Sisällysluettelo

Siirry

Laki julkisen hallinnon tiedonhallinnasta 9.8.2019/906

Eduskunnan päätöksen mukaisesti säädetään:

Ks. muutosehdotus HE 57/2024.

1 lukuYleiset säännökset

1 § Lain tarkoitus

1. mom.

Tämän lain tarkoituksena on:

1) varmistaa viranomaisten tietoaineistojen yhdenmukainen ja laadukas hallinta sekä tietoturvallinen käsittely julkisuusperiaatteen toteuttamiseksi;

2) mahdollistaa viranomaisten tietoaineistojen turvallinen ja tehokas hyödyntäminen, jotta viranomainen voi hoitaa tehtävänsä ja tarjota palvelunsa hallinnon asiakkaille hyvää hallintoa noudattaen tuloksellisesti ja laadukkaasti;

3) edistää tietojärjestelmien ja tietovarantojen yhteentoimivuutta.

2. mom.

2 momentti on kumottu L:lla 15.7.2021/710.

2 § Määritelmät

1. mom.

Tässä laissa tarkoitetaan:

1) viranomaisella viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 4 §:n 1 momentissa tarkoitettuja viranomaisia;

2) tiedonhallintayksiköllä viranomaista, jonka tehtävänä on järjestää tiedonhallinta tämän lain vaatimusten mukaisesti;

3) tietojärjestelmällä tietojenkäsittelylaitteista, ohjelmistoista ja muusta tietojenkäsittelystä koostuvaa kokonaisjärjestelyä;

4) asiakirjalla viranomaisten toiminnan julkisuudesta annetun lain 5 §:n 2 momentissa tarkoitettua viranomaisen asiakirjaa;

5) tietoaineistolla asiakirjoista ja muista vastaavista tiedoista muodostuvaa tiettyyn viranomaisen tehtävään tai palveluun liittyvää tietokokonaisuutta;

6) tietovarannolla viranomaisen tehtävien hoidossa tai muussa toiminnassa käytettäviä tietoaineistoja sisältävää kokonaisuutta, jota käsitellään tietojärjestelmien avulla tai manuaalisesti;

7) yhteisellä tietovarannolla useiden toimijoiden käyttöön suunniteltua ja ylläpidettyä tietovarantoa, jonka tiedot ovat luovutettavissa ja hyödynnettävissä eri tarkoituksiin;

8) tietoturvallisuustoimenpiteillä tietoaineistojen saatavuuden, eheyden ja luottamuksellisuuden varmistamista hallinnollisilla, toiminnallisilla ja teknisillä toimenpiteillä;

9) tiedonhallinnalla viranomaisen tehtävien hoidossa tai sen muussa toiminnassa syntyviin tarpeisiin perustuvia toimia ja tietoturvallisuustoimenpiteitä viranomaisen tietoaineistojen, niiden käsittelyvaiheiden ja tietoaineistoihin sisältyvien tietojen hallinnoimiseksi riippumatta tietoaineistojen tallentamistavasta ja muista käsittelytavoista;

10) toimintaprosessilla viranomaisen asiankäsittely- tai palveluprosessia;

11) teknisellä rajapinnalla sähköisen tietojenvaihdon mahdollistavaa tiedonsiirtoratkaisua kahden tai useamman tietojärjestelmän välillä;

12) katseluyhteydellä tietojärjestelmään toteutettua tietoaineistojen katselun mahdollistavaa rajattua näkymää;

13) tietovarantojen yhteentoimivuudella tietojen hyödyntämistä ja vaihtoa eri tietojärjestelmien välillä siten, että tietojen merkitys ja käytettävyys säilyvät;

14) koneluettavalla muodolla tiedostomuotoa, jonka rakenne mahdollistaa sen, että ohjelmistot pystyvät helposti yksilöimään, tunnistamaan ja poimimaan siitä tietoaineistoja, yksittäisiä tietoja sekä niiden rakenteita; (23.3.2023/488)

15) automaattisella ratkaisumenettelyllä toimintaprosessia, jossa asia ratkaistaan hallintolain (434/2003) 53 e §:ssä tarkoitetulla tavalla automaattisesti; (23.3.2023/488)

16) käsittelysäännöillä luonnollisen henkilön ennalta laatimia automaattisen tietojenkäsittelyn ohjaamiseen tarkoitettuja sääntöjä. (23.3.2023/488)

3 § Lain soveltamisala ja sen rajoitukset

1. mom.

Tätä lakia sovelletaan tiedonhallintaan ja tietojärjestelmien käyttöön, kun viranomaiset käsittelevät tietoaineistoja, jollei muualla laissa toisin säädetä. Tämän lain 6 a lukua sovelletaan automaattisen ratkaisumenettelyn käyttöönottoon ja käyttöön. Mitä tässä laissa säädetään viranomaisesta, sovelletaan myös yliopistolaissa (558/2009) tarkoitettuihin yliopistoihin ja ammattikorkeakoululaissa (932/2014) tarkoitettuihin ammattikorkeakouluihin. (23.3.2023/488)

2. mom.

Asiankäsittelyssä ja palvelujen tuottamisessa noudatettavista menettelyistä, salassapidosta ja tiedonsaantioikeudesta viranomaisten asiakirjoihin sekä asiakirjojen arkistoinnista säädetään erikseen. Tiedonhallinnasta ja tietojärjestelmien käytöstä Suomen evankelis-luterilaisessa kirkossa säädetään kirkkolaissa (1054/1993).

3. mom.

Tämän lain 19, 20, 26 ja 27 §:ää ei sovelleta tuomioistuimien eikä valitusasioita käsittelemään perustettujen lautakuntien lainkäyttöön. Tämän lain 3 lukua ei sovelleta eduskunnan oikeusasiamiehen eikä valtioneuvoston oikeuskanslerin toimintaan, tuomioistuimien eikä valitusasioita käsittelemään perustettujen lautakuntien toimintaan, tasavallan presidentin kansliaan, eduskunnan virastoihin, Kansaneläkelaitokseen, Suomen Pankkiin, muihin itsenäisiin julkisoikeudellisiin laitoksiin, yliopistolaissa tarkoitettuihin yliopistoihin eikä ammattikorkeakoululaissa tarkoitettuihin ammattikorkeakouluihin. Tämän lain 3 lukua sovelletaan hyvinvointialueisiin, hyvinvointiyhtymiin, kuntiin ja kuntayhtymiin niiden hoitaessa laissa säädettyjä tehtäviä. (29.6.2021/653)

4. mom.

Mitä tämän lain 4 luvussa, 22–24 ja 25–27 §:ssä sekä 6 a luvussa säädetään tiedonhallintayksiköstä ja viranomaisesta, sovelletaan yksityisiin henkilöihin tai yhteisöihin taikka muihin kuin viranomaisena toimiviin julkisoikeudellisiin yhteisöihin siltä osin kuin ne hoitavat julkista hallintotehtävää. Yksityisiin henkilöihin ja yhteisöihin sekä muihin kuin viranomaisena toimiviin julkisoikeudellisiin yhteisöihin sovelletaan lisäksi, mitä 4 ja 28 §:ssä säädetään tiedonhallintayksiköstä, niiden käyttäessä julkista valtaa viranomaisten toiminnan julkisuudesta annetun lain 4 §:n 2 momentissa tarkoitetulla tavalla tai kun mainittu laki on säädetty erikseen sovellettavaksi niiden toiminnassa. Edelleen yksityisiin yhteisöihin ja muihin kuin viranomaisena toimiviin julkisoikeudellisiin yhteisöihin sovelletaan, mitä tämän lain 19 §:n 2 momentissa sekä 24 a ja 24 b §:ssä säädetään viranomaisesta niiden käyttäessä julkista valtaa viranomaisten toiminnan julkisuudesta annetun lain 4 §:n 2 momentissa tarkoitetulla tavalla. (23.3.2023/488)

5. mom.

Tätä lakia ei sovelleta Ahvenanmaan maakunnassa toimiviin valtion viranomaisiin. Tämän lain 13 a §:ää ja 6 a lukua sovelletaan kuitenkin Ahvenanmaalla toimiviin valtion viranomaisiin niiden hoitaessa sellaisia valtakunnan lainsäädäntövaltaan kuuluvia viranomaistehtäviä, joissa tehdään hallintolain 53 e §:ssä tarkoitettuja asian automaattisia ratkaisuja. (23.3.2023/488)

KirkkoL 1054/1993 on kumottu L:lla 652/2023, ks. KirkkoL 652/2023 10 luku 8 §.

1 momentin (906/2019) sanamuotoa on oikaistu.

2 lukuTiedonhallinnan järjestäminen

4 § Tiedonhallinnan järjestäminen tiedonhallintayksikössä

1. mom.

Tässä laissa tarkoitettuja tiedonhallintayksikkojä ovat:

1) valtion virastot ja laitokset;

2) tuomioistuimet ja valitusasioita käsittelemään perustetut lautakunnat;

3) eduskunnan virastot;

4) valtion liikelaitokset;

5) hyvinvointialueet;

6) hyvinvointiyhtymät;

7) kunnat;

8) kuntayhtymät;

9) itsenäiset julkisoikeudelliset laitokset;

10) yliopistolaissa tarkoitetut yliopistot sekä ammattikorkeakoululaissa tarkoitetut ammattikorkeakoulut.

(29.6.2021/653)
2. mom.

Tiedonhallintayksikön johdon on huolehdittava siitä, että tiedonhallintayksikössä on:

1) määritelty tässä ja muussa laissa säädettyjen tiedonhallinnan toteuttamiseen liittyvien tehtävien vastuut;

2) ajantasaiset ohjeet tietoaineistojen käsittelystä, tietojärjestelmien käytöstä, tietojenkäsittelyoikeuksista, tiedonhallinnan vastuiden toteuttamisesta, tiedonsaantioikeuksien toteuttamisesta, tietoturvallisuustoimenpiteistä sekä poikkeusoloihin varautumisesta;

3) tarjolla koulutusta, jolla varmistetaan, että henkilöstöllä ja tiedonhallintayksikön lukuun toimivilla on riittävä tuntemus voimassa olevista tiedonhallintaa, tietojenkäsittelyä sekä asiakirjojen julkisuutta ja salassapitoa koskevista säädöksistä, määräyksistä ja tiedonhallintayksikön ohjeista;

4) asianmukaiset työvälineet tiedonhallintaa koskevien velvollisuuksien toteuttamiseksi;

5) järjestetty riittävä valvonta tiedonhallintaan liittyvien säädösten, määräysten ja ohjeiden noudattamisesta.

5 § Tiedonhallintamalli ja muutosvaikutuksen arviointi

1. mom.

Tiedonhallintayksikössä on ylläpidettävä sen toimintaympäristön tiedonhallintaa määrittelevää ja kuvaavaa tiedonhallintamallia. Tiedonhallintamallia ylläpidetään palvelujen, asiankäsittelyn ja tietoaineistojen hallinnan suunnittelemiseksi ja toteuttamiseksi, tiedonsaantia koskevien oikeuksien ja rajoitusten toteuttamiseksi, moninkertaisen tietojen keruun vähentämiseksi, tietojärjestelmien ja tietovarantojen yhteentoimivuuden toteuttamiseksi sekä tietoturvallisuuden ylläpitämiseksi.

2. mom.

Tiedonhallintamallin on sisällettävä vähintään tiedot:

1) toimintaprosesseja kuvaavista nimikkeistä, prosessista vastaavasta viranomaisesta, prosessin tarkoituksesta sekä prosessin sidoksista muihin prosesseihin;

2) tietovarantojen nimikkeistä, kuvaukset tietovarantojen sidoksista toimintaprosesseihin ja tietojärjestelmiin sekä luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679, jäljempänä tietosuoja-asetus, 30 artiklan 1 kohdassa tarkoitetun selosteen sisällöstä tai, jos selostetta ei tarvitse tietosuoja-asetuksen mukaan laatia, tietovarannosta vastaavasta viranomaisesta, tietovarannon käyttötarkoituksesta, keskeisistä tietoryhmistä tietoaineistoissa, tietojen luovutuskohteista ja tietojen säilytysajoista;

3) tietoaineiston arkistoon siirtämisestä, arkistointitavasta ja arkistopaikasta tai tuhoamisesta;

4) tietojärjestelmien nimikkeistä, tietojärjestelmästä vastaavasta viranomaisesta, tietojärjestelmän käyttötarkoituksesta, tietojärjestelmän liittymistä muihin tietojärjestelmiin ja liittymissä käytettävistä tiedonsiirtotavoista;

5) tietoturvallisuustoimenpiteistä.

3. mom.

Suunniteltaessa tiedonhallintamallin sisältöön vaikuttavia olennaisia hallinnollisia uudistuksia ja tietojärjestelmien käyttöönottoa tiedonhallintayksikössä on arvioitava näihin kohdistuvat muutokset ja niiden vaikutukset suhteessa tiedonhallinnan vastuisiin, 4 luvussa säädettyihin tietoturvallisuusvaatimuksiin ja -toimenpiteisiin, 5 luvussa säädettyihin tietoaineistojen muodostamista ja luovutustapaa koskeviin vaatimuksiin, 6 luvussa säädettyihin asianhallinnan ja palvelujen tiedonhallinnan vaatimuksiin sekä muualla laissa säädettyihin asiakirjojen julkisuuteen, salassapitoon, suojaan ja tiedonsaantioikeuksiin. Tiedonhallintayksikön on tiedonhallinnan muutosten arvioinnissaan otettava huomioon tietovarantojen yhteentoimivuus sekä niiden hyödynnettävyys tietoaineistoja muodostettaessa ja käytettäessä. Arvioinnin perusteella tiedonhallintayksikön on ryhdyttävä tarpeellisiin toimenpiteisiin tiedonhallintamallin muuttamiseksi ja muutosten toimeenpanemiseksi. Tietosuojaa koskevasta vaikutustenarvioinnista ja siihen liittyvästä ennakkokuulemisesta säädetään erikseen.

Ks. EPNAs (EU) 2016/679 (yleinen tietosuoja-asetus) 35 art.

3 lukuJulkisen hallinnon tiedonhallinnan yleinen ohjaus

6 § Tietovarantojen yhteentoimivuuden yleinen ohjaus

1. mom.

Valtiovarainministeriön tehtävänä on julkisen hallinnon yhteisten tietovarantojen yhteentoimivuuden yleinen ohjaus. Tässä tarkoituksessa valtiovarainministeriö:

1) huolehtii julkisen hallinnon tiedonhallintakartan ylläpidosta;

2) ylläpitää julkisen hallinnon tiedonhallinnan kehittämisen yleisiä linjauksia yhteisten tietovarantojen ja tietojärjestelmien yhteentoimivuuden edistämiseksi.

2. mom.

Kunkin ministeriön on omalla toimialallaan huolehdittava julkisen hallinnon tiedonhallintakartan sisällön ajantasaisuudesta sekä ylläpidettävä yleisiä linjauksia yhteisten tietovarantojen ja tietojärjestelmien yhteentoimivuuden edistämiseksi. Valtioneuvoston asetuksella voidaan säätää tarkemmin julkisen hallinnon tiedonhallintakartan sisällöstä ja ylläpidon toteutuksesta.

7 § Julkisen hallinnon tiedonhallinnan sekä tieto- ja viestintäteknisten palvelujen tuottamisen yhteistyö 

1. mom.

Valtiovarainministeriön on huolehdittava, että julkisen hallinnon tiedonhallintaa sekä tieto- ja viestintäteknisten palvelujen tuottamista koskevan yhteistyön koordinointia varten on järjestetty valtion virastoissa ja laitoksissa toimivien viranomaisten sekä hyvinvointialueiden, hyvinvointiyhtymien ja kuntien viranomaisten yhteistyötavat ja -menettelyt. Yhteistyön tarkoituksena on edistää tämän lain tarkoitusten toteuttamista sekä julkisen hallinnon toimintatapojen ja palvelujen tuotantotapojen kehittämistä tietovarantoja sekä tieto- ja viestintätekniikkaa hyödyntämällä. Yhteistyössä seurataan julkisen hallinnon tiedonhallinnan ja tieto- ja viestintäteknisten palvelujen kehittymistä, muutoksia ja vaikutuksia. (29.6.2021/653)

2. mom.

Valtioneuvosto voi asettaa 1 momentissa tarkoitettua yhteistyötä varten tarvittavia neuvottelukuntia tai muita yhteistyöelimiä.

8 § Tiedonhallinnan muutosten arviointi valtion virastoissa ja laitoksissa

1. mom.

Valtion virastojen ja laitosten on arvioitava tiedonhallintaan vaikuttavien muutosten taloudelliset vaikutukset tehdessään 5 §:n 3 momentin mukaista arviointia.

2. mom.

Toimialasta vastaavan ministeriön on laadittava 5 §:n 3 momentin mukainen arviointi, kun valmisteltavat säännökset vaikuttavat tietoaineistoihin ja tietojärjestelmiin. Lisäksi ministeriön on arvioitava suunniteltujen säännösten vaikutukset asiakirjojen julkisuuteen ja salassapitoon.

9 § Lausunto muutosten arvioinnista valtionhallinnossa

1. mom.

Valtion virastojen ja laitosten on toimitettava valtiovarainministeriölle 5 §:n 3 momentin ja 8 §:n 1 momentin perusteella tehty arviointi tietovarantojen ja tietojärjestelmien hyödyntämistä, yhteentoimivuutta ja tietoturvallisuutta koskevaa lausuntoa varten, kun arvioidulla muutoksella on merkittäviä taloudellisia tai toiminnallisia vaikutuksia tiedonhallintaan tai toimintaan taikka muutos koskee julkisen hallinnon yhteisten tietovarantojen rajapintojen tietorakenteiden olennaisia muutoksia. Valtiovarainministeriöllä on oikeus saada salassapitosäännösten estämättä välttämättömät tiedot valtion viranomaiselta lausunnon antamista varten.

2. mom.

Lausuntoa edellyttävistä tiedonhallinnan muutoksista, lausuntopyynnön sisällöstä ja lausuntoasiassa noudatettavasta menettelystä säädetään tarkemmin valtioneuvoston asetuksella.

Ks. VNa lausuntomenettelystä tiedonhallinnan muutosta koskevissa asioissa 1301/2019.

10 § Julkisen hallinnon tiedonhallintalautakunta

1. mom.

Valtiovarainministeriön yhteydessä toimii julkisen hallinnon tiedonhallintalautakunta (tiedonhallintalautakunta), jonka tehtävänä on:

1) arvioida valtion virastojen ja laitosten, hyvinvointialueiden ja hyvinvointiyhtymien sekä kuntien ja kuntayhtymien 4 §:n 2 momentin, 5, 19, 22–24, 24 a, 24 b ja 28 §:n sekä 6 luvun säännösten toteuttamista ja noudattamista; (15.7.2021/710)

2) edistää tässä laissa säädettyjen tiedonhallinnan ja tietoturvallisuuden menettelytapojen ja tämän lain vaatimusten toteuttamista.

2. mom.

Valtioneuvosto nimittää tiedonhallintalautakunnan neljäksi vuodeksi kerrallaan. Tiedonhallintalautakunnassa on puheenjohtaja, varapuheenjohtaja sekä jäseniä, joilla on asiantuntemus julkisen hallinnon tietoturvallisuudesta, tietojärjestelmien ja tietovarantojen yhteentoimivuudesta, tilastoinnista tai tietoaineistojen tiedonhallinnasta. Tiedonhallintalautakunnan tarkemmasta kokoonpanosta, toiminnan järjestämisestä, päätöksentekomenettelystä ja jäsenten pätevyysvaatimuksista säädetään valtioneuvoston asetuksella.

3. mom.

Valtiovarainministeriö määrää virkamiehistään lautakunnan sivutoimiset sihteerit tehtäviinsä lautakunnan toimikaudeksi. Sihteerien tehtävistä säädetään tarkemmin valtioneuvoston asetuksella.

4. mom.

Lautakunnan jäseneen ja varajäseneen sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen hoitaessaan lautakunnalle säädettyjä tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974). Lautakunnan jäsenille ja varajäsenille maksetaan tehtävien hoitamisesta palkkio. Valtiovarainministeriö vahvistaa palkkioiden määrät.

5. mom.

Tiedonhallintalautakunta voi asettaa väliaikaisia jaostoja tiedonhallinnan menettelyjen kehittämiseksi. Jaostoihin voi kuulua tiedonhallintayksikköjen asiantuntijoita. Lautakunnan sihteerit toimivat jaostojen puheenjohtajina. Väestörekisterikeskuksen tehtävänä on tuottaa tiedonhallintalautakunnalle asiantuntijapalveluja tiedonhallinnan ja tietoturvallisuuden menettelyjen kehittämiseksi.

Ks. VNa julkisen hallinnon tiedonhallintalautakunnasta 1338/2019.

11 § Tiedonhallintalautakunnan arviointitehtävä

1. mom.

Tiedonhallintalautakunnan arviointitehtävän toteuttaminen perustuu tiedonhallintalautakunnan hyväksymään arviointisuunnitelmaan.

2. mom.

Tiedonhallintalautakunnalla on oikeus saada arviointitehtävän toteuttamiseksi arvioinnin kohteena olevilta viranomaisilta salassapitosäännösten estämättä maksutta arviointitehtävän hoitamiseksi välttämättömät selvitykset sekä tarpeelliset tiedot tiedonhallintamallista, tiedonhallinnan muutosten arvioinnista, 24 a ja 24 b §:ssä tarkoitettujen tietojen saatavuuden toteuttamisesta, 28 §:ssä tarkoitetusta kuvauksesta, käytettävistä asianhallinnan ja palvelujen tiedonhallinnan menettelyistä, asiakirjojen sähköiseen muotoon muuttamista koskevasta teknologiasta, katseluyhteyksien toteutuksesta ja teknisten rajapintojen kuvauksista, teknisten rajapintojen käytöstä ja hallinnoinnista sekä rajapintojen käytön menettelyistä lukuun ottamatta turvallisuusluokiteltavia asiakirjoja. Viranomaisen on toimitettava pyydetyt tiedot asetettuun määräaikaan mennessä tiedonhallintalautakunnalle. (15.7.2021/710)

3. mom.

Jos tiedonhallintalautakunta havaitsee 10 §:n 1 momentin 1 kohdassa tarkoitettujen arviointikohteena olevien säännösten noudattamisessa puutteita, voi lautakunta kiinnittää viranomaisen huomiota tiedonhallintaan liittyvien tämän lain mukaisten menettelyjen toteuttamiseen ja vaatimusten täyttämiseen.

4. mom.

Tiedonhallintalautakunnan on laadittava kertomus arvioinnin tuloksista joka toinen vuosi ja toimitettava se valtiovarainministeriölle.

4 lukuTietoturvallisuus

12 § Luotettavuutta edellyttävien tehtävien tunnistaminen ja luotettavuudesta varmistuminen

1. mom.

Tiedonhallintayksikön on tunnistettava ne tehtävät, joiden suorittaminen edellyttää sen palveluksessa olevilta tai sen lukuun toimivilta henkilöiltä erityistä luotettavuutta. Henkilöturvallisuusselvityksen laatimisen edellytyksistä säädetään turvallisuusselvityslaissa (726/2014). Työnantajan oikeudesta selvittää työntekijän luotettavuuden arvioimiseksi häntä koskevat luottotiedot ja käsitellä huumausainetestejä koskevia tietoja säädetään yksityisyyden suojasta työelämässä annetussa laissa (759/2004).

13 § Tietoaineistojen ja tietojärjestelmien tietoturvallisuus

1. mom.

Tiedonhallintayksikön on seurattava toimintaympäristönsä tietoturvallisuuden tilaa ja varmistettava tietoaineistojen ja tietojärjestelmien tietoturvallisuus koko niiden elinkaaren ajan. Tiedonhallintayksikön on selvitettävä olennaiset tietojenkäsittelyyn kohdistuvat riskit ja mitoitettava tietoturvallisuustoimenpiteet riskiarvioinnin mukaisesti.

2. mom.

Viranomaisen tehtävien hoitamisen kannalta olennaisten tietojärjestelmien vikasietoisuus ja toiminnallinen käytettävyys on varmistettava riittävällä testauksella säännöllisesti.

3. mom.

Viranomaisen on suunniteltava tietojärjestelmät, tietovarantojen tietorakenteet ja niihin liittyvä tietojenkäsittely siten, että asiakirjojen julkisuus voidaan vaivatta toteuttaa.

4. mom.

Viranomaisen on varmistettava hankinnoissaan, että hankittavaan tietojärjestelmään on toteutettu asianmukaiset tietoturvallisuustoimenpiteet.

5. mom.

Viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista säädetään erikseen.

Ks. L viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista 1406/2011.

13 a § (23.3.2023/488) Häiriötilanteista tiedottaminen ja varautuminen häiriötilanteisiin

1. mom.

Viranomaisen on viipymättä tiedotettava sen tietoaineistoja hyödyntäville, jos sen tiedonhallintaan kohdistuu häiriö, joka estää tai uhkaa estää viranomaisen tietoaineistojen saatavuuden. Viranomaisen on tiedotettava häiriön tai sen uhkan arvioidusta kestosta, mahdollisuuksien mukaan korvaavista tavoista hyödyntää viranomaisen tietoaineistoja sekä häiriön tai uhkan päättymisestä.

2. mom.

Viranomaisen digitaalisten palvelujen ja muiden sähköisten tiedonsiirtomenetelmien käyttökatkoista tiedottamisesta yleisölle säädetään digitaalisten palvelujen tarjoamisesta annetun lain (306/2019) 4 §:n 2 momentissa.

3. mom.

Tiedonhallintayksikön on selvitettävä sen tietoaineistojen käsittelyn, tietojärjestelmien hyödyntämisen sekä niihin perustuvan toiminnan jatkuvuuteen kohdistuvat olennaiset riskit. Tiedonhallintayksikön on riskiarvioinnin perusteella valmiussuunnitelmin ja häiriötilanteissa tapahtuvan toiminnan etukäteisvalmisteluin sekä muilla toimenpiteillä huolehdittava, että sen tietoaineistojen käsittely, tietojärjestelmien hyödyntäminen ja niihin perustuva toiminta jatkuvat mahdollisimman häiriöttömästi normaaliolojen häiriötilanteissa sekä valmiuslaissa (1552/2011) tarkoitetuissa poikkeusoloissa.

4. mom.

Viranomaisten yleisestä varautumisvelvollisuudesta poikkeusoloihin sekä valtion tietohallinnon, tiedonkäsittelyn, sähköisten palveluiden, tietoliikenteen ja tietoturvallisuuden järjestämisestä poikkeusoloissa säädetään valmiuslaissa.

14 § Tietojen siirtäminen tietoverkossa

1. mom.

Viranomaisen on toteutettava tietojensiirto yleisessä tietoverkossa salattua tai muuten suojattua tiedonsiirtoyhteyttä tai -tapaa käyttämällä, jos siirrettävät tiedot ovat salassa pidettäviä. Lisäksi tietojensiirto on järjestettävä siten, että vastaanottaja varmistetaan tai tunnistetaan riittävän tietoturvallisella tavalla ennen kuin vastaanottaja pääsee käsittelemään siirrettyjä salassa pidettäviä tietoja.

2. mom.

Käyttäjän tunnistamisesta yleisölle tarjottavissa digitaalisissa palveluissa säädetään digitaalisten palvelujen tarjoamisesta annetussa laissa. (23.3.2023/488)

15 § Tietoaineistojen turvallisuuden varmistaminen

1. mom.

Viranomaisen on varmistettava tarpeellisin tietoturvallisuustoimenpitein, että sen:

1) tietoaineistojen muuttumattomuus on riittävästi varmistettu;

2) tietoaineistot on suojattu teknisiltä ja fyysisiltä vahingoilta;

3) tietoaineistojen alkuperäisyys, ajantasaisuus ja virheettömyys on varmistettu;

4) tietoaineistojen saatavuus ja käyttökelpoisuus on varmistettu;

5) tietoaineistojen saatavuutta rajoitetaan vain, jos tiedonsaantia tai käsittelyoikeuksia on laissa erikseen rajoitettu;

6) tietoaineistot voidaan tarvittavilta osin arkistoida.

2. mom.

Tietoaineistoja on käsiteltävä ja säilytettävä toimitiloissa, jotka ovat tietoaineiston luottamuksellisuuteen, eheyteen ja saatavuuteen liittyvien vaatimusten toteuttamiseksi riittävän turvallisia.

16 § Tietojärjestelmien käyttöoikeuksien hallinta

1. mom.

Tietojärjestelmästä vastuussa olevan viranomaisen on määriteltävä tietojärjestelmän käyttöoikeudet. Käyttöoikeudet on määriteltävä käyttäjän tehtäviin liittyvien käyttötarpeiden mukaan, ja ne on pidettävä ajantasaisina.

17 § Lokitietojen kerääminen

1. mom.

Viranomaisen on huolehdittava, että sen tietojärjestelmien käytöstä ja niistä tehtävistä tietojen luovutuksista kerätään tarpeelliset lokitiedot, jos tietojärjestelmän käyttö edellyttää tunnistautumista tai muuta kirjautumista. Lokitietojen käyttötarkoituksena on tietojärjestelmissä olevien tietojen käytön ja luovutuksen seuranta sekä tietojärjestelmän teknisten virheiden selvittäminen.

18 § Turvallisuusluokiteltavat asiakirjat valtionhallinnossa

1. mom.

Valtion virastoissa, laitoksissa ja valtion liikelaitoksissa toimivien viranomaisten, tuomioistuimien ja valitusasioita käsittelemään perustettujen lautakuntien on turvallisuusluokiteltava asiakirjat ja tehtävä niihin turvallisuusluokkaa koskeva merkintä sen osoittamiseksi, minkälaisia tietoturvallisuustoimenpiteitä asiakirjaa käsiteltäessä noudatetaan. Turvallisuusluokkaa koskeva merkintä on tehtävä, jos asiakirja tai siihen sisältyvä tieto on salassa pidettävä viranomaisten toiminnan julkisuudesta annetun lain 24 §:n 1 momentin 2, 5 tai 7–11 kohdan perusteella ja asiakirjaan sisältyvän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa maanpuolustukselle, poikkeusoloihin varautumiselle, kansainvälisille suhteille, rikosten torjunnalle, yleiselle turvallisuudelle tai valtion- ja kansantalouden toimivuudelle taikka muulla niihin rinnastettavalla tavalla Suomen turvallisuudelle. (17.12.2020/1022)

2. mom.

Turvallisuusluokkaa koskevaa merkintää ei saa käyttää muissa kuin 1 momentissa tarkoitetuissa tapauksissa, ellei merkinnän tekeminen ole tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi tai asiakirja muutoin liity kansainväliseen yhteistyöhön.

3. mom.

Kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa (588/2004) tarkoitettuihin asiakirjoihin on tehtävä turvallisuusluokituksesta merkintä siten kuin mainitussa laissa säädetään.

4. mom.

Turvallisuusluokittelusta, turvallisuusluokiteltaviin asiakirjoihin tehtävistä merkinnöistä ja turvallisuusluokiteltujen asiakirjojen käsittelyyn liittyvistä tietoturvallisuustoimenpiteistä säädetään tarkemmin valtioneuvoston asetuksella. Asiakirjoihin tehtävistä salassapitoa koskevista merkinnöistä säädetään viranomaisten toiminnan julkisuudesta annetun lain 25 §:ssä.

Ks. VNa asiakirjojen turvallisuusluokittelusta valtionhallinnossa 1101/2019.

5 lukuTietoaineistojen muodostaminen ja sähköinen luovutustapa

19 § Tietoaineistojen sähköiseen muotoon muuttaminen ja saatavuus

1. mom.

Jos asiakirja saapuu viranomaiselle muussa kuin sähköisessä muodossa, on se muutettava sähköiseen muotoon, jos asiakirja on säädetty pysyvästi säilytettäväksi taikka lailla tai lain nojalla arkistoitavaksi. Viranomainen vastaa siitä, että sähköiseen muotoon muutetun asiakirjan luotettavuus ja eheys varmistetaan. Viranomaisen laatimat asiakirjat säilytetään sähköisesti. Sähköiseen muotoon muuttamisesta ja säilyttämisestä voidaan poiketa, jos se on välttämätöntä turvallisuusluokiteltavien asiakirjojen käsittelyä koskevien vaatimusten, muiden tietoturvallisuusvaatimusten tai muun asiakirjan luonteeseen liittyvän välttämättömän syyn vuoksi.

2. mom.

Ottaen huomioon, mitä tiedonsaannista ja henkilötietojen suojasta erikseen säädetään, viranomaisen on huolehdittava, että tietoaineisto on saatavilla ja hyödynnettävissä yleisesti käytettävässä koneluettavassa muodossa kuvailutietoineen, jos tietoaineisto voidaan saattaa alkuperäisestä muodosta suoraan koneluettavaan muotoon. Tämän lain 24 b §:n 1 momentissa tarkoitettujen arvokkaiden tietoaineistojen on oltava saatavilla koneluettavassa muodossa. (15.7.2021/710)

3. mom.

Viranomainen voi käyttää asiakirjojen sähköiseen muotoon muuttamisessa yksityistä toimijaa, jolla on riittävät tekniset edellytykset sekä riittävä osaaminen tällaisen tehtävän hoitamiseksi. Tätä tehtävää suorittavaan yksityiseen toimijaan sovelletaan rikosoikeudellista virkavastuuta. Vahingonkorvausvelvollisuudesta säädetään vahingonkorvauslaissa.

20 § Tietoaineistojen kerääminen viranomaisen tehtäviä varten

1. mom.

Viranomaisen on pyrittävä hyödyntämään toisen viranomaisen tietoaineistoja, jos viranomaisella on oikeus saada tarvittavat tiedot toiselta viranomaiselta teknisen rajapinnan tai katseluyhteyden avulla. Tietojen hyödyntämisessä on huolehdittava asianosaisen tai muun hallinnon asiakkaan oikeusturvasta.

2. mom.

Jos viranomaisella on oikeus saada toisen viranomaisen tietovarannosta tehtäviensä hoitamista varten tietoja luotettavasti ja ajantasaisesti teknisen rajapinnan tai katseluyhteyden avulla, se ei saa vaatia asiakastaan esittämään tai toimittamaan tällaista todistusta tai otetta, ellei se ole välttämätöntä asian selvittämiseksi.

21 § Tietoaineistojen säilytystarpeen määrittäminen

1. mom.

Jos tietoaineistojen tai asiakirjojen säilytysajasta ei ole säädetty laissa, säilytysaikoja määritettäessä on otettava huomioon:

1) tietoaineiston alkuperäisen käyttötarkoituksen mukainen tarpeellisuus viranomaisen toiminnassa;

2) luonnollisen henkilön tai oikeushenkilön etujen, oikeuksien, velvollisuuksien ja oikeusturvan toteuttaminen ja todentaminen;

3) sopimuksen tai muun yksityisoikeudellisen oikeustoimen oikeusvaikutus;

4) vahingonkorvausoikeudelliset vanhentumisajat; ja

5) rikosoikeudelliset vanhentumisajat.

2. mom.

Säilytysajan päättymisen jälkeen tietoaineistot on arkistoitava tai tuhottava viipymättä tietoturvallisella tavalla.

3. mom.

Säilytysaikojen määrittämisen vastuista, arkistoinnista ja arkistotoimen tehtävistä säädetään erikseen.

Ks. EPNAs (EU) 2016/679 (yleinen tietosuoja-asetus) 89 art., TietosuojaL 1050/2018, L sähköisestä asioinnista viranomaistoiminnassa 13/2003 sekä ArkistoL 831/1994.

22 § Tietojen luovuttaminen teknisen rajapinnan avulla viranomaisten välillä

1. mom.

Viranomaisten on toteutettava säännöllisesti toistuva ja vakiosisältöinen sähköinen tietojen luovuttaminen tietojärjestelmien välillä teknisten rajapintojen avulla, jos vastaanottavalla viranomaisella on tietoihin laissa säädetty tiedonsaantioikeus. Säännöllisesti toistuva ja vakiosisältöinen tietojen sähköinen luovuttaminen voidaan toteuttaa muulla tavalla, jos teknisen rajapinnan toteuttaminen tai käyttö ei ole teknisesti tai taloudellisesti tarkoituksenmukaista. Viranomainen voi avata teknisen rajapinnan tiedonsaantiin oikeutetulle viranomaiselle myös muissa tilanteissa. Asiakirjojen ja tietojen antamisesta muulla tavalla säädetään erikseen.

2. mom.

Sen lisäksi, mitä 4 luvussa säädetään, tietojen luovuttaminen teknisten rajapintojen avulla on toteutettava tietojärjestelmien välillä siten, että teknisesti varmistetaan luovutettavien tietojen tapauskohtainen tarpeellisuus tai välttämättömyys tietoja saavan viranomaisen tehtävien hoitamiseksi, jos luovutettavat tiedot ovat henkilötietoja tai salassa pidettäviä tietoja.

3. mom.

Teknisen rajapinnan avulla luovutettavien tietojen tietorakenteen kuvauksen määrittelee ja sitä ylläpitää tiedot luovuttava viranomainen. Suunniteltaessa usean viranomaisen välistä tietojen luovuttamista teknisten rajapintojen avulla on tietorakenteen kuvaus määriteltävä ja ylläpidettävä toimialasta vastaavan ministeriön johdolla.

23 § Katseluyhteyden avaaminen viranomaiselle

1. mom.

Viranomainen voi avata katseluyhteyden toiselle viranomaiselle tietovarannon sellaisiin tietoihin, joihin katseluoikeuden saavalla viranomaisella on tiedonsaantioikeus. Sen lisäksi, mitä 4 luvussa säädetään, edellytyksenä katseluyhteyden avaamiselle on, että:

1) katselumahdollisuus on rajattu vain yksittäisiin hakuihin, jotka voivat kohdistua tiedonsaantioikeuden mukaisesti tarpeellisiin tai välttämättömiin tietoihin; sekä

2) tietojen hakemisen yhteydessä selvitetään tietojen käyttötarkoitus.

2. mom.

Viranomaisen on toteutettava katseluyhteys siten, että katseluyhteyden mahdollistava tietojärjestelmä tunnistaa automaattisesti poikkeavan tietojen hakemisen.

24 § Tietoaineistojen luovuttaminen teknisen rajapinnan avulla muille kuin viranomaisille

1. mom.

Viranomainen voi luovuttaa teknisten rajapintojen avulla tietoja muulle kuin toiselle viranomaiselle, jos tiedot saavalla toimijalla on erikseen laissa säädetty tiedonsaantioikeus ja oikeus käsitellä näitä tietoja. Tekninen rajapinta voidaan avata 22 §:ssä säädettyjen edellytysten täyttyessä siten kuin mainitussa pykälässä säädetään. Tiedot luovuttavan viranomaisen on tarvittaessa varmistettava, että tietoja saava toimija noudattaa tietojen käsittelyssä tässä laissa säädettyjä velvollisuuksia.

2. mom.

Tiedon antamisesta muussa sähköisessä muodossa ja yleisölle katseluyhteytenä toteutettuna tietopalveluna säädetään erikseen.

Ks. esim. L viranomaisten toiminnan julkisuudesta 621/1999 4 luku.

24 a § (15.7.2021/710) Tiheästi päivittyvän tiedon saatavuus

1. mom.

Viranomaisten toiminnan julkisuudesta annetun lain 16 §:n 2 momentissa tarkoitetun sähköisessä muodossa olevista tiheästi tai reaaliaikaisesti päivittyvistä julkisista asiakirjoista annettavan tiedon on pyynnöstä oltava saatavilla teknisten rajapintojen avulla heti tiedon keräämisen jälkeen ja tarvittaessa useana kerralla ladattavana tiedostona.

2. mom.

Jos 1 momentin noudattaminen aiheuttaisi viranomaiselle kohtuutonta vaivaa taloudellisista tai teknisistä syistä, tiedon on oltava saatavilla sellaisella aikavälillä tai sellaisin tilapäisin teknisin rajoituksin, jotka eivät tarpeettomasti haittaa sen hyödyntämistä.

24 b § (15.7.2021/710) Arvokkaiden tietoaineistojen saatavuus

1. mom.

Arvokkailla tietoaineistoilla tarkoitetaan sellaisia tietoaineistoja, joiden saatavuutta koskevista menettelyistä säädetään avoimesta datasta ja julkisen sektorin hallussa olevien tietojen uudelleenkäytöstä annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2019/1024 14 artiklan 1 kohdassa tarkoitetuilla täytäntöönpanosäädöksillä niiden taloudellisen tai yhteiskunnallisen merkityksen vuoksi.

2. mom.

Arvokkaiden  tietoaineistojen,  joihin  tiedon  saajalla  on  erikseen  laissa  säädetty  tiedonsaantioikeus ja oikeus käsitellä näitä tietoja, on pyynnöstä oltava saatavilla teknisten rajapintojen avulla. Tiedon on tarvittaessa oltava saatavilla myös useana kerralla ladattavana tiedostona.

3. mom.

Arvokkaiden tietoaineistojen luettelosta sekä näiden tietoaineistojen saatavuudesta säädetään tarkemmin valtioneuvoston asetuksella sen mukaan kuin niistä Euroopan unionin lainsäädännössä säädetään tai jollei toisin säädetä muualla lainsäädännössä.

6 lukuAsianhallinta ja palvelujen tiedonhallinta

25 § Rekisteröinti asiarekisteriin

1. mom.

Tiedonhallintayksikön on ylläpidettävä viranomaisen käsittelyssä olevista ja olleista asioista asiarekisteriä, johon rekisteröidään asiaa, asiankäsittelyä ja asiakirjoja koskevat tiedot. Viranomaisen on rekisteröitävä viipymättä sille saapunut tai sen laatima asiakirja asiarekisteriin. Sen lisäksi, mitä 26 §:ssä säädetään, asiakirjan rekisteröinnistä on käytävä ilmi asiakirjan saapumisajankohta.

2. mom.

Tiedonhallintayksikön on huolehdittava siitä, että asiarekisterin tai sen osan julkisista merkinnöistä on mahdollista tuottaa tiedot tiedonsaantia koskevien pyyntöjen yksilöimiseksi.

26 § Asiarekisteriin rekisteröitävät tiedot

1. mom.

Tiedonhallintayksikön on muodostettava viranomaisen käsiteltäväksi otetun tai annetun asian yksilöivä asiatunnus, jonka avulla asiaan liittyvät tiedot yksilöidään.

2. mom.

Viranomaisen on rekisteröitävä asialle ainakin seuraavat yksilöintitiedot:

1) tiedonhallintayksikön yritys- ja yhteisötunnus;

2) viranomaisen yksilöivä tieto;

3) toimintaprosessin yksilöivä tieto;

4) asian vireilletuloajankohta.

3. mom.

Viranomaiselle saapuneesta asiakirjasta rekisteröidään ainakin:

1) asiakirjan yksilöivä tieto;

2) asiakirjan saapumistapa;

3) asiakirjan lähettäjä tai asiamies.

4. mom.

Viranomaisen laatimista asiakirjoista rekisteröidään ainakin:

1) asiakirjan yksilöivä tieto;

2) asiakirjan laatija;

3) laatimisajankohta; (23.3.2023/488)

4) asiakirjan lähettämisajankohta ja lähettämistapa. (23.3.2023/488)

5. mom.

Asiarekisteriin rekisteröidään lisäksi asiasta ainakin:

1) asian vireillepanija ja tarvittaessa muut asianosaiset;

2) asian käsittelyn tila;

3) viranomaisen toimenpiteet ja niissä käsitellyt asiakirjat käsittelyvaiheittain; (23.3.2023/488)

4) viranomaisen tekemän asiankäsittelyn päättävän ratkaisun ajankohta; (23.3.2023/488)

5) tarvittaessa viranomaisen lähettämien asiakirjojen tiedoksiantotapa. (23.3.2023/488)

27 § Tietoaineistojen hallinta palveluja tuotettaessa

1. mom.

Tiedonhallintayksikön on järjestettävä muun kuin asiankäsittelyn yhteydessä muodostuvan tietoaineiston hallinta siten, että tietoaineistosta muodostettavat asiakirjat ovat haettavissa jollakin tietokokonaisuudet yksilöivällä tunnuksella, jotta tiedot voidaan antaa siihen oikeutetulle vaivattomasti. Viranomaisen on rekisteröitävä palveluja tuotettaessa muodostuvat asiakirjat ja muut tiedot viipymättä siten, että niiden muodostuminen palvelua tuotettaessa voidaan jälkikäteen todentaa.

28 § Kuvaus asiakirjajulkisuuden toteuttamiseksi

1. mom.

Tiedonhallintayksikön on julkisuusperiaatteen toteuttamista varten ylläpidettävä kuvausta sen hallinnoimista tietovarannoista ja asiarekisteristä. Kuvauksen on sisällettävä tiedot:

1) tietojärjestelmistä, jotka sisältävät asiarekisteriin kuuluvia tai palvelujen tiedonhallintaan kuuluvia tietoja;

2) asiarekisterin tai tietojärjestelmän sisältämien tietojen antamisesta päättävästä viranomaisesta ja sen yhteystiedoista tiedonsaantia koskevan pyynnön esittämiseksi;

3) tietojärjestelmien sisältämistä tietoaineistoista tietoryhmittäin;

4) hakutekijöistä, joilla asiakirjoja on mahdollista hakea teknisesti viranomaisen asiarekisteristä tai tietojärjestelmistä;

5) tietoaineistojen saatavuudesta avoimesti teknisen rajapinnan avulla.

2. mom.

Tiedonhallintayksikön on julkaistava 1 momentissa tarkoitettu kuvaus yleisessä tietoverkossa siltä osin kuin kuvauksen tiedot eivät ole salassa pidettäviä.

6 a lukuAutomaattisen ratkaisumenettelyn käyttöönotto ja käyttö

28 a § (23.3.2023/488) Tehtäväjaon ja käsittelysääntöjen dokumentointi

1. mom.

Viranomaisen on dokumentoitava tässä luvussa säädettyjen velvollisuuksien toteuttamisesta vastuussa olevien henkilöiden tehtäväjako.

2. mom.

Viranomaisen on varmistettava, että automaattisen ratkaisumenettelyn käsittelysäännöt dokumentoidaan riittävän selkeästi ja kattavasti niin, että niiden lainmukaisuus voidaan osoittaa. Erityisesti käsittelysäännöistä on käytävä ilmi:

1) miten ratkaisumenettelyn syrjimättömyys varmistetaan;

2) miten asia selvitetään riittävästi ja asianmukaisesti, mukaan lukien kuuleminen;

3) miten ratkaisu perustellaan tai miksi se voidaan jättää perustelematta.

3. mom.

Viranomaisen on merkittävä dokumentaation muodostaviin asiakirjoihin hyväksymispäivämäärä sekä asiakirjan hyväksyjä, jonka tehtävänä on tarkastaa asiakirjan sisällön lainmukaisuus. Viranomaisen on säilytettävä hyväksytyt asiakirjat vähintään viisi vuotta automaattisen ratkaisumenettelyn käytöstä poistamista seuraavan kalenterivuoden alusta lukien.

4. mom.

Viranomaisen on varmistettava, että vähintään viiden vuoden ajan asian ratkaisemisesta voidaan osoittaa, millä käsittelysäännöillä yksittäinen asia on ratkaistu automaattisesti ja missä vaiheissa luonnollinen henkilö on osallistunut asian käsittelyyn.

28 b § (23.3.2023/488) Laadun varmistaminen

1. mom.

Viranomaisen on varmistettava ennen automaattisen ratkaisumenettelyn käyttöönottoa ja menettelyä käytön aikana muutettaessa, että menettely vastaa 28 a §:n 2 momentissa tarkoitettua dokumentaatiota.

2. mom.

Viranomaisen on varmistettava hyvä kielenkäyttö automaattisesti laadittavissa asiakirjoissa, jotka annetaan asianosaiselle.

3. mom.

Laadun varmistamisen keskeiset toimenpiteet on dokumentoitava.

4. mom.

Viranomaisen on nimettävä automaattisen ratkaisumenettelyn laadun varmistamisesta vastuussa oleva henkilö.

28 c § (23.3.2023/488) Laadunvalvonta ja virhetilanteiden käsittely

1. mom.

Viranomaisen on valvottava automaattisesti ratkaistavien asioiden laatua ja sisällöllistä virheettömyyttä sekä hallittava automaattiseen ratkaisumenettelyyn liittyviä riskejä käyttöönoton jälkeen.

2. mom.

Viranomaisen on ryhdyttävä viipymättä korjaaviin toimenpiteisiin, jos automaattisessa ratkaisumenettelyssä havaitaan virhe, jolla voi olla vaikutus ratkaisun sisältöön. Havaittu virhe, sen vaikutukset ja virheen korjaamista koskevat toimenpiteet on dokumentoitava. Viranomaisen ratkaisussa olevan virheen korjaamisesta säädetään erikseen.

3. mom.

Viranomaisen on nimettävä automaattisen ratkaisumenettelyn laadunvalvonnasta ja virhetilanteiden käsittelystä vastuussa oleva henkilö.

28 d § (23.3.2023/488) Päätös käyttöönotosta

1. mom.

Toimintaprosessista vastaavan viranomaisen on tehtävä ennen automaattisen ratkaisumenettelyn käyttöönottoa päätös (käyttöönottopäätös). Käyttöönottopäätöksen on sisällettävä vähintään:

1) perustelut, joista on ilmettävä käyttöönoton edellytykset ja sovelletut säännökset;

2) luettelo käyttöönottopäätöksen perusteena olevista asiakirjoista;

3) suunniteltu käyttöönottopäivämäärä ja päätöksen tekemisen ajankohta;

4) tieto päätöksentekijästä;

5) viranomaisen yhteystieto, josta saa lisätietoa automaattisen ratkaisumenettelyn käytöstä.

2. mom.

Käyttöönottopäätös on tehtävä lisäksi muutoksista, jotka edellyttävät käyttöönoton edellytysten arviointia uudelleen.

3. mom.

Viranomaisen on säilytettävä käyttöönottopäätös vähintään viisi vuotta automaattisen ratkaisumenettelyn käytöstä poistamista seuraavan kalenterivuoden alusta lukien.

28 e § (23.3.2023/488) Tiedottaminen

1. mom.

Viranomaisen on julkaistava voimassa oleva käyttöönottopäätös yleisessä tietoverkossa verkkosivustollaan.

2. mom.

Viranomaisen on tiedotettava asioiden automaattisesta ratkaisemisesta toimialallaan, automaattisen ratkaisumenettelyn käytön perusteista ja muista asiakkaan oikeuksien kannalta keskeisistä tiedoista 28 a §:n 2 momentissa tarkoitettuun dokumentaatioon ja käyttöönottopäätökseen perustuen. Tiedot on julkaistava yleisessä tietoverkossa viranomaisen verkkosivustolla.

28 f § (23.3.2023/488) Tietojen käyttö

1. mom.

Viranomaisen on riskiarvioinnin perusteella varmistettava, että automaattisessa ratkaisemisessa hyödynnettävien tietojen ajantasaisuus ja virheettömyys varmistetaan asianmukaisin teknisin toimenpitein.

28 g § (23.3.2023/488) Julkisyhteisön työntekijän virkavastuu

1. mom.

Viranomaisen palveluksessa olevaan julkisyhteisön työntekijään sovelletaan hänen tässä luvussa tarkoitettuja tehtäviä hoitaessaan virkamiehen rikosoikeudellista virkavastuuta koskevia säännöksiä, viraltapanoseuraamusta lukuun ottamatta.

7 lukuErinäiset säännökset

29 § Voimaantulo

1. mom.

Tämä laki tulee voimaan 1 päivänä tammikuuta 2020.

2. mom.

Tällä lailla kumotaan julkisen hallinnon tietohallinnon ohjauksesta annettu laki (634/2011).

30 § Siirtymäsäännökset

1. mom.

Tiedonhallintayksikköjen on laadittava 5 §:n mukainen tiedonhallintamalli 12 kuukauden kuluessa tämän lain voimaantulosta.

2. mom.

Muiden kuin valtion virastoissa ja laitoksissa toimivien viranomaisten on toteutettava 12–16 §:ssä säädetyt vaatimukset 36 kuukauden kuluessa tämän lain voimaantulosta.

3. mom.

Tämän lain 19 §:n 1 momenttia sovelletaan 24 kuukauden kuluttua tämän lain voimaantulosta viranomaiselle saapuviin ja viranomaisen laatimiin uusiin asiakirjoihin. Ennen lain voimaantuloa muodostuneita tietoaineistoja säilytetään siten kuin ne ovat muodostuneet ennen siirtymäajan päättymistä. Edellä 19 §:n 2 momentissa tarkoitettu tietoaineistojen saatavuus on toteutettava 24 kuukauden kuluessa tämän lain voimaantulosta. Tämän lain 20 §:ää sovelletaan 12 kuukauden kuluttua lain voimaantulosta.

4. mom.

Ministeriöiden on selvitettävä 12 kuukauden kuluessa tämän lain voimaantulosta 22 §:n 3 momentissa tarkoitetut rajapintojen määrittelyn ja ylläpidon hallinnointia edellyttävät tietojärjestelmät.

5. mom.

Tämän lain 17 ja 22–24 §:n säännöksiä sovelletaan lain voimaantulon jälkeen hankittaviin tietojärjestelmiin. Ennen tämän lain voimaantuloa hankittuihin tietojärjestelmiin sovelletaan 22–24 §:ssä säädettyjä tietojen sähköistä luovutustapaa koskevia vaatimuksia päivitettäessä tietojärjestelmien teknisiä rajapintoja tai katseluyhteyksiä, kuitenkin viimeistään 48 kuukauden kuluttua lain voimaantulosta, ja 17 §:ssä edellytettyjä lokitietojen keräämistä koskevia vaatimuksia 24 kuukauden kuluttua tämän lain voimaantulosta.

6. mom.

Asianhallinta ja palvelujen tiedonhallinta on järjestettävä 24 kuukauden kuluessa tämän lain voimaantulosta 26 ja 27 §:ssä säädettyjen vaatimusten mukaisesti. Tämän lain 28 §:ssä säädetyt kuvaukset on ajantasaistettava 12 kuukauden kuluessa lain voimaantulosta.

HE 284/2018, HaVM 38/2018, EV 320/2018, Euroopan parlamentin ja neuvoston direktiivi 2013/37/EU; EUVL L 175, 27.6.2013, s. 1

Muutossäädösten voimaantulo ja soveltaminen:

17.12.2020/1022:

Tämä laki tulee voimaan 1 päivänä tammikuuta 2021.

HE 31/2020, PuVM 2/2020, EV 194/2020

29.6.2021/653:

Tämä laki tulee voimaan 1 päivänä heinäkuuta 2021.

HE 241/2020, StVM 16/2021, EV 111/2021

15.7.2021/710:

Tämä laki tulee voimaan 17 päivänä heinäkuuta 2021.

HE 74/2021, HaVM 10/2021, EV 107/2021, Euroopan parlamentin ja neuvoston direktiivi 2019/1024/EU; EUVL L 172, 26.6.2019, s.56

23.3.2023/488:

Tämä laki tulee voimaan 1 päivänä toukokuuta 2023.

Viranomaisen on saatettava toimintansa 13 a §:n mukaiseksi 18 kuukauden kuluessa tämän lain voimaantulosta.

Asianhallinta on järjestettävä 26 §:n 4 momentin 4 kohdan ja 5 momentin 4 ja 5 kohdan vaatimusten mukaiseksi 18 kuukauden kuluessa tämän lain voimaantulosta.

Ennen tämän lain voimaantuloa käyttöön otetusta automaattisesta ratkaisumenettelystä on hyväksyttävä 28 a §:n 2 momentissa tarkoitettu dokumentaatio 28 a §:n 3 momentin mukaisesti 18 kuukauden kuluessa tämän lain voimaantulosta.

Ennen tämän lain voimaantuloa käytössä olleesta automaattisesta ratkaisumenettelystä on tehtävä 28 d §:ssä tarkoitettu käyttöönottopäätös 18 kuukauden kuluessa tämän lain voimaantulosta, jotta ratkaisumenettelyn käyttöä voidaan jatkaa. Tällaiseen päätökseen on merkittävä ratkaisumenettelyn käyttöönoton ajankohta, jos se on viranomaisen tiedossa, sekä tieto siitä, että se on otettu käyttöön ennen tämän lain voimaantuloa.

Tämän lain 28 a §:n 1 ja 4 momenttia sekä 28 b, 28 c, 28 e ja 28 f §:ää sovelletaan ennen tämän lain voimaantuloa käyttöön otettuun automaattiseen ratkaisumenettelyyn 18 kuukauden kuluttua tämän lain voimaantulosta.

HE 145/2022, HaVM 39/2022, EV 303/2022