla viranomaisten välillä säädetään laissa julkisen hallinnon tiedonhallinnasta. Tämän myötä viranomaisten välisestä tekniseen käyttöyhteyteen liittyvästä sääntelystä luovutaan erityislainsäädännössä tarpeettomana.

1.37 Panostajalaki

23 §. Tietojen luovuttaminen, henkilötietojen käsittely ja rekisteröidyn oikeudet. Säännös ehdotetaan muutettavaksi, koska tietojen luovuttamisesta teknisten rajapintojen ja katseluyhteyksien avulla viranomaisten välillä säädetään laissa julkisen hallinnon tiedonhallinnasta. Tämän myötä viranomaisten välisestä tekniseen käyttöyhteyteen liittyvästä sääntelystä luovutaan erityislainsäädännössä tarpeettomana.

1.38 Tartuntatautilaki

25 §. Tiedonsaantioikeus vakavan epidemian torjumiseksi. Säännös ehdotetaan kumottavaksi tarpeettomana, koska tietojen luovuttamisesta teknisten rajapintojen ja katseluyhteyksien avulla viranomaisten välillä säädetään laissa julkisen hallinnon tiedonhallinnasta. Tämän myötä viranomaisten välisestä tekniseen käyttöyhteyteen liittyvästä sääntelystä luovutaan erityislainsäädännössä tarpeettomana.

41 §. Teknisen yhteyden käyttö rekisteritietojen luovutuksessa. Säännös ehdotetaan kumottavaksi tarpeettomana, koska tietojen luovuttamisesta teknisten rajapintojen ja katseluyhteyksien avulla viranomaisten välillä säädetään laissa julkisen hallinnon tiedonhallinnasta. Tämän myötä viranomaisten välisestä tekniseen käyttöyhteyteen liittyvästä sääntelystä luovutaan erityislainsäädännössä tarpeettomana.

51 §. Rokotusten vaikutusten seuraaminen ja haittavaikutusten tai niiden epäilyjen selvittäminen. Säännös ehdotetaan kumottavaksi tarpeettomana, koska tietojen luovuttamisesta teknisten rajapintojen ja katseluyhteyksien avulla viranomaisten välillä säädetään laissa julkisen hallinnon tiedonhallinnasta. Tämän myötä viranomaisten välisestä tekniseen käyttöyhteyteen liittyvästä sääntelystä luovutaan erityislainsäädännössä tarpeettomana.

53 §. Rokotteiden ja rokotusten haittavaikutusilmoitusten tallentaminen. Säännös ehdotetaan kumottavaksi tarpeettomana, koska tietojen luovuttamisesta teknisten rajapintojen ja katseluyhteyksien avulla viranomaisten välillä säädetään laissa julkisen hallinnon tiedonhallinnasta. Tämän myötä viranomaisten välisestä tekniseen käyttöyhteyteen liittyvästä sääntelystä luovutaan erityislainsäädännössä tarpeettomana.

1.39 Ympäristönsuojelulaki

222 §. Ympäristönsuojelun tietojärjestelmä. Voimassa olevassa ympäristönsuojelulain 222 §:n 5 momentissa säädetään tietojen luovuttamisesta ympäristönsuojelun tietojärjestelmästä. Kyse on viranomaisen henkilörekisteristä ja säännös sisältää julkisuuslakiin verrattuna täydentävää erityissääntelyä tietojen antotavoista eli siitä, miten tietoja voidaan luovuttaa tietojärjestelmästä. Nämä täydentävät erityissäännökset mahdollistavat sen, että tietoja voidaan tarvittaessa luovuttaa sekä viranomaisille että muille kuin viranomaisille julkisuuslaissa säädettyjen tietojen antotapojen lisäksi myös konekielisesti tai teknisen käyttöyhteyden avulla sekä muulla tarkoitukseen soveltuvalla turvallisella ja luotettavalla tavalla. Tällainen julkisuuslakia täydentävä sääntely on arvioitu tarpeelliseksi (HE 214/2013 vp) ensinnäkin sen vuoksi, että julkisuuslain säännökset tietojen antamisesta eivät välttämättä ole riittävät, jos kyse on esimerkiksi pykälän 4 momentissa tarkoitettujen viranomaistehtävien hoitamiseksi tarvittavista sähköisessä muodossa tehtävistä isoista tiedonsiirroista. Lisäksi säännöstä on pidetty tarpeellisena (HE 214/2013 vp) luovutettaessa tietoja julkisuuslaissa tarkoitetun tietoaineistojen tuottamista koskevan pyynnön perusteella. Uusi yleislaintasoinen julkisen hallinnon tiedonhallinnasta annettava laki sisältää säännökset tietojen luovuttamistavasta viranomaisille joko teknisen rajapinnan välityksellä tai katseluyhteyden avulla ja muille kuin viranomaisille teknisen rajapinnan välityksellä. Voimassa olevaan säännökseen sisältyvä erityissääntely korvattaisiin viittauksella mainittuun yleislakiin. Momenttiin ei olisi näin ollen tarpeen sisällyttää julkisuuslakiin ja julkisen hallinnon tiedonhallintaa koskevaan yleislakiin nähden täydentävää erityissääntelyä.

2 Voimaantulo

Lait ehdotetaan tulevan voimaan 1 päivänä syyskuuta 2019.

Julkisen hallinnon tiedonhallinnasta ehdotettu laki ja hallituksen esityksen muutettavaksi ehdotetut lait tulisivat voimaan samanaikaisesti. Julkisen hallinnon tiedonhallinnasta annetun lain 22—24 §:ssä säädetään tietojen ja tietoaineistojen luovuttamisesta teknisen rajapinnan avulla ja katseluyhteyden avaamisesta viranomaiselle. Näitä säännöksiä koskee julkisen hallinnon tiedonhallinnasta annetun lain 30 §:n 5 momentin siirtymäsäännös. Sen mukaan 22—24 §:n säännöksiä sovelletaan lain voimaantulon jälkeen hankittaviin tietojärjestelmiin. Ennen tämän lain voimaantuloa hankittuihin tietojärjestelmiin sovelletaan 22—24 §:ssä säädettyjä tietojen sähköistä luovutustapaa koskevia vaatimuksia päivitettäessä tietojärjestelmien teknisiä rajapintoja tai katseluyhteyksiä. Koska tekniset rajapinnat ja katseluyhteydet on toteutettava uuden lain vaatimusten mukaisiksi 48 kuukauden kuluessa, on lain voimaan tulon hetkellä voimassa olevia säännöksiä sovellettava siihen saakka, kunnes julkisen hallinnon tiedonhallinnasta annetun lain mukainen siirtymäaika on päättynyt. Voimassa olevia säännöksiä sovelletaan sellaisiin tietojärjestelmiin ja niiden välisiin teknisiin käyttöyhteyksiin, joita ei ole vielä toteutettu uuden lain mukaisiksi. Kun tekniset käyttöyhteydet on päivitetty vastaamaan uuden lain vaatimuksia, aletaan uuden lain 22—24 §:ää soveltamaan ehdotetun siirtymäsäännöksen perusteella. Muutettavien lakien voimaantulosäännöksiin on tästä syytä ehdotettu säädettäväksi, että kumottuja säännöksiä sovellettaisiin ennen kumoamista käytössä oleviin teknisiin käyttöyhteyksiin.

3 Suhde perustuslakiin ja säätämisjärjestys

Hallituksen esityksen tarkoituksena on edistää erityisesti perustuslain 12 §:n 2 momentissa säädetyn asiakirjajulkisuuden ja perustuslain 21 §:ssä säädettyjen hyvän hallinnon ja oikeusturvan vaatimusten toteuttamista tiedonhallinnassa. Hallituksen esityksellä olisi myös vaikutuksia henkilötietojen suojan toteuttamiseen viranomaistoiminnassa. Käytännössä henkilötietojen suojan ja ehdotettavan lain tarkoitukset ovat sidoksissa toisiinsa. Ehdotettavassa laissa säädettäisiin tietoaineistojen käsittelystä, johon kuuluisi kaikki viranomaisten asiakirjat. Sääntely kohdistuu siten muuhunkin kuin henkilötietoihin ja sääntelyn tarkoituksena on eri perusoikeuksien yhteensovittaminen viranomaisten tiedonhallinnassa. Kaiken kaikkiaan ehdotettavalla sääntelyllä varmistetaan asianmukaisen viranomaistoiminnan toteuttaminen tiedonhallinnassa, tiedon saatavuus oikeutettuihin käyttötarkoituksiin sähköisessä muodossa sekä yksilöiden ja yhteisöjen oikeusturvan toteuttaminen viranomaisten toiminnasta.

Henkilötietojen suoja

Perustuslakivaliokunta on korostanut, että siltä osin kuin Euroopan unionin lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä on otettava huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (PeVL 14/2018 vp, PeVL 1/2018 vp, PeVL 25/2005 vp). Perustuslakivaliokunta on painottanut, että hallituksen esityksessä on erityisesti perusoikeuksien kannalta merkityksellisen sääntelyn osalta syytä tehdä selkoa kansallisen liikkumavaran alasta (PeVL 14/2018 vp, PeVL 1/2018 vp, PeVL 26/2017 vp, PeVL 2/2017 vp, PeVL 44/2016 vp). Perustuslakivaliokunnan kannanoton mukaan kansallisen liikkumavaran käyttöön kohdistuvassa valtiosääntöisessä arvioinnissa ovat merkityksellisiä paitsi yksityiselämän ja henkilötietojen suojan asettamat sisällölliset vaatimukset myös muiden informaatioon liittyvien perusoikeuksien suojan suhde yksityiselämän ja henkilötietojen suojaan. Valtiosääntöisiä kysymyksiä liittyy myös esimerkiksi kansallista sääntelyä edellyttäviin asiakirjajulkisuuteen, oikeusturvaan ja hyvän hallinnon takeisiin.

Perustuslakivaliokunta on painottanut, että yksityiselämän ja henkilötietojen suoja tulee suhteuttaa toisiin perus- ja ihmisoikeuksiin sekä muihin painaviin yhteiskunnallisiin intresseihin, kuten esimerkiksi yleiseen turvallisuuteen liittyviin intresseihin, jotka voivat ääritapauksessa palautua henkilökohtaisen turvallisuuden perusoikeuteen (PeVL 5/1999 vp). Lainsäätäjän tulee turvata yksityiselämän ja henkilötietojen suoja tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Perustuslakivaliokunta on käytännössään kiinnittänyt erityistä huomiota perustuslain 12 §:n 2 momentissa turvatun asiakirjajulkisuuden suhteeseen yksityiselämän ja henkilötietojen suojaan (ks. esimerkiksi PeVL 43/1998 vp ja PeVL 60/2017 vp). Tällainen toisen perusoikeuden edistäminen on muodostanut sellaisen välttämättömän syyn, jonka vuoksi viranomaisen hallussa olevien asiakirjojen julkisuutta on ollut mahdollista perustuslain 12 §:n 2 momentin nojalla lailla erikseen rajoittaa (PeVL 2/2008 vp ja PeVL 40/2005 vp).

Perustuslakivaliokunta on painottanut, että yksityiselämän ja henkilötietojen suojalla ei ole etusijaa muihin perusoikeuksiin nähden. Arvioinnissa on kyse kahden tai useamman perusoikeussäännöksen yhteensovittamisesta ja punninnasta (PeVL 54/2014 vp ja PeVL 10/2014 vp). Valiokunta on korostanut erityisesti asiakirjajulkisuuden ja henkilötietojen suojan välistä tasapainoa (PeVL 22/2008 vp).

Hallituksen esityksessä on jouduttu yhteensovittamaan eri perusoikeuksia keskenään. Asiakirjajulkisuuden sekä oikeusturvan ja hyvän hallinnon takeiden toteuttamiseksi viranomaisten on järjestettävä asianmukainen tiedonhallinta varmistamaan jokaisen tiedonsaantioikeudet sekä etuja, oikeuksia ja velvollisuuksia määrittävien tietojen ajantasaisuus ja turvallinen käsittely. Viranomaisten asiankäsittelyn joutuisuusvaatimuksen toteuttaminen edellyttää asianmukaisia ja tehokkaita tiedonhallinnan menettelyitä ja välineitä. Tiedonhallinnan sääntelyssä joudutaan siten tilanteisiin, jossa sääntelyn perusteet ovat julkisuuden sekä oikeusturvan ja hyvän hallinnon takeiden toteuttamisesta, mutta sääntelykohteena on samat tiedot kuin sääntelyllä, joka perustuu henkilötietojen suojan toteuttamiseen. Ehdotettavassa sääntelyssä on pyritty varmistamaan, että tiedonhallinnan ja tietosuojan sääntely eivät ole ristiriidassa keskenään, vaan ne ovat sovitettavissa yhteen tavalla, joka ei aiheuta eri perusoikeuksien toteuttamisen kannalta ristiriitaisia tilanteita. Tiedonhallinnan sääntelyssä joudutaan menemään yksityiskohtaisemmalle tasolle kuin tietosuojan yleisessä sääntelyssä viranomaisten tiedonhallinnan menettelyjen yhdenmukaistamiseksi eri viranomaisten toiminnassa.

Ehdotettavan lain 5 §:ssä viitattaisiin tietosuoja-asetuksen 30 artiklassa säädettyyn käsittelytoimia koskevaan selosteeseen. Pykälässä ei toistettaisi käsittelytoimia koskevan selosteen sisältöä tai muutenkaan tietosuoja-asetuksen sääntelyä, vaan todettaisiin käsittelytoimia koskevaan selosteeseen sisällytettävät asiat olevan osa tiedonhallintamallia. Ehdotus olisi tarkoituksenmukainen, koska tiedonhallinnan suunnittelemiseksi tarvitaan kuvaukseen käsittelytoimia koskevan selosteen tiedot. Tietosuoja-asetuksessa ei ole säädetty käsittelytoimia koskevan selosteen muodosta, vaan velvollisuudesta ylläpitää sitä. Siten se on integroitavissa muuhun tiedonhallinnan yleiskuvaukseen, kunhan siitä on annettavissa tiedot valvontaviranomaiselle.

Hallituksen esityksen 1. lakiehdotuksen 4 luvussa olisi säädetty tietoturvallisuudesta. Sääntelyn tarkoituksena on varmistaa asiakirjojen asianmukainen käsittely, viranomaisten toiminnan asianmukainen turvaaminen, oikeusturvan ja siihen liittyvän valvonnan toteuttaminen muun muassa lokitietoja keräämällä. Sääntely vaikuttaa myös henkilötietojen käsittelyyn siltä osin kuin asiakirjoissa on henkilötietoja. Viranomaisten asiakirjojen käsittely liittyy tietosuoja-asetuksen 6 (1) artiklan c ja e alakohdissa tarkoitettuihin perusteisiin. Näiden käsittelyn perustasta olisi säädetty joko tietosuojalaissa tai erityislaeissa. Tietosuoja-asetuksen 6 (3) artikla mahdollistaa kansallisen sääntelyn 1 kohdan c ja e alakohtien perusteella tapahtuvaan henkilötietojen käsittelyyn muun muassa laillisen ja asianmukaisen tietojenkäsittelyn varmistamiseen tarkoitetuista toimenpiteistä. Tietoturvallisuutta koskevat säännökset ovat laillisen ja asianmukaisen tietojenkäsittelyn varmistamista koskevia toimenpiteitä niin henkilötietojen suojan, asiakirjajulkisuuden kuin hyvän hallinnon ja oikeusturvan toteuttamiseksi.

Hallituksen esityksen 1. lakiehdotuksen 17 §:ssä olisi säädetty lokitietojen keräämisestä, joka olisi pääsääntöisesti myös henkilötietojen käsittelyä. Lokitietojen keräämisen tarkoituksena on erilaisten virheselvittelyjen toteuttaminen siten, että tietojärjestelmissä olevat virheet voidaan viivytyksettä selvittää ja korjata, jotta viranomaisten tehtävien hoito ei vaarantuisi pitkäkestoisten virheselvittelyjen vuoksi. Lokitietoja kerätään myös tietojärjestelmien käytön valvonnan toteuttamiseksi sekä siihen liittyen yksilön etujen, oikeuksien ja velvollisuuksien toteuttamiseksi sekä virkavastuun todentamiseksi lokitietojen perusteella. Lokitietojen kerääminen ja käsittely perustuisi jatkossa viranomaisella olevan lakisääteisen velvoitteen noudattamiseen. Lokitietojen keräämiselle ja käsittelylle olisi siten yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan mukainen käsittelyperusteensa. Voimassa olevassa yleislainsäädännössä ei ole säädetty lokitietojen keräämisestä ja käsittelystä. Erityislaeissa on puolestaan säädetty joiltakin osin lokitietojen keräämisestä. Lokitietojen kerääminen olisi sidottu ehdotettavan 17 §:n perusteella tarveharkintaan siten, että ne kerättäisiin niistä tietojärjestelmistä, joissa lokitiedoille olisi tarve virheselvittelyjen toteuttamiseksi, virkavastuun todentamiseksi, etujen, oikeuksien ja velvollisuuksien toteuttamiseksi sekä tietojärjestelmän käyttäjien oikeusturvan varmistamiseksi. Lokitiedoilla voidaan todentaa jälkikäteen, mitä tietojärjestelmällä on tehty, kuka tietoja on käsitellyt ja kuka vastaa tietojärjestelmällä tehdyistä toimenpiteistä. Jos lokitietoja on tarpeellista käsitellä laajemmin, tulisi käsittelyn perustua johonkin toiseen säännökseen tai muuhun käsittelyn oikeusperusteeseen.

Ehdotettavan 1. lakiehdotuksen 18 §:ssä olisi säädetty turvallisuusluokiteltavien asiakirjojen käsittelystä. Pykälän sääntely perustuu osaltaan kansainvälisten tietoturvallisuusvelvoitteiden sekä kansainvälisissä sopimuksissa sitouduttujen menettelyjen toteuttamiseen. Ehdotettavat säännökset olisivat tietosuoja-asetuksen 6 (3) artiklassa tarkoitettuja kansallisen liikkumavaran mahdollistamia asianmukaisen ja laillisen käsittelyn varmistavia toimenpiteitä, joilla myös toteutetaan kansainvälisiä tietoturvallisuusvelvoitteita.

Lakiehdotuksen 5 luvussa olisi säädetty tietoaineistojen muodostamisesta sähköiseen muotoon sekä sähköisestä luovutustavasta. Luvussa olevat pykälät liittyvät tietoaineiston muotoon ja luovutustapaan. Lakiehdotuksen 20 §:ssä olisi säädetty viranomaisten tiedonkeruun vähentämisen perusteista ja hallinnon asiakkaan hallinnollisen taakan vähentämisestä. Pykälä on läheisessä suhteessa tietosuoja-asetuksessa säädettyyn henkilötietojen käsittelyn minimointivaatimukseen, mutta ehdotettava säännös koskee kaikkia tietoaineistoja, joita viranomaiset keräävät hallinnon asiakkailta oli asiakas sitten luonnollinen henkilö tai oikeushenkilö. Ehdotettavat sähköistä luovutustapaa koskevat pykälät tarkentavat tietojensaantioikeuksia koskevia säännöksiä luovutustavan osalta. Tietosuoja-asetuksen 86 artiklan mukaan viranomaiset taikka julkis- tai yksityisoikeudelliset yhteisöt yleisen edun vuoksi toteutetun tehtävän suorittamiseksi voivat luovuttaa viranomaisten tai yhteisöjen hallussa olevien virallisten asiakirjojen sisältämiä henkilötietoja viranomaiseen tai yhteisöön sovellettavan unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti, jotta voidaan sovittaa yhteen virallisten asiakirjojen julkisuus ja tietosuoja-asetuksen mukainen oikeus henkilötietojen suojaan. Siten lakiehdotuksen 22—24 pykälät sisältyvät tietosuoja-asetuksen 86 artiklan mahdollistamaan liikkumavaraan ja ne toteuttavat yhdessä julkisuuslain kanssa asiakirjajulkisuutta, mutta samalla ne sisältävät suojatoimia, joilla estetään rajoitukseton pääsy henkilötietoihin ja muihin tietoaineistoihin teknisten rajapintojen ja katseluyhteyksien avulla. Siten sääntely perustuu osittain myös tietosuoja-asetuksen 6 (3) artiklan mahdollistamaan liikkumavaraan asianmukaisen ja laillisen käsittelyn varmistamiseksi.

Lakiehdotuksen 21 §:ssä olisi säädetty tietojen säilytysaikojen määrittelyn perusteista. Sääntely on merkityksellinen siltä osin kuin tietoaineistoihin sisältyy henkilötietoja. Perustuslakivaliokunta on todennut vakiintuneesti, että henkilörekisterin säilytysajat kuuluvat niihin seikkoihin, joista on perustuslain 10 §:n 1 momentin mukaan säädettävä lailla (lähtien PeVL 14/1998 vp ja PeVL 25/1998 vp). Niin ikään perustuslakivaliokunta on todennut toistuvasti, ettei tietojen pysyvä säilyttäminen ole henkilötietojen suojan mukaista (PeVL 51/2002 vp ja PeVL 54/2010 vp). Kuitenkin, jos tähän on tietojärjestelmän luonteen tai tarkoituksen mukainen peruste, voidaan henkilötietoja säilyttää pysyvästi (PeVL 3/2009 vp ja PeVL 54/2010 vp). Perustuslakivaliokunta on tuoreimmassa lausuntokäytännössään todennut, ettei estettä ole sille, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla (PeVL 14/2018 vp, PeVL 2/2018 vp, PeVL 31/2017 vp, PeVL 5/2017 vp ja PeVL 38/2016 vp). Toisaalta perustuslakivaliokunta on katsonut, että erityisiin henkilötietoryhmiin kuuluvien tietojen mukaan lukien sosiaalihuollon asiakastiedot, tulisi säätää edelleen tarkemmin kuin muusta henkilötietojen käsittelystä (PeVL 14/2018 vp).

Ehdotuksen tarkoituksena on varmistaa hallinnon asiakkaiden etujen, oikeuksien ja velvollisuuksien todentaminen viranomaisten tietoaineistoista sekä muun muassa virkavastuun toteuttaminen todentamalla muun muassa, miten viranomainen on tehtävänsä hoitanut ja onko tehtävien hoitamisessa noudatettu tarkoin lakia, kuten perustuslain 2 §:n 3 momentissa edellytetään. Viranomaisten toiminnan yhteydessä syntyvistä tietoaineistoista voidaan todentaa sekä viranomaisten velvollisuuksien toteutuminen että hallinnon asiakkaiden edut, oikeudet ja velvollisuudet. Tietoaineistojen säilyttämisen perusteet on tästä syystä syytä säätää laissa. Sinällään henkilötietojen säilyttämisestä on säädetty yleisellä tasolla myös tietosuoja-asetuksessa, jonka mukaan rekisterinpitäjän on asetettava määräajat henkilötietojen poistoa tai niiden säilyttämisen tarpeellisuuden määräaikaistarkastelua varten, jotta voidaan varmistaa, ettei henkilötietoja säilytetä pidempään kuin on tarpeen. Ehdotettava sääntely ei ole ristiriidassa tietosuoja-asetuksessa säädetyn kanssa, koska laissa ei ole säädetty kenen vastuulla säilytysaikojen määritteleminen on, vaan 21 §:n 3 momentissa viitattaisiin tältä osin erikseen säädettyyn, jolla viitataan tietosuoja-asetukseen sen soveltamisalan osalta sekä muilta osin arkistolakiin, jonka mukaan asiakirjojen säilytysajat määrittelee arkistonmuodostaja. Kansallista arkistolakia voidaan soveltaa vain siltä osin kuin se ei ole ristiriidassa tietosuoja-asetuksen kanssa tai käsittelytoimet eivät kuulu tietosuoja-asetuksen soveltamisalaan. Viranomaiset rekisterinpitäjinä määrittelevät säilytettävien henkilötietojen säilytysajat ottaen huomioon tietojen minimointivaatimuksen sekä viranomaisten tietoaineistoihin kohdistuvat muut vaatimukset. Viime kädessä säilyttämisessä on kysymys siitä, että sillä varmistetaan asianmukainen ja laillinen asiakirjojen käsittely ja säilyminen viranomaisissa tietosuoja-asetuksen 6 (3) artiklan mahdollistaman liikkumavaran puitteissa. Lakiehdotuksen 21 §:n 1 momentin luettelossa esitetyt perusteet on otettava huomioon säilytysaikoja määriteltäessä. Luettelo ei ole tyhjentävä, vaan siinä on tuotu esille ne säilyttämiseen liittyvät perusteet, jotka lähtevät yksilön etujen, oikeuksien ja velvollisuuksien toteuttamisesta, viranomaisen oikeuksien ja velvollisuuksien toteuttamisesta sekä perustuslain 118 §:ssä säädetyn vastuun virkatoimista toteuttamiseksi. Käytännössä virkavastuun toteuttamisen ja todentamisen kannalta tärkeässä asemassa ovat viranomaiselle muodostuneet asiakirjat, joita hallinnoidaan tietovarannoissa. Siten sääntelyllä halutaan myös varmistaa, että virkavastuuseen liittyvät kysymykset voidaan asianmukaisesti todentaa viranomaisten asiakirjoista. Ehdotettavassa laissa ei säädettäisi arkistoinnista, vaan siitä säädetään erikseen. Tietosuoja-asetus koskee myös yleisen edun mukaista arkistointia silloin, kun käsiteltävät tiedot ovat elävää henkilöä koskevia tietoja. Arkistointia koskevan sääntelyn yhteensovittaminen tietosuoja-asetuksen kanssa ei kuulu ehdotettavaan 1. lakiehdotukseen.

Lakiehdotuksen 6 luvussa on ehdotettu säädettäväksi asiankäsittelyyn ja palvelujen tuottamiseen liittyvien metatietojen muodostamisesta julkisuusperiaatteen toteuttamista varten, hyvään hallintoon liittyvän joutuisuusvaatimuksen toteuttamisen seuraamiseksi sekä oikeusturvan varmistamiseksi asiankäsittelyssä. Asiankäsittelyn ja palveluntuotannon yhteydessä kerättävissä metatiedoissa on mukana myös joiltakin osin henkilötietoja. Sääntely perustuu tietosuoja-asetuksen 6 (3) artiklan mahdollistamaan liikkumavaraan asianmukaisen ja laillisen käsittelyn varmistamiseksi. Säännökset ovat välttämättömiä asiakirjajulkisuuden toteuttamiseksi sekä viranomaisissa asiankäsittelyn asianmukaisuuden varmistamiseksi ja viranomaisen sisäisen työnohjauksen toteuttamiseksi asianhallinnan ja palvelujen tiedonhallinnan avulla. Asianhallinnan avulla voidaan ohjata asiankäsittelyä sekä tasata automaattisesti viranomaisten eri toimipisteiden välisiä ruuhkia paikasta riippumatta. Tällä edistetään viivytyksetöntä asiankäsittelyä. Asianhallinnan tietojen avulla voidaan valvoa myös säädettyjen määräaikojen noudattamista asiankäsittelyssä.

Organisatorinen soveltaminen ja ohjaus

Hallituksen esityksen 1. lakiehdotuksen soveltamisala olisi laaja ja se koskisi pääosin samoja organisaatioita kuin viranomaisten toiminnan julkisuudesta annettu laki, joka on aikanaan säädetty perustuslakivaliokunnan myötävaikutuksella (PeVL 43/1998 vp).

Tiedonhallintalaki koskisi eduskunnan virastoja, eduskunnan ohjauksessa olevia julkisoikeudellisia laitoksia (Suomen Pankki ja Kansaneläkelaitos) sekä yliopistoja. Siten laki on merkityksellinen näiden organisaatioiden osalta perustuslain kannalta katsottuna. Perustuslain 76 §:n 1 momentin mukaan kirkkolaissa säädetään evankelis-luterilaisen kirkon järjestysmuodosta ja hallinnosta. Evankelis-luterilaiseen kirkkoon ei sovellettaisi 1. lakiehdotusta, vaan siinä olisi informatiivinen viittaussäännös kirkkolakiin. Evankelis-luterilaiseen kirkkoon sovelletaan kirkkolain perusteella viranomaisten toiminnan julki-suudesta annettua lakia. Evankelis-luterilaisen kirkon harkintaan ja lainsäädäntötoimien varaan jää, miltä osin tiedonhallintaa koskevia säännöksiä sovellettaisiin kirkkoon ja sen tiedonhallintaan kirkkolaissa säädetyllä tavalla. Evankelis-luterilainen kirkko hoitaa julkisia hallintotehtäviä ja saa tehtäviensä hoitamiseksi tietoja sekä luovuttaa tehtäviensä hoitamisen yhteydessä tietoja muun muassa valtion viranomaisille. Julkisten hallintotehtävien hoitaminen ja julkisuuslain mukaisen toiminnan järjestäminen liittyvät 1. lakiehdotuksen sisältöön.

Tiedonhallintalain 3 lukuun sisältyvät tiedonhallinnan ohjausta koskevat säännökset eivät tule sovellettavaksi eduskunnan virastoihin ja sääntelyssä on otettu huomioon perustuslakivaliokunnan kannanotto valtion viranomaisen ohjausvallan rajoituksista eduskunnan virastoihin (PeVL 46/2010 vp).

Lakiehdotuksessa esitetään sääntelyn kohdistuvan myös yliopistoihin, koska yliopistojen toimintaa sovelletaan julkisuuslakia. Ehdotus on siten merkityksellinen perustuslain 123 §:n 1 momentin kannalta katsottuna. Yliopistoilla on itsehallinto sen mukaan kuin lailla tarkemmin säädetään. Itsehallinnolla tarkoitetaan perustuslain esitöiden mukaan ennen kaikkea sitä, että yliopiston sisäisestä hallinnosta päättävät laissa säädetyin rajoituksin yliopiston omat, eivätkä valtion yleiset, hallintoviranomaiset (HE 7/2009 vp ja PeVL 11/2009 vp). Hallituksen esitys ei sisällä sellaisia ehdotuksia, joissa valtion hallintoviranomaiset voisivat vaikuttaa yliopistojen sisäiseen hallintoon, kuten tietohallinnon tai asiakirjahallinnon tehtävien toteuttamiseen. Valtiovarainministeriön toimivalta ohjata tietovarantojen yhteentoimivuutta ei ulotu yliopistoihin, koska lain 3 lukua ei sovelleta yliopistoihin. Tiedonhallintalautakunnan arviointitehtävään liittyvä toimivalta ei ulotu myöskään yliopistoihin, vaikka sinällään valtion viranomaisilla on oikeus erikseen säädettynä valvoa ja arvioida yliopistojen niiden lakisääteistä toimintaa. Laissa ei ole ehdotettu säädettäväksi asetuksenantovaltuuksista, jotka ulottuisivat yliopistojen toimintaan.

Tiedonhallintalaki koskisi myös eduskunnan ohjauksessa olevia itsenäisinä julkisoikeudellisina laitoksina toimivia Kansaneläkelaitosta ja Suomen Pankkia. Laissa ei ole ehdotettu säädettäväksi asetuksenantovaltuuksista tai muusta sellaisesta ohjauksesta, joka ulottuisi näihin eduskunnan ohjauksessa oleviin itsenäisiin julkisoikeudellisiin laitoksiin. Myöskään tiedonhallintalautakunnalla ei olisi toimivaltaa näihin tiedonhallintayksiköihin, vaikka lautakunnan jaostoissa voisikin olla myös näistä tiedonhallintayksiköistä asiantuntijoita. Perustuslakivaliokunta on edellyttänyt edellä esitettyjen tiedonhallintayksikköjen osalta, ettei valtionhallinnon viranomaisilla tulisi olla ohjaustoimivaltaa näihin organisaatioihin (PeVL 46/2010 vp), joten lakiehdotus täyttää nämä vaatimukset. Vaikka valtionviranomaisilla on monissa laeissa säädetty oikeuksia valvoa Kansaneläkelaitoksen ja Suomen Pankin toimintaa, ei tiedonhallintalautakunnalle ole säädetty näihin tiedonhallintayksiköihin arviointitehtävään liittyvää toimivaltaa, koska se on läheisessä suhteessa muuhun hallinnolliseen ohjaukseen.

Hallituksen esityksen 1. lakiehdotuksessa on myös huomioitu ylimpien laillisuusvalvojien perustuslaissa säädetty asema. Lain 3 luvussa olevat valtiovarainministeriön tai tiedonhallintalautakunnan ohjausta koskevia säännöksiä ei sovellettaisi eduskunnan oikeusasiamiehen eikä valtioneuvoston oikeuskanslerin toimintaan. Esityksessä on huomioitu perustuslakivaliokunnan kannanotto ylimpien laillisuusvalvojien asemasta (PeVL 14/2018 vp).

Tiedonhallintalakia sovellettaisiin myös lainkäyttöön. Tältä osin 1. lakiehdotus on merkityksellinen perustuslain 3 §:n 3 momentin kannalta katsottuna. Lakiehdotuksen soveltamista on rajoitettu tietyltä osin lainkäyttöön lähinnä sen toiminnan luonteen vuoksi. Valtiosääntöisestä syystä tiedonhallintalain 3 luvun säännöksiä ei sovellettaisi tuomioistuimien ja muiden lainkäyttöelimien toimintaan. Ohjaustoimivaltaa koskeva kysymys olisi siten rajoitettu entisestään siitä, mitä perustuslakivaliokunnan myötävaikutuksella säädetyssä tietohallintolaissa on säädetty valtiovarainministeriön ja muiden ministeriöiden toimivallasta suhteessa tuomioistuinten hallintotoimintaan. Siten valtion hallintoviranomaisilla ei olisi ohjaustoimivaltaa suhteessa tuomioistuimiin tiedonhallintalain perusteella. Sen sijaan ohjaustoimivaltaa voitaisiin käyttää niihin tietojärjestelmiin, joita tuomioistuimet käyttävät, koska järjestelmien tuottaminen ei kuulu tuomioistuimille, vaan pääosin Oikeusrekisterikeskukselle, jonka toimintaan tiedonhallintalakia sovellettaisiin samalla tavoin kuin muihinkin valtion tiedonhallintayksiköihin.

Perustuslain 120 §:n mukaan Ahvenanmaan maakunnalla on itsehallinto sen mukaan kuin Ahvenanmaan itsehallintolaissa erikseen säädetään. Perustuslain 75 §:n 1 momentin mukaan Ahvenanmaan itsehallintolain ja Ahvenanmaan maanhankintalain säätämisjärjestyksestä on voimassa, mitä siitä mainituissa laeissa erikseen säädetään. Ehdotettavaa 1. lakiehdotuksen mukaista lakia ei sovellettaisi Ahvenanmaan viranomaisiin, joten ehdotuksella ei olisi vaikutuksia Ahvenanmaan itsehallinnolliseen asemaan. Rajaava säännös vastaisi perustuslakivaliokunnan myötävaikutuksella säädetyn tietohallintolain soveltamisalaa koskevaa rajausta (PeVL 46/2010 vp).

Kunnallinen itsehallinto

Tiedonhallintalakia sovellettaisiin laajasti kuntiin, kuntayhtymiin ja maakuntiin. Kunnallisesta itsehallinnosta on säädetty perustuslain 121 §:ssä, jonka 2 momentin mukaan kuntien hallinnon yleisistä perusteista ja kunnille annettavista tehtävistä säädetään lailla. Perustuslakivaliokunnan kannanottojen mukaan tavallisella lailla ei voida puuttua itsehallinnon keskeisiin ominaispiirteisiin tavalla, joka asiallisesti ottaen tekisi itsehallinnon merkityksettömäksi (PeVL 37/2006 vp, PeVL 22/2006 vp ja PeVL 65/2002 vp). Hallituksen esityksen 1. lakiehdotuksessa ei ehdoteta säädettäväksi siitä, miten kunta järjestää hallintonsa lain velvoitteiden toteuttamiseksi, vaan kunta voi itse päättää, miten se organisoi tiedonhallintaan liittyvät tehtävät kuitenkin ottaen huomioon perustuslain 124 §:stä johtuvat rajoitteet. Laissa ei olisi säädetty siitä, miten kuntien tulisi järjestää tehtävät, jotka kuuluvat tietohallinnolle tai asiakirjahallinnolle. Kunnan johdon velvollisuutena on huolehtia tiedonhallinnan järjestämisen perusteista. Kunnanhallitus vastaa kunnan hallinnosta ja taloudenhoidosta, joten kunnanhallituksen tehtävänä on huolehtia tiedonhallinnan järjestämisestä kunnan hallinnossa ja palvelutuotannossa. Kuntalain (410/2015) 90 §:n mukaisesti kuntien asiakirjahallinnon järjestämisestä määrätään valtuuston hyväksymässä hallintosäännössä.

Ehdotettavalla lailla muutettaisiin niitä muodostuneita käytäntöjä, joissa valtion viranomaiset ovat tosiasiallisesti tietoturvallisuuteen liittyvillä perusteilla asettaneet kunnille lakiin perustumattomia uusia velvollisuuksia tietoturvallisuuden tai muun tiedonhallinnan toteuttamiseksi. Ehdotettavassa laissa säädettäisiin sekä tietoturvallisuuden perusvaatimuksista että tiedonhallinnan perusteista, joten kuntien velvollisuudet perustuisivat jatkossa lain nimenomaisiin säännöksiin eikä valtion viranomaisten asettamiin erilaisiin ehtoihin tai määräyksiin tai muihin sitoviksi muodostuneisiin käytäntöihin. Ehdotettava laki muuttaisi siten nykyistä perustuslain 121 §:n suhteen ongelmallista tilannetta siten, että tietoturvallisuusvaatimukset perustuisivat laissa säädettyihin vaatimuksiin.

Tietoturvallisuuden toteuttamista koskevat vaatimukset vastaavat pääosin alan olemassa olevia käytäntöjä. Sääntelyllä on painavat perusteet, jotta nykytilassa tapahtuva valtion viranomaisten tietoluovutusten yhteydessä antamaan käytännössä pakottavaan tietojen suojaamista koskevaan ohjaukseen voidaan tehdä muutos siten, että valtion viranomainen ei voi antaa kunnille velvoittavia uusia vaatimuksia, vaan vaatimukset tulevat suoraan laista. Tietoturvallisuuden toteuttamiseen liittyvät vaatimukset edellyttävät kuntia varmistamaan tietoturvatoimenpiteiden ajantasaisuuden. Tästä voi syntyä kunnille kustannuksia. Joka tapauksessa kuntien on varmistettava tietojärjestelmien tietoturvajärjestelyjen ajantasaisuus tietosuojaa koskevien säännösten perusteella. Näitä säännöksiä on paitsi tietosuoja-asetuksessa, mutta myös erityislainsäädännössä, kuten sosiaali- ja terveydenhuollon säädöksissä.

Perustuslakivaliokunta on käytännössään korostanut myös, että kuntien tehtävistä säädettäessä on huolehdittava rahoitusperiaatteen mukaisesti niiden tosiasiallisista edellytyksistä suoriutua velvoitteistaan (PeVL 16/2014 vp, PeVL 34/2013 vp, PeVL 30/2013 vp, PeVL 12/2011 vp, PeVL 41/2010 vp). Rahoitusperiaate sisältyy myös Euroopan paikallisen itsehallinnon peruskirjan 9 artiklan 2 kohtaan. Sen mukaan paikallisviranomaisten voimavarojen tulee olla riittävät suhteessa niihin velvoitteisiin, jotka niille on annettu perustuslaissa ja muissa laeissa. Valtionosuusjärjestelmällä katetaan kuntien peruspalveluiden aiheuttamia kustannuksia ja toteutetaan siten valtion ja kuntien välistä rahoitusperiaatetta.

Kunnilla on merkittävä rooli julkiselle vallalle kuuluvasta perusoikeuksien toteuttamisvastuussa. Kuntien lakisääteiset tehtävät liittyvät keskeisesti useiden taloudellisten, sosiaalisten ja sivistyksellisten perusoikeuksien toteuttamiseen. Lain keskeisenä tavoitteena on julkisuusperiaatteen edistäminen, hyvän hallinnon ja oikeusturvan toteuttaminen tiedonhallinnassa ja tiedonhallinnan avulla. Sääntely jättää kunnille harkintavaltaa, miten velvollisuudet toteutetaan ja eräiltä osin niistä voidaan poiketa myös taloudellisilla perusteilla.

Lakiehdotuksessa ehdotetut tiedonhallinnan kuvaamista ja asianhallintaa koskevat velvollisuudet perustuvat voimassa olevaan, mutta kumottavaksi ehdotettavaan sääntelyyn, jota tarkennettaisiin uusilla säännöksillä. Kunnat ovat joutuneet myös hiljattain tarkistamaan tiedonhallinnan kuvauksiaan Euroopan unionin yleisen tietosuoja-asetuksen soveltamisen alettua 25.5.2018. Tiedonhallintaa koskevia kuvauksia kuntien on pitänyt laatia ja ylläpitää julkisuuslain, henkilötietolain ja arkistolain perusteella. Lisäksi tietohallintolaissa on säädetty kokonaisarkkitehtuurin kuvaamisesta, mutta se ei ole ollut sitovaa sääntelyä. Kaiken kaikkiaan kuntien on pitänyt resursoida lakisääteisten tiedonhallintaa koskevien kuvausten ylläpito. Siten kuvaamisvelvollisuuksien keskittäminen yhteen kuvaukseen tiedonhallintamalliksi voi tuoda jonkin verran kunnille säästöjä pitemmällä aikavälillä moninkertaisen kuvaamisen vähentymisen myötä. Kuvaamisvelvollisuuden keskittäminen parantaa edellytyksiä kuntien toiminnan suunnittelun kehittämiseen ja kunnan toiminnan operatiivisen tietojohtamisen tehostamiseen. Tiedonhallintamalliin liittyvä kuvaamisvelvollisuus on ensivaiheessa eri lakien perusteella tehtyjen kuvausten yhteensovittamista, johon voidaan kohdentaa niitä resursseja, jotka on varattu moninkertaisten tiedonhallinnan kuvausten ylläpitoon.

Ehdotettu sääntely edellyttää, että kunnat päivittävät ja yhteensovittavat olemassa olevat kuvaukset vastaamaan tiedonhallintamallin sisältöä. Kuntien on pitänyt kumottavaksi ehdotettavan julkisuuslain 18 §:n 1 momentin 3 kohdan mukaan suunnitella ennalta tiedonhallintaan vaikuttavat muutokset, kun tietojärjestelmiä on käyttöönotettu tai kun kuntien hallinnossa on tehty muutoksia. Tiedonhallinnan muutosten kuvausvelvollisuus ei olisi uusi tehtävä kunnille, vaan tähän olemassa olleeseen velvollisuuteen tarkennus.

Hallituksen esityksen 1. lakiehdotus sisältää säännökset myös tietojen luovuttamisesta teknisten rajapintojen tai katseluyhteyden avulla. Aiemmin tietojen luovuttamisesta on säädetty teknisten käyttöyhteyksien käyttönä ja säännöksiin on sisältänyt tietojen luovuttavalle viranomaiselle velvollisuus varmistaa, että luovutuksen saajalla on riittävät tietojen suojaukseen liittyvät menettelyt käytössä. Tämä on johtanut erilaisiin menettelyihin ja vaatimuksiin viranomaisten välisessä tietojen vaihdossa. Tietojärjestelmien yhteentoimivuuteen liittyvät ongelmat ovat olleet jo pitkään julkisen hallinnon viranomaisten tehtävien tehokasta hoitoa haittaava tekijä. Uudella sääntelyllä pyritään tehostamaan viranomaisten toimintaa ja tietojen hyödyntämistä sekä vähentämään moninkertaista tietojen keräämistä. Teknisten rajapintojen ja katseluyhteyksien toteutukset on päivitettävä kunnissa vastaamaan ehdotettujen säännösten vaatimuksia. Osa laissa säädetyistä vaatimuksista on jo toteutettu teknisiä käyttöyhteyksiä avattaessa sekä osa velvollisuuksista kohdistuu sosiaali- ja terveydenhuoltoon, jossa on ollut jo aiemmin tarkempia säännöksiä katseluyhteyksien käytöstä. Tietojärjestelmien yhteentoimivuuden parantaminen edistää kuntien toiminnan tehostamista. Siten rajapintojen saattaminen toimiviksi voidaan arvioida olevan myös toiminnan kehittämistä tukeva investointi, koska tiedon liikkuvuuden parantaminen tehostaa myös viranomaisten tehtävien suorittamista. Rajapintoja koskevaan sääntelyyn on jätetty tarkoituksenmukaisuusharkintaa rajapintojen toteuttamiseksi, joten kuntien ei ole välttämätöntä toteuttaa tiedonhallintalain perusteella tietojen vaihtoa teknisten rajapintojen avulla, vaan se voidaan tehdä muutenkin. Rajapintojen toteuttaminen laissa edellytetyllä tavalla, jää kuntien harkintaan, kuitenkin siten, että rajapintoja ei voida käyttää, jos laissa säädettyjä edellytyksiä ei ole toteutettu.

Ehdotettavan 1. lakiehdotuksen kustannusvaikutukset yksittäiseen kuntaan tai kuntayhtymään jakaantuvat usealle vuodelle eivätkä ole merkittäviä, kun huomioon otetaan kumottavissa säädöksissä ja säännöksissä olevat velvollisuudet sekä laissa olevat siirtymäajat ja kuntien harkintaan jäävät toteuttamisvaihtoehdot ja tarkoituksenmukaisuuskysymykset. Muutokset ovat myös integroitavissa tietojärjestelmien normaaleihin päivitysaikatauluihin. Pienten kuntien osalta kuntakohtainen vaikutus vähenee siitä syystä, että kunnat ovat organisoineet tieto- ja viestintäteknisiä toimintojaan alueellisiin sidosyksikköinä toimiviin yrityksiin. Siten tiedonhallintaa koskevien teknisten vaatimusten toteuttaminen tehdään käytännössä näissä yrityksissä kuntien välisenä yhteistyönä.

Maakuntien rahoittamisesta vastaa valtio ja laki olisi voimassa maakuntien aloittaessa toimintansa, joten maakuntien tulisi omassa toiminnassaan ottaa huomioon ehdotettavissa laeissa olevat säännökset. Uusi laki loisi perusteet sille, miten maakunnissa tietojärjestelmät tulisi toteuttaa.

Hallituksen esityksen 1. lakiehdotus sisältää 3 luvussa valtiovarainministeriölle ja tiedonhallintalautakunnalle eri asteista ohjaustoimivaltaa suhteessa kuntiin, kuntayhtymiin ja maakuntiin. Perustuslakivaliokunta on pitänyt tällaista ohjausta mahdollisena, kunhan se on rajattu kuntien lakisääteisiin tehtäviin (PeVL 46/2010 vp). Tästä syystä laissa olisi rajattu 3 luvun soveltamista kuntiin, kuntayhtymiin ja maakuntiin vain lakisääteisten tehtävien hoitamiseen.

Julkinen hallintotehtävä

Hallituksen esityksen 1. lakiehdotuksen 19 §:n 3 momentissa säädettäisiin asiakirjojen sähköiseen muotoon muuttamista koskevan tehtävän antamisesta yksityisen hoidettavaksi. Säännös olisi mahdollistava. Perustuslakivaliokunta on lausunnossaan PeVL 30/2012 vp todennut, että perustuslain 124 §:ssä tarkoitettuja julkisia hallintotehtäviä ovat Verohallinnolle annettavien ilmoitusten ja muiden asiakirjojen vastaanotto, lajittelu sekä asiakirjojen ja niihin sisältyvien tietojen tallentaminen. Koska asiakirjojen sähköiseen muotoon muuttaminen on asiakirjojen tallentamista, on se myös julkinen hallintotehtävä. Perustuslain 124 §:n mukaan julkinen hallintotehtävä voidaan antaa muulle kuin viranomaiselle vain lailla tai lain nojalla, jos se on tarpeen tehtävän tarkoituksenmukaiseksi hoitamiseksi eikä vaaranna perusoikeuksia, oikeusturvaa tai muita hyvän hallinnon vaatimuksia. Merkittävää julkisen vallan käyttöä sisältäviä tehtäviä voidaan kuitenkin antaa vain viranomaiselle. Ehdotettava 3 momentin perusteella yksityinen voisi hoitaa asiakirjojen sähköiseen muotoon muuttamista viranomaisen toimeksiannosta sopimusperusteisesti.

Hallinnon yleislait tulevat sovellettavaksi tällaisiin yksityisiin suoraan kukin lain soveltamisalaa koskevia säännösten osalta. Momentti sisältäisi viittaukset rikosoikeudelliseen virkavastuuseen ja vahingonkorvauslakiin, jotta tehtävä voitaisiin antaa yksityisen hoidettavaksi. Asiakirjojen muuttaminen sähköiseen muotoon ei ole julkisen vallan käyttöä, vaan julkisen vallan käyttöön liittyvän avustavan tehtävän hoitamista. Rikoslain virkarikoksia koskevat säännökset eivät siten tule sovellettavaksi suoraan rikoslain (39/1889) 40 luvun perusteella, vaan rikosoikeudellisen virkavastuun laajentaminen muihin kuin julkista valtaa sisältäviin julkisiin hallintotehtäviin on tehtävä erityislainsäädännössä. Perustuslakivaliokunta on edellyttänyt rikosoikeudellisen virkavastuun ulottamista myös sellaisiin julkisiin hallintotehtäviin, joissa ei käytetä julkista valtaa (ks. esimerkiksi PeVL 11/2006 vp, PeVL 3/2009 vp, PeVL 30/2012 vp). Asiakirjojen muuttaminen sähköiseen muotoon on teknisluonteinen tehtävä, joka kuitenkin edellyttää erityistä huolellisuutta. Tällaiset teknisluonteiset ja rutiiniluonteiset tehtävät voidaan katsoa viranomaisesta riippuen tarkoituksenmukaiseksi antaa yksityisen hoidettavaksi muun muassa viranomaistoiminnan tehokkuuteen ja resurssien tarkoituksenmukaisen käytön mahdollistamiseksi muun muassa ruuhkahuippujen tasaamiseksi. Kunkin tiedonhallintayksikön arvioitavaksi jää erikseen, onko tehtävän antaminen tarkoituksenmukaista yksityiselle, vaikka laissa tällainen ulkoistaminen mahdollistettaisiinkin. Perustuslakivaliokunta on pitänyt mahdollisena asiakirjojen tallentamista koskevan tehtävän antamista yksityiselle (PeVL 30/2012 vp) julkista hallintotehtävää koskevien sääntelyvaatimusten puitteissa. Säännöksessä olisi säädetty lisäedellytyksenä sen varmistaminen, että yksityisellä toimijalla on riittävät tekniset edellytykset ja osaaminen sähköiseen muotoon muuttamisessa. Tällä luodaan lisäedellytyksiä, jolla varmistetaan tältä osin julkisen hallintotehtävän asianmukainen järjestäminen ja toteuttaminen asiakirjojen sähköiseen muotoon muuttamiseksi.

Tietojen luovutustapa teknisen rajapinnan tai katseluyhteyden avulla

Hallituksen esityksen 1. lakiehdotuksen 22—24 §:ssä on ehdotettu säädettäväksi eräistä tietojen sähköisistä luovutustavoista teknisten rajapintojen ja katseluyhteyden avulla. Sääntelyn olisi tarkoitus korvata teknistä käyttöyhteyttä koskeva hajanainen sääntely. Ehdotus on merkityksellinen perustuslain 10 §:n 1 momentissa säädetyn henkilötietojen suojan kannalta katsottuna. Perustuslakivaliokunta on todennut toistuvasti, että perustuslain 10 §:n 1 momentissa tarkoitettuun henkilötietojen suojaa koskeviin sääntelykohteisiin kuuluu teknisestä käyttöyhteydestä säätäminen (lähtien PeVL 12/2002 vp), mutta viimeaikaisessa lausuntokäytännössä perustuslakivaliokunta ei ole enää erikseen maininnut tärkeänä sääntelykohdevaatimuksena teknisestä käyttöyhteydestä säätämistä (ks. PeVL 14/2018 vp, PeVL 2/2018 vp, PeVL 31/2017 vp). Perustuslakivaliokunnan viimeaikaisen lausuntokäytännön mukaan estettä ei ole sille, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla (ks. PeVL 14/2018 vp, PeVL 2/2018 vp, PeVL 31/2017 vp, PeVL 5/2017 vp, ja PeVL 38/2016 vp). Lakiehdotuksessa sekä teknisen rajapinnan että katseluyhteyden avulla tapahtuvien tietoluovutusten sääntely on laadittu yksityiskohtaiseksi siten, että siinä asetetaan tarkat edellytykset siitä, missä tilanteissa ja miten tietoja voidaan luovuttaa teknisen rajapinnan tai katseluyhteyden avulla sekä minkälaiset tietoturvallisuuteen liittyvät menettelyt tällaisilla tavoilla luovutettaessa tietoja on toteutettava. Sääntely on näiden luovutustapojen osalta ehdotettu säädettäväksi kattavalla, täsmällisellä ja tarkkarajaisella tavalla siten, että säännöksistä ilmenee, milloin niitä voi soveltaa, millä edellytyksillä tällä tavalla tietojen luovutus voi tapahtua ja miten tietojen luovutus tapahtuu. Käsittelyn oikeusperusteet kontrolloidaan tietoja käsiteltäessä.

Tiedonhallintalaki ei mahdollistaisi tietopalvelujen kehittämistä tietoverkkoon niissä tilanteissa, joissa tietopalvelut sisältäisivät henkilötietoja, vaan tällaisista tietopalveluista säädettäisiin erikseen, kuten perustuslakivaliokunta on edellyttänyt. Teknisen rajapinnan ja katseluyhteyden toteuttamisessa varmistetaan paitsi se, että luovutuksen saajalla on tiedonsaantioikeus tietoihin, mutta myös käsittelyoikeus niihin yksittäisessä tilanteessa. Tästä syystä näillä tavoilla luovutettaessa tietoja, olisi järjestettävä riittävät kontrollit, joilla estetään massamuotoinen ja hallitsematon tietojen siirtäminen viranomaisten välillä.Tietojen siirto tapahtuisi tarveperusteisesti siten, että tietoluovutukset ja niiden perusteet voidaan myös jälkikäteen todentaa.

Asetuksen- ja määräyksenantovaltuudet

Hallituksen esityksen 1. lakiehdotus pitää sisällään asetuksenantovaltuuksia. Tasavallan presidentti, valtioneuvosto ja ministeriö voivat perustuslain 80 §:n 1 momentin mukaan antaa asetuksia perustuslaissa tai muussa laissa säädetyn valtuuden nojalla. Lailla on kuitenkin säädettävä yksilön oikeuksien ja velvollisuuksien perusteista sekä asioista, jotka perustuslain mukaan muuten kuuluvat lain alaan. Perustuslain 80 §:n johdosta asetuksenantovaltuuksiin on perustuslakivaliokunnan käytännössä kohdistettu vaatimuksia sääntelyn täsmällisyydestä ja tarkkarajaisuudesta (esimerkiksi PeVL 38/2013 vp). Valiokunta on painottanut, että kun asetuksia voidaan antaa vain laissa säädetyn valtuuden nojalla eikä asetuksenantovaltaa voida antaa asioissa, joista perustuslain mukaan on säädettävä lailla, on lakiin otettava asetuksenantovaltuus laadittava niin, että valtuuden sisältö selvästi ilmenee laista ja että se rajataan riittävän tarkasti (esimerkiksi PeVL 26/2017 vp). Perustuslain 80 §:n takia on olennaista, että säänneltävästä asiasta on riittävät perussäännökset laissa ja että valtuus on syytä sijoittaa pääsääntöisesti lain asianomaisen perussäännöksen yhteyteen (esimerkiksi PeVL 10/2016 vp ja PeVL 49/2014 vp).

Hallituksen esityksen 1. lakiehdotuksen 4 §:n 2 momentin mukaan valtion tiedonhallintayksikköjen välisestä tässä laissa säädettyjen tehtävien hoitamisesta voitaisiin säätää tarkemmin valtioneuvoston asetuksella. Valtuutussäännös koskisi tässä laissa säädettyjen tiedonhallintayksikölle kohdistettujen tehtävien organisointia valtion tiedonhallintayksikköjen välillä. Asetuksella voitaisiin säätää valtion tiedonhallintayksikköjen tiedonhallinnan tehtävien yhteisestä hoitamisesta, mutta asetuksella ei voitaisi muuttaa toimivaltasuhteita, jotka liittyvät tietoaineistojen ja asiakirjojen hallintaan. Siten asetuksella ei voitaisi säätää sellaisten tehtävien järjestämisestä, jotka on kohdistettu toimivaltaisen viranomaisen hoidettaviksi. Asetuksenantovaltuudella mahdollistettaisiin, että valtioneuvosto voisi järjestellä asetuksella valtion tiedonhallintayksikköjen tiedonhallintaan liittyvät tehtävät tarkoituksenmukaisella tavalla esimerkiksi ministeriöiden yhteisiksi tehtäviksi. Tällöinkään ministeriöissä toimivien viranomaisten toimivaltasuhteita ei voitaisi muuttaa tai järjestellä asetuksella. Valtuutus koskisi tehtävien järjestämistä valtionhallinnon sisällä eikä sillä vaikutettaisi muun muassa toimivaltasuhteisiin julkisen vallan käytössä.

Lakiehdotuksen 6 §:n 2 momentin mukaan valtioneuvoston asetuksella voitaisiin säätää tarkemmin julkisen hallinnon yleisen tiedonhallintakartan sisällöstä ja ylläpidon toteutuksesta. Laissa olisi säädetty siitä, että ministeriöiden velvollisuutena olisi ylläpitää yleistä tiedonhallintakarttaa. Asetuksessa säädettäisiin ministeriöihin kohdistettuna niistä tietosisällöistä, joita tiedonhallintakarttaan tulisi sisällyttää sekä teknisestä tavasta, jolla ylläpito toteutettaisiin. Ehdotettu säännös tarkentaa yleisen tiedonhallintakartan ylläpitoa koskevaa velvollisuutta tietosisällön ja ylläpitoteknologian osalta ja sääntely rajautuu ministeriöihin. Sääntely olisi käytännössä valtioneuvoston sisäistä työn järjestämistä. Asetuksen kohteena olisi ne tietosisällöt, jota liittyvät tietovarantojen yhteentoimivuuteen. Siten asetuksessa ei säädettäisi esimerkiksi henkilötietojen käsittelystä, vaan ainoastaan tietovarantojen ja niitä käyttävien tietojärjestelmien kuvauksesta.

Lakiehdotuksen 7 §:n 2 momentin mukaan valtioneuvoston asetuksella voitaisiin asettaa yhteistyötä varten tarvittavia neuvottelukuntia tai muita yhteistyöelimiä ja säätää niiden menettelytavoista. Pykälän 1 momentissa olisi säädetty puolestaan yhteistyön kohteista. Asetuksenantovaltuus liittyisi käytännössä valtiovarainministeriön tehtävän hoitamiseen. Neuvottelukunnilla tai yhteistyöelimillä ei olisi itsenäistä päätöksentekovaltaa, vaan ne olisivat yhteistyöfoorumeita viranomaisten välisen yhteistyön toteuttamiseksi. Neuvottelukuntien ja yhteistyöelimien toiminnan järjestämiseksi olisi kuitenkin tarvetta määritellä valtioneuvoston asetuksilla tarvittavilta osin yhteistyön muodoista ja yhteistyöhön liittyvistä tehtävistä, joiden perusteista olisi säädetty 1 momentissa. Neuvottelukunnat ja yhteistyöfoorumit eivät käyttäisi julkista valtaa, joten asetuksenantovaltuus ei olisi ongelmallinen perustuslain 119 §:n 2 momentissa säädettyyn valtionhallinnon toimielimiä koskevaan lakisääteisyysvaatimukseen nähden.

Lakiehdotuksen 9 §:ssä ehdotetaan säädettäväksi lausuntoasiassa noudatettavasta menettelystä. Lausuntoasiassa noudatettavasta menettelystä on säädetty voimassa olevan julkisen hallinnon tietohallinnon ohjauksesta annetussa laissa olevan asetuksenantovaltuuden perusteella. Asetus sisältäisi tarkemmat säännökset, millä perusteilla lausunto pitäisi pyytää, lausuntopyynnön sisällöstä ja lausuntoasiassa noudatettavasta menettelystä. Asetus tarkentaisi laissa olevia säännöksiä lausuntoasiasta siihen liittyvien yksityiskohtien osalta.

Lakiehdotuksen 10 §:n 2 momentin mukaan tiedonhallintalautakunnan kokoonpanosta, toiminnan järjestämisestä, päätöksentekomenettelystä ja jäsenten pätevyysvaatimuksista säädettäisiin tarkemmin valtioneuvoston asetuksella. Asetuksenantovaltuus rajaisi jo itsessään sanamuotojensa perusteella sitä, mistä asioita valtioneuvoston asetuksella tulisi säätää. Asetuksen antaminen on välttämätöntä lautakunnan toiminnan järjestämiseksi ja tehtävien hoidon toteuttamiseksi. Sääntely pitää sisällään yksityiskohtia päätöksentekomenettelystä muun muassa äänestystilanteessa. Yleisesti päätöksenteossa ja käsittelyssä noudatetaan hallintolain säännöksiä, joten asetuksella ei voida säätää asioista, joista on säädetty hallintolaissa. Lakiehdotuksen 10 §:n 3 momentin mukaan tiedonhallintalautakunnan sihteerien tehtävistä säädettäisiin tarkemmin asetuksella. Asetus sisältäisi säännökset sihteerien tehtävienjaosta sekä asioiden valmistelusta lautakunnan käsittelyä varten. Asetus tarkentaisi ja järjestäisi lautakunnan sisäistä työskentelyä.

Lakiehdotuksen 18 §:n 4 momentissa ehdotetaan säädettäväksi asetuksenantovaltuus, jonka mukaan valtioneuvoston asetuksella säädetään tarkemmin turvallisuusluokittelusta, turvallisuusluokiteltaviin asiakirjoihin tehtävistä merkinnöistä ja niiden käsittelystä. Vastaavalla tavalla aiemmin turvallisuusluokiteltavista asiakirjoista on säädetty valtionhallinnon tietoturvallisuudesta annetussa asetuksessa, joka kumoutuisi lakiehdotuksen hyväksymisen myötä. Tästä syystä turvallisuusluokiteltavien tietojen yksityiskohtaisista käsittelyyn liittyvistä menettelyistä pitäisi säätää uusi asetuksenantovaltuus, jonka perusteella voitaisiin antaa vastaavat säännökset asetuksessa valtion virastoja ja laitoksia koskien.

Sähköisestä asioinnista viranomaistoiminnassa annetun lain 22 §:n 1 momentissa on säädetty arkistolaitokselle määräyksenantovaltuus, jonka mukaan arkistolaitos antaa tarkempia määräyksiä ja ohjeita sähköisen asioinnin kirjaamisesta tai muusta rekisteröinnistä sekä arkistoinnista. Koska 1. lakiehdotuksen mukaisessa tiedonhallintalaissa olisi säädetty asiointimuodosta riippumattomasta asiakirjojen rekisteröinnistä, kumottaisiin asiointilaista 13 §, jossa on säädetty sähköisen asiakirjan kirjaamisesta tai rekisteröinnistä. Koska pykälä kumotaan, kumottavaksi tulee myös tätä koskeva erillinen määräyksenantovaltuus sähköisen asioinnin kirjaamisesta tai muusta rekisteröinnistä. Määräyksenantovaltuus on sijoitettu erilliseen pykälään siitä yhteydestä, jossa varsinaisesti asiallisesti määräyksenantovaltuutukseen liittyvät säännökset ovat sisältyneet. Koska määräyksenantovaltuudet ovat vastaavalla tavalla sidoksissa perussäännökseen, se ehdotetaan arkistoinnin osalta otettavaksi arkistointia koskevaan 21 §:n uudeksi 2 momentiksi. Tämä vastaisi myös perustuslakivaliokunnan kantaa määräyksenantovaltuussäännösten sijoittamisesta pääsääntöisesti lain asianomaisen perussäännöksen yhteyteen (PeVL 10/2016 vp, PeVL 49/2014 vp). Itse säännös vastaisi sisällöltään nykytilaa, mutta sen sanamuotoa ehdotetaan selkeytettäväksi ja täsmennettäväksi.

Muu kuin perustuslain 80 §:n 1 momentissa mainittu asetuksenantaja voidaan lailla valtuuttaa antamaan oikeussääntöjä määrätyistä asioista, jos siihen on sääntelyn kohteeseen liittyviä erityisiä syitä eikä sääntelyn asiallinen merkitys edellytä, että asiasta säädetään lailla tai asetuksella. Tällaisen valtuutuksen tulee lisäksi olla soveltamisalaltaan täsmällisesti rajattu. Asetuksenantovaltuuksiin verrattuna tällaisiin valtuuksiin kohdistuu yleistä tarkkarajaisuutta koskeva pidemmälle menevä vaatimus, jonka mukaan valtuuden kattamat asiat on määriteltävä tarkasti laissa (PeVL 34/2012 vp, myös esim. PeVL 17/2018 vp). Määräyksenantovaltuus liittyisi teknisiin yksityiskohtiin, jotka koskevat sähköisten asiakirjojen alkuperäisyyden ja sisällön muuttumattomuuden toteuttamista. Säännös on tarkkarajainen, koska sen asiallinen käyttöala koskisi ainoastaan asiointilain soveltamisalaan kuuluvia asian vireillepanoon, käsittelyyn tai päätöksen tiedoksiantoon liittyviä sähköisiä asiakirjoja, ja näiltäkin osin ainoastaan 21 §:n 1 momentissa säädetyn arkistointivelvoitteen kannalta merkityksellisiä sähköisen asiakirjan alkuperäisyyteen ja muuttumattomuuteen vaikuttavia teknisiä seikkoja. Kyse on sisällöltään teknisestä sääntelystä, jolla ei luoda uusia velvoitteita, vaan tarkennetaan muuttumattomuuden varmistamiseen liittyviä teknisiä toteuttamistapoja. Siten määräyksenantovaltuus ei koskisi muuta sähköistä arkistointia, vaan arkistoinnista ja siihen liittyvistä toimivaltuuksista olisi säädetty erikseen muussa arkistolainsäädännössä. Muutos ei asiallisesti muuta nykyistä määräyksenantovaltuutta, mutta selvyyden vuoksi sitä tarkennettaisiin voimassa olevaan säännökseen nähden. Perustuslakivaliokunta on toistuvasti korostanut, että perustuslain säännökset rajoittavat suoraan valtuussäännösten tulkintaa samoin kuin valtuuksien nojalla annettavien määräysten sisältöä. Ehdotettavan valtuuden kohteena olevalla määräyksellä ei siten voida antaa yleisiä oikeussääntöjä yksilön oikeuksien ja velvollisuuksien perusteista tai muista lain alaan kuuluvista asioista (PeVL 10/2016 vp ja PeVL 10/2014 vp). Sähköisen asiakirjan arkistointiin liittyvällä alkuperäisyyden ja muuttumattomuuden vaatimuksilla on keskeinen merkitys sähköisen asioinnin osapuolten oikeusturvan kannalta. Määräyksenantovaltuuden tarkoituksena on varmistua säännösperusteisesti asioiden vireillepanoon, käsittelyyn tai päätösten tiedoksiantoon liittyvien sähköisten asiakirjojen arkistoinnista siten, että ne säilyvät laissa edellytetyllä tavalla sisällöltään muuttumattomina. Määräyksenantovaltuuden muotoilu ilmentää nimenomaisesti mahdollisuutta toteuttaa sähköisen asiakirjan arkistointi eri tavoin. Määräyksenantovaltuudella ei siten tavoitella julkisen hallinnon tieto- tai arkistointijärjestelmien teknistä yhteentoimivuutta. Arkistointia ja sähköistä asiointia koskevat säännökset eivät ole olleet tässä yhteydessä sisällöllisesti valmisteltavana. Alkuperäisen määräyksenantovaltuuden perustelujen mukaan arkistolaitoksella on arvioitu olevan kyky antaa nopeasti kehityttävässä sähköisessä ympäristössä teknistä erityisasiantuntemusta vaativia arkistointia koskevia määräyksiä ottaen erityisesti huomioon asiointitapahtumien monikanavaisuus.

Omaisuuden suoja

Hallituksen esityksen 1. lakiehdotuksessa olisi säännöksiä teknisistä rajapinnoista ja muista tietojärjestelmiin vaikuttavista vaatimuksista. Perustuslakivaliokunta on arvioinut lainsäädännöllä toteutettavaa taannehtivaa puuttumista sopimussuhteisiin (PeVL 41/2010 vp ja PeVL 36/2010 vp). Perustuslaissa säädetty omaisuuden suoja turvaa myös sopimussuhteiden pysyvyyttä, joskaan kielto puuttua taannehtivasti sopimussuhteiden koskemattomuuteen ei ole valiokunnan käytännössä muodostunut ehdottomaksi. Varallisuusoikeudellisten oikeustoimien pysyvyydensuojan taustalla on ajatus oikeussubjektien perusteltujen odotusten suojaamisesta taloudellisissa asioissa. Perusteltujen odotusten suojaan on valiokunnan käytännössä katsottu kuuluvan oikeus luottaa sopimussuhteen kannalta olennaisia oikeuksia ja velvollisuuksia sääntelevän lainsäädännön pysyvyyteen niin, että tällaisia seikkoja ei voida säännellä tavalla, joka kohtuuttomasti heikentäisi sopimusosapuolten oikeusasemaa. Hallituksen esityksen 1. lakiehdotus tarkoittaisi osaan tietojärjestelmiä muutoksia, jotka voidaan toteuttaa olemassa olevien sopimuksien puitteissa tietojärjestelmien päivityksinä tai uusia tietojärjestelmiä hankittaessa. Toisaalta, jos tietojärjestelmään ei voida tehdä perustietoturvallisuuden takaavia muutoksia, tarkoittaa se sitä, että viranomaisen tulisi joka tapauksessa harkita tietojärjestelmän kokonaisuudistusta. Ehdotettavalla lailla ei olisi välittömiä vaikutuksia sopimussuhteiden pysyvyyteen.

Ehdotettavassa 1. lakiehdotuksessa säädettäisiin rajapintojen määrittelystä ja teknisten rajapintojen avulla tapahtuvasta tietojen vaihdosta. Tietojärjestelmien rajapintoja ei ole katsottu tekijänoikeudellisen suojan ydinalueeseen. Rajapintojen vahva tekijänoikeuksien suoja ei mahdollistaisi kilpailevien tietojärjestelmäpalvelujen kehittämistä. Rajapintakuvausten saatavuus ja tietojen siirron mahdollistaminen rajapintojen avulla on pidetty myös Euroopan unionissa tärkeänä EU:n sisämarkkinoiden toiminnan kannalta katsottuna (Komission tiedonanto ”Lukkiutumista vastaan: avoimien tieto- ja viestintä-tekniikkajärjestelmien rakentaminen hyödyntämällä aikaisempaa paremmin standardeja julkisissa hankinnoissa” COM(2013) 455 final, 25.6.2013). Siten rajapintoja ja niiden avoimuutta koskeva sääntely ei ole ongelmallinen omaisuuden suojan kannalta katsottuna. Rajapinnat ovat tietojärjestelmien lähdekoodia, jolla mahdollistetaan se, että tietojärjestelmät vaihtavat tietoa. Rajapintojen käyttötarkoituksena on mahdollistaa tietojen liikkuvuus, jolloin niihin liittyvien kuvaustenkin saatavuus on tärkeää eri organisaatioiden välillä. Laissa ei säädetä rajapintakuvausten yleisestä saatavuudesta.

Näillä perusteilla hallitus katsoo, että lakiehdotukset voidaan käsitellä tavallisen lain säätämisjärjestyksessä.

Lakiehdotukset

1.

Laki julkisen hallinnon tiedonhallinnasta

Eduskunnan päätöksen mukaisesti säädetään:

1 luku

Yleiset säännökset

1 §
Lain tarkoitus

Tämän lain tarkoituksena on:

1) varmistaa viranomaisten tietoaineistojen yhdenmukainen ja laadukas hallinta sekä tietoturvallinen käsittely julkisuusperiaatteen toteuttamiseksi;

2) mahdollistaa viranomaisten tietoaineistojen turvallinen ja tehokas hyödyntäminen, jotta viranomainen voi hoitaa tehtävänsä ja tarjota palvelunsa hallinnon asiakkaille hyvää hallintoa noudattaen tuloksellisesti ja laadukkaasti;

3) edistää tietojärjestelmien ja tietovarantojen yhteentoimivuutta.


Tällä lailla pannaan täytäntöön eräiltä osin julkisen sektorin hallussa olevien tietojen uudelleenkäytöstä annetun direktiivin 2003/98/EY muuttamisesta annettu Euroopan parlamentin ja neuvoston direktiivissä 2013/37/EU.


2 §
Määritelmät

Tässä laissa tarkoitetaan:

1) viranomaisella viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 4 §:n 1 momentissa tarkoitettuja viranomaisia;

2) tietojärjestelmällä tietojenkäsittelylaitteista, ohjelmistoista ja muusta tietojenkäsittelystä koostuvaa kokonaisjärjestelyä;

3) asiakirjalla viranomaisten toiminnan julkisuudesta annetun lain 5 §:n 2 momentissa tarkoitettua viranomaisen asiakirjaa;

4) tietoaineistolla asiakirjoista ja muista vastaavista tiedoista muodostuvaa tiettyyn viranomaisen tehtävään tai palveluun liittyvää tietokokonaisuutta;

5) tietovarannolla viranomaisen tehtävien hoidossa tai muussa toiminnassa käytettäviä tietoaineistoja sisältävää kokonaisuutta, jota käsitellään tietojärjestelmien avulla tai manuaalisesti;

6) yhteisellä tietovarannolla useiden toimijoiden käyttöön suunniteltua ja ylläpidettyä tietovarantoa, jonka tiedot ovat luovutettavissa ja hyödynnettävissä eri tarkoituksiin;

7) tietoturvallisuustoimenpiteillä tietoaineistojen saatavuuden, eheyden ja luottamuksellisuuden varmistamista hallinnollisilla, toiminnallisilla ja teknisillä toimenpiteillä;

8) tiedonhallinnalla viranomaisen tehtävien hoidossa tai sen muussa toiminnassa syntyviin tarpeisiin perustuvia toimia ja tietoturvallisuustoimenpiteitä viranomaisen tietoaineistojen, niiden käsittelyvaiheiden ja tietoaineistoihin sisältyvien tietojen hallinnoimiseksi riippumatta tietoaineistojen tallentamistavasta ja muista käsittelytavoista;

9) toimintaprosessilla viranomaisen asiankäsittely- tai palveluprosessia;

10) teknisellä rajapinnalla sähköisen tietojenvaihdon mahdollistavaa tiedonsiirtoratkaisua kahden tai useamman tietojärjestelmän välillä;

11) katseluyhteydellä tietojärjestelmään toteutettua tietoaineistojen katselun mahdollistavaa rajattua näkymää;

12) tietovarantojen yhteentoimivuudella tietojen hyödyntämistä ja vaihtoa eri tietojärjestelmien välillä siten, että tietojen merkitys ja käytettävyys säilyvät;

13) koneluettavalla muodolla tiedostomuotoa, jonka rakenne mahdollistaa sen, että ohjelmistot pystyvät helposti yksilöimään, tunnistamaan ja poimimaan siitä tietoaineistoja, yksittäisiä tietoja sekä niiden rakenteita.


3 §
Lain soveltamisala ja sen rajoitukset

Tätä lakia sovelletaan tiedonhallintaan ja tietojärjestelmien käyttöön, kun viranomaiset käsittelevät tietoaineistoja, ellei muualla laissa toisin säädetä. Mitä tässä laissa säädetään viranomaisesta, sovelletaan myös yliopistolaissa (588/2009) tarkoitettuihin yliopistoihin ja ammattikorkeakoululaissa (932/2014) tarkoitettuihin ammattikorkeakouluihin.


Asiankäsittelyssä ja palvelujen tuottamisessa noudatettavista menettelyistä, salassapidosta ja tiedonsaantioikeudesta viranomaisten asiakirjoihin sekä asiakirjojen arkistoinnista säädetään erikseen. Tiedonhallinnasta Suomen evankelis-luterilaisessa kirkossa säädetään kirkkolaissa (1054/1993).


Tämän lain 19—20 ja 26—27 §:ää ei sovelleta lainkäyttöön. Tämän lain 3 lukua ei sovelleta eduskunnan oikeusasiamiehen eikä valtioneuvoston oikeuskanslerin toimintaan, tuomioistuimien eikä muiden lainkäyttöelimien toimintaan, tasavallan presidentin kansliaan, eduskunnan virastoihin, Kansaneläkelaitokseen, Suomen Pankkiin, muihin itsenäisiin julkisoikeudellisiin laitoksiin, yliopistolaissa tarkoitettuihin yliopistoihin eikä ammattikorkeakoululaissa tarkoitettuihin ammattikorkeakouluihin. Tämän lain 3 lukua sovelletaan maakuntiin, kuntiin ja kuntayhtymiin niiden hoitaessa laissa säädettyjä tehtäviä.


Tämän lain 4 lukua ja 22—25 §:ää sovelletaan yksityisiin henkilöihin tai yhteisöihin taikka muihin kuin viranomaisena toimiviin julkisoikeudellisiin yhteisöihin siltä osin kuin ne toimivat viranomaisen toimeksiannosta tai muuten viranomaisen lukuun. Mitä tämän lain 4 §:ssä, 4 luvussa, 22—25 §:ssä sekä 28 §:ssä säädetään, sovelletaan yksityisiin henkilöihin ja yhteisöihin sekä muihin kuin viranomaisena toimiviin julkisoikeudellisiin yhteisöihin, kun niiden toimintaan sovelletaan muuten viranomaisten toiminnan julkisuudesta annettua lakia.


Tätä lakia ei sovelleta Ahvenanmaan maakunnassa toimiviin maakunnan, valtion ja kunnallisiin viranomaisiin.


2 luku

Tiedonhallinnan järjestäminen

4 §
Tiedonhallinnan järjestäminen tiedonhallintayksikössä

Viranomainen kuuluu tiedonhallintayksikköön, jonka tehtävänä on järjestää tiedonhallinta tämän lain vaatimusten mukaisesti. Tiedonhallintayksiköitä ovat:

1) valtion virastot ja laitokset (valtion tiedonhallintayksikkö);

2) eduskunnan virastot;

3) valtion liikelaitokset;

4) maakunnat;

5) kunnat;

6) kuntayhtymät;

7) itsenäiset julkisoikeudelliset laitokset;

8) yliopistolaissa tarkoitetut yliopistot sekä ammattikorkeakoululaissa tarkoitetut ammattikorkeakoulut.


Valtion tiedonhallintayksikköjen välisestä tässä laissa säädettyjen tehtävien hoitamisesta voidaan säätää tarkemmin valtioneuvoston asetuksella.


Tiedonhallintayksikön johdon on huolehdittava siitä, että tiedonhallintayksikössä on:

1) määritelty tässä ja muussa laissa säädettyjen tiedonhallinnan toteuttamiseen liittyvien tehtävien vastuut;

2) ajantasaiset ohjeet tietoaineistojen käsittelystä, tietojärjestelmien käytöstä, tietojenkäsittelyoikeuksista, tiedonhallinnan vastuiden toteuttamisesta, tiedonsaantioikeuksien toteuttamisesta, tietoturvallisuustoimenpiteistä sekä poikkeusoloihin varautumisesta;

3) tarjolla koulutusta, jolla varmistetaan, että henkilöstöllä ja tiedonhallintayksikön lukuun toimivilla on riittävä tuntemus voimassa olevista tiedonhallintaa, tietojenkäsittelyä sekä asiakirjojen julkisuutta ja salassapitoa koskevista säädöksistä, määräyksistä ja tiedonhallintayksikön ohjeista;

4) asianmukaiset työvälineet tiedonhallintaa koskevien velvollisuuksien toteuttamiseksi;

5) järjestetty riittävä valvonta tiedonhallintaan liittyvien säädösten, määräysten ja ohjeiden noudattamisesta.


5 §
Tiedonhallintamalli ja muutosvaikutuksen arviointi

Tiedonhallintayksikössä on ylläpidettävä sen toimintaympäristön tiedonhallintaa määrittelevää ja kuvaavaa tiedonhallintamallia. Tiedonhallintamallia ylläpidetään palvelujen, asiankäsittelyn ja tietoaineistojen hallinnan suunnittelemiseksi ja toteuttamiseksi, tiedonsaantia koskevien oikeuksien ja rajoitusten toteuttamiseksi, moninkertaisen tietojen keruun vähentämiseksi, tietojärjestelmien ja tietovarantojen yhteentoimivuuden toteuttamiseksi sekä tietoturvallisuuden ylläpitämiseksi.


Tiedonhallintamallin on sisällettävä vähintään tiedot:

1) toimintaprosesseja kuvaavista nimikkeistä, prosessista vastaavasta viranomaisesta, prosessin tarkoituksesta sekä prosessin sidoksista muihin prosesseihin;

2) tietovarantojen nimikkeistä, kuvaukset tietovarantojen sidoksista toimintaprosesseihin ja tietojärjestelmiin sekä luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 30 artiklan 1 kohdassa tarkoitetun selosteen sisällöstä tai, jos selostetta ei tarvitse yleisen tietosuoja-asetuksen mukaan laatia, tietovarannosta vastaavasta viranomaisesta, tietovarannon käyttötarkoituksesta, keskeisistä tietoryhmistä tietoaineistoissa, tietojen luovutuskohteista ja tietojen säilytysajoista;

3) tieto tietoaineiston arkistoon siirtämisestä, arkistointitavasta ja arkistopaikasta tai tuhoamisesta;

4) tietojärjestelmien nimikkeistä, tietojärjestelmästä vastaavasta viranomaisesta, tietojärjestelmän käyttötarkoituksesta, tietojärjestelmän liittymistä muihin tietojärjestelmiin ja liittymissä käytettävistä tiedonsiirtotavoista;

5) tietoturvallisuustoimenpiteistä.


Suunniteltaessa tiedonhallintamallin sisältöön vaikuttavia olennaisia hallinnollisia uudistuksia ja tietojärjestelmien käyttöönottoa, tiedonhallintayksikössä on arvioitava näihin kohdistuvat muutokset ja niiden vaikutukset suhteessa tiedonhallinnan vastuisiin, 4 luvussa säädettyihin tietoturvallisuusvaatimuksiin ja -toimenpiteisiin, 5 luvussa säädettyihin tietoaineistojen muodostamista ja luovutustapaa koskeviin vaatimuksiin, 6 luvussa säädettyihin asianhallinnan ja palvelujen tiedonhallinnan vaatimuksiin sekä muualla laissa säädettyihin asiakirjojen julkisuuteen, salassapitoon, suojaan ja tiedonsaantioikeuksiin. Tiedonhallintayksikön on tiedonhallinnan muutosten arvioinnissaan otettava huomioon tietovarantojen yhteentoimivuus sekä niiden hyödynnettävyys tietoaineistoja muodostettaessa ja käytettäessä. Arvioinnin perusteella tiedonhallintayksikön on ryhdyttävä tarpeellisiin toimenpiteisiin tiedonhallintamallin muuttamiseksi ja muutosten toimeenpanemiseksi. Tietosuojaa koskevasta vaikutustenarvioinnista ja siihen liittyvästä ennakkokuulemisesta säädetään erikseen.


3 luku

Julkisen hallinnon tiedonhallinnan yleinen ohjaus

6 §
Tietovarantojen yhteentoimivuuden yleinen ohjaus

Valtiovarainministeriön tehtävänä on julkisen hallinnon yhteisten tietovarantojen yhteentoimivuuden yleinen ohjaus. Tässä tarkoituksessa valtiovarainministeriö:

1) huolehtii julkisen hallinnon tiedonhallintakartan ylläpidosta;

2) ylläpitää julkisen hallinnon tiedonhallinnan kehittämisen yleisiä linjauksia yhteisten tietovarantojen ja tietojärjestelmien yhteentoimivuuden edistämiseksi.


Kunkin ministeriön on huolehdittava julkisen hallinnon tiedonhallintakartan sisällön ajantasaisuudesta omalla toimialallaan sekä ylläpidettävä oman toimialansa yleisiä linjauksia oman toimialansa yhteisten tietovarantojen ja tietojärjestelmien yhteentoimivuuden edistämiseksi. Valtioneuvoston asetuksella voidaan säätää tarkemmin julkisen hallinnon tiedonhallintakartan sisällöstä ja ylläpidon toteutuksesta.


7 §
Julkisen hallinnon tiedonhallinnan sekä tieto- ja viestintäteknisten palvelujen tuottamisen yhteistyö

Valtiovarainministeriön on huolehdittava, että julkisen hallinnon tiedonhallintaa sekä tieto- ja viestintäteknisten palvelujen tuottamista koskevan yhteistyön koordinointia varten on järjestetty valtion virastoissa ja laitoksissa toimivien viranomaisten sekä maakuntien ja kuntien viranomaisten yhteistyötavat ja -menettelyt. Yhteistyön tarkoituksena on edistää tämän lain tarkoitusten toteuttamista sekä julkisen hallinnon toimintatapojen ja palvelujen tuotantotapojen kehittämistä tietovarantoja sekä tieto- ja viestintätekniikkaa hyödyntämällä. Yhteistyössä seurataan julkisen hallinnon tiedonhallinnan ja tieto- ja viestintäteknisten palvelujen kehittymistä, muutoksia ja vaikutuksia.


Valtioneuvosto voi asettaa 1 momentissa tarkoitettua yhteistyötä varten tarvittavia neuvottelukuntia tai muita yhteistyöelimiä.


8 §
Tiedonhallinnan muutosten arviointi valtion tiedonhallintayksiköissä

Valtion tiedonhallintayksikön on arvioitava tiedonhallintaan vaikuttavien muutosten taloudelliset vaikutukset tehdessään 5 §:n 3 momentin mukaista arviointia.


Toimialasta vastaavan ministeriön on laadittava 5 §:n 3 momentin mukainen arviointi, kun valmisteltavat säännökset vaikuttavat tietoaineistoihin ja tietojärjestelmiin. Lisäksi ministeriön on arvioitava suunniteltujen säännösten vaikutukset asiakirjojen julkisuuteen ja salassapitoon.


9 §
Lausunto muutosten arvioinnista valtionhallinnossa

Valtion tiedonhallintayksikön on toimitettava valtiovarainministeriölle 5 §:n 3 momentin ja 8 §:n 1 momentin perusteella tehty arviointi tietovarantojen ja tietojärjestelmien hyödyntämistä, yhteentoimivuutta ja tietoturvallisuutta koskevaa lausuntoa varten, kun arvioidulla muutoksella on merkittäviä taloudellisia tai toiminnallisia vaikutuksia tiedonhallintaan tai toimintaan taikka muutos koskee julkisen hallinnon yhteisten tietovarantojen rajapintojen tietorakenteiden olennaisia muutoksia. Valtiovarainministeriöllä on oikeus saada salassapitosäännösten estämättä välttämättömät tiedot valtion tiedonhallintayksiköissä toimivalta viranomaiselta lausunnon antamista varten.


Lausuntoa edellyttävistä tiedonhallinnan muutoksista, lausuntopyynnön sisällöstä ja lausuntoasiassa noudatettavasta menettelystä säädetään tarkemmin valtioneuvoston asetuksella.


10 §
Julkisen hallinnon tiedonhallintalautakunta

Valtiovarainministeriön yhteydessä toimii julkisen hallinnon tiedonhallintalautakunta (tiedonhallintalautakunta), jonka tehtävänä on:

1) arvioida valtion virastojen ja laitosten, kuntien ja kuntayhtymien sekä maakuntien tämän lain 4 §:n 3 momentin, 5 §:n, 19 §:n, 22—24 §:n, 28 §:n ja 6 luvun säännösten toteuttamista ja noudattamista;

2) edistää tässä laissa säädettyjen tiedonhallinnan ja tietoturvallisuuden menettelytapoja ja tämän lain vaatimusten toteuttamista.


Valtioneuvosto nimittää tiedonhallintalautakunnan neljäksi vuodeksi kerrallaan. Tiedonhallintalautakunnassa on puheenjohtaja, varapuheenjohtaja sekä jäseniä, joilla on asiantuntemus julkisen hallinnon tietoturvallisuudesta, tietojärjestelmien ja tietovarantojen yhteentoimivuudesta, tilastoinnista tai tietoaineistojen tiedonhallinnasta. Tiedonhallintalautakunnan tarkemmasta kokoonpanosta, toiminnan järjestämisestä, päätöksentekomenettelystä ja jäsenten pätevyysvaatimuksista säädetään valtioneuvoston asetuksella.


Valtiovarainministeriö määrää virkamiehistään lautakunnan sivutoimiset sihteerit tehtäviinsä lautakunnan toimikaudeksi. Sihteerien tehtävistä säädetään tarkemmin valtioneuvoston asetuksella.


Lautakunnan jäseneen ja varajäseneen sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen hoitaessaan lautakunnalle säädettyjä tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974). Lautakunnan jäsenille ja varajäsenille maksetaan tehtävien hoitamisesta palkkio. Valtiovarainministeriö vahvistaa palkkioiden määrät.


Tiedonhallintalautakunta voi asettaa väliaikaisia jaostoja tiedonhallinnan menettelyjen kehittämiseksi. Jaostoihin voi kuulua tiedonhallintayksikköjen asiantuntijoita. Lautakunnan sihteerit toimivat jaostojen puheenjohtajina. Väestörekisterikeskuksen tehtävänä on tuottaa tiedonhallintalautakunnalle asiantuntijapalveluja tiedonhallinnan ja tietoturvallisuuden menettelyjen kehittämiseksi.


11 §
Tiedonhallintalautakunnan arviointitehtävä

Tiedonhallintalautakunnan arviointitehtävän toteuttaminen perustuu tiedonhallintalautakunnan hyväksymään arviointisuunnitelmaan.


Tiedonhallintalautakunnalla on oikeus saada arviointitehtävän toteuttamiseksi arvioinnin kohteena olevilta viranomaisilta salassapitosäännösten estämättä maksutta arviointitehtävän hoitamiseksi välttämättömät selvitykset sekä tarpeelliset tiedot tiedonhallintamallista, tiedonhallinnan muutosten arvioinnista, 28 §:ssä tarkoitetusta kuvauksesta, käytettävistä asianhallinnan ja palvelujen tiedonhallinnan menettelyistä, asiakirjojen sähköiseen muotoon muuttamista koskevasta teknologiasta, katseluyhteyksien toteutuksesta ja teknisten rajapintojen kuvauksista, teknisten rajapintojen käytöstä ja hallinnoinnista sekä rajapintojen käytön menettelyistä lukuun ottamatta turvallisuusluokiteltavia asiakirjoja. Viranomaisen on toimitettava pyydetyt tiedot asetettuun määräaikaan mennessä tiedonhallintalautakunnalle.


Jos tiedonhallintalautakunta havaitsee 10 §:n 1 momentin 1 kohdassa tarkoitettujen arviointikohteena olevien säännösten noudattamisessa puutteita, voi lautakunta kiinnittää viranomaisen huomiota tiedonhallintaan liittyvien tämän lain mukaisten menettelyjen toteuttamiseen ja vaatimusten täyttämiseen.


Tiedonhallintalautakunnan on laadittava kertomus arvioinnin tuloksista joka toinen vuosi ja toimitettava se valtiovarainministeriölle.


4 luku

Tietoturvallisuus

12 §
Luotettavuutta edellyttävien tehtävien tunnistaminen ja luotettavuudesta varmistuminen

Tiedonhallintayksikön on tunnistettava ne tehtävät, joiden suorittaminen edellyttää sen palveluksessa olevilta tai sen lukuun toimivilta henkilöiltä erityistä luotettavuutta. Turvallisuusselvitysten tekemisestä säädetään turvallisuusselvityslaissa (726/2014) ja muusta henkilöarvioinnista yksityisyyden suojasta työelämässä annetussa laissa (759/2004).


13 §
Tietoaineistojen ja tietojärjestelmien tietoturvallisuus

Tiedonhallintayksikön on seurattava toimintaympäristönsä tietoturvallisuuden tilaa ja varmistettava tietoaineistojen ja tietojärjestelmien tietoturvallisuus koko niiden elinkaaren ajan. Tiedonhallintayksikön on selvitettävä olennaiset tietojenkäsittelyyn kohdistuvat riskit ja mitoitettava tietoturvallisuustoimenpiteet riskiarvioinnin mukaisesti.


Viranomaisen tehtävien hoitamisen kannalta olennaisten tietojärjestelmien vikasietoisuus ja toiminnallinen käytettävyys on varmistettava riittävällä testauksella säännöllisesti.


Viranomaisen on suunniteltava tietojärjestelmät, tietovarantojen tietorakenteet ja niihin liittyvä tietojenkäsittely siten, että asiakirjojen julkisuus voidaan vaivatta toteuttaa.


Viranomaisen on varmistettava hankinnoissaan, että hankittavaan tietojärjestelmään on toteutettu asianmukaiset tietoturvallisuustoimenpiteet.


Viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista säädetään erikseen.


14 §
Tietojen siirtäminen tietoverkossa

Viranomaisen on toteutettava tietojensiirto tietoverkossa salattua tai muuten suojattua tiedonsiirtoyhteyttä tai -tapaa käyttämällä, jos siirrettävät tiedot ovat salassa pidettäviä. Lisäksi tietojensiirto on järjestettävä siten, että vastaanottaja varmistetaan tai tunnistetaan riittävän tietoturvallisella tavalla ennen kuin vastaanottaja pääsee käsittelemään siirrettyjä salassa pidettäviä tietoja.


Käyttäjän tunnistamisesta yleisölle tarjottavissa digitaalisissa palveluissa säädetään digitaalisten palvelujen tarjoamisesta annetussa laissa ( / ).


15 §
Tietoaineistojen turvallisuuden varmistaminen

Viranomaisen on varmistettava tarpeellisin tietoturvallisuustoimenpitein, että sen:

1) tietoaineistojen muuttumattomuus on riittävästi varmistettu;

2) tietoaineistot on suojattu teknisiltä ja fyysisiltä vahingoilta;

3) tietoaineistojen alkuperäisyys, ajantasaisuus ja virheettömyys on varmistettu;

4) tietoaineistojen saatavuus ja käyttökelpoisuus on varmistettu;

5) tietoaineistojen saatavuutta rajoitetaan tarvittaessa;

6) tietoaineistot voidaan tarvittavilta osin arkistoida.


Tietoaineistoja on käsiteltävä ja säilytettävä toimitiloissa, jotka ovat tietoaineiston luottamuksellisuuteen, eheyteen ja saatavuuteen liittyvien vaatimusten toteuttamiseksi riittävän turvallisia.


16 §
Tietojärjestelmien käyttöoikeuksien hallinta

Tietojärjestelmästä vastuussa olevan viranomaisen on määriteltävä tietojärjestelmän käyttöoikeudet. Käyttöoikeudet on määriteltävä käyttäjän tehtäviin liittyvien käyttötarpeiden mukaan ja ne on pidettävä ajantasaisina.


17 §
Lokitietojen kerääminen

Viranomaisen on huolehdittava, että sen tietojärjestelmien käytöstä ja niistä tehtävistä tietojen luovutuksista kerätään tarpeelliset lokitiedot, jos tietojärjestelmän käyttö edellyttää tunnistautumista tai muuta kirjautumista. Lokitietojen käyttötarkoituksena on tietojärjestelmissä olevien tietojen käytön ja luovutuksen seuranta sekä tietojärjestelmän teknisten virheiden selvittäminen.


18 §
Turvallisuusluokiteltavat asiakirjat valtionhallinnossa

Valtion hallintoviranomaisen, tuomioistuimen ja muun lainkäyttöelimen sekä muun valtion viraston ja laitoksen on turvallisuusluokiteltava asiakirjat ja tehtävä niihin turvallisuusluokkaa koskeva merkintä, jos asiakirja tai siihen sisältyvä tieto on salassa pidettävä viranomaisten toiminnan julkisuudesta annetun lain 24 §:n 1 momentin 2, 5 tai 7—11 kohdan perusteella ja asiakirjaan sisältyvän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa maanpuolustukselle, poikkeusoloihin varautumiselle, kansainvälisille suhteille, rikosten torjunnalle, yleiselle turvallisuudelle tai valtion- ja kansantalouden toimivuudelle taikka muulla niihin rinnastettavalla tavalla Suomen turvallisuudelle.


Turvallisuusluokkaa koskevaa merkintää ei saa käyttää muissa kuin 1 momentissa tarkoitetuissa tapauksissa, ellei merkinnän tekeminen ole tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi tai asiakirja muutoin liity kansainväliseen yhteistyöhön.


Kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa (588/2004) tarkoitettuihin asiakirjoihin on tehtävä turvallisuusluokituksesta merkintä siten kuin mainitussa laissa säädetään.


Turvallisuusluokittelusta, turvallisuusluokiteltaviin asiakirjoihin tehtävistä merkinnöistä ja niiden käsittelystä säädetään tarkemmin valtioneuvoston asetuksella. Asiakirjoihin tehtävistä salassapitoa ja käyttörajoituksia koskevista merkinnöistä säädetään viranomaisten toiminnan julkisuudesta annetun lain 25 §:ssä.


5 luku

Tietoaineistojen muodostaminen ja sähköinen luovutustapa

19 §
Tietoaineistojen sähköiseen muotoon muuttaminen ja saatavuus

Jos asiakirja saapuu viranomaiselle muussa kuin sähköisessä muodossa, on se muutettava sähköiseen muotoon, jos asiakirja on säädetty pysyvästi säilytettäväksi taikka lailla tai lain nojalla arkistoitavaksi. Viranomainen vastaa siitä, että sähköiseen muotoon muutetun asiakirjan luotettavuus ja eheys varmistetaan. Viranomaisen laatimat asiakirjat säilytetään sähköisesti. Sähköiseen muotoon muuttamisesta ja säilyttämisestä voidaan poiketa, jos se on välttämätöntä turvallisuusluokiteltavien asiakirjojen käsittelyä koskevien vaatimusten, muiden tietoturvallisuusvaatimusten tai muun asiakirjan luonteeseen liittyvän välttämättömän syyn vuoksi.


Ottaen huomioon, mitä tiedonsaannista ja henkilötietojen suojasta erikseen säädetään, viranomaisen on huolehdittava, että tietoaineisto on saatavilla ja hyödynnettävissä yleisesti käytettävässä koneluettavassa muodossa kuvailutietoineen, jos tietoaineisto voidaan saattaa alkuperäisestä muodosta suoraan koneluettavaan muotoon.


Viranomainen voi käyttää asiakirjojen sähköiseen muotoon muuttamisessa yksityistä toimijaa, jolla on riittävät tekniset edellytykset sekä riittävä osaaminen tällaisen tehtävän hoitamiseksi. Tätä tehtävää suorittavaan yksityiseen toimijaan sovelletaan rikosoikeudellista virkavastuuta. Vahingonkorvausvelvollisuudesta säädetään vahingonkorvauslaissa.


20 §
Tietoaineistojen kerääminen viranomaisen tehtäviä varten

Viranomaisen on pyrittävä hyödyntämään toisen viranomaisen tietoaineistoja, jos viranomaisella on oikeus saada tarvittavat tiedot toiselta viranomaiselta teknisen rajapinnan tai katseluyhteyden avulla. Tietojen hyödyntämisessä on huolehdittava asianosaisen tai muun hallinnon asiakkaan oikeusturvasta.


Jos viranomaisella on oikeus saada toisen viranomaisen tietovarannosta tehtäviensä hoitamista varten tietoja luotettavasti ja ajantasaisesti teknisen rajapinnan tai katseluyhteyden avulla, se ei saa vaatia asiakastaan esittämään tai toimittamaan tällaista todistusta tai otetta, ellei se ole välttämätöntä asian selvittämiseksi.


21 §
Tietoaineistojen säilytystarpeen määrittäminen

Jos tietoaineistojen tai asiakirjojen säilytysajasta ei ole säädetty laissa, säilytysaikoja määritettäessä on otettava huomioon:

1) tietoaineiston alkuperäisen käyttötarkoituksen mukainen tarpeellisuus viranomaisen toiminnassa; sekä

2) luonnollisen henkilön tai oikeushenkilön etujen, oikeuksien, velvollisuuksien ja oikeusturvan toteuttaminen ja todentaminen;

3) sopimuksen tai muun yksityisoikeudellisen oikeustoimen oikeusvaikutus;

4) vahingonkorvausoikeudelliset vanhentumisajat; ja

5) rikosoikeudelliset vanhentumisajat.


Säilytysajan päättymisen jälkeen tietoaineistot on arkistoitava tai tuhottava viipymättä tietoturvallisella tavalla.


Säilytysaikojen määrittämisen vastuista, arkistoinnista ja arkistotoimen tehtävistä säädetään erikseen.


22 §
Tietojen luovuttaminen teknisen rajapinnan avulla viranomaisten välillä

Viranomaisten on toteutettava säännöllisesti toistuva ja vakiosisältöinen sähköinen tietojen luovuttaminen tietojärjestelmien välillä teknisten rajapintojen avulla, jos vastaanottavalla viranomaisella on tietoihin laissa säädetty tiedonsaantioikeus. Säännöllisesti toistuva ja vakiosisältöinen tietojen sähköinen luovuttaminen voidaan toteuttaa muulla tavalla, jos teknisen rajapinnan toteuttaminen tai käyttö ei ole teknisesti tai taloudellisesti tarkoituksenmukaista. Viranomainen voi avata teknisen rajapinnan tiedonsaantiin oikeutetulle viranomaiselle myös muissa tilanteissa. Asiakirjojen ja tietojen antamisesta muulla tavalla säädetään erikseen.


Sen lisäksi, mitä 4 luvussa säädetään, tietojen luovuttaminen teknisten rajapintojen avulla on toteutettava tietojärjestelmien välillä siten, että teknisesti varmistetaan luovutettavien tietojen tapauskohtainen tarpeellisuus tai välttämättömyys tietoja saavan viranomaisen tehtävien hoitamiseksi, jos luovutettavat tiedot ovat henkilötietoja tai salassa pidettäviä tietoja.


Teknisen rajapinnan avulla luovutettavien tietojen tietorakenteen kuvauksen määrittelee ja sitä ylläpitää tiedot luovuttava viranomainen. Suunniteltaessa usean viranomaisen välistä tietojen luovuttamista teknisten rajapintojen avulla, on tietorakenteen kuvaus määriteltävä ja ylläpidettävä toimialasta vastaavan ministeriön johdolla.


23 §
Katseluyhteyden avaaminen viranomaiselle

Viranomainen voi avata katseluyhteyden toiselle viranomaiselle tietovarannon sellaisiin tietoihin, joihin katseluoikeuden saavalla viranomaisella on tiedonsaantioikeus. Sen lisäksi, mitä 4 luvussa säädetään, edellytyksenä katseluyhteyden avaamiselle on, että:

1) katselumahdollisuus on rajattu vain tiedonsaantioikeuden mukaisiin tarpeellisiin tai välttämättömiin tietoihin; sekä

2) tietojen hakemisen yhteydessä selvitetään tietojen käyttötarkoitus.


Viranomaisen on toteutettava katseluyhteys siten, että katseluyhteyden mahdollistava tietojärjestelmä tunnistaa automaattisesti poikkeavan tietojen hakemisen.


24 §
Tietoaineistojen luovuttaminen teknisen rajapinnan avulla muille kuin viranomaisille

Viranomainen voi luovuttaa teknisten rajapintojen avulla tietoja muulle kuin toiselle viranomaiselle, jos tiedot saavalla toimijalla on erikseen laissa säädetty tiedonsaantioikeus ja oikeus käsitellä näitä tietoja. Tekninen rajapinta voidaan avata 22 §:ssä säädettyjen edellytysten täyttyessä siten kuin mainitussa pykälässä säädetään. Tiedot luovuttavan viranomaisen on tarvittaessa varmistettava, että tietoja saava toimija noudattaa tietojen käsittelyssä tässä laissa säädettyjä velvollisuuksia.


Tiedon antamisesta muussa sähköisessä muodossa ja yleisölle katseluyhteytenä toteutettuna tietopalveluna säädetään erikseen.


6 luku

Asianhallinta ja palvelujen tiedonhallinta

25 §
Rekisteröinti asiarekisteriin

Tiedonhallintayksikön on ylläpidettävä viranomaisen käsittelyssä olevista ja olleista asioista asiarekisteriä, johon rekisteröidään asiaa, asiankäsittelyä ja asiakirjoja koskevat tiedot. Viranomaisen on rekisteröitävä viipymättä sille saapunut tai sen laatima asiakirja asiarekisteriin.


Tiedonhallintayksikön on huolehdittava siitä, että asiarekisterin tai sen osan julkisista merkinnöistä on mahdollista tuottaa tiedot tiedonsaantia koskevien pyyntöjen yksilöimiseksi.


26 §
Asiarekisteriin rekisteröitävät tiedot

Tiedonhallintayksikön on muodostettava viranomaisen käsiteltäväksi otetun tai annetun asian yksilöivä asiatunnus, jonka avulla asiaan liittyvät tiedot yksilöidään.


Tiedonhallintayksikön on rekisteröitävä asialle ainakin seuraavat yksilöintitiedot:

1) tiedonhallintayksikön yritys- ja yhteisötunnus;

2) viranomaisen yksilöivä tieto;

3) toimintaprosessin yksilöivä tieto;

4) asian vireilletuloajankohta.


Viranomaiselle saapuneesta asiakirjasta rekisteröidään ainakin:

1) asiakirjan yksilöivä tieto;

2) saapumisajankohta;

3) asiakirjan saapumistapa;

4) asiakirjan lähettäjä tai asiamies.


Viranomaisen laatimista asiakirjoista rekisteröidään ainakin:

1) asiakirjan yksilöivä tieto;

2) asiakirjan laatija;

3) laatimisajankohta.


Asiarekisteriin rekisteröidään lisäksi asiasta ainakin:

1) asian vireillepanija ja tarvittaessa muut asianosaiset;

2) asian käsittelyn tila;

3) viranomaisen toimenpiteet ja niissä käsitellyt asiakirjat käsittelyvaiheittain.


27 §
Tietoaineistojen hallinta palveluja tuotettaessa

Tiedonhallintayksikön on järjestettävä muun kuin asiankäsittelyn yhteydessä muodostuvan tietoaineiston hallinta siten, että tietoaineistosta muodostettavat asiakirjat ovat haettavissa jollakin tietokokonaisuudet yksilöivällä tunnuksella, jotta tiedot voidaan antaa siihen oikeutetulle vaivattomasti. Viranomaisen on rekisteröitävä palveluja tuotettaessa muodostuvat asiakirjat ja muut tiedot viipymättä siten, että niiden muodostuminen palvelua tuotettaessa voidaan jälkikäteen todentaa.


28 §
Kuvaus asiakirjajulkisuuden toteuttamiseksi

Tiedonhallintayksikön on julkisuusperiaatteen toteuttamista varten ylläpidettävä kuvausta sen hallinnoimista tietovarannoista ja asiarekisteristä. Kuvauksen on sisällettävä tiedot:

1) tietojärjestelmistä, jotka sisältävät asiarekisteriin kuuluvia tai palvelujen tiedonhallintaan kuuluvia tietoja;

2) asiarekisterin tai tietojärjestelmän sisältämien tietojen antamisesta päättävästä viranomaisesta ja sen yhteystiedoista tiedonsaantia koskevan pyynnön esittämiseksi;

3) tietojärjestelmien sisältämistä tietoaineistoista tietoryhmittäin;

4) hakuperusteista, joilla julkisia asiakirjoja tai muita tietoja voidaan hakea asiarekisteristä tai tietojärjestelmästä;

5) tietoaineistojen saatavuudesta avoimesti teknisen rajapinnan avulla.


Tiedonhallintayksikön on julkaistava 1 momentissa tarkoitettu kuvaus yleisessä tietoverkossa siltä osin kuin kuvauksen tiedot eivät ole salassa pidettäviä.


7 luku

Erinäiset säännökset

29 §
Voimaantulo

Tämä laki tulee voimaan päivänä kuuta 20 .


Tällä lailla kumotaan julkisen hallinnon tietohallinnon ohjauksesta annettu laki (634/2011).


30 §
Siirtymäsäännökset

Tiedonhallintayksikköjen on laadittava 5 §:n mukainen tiedonhallintamalli 12 kuukauden kuluessa tämän lain voimaantulosta.


Muiden kuin valtion virastoissa ja laitoksissa toimivien viranomaisten on toteutettava 12—16 §:ssä säädetyt vaatimukset 36 kuukauden kuluessa tämän lain voimaantulosta.


Tämän lain 19 §:n 1 momenttia sovelletaan 18 kuukauden kuluttua tämän lain voimaantulosta viranomaiselle saapuviin ja viranomaisen laatimiin uusiin asiakirjoihin. Ennen lain voimaantuloa muodostuneita tietoaineistoja säilytetään siten kuin ne ovat muodostuneet ennen siirtymäajan päättymistä. Edellä 19 §:n 2 momentissa tarkoitettu tietoaineistojen saatavuus on toteutettava 24 kuukauden kuluessa tämän lain voimaantulosta. Tämän lain 20 §:ää sovelletaan 12 kuukauden kuluttua lain voimaantulosta.


Ministeriöiden on selvitettävä 12 kuukauden kuluessa tämän lain voimaantulosta 22 §:n 3 momentissa tarkoitetut rajapintojen määrittelyn ja ylläpidon hallinnointia edellyttävät tietojärjestelmät.


Tämän lain 17 ja 22—24 §:n säännöksiä sovelletaan lain voimaantulon jälkeen hankittaviin tietojärjestelmiin. Ennen tämän lain voimaantuloa hankittuihin tietojärjestelmiin sovelletaan 22—24 §:ssä säädettyjä tietojen sähköistä luovutustapaa koskevia vaatimuksia päivitettäessä tietojärjestelmien teknisiä rajapintoja tai katseluyhteyksiä, kuitenkin viimeistään 48 kuukauden kuluttua lain voimaantulosta, ja lain 17 §:ssä edellytettyjä lokitietojen keräämistä koskevia vaatimuksia 24 kuukauden kuluttua tämän lain voimaantulosta.


Asianhallinta ja palvelujen tiedonhallinta on järjestettävä 12 kuukauden kuluessa tämän lain voimaantulosta 26—28 §:ssä säädettyjen vaatimusten mukaisesti.



2.

Laki viranomaisten toiminnan julkisuudesta annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

kumotaan viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 18 § ja 29 §:n 3 momentti, sellaisena kuin niistä on 18 § osaksi laissa 635/2011,

muutetaan 3 §, 15 §:n 3 momentti, 5 luvun otsikko, 25 §n otsikko sekä 2 ja 3 momentti ja 36 §, sellaisina kuin niistä ovat 15 §:n 3 momentti ja 25 §:n otsikko sekä 2 ja 3 momentti laissa 495/2005 sekä 36 § laeissa 495/2005 ja 635/2011, sekä

lisätään 16 §:ään, sellaisena kuin se on osaksi laissa 385/2007, uusi 4 momentti ja 25 §:ään sellaisena kuin se on laissa 495/2005, uusi 4 momentti seuraavasti:

3 §
Lain tarkoitus

Tässä laissa säädettyjen tiedonsaantioikeuksien ja viranomaisten velvollisuuksien tarkoi-tuksena on toteuttaa avoimuutta viranomaisten toiminnassa sekä antaa yksilöille ja yhteisöille mahdollisuus valvoa julkisen vallan ja julkisten varojen käyttöä, muodostaa vapaasti mielipiteensä sekä vaikuttaa julkisen vallan käyttöön ja valvoa oikeuksiaan ja etujaan.


Viranomaisen asiakirjojen tiedonhallinnasta säädetään julkisen hallinnon tiedonhallinnasta annetussa laissa ( / ).


15 §
Asiakirjan pyytämistä koskevan asian siirtäminen toiselle viranomaiselle

Jos viranomaiselta pyydetään asiakirjaa, johon julkisen hallinnon tiedonhallinnasta annetun lain mukaisesti on ollut velvollisuus tehdä turvallisuusluokkaa koskeva merkintä ja jonka muu viranomainen on laatinut, viranomaisen on siirrettävä asia asiakirjan laatineen viranomaisen ratkaistavaksi. Kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa (588/2004) tarkoitettua turvallisuusluokiteltua asiakirjaa koskeva asia on siirrettävä sille viranomaiselle, jolle sopimuspuoli on asiakirjan toimittanut.


16 §
Asiakirjan antamistavat

Tietojen antamisesta teknisen rajapinnan ja katseluyhteyden avulla säädetään julkisen hal-linnon tiedonhallinnasta annetussa laissa.


5 luku

Viranomaisen velvollisuus edistää tiedonsaantia


25 §
Salassapitoa ja käyttörajoituksia koskevat merkinnät

Merkintä voidaan tehdä muihinkin kuin 1 momentissa tarkoitettuihin asiakirjoihin. Salas-sapitomerkintä tehdään merkitsemällä asiakirjaan ”SALASSA PIDETTÄVÄ” ja ruotsiksi ”SEKRETESSBELAGD”. Merkinnästä tulee käydä ilmi, miltä osin asiakirja on salassa pi-dettävä ja mihin salassapito perustuu. Jos salassapito perustuu säännökseen, jossa on vahin-koedellytyslauseke, merkintä voidaan tehdä kuitenkin niin, että siitä ilmenee vain se säännös, johon salassapito perustuu. Kun asiakirjan tai siinä olevien tietojen salassapidolle ei enää ole perusteita merkinnän poistamisesta tai muuttamisesta on tehtävä merkintä asiakirjaan, johon alkuperäinen merkintä on tehty. Merkinnän asianmukaisuus on tarkistettava viimeistään asiakirjaa ulkopuoliselle annettaessa.


Muuhun kuin lain mukaan salassa pidettävään asiakirjaan voidaan tehdä merkintä ”HAR-KINNANVARAISESTI ANNETTAVA” ja ruotsiksi ”UPPGES ENLIGT PRÖVNING”, jos asiakirjan luovuttaminen on lain mukaan viranomaisen harkinnassa tai asiakirjaan sisältyviä tietoja saa lain mukaan käyttää tai luovuttaa vain määrättyyn tarkoitukseen ja jos tiedon oi-keudeton paljastuminen voi aiheuttaa haittaa yleiselle tai yksityiselle edulle tai heikentää vi-ranomaisen toimintaedellytyksiä.


Velvollisuudesta tehdä turvallisuusluokkaa koskeva merkintä säädetään julkisen hallinnon tiedonhallinnasta annetussa laissa.


36 §
Asetuksenantovaltuus

Valtioneuvoston asetuksella voidaan 5 luvussa säädettyjen velvoitteiden toteuttamiseksi valtionhallinnossa säätää toiminnan avoimuuden toteuttamisesta viestinnän suunnittelun ja järjestämisen avulla.



Tämä laki tulee voimaan päivänä kuuta 20 .

Ennen tämän lain voimaantuloa hankittuihin tietojärjestelmiin sovelletaan tämän lain voimaan tullessa voimassa ollutta 29 §:n 3 momenttia 48 kuukauden ajan tämän lain voimaantulon jälkeen.


3.

Laki sähköisestä asioinnista viranomaistoiminnassa annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

kumotaan sähköisestä asioinnista viranomaistoiminnassa annetun lain (13/2003) 13 ja 22 § ja

muutetaan 3 ja 21 §, sellaisena kuin niistä on 3 § laissa 534/2016, seuraavasti:

3 §
Muu lainsäädäntö

Viranomaisasiointiin sovelletaan muutoin, mitä asian vireillepanosta, päätöksen tiedoksiannosta, viranomaisten toiminnan julkisuudesta, henkilötietojen käsittelystä, tiedonhallinnasta, asiakirjojen arkistoinnista, asian käsittelyssä käytettävästä kielestä ja asian käsittelystä säädetään.


21 §
Arkistointi

Sähköinen asiakirja on arkistoitava siten, että sen alkuperäisyys ja säilyminen sisällöltään muuttumattomana voidaan myöhemmin osoittaa.


Kansallisarkisto voi antaa tarkempia määräyksiä 1 momentissa säädettyjen vaatimusten teknisistä toteuttamistavoista.



Tämä laki tulee voimaan päivänä kuuta 20 .


4.

Laki kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 3 ja 8 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan kansainvälisistä tietoturvallisuusvelvoitteista annetun lain (588/2004) 3 §:n 1 momentti ja 8 §:n 1 momentti seuraavasti:

3 §
Suhde muuhun lainsäädäntöön

Erityissuojattavan tietoaineiston julkisuudesta on voimassa, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) ja sen nojalla säädetään ja tiedonhallinnasta mitä julkisen hallinnon tiedonhallinnasta annetussa laissa ( / ) ja sen nojalla säädetään, jollei tässä laissa toisin säädetä.



8 §
Turvallisuusluokan merkitseminen

Erityissuojattavaan tietoaineistoon on siitä riippumatta, mitä julkisen hallinnon tiedonhal-linnasta annetussa laissa tai sen nojalla säädetään, tehtävä kansainvälisessä tietoturvallisuus-velvoitteessa määritelty luokittelumerkintä sen osoittamiseksi, minkälaisia tietoturvallisuus-vaatimuksia sen käsittelyssä on noudatettava. Merkintä voidaan tehdä myös asiakirjaan lii-tettävälle lomakkeelle, joka sisältää asiakirjan yksilöintitiedot.




Tämä laki tulee voimaan päivänä kuuta 20 .


5.

Laki turvallisuusselvityslain muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan turvallisuusselvityslain (726/2014) 3 §:n 1 momentin 11 kohta ja 3 momentti, 16 §:n 1 momentti, 19 §:n 1 momentin 1 kohta, 20 §:n 1 momentin 1 kohta, 21 §:n 1 momentin 1 kohta, 25 §:n 2 momentin 3 kohta, 33 §:n 1 momentin 2 kohta, 34 §, 36 §:n 1 momentin 2 kohta, 44 §:n 2 momentin 3 kohta sekä 47 §:n 1 momentin 4 kohta, seuraavasti:

3 §
Määritelmät

Tässä laissa tarkoitetaan:


11) luokitellulla asiakirjalla viranomaisten toiminnan julkisuudesta annetun lain 5 §:n 1 momentissa tarkoitettua asiakirjaa, johon julkisen hallinnon tiedonhallinnasta annetun lain ( / ) tai sen nojalla annettujen säännösten nojalla taikka kansainvälisistä tietoturvallisuusvelvoitteista annetun lain (588/2004) nojalla on tehty turvallisuusluokkaa koskeva merkintä sen osoittamiseksi, minkälaisia tietoturvallisuusvaatimuksia asiakirjaa käsiteltäessä noudatetaan.



Mitä tässä laissa säädetään salassa pidettävästä tai luokitellusta asiakirjasta, sovelletaan myös tietoihin, jotka on saatu suullisesti tai voidaan saada havainnoimalla, jos tällaisia tietoja sisältävät asiakirjat olisivat salassa pidettäviä taikka luokiteltavissa 1 momentin 11 kohdassa tarkoitettujen säännösten perusteella.


16 §
Valtionhallinnon viranomaisen velvollisuus hakea henkilöturvallisuusselvitystä

Valtioneuvoston asetuksella voidaan säätää, että valtionhallinnon viranomaisen on hankittava henkilöturvallisuusselvitys henkilöstä, jolla on muutoin kuin satunnaisesti oikeus käsitellä turvallisuusluokan I tai II asiakirjoja tai muita salassa pidettävä asiakirjoja, jos näihin asiakirjoihin sisältyvän salassa pidettävän tiedon oikeudeton paljastaminen tai oikeudeton käyttö voi aiheuttaa erityisen suurta tai merkittävää vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle, taikka joka muutoin hoitaa sellaisia tehtäviä, joissa hän salassa pidettäviä tietoja paljastamalla tai muulla lainvastaisella teolla voi merkittävällä tavalla vaarantaa valtion turvallisuutta, maanpuolustusta, kansainvälisiä suhteita, poikkeusoloihin varautumista, väestönsuojelua tai yhteiskunnan elintärkeitä toimintoja taikka mainittujen etujen suojaamiseksi toteutettuja turvallisuusjärjestelyjä.



19 §
Perusmuotoisen henkilöturvallisuusselvityksen piiriin kuuluvat tehtävät

Perusmuotoinen henkilöturvallisuusselvitys voidaan laatia sellaiseen palvelussuhteeseen tai toimeksiantotehtävää suorittamaan valittavasta taikka palvelussuhdetta tai toimeksianto-tehtävää hoitavasta, joka:

1) saa oikeuden muutoin kuin satunnaisesti käsitellä sellaisia viranomaisen asiakirjoja, jotka tulee turvallisuusluokitella turvallisuusluokkaan II—III kuuluviksi, taikka muutoin hoitaa sellaisia tehtäviä, joissa hän salassa pidettäviä tietoja paljastamalla tai muulla lainvastaisella teolla voi merkittävällä tavalla vaarantaa valtion turvallisuutta, maanpuolustusta, kansainvälisiä suhteita, poikkeusoloihin varautumista, väestönsuojelua tai yhteiskunnan elintärkeitä toimintoja taikka mainittujen etujen suojaamiseksi toteutettuja turvallisuusjärjestelyjä;



20 §
Laajan henkilöturvallisuusselvityksen piiriin kuuluvat tehtävät

Laaja henkilöturvallisuusselvitys voidaan laatia vain henkilöstä, joka:

1) työtehtävissään saa oikeuden muutoin kuin satunnaisesti käsitellä turvallisuusluokan I tai II asiakirjoja tai muita sellaisia salassa pidettävä asiakirjoja, joihin sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa erityisen suurta tai merkittävää vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle;



21 §
Suppean henkilöturvallisuusselvityksen piiriin kuuluvat tehtävät

Suppea henkilöturvallisuusselvitys voidaan laatia sellaiseen palvelussuhteeseen tai toimeksiantotehtävää suorittamaan valittavasta taikka palvelussuhdetta tai toimeksiantotehtävää hoitavasta, joka:

1) saa oikeuden käsitellä viranomaisen turvallisuusluokan III—IV asiakirjoja tai muita sellaisia salassa pidettäviä asiakirjoja, joihin sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa tai haittaa salassapitosäännöksessä tarkoitetulle yleiselle tai yksityiselle edulle;



25 §
Perusmuotoisen henkilöturvallisuusselvityksen tietolähteet

Perusmuotoista turvallisuusselvitystä laadittaessa voidaan käyttää keskusrikospoliisin epäiltyjen tietojärjestelmästä ilmenevien tietojen perusteella tekemää ilmoitusta, josta ilmenevät ne tiedot, jotka ovat tarpeen tietojen merkityksen arvioimiseksi suojelupoliisissa. Keskusrikospoliisi voi tehdä ilmoituksen, jos:


3) selvityksen kohteesta on epäiltyjen tietojärjestelmässä useita sellaisia laadultaan ja sisällöltään henkilön luotettavuuden arvioinnin kannalta merkittäviä merkintöjä, joiden muodostaman kokonaisuuden perusteella keskusrikospoliisi katsoo olevan perusteltu syy epäillä, että selvityksen kohde voi vaarantaa selvityksen perusteena olevassa työtehtävässään saamiensa sellaisten salassa pidettävien asiakirjojen ja niiden tietojen suojan, jotka kuuluvat turvallisuusluokkaan I tai II tai joihin sisältyvän salassa pidettävän tiedon oikeudeton paljastaminen tai oikeudeton käyttö voi muutoin aiheuttaa erityisen suurta tai merkittävää vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle, ja että selvityksen kohde voi siten edistää järjestäytyneen rikollisryhmän toimia, jos tiedon välittäminen on välttämätöntä valtion keskeisten turvallisuusetujen suojaamiseksi järjestäytyneen rikollisryhmän toimilta tai vaikutuksilta taikka rikoksen ennalta estämiseksi.



33 §
Yritysturvallisuusselvityksen hakemiseen oikeutetut

Yritysturvallisuusselvitystä voi hakea:


2) viranomainen, jonka on tarkoitus tehdä sopimus selvityksen kohteen kanssa, jos sopimuksen yhteydessä yritykselle annetaan tai sopimuksen johdosta syntyy turvallisuusluokan I—III kuuluvaksi luokiteltuja asiakirjoja tai muita salassa pidettäviä asiakirjoja, jos näihin asiakirjoihin sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle tai yksityiselle edulle;



34 §
Valtionhallinnon viranomaisen velvollisuus yritysturvallisuusselvityksen hakemiseen

Valtioneuvoston asetuksella voidaan säätää, että valtionhallinnon viranomaisen on hankittava yritysturvallisuusselvitys yrityksestä, jolle valtionhallinnon viranomaisen kanssa tehtävän sopimuksen toteuttamiseksi annetaan turvallisuusluokan I—III asiakirjoja tai muita salassa pidettäviä asiakirjoja, jos näihin asiakirjoihin sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle tai yksityiselle edulle.


36 §
Yritysturvallisuusselvityksen laatimisen edellytykset

Yritysturvallisuusselvitys voidaan laatia, jos selvitys on tarpeen yrityksen arvioimiseksi, kun:


2) viranomainen on tekemässä yrityksen kanssa sopimusta, jonka yhteydessä yritykselle luovutetaan viranomaisen salassa pidettäviä asiakirjoja;



44 §
Henkilöturvallisuusselvitystodistuksen sisältö

Tarvittaessa todistukseen merkitään tieto:


3) siitä, mihin turvallisuusluokkaan luokiteltuihin asiakirjoihin tai muihin salassa pidettäviin asiakirjoihin, joiden oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa tai haittaa salassapitosäännöksessä tarkoitetulle edulle selvityksen kohteelle voidaan antaa pääsy;



47 §
Yritysturvallisuusselvitystodistuksen sisältö

Yritysturvallisuusselvitystodistukseen merkitään tieto:


4) tarvittaessa tieto siitä, mihin turvallisuusluokkaan luokiteltujen asiakirjojen tai muiden asiakirjojen, joiden oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa salassapitosäännöksessä tarkoitetulle edulle käsittelyä koskevat vaatimukset yritys täyttää;




Tämä laki tulee voimaan päivänä kuuta 20 .


6.

Laki julkisista puolustus- ja turvallisuushankinnoista annetun lain 3 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan julkisista puolustus- ja turvallisuushankinnoista annetun lain (1531/2011) 3 §:n 2 momentti seuraavasti:

3 §
Määritelmät

Mitä tässä laissa säädetään turvallisuusluokitellusta asiakirjasta, sovelletaan myös salassa pidettävään asiakirjaan, jos tähän asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa haittaa tai vahinkoa salassapitosäännöksessä tarkoitetulle edulle.



Tämä laki tulee voimaan päivänä kuuta 20 .


7.

Laki valtion talousarviosta annetun lain 12 b §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan valtion talousarviosta annetun lain (423/1988) 12 b §:n 4 ja 6 momentti, sellaisina kuin ne ovat laissa 1053/2016, seuraavasti:

12 b §
Eräiden taloushallintotehtävien hoitaminen

Keskitetyistä taloushallintotehtävistä vastaavalla virastolla tai laitoksella on salassapito-säännösten estämättä oikeus saada kirjanpitoyksiköihin kuuluvilta virastoilta, laitoksilta ja muilta toimielimiltä tehtäviensä hoitamiseksi välttämättömät salassa pidettävät asiakirjat lu-kuun ottamatta julkisen hallinnon tiedonhallinnasta annetun lain ( / ) tai sen nojalla annettujen säännösten nojalla luokiteltuja turvallisuusluokan I, II ja III asiakirjoja tai muita sellaisia salassa pidettävä asiakirjoja, joihin sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa merkittävää tai erityisen suurta vahinkoa salas-sapitosäännöksessä tarkoitetulle yleiselle edulle. Jos keskitetyistä taloushallintotehtävistä vastaavalla virastolla tai laitoksella ei tämän momentin mukaan ole oikeutta saada välttämät-tömiä tietoja sen 1 ja 2 momentin nojalla määrättyjen tehtävien hoitamiseksi, kyseisestä teh-tävästä vastaa keskitettyjä taloushallintotehtäviä vastaavan viraston tai laitoksen sijasta asi-anomainen kirjanpitoyksikkö, elleivät edellä tarkoitettu virasto tai laitos ja kirjanpitoyksikkö taloushallintotehtävän hoitamisesta toisin sovi.



Edellä 4 ja 5 momentissa tarkoitetut asiakirjat ja tiedot voidaan antaa myös sähköisesti siten kuin kirjanpitoyksikköön kuuluva virasto tai laitos sekä keskitetyistä taloushallintotehtävistä vastaava virasto tai laitos sopivat.



Tämä laki tulee voimaan päivänä kuuta 20 .

Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.


8.

Laki valtion virkamieslain 7 ja 8 c §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan valtion virkamieslain (750/1994) 7 §:n 1 momentin 3 ja 7 kohta sekä 8 c §:n 3 momentti, sellaisina kuin ne ovat laissa 948/2017, seuraavasti:

7 §

Seuraaviin virkoihin voidaan nimittää vain Suomen kansalainen:


3) ministeriön virka, jonka tehtäviin kuuluu toimia ministeriön valmiuspäällikkönä, jonka tehtäviin kuuluu valmius- ja varautumistehtäviä tai jonka tehtäviin kuuluu muutoin kuin satunnaisesti käsitellä turvallisuusluokan I tai II asiakirjoja;


7) sisäministeriön toimialan viraston päällikön välittömänä alaisena toimivan päällikön ja johtajan virka, poliisilaissa (872/2011) tarkoitettu poliisimiehen virka, suojelupoliisin muu kuin poliisimiehen virka, poliisihallinnon virka, jonka tehtäviin kuuluu muutoin kuin satunnaisesti käsitellä turvallisuusluokan I tai II asiakirjoja, sekä rajavartiolaitoksen virka;



8 c §

Valtioneuvoston asetuksella voidaan säätää 2 momentissa tarkoitetusta henkilöturvallisuusselvitystodistusta koskevasta vaatimuksesta, jos virkaan nimitettävällä on oikeus muutoin kuin satunnaisesti käsitellä turvallisuusluokan I tai II asiakirjoja tai muita sellaisia salassa pidettäviä asiakirjoja, joihin sisältyvän salassa pidettävän tiedon oikeudeton paljastaminen tai oikeudeton käyttö voi aiheuttaa erityisen suurta tai merkittävää vahinkoa salassapito-säännöksessä tarkoitetulle yleiselle edulle, tai jos hänen on muutoin tarkoitus toimia tehtävässä, jossa sen luonteen vuoksi edellytetään erityistä luotettavuutta.



Tämä laki tulee voimaan päivänä kuuta 20 .


9.

Laki autoverolain 87 a §:n 4 momentin kumoamisesta

Eduskunnan päätöksen mukaisesti säädetään:

1 §

Tällä lailla kumotaan autoverolain (1482/1994) 87 a §:n 4 momentti, sellaisena kuin se on laissa 1192/2016.


2 §

Tämä laki tulee voimaan päivänä kuuta 20 .


Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.



10.

Laki Suomen Pankin virkamiehistä annetun lain 58 a §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan Suomen Pankin virkamiehistä annetun lain (1166/1998) 58 a §:n 3 momentti, sellaisena kuin se on laissa 1231/2004, seuraavasti:

58 a §

Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) sääde-tään, Suomen Pankin oikeuteen antaa salassapitosäännösten ja muiden tiedonsaantia koskevien rajoitusten estämättä 58 §:ssä tarkoitetun eläketurvan toimeenpanoon perustuvia tietoja, sovelletaan, mitä julkisten alojen eläkelain (81/2016) 157 ja 161-163 §:ssä säädetään.



Tämä laki tulee voimaan päivänä kuuta 20 .

Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.


11.

Laki verotustietojen julkisuudesta ja salassapidosta annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

kumotaan verotustietojen julkisuudesta ja salassapidosta annetun lain (1346/1999) 12 §, 14 §:n 3 momentti, 17 §:n 3 momentti, 17 a §:n 2 momentti ja 20 e §:n 3 momentti, sellaisina kuin niistä ovat 14 §:n 3 momentti laissa 813/2013, 17 a §:n 2 momentti ja 20 e §:n 3 momentti laissa 793/2014, sekä

muutetaan 19 §:n 3 kohta sekä 20 §:n 1 ja 3 kohta seuraavasti:

19 §
Tietojen antaminen syyttäjä- ja esitutkintaviranomaisille

Verohallinto voi salassapitovelvollisuuden estämättä antaa yksittäistapauksissa pyynnöstä verotustietoja verovelvollista koskevine tunnistetietoineen:


3) syyttäjä- ja esitutkintaviranomaisille sekä tuomioistuimille rikoslain 2 a luvun 2 §:ssä säädetyn päiväsakon suuruuden määräämistä varten.


20 §
Tietojen antaminen eräille viranomaisille

Verohallinto voi salassapitovelvollisuuden estämättä antaa pyynnöstä:

1) ulosottoviranomaisille työantajan tai muun tulonmaksajan tunnistetietoja sekä sellaisia verotustietoja, jotka ovat tarpeen ulosottoa tai muuta täytäntöönpanoa varten;


3) rekisterihallintolaissa (166/1996) tarkoitetuille viranomaisille väestötietojärjestelmän tie-tojen tarkistamista varten verovelvollista koskevine tunnistetietoineen henkilön osoitetietoja, rakennuksen tunnistetietoja ja tietoja siitä, kuka omistaa kiinteistön, rakennuksen tai huoneiston, sekä asuinhuoneistosta tiedon siitä, onko huoneisto omistajan omassa käytössä;




Tämä laki tulee voimaan päivänä kuuta 20 .

Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.


12.

Laki yksityisestä huvialuksesta suoritettavasta polttoainemaksusta annetun lain 15 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan yksityisestä huvialuksesta suoritettavasta polttoainemaksusta annetun lain (1307/2007) 15 § seuraavasti:

15 §
Oikeus tietojen saantiin liikenneasioiden rekisteristä

Polttoainemaksusta vastaavilla viranomaisilla on salassapitosäännösten ja tietojen luovutusta koskevien rajoitusten estämättä oikeus saada verotusta ja sen valvontaa varten välttämättömät tiedot liikenneasioiden rekisteristä.



Tämä laki tulee voimaan päivänä kuuta 20 .

Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.


13.

Laki Finanssivalvonnasta annetun lain 20 b §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan Finanssivalvonnasta annetun lain (878/2008) 20 b §:n 4 momentti, sellaisena kuin se on laissa 402/2018, seuraavasti:

20 b §
Oikeus saada tietoja viranomaisilta ja julkista tehtävää hoitavalta

Finanssivalvonnalla on oikeus saada 1 momentissa tarkoitetut tiedot maksutta.



Tämä laki tulee voimaan päivänä kuuta 20 .

Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.


14.

Laki väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

kumotaan väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain (661/2009) 73 §,

muutetaan 22 §:n 7 momentti, 26 §:n 1 momentti, 44 §, 46 §:n 1 momentti, 47 §:n 1 momentti, 49 §:n 2 momentti, 53 §:n 1 momentin johdantokappale sekä 56 §:n 1 momentin johdantokappale, sellaisina kuin niistä ovat 22 §:n 7 momentti laissa 145/2014 ja 26 §:n 1 momentti laissa 670/2016, seuraavasti:

22 §
Muiden viranomaisten toimivalta

Väestörekisterikeskus voi sopia kunnan kanssa, että kunta vastaa rekisterinpitäjänä alueensa rakennushankkeita, rakennuksia ja huoneistoja koskevien tietojen lisäämistä, muuttamista tai korjaamista koskevien rekisterimerkintöjen tekemisestä väestötietojärjestelmään siten kuin tässä laissa säädetään.


26 §
Tietojen ilmoittaminen

Väestötietojärjestelmään talletettavat tiedot on ilmoitettava rekisterinpitäjälle kirjallisesti, sähköisesti, rajapinnan avulla tai muulla tarkoitukseen soveltuvalla luotettavalla ja turvallisella tavalla. Väestörekisterikeskus antaa luvan tietojen ilmoittamiseen, jos tiedot ilmoitetaan rajapinnan avulla tai muutoin sähköisesti. Jos ilmoittajaan ei sovelleta julkisen hallinnon tiedonhallinnasta annetun lain ( / ) säännöksiä, luvan antamisen edellytyksenä on, että tietojen ilmoittaja on toimittanut Väestörekisterikeskukselle riittävän selvityksen tietojen suojauksesta.



44 §
Selvitys tietojen käytöstä ja suojauksesta

Ennen tietojen luovuttamista Väestörekisterikeskus voi tarvittaessa vaatia käyttäjältä selvi-tyksen siitä, kuinka luovutettujen tietojen käyttö ja suojaus on tarkoitus järjestää. Selvitys on annettava kirjallisesti ja siinä on ilmoitettava, kuinka luovutettavien tietojen hallinnollinen ja fyysinen turvallisuus sekä henkilöstö-, tietoliikenne-, ohjelmisto-, tietoaineisto-, käyttö- ja laitteistoturvallisuus on tarkoitus varmistaa.


Edellä 1 momentissa tarkoitettu selvitys on vaadittava, jos:

1) tiedot luovutetaan rajapinnan avulla tai katseluyhteyksin taikka luovuttaminen koskee laajaa tietojoukkoa ja kysymys on 36—43 §:ssä säädettyjen tietojen luovuttamisesta; tai

2) tietojen käytön voidaan muusta perustellusta syystä olettaa loukkaavan henkilön yksi-tyiselämän tai henkilötietojen suojaa, hänen etujaan tai oikeuksiaan taikka vaarantavan valtion turvallisuutta.


Poikkeuksena 1 ja 2 momentissa säädetystä selvitystä ei vaadita, jos käyttäjän tietojen käsit-telyyn sovelletaan julkisen hallinnon tiedonhallinnasta annetun lain säännöksiä.


46 §
Tietojen luovuttamisen tavat ja keinot

Väestötietojärjestelmän tietojen luovuttamiseen sovelletaan julkisen hallinnon tiedonhal-linnasta annetun lain säännöksiä luovuttamisen tavoista ja keinoista. Valtioneuvoston ase-tuksella voidaan antaa tarkempia säännöksiä väestötietojärjestelmästä, siihen kuuluvista asiakirjoista ja muista vastaavista tietoaineistoista annettavista todistuksista ja otteista sekä niihin sisältyvistä tiedoista.



47 §
Tietojen luovuttamisesta päättävä viranomainen

Väestörekisterikeskus päättää väestötietojärjestelmän tietojen luovuttamisesta, jos luovut-taminen tapahtuu rajapinnan tai katseluyhteyksien avulla taikka kysymys on muiden kuin yksittäisten tietojen luovuttamisesta ulkomaille.



49 §
Muu luovutustoimivalta

Edellä 1 momentissa tarkoitetuissa tapauksissa tietojen luovuttajaan sovelletaan, mitä 44 §:ssä säädetään tietojen vastaanottajasta. Tietoja 1 momentin 2 kohdan perusteella luovuttavaan henkilöön sovelletaan tässä tehtävässä rikosoikeudellista virkavastuuta koskevia säännöksiä. Tietojen luovuttamisessa on noudatettava soveltuvin osin 4 luvun säännöksiä.


53 §
Käyttäjärekisteri

Väestörekisterikeskuksen on pidettävä rajapinnan tai katseluyhteyksien avulla tapahtuvasta väestötietojärjestelmän tietojen käsittelystä käyttäjärekisteriä. Käyttäjärekisteriin voidaan tal-lettaa seuraavat tiedot:



56 §
Lokirekisteri

Väestörekisterikeskuksen on pidettävä rajapinnan tai katseluyhteyksien avulla tapahtuvasta väestötietojärjestelmän tietojen käsittelystä lokirekisteriä. Lokirekisteriin voidaan tallettaa seuraavat tiedot:




Tämä laki tulee voimaan päivänä kuuta 20 .

Ennen tämän lain voimaan tuloa käytössä olleisiin teknisiin käyttöyhteyksiin sovelletaan ennen lain voimaan tuloa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä sekä 53 ja 56 §:n säännöksiä 48 kuukautta lain voimaantulosta.


15.

Laki valmisteverotuslain 4 a §:n 4 momentin kumoamisesta

Eduskunnan päätöksen mukaisesti säädetään:

1 §

Tällä lailla kumotaan valmisteverotuslain (182/2010) 4 a §:n 4 momentti, sellaisen kuin se on laissa 1178/2016.


2 §

Tämä laki tulee voimaan päivänä kuuta 20 .


Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.



16.

Laki Harmaan talouden selvitysyksiköstä annetun lain 8 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan Harmaan talouden selvitysyksiköstä annetun lain (1207/2010) 8 §, sellaisena kuin se on osaksi laissa 252/2012, seuraavasti:

8 §
Tietojen maksuttomuus

Selvitysyksiköllä on oikeus saada tiedot maksutta. Jos luovutuksesta aiheutuu tietojen luovuttajalle olennaisia lisäkustannuksia, kustannukset on kuitenkin korvattava.


Selvitysyksiköllä on oikeus käyttää Verohallinnon ja sen yksikön tietojärjestelmiä laissa säädettyjen tiedonsaantioikeuksien toteuttamiseksi. Tietojen saannin välttämättömyyden arvioi Harmaan talouden selvitysyksikkö.



Tämä laki tulee voimaan päivänä kuuta 20 .

Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.


17.

Laki sijoituspalvelulain 7 luvun 6 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan sijoituspalvelulain (747/2012) 7 luvun 6 §:n 5 momentti, sellaisena kuin se on laissa 1069/2017, seuraavasti:

7 luku

Sijoituspalveluyrityksen toiminnan järjestäminen

6 §
Sidonnaisasiamies

Sidonnaisasiamiesten toiminnan lainmukaisuuden valvomiseksi Finanssivalvonta pitää sidonnaisasiamiehistä julkista rekisteriä (sidonnaisasiamiesrekisteri), johon sijoituspalveluyritys ilmoittaa nimeämänsä sidonnaisasiamiehet, jotka täyttävät sidonnaisasiamiehiä koskevat 3 momentissa säädetyt edellytykset. Rekisteriin on merkittävä luonnollisen henkilön täydellinen nimi, asuinpaikka ja sen toimipaikan osoite, jossa toimintaa harjoitetaan. Jos asiamies on oikeushenkilö, rekisteriin merkitään sen nimi, yritys- tai yhteisötunnus, kotipaikka ja sen toimipaikan osoite, jossa toimintaa harjoitetaan. Rekisteriin merkityt tiedot on säilytettävä viisi vuotta siitä lukien, kun peruste tietojen merkitsemiseen rekisteriin on päättynyt. Rekisteri on saatettava säännöllisesti ajan tasalle ja siihen sisältyvien tietojen on oltava julkisesti saatavilla. Sen estämättä, mitä viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 16 §:n 3 momentissa säädetään, Finanssivalvonta saa luovuttaa tiedon luonnollisen henkilön nimestä, asuinpaikasta ja toimipaikan osoitteesta siten kuin julkisen hallinnon tiedonhallinnasta annetussa laissa ( / ) säädetään tai saattaa ne yleisesti saataville sähköisen tietoverkon kautta.



Tämä laki tulee voimaan päivänä kuuta 20 .

Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.


18.

Laki valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä annetun lain 1 ja 4 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan valtion yhteisten tieto- viestintäteknisten palvelujen järjestämisestä annetun lain (1226/2013) 1 §:n 2 momentti ja 4 §, seuraavasti:

1 §
Lain tarkoitus ja soveltamisala

Jollei tässä laissa toisin säädetä, julkisen hallinnon tiedonhallinnan ohjaukseen ja tietojärjestelmien yhteentoimivuuden edistämiseen ja varmistamiseen sovelletaan julkisen hallinnon tiedonhallinnasta annetun lain ( / ) säännöksiä.


4 §
Yhteisten palvelujen ohjaus

Valtiovarainministeriön tehtävänä on ohjata valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämistä ja palvelujen laatua sekä näiden palvelujen yhteentoimivuutta ja kokonaisarkkitehtuurin mukaisuutta. Valtiovarainministeriö vastaa tässä laissa tarkoitettujen yhteisten palvelujen palvelutuotannon yleishallinnollisesta, strategisesta sekä tieto- ja viestintäteknisen varautumisen, valmiuden ja turvallisuuden ohjauksesta.



Tämä laki tulee voimaan päivänä kuuta 20 .


19.

Laki julkisen hallinnon turvallisuusverkkotoiminnasta annetun lain 1 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan julkisen hallinnon turvallisuusverkkotoiminnasta annetun lain (10/2015) 1 §:n 4 momentti, seuraavasti:

1 §
Lain tarkoitus ja soveltamisala

Jollei tässä laissa toisin säädetä, turvallisuusverkkotoimintaan sovelletaan valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä annetun lain (1226/2013) säännöksiä ja julkisen hallinnon tiedonhallinnasta annetun lain ( / ) säännöksiä.



Tämä laki tulee voimaan päivänä kuuta 20 .


20.

Laki rikostorjunnasta Tullissa annetun lain 4 luvun 6 §:n kumoamisesta

Eduskunnan päätöksen mukaisesti säädetään:

1 §

Tällä lailla kumotaan rikostorjunnasta Tullissa annetun lain (623/2015) 4 luvun 6 §, sellaisena kuin se on laissa 310/2016.


2 §

Tämä laki tulee voimaan päivänä kuuta 20 .


Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.



21.

Laki hallinnon yhteisistä sähköisen asioinnin tukipalveluista annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

kumotaan hallinnon yhteisistä sähköisen asioinnin tukipalveluista annetun lain (571/2016) 1 §:n 4 momentti, 12 §:n 6 momentti, 13 §:n 5 momentti ja 14 §:n 3 momentti

muutetaan 1 §:n 3 momentti, 9 §:n johdantokappale, 15 §:n 2 momentti, 16 §:n 2 momentti ja 22 §:n 1 momentti seuraavasti:

1 §
Lain tarkoitus ja soveltamisala

Jollei tässä tai muussa laissa toisin säädetä, yhteisten sähköisen asioinnin tukipalvelujen tuottamisen edellyttämään henkilö- ja muiden tietojen käsittelyyn sovelletaan luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, tietosuojalakia ( / ) ja viranomaisten toiminnan julkisuudesta annettua lakia (621/1999), viestinnän välittämiseen ja viestien ja välitystietojen käsittelyyn sähköisen viestinnän palveluista annettua lakia (917/2014) sekä tiedonhallintaan ja tietojärjestelmien käyttöön julkisen hallinnon tiedonhallinnasta annettua lakia ( / ).


9 §
Palvelutuotannossa säännönmukaisesti hyödynnettävät tietolähteet

Väestörekisterikeskuksella on oikeus sille tässä laissa säädettyjen tehtävien hoitamiseksi käsitellä seuraaviin tietojärjestelmiin tallennettuja tässä pykälässä tarkoitettuja tietoja noudattaen tätä lukua:



15 §
Tietojen käsittely käyttäjäorganisaatiossa

Palvelunäkymässä näytettävät tiedot haetaan käyttäjäorganisaation rekisteristä palvelunäkymään henkilötunnuksella tai muulla yksilöivällä tunnuksella. Käyttäjäorganisaation on välittömästi hävitettävä palvelunäkymästä sen tietojärjestelmään tullut henkilötunnusta tai muuta yksilöivää tunnusta koskeva tieto, jos sillä ei ole oikeutta käsitellä kyseistä tietoa.



16 §
Tukipalvelujen laatu- ja tietoturvallisuusvaatimukset

Sen lisäksi mitä tietosuoja-asetuksessa ja tietosuojalaissa säädetään, palvelutuottaja vastaa tukipalvelun tuottamisen edellyttämän tietojen yhdistämisen oikeellisuudesta sekä tukipalveluissa käsiteltävien tietojen tietoturvallisuudesta.



22 §
Yleinen ohjaus

Valtiovarainministeriön tehtävänä on ohjata tässä laissa tarkoitettujen tukipalvelujen järjestämistä, palvelujen laatua sekä näiden palvelujen yhteentoimivuutta ja kokonaisarkkitehtuurin mukaisuutta. Valtiovarainministeriö vastaa tukipalvelujen palvelutuotannon yleishallinnollisesta, strategisesta sekä tieto- ja viestintäteknisen varautumisen, valmiuden ja turvallisuuden ohjauksesta.




Tämä laki tulee voimaan päivänä kuuta 20 .

Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.


22.

Laki joukkolainanhaltijoiden edustajasta annetun lain 21 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan joukkolainanhaltijoiden edustajasta annetun lain (574/2017) 21 §:n 2 momentti, seuraavasti:

21 §
Tietojen saatavilla pitäminen

Sen estämättä, mitä viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 16 §:n 3 momentissa säädetään, rekisteristä saa luovuttaa tiedon luonnollisen henkilön nimestä tai syntymäajasta siten kuin julkisen hallinnon tiedonhallinnasta annetussa laissa ( / ) säädetään tai saattamalla tiedot yleisesti saataville sähköisen tietoverkon kautta. Henkilötietoja voidaan hakea sähköisen tietoverkon kautta vain yksittäisinä hakuina.




Tämä laki tulee voimaan päivänä kuuta 20 .

Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.


23.

Laki meriliikenteessä käytettävien alusten kilpailukyvyn parantamisesta annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

kumotaan meriliikenteessä käytettävien alusten kilpailukyvyn parantamisesta annetun lain (1277/2007) 17 §:n 2 momentti, sellaisena kuin se on laissa 1317/2009, sekä

muutetaan 23 §:n 1 ja 2 momentti ja 29 §:n 5 momentti, seuraavasti:

23 §
Tietojen käsittely

Viranomaisen hallussa olevien, tässä laissa tarkoitettujen henkilötietojen käsittelyyn sovel-letaan, mitä luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 sekä tietosuojalaissa ( / ) säädetään ja tietojen luovuttamiseen sovelletaan, mitä viranomaisten toiminnan julkisuudesta annetussa laissa ja julkisen hallinnon tiedonhallinnasta annetussa laissa ( / ) säädetään.


Tässä laissa tarkoitetut hakijan ja Merimieseläkekassan sekä vakuutusyhtiön tiedot voidaan luovuttaa viranomaiselle ja viranomaiselta teknisen rajapinnan avulla tai muutoin sähköisesti. Näiden tietojen toimittaminen edellyttää kuitenkin, että osapuolet sopivat ennalta tietojen toimittamistavasta.



29 §
Ilmoitukset ja tiedonannot

Tukiviranomainen antaa tiedot tämän lain perusteella tehdyistä päätöksistä ja maksetuista tuista siten kuin siitä julkisen hallinnon tiedonhallinnasta annetussa laissa ja muualla erikseen säädetään.



Tämä laki tulee voimaan päivänä kuuta 20 .

Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.


24.

Laki ajoneuvojen katsastustoiminnasta annetun lain 27 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan ajoneuvojen katsastustoiminnasta annetun lain (957/2013) 27 §:n 1 momentti seuraavasti:

27 §
Katsastusasiakirjojen säilyttäminen ja luovuttaminen

Katsastustoimipaikan on lähetettävä rekisteröinti-, muutos- ja kytkentäkatsastusta koskevat todistukset ja muut asiakirjat Liikenne- ja viestintävirastolle säilytettäviksi mahdollisimman pian sen jälkeen, kun katsastus on suoritettu loppuun. Liikenne- ja viestintävirasto saa salassapitosäännösten estämättä luovuttaa näitä todistuksia ja asiakirjoja sekä muita kat-sastustoiminnassa tarvittavia asiakirjoja katsastustoimipaikoille katsastustoimintaa varten.




Tämä laki tulee voimaan päivänä kuuta 20 .

Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.


25.

Laki ajoneuvojen yksittäishyväksynnän järjestämisestä annetun lain 20 ja 28 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan ajoneuvojen yksittäishyväksynnän järjestämisestä annetun lain (958/2013) 20 §:n 1 momentti ja 28 §, sellaisena kuin niistä on 28 § laissa 305/2018, seuraavasti:

20 §
Asiakirjojen säilyttäminen ja luovuttaminen

Yksittäishyväksynnän myöntäjän on toimitettava yksittäishyväksynnän myöntämistä koskevat asiakirjat Liikenne- ja viestintävirastolle säilytettäviksi sen jälkeen, kun yksittäishyväksyntä on tehty. Liikenne- ja viestintävirasto saa salassapitosäännösten estämättä luovuttaa näitä asiakirjoja ajoneuvojen katsastus- tai rekisteröintitehtäviä suorittaville sekä yksittäishyväksyntöjen myöntämistoimintaa harjoittaville kyseistä toimintaa varten.



28 §
Liikenne- ja viestintäviraston tiedonsaantioikeus ja oikeus tietojen edelleen luovuttamiseen

Liikenne- ja viestintävirastolla on sen estämättä, mitä tietojen salassapidosta säädetään, oikeus saada tehtäviensä hoitamisen kannalta välttämättömät tiedot rikosrekisteristä yksittäis-hyväksyntöjen myöntämisen edellytyksiksi säädettyjen luotettavuusvaatimusten selvittämiseksi ja valvontaa varten. Tieto rikoksesta voidaan sopimuksen purkamisen perusteena luovuttaa salassapitosäännösten estämättä yksittäishyväksynnän myöntäjälle.



Tämä laki tulee voimaan päivänä kuuta 20 .

Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.


26.

Laki kansanterveyslain 13 h §:n kumoamisesta

Eduskunnan päätöksen mukaisesti säädetään:

1 §

Tällä lailla kumotaan kansanterveyslain (66/1972) 13 h §, sellaisena kuin se on laissa 1429/2014.


2 §

Tämä laki tulee voimaan päivänä kuuta 20 .


Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.



27.

Laki lääkelain 30 e ja 89 b §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan lääkelain (395/1987) 30 e §:n 3 momentti ja 89 b §:n 2 momentti, sellaisina kuin ne ovat, 30 e §:n 3 momentti laissa 330/2013 ja 89 b §:n 2 momentti laissa 789/2016, seuraavasti:

30 e §

Lääkevalmisteen myyntiluvan, rinnakkaistuontimyyntiluvan ja perinteisen kasvirohdos-valmisteen rekisteröinnin haltijan sekä Lääkealan turvallisuus- ja kehittämiskeskuksen yllä-pitämässä haittavaikutusrekisterissä olevia tietoja saa käyttää vain lääkkeiden haittavaikutus-ten seurantaan ja raportointiin, tieteelliseen tutkimukseen sekä lääkkeiden turvallisuuden ja riski-hyötysuhteen arviointiin. Tietoja ei saa kuitenkaan luovuttaa tai käyttää rekisteröityä koskevaan päätöksentekoon. Lääkealan turvallisuus- ja kehittämiskeskuksen tulee luovuttaa saamansa rokotetta koskevat tiedot Terveyden ja hyvinvoinnin laitokselle.



89 b §

Verohallinnon tulee pyynnöstä antaa Lääkealan turvallisuus- ja kehittämiskeskukselle maksutta ja salassapitosäännösten estämättä apteekkien valvontaa varten tarpeelliset tiedot apteekkitoiminnan harjoittajan veroveloista ja maksujärjestelyistä sekä apteekkiverosta.



Tämä laki tulee voimaan päivänä kuuta 20 .

Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.


28.

Laki yksityisestä terveydenhuollosta annetun lain 14 b §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan yksityisestä terveydenhuollosta annetun lain (152/1990) 14 b §, sellaisena kuin se on laeissa 377/2009 ja 1549/2009, seuraavasti:

14 b §
Tietojen luovuttaminen yksityisten palvelujen antajien rekisteristä ja niiden julkisuus

Salassapitosäännösten ja muiden tietojen käyttöä koskevien säännösten estämättä Sosiaali- ja terveysalan lupa- ja valvontavirasto ja aluehallintovirastot saavat luovuttaa yksityisten palvelujen antajien rekisteristä sen lisäksi, mitä muualla lainsäädännössä säädetään:

1) Kansaneläkelaitokselle sairausvakuutus-, eläke- ja vammaisetuuksia myönnettäessä tar-vittavat tiedot yksityisistä terveydenhuollon palvelujen tuottajista ja itsenäisistä ammatin-harjoittajista sekä sairausvakuutuskorvausten taksojen määrittelemiseksi ja korvausjärjestel-män kehittämiseksi tiedot 10 §:ssä tarkoitetuista toimintakertomuksista; sekä

2) Terveyden ja hyvinvoinnin laitokselle tilastointia varten tarvittavat tiedot 4 §:n mukaisen luvan saaneista palvelujen tuottajista ja 9 a §:n mukaisen ilmoituksen tehneistä itsenäisistä ammatinharjoittajista sekä 10 §:ssä tarkoitetuista toimintakertomuksista.


Sosiaali- ja terveysalan lupa- ja valvontavirasto voi lisäksi julkistaa ja luovuttaa julkisen tietoverkon välityksellä yksityisten palvelujen antajien rekisteristä yksityisten terveyspalve-lujen antajan nimen tai toiminimen, palvelualan sekä kaikkien toimintayksiköiden ja toimi-paikkojen osoitteet ja yhteystiedot. Muista kuin itsenäisistä ammatinharjoittajista saa julkisessa tietoverkossa olla myös muita yritystoimintaa koskevia julkisia tietoja. Itsenäinen am-matinharjoittaja voi kuitenkin kieltää itseään koskevien osoitteiden ja yhteystietojen julkai-semisen.


Muuhun kuin julkisessa tietoverkossa tapahtuvaan julkisten henkilötietojen luovutukseen sovelletaan, mitä viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 16 §:n 3 momentissa säädetään. Palvelujen tuottajan ja itsenäisen ammatinharjoittajan ilmoitettua toiminnan lopettamisesta saa niitä koskevia tietoja julkaista ja luovuttaa julkisessa tietover-kossa enintään 12 kuukauden ajan siitä, kun lopettamisilmoitus saapui lupaviranomaiselle.



Tämä laki tulee voimaan päivänä kuuta 20 .

Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.


29.

Laki toimeentulotuesta annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan toimeentulotuesta annetun lain (1412/1997) 14 h ja 18 b §, 18 d §:n 3 momentti ja 18 e §:n 2 momentti, sellaisina kuin ne ovat, 14 h § laissa 815/2015, 18 b §, 18 d §:n 3 momentti ja 18 e §:n 2 momentti laissa 1107/2016, seuraavasti:

14 h §
Kansaneläkelaitoksen oikeus luovuttaa Terveyden ja hyvinvoinnin laitokselle tilastoinnin kan-nalta välttämättömiä tietoja

Kansaneläkelaitoksella on oikeus luovuttaa tilastojen laatimisen kannalta välttämättömiä 14 g §:ssä tarkoitettuja tietoja Terveyden ja hyvinvoinnin laitokselle asiakkaan suostumuksesta riippumatta. Kansaneläkelaitoksen tulee etukäteen ilmoittaa asiakkaalle tietojen luovutuksesta.


18 b §
Tietojen luovuttaminen

Kansaneläkelaitoksella on oikeus saada kunnan sosiaalihuollon viranomaiselta ja verovi-ranomaisilta näiden henkilörekistereissä olevia 18 a §:ssä tarkoitettuja salassa pidettäviä hen-kilötietoja asiakkaan suostumuksesta riippumatta, jos se on välttämätöntä tämän lain mukaisen toimeentulotukiasian käsittelemistä varten. Kansaneläkelaitoksen tulee etukäteen ilmoittaa asiakkaalle tästä mahdollisuudesta. Kansaneläkelaitos voi antaa kunnan sosiaalihuollon viranomaiselle salassa pidettäviä henkilötietoja, jos luovutusoikeus perustuu nimenomaiseen lainsäännökseen.


Kunnan sosiaalihuollon viranomaisen oikeudesta saada 1 momentissa tarkoitettuja tietoja vastaavat henkilötiedot Kansaneläkelaitokselta ja veroviranomaiselta säädetään sosiaalihuol-lon asiakkaan asemasta ja oikeuksista annetun lain 21 §:ssä.


18 d §
Salassa pidettävien tietojen luovuttaminen Kansaneläkelaitoksen sekä apteekkien ja lääkkeellisen hapen toimittajien välillä

Kansaneläkelaitoksen tulee etukäteen ilmoittaa asiakkaalle tietojen luovutuksesta.


18 e §
Salassa pidettävien tietojen luovuttaminen Kansaneläkelaitoksen ja vuokranantajien välillä

Kansaneläkelaitoksen tulee etukäteen ilmoittaa asiakkaalle tietojen luovutuksesta.



Tämä laki tulee voimaan päivänä kuuta 20 .

Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.


30.

Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista annetun lain 14 ja 21 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan sosiaalihuollon asiakkaan asemasta ja oikeuksista annetun lain (812/2000) 14 §:n 2 momentti ja 21 § seuraavasti:

14 §
Asiakirjasalaisuus

Salassa pidettävää asiakirjaa tai sen kopiota tai tulostetta siitä ei saa näyttää eikä luovuttaa sivulliselle eikä antaa sivullisen nähtäväksi tai käytettäväksi.



21 §
Tietojen luovuttaminen

Sosiaalihuollon viranomainen voi saada veroviranomaisilta ja kansaneläkelaitokselta näiden henkilörekistereissä olevia edellä 20 §:ssä tarkoitettuja salassa pidettäviä henkilötietoja asiakkaan suostumuksesta riippumatta maksun määräämistä ja tietojen tarkistamista varten. Sosiaalihuollon viranomaisen tulee etukäteen ilmoittaa asiakkaalle tietojen luovuttamisesta.



Tämä laki tulee voimaan päivänä kuuta 20 .

Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.


31.

Laki kuntouttavasta työtoiminnasta annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

kumotaan kuntouttavasta työtoiminnasta annetun lain (189/2001) 29 § ja

muutetaan 27 §:n 2 momentti, sellaisena kuin se on laissa 1109/2016, seuraavasti:

27 §
Kansaneläkelaitoksen tietojenantovelvollisuus

Kansaneläkelaitos toimittaa kunnalle salassapitoa ja muiden tiedon antamista koskevien rajoitusten estämättä tiedot työttömistä alle 25-vuotiaista henkilöistä, joiden pääasiallinen toimeentulo on viimeisten neljän kuukauden aikana perustunut työttömyyden johdosta maksettuun toimeentulotukeen sekä tiedot 25 vuotta täyttäneistä henkilöistä, joiden pääasi-allinen toimeentulo on viimeisten 12 kuukauden aikana perustunut työttömyyden johdosta maksettuun toimeentulotukeen. Tiedot toimitetaan henkilön kotikuntalain mukaiseen kuntaan.



Tämä laki tulee voimaan päivänä kuuta 20 .

Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.


32.

Laki sähköisestä lääkemääräyksestä annetun lain 15 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan sähköisestä lääkemääräyksestä annetun lain (61/2007) 15 §:n 1 ja 2 momentti, sellaisena kuin niistä on 1 momentti laeissa 781/2009, 1567/2009 ja 251/2014, seuraavasti:

15 §
Tietojen luovuttaminen viranomaisille ja tieteelliseen tutkimukseen

Salassapitosäännösten ja muiden tietojen käyttöä koskevien säännösten estämättä Kansaneläkelaitos saa rekisterinpitäjänä luovuttaa reseptikeskuksesta ja reseptiarkistosta pyynnöstä sen lisäksi, mitä muualla laissa säädetään:

1) Sosiaali- ja terveysalan lupa- ja valvontavirastolle ja aluehallintovirastolle terveydenhuollon ammattihenkilöiden valvonnassa tarvittavat tiedot lääkkeen määrääjien laatimista lääkemääräyksistä ja niiden toimittamisesta;

2) Lääkealan turvallisuus- ja kehittämiskeskukselle lääkelain (395/1987) 21 f §:ssä tar-koitetun erityisluvan hakemiseksi laaditun lääkemääräyksen, turvallisen ja tarkoituksenmukaisen lääkkeiden käytön ohjauksessa tarvittavat tiedot sekä lääkelain ja huu-mausainelain mukaisessa valvonnassa tarvittavat tiedot lääkemääräyksistä ja niiden toimittamisesta.


Tiedot on luovutettava 1 momentissa mainituille viranomaisille maksutta.




Tämä laki tulee voimaan päivänä kuuta 20 .

Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.


33.

Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain 14 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (159/2007) 14 §:n 3 momentti, sellaisena kuin se on laissa 539/2016, seuraavasti:

14 §
Valtakunnalliset tietojärjestelmäpalvelut

Väestörekisterikeskus toimii sosiaali- ja terveydenhuollon ammattihenkilöiden ja muun henkilöstön, palvelujen antajien sekä näiden palvelujen antamiseen osallistuvien organisaa-tioiden, niiden henkilöstön ja tietoteknisten laitteiden vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa tarkoitettuna varmentajana. Väestörekis-terikeskuksella on oikeus saada näiden tehtäviensä hoitamiseksi Sosiaali- ja terveysalan lupa- ja valvontavirastolta sen ylläpitämästä terveydenhuollon ammattihenkilöiden keskusrekisteristä varmenteen myöntämiseen ja peruuttamiseen, varmenteeseen, varmenteen tekniseen alustaan ja varmenteen toimittamiseen tarvittavat tiedot. Sosiaali- ja terveysalan lupa- ja valvontavirastolla on vastaavasti oikeus saada lakisääteisten tehtäviensä hoitamiseksi Väestö-rekisterikeskukselta tiedot sen edellä mainituin perustein myöntämistä varmenteista.




Tämä laki tulee voimaan päivänä kuuta 20 .

Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.


34.

Laki yksityisistä sosiaalipalveluista annetun lain 31 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan yksityisistä sosiaalipalveluista annetun lain (922/2011) 31 § seuraavasti:

31 §
Tietojen luovuttaminen

Salassapitosäännösten ja muiden tietojen käyttöä koskevien säännösten estämättä lupavi-ranomaiset saavat luovuttaa yksityisten palvelujen antajien rekisteristä sen lisäksi, mitä muualla laissa säädetään:

1) Kansaneläkelaitokselle sairausvakuutus-, eläke- ja vammaisetuuksia myönnettäessä tar-vittavat tiedot yksityisistä sosiaalipalvelujen tuottajista;

2) Terveyden ja hyvinvoinnin laitokselle tilastointia varten tarvittavat tiedot yksityisistä sosiaalipalvelujen tuottajista sekä 16 §:ssä tarkoitetuista toimintakertomuksista.



Tämä laki tulee voimaan päivänä kuuta 20 .

Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.


35.

Laki eräistä asbestipurkutyötä koskevista vaatimuksista annetun lain 13 §:n kumoamisesta

Eduskunnan päätöksen mukaisesti säädetään:

1 §

Tällä lailla kumotaan eräistä asbestipurkutyötä koskevista vaatimuksista annetun lain (684/2015) 13 §.


2 §

Tämä laki tulee voimaan päivänä kuuta 20 .


Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.



36.

Laki Vankiterveydenhuollon yksiköstä annetun lain 7 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan Vankiterveydenhuollon yksiköstä annetun lain (1635/2015) 7 §:n 3 momentti seuraavasti:

7 §
Oikeus saada tietoja muulta terveydenhuollon toimintayksiköltä ja muulta viranomaiselta

Vankiterveydenhuollon yksiköllä on oikeus saada Rikosseuraamuslaitoksen täytäntöönpa-norekisteriin, yhdyskuntaseuraamusrekisteriin sekä valvonta- ja toimintarekisteriin sisältyviä tietoja siltä osin kuin se on välttämätöntä Vankiterveydenhuollon yksikössä toimivien hen-kilöiden tehtävien suorittamiseksi.



Tämä laki tulee voimaan päivänä kuuta 20 .

Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.


37.

Laki panostajalain 23 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan panostajalain (423/2016) 23 § seuraavasti:

23 §
Tietojen luovuttaminen, henkilötietojen käsittely ja rekisteröidyn oikeudet

Aluehallintovirasto voi salassapitosäännösten estämättä luovuttaa 22 §:ssä tarkoitettuja tietoja muulle viranomaiselle sen laissa säädettyjen tehtävien hoitamiseksi sekä Euroopan unionin jäsenvaltion ja Euroopan talousalueeseen kuuluvan valtion viranomaiselle pätevyyskirjan myöntämiseen ja valvontaan liittyvien tehtävien hoitamiseksi.


Rekisteriin tallennettujen tietojen julkisuudesta ja tietojen luovuttamisesta säädetään vi-ranomaisten toiminnan julkisuudesta annetussa laissa (621/1999). Henkilötietojen käsittelystä ja rekisteröidyn henkilön oikeuksista säädetään erikseen.



Tämä laki tulee voimaan päivänä kuuta 20 .

Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.


38.

Laki tartuntatautilain eräiden säännösten kumoamisesta

Eduskunnan päätöksen mukaisesti säädetään:

1 §

Tällä lailla kumotaan tartuntatautilain (1227/2016) 25 §:n 3 momentti, 41 §, 51 §:n 3 momentti ja 53 §:n 4 momentti.


2 §

Tämä laki tulee voimaan päivänä kuuta 20 .


Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.



39.

Laki ympäristönsuojelulain 222 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan ympäristönsuojelulain (527/2014) 222 §:n 5 momentti seuraavasti:

222 §
Ympäristönsuojelun tietojärjestelmä

Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa säädetään, voidaan tietojärjestelmän tietoja luovuttaa noudattaen mitä julkisen hallinnon tiedonhallinnasta annetussa laissa ( / ) säädetään.




Tämä laki tulee voimaan päivänä kuuta 20 .

Lain voimaan tullessa käytössä oleviin teknisiin käyttöyhteyksiin sovelletaan lain voimaan tullessa voimassa olleita teknistä käyttöyhteyttä koskevia säännöksiä 48 kuukautta lain voimaantulosta.


Helsingissä 5 päivänä joulukuuta 2018

Pääministeri
Juha Sipilä

Kunta- ja uudistusministeri
Anu Vehviläinen