1.1
Laki hallinnon yhteisistä sähköisen asioinnin tukipalveluista
1 luku Yleiset säännökset
1 §.Lain tarkoitus ja soveltamisala. Ehdotetun 1 §:n 1 momentin mukaan lain tarkoituksena olisi parantaa julkisten palvelujen saatavuutta, laatua, tietoturvallisuutta, yhteentoimivuutta ja ohjausta sekä edistää julkisen hallinnon toiminnan tehokkuutta ja tuottavuutta. Ehdotetun lain tavoitteet vastaisivat pääosin julkisen hallinnon tietohallinnon ohjauksesta annetun lain tavoitteita. Ehdotetun lain tarkoituksena olisi erityisesti vaikuttaa siihen, että hallinnon yhteisten sähköisen asioinnin tukipalvelujen avulla voitaisiin saavuttaa parempaa kustannustehokkuutta palvelujen tuotannossa sekä varmistaa palvelujen laatu ja yhteentoimivuus säätämällä tukipalvelujen yhtenäisestä tuotannosta ja käytöstä.
Ehdotetussa 2 momentissa säädettäisiin lain soveltamisalasta, jonka mukaan laissa säädettäisiin julkisen hallinnon yhteisistä sähköisen asioinnin tukipalveluista, niitä koskevista vaatimuksista, niiden tuottamiseen liittyvistä tehtävistä sekä tuottamiseen liittyvästä henkilötietojen ja muiden tietojen käsittelystä. Lisäksi laissa säädettäisiin oikeudesta ja velvollisuudesta käyttää tukipalveluja sekä tukipalvelujen käytön edellytyksistä.
Ehdotetun 3 momentin mukaan yhteisten sähköisen asioinnin tukipalvelujen tuottamisen edellyttämään henkilötietojen käsittelyyn sovellettaisiin henkilötietolakia, henkilötietojen salassa pitämiseen ja luovuttamiseen julkisuuslakia ja viestien sekä välitystietojen käsittelyyn tietoyhteiskuntakaarta, jollei ehdotetussa laissa tai muussa laissa toisin säädetä. Mainitut lait koskisivat yleislakeina henkilötietojen ja viestintää koskevien tietojen käsittelyä, ellei esimerkiksi ehdotetun lain 3 luvusta muuta johdu. Säännöksessä on viittaus myös muuhun lainsäädäntöön, jossa mahdollisesti säädetään henkilötietolakia täsmentävästi. Esimerkiksi väestötietojärjestelmän tietojen käsittelyyn sovelletaan erityislakina väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annettua lakia.
Ehdotettu 4 momentti sisältäisi informatiivisen viittauksen tietohallintolakiin, jossa säädetään myös yhteisten sähköisen asioinnin tukipalvelujen toteuttamisessa noudatettavista tietojärjestelmien yhteentoimivuuden edistämistä ja varmistamista koskevista vaatimuksista.
2 §. Määritelmät. Pykälän 1 kohdan mukaan tukipalvelulla tarkoitettaisiin yhteistä sähköisen asioinnin tukipalvelua, jota käyttäjäorganisaatio käyttää asiointipalvelunsa tai muun sille kuluvan tehtävän taikka sen tarjoaman palvelun tukena. Tukipalveluja olisivat 3 §:ssä tarkoitetut palvelut sekä siirtymäajalla lakkaavat tai siirtyvät 27 §:ssä tarkoitetut palvelut.
Palvelutuottajalla tarkoitettaisiin 2 kohdan mukaan tukipalvelun tuottajaa. Palvelutuottajia koskevat vaatimukset ulottuisivat pääsääntöisesti myös siirtymäsäännöksen nojalla palveluja tuottaviin tahoihin.
Käyttäjäorganisaatiolla tarkoitettaisiin ehdotetun 3 kohdan mukaan viranomaista, muuta julkista tehtävää hoitavaa tai yksityistä, joka käyttää tukipalvelua. Käyttäjäorganisaatio voisi olla joko tukipalvelun käyttöön velvoitettu taho, kuten valtion virasto taikka taho, jolla on oikeus käyttää palvelua, kuten muu julkista hallinto- tai palvelutehtävää hoitava yhteisö tai yksityinenkin siten kuin siitä erikseen lain 2 luvussa säädettäisiin.
Asiointipalvelulla tarkoitettaisiin 4 kohdan mukaan käyttäjäorganisaation vastuulla olevaa sähköisen asioinnin palvelua. Esimerkkeinä asiointipalvelusta voidaan mainita verohallinnon verokorttipalvelu sekä työ- ja elinkeinoministeriön tarjoama neuvonnan Oma Yrityssuomi -asiointiympäristö, joihin käyttäjä voisi jatkossa siirtyä palvelunäkymän kautta siten että hänen luonnollisen henkilön tunnistuspalvelun avulla todennettu henkilöllisyyttä koskeva tieto siirtyisi käyttäjän mukana asiointipalveluun, mikäli asiointipalvelun käyttö edellyttää tunnistautumista. Asiointipalvelun määritelmän on tarkoitus kattaa kaikki sellaiset palvelut, joissa henkilö asioi tai hoitaa sähköisesti hallinto- tai muuta asiaansa käyttäjäorganisaation suuntaan. Myös esimerkiksi sellaiset palvelut, joissa henkilö vain tarkastelee käyttäjäorganisaation hänestä rekisteröimiä tietoja, olisivat tässä laissa tarkoitettuja asiointipalveluja.
Pykälän 5 kohdan mukaan käyttäjällä tarkoitettaisiin henkilöä, joka käyttää tukipalvelua hallinnon asiakkaan ominaisuudessa. Käyttäjä olisi esimerkiksi palvelunäkymässä tietojaan katseleva tai sähköistä viestinvälityspalvelua käyttävä henkilö taikka henkilö, joka käyttää luonnollisen henkilön tunnistuspalvelua tunnistautuakseen julkiseen palveluun taikka asiointivaltuuspalvelua valtuutuksen tai muun tahdonilmaisun antamiseen. Käyttäjän määritelmää on käytetty esimerkiksi muutamien tukipalvelujen määritelmissä sekä häiriöilmoituksia koskevassa 18 §:ssä.
2 luku Tukipalvelujen tuotanto ja käyttö
3 §.Tukipalvelut. Pykälässä määriteltäisiin yhteiset sähköisen asioinnin tukipalvelut.
Ehdotetun 3 §:n 1 momentin 1 kohdassa määriteltäisiin kansallinen palveluväylä eli tiedonvälityskanava, jonka avulla käyttäjäorganisaatiot voivat siirtää ja luovuttaa tietovarantoihinsa sisältyviä tietoja sekä tarjota asiointipalveluja. Palveluväylä on vakioitu tiedonvälittämistä tukeva palvelu, johon ei itsessään sisälly integraatio-ominaisuuksia. Integraatiopalveluja tuottavat sekä yksityiset tahot että esimerkiksi Valtori TORI-lain ja –asetuksen nojalla. Palveluväylä perustuu Viron X-roadissa käytettyihin ohjelmistoihin. Suomessa on rakennettu palveluväylälle muun muassa suomalaisessa IT-ympäristössä käytetyn Red Hat -linuxin tuki ja kehitetty suomalaisia tietoturvavaatimuksia vastaava tietoliikenteen lokitus ja vikatilanteiden selvittämisen valvontatoiminnallisuus. Näiden tarkoituksena on vahvistaa palveluväylän tietoturvallisuutta ja teknistä luotettavuutta.
Palveluväylä sisältää keskuspalvelimen, sekä osapuolten tunnistamiseen ja tiedon salaamiseen käytettävät varmenneratkaisut sekä aikaleimapalvelun. Varmenneratkaisujen avulla keskuspalvelin ja liityntäpalvelimet tunnistavat toisensa. Palveluväylässä on keskitetty liityntäkatalogi, jonka kautta löytyvät kaikki palveluväylän liitynnät teknisine ja hallinnollisine kuvauksineen. Palveluväylään yhdistyisivät esimerkiksi viranomaiset ja yksityiset tietovarantojen tuottajina, hyödyntäjinä tai tietojen ilmoittajina. Lisäksi sen kautta olisivat saatavilla ehdotetussa laissa säädetyt tukipalvelut sekä viranomaisten asiointipalvelut. Palveluväylässä sanomat liikkuvat internetin yli eikä palveluväylä tästä johtuen vastaa alemman kerroksen verkkotason liikennöinnistä.
Palvelujen taikka rekisterien käyttöoikeus arvioitaisiin erikseen niitä koskevan lainsäädännön nojalla. Palveluväylää käytetään tiedon siirtoon edellyttäen että siirron molemmat osapuolet ovat hyväksyneet siirron. Henkilötietodirektiivi (95/46/EY) edellyttää henkilötietojen vapaata liikkuvuutta jäsenvaltioiden välillä. Käyttäjäorganisaatio voisi hyödyntää väylää tietojen siirtoon myös kansainvälisissä suhteissa, mikäli se on lainsäädännön tai esimerkiksi kansainvälisen sopimuksen perusteella sallittua.
Pykälän 1 momentin 2 kohdassa määriteltäisiin palvelutietovaranto eli palvelu, joka kokoaa käyttäjäorganisaatioiden palveluja koskevia yhdenmukaisesti kuvattuja tietoja ja tarjoaa ne keskitetysti julkisesti saataville ja hyödynnettäväksi.
Pykälän 1 momentin 3 kohdassa säädettäisiin palvelunäkymästä. Palvelunäkymä yhdistää julkishallinnon palvelut kansalaisille kokoavan Suomi.fi-palvelun ja yritysten palvelut kokoavan Yrityssuomi.fi -palvelun sivustot yhdeksi yhteiseksi palveluksi. Palvelunäkymässä käyttäjä voi tarkastella palvelutietovarannon tietoja sekä muuta julkista materiaalia. Tunnistettu käyttäjä voi lisäksi tarkastella tietoja, jotka hänestä taikka hänen edustamastaan luonnollisesta henkilöstä tai organisaatiosta on merkitty käyttäjäorganisaatioiden rekistereihin. Henkilön edustaman yrityksen tietojen tarkastelun kokonaisuutta kutsutaan yrityksen palvelunäkymäksi. Henkilön edustaman viranomaisen tietojen kokonaisuutta kutsutaan viranomaisen palvelunäkymäksi.
Palvelunäkymää voitaisiin personoida esimerkiksi käyttäjän asuinpaikkaa koskevan tiedon avulla siten, että käyttäjä näkee palvelussa olevan karttatoiminnallisuuden avulla oletusarvoisesti häntä lähinnä sijaitsevat palvelut – samalla kuitenkin mahdollistettaisiin muuallakin sijaitsevien palvelujen hakeminen. Palvelunäkymästä käyttäjän olisi myös mahdollista siirtyä eri käyttäjäorganisaatioiden asiointipalveluihin sekä käyttää sähköistä viestinvälityspalvelua.
Ehdotetussa 4 kohdassa säädettäisiin luonnollisen henkilön tunnistuspalvelusta, joka mahdollistaa henkilön vahvan sähköisen tunnistamisen tunnistuslaissa tarkoitettuja tunnistusvälineitä hyödyntäen. Tunnistuspalvelu hallinnoisi tunnistustapahtumaa ja välittäisi väestötietojärjestelmästä henkilön yksilöintiä koskevat tiedot käyttäjäorganisaatiolle. Yksilöintiä koskevien tietojen luovuttamisesta säädettäisiin12 §:n 3 momentissa.
Tunnistustapahtuman hallinnoimisella mahdollistetaan se, että käyttäjä voi yhden verkkoselailuistunnon aikana siirtyä julkishallinnon organisaation palvelusta toiseen esimerkiksi palvelunäkymästä asiointipalveluun ja takaisin ilman että hänen tarvitsee tunnistautua uudelleen. Kyse on niin sanotun kertakirjautumisratkaisun toteuttamisesta.
Suhteessa tunnistuslakiin sekä ehdotetussa 4 että 5 kohdassa olisi kyse tunnistuksen välityksen tarjoamisesta rajatulle käyttäjäpiirille. Tunnistuspalvelun käyttäjäorganisaatioista säädettäisiin ehdotetun lain 5 §:ssä. VRK olisi nyt ehdotettuja palveluja tarjotessaan tunnistuslain näkökulmasta yleisölle tarjottavia tunnistuspalveluja hyödyntävän organisaation roolissa eikä siten esimerkiksi mukana tunnistuslain mukaisessa luottamusverkostossa.
Ehdotetussa 5 kohdassa säädettäisiin sellaisista tunnistuspalveluista sekä tunnistamisen kokoamis- ja hallinnointipalveluista, joissa voitaisiin käyttää muutakin tunnistusmenetelmää kuin tunnistuslain mukaan ilmoituksen tehneen tunnistuspalvelun tarjoajan palvelua.
Säännöksessä tarkoitettuja palveluja olisivat esimerkiksi siirtymäajan kuluttua lakkautettava Vetuma.fi sekä siirtymäajan jälkeen VRK:n vastuulle siirtyvä KATSO-palvelu, jonka tuotannossa käytetään myös muita kuin tunnistuslain soveltamisalaan kuuluvia tunnistamisen välineitä - myös heikkoa tunnistusta. Tavoitteena on lopulta lakkauttaa KATSO-palvelu sen jälkeen kun oikeushenkilön puolesta asiointi voidaan toteuttaa ehdotetun pykälän 1 momentin 6 kohdassa tarkoitetun asiointivaltuuspalvelun avulla. Haasteena KATSO-palvelun kehittämisessä asiointivaltuuspalvelun suuntaan on, ettei toistaiseksi ole tunnistuslain luonnollisen henkilön tunnistamista vastaavasti säädetty organisaation tunnistamiseen liittyvistä tunnistamisvälineistä taikka niiden valvonnasta. Henkilö ei välttämättä halua käyttää henkilökohtaiseen käyttöön tarkoitettua vahvan sähköisen tunnistamisen välinettään organisaation puolesta asioidessaan. Odotettavissa kuitenkin on, että eIDAS-asetuksen myötä tulevaisuudessa myös organisaation tunnistamista koskeva sääntely ja palvelutuotanto kehittyvät ja syntyy edellytykset KATSO-palvelun sulauttamiselle tunnistuspalvelun ja asiointivaltuuspalvelun yhdistelmään. Toisin kuin 4 kohdassa tarkoitetussa tunnistuspalvelussa, tässä kohdassa tarkoitetussa heikkoon tunnistamiseen perustuvassa tunnistuspalvelussa ei saisi tehdä tarkistuksia väestötietojärjestelmän tietoihin eikä luovuttaa väestötietojärjestelmän tietoja käyttäjäorganisaatiolle.
VRK voisi tuottaa myös luonnollisen henkilön heikon tunnistamisen kokoamis- ja hallinnointipalvelua niihin palveluihin, joissa sitä olisi tarpeen hyödyntää. Heikolla tunnistamisella tarkoitetaan muuta kuin tunnistuslaissa tarkoitettua vahvaa sähköistä tunnistamista. Esimerkiksi koulumaailmassa alle 15 vuotiaan, joka ei vielä saa sirullista henkilökorttia eikä välttämättä muutakaan vahvaa sähköistä tunnistusvälinettä, tulee tunnistautua sähköiseen oppimisympäristöön, jotta hän voi tehdä koulutehtäviä.
Heikon tunnistamisen kokoamis- ja hallinnointipalvelu voisi esimerkiksi tarjota käyttäjäorganisaatiolle keskitetyn mahdollisuuden hyödyntää sosiaalisen median palvelujen tarjoamien heikon tunnistamisen palveluja, mikäli heikommalle tunnistamiselle olisi käyttöä sellaisissa viranomaisten palveluissa, joissa ei ole pääsyä henkilön luottamuksellisiin henkilökohtaisiin tietoihin. Valtorin tuottama virkamiehen ja muun julkista valtaa käyttävän henkilön tunnistamisen kokoamis- ja hallinnointipalvelu VIRTU olisi jatkossa TORI-asetuksen mukainen perustietotekniikan käyttövaltuuspalvelu.
Pykälän 1 momentin 6 kohdassa säädettäisiin asiointivaltuuspalvelusta, joka tarjoaisi käyttäjäorganisaatiolle henkilön toimintakelpoisuutta ja toimivaltaa tai muuta tahdonilmaisua koskevan tiedon. Tietojen luovuttamisesta säädettäisiin 12 §:n 4 momentissa. Asiointivaltuuspalvelu sisältäisi sekä henkilön lakisääteistä toimivaltaa ja toimintakelpoisuuden rajoitusta koskevan tiedon tarjoamisen että oikeustoimeen eli valtuutukseen tai muuhun tahdonilmaisuun perustuvaa toimivaltaa tai muuta tahdonilmaisua koskevan tiedon tarjoamisen.
Asiointivaltuuspalvelun laillista edustamista koskeva osa tarjoaisi ehdotetun lain 9 §:ssä tarkoitettuja rekistereitä hyödyntäen käyttäjäorganisaatiolle esimerkiksi tiedon siitä, onko luonnollisen henkilön toimintakelpoisuutta rajoitettu ja onko tietyllä henkilöllä oikeus edustaa häntä. Oikeushenkilöiden osalta tarjottaisiin vastuuhenkilöitä koskeva tieto, eli onko henkilöllä esimerkiksi hallituksen puheenjohtajan tai toimitusjohtajan rooli taikka oikeus yrityksen nimen kirjoittamiseen. Lakisääteistä edustamista koskevan tiedon tarjoavaa palvelua tarjottaisiin aluksi selkeisiin edustamista koskeviin tilanteisiin, kuten lapsen huolto ja oikeus yksin kirjoittaa oikeushenkilön nimi. Palvelua pyritään kehittämään siihen suuntaan, että myös yksityiskohtaisemmin määritellyt tai yhteistä edustamisoikeutta koskevat tilanteet voitaisiin selvittää palvelun avulla.
Tahdonilmaisuun eli ehdotetussa 10 §:ssä tarkoitetussa rekisterissä olevaan toimivaltuutta koskevaan tietoon perustuvan asiointivaltuuspalvelun osan on tarkoitus olla käytettävissä vuoden 2017 alusta. Jo tätä aiemmin VRK voisi tahdonilmaisuun perustuvaa valtuutusta koskevan sääntelyn nojalla tarjota myös KATSO-organisaation tunnistuspalveluun sisältyviä valtuuttamista ja rooleja koskevia tietoja. KATSO -palvelu sisältää nykytoteutuksessa toiminnot KATSO-tunnisteiden antamiseksi ulkomaisille henkilöille. Nämä toiminnallisuudet säilyvät KATSO-palvelussa kunnes sähköisen tunnistamisen menettelyt ulkomaisten henkilöiden osalta kehittyvät esimerkiksi eIDAS-asetuksen voimaansaattamisen myötä.
Pykälän 1 momentin 7 kohdassa säädettäisiin viestinvälityspalvelusta, jonka avulla käyttäjäorganisaatio ja käyttäjä voivat lähettää toisilleen sähköisiä viestejä ja jota hyödyntäen asiakirja voidaan antaa tiedoksi sähköisesti tai postitse. Kirjepostiominaisuudella tarkoitetaan sitä, että viestinvälityspalvelun kautta voidaan toteuttaa myös paperikirjeiden postitus keskitetysti.
Sähköistä tiedoksiantamista voidaan käyttää esimerkiksi hallintoasioissa ja tuomioistuinasioissa siten kuin sähköisestä asioinnista viranomaistoiminnassa annetussa laissa tai muualla säädetään.
Viestinvälityspalvelu tulisi käyttöön kaikille viranomaisviestejä vastaanottaville kansalaisille ilman erillistä palvelun käyttöönottoa, mutta sähköisen tiedoksiannon hyväksyminen edellyttäisi palvelussa annettavaa suostumusta. Kirjautuminen palveluun edellyttäisi luonnollisen henkilön tunnistamista henkilön tunnistuspalvelua - tai siirtymäajalla Vetuma –palvelua hyödyntäen. Yrityksen palvelunäkymässä sijaitsevaan yrityksen sähköiseen viestinvälityspalveluun tunnistauduttaisiin esimerkiksi KATSO-tunnistautumisen avulla ja jatkossa luonnollisen henkilön tunnistuspalvelun ja asiointivaltuuspalvelun avulla. Palvelun on tarkoitus täyttää korotetun tason tietoturvallisuusvaatimukset siten, että se soveltuisi myös arkaluontoisten henkilötietojen välittämiseen. Viestinvälityspalvelussa yhdistyisi sähköisen palvelun lisäksi uusi toiminnallisuus, jossa viesti voitaisiin toimittaa myös postitse hallinnon asiakkaalle.
Palvelua käyttävä henkilö voisi toimia joko omassa henkilökohtaisessa asiassaan tai yrityksen puolesta ns. yrityksen viestinvälityspalvelussa. Palvelua tarjoaisi 4 §:n mukaisesti VRK, jonne Valtorin nykyisin tuottama sähköinen asiointitilipalvelu siirrettäisiin viimeistään vuoden 2017 lopussa.
Viestinvälityspalvelu tarjoaisi käyttäjäorganisaatiolle mahdollisuuden lähettää niin sanottuja herätteitä kuten tietoa käyttäjän elämäntilanteeseen tarjolla olevista julkisista palveluista. Käyttäjä voisi myös lähettää sähköisen palvelun kautta viestejä käyttäjäorganisaatiolle ja saattaa asiansa vireille sellaisessa viranomaisessa, joka on liittänyt asiointiosoitteensa vastaanottamaan viestinvälityspalvelun kautta lähetettyjä sähköisiä viestejä.
Pykälän 1 momentin 8 kohdassa säädettäisiin verkkomaksamisen kokoamis- ja hallinnointipalvelusta, joka mahdollistaisi maksujen maksamisen käyttäjäorganisaatiolle sen asiointipalvelussa. Palvelu korvaisi Vetuma-palvelun maksamispalvelun vuoden 2017 loppuun mennessä.
Pykälän 1 momentin 9 kohdassa säädettäisiin hallinnon karttapalvelusta, joka tarjoaisi käyttäjäorganisaatiolle mahdollisuuden käyttää ja yhdistää sähköisissä palveluissaan tietoaineistojaan ja paikkainfrastruktuurista annetun lain (421/2009) mukaisessa kansallisessa paikkainfrastruktuurissa tarjottavaa tietoa. Palvelu mahdollistaa viranomaisten sijaintipohjaisen viestinnän kansalaisten ja yritysten välisessä tietojen vaihdossa. Paikkatietojen merkitys ja hyödyntämismahdollisuudet yhteiskunnan palveluissa ja palvelutuotannossa ovat merkittävästi kasvaneet. Yhteiseen sijaintireferenssiin perustuvassa paikkatietoinfrastruktuurissa tarkoitettu karttapalvelu mahdollistaa palvelutietovarannon palvelujen kuvaamisen ja etsimisen sijaintipohjaisesti.
Viranomaisten tietoaineistojen saattaminen kartalliseen esitysmuotoon ja eri viranomaisten aineistojen tarkastelu yhtä aikaa samassa karttanäkymässä antaa uusia mahdollisuuksia sähköisten palvelujen toteuttamiseksi. Paikkatietoinfrastruktuurista annetun lain mukainen palvelu varmistaa eri viranomaisten tuottamien tietojen ja palvelujen sijainnillisen yhteentoimivuuden ja helpottaa sähköisten palvelujen toteuttamista.
Ehdotetun 3 §:n 2 momentin mukaan valtiovarainministeriön asetuksella voitaisiin antaa sen hallinnonalalla toimivan viranomaisen tehtäväksi tuottaa ja kehittää myös muuta kuin 1 momentissa tarkoitettua tukipalvelua edellyttäen että palvelun tuottamisessa ei käytetä julkista valtaa. Näihin muihin tukipalveluihin ei edellä 1 momentissa kuvattuja palveluja vastaavassa määrin sisältyisi hallinnossa asioivan henkilötietojen käsittelyä tai muita oikeusturvan kannalta merkityksellisiä piirteitä. Tällaisia palveluja olisivat esimerkiksi Valtorin tällä hetkellä TORI-lain 5 §:n 4 momentin nojalla tuottama palvelu, jonka avulla viranomaiset voisivat tarjota sähköisiä lomakkeita asiointipalveluissaan sekä avoindata.fi –palvelu, joka kokoaa ja tarjoaa keskitetysti saataville yhteentoimivuuden ohjausta ja kehittämistä koskevia tietoja ja palveluja sekä avoimia tietoaineistoja. Lomakkeiden tukipalvelu on tullut elinkaarensa päähän ja sen tuottaminen on tarkoitus lopettaa lähivuosina. Avoin data.fi –palvelu on tarkoitus määrätä jatkossa VRK:n tehtäväksi.
Ehdotetun 3 §:n 2 momentin mukaisia tukipalveluja voisivat käyttää viranomaiset ja muut julkista tehtävää hoitavat siten kuin 5 §:ssä säädetään. Mainittujen tukipalvelujen tarjoamisesta yksityisille säädettäisiin ehdotetun 8 §:n 3 momentin mukaan valtiovarainministeriön asetuksella. Palvelut olisivat käyttäjäorganisaatiolle 25 §:n mukaisesti maksuttomia.
4 §.Palvelutuottajat. Ehdotetussa 4 §:ssä säädettäisiin palvelutuottajista, jotka tuottaisivat yhteisiä sähköisen asioinnin tukipalveluja. Ehdotetussa 27 §:ssä säädettäisiin niistä palvelutuottajista, joiden palvelutuotanto päättyisi siirtymäajan jälkeen. Palvelutuottajan tehtäviin kuuluu hyvän hallintotavankin mukaan myös käyttäjäorganisaatioiden tukeminen ja neuvonta käyttöönotoissa, vaikkei sitä erikseen ehdotetussa laissa mainita.
Ehdotetun 1 momentin mukaan VRK tuottaisi ja kehittäisi 3 §:n 1 momentin 1 – 7 kohdissa tarkoitettuja tukipalveluja eli kansallista palveluväylää, palvelutietovarantoa, palvelunäkymää, luonnollisen henkilön tunnistuspalvelua, muita tunnistuspalveluja, asiointivaltuuspalvelua sekä viestinvälityspalvelua.
Ehdotetun 2 momentin mukaan Valtiokonttori tuottaisi ja kehittäisi 3 §:n 8 kohdassa tarkoitettua verkkomaksamisen kokoamis- ja hallinnointipalvelua.
Pykälän 3 momentin nojalla Maanmittauslaitoksen tehtävänä olisi tuottaa ja kehittää 3 §:n 1 momentin 9 kohdassa tarkoitettua hallinnon karttapalvelua.
Pykälän 4 momentti sisältäisi informatiivisen viittauksen TORI-lakiin, jossa säädetään valtion yhteisten tieto- ja viestintäteknisten palvelujen yhtenäisestä tuotannosta ja käytöstä. Ehdotetussa laissa tarkoitettujen yhteisten sähköisen asioinnin tukipalvelujen tuotantoon liittyvistä käyttöpalveluista vastaisi Valtori siten kuin TORI-laissa ja –asetuksessa säädetään.
5 §.Tukipalvelujen käyttö julkisessa tehtävässä. Ehdotetun 5 §:n 1 momentissa säädettäisiin tiettyjen julkisen hallinnon viranomaisten velvollisuudesta käyttää määrättyjä tukipalveluja. Säännöksen mukaan valtion hallintoviranomaisten, virastojen, laitosten ja liikelaitosten olisi käytettävä 3 §:n 1 momentin 1 – 4, 7 ja 8 kohdassa tarkoitettuja tukipalveluja kun tukipalvelu on käytettävissä ja kyseistä tukipalvelua vastaavan itsenäisesti hankitun palvelun palvelusopimus on päättynyt, jollei viranomainen olisi teknisistä tai toiminnallisista tai kustannustehokkuuteen taikka tietoturvallisuuteen liittyvistä syistä välttämätöntä käyttää toiminnassaan tai sen osassa muuta palvelua. Käyttövelvollisuus koskisi sisällöllisesti velvollisuutta käyttää palveluväylää, palvelutietovarantoa, palvelunäkymää, luonnollisen henkilön tunnistuspalvelua, viestinvälityspalvelua sekä verkkomaksamisen kokoamis- ja hallinnointipalvelua. Käyttöön velvoitettuina lueteltaisiin edellä mainittujen valtion organisaatioiden lisäksi kunnalliset viranomaiset lakisääteisten tehtäviensä osalta sekä tuomioistuimet ja muut lainkäyttöelimet.
Valtion hallintoviranomaisia ovat ne valtion toimielimet, jotka on asetettu hoitamaan hallintotehtäviä. Niitä ovat valtion keskushallintoviranomaiset eli valtioneuvosto ja ministeriöt sekä muut valtioneuvoston alaisuuteen kuuluvat hallintoviranomaiset, joiden alueellinen toimivalta on yleinen. Keskushallintoviranomaisten alaisia valtion toimielimiä ovat lääninhallitukset ja piirihallintoviranomaiset, joita ovat esimerkiksi elinkeino-, liikenne- ja ympäristökeskukset. Valtion virastoista ja laitoksista voidaan esimerkkeinä mainita valtion tutkimuslaitokset ja -keskukset sekä asiantuntijalaitokset, kuten Ilmatieteen laitos ja virastoista Kilpailu- ja kuluttajavirasto. Valtion varsinaiseen hallinto-organisaatioon kuuluvat myös paikallishallintoviranomaiset.
Kunnallisilla viranomaisilla olisi käyttövelvollisuus niiden hoitaessa laissa niille säädettyjä tehtäviä. Ehdotetun 2 momentin mukaan kunnallisilla viranomaisilla olisi oikeus käyttää tukipalveluja myös muissa tehtävissään. Kunnan viranomaiset ovat useimmiten monijäsenisiä kunnan toimielimiä, kuten valtuusto ja kunnanhallitus sekä lautakunta, johtokunta ja toimikunta. Kunnallisia viranomaisia ja toimielimiä olisivat myös kuntayhtymien ja muiden kuntien yhteistoimintaelinten viranomaiset ja toimielimet. Kunnallisen viranomaisen määrittely on viime kädessä johdettavissa siitä, onko tällä orgaanilla oikeudelliseen normiin perustuvia tehtäviä ja toimivaltaa.
Ehdotetun 3 kohdan mukaan tuomioistuimet ja muut lainkäyttöelimet olisivat myös velvollisia käyttämään tukipalveluja.
Yhteisten tukipalvelujen käyttövelvollisuudesta poikkeamisen perusteita tulisi lain tarkoitus huomioon ottaen tulkita suppeasti – poikkeamisen on oltava säännöksessä tarkoitetuista syistä objektiivisesti arvioiden välttämätöntä. Tekniset ja toiminnalliset syyt voivat tarkoittaa esimerkiksi sitä, ettei tukipalvelu täytä sellaisia olennaisia palvelun laadun taikka muun toiminnallisuuden vaatimuksia, joita käyttäjäorganisaatio tehtävänsä suorittamiseksi tarvitsee. Luonnollisesti toiminnallinen syy olla käyttämättä tukipalvelua voi olla myös se, ettei organisaatiolla ole tarvetta kyseiselle tukipalvelulle toiminnassaan.
Tietoturvallisuuteen liittyvät syyt tarkoittavat esimerkiksi arkaluontoisten henkilötietojen erityistä suojaamistarvetta tai turvaluokitellun tietoaineiston käsittelyvaatimusten täyttämistä sekä sen arvioimista, voidaanko tukipalveluissa käsitellä tällaisia tietoja ja millaisilla mahdollisilla erityisjärjestelyillä. Esimerkiksi julkisen hallinnon turvallisuusverkkotoiminnasta annetun lain (10/2015) 2 ja 3 §:ssä määritellyn käyttövelvoitteen piiriin kuuluvassa toiminnassa käytettävien korkean varautumisen ja turvallisuuden tason täyttävien järjestelmien ja järjestelmäympäristöjen integroiminen alemman tietoturvatason ratkaisuihin ei välttämättä ole aina mahdollista tai tarkoituksenmukaista. Mainitussa toiminnassa ei pääsääntöisesti tulisi käyttää ainakaan yksinomaan tukipalveluja, esimerkiksi palveluväylää, silloin kun on kyse tiedonvaihdosta, joka edellyttää korotetun tason tietoturvallisuutta tai korkeaa varautumista. Korotetun tietoturvatason vaatimusten täyttymiseen voidaan päästä esimerkiksi palveluväylän osalta erityisin järjestelyin. Muussa toiminnassaan esim. asiointipalvelussa turvallisuusverkkolain mukaisetkin toimijat ovat velvoitettuja käyttämään tukipalveluja silloin kun käytöstä poikkeamiselle ei ole muuta perustetta ja liittäminen toteutetaan lain 17 §:n mukaisesti siten, ettei tukipalvelun tai asiointipalvelun tietoturvallisuus tai toiminnallisuus vaarannu.
Kustannustehokkuus voi yhdessä toiminnallisuusperusteen kanssa tulla kyseeseen käyttövelvollisuudesta poikkeamisen perusteena esimerkiksi kun arvioidaan käyttövelvollisuutta suhteessa jo tehtyjen valtakunnallisten ja alueellisten investointien hyödyntämiseen. Kustannustehokkuus- ja toiminnallisuussyyt voivat puoltaa järjestelmien yhteensovittamista aiempien ratkaisujen korvaamisen sijaan. Arvio tulee tehdä ottaen huomioon toisaalta asiointipalvelun ja toisaalta kunkin yhteisten sähköisen asioinnin palvelun erityispiirteet. Esimerkiksi luonnollisen henkilön tunnistuspalvelun käyttöönotosta koituvat kustannussäästöt käyttäjäorganisaatiolle ovat niin merkittävät, että sen käyttöönotosta koituvat kustannukset eivät voine perustellusti olla esteenä palvelun käyttöönotolle. On myös otettava huomioon että olemassa olevat tunnistuksen kokoamis- ja hallinnointipalvelut on tarkoitus lopettaa vuoden 2017 lopussa, jolloin kaikkien tunnistuspalveluja tarvitsevien on tullut siirtyä uuden palvelun piiriin.
Ehdotetun 2 momentin mukaan julkisen hallinnon viranomaiset, itsenäiset julkisoikeudelliset laitokset, eduskunta virastoineen ja valtion talousarvion ulkopuoliset rahastot sekä lailla tai lain nojalla annetulla asetuksella tai valtion hallintoviranomaisen päätöksellä julkista hallintotehtävää itsenäisesti hoitamaan asetetut saisivat käyttää kaikkia tukipalveluja laissa säädetyn julkisen hallintotehtävän hoitamiseksi. Kunnalliset viranomaiset ja kuntien yhteistyöelimet saisivat käyttää kaikkia tukipalveluja myös muissa tehtävissään. Tukipalvelut, joihin olisi käyttöoikeus, kuuluisivat myös valtiovarainministeriön 3 §:n 2 momentin nojalla antamalla asetuksella säädetyt tukipalvelut.
Säännöksessä tarkoitettaisiin julkisen hallinnon viranomaisilla paitsi 1 momentissa lueteltuja tahoja, myös muita julkisen hallinnon viranomaisia kuten esimerkiksi Ahvenanmaan maakunnan viranomaisia. Itsenäisillä julkisoikeudellisilla laitoksilla tarkoitettaisiin esimerkiksi Kansaneläkelaitosta, Suomen Pankkia, yliopistoja, Työterveyslaitosta ja Kevaa.
Lailla tai sen nojalla annetulla asetuksella tai lain nojalla annetulla valtion hallintoviranomaisen päätöksellä julkista hallintotehtävää hoitamaan asetetuilla tarkoitettaisiin muun muassa ammattikorkeakouluja, Eläketurvakeskusta sekä Maatalousyrittäjien eläkelaitosta. Nämä tahot voisivat käyttää kaikkia tukipalveluja niiden hoitaessa laissa säädettyä julkista hallintotehtävää. Käytöstä yksityisessä tehtävässä säädettäisiin 8 §:ssä.
Ehdotetun 3 momentin mukaan lakiin perustuvan sopimuksen nojalla tai muulla kuin 2 momentissa tarkoitetulla perusteella julkista tehtävää hoitavat saisivat käyttää tässä tehtävässään muita tukipalveluja paitsi tunnistuspalveluja ja verkkomaksamisen kokoamis- ja hallinnointipalvelua sekä viestinvälityspalvelua, joiden tarjoamisesta tässä momentissa tarkoitetuille päättäisi kyseistä tukipalvelua tuottava palvelutuottaja. Tarkoituksena olisi määritellä 1 ja 2 momenttia löyhemmin julkiseen hallintoon liittyville toimijoille oikeus pääsääntöisesti käyttää tukipalveluja tässä julkisessa tehtävässä. Joidenkin tukipalvelujen osalta on kuitenkin katsottu tarpeelliseksi esimerkiksi tukipalvelujen resurssien hyödyntämisen kustannustehokkuuden, tasapuolisen kohtelun ja kilpailunäkökulmien vuoksi rajata käyttöoikeutta. Momentissa tarkoitettuja toimijoita olisivat esimerkiksi niin sanotut laissa mahdollistetut ostopalvelut ja palvelusetelipalvelut, joilla julkisen tehtävän hoitamisen suorittaa yksityinen julkisen hallinnon viranomaisen kanssa tehdyn sopimuksen nojalla. Ehdotetun säännöksen mukaan tällaisten toimijoiden oikeudesta käyttää luonnollisen henkilön tunnistuspalvelua, verkkomaksamisen kokoamis- ja hallinnointipalvelua sekä viestinvälityspalvelua päättäisi kyseisen tukipalvelun palvelutuottaja.
Edellä 3 momentissa tarkoitetussa käyttöoikeutta koskevassa päätöksenteossa olisi otettava huomioon yleiset hallinto-oikeudelliset periaatteet, lain tarkoitus sekä esimerkiksi hakijan julkisen tehtävän luonne ja aiotun tukipalvelun käytön merkitys hakijan julkisen tehtävän hoitamisessa ja merkitys tukipalvelua mahdollisesti vastaavien yksityisten palvelujen tasapuolisten toimintaedellytysten kannalta. Lisäksi olisi otettava huomioon tukipalvelun tuottamiseen käytettävissä olevat resurssit, aiotun käytön merkitys julkisten palvelujen saatavuuden, laadun ja yhteentoimivuuden sekä julkisen hallinnon toiminnan ja tehokkuuden kannalta.
6 §.Palvelutietovarannon ja palvelunäkymän käyttö. Pykälässä säädettäisiin erityisesti tiedon tarjoamista koskevien tukipalvelujen käyttövelvollisuuden sisällöstä.
Pykälän 1 momentin mukaan tukipalvelujen käyttöön velvoitetun käyttäjäorganisaation olisi tarjottava tuottamiaan palveluja sekä sen järjestämisvastuulla olevia palveluja koskevat julkiset tiedot palvelutietovarantoon saataville. Sama koskisi säännöksen mukaan käyttäjäorganisaatiota, jolla on oikeus käyttää palvelutietovarantoa, jos se päättää käyttää oikeuttaan. Järjestämisvastuulla olevien tietojen kuvaamisella tarkoitettaisiin esimerkiksi sitä, että kunnan lakisääteisiä tehtäviään ostopalveluina tuottamien palvelujen kuvaamisesta vastaisi kunnallinen viranomainen, jonka vastuulle palvelun järjestäminen kuuluu.
Julkisen hallinnon tietohallinnon ohjauksesta annetun lain nojalla toimiva Julkisen hallinnon tietohallinnon neuvottelukunta (JUHTA) on antanut suosituksen JHS 183 Julkisen hallinnon palvelujen tietomalli ja ryhmittely verkkopalveluissa. Mainitun suosituksen pohjalta on laadittu palvelutietovarannon tietomalli, jota noudattaen tiedot tulee kuvata palvelutietovarantoon. Palvelutietovarantoon kuvattaisiin mm. palveluntuottajaorganisaatio, palvelujen julkiset tiedot kuten kohderyhmät, hinnat ja käytön edellytykset ja sekä palvelujen palvelukanavat, kuten sähköiset asiointipalvelut, palvelupisteet ja puhelinpalvelut aukioloaika- ja maksullisuustietoineen. Palvelutietovarannon tiedot olisivat julkisesti kaikkien saatavilla ja hyödynnettävissä avoimen rajapinnan kautta. Tietoja hyödynnettäisiin esimerkiksi palvelunäkymässä, jossa käyttäjä voi hakea palvelutietovarantoon sisältyviä palveluja koskevia tietoja.
Pykälän 2 momentin mukaan tukipalvelujen käyttöön velvoitetun käyttäjäorganisaation olisi tarjottava rekistereihinsä merkittyjä luonnollista henkilöä tai organisaatiota koskevia tietoja tietojen kohteen tai tämän toimivaltaisen edustajan saataville palvelunäkymässä. Velvollisuus koskisi tietoja, joita käyttäjäorganisaatio muutoinkin tarjoaa tietoverkon avulla tietojen kohteille nähtäväksi sekä tietoja, jotka ovat tietojen kohteelle yleisesti hyödyllisiä tämän hoitaessa asioitaan sähköisesti. Sama koskisi käyttäjäorganisaatiota, jolla on oikeus käyttää palvelunäkymää, jos se päättää käyttää oikeuttaan.
Kaikkia käyttäjäorganisaatioiden rekistereissä olevia tietoja ei olisi tarkoitus tuoda palvelunäkymään – ainoastaan tiettyjä ja käyttäjän kannalta merkityksellisimpiä tietoja. Tarkoituksena ei myöskään ole tuoda palvelunäkymiin henkilötietoja, joiden luovuttaminen tietojen kohteelle edellyttää lainsäädännön mukaan harkintaa.
Pykälän 3 momentin mukaan käyttäjäorganisaatio päättäisi VRK:ta kuultuaan palvelunäkymään tuotavista rekisteritiedoista. VRK:lla ei olisi oikeutta vaatia käyttäjäorganisaatiota rekisterinpitäjänä tuomaan tietojaan palvelunäkymään laajemmin kuin se itse tulkitsee säännöksessä asetettua velvoitetta. VRK:lla olisi kuitenkin oikeus päätöksellään rajoittaa 1 ja 2 momentissa tarkoitettujen tietojen tarjoamista, jos rajoittaminen olisi käytetyn tukipalvelun luonne huomioon ottaen tarpeen. Kyse voisi olla esimerkiksi siitä, että käyttäjäorganisaatio haluaisi tuoda palvelutietovarantoon tai palvelunäkymään tietoja liian laajasti tukipalvelun luonteeseen nähden. Tukipalvelun käytön kieltämisestä tai estämisestä muutoin säädettäisiin 8 §:n 4 momentissa.
7 §.Tukipalvelujen käyttövelvollisuudesta päättäminen. Pykälässä säädettäisiin menettelystä tukipalvelujen käyttöönotosta päätettäessä.
Pykälän mukaan tukipalvelujen käyttöön velvoitetun olisi käyttövelvoitteesta poiketakseen haettava velvollisuudesta poikkeamista kyseistä tukipalvelua tuottavalta palvelutuottajalta. Palvelutuottajan olisi ennen kielteisen päätöksen antamista annettava hakijalle mahdollisuus saattaa asia valtiovarainministeriön ratkaistavaksi. Valtiovarainministeriö voisi myös omasta aloitteestaan tai palvelutuottajan pyynnöstä ottaa asian ratkaistavakseen, jos kyse olisi tässä laissa tarkoitetun yleisen ohjauksen tai julkisen hallinnon tietohallinnon ohjauksen kannalta merkittävästä asiasta. Palvelutuottajan olisi käytännössä pidettävä valtiovarainministeriö tietoisena poikkeamista koskevista hakemuksista, jotta valtiovarainministeriö voisi tarvittaessa ottaa asian itselleen ratkaistavaksi.
Käyttövelvollisuudesta ja velvoitetuista käyttäjäorganisaatioista säädettäisiin ehdotetun lain 5 §:n 1 momentissa. Käyttövelvollisuus koskisi lain 3 §:n 1 momentin 1-4, 7 ja 8 kohdassa tarkoitettuja tukipalveluja eli palveluväylää, palvelutietovarantoa, palvelunäkymää, luonnollisen henkilön tunnistuspalvelua, viestinvälityspalvelua sekä verkkomaksamisen kokoamis- ja hallinnointipalvelua.
8 §.Yksityisten käyttöoikeus ja käytön kieltäminen. Pykälässä säädettäisiin yksityisten tahojen oikeudesta käyttää tukipalveluja sekä mahdollisuudesta kieltää tukipalvelun käyttö. Ehdotetun 5 §:n mukainen käyttöoikeus koskee ainoastaan käyttöä julkisen tehtävän hoitamiseksi. Organisaatiot, joilla olisi myös yksityistä elinkeinotoimintaa, voisivat tässä toiminnassaankin hyödyntää tukipalveluja 8 §:ssä säädetyn mukaisesti.
Pykälän 1 momentissa säädettäisiin yksityisille yhteisöille, säätiöille ja elinkeinonharjoittajille oikeus käyttää kansallista palveluväylää tietojen siirtoon. Ehdotetun 5 §:n käyttövelvoitteen vuoksi palveluväylä olisi käytännössä lähtökohtaisesti ainoa mahdollisuus yksityisen sektorin toimijalle huolehtia tiedon siirron rajapinnasta julkishallinnon kanssa. Julkishallinnon rekisterien ja palvelujen rajapinnan määritteleminen pääsääntöisesti yhdellä tavalla myös yksityisten suuntaan on perusteltua, koska se yksinkertaistaa ja helpottaa viranomaisten tietojen hyödynnettävyyttä sekä helpottaa kanssakäymistä viranomaisten kanssa. Ratkaisun avulla yksityisten pääsy eri viranomaisten tietolähteisiin voidaan yhtenäistää. Mahdollistamalla yksityisille palveluväylän käyttö myös muissa tilanteissa eivät yksityisen sektorin toimijat ole pakotettuja ainakaan palveluväylän käytön vuoksi rakentamaan useita erilaisia tiedon siirron rajapintoja.
Ehdotetun 2 momentin 1 kohdan mukaan muut yksityiset yhteisöt, säätiöt ja elinkeinonharjoittajat voisivat tarjotessaan palveluja yleisölle käyttää palvelutietovarantoa palvelujaan koskevien tietojen tarjoamiseen.
Ehdotetun 2 kohdan mukaan yksityiset voisivat myös käyttää palvelunäkymiä ja asiointivaltuuspalvelua, jos niillä on oikeus käsitellä asiakkaidensa henkilötunnusta tai muuta tietojen pyytämisessä tai näyttämisessä tarvittavaa yksilöivää tunnusta palvelujensa tarjoamisessa. Pääsääntöisesti tietoja haettaisiin 15 §:n mukaisesti henkilötunnuksella, mutta myös esimerkiksi yrityksen palvelunäkymään yritystunnuksella. Tulevaisuudessa on mahdollista myös uusien hakutapojen kehittyminen, minkä vuoksi on tarkoituksenmukaista jättää säännökseen liikkumavaraa.
Ehdotetussa 3 momentissa säädettäisiin valtiovarainministeriölle toimivalta antaa asetus pykälässä tarkoitettujen yksityisten oikeudesta käyttää 3 §:n 2 momentissa tarkoitettuja tukipalveluja – eli tukipalveluja, joiden tuottamistehtävästä säädettäisiin myös valtiovarainministeriön asetuksella 3 §:n 2 momentin mukaisesti.
Ehdotetussa 4 momentissa säädettäisiin VRK:lle mahdollisuus päätöksellään kieltää tukipalvelun käyttö tai estää sen kokonaan tai osittain sellaiselta yksityiseltä yhteisöltä, säätiöltä tai elinkeinonharjoittajalta tietyillä ennalta määritellyillä perusteilla.
Ehdotetun 4 momentin 1 kohdan mukaan tukipalvelun käyttö voitaisiin kieltää tai estää kokonaan tai osittain, jos yksityisen yhteisön tai elinkeinonharjoittajan tietojärjestelmää ei voida tietoturvallisuuden vaarantumisesta johtuvista syistä liittää tukipalveluun. Tukipalveluja ja niiden käyttöä koskevista muun muassa tietoturvallisuuteen liittyvistä vaatimuksista säädettäisiin ehdotetussa 4 luvussa.
Ehdotetun 4 momentin 2 kohdan mukaan tukipalvelun käyttö voitaisiin kieltää tai estää kokonaan tai osittain, jos yksityinen yhteisö tai elinkeinonharjoittaja ei huolehdi palvelutietovarantoon tai palvelunäkymään tarjoamansa tiedon oikeellisuudesta.
Ehdotetun 4 momentin 3 kohdan mukaan tukipalvelun käyttö voitaisiin kieltää tai estää kokonaan tai osittain, jos yksityisen yhteisön tai elinkeinonharjoittajan tukipalvelun käytön poliisi- tai syyttäjäviranomainen on pyytänyt estämään sen vuoksi, että on todennäköisiä syitä epäillä tukipalvelua käytettävän rikoksen tekemiseen. Kyse voisi olla esimerkiksi siitä, että elinkeinonharjoittaja käyttää palvelutietovarantoa petoksellista tai muuten rikollista koskevan palvelun tietojen tarjoamiseen.
Ehdotetun 4 momentin 4 kohdan mukaan tukipalvelun käyttö voitaisiin kieltää tai estää kokonaan tai osittain, jos yksityisen yhteisön tai elinkeinonharjoittajan tietojen tarjoamisen palvelutietovarantoon tai palvelunäkymään saataville voidaan todennäköisin syin katsoa loukkaavan jonkun oikeutta korvausvastuun muodostavalla tavalla ja se, jonka oikeutta voidaan katsota loukatun pyytää käytön kieltämistä, eikä kiellon kohteena oleva kahden viikon määräajassa esitä hyväksyttävää perustetta tietojen saatavilla pitämiselle. Kyse voisi olla esimerkiksi immateriaalioikeutta tai henkilötietojen suojaa koskevasta väitteestä. Mikäli kyse olisi riitaisesta asiasta tai rikollisesta menettelystä, tulisivat viime kädessä sovellettavaksi 3 ja 5 kohdassa esitetyt käytön kieltämisen perusteet.
Ehdotetun 4 momentin 5 kohdan mukaan tukipalvelun käyttö voitaisiin kieltää tai estää kokonaan tai osittain, jos yksityisen yhteisön tai elinkeinonharjoittajan tietojen saatavilla pitäminen tai tukipalvelun käyttäminen muutoin on kielletty tuomioistuimen lainvoimaisella päätöksellään.
3 luku Henkilötietojen ja muiden tietojen käsittely palvelutuotannossa
9 §.Palvelutuotannossa säännönmukaisesti hyödynnettävät tietolähteet. Pykälässä säädettäisiin yhteisten sähköisen asioinnin tukipalvelujen tuottamisessa hyödynnettävistä tietolähteistä. VRK:lla olisi oikeus sille ehdotetussa laissa säädettyjen tehtävien hoitamiseksi käsitellä teknisen käyttöyhteyden avulla säännöksessä mainittuihin tietojärjestelmiin sisältyviä tietojärjestelmäkohtaisesti täsmennettyjä tietoja siten kuin tietojen käsittelystä ehdotetussa 3 luvussa säädettäisiin. Tietojen siirtoon käytettäisiin palveluväylää, ellei teknisistä tai toiminnallisista tai kustannustehokkuuteen taikka tietoturvallisuuteen liittyvistä syistä olisi välttämätöntä käyttää muuta palvelua.
VRK:n olisi mahdollista hyödyntää tukipalvelujen tuotannossa myös muita rekistereitä niitä koskevan lainsäädännön mukaisesti. Mahdollisesti hyödynnettäviä rekistereitä asiointivaltuuspalvelussa olisivat esimerkiksi liiketoimintakieltorekisteri sekä konkurssi- ja yrityssaneerausrekisteri ainakin niin kauan kuin tiedot näistä rekistereistä eivät ole saatavilla viiveettä esimerkiksi kaupparekisteristä.
Perustietovarannon, perustietojärjestelmän tai perusrekisterin käsitettä ei ole määritelty lainsäädännössä. Perusrekisterit sisältävät tietoja yhteiskunnan keskeisistä perusyksiköistä ja näiden ominaisuuksista sekä yksilöivät nämä perusyksiköt, kuten henkilöt, yhteisöt, säätiöt ja kiinteistöt. Perusrekisterit tarjoavat yhteiskunnan toimintoihin liittyvää tiedon käyttöä ja hallintaa koskevia palveluita ja suoritteita. Perusrekistereille on ominaista, että niistä säädetään laissa tai asetuksessa. Niiden tietoihin liittyy myös niin sanottu julkinen luotettavuus tai muu vastaava tietojen luotettavuuden takaava ominaisuus. Perusrekisteritietojen pohjalta voidaan tehdä myös yksilön oikeuksiin ja velvollisuuksiin vaikuttavia hallinnollisia ratkaisuja. Pykälässä luetellut perusrekisterit olisivat tärkeässä asemassa tuotettaessa tukipalveluja.
Ehdotetun 1 kohdan mukaan palvelutuotannossa voitaisiin käsitellä väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetussa laissa tarkoitetusta väestötietojärjestelmästä henkilön nimeä, henkilötunnusta, sähköistä asiointitunnusta, kansalaisuutta, asiointikieltä, äidinkieltä, kuolinpäivää, edunvalvontaa, toimintakelpoisuuden rajoittamista, edunvalvontavaltuutusta ja lapsen huoltoa koskevia tietoja sekä yhteystietoja ja tietoa turvakiellosta. Käsiteltäviä yhteystietoja olisivat esimerkiksi kotikunta, asuinpaikka, asiointiosoite ja sähköpostiosoite. Nämä tiedot olisivat tarpeellisia esimerkiksi palvelunäkymän personoinnissa käyttäjän asuinpaikan mukaan sekä viestinvälityspalvelussa viestien välittämiseksi. Nimeä, henkilötunnusta ja elossa oloa koskevien tietojen käsittely olisi tarpeen kaikissa yhteisten sähköisen asioinnin palveluissa, joissa olisi tarpeen tarjota henkilölle tai käyttäjäorganisaatiolle henkilöä tai hänen edustamaansa henkilöä koskevia tietoja. Asiointivaltuuspalvelussa olisi tarpeen käsitellä lisäksi edunvalvontaa, toimintakelpoisuuden rajoittamista sekä lapsen huoltoa koskevia tietoja, jotka pitäisivät sisällään kaikki ne tiedot, joilla voi olla merkitystä mainittujen kelpoisuuksien toteamiseksi, kuten vanhempien ja lasten nimet ja henkilötunnukset, tiedot huostaanotosta sekä tiedot vajaavaltaisuudesta, edunvalvonnan laajuudesta sekä edunvalvojan yksilöimiseksi tarpeelliset tiedot, kuten nimi ja henkilötunnus.
Ehdotetun 2 kohdan mukaan palvelutuotannossa voitaisiin käsitellä holhoustoimesta annetussa laissa (442/1999) tarkoitetusta holhousasioiden rekisteristä henkilön edunvalvontaa, toimintakelpoisuuden rajoittamista, edunvalvontavaltuutusta koskevia tietoja. Asiointivaltuuspalvelussa olisi tarpeen käsitellä edunvalvontaa, toimintakelpoisuuden rajoittamista sekä edunvalvontavaltuutusta koskevia tietoja, jotka pitäisivät sisällään kaikki ne tiedot, joilla voi olla merkitystä mainittujen kelpoisuuksien toteamiseksi, kuten tiedot toimivallan rajoituksen sisällöstä, vajaavaltaisuudesta, edunvalvonnan laajuudesta, edunvalvojasta, edunvalvontavaltuutuksesta sekä -valtuutetusta.
Ehdotetuissa 3 – 5 kohdissa säädettäisiin oikeudesta käsitellä palvelutuotannossa yhdistysrekisteristä, kaupparekisteristä, yhteisötietojärjestelmästä ja säätiörekisteristä yhteisöjen vastuuhenkilöitä koskevia tietoja. Saatavilla olevia vastuuhenkilöitä koskevia tietoja voitaisiin käsitellä asiointivaltuuspalvelussa. Käsiteltäviin tietoihin kuuluisivat siltä osin kuin tietoja on saatavilla, nimi ja henkilötunnus henkilöistä joilla yksin tai yhdessä toisen henkilön kanssa on oikeus edustaa oikeushenkilöä sekä mahdollisesti saatavilla olevat tiedot edustusoikeuden ulottuvuudesta ja rajoituksista. Esimerkiksi yhdistyslain (503/1989) 48 §:n 2 momentin mukaan yhdistysrekisteriin on ilmoitettava yhdistyksen hallituksen puheenjohtajan ja yhdistyksen nimenkirjoittajan täydellinen nimi, osoite, kotikunta ja henkilötunnus. Yhdistyksen hallitus kokonaisuudessaan on kuitenkin vastuussa yhdistyksen hallinnosta. Tällä hetkellä yhdistysrekisteristä ei siten saa tietoa kaikista yhdistysten vastuuhenkilöistä. Asiointivaltuuspalvelu hyödyntäisi saatavilla olevia tietoja. Oikeusministeriössä on valmisteltavana yhdistyslain muutosehdotus ja yhtenä muutettavana seikkana on ollut esillä yhdistyslain muuttaminen niin, että yhdistyksen hallituksen kaikki jäsenet voitaisiin merkitä yhdistysrekisteriin. Muutokset on tarkoitus saada voimaan vuoden 2016 aikana.
10 §.Valtuutusten ja muiden tahdonilmaisujen rekisteröinti. Pykälässä säädettäisiin VRK:n asiointivaltuuspalvelun tuottamista varten pitämästä uudesta rekisteristä sekä menettelystä valtuutuksen ja muun tahdonilmaisun antamisessa rekisteriin sekä valtuutuksen tai muun tahdonilmaisun sisällön sekä sen antajaa koskevan tiedon yhdistämisestä ja tietokokonaisuuden eheyden varmistamisesta.
VRK pitäisi ehdotetun 1 momentin nojalla asiointivaltuuspalvelun tarjoamiseksi rekisteriä luonnollisten henkilöiden antamista ja yhteisöjen puolesta annetuista asiointia koskevista valtuutuksista ja muista tahdonilmaisuista. Tahdonilmaisut olisivat toimivallaltaan tarkkarajaisia tiettyyn toimintaan tai tapahtumaan liittyviä – avoimia asianajovaltakirjoja ei voisi palvelussa tehdä.
Ehdotetussa 1 momentissa säädettäisiin lisäksi, että asiointivaltuuspalvelu voi välittää myös muiden viranomaisten tallentamia valtuutusta ja muita tahdonilmaisuja koskevia tietoja, jos näitä tietoja tallentava viranomainen on antanut VRK:lle luvan tietojen välittämiseen eikä toiminta vaaranna asiointivaltuuspalvelussa välitettävien tietojen luotettavuutta. Muiden viranomaisten tahdonilmaisuja koskevien rekisterien osalta rekisterinpitovastuu perustuisi näiden viranomaisten toimintaa koskeviin säännöksiin ja vastuu rekisterinpidosta ja tahdonilmaisujen rekisteröinnistä säilyisi asianomaisella viranomaisella. VRK vastaisi vain asiointivaltuuspalveluun sisältyvän välityspalvelun toiminnasta. Sektorikohtaisten, esimerkiksi sosiaali- ja terveydenhuollon piirissä annettujen tahdonilmaisujen käyttömahdollisuudet rajautuvat usein mainitulla alalla toimiviin eikä tahdonilmaisujen hyödyntäminen yleisemmin ole mahdollista. Säännöksen kohdan tarkoituksena olisi mahdollistaa näiden tietojen saaminen keskitetysti käytettäväksi asiointivaltuuspalvelun kautta.
Pykälän 2 momentissa säädettäisiin 1 momentissa tarkoitettujen tahdonilmaisujen rekisteröimisen edellytyksistä ja rekisteröinnissä noudatettavasta menettelystä.
Ennen tahdonilmaisun antamista asiointivaltuuspalvelu tunnistaisi tahdonilmaisun antajan luotettavasti joko luonnollisen henkilön tunnistuspalvelua käyttäen tai muulla tunnistusmenetelmällä, joka on tietoturvallinen ja todisteellinen. Mahdollisuudella hyödyntää muitakin tunnistusmenetelmiä kuin luonnollisen henkilön tunnistuspalvelua, pyritään siihen, että järjestelmää rakennettaessa ja kehitettäessä voitaisiin mahdollisimman joustavasti valita sellaiset toimintamuodot, jotka yhtäältä edistävät sitä, että järjestelmällä on mahdollisimman laaja käyttäjäpiiri esimerkiksi organisaatioiden osalta, ja toisaalta takaavat luotettavan tunnistamisen sekä asianmukaisen tietoturvan ja todisteellisuuden. Sääntely vastaa maakaaren 9 a luvun 1 §:ssä omaksuttua ratkaisua koskien kiinteistön kaupan sähköiseen asiointijärjestelmään kirjautumisen edellytyksiä.
Lisäksi asiointivaltuuspalvelu tarkistaisi 9 §:ssä tarkoitetuista rekistereistä niihin merkityt tiedot valtuutuksen antajan toimivallasta sekä mahdollisesta toimintakelpoisuuden rajoituksesta. Tahdonilmaisun rekisteröimisessä voitaisiin hyödyntää myös VRK:n 1 momentin nojalla ylläpitämän tahdonilmaisuja koskevan rekisterin tietoja, mikäli rekisteriin sisältyvään valtuutukseen sisältyisi oikeus edelleen valtuuttaa taikka antaa muita tahdonilmaisuja päämiehen puolesta. Epäselvissä tapauksissa valtuuttaminen ei olisi mahdollista. Mikäli toimivallan käyttö on jaettu (esimerkiksi nimenkirjoitusoikeus yhdessä), edellyttäisi valtuutuksen rekisteröinti kummankin toimivaltaisen henkilön hyväksyntää.
Ehdotetun 3 momentin mukaan VRK hyväksyisi valtiovarainministeriötä sekä Viestintävirastoa kuultuaan 3 momentissa tarkoitetut muut tunnistusmenetelmät kuin luonnollisen henkilön tunnistuspalvelun. VRK:n olisi myös huolehdittava siitä, että hyväksyttyjen menetelmien käyttöä koskevat tiedot ovat maksutta saatavissa yleisen tietoverkon kautta. Säännös vastaisi maakaaren 9 a luvun 1 §:n sääntelyä, jonka mukaan Maanmittauslaitos hyväksyy kiinteistönkaupan verkkopalvelussa käytettävät ratkaisut maa- ja metsätalousministeriötä sekä Viestintävirastoa kuultuaan sekä pitää hyväksyttyjen menetelmien käyttöä koskevat tiedot maksutta saatavissa yleisen tietoverkon kautta.
Ehdotetun 4 momentin mukaan VRK:n olisi huolehdittava tallennetun tahdonilmaisun sisällön eheydestä ja että tahdonilmaisun hyväksyminen ja sitä edeltävä henkilön tunnistaminen pystytään yhdistämään tahdonilmaisun sisältöön. Kyse on eräänlaisesta suljetussa järjestelmässä toteutetusta sähköisen allekirjoittamisen ratkaisusta, jossa tahdonilmaisun antajan henkilöllisyyttä koskeva tieto yhdistetään tahdonilmaisuun ja tämän tietokokonaisuuden eheys varmistetaan ja tallennetaan sekä säilytetään 14 §:ssä kuvatulla tavalla.
11 §.Sähköistä tiedoksiantomenettelyä koskevan suostumuksen rekisteröinti ja rekisterimerkinnän luotettavuus. Pykälässä säädettäisiin tiedoksiantomenettelyä koskevan suostumuksen rekisteröimisestä sekä tämän rekisteröidyn tiedon hyödyntämisestä viranomaisissa. Sähköisestä asioinnista viranomaistoiminnassa annetun lain mukaan asiakirja voidaan antaa tiedoksi sähköisesti asianosaisen suostumuksella. Lain esitöiden mukaan suostumukselle ei aseteta muotovaatimuksia. Keskeistä on, että suostumuksen antaja ymmärtää, että tiedoksianto voidaan toimittaa hänelle sähköisesti. Suostumus voi olla yksittäistä asiaa koskeva tai yleisempi. Suostumuksen antaminen voidaan toteuttaa esimerkiksi siten, että sähköisessä lomakkeessa on erityinen kohta, jossa henkilö voi ilmoittaa halutun tiedoksiantotavan tai muuttaa aikaisemmin ilmoittamaansa tiedoksiantotapaa (HE 111/2010 vp). Pykälässä tarkoitettu suostumusrekisteri sisältäisi tiedot käyttäjien antamista yleisistä suostumuksista koskien viranomaisasian sähköistä tiedoksiantamista.
Ehdotetun 1 momentin mukaan viestinvälityspalvelun palvelutuottaja pitäisi viranomaistoimintaan liittyvän sähköisen tiedoksiannon toteuttamista varten rekisteriä käyttäjien antamista sähköistä tiedoksiantomenettelyä koskevista yleisistä suostumuksista. Rekisterinpitäjä olisi 27 §:n nojalla Valtori siihen asti kunnes viestinvälityspalvelun tuottaminen siirtyisi VRK:n tehtäväksi.
Sähköinen asiointitili on ollut käytössä vuodesta 2011. Asiointitilin kautta tapahtuvan tiedoksiantamisen edellyttämän suostumuksen hallinnoimisesta ei ole säädetty laissa. Asiointitilin käyttöehtojen mukaan käyttäjä antaa asiointitilin käyttöehdot hyväksyessään yleisen suostumuksen siihen, että asiointitiliin liitetyt viranomaiset saavat toimittaa hänelle tiedoksiantoja asiointitilille. Käyttäjän on hyväksyttävä asiointitilin käyttöehdot ennen kuin hän voi ottaa asiointitilin käyttöönsä. Asiointitiliä luotaessa on katsottu, että henkilön yleinen suostumus asiakirjan sähköiseen toimittamiseen on riittävä. Suostumus kattaa tiedoksiantojen vastaanottamisen myös viranomaisilta, jotka liittyvät asiointitiliin kansalaisen jo otettua asiointitilin käyttöönsä. Käytännössä kuitenkin ennen kuin viranomainen liittyy asiointitilin käyttäjäksi, sen pitää selvittää, tarvitaanko asiakirjojen lähettämiseen asiointitilin kautta lisäksi erityinen suostumus. Jos erityinen suostumus tarvitaan, viranomaisen tulee pystyä kysymään suostumus omassa sähköisessä palvelussaan ennen tiedoksiannon toimittamista asiointitilin kautta. Käytännössä tämä on johtanut erilaisiin tulkintoihin mahdollisuudesta hyödyntää sähköistä tiedoksiantoa asiointitilille.
Viestinvälityspalvelussa käyttäjä voisi antaa yleisen suostumuksen sähköisen tiedoksiannon käyttämiseen. Käyttäjän on ottaessaan sähköisen viestinvälityspalvelun käyttöönsä ilmoitettava esimerkiksi sähköpostiosoite, puhelinnumero tai molemmat, joihin käyttäjälle lähetetään heräteviesti, kun hänelle on tullut palveluun tiedoksianto. Heräteviesti voitaisiin toimittaa myös muulla tavalla. Järjestelmä kehottaa säännöllisesti käyttäjää tarkistamaan yhteystietojen ajantasaisuuden. Yhteystietojen ajan tasalla pitämisestä voidaan muistuttaa esimerkiksi palvelunäkymässä. Käyttäjä voi koska tahansa peruuttaa suostumuksensa sähköiseen tiedoksiantoon, jolloin hän saa tiedoksiannot postitse. Ennen sähköistä tiedoksiantoa koskevan suostumuksen antamista käyttäjää informoidaan suostumuksen merkityksestä sekä siitä, että on tärkeää pitää yhteystiedot herätettä varten ajan tasalla.
Ehdotetun 2 momentin mukaan suostumuksen rekisteröimisessä noudatettaisiin vastaavaa menettelyä kuin valtuutusten ja tahdonilmaisujen rekisteröinnissä. Suostumusten rekisteröinti voitaisiin myös toteuttaa samalla teknisellä ratkaisulla. Suostumusta koskevien tietojen käsittelystä ja luovuttamisesta säädettäisiin 12 - 14 §:issä.
Ehdotetun 3 momentin mukaan viranomainen voisi tiedoksiantoa suorittaessaan luottaa 1 momentissa tarkoitettuun rekisteriin merkittyyn tietoon. Tästä seuraisi, että viranomainen voisi antaa asiakirjan tiedoksi suostumuksen mukaisesti sähköisesti, ellei sen tietoon ole hallintolakiin tai sähköisestä asioinnista viranomaistoiminnassa annettuun lakiin taikka muuhun lakiin perustuen tullut, että tiedoksianto tulee toimittaa toisin. Jotta olisi selvää, ettei pelkkä suostumuksen olemassaolo luo oikeutta sähköiseen tiedoksiantoon, säännöksen lopussa todettaisiin, että tiedoksiantamisen tavoista säädettäisiin erikseen. Viranomaisen tulee olla selvillä siitä, miten sen asiakirjat lain mukaan voidaan tiedoksiantaa.
Asiakirjaa tiedoksiantava viranomainen päättäisi suostumusrekisterin ja itsellään olevien tietojen sekä tiedoksiantomenettelyä koskevien säännösten perusteella, haluaako tiedoksiannon toimitettavaksi sähköisesti luonnollisen henkilön tai yrityksen sähköiseen viestinvälityspalvelun avulla vai postitse viestinvälityspalvelun kautta. Postiosoite voi viranomaisen viestinvälityspalvelussa tekemän valinnan mukaan olla joko väestötietojärjestelmän mukainen kotikunta ja asuinpaikka, postin osoiterekisterin tieto taikka muu viranomaisen itse määrittelemä, esimerkiksi henkilön viranomaiselle antama asiointiosoite. Mikäli tietyn viranomaisen tiedoksiantamista koskevissa erityissäännöksissä olisi kielletty sähköinen tiedoksiantaminen tai asetettu sille tiukempia vaatimuksia, ei kyseinen viranomainen välttämättä voisi hyödyntää pykälässä tarkoitetun suostumusrekisterin tietoa ja sähköistä tiedoksiantamista.
Viestinvälityspalvelun avulla sähköisesti tiedoksiannettujen asiakirjojen katsottaisiin tulleen käyttäjän tietoon siten kuin sähköisestä asioinnista viranomaistoiminnassa annetun lain 18 ja 19 §:ssä säädetään tavallisesta ja todisteellisesta tiedoksiannosta. Mikäli yksittäiseen tiedoksiantoon soveltuvassa muussa laissa on mainitusta laista poikkeavia määräaikoja, noudattaisi tiedoksiantava viranomainen niitä.
Viestinvälityspalvelu toimittaisi viranomaiselle koneellisen kuittauksen siitä, milloin viesti on toimitettu käyttäjän tilille. Vastaava oikeus saada kuittaus olisi myös kansalaisella kansalaisen toimittaessa viestiä viranomaiselle. Mikäli viestinvälityspalvelua ylläpitävän palvelutuottajan tietoon tulee, että käyttäjä ei ilmeisesti ole saanut tiedoksiantoa, tulisi sen ilmoittaa käyttäjäorganisaatiolle olevan todennäköistä, ettei viesti ole mennyt perille. Näyttönä viestin perille menemättömyydestä voisi olla esimerkiksi, että asianosaisen asiointitilille antama puhelinnumero tai sähköpostiosoite ei olisi enää käytössä eikä ilmoitusta asiointitilille toimitetusta viestistä saada toimitettua perille.
Viranomaisen valitessa todisteellisen sähköisen tiedoksiantotavan, asianosaisen tulisi kuitata tiedoksianto vastaanotetuksi ennen avaamista. Viestinvälityspalvelu toimittaisi viranomaiselle koneellisen kuittauksen vastaanottajan kuittauksesta ja vastaanottoajasta. Asiakirjan katsottaisiin tulleen todisteellisesti tiedoksiannetuksi asianosaiselle, kun hän on kuitannut sen vastaanotetuksi. Jos asiakirjaa ei olisi noudettu viestinvälityspalvelusta sähköisestä asioinnista viranomaistoiminnassa annetun lain 18 §:n 3 momentin mukaisesti seitsemän päivän kuluessa, viestinvälityspalvelu tarjoaisi tämän tiedon viranomaiselle, jonka tulee toimittaa asiakirja tiedoksi muulla tavoin todisteellisesti. Tämän jälkeen voitaisiin esimerkiksi ryhtyä postitse tapahtuvaan tiedoksiantoon, jossa hyödynnettäisiin myös viestinvälityspalvelun keskitettyä kirjepostin lähettämistoimintoa. On mahdollista ennalta määritellä viranomais- ja/tai asiakohtaisesti, miten toimitaan, ellei sähköinen tiedoksianto ole mennyt perille.
12 §.Tietojen käsittely palvelutuotannossa. Pykälässä säädettäisiin palvelutuottajien oikeudesta käsitellä henkilötietoja ja muita tietoja niiden tarjoamien yhteisten sähköisen asioinnin palvelujen tuottamisessa. Pykälässä säädettäisiin tietojen käsittelystä palvelutuotannossa ja luovuttamisesta palvelun tuottamisen yhteydessä. Ehdotetussa 13 §:ssä säädettäisiin tiettyjen tietojen säilytysvelvollisuudesta ja 14 §:ssä palvelun käytöstä tallennettujen ja säilytettyjen tietojen luovuttamisesta palvelun tuottamisen eli varsinaisen tukipalvelun tarjoamisen jälkeen.
Pykälän 1 momentin mukaan VRK:lla olisi oikeus käsitellä 9 §:ssä tarkoitettuja henkilö- ja muita tietoja sen vastuulle kuuluvien tukipalvelujen tuottamiseksi ja kehittämiseksi. Muissa kuin VRK:n tuottamissa tukipalveluissa ei olisi lähtökohtaisesti tarvetta käsitellä 9 §:ssä tarkoitettuja tietoja. Mikäli tarve käsittelylle on, se voidaan arvioida ja sopia kutakin perusrekisteriä koskevan säädännön nojalla erikseen.
VRK:n 9 §:ssä tarkoitettujen tietojen käsittelyn laajuutta määrittelisivät osaltaan yleisellä tasolla 9 §, toisaalta tukipalvelun kuvaus 3 §:ssä sekä ehdotettuun pykälään sisältyvät palvelun tarjoamisen yhteydessä tapahtuvaa tietojen luovuttamista koskevat säännökset.
Ehdotetun 2 momentin mukaan kaikilla palvelutuottajilla, myös VRK:lla olisi oikeus käsitellä tukipalvelunsa käytöstä tallennettuja tietoja siinä määrin ja niin kauan kuin se on välttämätöntä tietojenkäsittelyn todentamiseksi taikka muutoin sen vastuulle kuuluvan palvelun tuottamiseksi, tarjoamiseksi, ylläpitämiseksi ja kehittämiseksi sekä toimivuudesta ja tietoturvallisuudesta huolehtimiseksi. Ehdotetussa 13 §:ssä säädettäisiin erityisesti tiettyjen tukipalvelujen käytöstä tallennettavien tietojen säilytysvelvollisuudesta.
Tukipalvelun käytöstä tallennettujen tietojen säilytysaikaa ei ole mahdollista ennalta määritellä. Tämän vuoksi säännöksessä on korostettu sitä, että säännöksessä tarkoitetut tiedot on poistettava rekisteristä välittömästi sen jälkeen, kun käsittelylle ei ole enää säännöksessä mainittua perustetta. Lisäksi perustetta ja käsittelyn tarvetta olisi arvioitava vähintään viiden vuoden välien, jollei laista muuta johdu. Säännöksen loppuosa vastaisi sitä, mitä arkaluontoisten henkilötietojen osalta on säädetty henkilötietolain 12 §:n 2 momentissa
Esimerkkinä tietojen käsittelystä palvelun tuottamiseksi on henkilön valintoja koskevien tietojen tallentaminen palvelunäkymässä. Henkilö voi hakea palvelunäkymään tunnistauduttuaan käyttäjäorganisaation rekisteristä häntä koskevia, palvelunäkymässä näytettäväksi määriteltyjä tietoja. Palvelunäkymä voi tallentaa henkilön valintoja koskevat tiedot siten, että seuraavalla kerralla henkilölle näytetään samojen organisaatioiden rekisterissä olevat tiedot sen mukaan, millaiset näytettäviä tietoja koskevat valinnat palvelunäkymissä on henkilön osalta tallennettu. Palvelunäkymä ei tallentaisi näytettäviä tietoja muutoin kuin kyseisen käyttäjän istunnon ajaksi, vaan ne haettaisiin käyttäjäorganisaation rekisteristä palveluun kirjautumisen yhteydessä. Sen sijaan tietoturvallisuudesta huolehtimiseksi ja tietojenkäsittelyn todentamisen vuoksi esimerkiksi asiointivaltuuspalvelun käytöstä tallennettuja tietoja on tarve säilyttää pidemmänkin aikaa – riippuen valtuutustiedon käyttötarkoituksesta. Palvelutuottaja määrittelisi lain säännökset huomioon ottaen säilytysajan tai arvioisi sitä vähintään viiden vuoden välein. Palvelutuottaja määrittelisi myös sen, mitkä tiedoista olisi käsittelyn oikeellisuuden selvittämiseksi mahdollisesti tarpeen arkistoida pysyvästi.
Ehdotetun 3 momentin mukaan VRK:lla olisi oikeus luonnollisen henkilön tunnistuspalvelun tarjoamisen yhteydessä luovuttaa henkilön käyttämää asiointipalvelua ylläpitävälle käyttäjäorganisaatiolle henkilön nimeä, henkilötunnusta ja sähköistä asiointitunnusta koskeva tieto mikäli käyttäjäorganisaatiolla on lain perusteella oikeus käsitellä mainittuja tietoja. Samassa yhteydessä VRK voisi luovuttaa muitakin henkilöstä väestötietojärjestelmään sisältyviä henkilötietoja, jotka käyttäjäorganisaatiolla on oikeus saada. Tietojen luovuttamisessa noudatettavasta menettelystä säädetään väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain 4 luvussa ja 50 §:ssä, ellei esimerkiksi EU- taikka kansainvälisestä tietojen luovutusvelvollisuudesta muuta johdu. Tietojen luovuttamisessa on otettava huomioon myös esimerkiksi turvakieltoa koskevat väestötietojärjestelmän merkinnät.
Henkilötunnuksen luovuttamisesta on säädetty pykälän 3 momenttia vastaavalla tavalla väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain 43 §:n 1 momentissa. Mainitun säännöksen 2 momentissa rajoitetaan sähköisen asiointitunnuksen luovuttaminen vain VRK:n myöntämän varmenteen käyttöön perustuvan palvelun tai suoritteen tuottamisen yhteydessä käytettäväksi varmenteen haltijan yksilöivänä tietona taikka muussa Suomeen sijoittautuneen varmentajan myöntämässä varmenteessa varmenteen haltijan yksilöivänä tietona.
Luonnollisen henkilön tunnistuspalvelun suorittaman henkilön tunnistamisen yhteydessä henkilölle kerrottaisiin, että henkilön tunnistus on voimassa myös hänen siirtyessä tunnistuspalvelua hyödyntävien käyttäjäorganisaatioiden palveluihin. Lisäksi henkilöä informoitaisiin tunnistautumisen yhteydessä erityisesti siitä, ettei niin sanottu anonyymi asiointi ole mahdollista tunnistamisen jälkeen samassa istunnossa ja että mikäli henkilöllä on tarve anonyymiin asiointiin, tulisi hänen lähestyä viranomaista muilla tavoin esimerkiksi aloittamalla uusi verkkoselailuistunto. Anonyymi asioinnin tarve henkilöllä voi olla esimerkiksi silloin kun hän pyytää yleistä neuvontaa tai haluaa pyytää viranomaisen julkisia asiakirjoja nähtäväkseen.
Pykälän 4 momentin mukaan VRK:lla olisi asiointivaltuuspalvelun tuottamisen yhteydessä oikeus 9 §:ssä tarkoitetuista julkisen hallinnon tietojärjestelmistä haettujen henkilön toimintakelpoisuutta ja toimivaltaa koskevien tietojen sekä 10 §:n 1 momentin nojalla ylläpitämänsä valtuutuksia ja tahdonilmaisuja koskevan rekisterin perusteella koostaa ja luovuttaa käyttäjäorganisaatiolle välttämättömät tiedot toimintakelpoisuuden rajoituksen tai toimivaltuuden toteamiseksi.
Myös muun viranomaisen tallentamien tahdonilmaisuja koskevien tietojen välittäminen käyttäjäorganisaatiolle edellyttäisi että tieto on asioinnin yhteydessä tarpeen toimintakelpoisuuden tai toimivaltuuden osoittamiseksi. Arvioinnin suorittaisi näiltä osin mainittujen tahdonilmaisujen rekisterinpitäjänä toimiva viranomainen.
Asiointivaltuuspalvelu ei määrittelisi käyttäjäorganisaation puolesta, kenellä on oikeus eri lakien perusteella asioida toisen puolesta eikä sitä, millainen valtuus ja keneltä tarvitaan tiettyyn asiointitapahtumaan. Käyttäjäorganisaation vastuulla olisi kysyä palvelusta tarvittava edustusoikeus tai valtuutus taikka muu tahdonilmaisu, kuten suostumus.
Ehdotetun 5 momentin mukaan palvelutuottajalla olisi oikeus viestinvälityspalvelun yhteydessä luovuttaa käyttäjäorganisaatiolle 11 §:n 1 momentissa tarkoitetusta rekisteristä tiedoksiantamisen suorittamiseksi välttämättömät tiedot sekä viestinvälityspalvelun avulla tapahtuneen tiedoksiantamisen todentamiseksi tarpeelliset tiedot.
Asiakirjaa tiedoksiantava viranomainen tarvitsisi tiedoksiantamisen suorittamiseksi tiedon siitä, onko käyttäjä antanut viestinvälityspalvelun käytön yhteydessä suostumuksen sähköiseen tiedoksiantoon. Lisäksi viranomainen tarvitsisi tavallisen tiedoksiannon osalta tiedon asiakirjan toimittamisesta viestinvälityspalveluun sekä todisteellisen tiedoksiannon osalta tiedon siitä, koska asianosainen on kuitannut asiakirjan vastaanotetuksi. Säännöksen nojalla viestinvälityspalvelusta voitaisiin luovuttaa viranomaiselle myös tietoja niistä seikoista, joiden voidaan katsoa osoittavan, ettei asiakirjaa ole saatu annettua tiedoksi, esimerkiksi tieto siitä, ettei asianosaisen viestinvälityspalveluun antama puhelinnumero tai sähköpostiosoite olisi enää käytössä eikä ilmoitusta asianosaiselle toimitetusta viestistä saada toimitettua perille.
Ehdotetun 6 momentin mukaan 3 – 5 momentissa tarkoitetut tiedot voitaisiin luovuttaa teknisen käyttöyhteyden avulla, mikä on luonnollinen luovutusmuoto digitaalisissa palveluissa.
13 §.Palvelutuotannossa käsiteltävien tietojen säilyttäminen Pykälän 1 momentissa säädettäisiin vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain 24 §:n 1 momenttia vastaavasti VRK:lle velvollisuus säilyttää luonnollisen henkilön tunnistuspalvelun rekisterinpitäjänä tunnistustapahtuman todentamiseksi tarpeelliset tiedot viisi vuotta tunnistustapahtumaa seuraavan kalenterivuoden alusta lukien. On perusteltu säätää keskitetysti ja hallitusti tunnistustapahtuman todentamiseksi tarpeellisten tietojen säilyttämisestä, koska asiointipalvelussa tapahtuneen mahdollisen henkilöllisyyden väärinkäytön ja siitä seuraavien vastuukysymysten selvittämistä varten tietoja voidaan tarvita pitkänkin ajan kuluttua itse tunnistustapahtumasta.
Ehdotettu viiden vuoden säilytysvelvollisuus ei koskisi 3 §:n 1 momentin 5 kohdassa tarkoitettuja muita tunnistuspalveluja tai tunnistamisen kokoamis- ja hallinnointipalveluja, koska niitä voitaisiin käyttää myös sellaisissa asiointitilanteissa, joiden osalta mahdolliset väärinkäytökset eivät olisi yhtä kriittisiä kuin luonnollisen henkilön tunnistuspalvelun osalta on mahdollista. VRK voisi tallentaa muiden tunnistuspalvelujen käytöstä tietoja 12 §:n 2 momentin nojalla mainitussa säännöksessä todetuin edellytyksin.
Pykälän 2 momentissa säädettäisiin VRK:lle velvollisuus säilyttää 10 §:n 1 momentin nojalla ylläpitämänsä valtuutus- ja tahdonilmaisurekisterin tiedot, rekisterin tietojenkäsittelyn oikeellisuuden osoittamiseksi tarpeelliset tiedot sekä asiointivaltuuspalveluun tehtyjä kyselyjä ja niihin annettuja vastauksia koskevat tiedot, jollei käyttäjäorganisaation säilytysvelvollisuudesta muuta johdu. Tietoihin kuuluisivat sekä voimassa olevat että vanhentuneet taikka poistetut tahdonilmaisut sekä 10 §:n 2 ja 4 momentissa tarkoitetut tahdonilmaisun antajan ja tahdonilmaisun eheyden todentamiseksi tarpeelliset tiedot. Tietojen säilyttäminen olisi tarpeen muun muassa asiointivaltuuspalvelua hyödyntävissä asiointipalveluissa taikka asiointitapahtumissa mahdollisesti ilmenneiden ongelmien selvittämiseksi. Asiointivaltuuspalvelussa voitaisiin tarvittaessa säilyttää palveluun tunnistautumisen tietoja pidempään kuin 1 momentissa tarkoitetun viisi vuotta.
Pykälän 3 momentin mukaan palvelutuottajan olisi säilytettävä 11 §:n 1 momentin mukaisen rekisterin tiedot sekä rekisterin tietojenkäsittelyn ja tiedoksiantamisen oikeellisuuden osoittamiseksi tarpeelliset tiedot, jollei käyttäjäorganisaation säilytysvelvollisuudesta muuta johdu. Tietoihin kuuluisivat sekä voimassa olevat suostumukset että poistetut suostumukset sekä 11 §:n 2 momentissa tarkoitetut suostumuksen antajan ja suostumuksen eheyden todentamiseksi tarpeelliset tiedot. Lisäksi 3 momentissa määriteltäisiin viestinvälityspalvelun avulla välitettyjen viestien säilytysajaksi kaksi vuotta.
Pykälän 4 momentin mukaan 2 ja 3 momentissa tarkoitetut tiedot olisi poistettava rekisteristä välittömästi sen jälkeen, kun käsittelylle ei ole enää laillista perustetta. Rekisterinpitäjän olisi myös arvioitava mainittujen tietojen säilyttämisen tarve vähintään viiden vuoden välein, jollei laista muuta johdu. Tietojen säilyttämisajan määrittelyssä tulisi ottaa huomioon myös, missä määrin palvelu pystyisi tuottamaan käyttäjäorganisaation arkistoitavaksi tietoja, joiden avulla käyttäjäorganisaatio voi todistaa mihin sen hyväksymä asiointi tai tiedoksianto on perustunut. Tiedoksiannon suorittaminen ja sen tapahtumisajankohdan osoittaminen muun muassa viestinvälityspalvelusta saatujen tietojen avulla olisi edelleen käyttäjäorganisaation vastuulla.
VRK määrittelisi ehdotetun lain, henkilötietolain ja arkistolain säännökset huomioon ottaen 2 ja 3 momentissa tarkoitettujen tietojen säilytysajan, jota tulisi arvioida vähintään viiden vuoden välein. Lisäksi VRK määrittelisi, mitkä tiedoista olisi tarpeen arkistoida pysyvästi.
Pykälän 5 momentti sisältäisi viittauksen tietojen säilyttämisen osalta arkistolakiin (831/1994).
14 §.Palvelutuotannossa käsiteltävien tietojen luovuttaminen. Pykälän 1 momentissa säädettäisiin palvelutuottajan oikeudesta luovuttaa palvelun käytöstä tallennettuja tietoja. Säännöksessä olisi, toisin kuin 12 §:n 3 – 5 momentissa, pääsääntöisesti kysymys tietojen luovuttamisesta palvelun tuottamisen eli varsinaisen tukipalvelun tarjoamisen jälkeen. Kyse ei siis olisi säännönmukaisesta palvelutuotannon yhteydessä tapahtuvasta tietojen luovuttamisesta.
Ehdotetun 1 momentin mukaan sen lisäksi mitä 12 §:n 3 – 5 momentissa säädetään, palvelutuottaja voisi luovuttaa palvelun käytöstä tallennettuja tietoja sille käyttäjäorganisaatiolle, jonka asiointipalvelun käytön yhteydessä tiedot on tallennettu tai joka on ollut viestinvälityspalvelun avulla välitetyn viestinnän toisena osapuolena. Luovuttamisen edellytyksenä olisi momentin 1 – 3 kohtien mukaan, että käyttäjäorganisaatio tarvitsee tietoja asiointipalvelunsa toimivuuden varmistamista tai parantamista varten taikka asiointipalvelunsa tietoturvallisuudesta huolehtimista tai tietoturvallisuuteen kohdistuvien häiriöiden selvittämistä varten. Lisäksi tietoja voitaisiin luovuttaa käyttäjäorganisaatiolle asiointia koskevien ongelmien selvittämistä varten tai asioinnin yhteydessä tapahtuneen tietojen käsittelyn oikeellisuuden osoittamiseksi. Tietojen luovuttaminen olisi perusteltua, koska käyttäjäorganisaatiolla, joka käyttää sähköisen asioinnin tukipalveluja, ei välttämättä olisi koko asiointitapahtuman hallinnoimiseksi tarpeellisia tietoja omissa tietojärjestelmissään. Kyse voisi olla esimerkiksi siitä, että viranomaisessa asioiva väittäisi, että hänen puolestaan on asioinut henkilö, jolla ei ole siihen oikeutta. Tällöin voitaisiin luonnollisen henkilön tunnistuspalvelun ja asiointivaltuuspalvelun käytöstä tallennettujen tietojen avulla selvittää asiointitapahtuman osapuolia sekä sitä, millaiseen tietoon esimerkiksi puolesta asiointi on perustunut. Käyttäjäorganisaation tiedonsaantioikeuteen voidaan lisäksi soveltaa, mitä tietoyhteiskuntakaaressa on säädetty viestinnän osapuolen oikeudesta omiin viesteihinsä ja niitä koskeviin välitystietoihin sekä henkilötietolain säännöksiä oikeudesta käsitellä henkilötietoja.
Ehdotetun 2 momentin mukaan palvelutuottaja voisi lisäksi julkisuuslain 11 ja 12 §:ssä säädetyin rajoituksin luovuttaa palvelun käytöstä tallennettuja tietoja henkilölle, jonka tukipalvelun käytöstä tai muusta asioinnista tiedot on tallennettu. Lisäksi tietoja voitaisiin luovuttaa mainitun henkilön suostumuksella yksilöityä tarkoitusta varten. Kyse olisi henkilötietolain rekisteröidyn tarkastusoikeutta sekä julkisuuslain itseään koskevaa asiakirjaa koskevaa tiedonsaantioikeutta mukailevasta säännöksestä.
Poliisin ja muiden esitutkintaviranomaisten tiedonsaantioikeudesta ei säädettäisi erikseen tässä laissa, vaan tiedonsaantioikeudet määräytyisivät poliisin toimintaa ja esitutkintaa koskevien tiedonsaantioikeuksien mukaisesti. Poliisin tiedonsaantioikeuksiin liittyy rajoituksia esimerkiksi viestinnän luottamuksellisuuden ja terveystietojen osalta. Näin ollen on perusteltua jättää tiedonsaantioikeus sitä koskevan erityissääntelyn varaan. Lisäksi voidaan todeta, että kun käyttäjäorganisaatio saa tukipalvelusta asiointiinsa liittyviä tietoja, sovelletaan näiden tietojen käsittelyyn 15 §:n mukaisesti käyttäjäorganisaatiota koskevaa säädäntöä – mukaan lukien säännökset mahdollisuudesta luovuttaa tietoja asioinnista esitutkintaviranomaisille. Käyttäjällä olisi myös mahdollisuus luovuttaa saamiaan tietoja, ellei sitä ole erikseen laissa kielletty.
15 §.Tietojen käsittely käyttäjäorganisaatiossa. Pykälän 1 momentin 1 kohdan mukaan käyttäjäorganisaatiolla olisi rekisterinpitäjänä oikeus ehdotetun lain säännösten rajoittamatta käsitellä palvelutuottajalta esimerkiksi 12 tai 14 §:n nojalla saamiaan tietoja. Koska käyttäjäorganisaatiolle luovutettaisiin tukipalvelusta tietoja käyttäjäorganisaation oman tehtävänsä hoitamiseksi, on perusteltua, että käyttäjäorganisaatiolle tukipalvelusta luovutettuja tietoja arvioidaan sen säädännön nojalla, mikä kyseistä käyttäjäorganisaation tehtävää ja rekisterinpitoa koskee. Koska kyse on tietojen luovuttamisesta, käyttäjäorganisaatiolle tukipalvelusta luovutetut tiedot siirtyvät yleisen tukipalvelun tuotannon rekisterinpitovastuulta viranomaisen tai muun tahon tehtävään liittyvään rekisterinpitovastuuseen käsiteltäviksi tätä tehtävää koskevien lakien mukaisesti.
Pykälän 1 momentin 2 kohdan mukaan käyttäjäorganisaatiolla olisi rekisterinpitäjänä oikeus tarjota palvelunäkymään tunnistautuneelle henkilölle häntä tai hänen edustamansa luonnollisen henkilön tai organisaation asiointia koskevia henkilö- ja muita tietoja palvelunäkymää käyttäen, jollei laissa toisin säädetä. Palvelunäkymässä näytettävien tietojen rekisterinpitovastuu ei siirtyisi palvelutuottajalle, vaan rekisterinpidosta ja tietojen oikeellisuudesta vastaisi pääsääntöisesti edelleen kukin rekisterinpitäjä, joka siirtää henkilötiedot palvelunäkymään rekisteröidyn saataville. Palvelunäkymä ei säilyttäisi eri käyttäjäorganisaation rekisterien tietoja, vaan tiedot haettaisiin asianomaisesta rekisteristä istuntokohtaisesti näkymää käyttävän henkilön palvelunäkymässä näytettäväksi, jolloin ne lyhytaikaisesti tallennettaisiin palvelunäkymän tietojärjestelmään. Palvelunäkymä toimisi näytettävien tietojen suhteen rekisterinpitäjän lukuun – ei itsenäisenä rekisterinpitäjänä. Palvelutuottajan ja käyttäjäorganisaation menettelyistä tukipalvelun toimivuuden ja tietoturvallisuuden ja toisaalta käyttäjäorganisaation asiointipalvelun ja henkilötietojen tietoturvallisuuden varmistamisessa säädettäisiin henkilötietolain 32 §:n lisäksi ehdotetun lain 4 luvussa.
Esimerkiksi ajoneuvoliikennerekisterin tietojen käsittelystä säädetään ajoneuvolaissa (1090/2002) ja sen nojalla annetuissa asetuksissa. Liikenteen turvallisuusvirasto vastaa ajoneuvojen rekisteröinnistä ja pitää yllä ajoneuvoliikennerekisteriä. Liikenteen turvallisuusvirasto olisi palvelunäkymän käyttäjäorganisaatio, joka voi tarjota palvelunäkymään tunnistautuneelle henkilölle häntä ja hänen asiointiaan koskevia henkilö- ja muita tietoja, kuten ajoneuvon omistusta koskevia tietoja.
Pykälän 2 momentin mukaan palvelunäkymässä näytettävät tiedot haettaisiin käyttäjäorganisaation rekisteristä palvelunäkymään henkilötunnuksella tai muulla yksilöivällä tunnuksella teknistä käyttöyhteyttä hyödyntäen. Pääsääntöisesti tietoja haettaisiin henkilötunnuksella, mutta myös esimerkiksi yrityksen palvelunäkymään yritystunnuksella. Tulevaisuudessa on mahdollista myös uusien hakutapojen kehittyminen, minkä vuoksi on tarkoituksenmukaista jättää säännökseen liikkumavaraa. Tietojen hakeminen muilla tunnuksilla ei saisi kuitenkaan vaarantaa henkilötietojen tai muiden tietojen suojaa taikka muita oikeuksia.
Käyttäjäorganisaation tulisi hävittää palvelunäkymästä sen tietojärjestelmään tullut henkilötunnusta tai muuta yksilöivää tunnusta koskeva tieto, mikäli sillä ei olisi oikeutta käsitellä kyseistä tietoa. Kyse olisi lähinnä tilanteesta, jossa tietyllä tunnuksella ei löydy tietoja sen henkilön osalta, joka pyytää tietojensa näyttämistä palvelunäkymässä. Varsinkaan henkilötunnuksella ei haettaisi tietoja sellaisista rekistereistä, joihin ei ole oikeutta tallentaa henkilötunnusta – eli henkilötunnusta ei välitettäisi muutoin kuin sellaiselle käyttäjäorganisaatiolle, jolla on toimintansa perusteella oikeus rekisterissään käsitellä henkilötunnuksia.
Pykälän 3 momentin mukaan käyttäjäorganisaatio vastaisi rekisterinpitäjänä palvelutietovarantoon ja palvelunäkymään saataville tuomiensa tietojen oikeellisuudesta. Tukipalveluina palvelutietovaranto ja -näkymä eivät käytännössä voi tarkistaa kaikkia palveluja tai niiden käyttöä koskevia tietoja erikseen, vaan vastuun näytettävien rekisteritietojen sisällöstä tulee olla käyttäjäorganisaatiolla.
Palvelutuottajan vastuusta säädettäisiin 16 §:ssä. Palvelutuottaja vastaisi esimerkiksi tukipalvelun tietojenkäsittelyn tietoturvallisuudesta ja tietojen yhdistämisen oikeellisuudesta. Tietoturvallisuuteen kuuluu muun muassa eheyden lisäksi myös se, että tiedot ovat vain niiden saatavilla, joilla on oikeus käsitellä niitä.
4 luku Tukipalveluja ja niiden käyttöä koskevat vaatimukset
16 §.Tukipalvelujen laatu- ja tietoturvallisuusvaatimukset. Pykälän 1 momentissa säädettäisiin palvelutuottajan vastuusta koskien sen tuottaman palvelun laatua ja kustannustehokkuutta sekä sitä, että palvelu on käyttötarkoitukseensa yleisesti soveltuva, suorituskykyinen, toimintavarma sekä mahdollisimman käyttäjäystävällinen ja esteetön. Lisäksi palvelutuottajan olisi palvelun toteuttamisessa noudatettava julkisen hallinnon kokonaisarkkitehtuuria ja yhteentoimivuuden kuvauksia ja määrityksiä.
Tarkoituksena on, että valtiovarainministeriö ohjaisi tukipalvelujen tuotantoa siten, että palvelujen laatu on varmistettu ja todennettu. Laadun varmistuksessa ja todentamisessa sekä palvelujen järjestämistavan arvioimisessa ja ohjaamisessa kiinnitettäisiin erityisesti huomiota siihen, että palvelut ja niiden tuotanto on laadukasta ja kustannustehokasta, palvelujen käyttöönottoprosessit ovat vakioituja, palvelujen toimivuus on testattu ja todennettu, palvelujen suorituskyky ja toimintavarmuus on varmistettu ja että palvelut ovat mahdollisimman käyttäjäystävällisiä ja esteettömiä.
Ehdotetun 2 momentin mukaan sen lisäksi mitä henkilötietolain 32 §:ssä säädetään esimerkiksi rekisterinpitäjän ja sen lukuun toimivan vastuusta, palvelutuottaja vastaisi tukipalvelun tuottamisen edellyttämän tietojen yhdistämisen oikeellisuudesta sekä esimerkiksi palvelutietovarannossa ja palvelunäkymässä rekisterinpitäjän lukuun käsiteltävien tietojen tietoturvallisuudesta. Henkilötietolain 32 §:ssä säädetään henkilötietojen suojaamisvelvollisuudesta. Mikäli palvelutuotannossa käsitellään joko käyttäjäorganisaation tai palvelutuottajan lukuun arkaluonteisia henkilötietoja, tulee niiden suojaamisesta huolehtia säädetyllä tavalla ja tietojen käsittelyn tietoturvallisuuteen liittyvät kysymykset on selvitettävä ja otettava huomioon käyttäjäorganisaation liittämisessä siten kuin 17 §:ssä säädetään.
Arkaluonteisia henkilötietoja voi tulla käsiteltäväksi esimerkiksi palveluväylässä tiedonsiirron yhteydessä sekä viestinvälityspalvelussa viestejä välitettäessä. Asiointivaltuuspalvelu käsittelisi väestötietojärjestelmästä ja holhousasioiden rekisteristä henkilön toimintakelpoisuutta koskevia tietoja. Myös tunnistuspalvelun, asiointivaltuuspalvelun ja viestinvälityspalvelun käytöstä tallennetut tiedot voisivat sisältää arkaluonteisia tietoja riippuen siitä, mihin palveluihin henkilön henkilöllisyyttä, toimintakelpoisuutta tai toimivaltaa koskevia tietoja taikka viestejä on välitetty. Tietoturvallisuudesta valtionhallinnossa annettuun asetukseen (681/2010, jäljempänä tietoturvallisuusasetus) sisältyy eräitä luokiteltujen arkaluonteisten henkilörekisteriin talletettujen henkilötietojen käsittelyä koskevia velvoitteita, jotka eivät ole riippuvaisia siitä, onko tiedot säädetty salassa pidettäviksi vai ei (tietoturvallisuusasetus 13 § 1 mom, 14 § 4 k, 16 § 3 mom 19 § 3 mom ja 20 § 1 mom).
Tietojen yhdistämisen oikeellisuudesta voidaan esimerkkinä mainita asiointivaltuuspalvelu, joka hakee eri rekistereistä henkilön toimintakelpoisuutta ja toimivaltaa koskevia tietoja. Palvelutuottaja ei roolissaan vastaisi esimerkiksi toisen viranomaisen rekisterin tietojen oikeellisuudesta, mutta vastaisi siitä, että oikeat tiedot on yhdistetty oikeaan henkilöön oikealla tavalla.
Ehdotetussa 3 momentissa säädettäisiin yksityiskohtaisemmin tukipalvelun laatu-, toimivuus ja tietoturvavaatimuksista. Sääntelyn tarkoituksena on varmistaa, että palvelutuottaja huolehtii tukipalvelun teknisestä toteutuksesta asianmukaisesti niin suunnitellessaan, rakentaessaan kuin ylläpitäessään palvelua.
Ehdotetun 3 momentin 1 kohdan mukaan tuotetun palvelun tulisi olla tekniseltä laadultaan hyvää ja tietoturvallista. Palvelutuotannossa tulisi koko sen elinkaaren ajan huomioiden yleiset teknisen laadun vaatimukset ja että palvelu mahdollistaa tietoturvallisen tietojen käsittelyn. Teknisellä laadulla tarkoitetaan yleisesti tunnettujen, hyväksyttyjen, kestävien ja luotettavien teknisten ratkaisujen ja käytäntöjen avulla toteutettua ja ylläpidettyä palvelua. Teknisellä laadulla turvataan palvelulta odotettuja ominaisuuksia ja toimivuutta. Tietoturvallisuudella taas tarkoitetaan tiedon luottamuksellisuuden, eheyden ja käytettävyyden suojaamista eli niin hallinnollisia kuin teknisiä toimia, joilla varmistetaan, että tukipalvelussa käsiteltävät tiedot ovat vain niiden käyttöön oikeutettujen saatavilla, että tietoja eivät voi muuttaa muut kuin siihen oikeutetut sekä että tiedot ja tietojärjestelmät ovat niiden käyttöön oikeutettujen hyödynnettävissä.
Ehdotetun 3 momentin 2 kohdan mukaan tukipalvelun tulisi kestää normaalit odotettavissa olevat ulkoiset häiriöt ja tietoturvauhat. Säännöksen tarkoituksena on varmistaa tukipalvelun kestävyys ulkoisia niin laatuun, toimivuuteen kuin tietoturvaan kohdistuvia häiriöitä ja uhkia vastaan. Oleellista kestävyysvaatimuksen kannalta on ulkoisen tapahtuman tai tietoturvauhan säännönmukaisuus ja ennalta arvattavuus. Tarkoitus on, että tukipalvelu kestää odotettavissa olevat ulkoiset häiriöt ja tietoturvauhat, jotka ovat normaalilla tukipalvelua suunnittelevan, rakentavan tai ylläpitävän asiantuntemuksella ja ammattitaidolla ennakoitavissa. Ulkoisia häiriöitä ovat esimerkiksi tavanomaiset laite- ja järjestelmärikot, luonnonilmiöt sekä ilkivalta, jotka eivät saisi vaikuttaa tukipalvelun toimintaan. Säännöksen mukaan myös tietoturvaloukkausten merkitys tukipalvelua vaarantavana tekijänä olisi huomioitava ja tukipalvelun tulisi kestää normaalit tietoturvaloukkaukset ja niiden uhat. Esimerkkeinä tyypillisistä tietoturvaloukkauksista, jotka eivät saisi vaikuttaa tukipalvelun toimintaan, ovat haittaohjelmatartunnat ja palvelunestohyökkäykset, jotka ovat asiantuntemuksella ja ammattitaidolla ennakoitavissa.
Ehdotetun 3 momentin 3 kohdan mukaan tukipalvelun suorituskykyä, käytettävyyttä, laatua ja toimintavarmuutta olisi seurattava. Seurannalla ennakoidaan esimerkiksi tukipalvelun kapasiteetin tarvetta ja käyttöä sekä muita palvelun luotettavuuteen vaikuttavia tekijöitä, millä varmistetaan tukipalvelun toimintaa ja ennakoidaan kehittämis- tai muutostarpeita. Suorituskyvyllä tarkoitetaan sitä, kuinka hyvin tukipalvelu toteuttaa sille asetetut vaatimukset. Käytettävyydellä tarkoitetaan sitä, että tukipalvelu ja siinä käsiteltävät tiedot ovat tarvittaessa niihin oikeutettujen saatavilla ja hyödynnettävissä. Laadulla arvioidaan sitä, kuinka hyvin tukipalvelu kokonaisuutena toteuttaa käyttötarkoituksensa. Toimintavarmuuden seurannalla taas tarkoitetaan sitä, että palvelutuottaja tarkkailee esimerkiksi palvelussa tapahtuvia häiriöitä tai virheitä.
Ehdotetun 3 momentin 4 kohdan mukaan tukipalveluun kohdistuvat merkittävät tietoturvaloukkaukset ja sellaisten uhat sekä tukipalvelun toimivuutta merkittävästi häiritsevät viat ja häiriöt olisi voitava havaita. Kohdan tarkoituksena on asettaa palvelutuottajalle velvollisuus seurata, valvoa ja havaita tukipalvelun toimivuutta ja tietoturvallisuutta haittaavia tai uhkaavia tekijöitä. Seuranta mahdollistaa ongelmiin puuttumisen ja siten tukipalvelun toiminnan ja luotettavuuden turvaamisen. Tapahtumien merkittävyyttä arvioitaessa on otettava huomioon loukkauksen tai sellaisen uhan sekä toimivuushäiriön vaikutukset tukipalvelun käyttöön ja luotettavuuteen. Merkittävä tietoturvaloukkaus voi olla esimerkiksi käyttäjien henkilötietojen päätyminen oikeudettoman tahon käyttöön tai tukipalvelun eheyden menetys. Tietoturvaloukkauksen uhka taas voi esimerkiksi olla tukipalvelun teknisessä toteutuksessa löydetty haavoittuvuus, joka hyväksikäytettynä johtaisi vaikkapa käyttäjien tietojen luottamuksellisuuden menettämiseen. Toimivuutta merkittävästi häiritseviä vikoja ja häiriöitä ovat tapahtumat, jotka estävät tukipalvelun käytön tai häiritsevät sitä niin, että useat käyttäjät eivät pysty sitä ongelmitta hyödyntämään.
Ehdotetun 3 momentin 5 kohdan mukaan tukipalveluun tehtävistä muutoksista ei saisi aiheutua ennakoimatonta häiriötä käyttäjäorganisaation tukipalvelua hyödyntävälle asiointipalvelulle tai muulle tehtävälle, jonka toteuttamisen tukena tukipalvelua hyödynnetään. Tarkoituksena on varmistaa, että tukipalveluun tehtävistä rakennus-, kunnossapito- ja muutostöistä – esimerkiksi uuden tekniikan tai teknisen ominaisuuden käyttöönotosta - ei aiheudu ennakoimatonta häiriötä esimerkiksi tukipalvelua hyödyntävälle asiointipalvelulle. Tukipalvelussa tehtävät muutokset voivat heijastua tukipalvelua hyödyntävien toimintojen toteuttamiseen sekä käytettävyyteen ja näin ollen tukipalvelun muutokset on tehtävä hallitusti ja huomioiden tukipalvelua käyttävät, jotta nämä voivat huolehtia tilapäisen häiriön tai pysyvän muutoksen aiheuttamista vaikutuksista omiin toimintoihinsa. Ehdotetun säännöksen tarkoituksena ei ole estää tekemästä muutoksia, vaan varmistaa tukipalvelun ja edelleen sitä käyttävien palvelujen toimivuus myös muutostilanteissa sekä käyttäjäorganisaatioiden mahdollisuus varautua palvelukatkokseen.
Ehdotetun 4 momentin mukaan palvelutuottajan olisi laadittava tarjoamastaan tukipalvelusta palvelukuvaus ja ylläpidettävä sitä. Palvelukuvauksesta tulisi palvelun toiminnallisuuksien lisäksi riittävällä tarkkuudella käydä ilmi, miten 1 - 3 momentissa säädetyt vaatimukset sekä 17 §:n 1 ja 2 momentin tietoturvallisuusvaatimukset on tukipalvelussa toteutettu sekä tukipalveluun liittymisen vaatimukset mukaan lukien rajapintavaatimukset. Tietoturvallisuusvaatimusten toteuttamisen kuvaamisessa tulee mahdollisuuksien mukaan pyrkiä avoimuuteen, mutta julkisiin asiakirjoihin ei tulisi kuvata sellaisia palvelun suojaamisen yksityiskohtia, jotka saattaisivat yleisön tietoon tullessaan vaarantaa palvelun tietoturvallisuuden.
Ehdotettu 5 momentti sisältäisi mahdollisuuden antaa valtioneuvoston asetuksella tarkempia säännöksiä tässä pykälässä tarkoitetuista palvelujen laatua ja tietoturvallisuutta koskevista vaatimuksista.
17 §.Tietojärjestelmiä koskevat vaatimukset. Pykälä sisältäisi erityisiä säännöksiä koskien palvelutuotantoon käytettävien tietojärjestelmien tietoturvallisuutta. Periaatteessa 16 §:ssä säädetty vastuu tukipalvelujen ja niissä käsiteltyjen tietojen turvallisuudesta käsittää myös palvelutuotantoon käytettävien tietojärjestelmien turvallisuuden. Ehdotetulla 17 §:llä on erityisesti haluttu korostaa tietojärjestelmiä koskevia vaatimuksia ja tietojärjestelmien liittämisen edellytyksiä, koska kyse on asioivien henkilöiden henkilötietojen – myös arkaluonteisten henkilötietojen käsittelyn kannalta merkityksellisistä palveluista. Myös käyttäjäorganisaatioiden tietojärjestelmien liittämisestä on syytä säätää erikseen, ettei liittämisellä vaaranneta tietojärjestelmien tai niissä käsiteltävien tietojen tietoturvallisuutta.
Pykälän 1 momentissa säädettäisiin palvelutuottajan velvollisuudesta tarkoituksenmukaisin keinoin varmistua, että sen palvelun tuottamiseen käytettävä tietojärjestelmä on suunniteltu, valmistettu ja toimii tietoturvallisuutta ja tietosuojaa koskevien lakien ja niiden nojalla annettujen säännösten sekä yhteentoimivuutta koskevien kansallisten määritysten mukaisesti. Varmistumisella tarkoitettaisiin sitä, että palveluntuottaja on joko itse tai ulkoisen arvioijan toimesta läpikäynyt tietoturvallisuudelta edellytettävät vaatimukset ja on sitoutunut täyttämään ne. Valtiovarainministeriö voisi ohjauksella vaatia palvelutuottajaa pyytämään tukipalvelulleen tai sen osalle viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen arvioinnista annetun lain (1406/2011) mukaisen arvioinnin.
Ehdotetussa 2 momentissa säädettäisiin, että tukipalvelu olisi tuotettava ja kehitettävä siten, että tukipalvelun käyttötarkoituksesta riippuen tarvittaessa mahdollistetaan perustason tai korotetun tason tietoturvallisuusvaatimukset täyttävien tietojenkäsittely-ympäristöjen muodostaminen.
Toteutettava tietoturvallisuustaso eri toimintaympäristöissä tulee määrittää toimintaprosessien ja niissä käsiteltävien tietojen sisällön ja merkityksen sekä niihin kohdistuvien uhkien ja riskien pohjalta. Tukipalvelun käytännön turvallisuusjärjestelyt ja niiden riittävyys tulee suhteuttaa riskiarvioinnin perusteella suojattavaan tietoon ja sen suojaustasovaatimukseen. Tietoturvallisuuden toteuttaminen edellyttää tukipalveluun liittyvien tietoturvariskien järjestelmällistä kartoittamista. Riskillä tarkoitetaan jonkinlaisen haitan tai vaurion todennäköisyyttä ja sen seurauksia. Tietoturvariskeillä tarkoitetaan sellaista tahatonta tai tahallista tekijää, joka vaarantaa tukipalvelun luottamuksellisuutta, eheyttä tai käytettävyyttä. Tietoturvariskin erottaa tietoturvauhasta sillä, että riskin todennäköisyyttä ja vaikutuksia on arvioitu. Tietoturvariskit voivat aiheutua esimerkiksi inhimillisistä virheistä, annettujen ohjeiden puutteista tai noudattamatta jättämisestä, varkauksista tai ilkivallasta, laitteiden, järjestelmien tai ohjelmistojen virheistä ja toimintahäiriöistä, haittaohjelmien leviämisestä, tietoaineistojen tuhoutumisesta taikka alihankkijan tai kumppanuusverkostoon kuuluvan toimijan virheistä tai laiminlyönneistä.
Riskien hallinta on prosessi, jonka tarkoitus on tunnistaa riskejä, vähentää niiden todennäköisyyttä ja/tai vaikutuksia hyväksyttävälle tasolle ja ylläpitää saavutettua tasoa. Tietoturvariskien hallinnalla on siis pyrittävä toteuttamaan tukipalveluun turvatoimien yhdistelmä, jolla varmistetaan käsiteltävän tiedon riittävä suojaustaso ja saadaan aikaan tyydyttävä tasapaino käyttäjien vaatimusten, kustannusten ja turvallisuuteen kohdistuvan jäännösriskin välillä.
Ehdotetun 3 momentin mukaan ennen käyttäjäorganisaation tietojärjestelmän liittämistä yhteisen sähköisen asioinnin tukipalveluun palvelutuottaja voisi edellyttää käyttäjäorganisaatiolta tukipalvelun tietoturvallisuuden ja laadun varmistamiseksi tarpeellisten vaatimusten täyttämistä. Palvelutuottajan ja käyttäjäorganisaation olisi tarpeen mukaisilla ja ennalta sovituilla tietoturvallisuustoimenpiteillä sekä testauksilla varmistuttava siitä, ettei liittämisellä vaaranneta käyttäjäorganisaation asiointipalvelun tai henkilötietojen taikka tukipalvelun tai sen tuottamiseen käytetyn tietojärjestelmän tietoturvallisuutta. Käytännössä tämä tarkoittaisi sitä, että palvelutuottaja ja käyttäjäorganisaatio sitoutuisivat täyttämään puolin ja toisin asianmukaiset tietoturvallisuutta koskevat vaatimukset. Vaatimusten arvioinnissa tulee ottaa huomioon esimerkiksi tukipalvelun tuottamiseen käytetyn tietojärjestelmän toiminnallisuutta ja tietoturvallisuutta koskevat vaatimukset sekä toisaalta esimerkiksi käyttäjäorganisaation asiointipalvelun ja henkilötietojen käsittelyn tarpeista johtuvat vastaavat vaatimukset.
Ehdotetun 4 momentin mukaan valtioneuvoston asetuksella voitaisiin antaa tarkempia säännöksiä 1 momentissa tarkoitettujen tietojärjestelmien tietoturvallisuutta koskevista vaatimuksista ja niiden täyttymisen toteamisesta, 2 momentissa tarkoitetusta tietojenkäsittely-ympäristöjen muodostamisesta sekä 3 momentissa tarkoitetusta käyttäjäorganisaation tietojärjestelmän liittämistä koskevista tietoturvallisuustoimenpiteistä.
18 §.Häiriöt ja häiriöilmoitukset. Pykälässä säädettäisiin tukipalvelujen tuottamiselle ja toisaalta asiointipalvelujen tuottamiselle ja muulle tukipalvelujen hyödyntämiselle tarpeellisista menettelyvaatimuksista sekä ilmoitusvelvollisuuksista vika- ja häiriötilanteissa. Pykälässä säädettäisiin sekä palvelutuottajan että käyttäjäorganisaation velvollisuuksista.
Ehdotetussa 1 momentissa säädettäisiin molemminpuolinen velvollisuus ryhtyä toimenpiteisiin asian korjaamiseksi, jos käyttäjäorganisaation tai palvelutuottajan tietojärjestelmä aiheuttaa haittaa toisen osapuolen tietojärjestelmälle, johon se on liitetty. Tarvittaessa palvelutuottaja voisi kytkeä käyttäjäorganisaation tietojärjestelmän irti tukipalvelusta ja toisin päin. Irtikytkemisellä tarkoitetaan sitä, että tiedonsiirto järjestelmien välillä lopetetaan kokonaan tai osittain riippuen häiriön vakavuudesta. Irtikytkeminen voisi tulla kyseeseen niissä vakavissa häiriötilanteissa, joissa vähäisemmät toimenpiteet ja jäljempänä kuvattu ilmoitusvelvollisuus eivät riitä turvaamaan tietojärjestelmien toimintaa tai tietoturvallisuutta. Häiriön poistuttua tiedonsiirto voitaisiin mahdollisten testausten jälkeen aloittaa uudelleen.
Ehdotetun 2 momentin mukaan palvelutuottajan olisi viipymättä ilmoitettava käyttäjäorganisaatioille ja tukipalvelujen käyttäjille, jos sen tukipalveluun kohdistuu tai sitä uhkaa merkittävä tietoturvaloukkaus taikka muu tapahtuma, joka estää tukipalvelun toimivuuden tai häiritsee sitä olennaisesti taikka vaarantaa tietoturvallisuuden toteutumisen. Tietoturvallisuuden toteutuminen käsittäisi myös tietosuojan - eli esimerkiksi palvelussa käsiteltävien henkilötietojen suojaamisen toteutumisen. Ilmoituksessa on kerrottava häiriön tai sen uhkan arvioitu kesto sekä mahdollisuuksien mukaan käyttäjäorganisaation ja käyttäjän käytettävissä olevista suojaustoimenpiteistä. Lisäksi palvelutuottajan on ilmoitettava käyttäjäorganisaatioille ja käyttäjille häiriön tai uhkan päättymisestä. Tukipalvelujen erityisen merkittävästä roolista sähköisessä asioinnissa johtuen säädettäisiin palvelutuottajalle lisäksi vastaava ilmoitusvelvollisuus myös sen tukipalvelujen käyttäjiä kohtaan. Säännös olisi tarpeen 1 momentissa tarkoitettuja tilanteita ja niiden uhkia varten, joissa on tärkeää tiedottaa käyttäjäorganisaatioita ja tukipalvelujen käyttäjiä.
Ehdotetussa 3 momentissa säädettäisiin 2 momenttia vastaavasti käyttäjäorganisaatiolle velvollisuus viipymättä ilmoittaa palvelutuottajalle, jos kyseisen palvelutuottajan tukipalveluun liitettyyn tietojärjestelmään kohdistuu tai sitä uhkaa merkittävä tietoturvaloukkaus taikka muu tapahtuma, joka voi vaarantaa tukipalvelun tietoturvallisuuden tai toimivuuden tai häiritä sitä olennaisesti. Ilmoituksessa olisi kerrottava häiriön tai uhkan sisältö, arvioitu kesto ja mahdollisuuksien mukaan suojaustoimenpiteet. Lisäksi käyttäjäorganisaation olisi ilmoitettava häiriön tai uhkan kohteena olevan tukipalvelun palvelutuottajalle häiriön tai uhkan päättymisestä. Säännöksessä ei 2 momentista eroavasti säädettäisi käyttäjäorganisaation velvollisuudesta tiedottaa oman asiointipalvelunsa käyttäjiä. Tämä velvollisuus jätettäisiin kunkin viranomaisen asiointipalvelua koskevan sääntelyn - tai erityissääntelyn puuttuessa – hallintolain (palveluperiaate) ja julkisuuslain (tiedottaminen) varaan.
Ehdotetun 4 momentin mukaan palvelutuottajan olisi raportoitava palvelujensa toimivuudesta ja tietoturvallisuudesta säännöllisesti sekä ilmoitettava niihin liittyvistä merkittävistä poikkeamista viivytyksettä valtiovarainministeriölle tai sen osoittamalle viranomaiselle.
19 §.Varautuminen ja palvelutuotannon häiriötilanteet. Pykälän 1 momentissa säädettäisiin palvelutuottajille velvollisuus valmiussuunnitelmin ja normaaliolojen häiriötilanteissa tai poikkeusoloissa tapahtuvan toiminnan etukäteisvalmisteluin sekä muilla toimenpiteillä huolehtia siitä, että toiminta ja palvelujen tuotanto jatkuvat mahdollisimman häiriöttömästi normaaliolojen häiriötilanteissa sekä poikkeusoloissa.
Ehdotetun 2 momentin mukaan, ellei muussa laissa toisin säädetä, normaalioloissa ja niiden häiriötilanteissa noudatettaisiin tässä laissa tarkoitettujen palvelujen tuotannon ja käytön ensisijaisuus- ja kiireellisyysmäärittelyssä sekä muussa tärkeysmäärittelyssä valtiovarainministeriön ennalta määrittelemiä periaatteita. Valtiovarainministeriön olisi ennen periaatteiden vahvistamista kuultava asianomaisia palvelujen tuottajia, asiakkaita ja ministeriöitä. Valtioneuvosto päättäisi merkitykseltään laajakantoisista ja yhteiskunnallisesti merkittävistä periaatteista.
Ehdotettu sääntely vastaisi TORI-lain 15 §:ssä säädettyä sekä osin julkisen hallinnon turvallisuusverkkotoiminnasta annetun lain (10/2015) 12 ja 14 §:ssä säädettyä.
Ehdotettu 3 momentti sisältäisi informatiivisen viittauksen valmiuslain poikkeusoloja koskevaan sääntelyyn. Ehdotetussa säännöksessä tarkoitettu valtiovarainministeriön ja valtioneuvoston toimivaltuus ja edellä mainittujen periaatteiden soveltaminen ulottuisi normaalioloihin ja niiden häiriötilanteisiin eikä sillä näin ollen muutettaisi valmiuslain (1552/2011) 105 §:n mukaisia toimivaltuuksia, joita sovelletaan valmiuslaissa tarkoitetuissa poikkeusoloissa.
20 §.Lokirekisteri. Pykälän 1 momentissa säädettäisiin VRK:lle velvollisuus pitää lokirekisteriä 3 §:n 1 momentin 1 – 7 kohdissa tarkoitettujen palvelujen käytöstä tallennettujen tietojen käsittelystä. Lokirekisterin pitäminen olisi tarpeen henkilötietojen käsittelyn tietoturvallisuudesta huolehtimiseksi, jotta voidaan jälkikäteen tarkistaa, ketkä ovat käsitelleet tukipalvelujen käytöstä tallennettuja tietoja. Lokirekisterin pito on tarpeen erityisesti esimerkiksi luonnollisen henkilön tunnistuspalvelun ja laillista edustamista koskevan tiedon tarjoavan palvelun osalta, koska palvelujen käytöstä kertyy tietoa henkilökohtaisesta asioinnista. Tietoihin voi sisältyä myös arkaluonteisia henkilötietoja. Lokirekisterin pitovelvollisuutta ei olisi tarpeen kirjata erityisenä velvoitteena lakiin 3 §:n 1 momentin 8 kohdassa tarkoitetun verkkomaksamisen kokoamis- ja hallinnointipalvelun, hallinnon karttapalvelun tai 3 §:n 2 momentissa tarkoitettujen muiden tukipalvelujen taikka siirtymäsäännöksessä mainittujen tukipalvelujen osalta, koska niiden tarjoaminen on joko päättymässä siirtymäajan kuluessa ja/tai ne ovat sellaisia palveluja, joiden käytöstä ei voi kertyä 3 §:n 1 momentin 1 – 7 kohdissa mainittuja palveluja vastaavalla tavalla hallinnossa asioivan yksityisyyden suojaan liittyvää tietoa. Näiden muiden palvelujen osalta tietojen käsittelyn valvonta voidaan jättää yleislain eli henkilötietolain - ja yksityisyyden suojasta työelämässä annetun lain - sääntelyn varaan.
Säännöksen mukaan lokirekisteriin olisi tallennettava tieto tietojen käsittelijästä, käsittelyn ajankohdasta sekä käsittelyn kohteena olleista järjestelmän tiedoista tai tietoryhmistä. Lisäksi tulisi tallentaa tiedot tahosta, jolle palvelujen käytöstä tallennettuja tietoja on 14 §:n nojalla luovutettu. Mikäli käsittelijää koskevan tiedon tallentaminen edellyttää erillisen tietojärjestelmän käyttäjärekisterin saatavilla oloa, on tämä käyttäjärekisterikin tallennettava. Mikäli tietoluovutuksia koskevat tiedot tallennetaan eri rekisteriin tai tietojärjestelmään (tai vaikka vain paperille), olisi nämä asiakirjat tallennettava myös. Tarkoitus ei ole, että kaikki käsitellyt tiedot tallennettaisiin uudelleen lokirekisteriin, vaan lokirekisteriin tulisi tallentaa käsittelijän tiedonhakua koskeva tieto sillä tarkkuudella, että siitä voidaan riittävässä määrin päätellä, mitä asioita ja/tai henkilöitä koskevia tietoja käsittelijä on käsitellyt.
Pykälän 2 momentin mukaan VRK:n olisi säilytettävä lokirekisteriin tallennetut tiedot vähintään kaksi vuotta niiden tallentamisajankohtaa seuraavan kalenterivuoden alusta lukien. Säilytysaika vastaa väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain 56 §:ssä säädetyn väestötietojärjestelmän käyttöä koskevan lokirekisterin sekä tietoyhteiskuntakaaren 145 §:ssä säädetyn välitystietojen käsittelyä koskevien tietojen säilytysaikaa.
21 §.Lokirekisterin tietojen käyttö ja luovuttaminen. Pykälässä säädettäisiin siitä, mihin VRK saisi käyttää lokirekisterin tietoja toiminnassaan sekä siitä, kenelle ja mihin tarkoituksiin se voisi luovuttaa tietoja.
Pykälän 1 momentin mukaan VRK saisi käyttää lokirekisteriin tallennettuja tietoja palvelujen käytöstä tallennettujen tietojen käsittelyn seurantaa ja valvontaa sekä tietoturvallisuuden ylläpitoa varten. Tällä tarkoitettaisiin järjestelmän tietojen käytön ja suojauksen yleistä seurantaa ja valvontaa, jonka kautta huolehdittaisiin henkilötietolain 32 §:ssä mainittujen tietojen suojaamista koskevien velvoitteiden toteuttamisesta. Kysymys olisi lokirekisterin käyttötarkoitukseen ja olemassaoloon liittyvästä keskeisestä perustarpeesta ja käyttöominaisuudesta.
Ehdotetun 2 momentin mukaan VRK voisi luovuttaa lokirekisterin tietoja poliisi- ja esitutkintaviranomaiselle palvelun käytöstä tallennettujen tietojen lain vastaista käsittelyä koskevan rikoksen selvittämistä varten, jollei yksittäisten tietojen luovuttamisesta poliisille ole toisin säädetty. Säännöksen loppuosan poikkeuksella on tarkoitettu esimerkiksi sitä, että mikäli lokirekisteriin sisältyvistä tiedoista, jotka koskevat käsittelyn kohteena olleita tietoja, paljastuisi jokin sellainen seikka henkilön asioinnista, jota koskevan tiedon luovuttamisesta poliisille säädetään erikseen, tulisi luovuttamisessa noudattaa erityissääntelyä ehdotetun lain sijaan.
Ehdotetun 3 momentin mukaan VRK voisi lisäksi julkisuuslain 11 ja 12 §:ssä säädetyin rajoituksin luovuttaa palvelun käytöstä tallennettuja tietoja henkilölle, jota koskevat tiedot ovat olleet käsittelyn kohteena. Lisäksi tietoja voitaisiin luovuttaa mainitun henkilön sekä lokirekisteristä ilmenevän tietojen käsittelijän suostumuksella yksilöityä tarkoitusta varten.
5 luku Ohjaus
22 §.Yleinen ohjaus. Pykälän 1 momentissa säädettäisiin valtiovarainministeriön tehtäväksi ohjata ehdotetussa laissa tarkoitettujen tukipalvelujen järjestämistä, palvelujen laatua sekä näiden palvelujen yhteentoimivuutta ja kokonaisarkkitehtuurin mukaisuutta noudattaen mitä julkisen hallinnon tietohallinnon ohjauksesta annetussa laissa säädetään. Valtiovarainministeriö vastaisi myös tukipalvelujen palvelutuotannon yleishallinnollisesta, strategisesta sekä tieto- ja viestintäteknisen varautumisen, valmiuden ja turvallisuuden ohjauksesta.
Palvelujen ohjausvastuu on tarkoitus jakaa integraatiokokonaisuuteen, tunnistamista ja asiointivaltuuksia koskevaan kokonaisuuteen sekä palvelunäkymiä (ml. palvelutietovaranto ja viestinvälityspalvelu) koskevaan kokonaisuuteen.
Palvelujen ohjaamiseen ei tultaisi kehittämään erillisiä rakenteita, kuten hallitusta tai vastaavia ryhmittymiä. Palvelujen kehittäminen lähtisi VRK:n kokoamista asiakastarpeista ja ohjaavien ministeriöiden näkemyksestä strategisen kehittämisen painopisteistä, kansainvälisen yhteistyön tavoitteista sekä yhteiskunnassa tapahtuvista muutoksista. Ohjauksen toteuttaminen edellyttäisi resursointia myös ministeriössä, jotta kansallisesti merkittävien sähköisen asioinnin tukipalveluiden ajanmukaisuus ja asiakaslähtöisyys pystytään takaamaan.
Ehdotetun 2 momentin mukaan VRK:n tuottaman, 3 §:n 1 momentin 3 kohdassa tarkoitetun palvelunäkymän yrityksen palvelunäkymää koskevan kokonaisuuden sisällön ja rakenteen strategisesta ohjauksesta vastaisivat valtiovarainministeriö ja työ- ja elinkeinoministeriö yhdessä.
Työ- ja elinkeinoministeriöstä annetun valtioneuvoston asetuksen (1024/2007) mukaan ministeriön tehtäviin kuuluvat yritystoiminnan ja yrittäjyyden edistäminen sekä julkiset yritystuet ja yrityspalvelut. Tämän vuoksi palvelun ohjauksessa on otettava huomioon toimialan oma erityisosaaminen. Palvelunäkymän yrityksen palvelunäkymää koskeva kokonaisuus rakennetaan myös nykyisen yrityssuomi.fi -palvelun sisällön pohjalta. KEHA-keskus tuottaa yrityssuomi.fi -palvelua enintään 31.12.2017 saakka. Jatkossa tuottaja olisi VRK. Palvelunäkymän yrityksen palvelunäkymää koskevan kokonaisuuden sisällön ja rakenteen ohjauksen jakaminen on perusteltua ottaen huomioon työ- ja elinkeinoministeriön toimiala ja vastuut yritystoiminnan osalta.
Ehdotetun 3 momentin mukaan Maanmittauslaitoksen tuottaman, 3 §:n 1 momentin 9 kohdassa tarkoitetun hallinnon karttapalvelua koskevan kokonaisuuden sisällön ja rakenteen strategisesta ohjauksesta vastaisivat valtiovarainministeriö ja maa- ja metsätalousministeriö yhdessä.
23 §.Tiedonsaantioikeus. Pykälän 1 momentissa säädettäisiin valtiovarainministeriölle oikeus saada tehtävänsä suorittamiseksi riittävät ja tarvittavat tiedot palvelutuottajilta koskien palvelutuotannon laatua ja kustannustehokkuutta sekä muita ehdotetussa laissa tarkoitettuja palvelutuotannolle asetettuja vaatimuksia.
Palvelutuottajilla olisi esimerkiksi velvollisuus tuottaa valtiovarainministeriölle tilastollista tietoa tukipalvelujen käytöstä. Tilastotiedot käytöstä olisivat ohjauksessa tarpeellisia esimerkiksi tukipalvelujen taloudellisten vaikutusten kuten tuottavuushyötyjen arvioimiseksi.
6 luku Erinäiset säännökset
24 §.Oikaisuvaatimus. Pykälän 1 momentissa säädettäisiin oikaisuvaatimuksen tekemisestä palvelutuottajan esimerkiksi lain 5 §:n 3 momentin tai 8 §:n 3 momentin nojalla antamista päätöksistä.
Pykälän 2 momentti sisältäisi informatiivisen viittauksen hallintolain oikaisuvaatimusmenettelyä koskeviin säännöksiin.
25 §.Tukipalvelujen kustannukset. Pykälän 1 momentissa säädettäisiin, että tukipalvelujen tuottamisesta aiheutuvat kustannukset katetaan valtion varoista ja palvelun käyttö on käyttäjäorganisaatiolle maksutonta. Jatkuva palvelu rahoitettaisiin keskitetysti valtion talousarviosta, jotta kynnys käyttää yhteisiä ratkaisuja on mahdollisimman matala ja palvelujen laajasta käytöstä saatava hyöty saadaan mahdollisimman suureksi.
Ehdotetun 2 momentin mukaan käyttäjäorganisaatio vastaisi kuitenkin itse sille tukipalvelujen käyttöön liittymisestä sekä palvelutietovarannon ja palvelunäkymän sisältämien tietojen ylläpidon kustannuksista.
Ehdotetun 3 momentin mukaan viestinvälityspalvelun kautta lähetettyjen kirjeiden kustannuksista vastaisi kirjeen lähettänyt käyttäjäorganisaatio. Tämä on perusteltua viranomaisten kannustamiseksi sähköiseen asiointiin sekä siksi, että kirjepostituksesta aiheutuvia kustannuksia on haasteellista talousarviovaikutusten vuoksi siirtyä kattamaan keskitetysti.
Ehdotetussa 4 momentissa säädettäisiin käyttäjäorganisaatioille velvollisuus maksaa itse tunnistuspalvelun tarjoajien kanssa solmimiinsa sopimuksiin perustuvat maksut. Säännöksellä selvennettäisiin, että esimerkiksi lopetettavan Vetuma-palvelun käytöstä siirtymäajalla tunnistuspalvelun tuottajille maksettavat maksut eivät kuuluisi uuden luonnollisen henkilön tunnistuspalvelun keskitetyn rahoituksen piiriin.
7 luku Voimaantulo
26 §.Voimaantulo. Esitykseen sisältyvien lakiehdotusten on tarkoitus tulla voimaan mahdollisimman pian, viimeistään 1 päivänä heinäkuuta 2016.
27 §.Tehtävien järjestämistä koskeva siirtymäsäännös. Pykälän 1 momentissa säädettäisiin Valtorin tehtäväksi tuottaa ja kehittää 3 §:n 1 momentin 5 ja 8 kohdassa tarkoitettuihin palveluihin kuuluvaa tunnistamisen, allekirjoittamisen ja maksamisen kokoamis- ja hallinnointipalvelua enintään 31 päivään joulukuuta 2017. Kyse on Vetuma-palvelusta, jonka tuotannon on tarkoitus päättyä vuoden 2017 lopussa, kun käyttäjäorganisaatiot on saatu siirrettyä uuden luonnollisen henkilön tunnistuspalvelun tai 3 §:n 1 momentin 5 kohdassa tarkoitetun tunnistuspalvelun käyttäjäorganisaatioiksi. Palvelu ei siis siirtyisi VRK:n tuotettavaksi, vaan VRK tuottaa Vetuma -palvelun kanssa ajallisesti päällekkäin uutta luonnollisen henkilön tunnistuspalvelua, jonka on tarkoitus korvata Vetuma -palvelu.
Ehdotetun 2 momentin mukaan Valtorin tehtävänä olisi tuottaa ja kehittää 3 §:n 1 momentin 7 kohdassa tarkoitettua palvelua sekä pitää 11 §:ssä tarkoitettua rekisteriä enintään 31 päivään joulukuuta 2017, jonka jälkeen palvelutuotanto ja rekisteripitovastuu siirtyisivät VRK:lle. Kyse on asiointitiliä eli jatkossa viestinvälityspalvelua ja sähköisen tiedoksiantomenettelyn suostumusrekisteriä koskevasta siirtymäsäännöksestä.
Pykälän 3 momentin mukaan Valtiokonttorin tehtävänä olisi tuottaa ja kehittää 3 §:n 1 momentin 2 kohdassa tarkoitettuihin palveluihin kuuluvaa Suomi.fi –palvelua enintään 31 päivään joulukuuta 2017.
Pykälän 4 momentin mukaan Verohallinnon tehtävänä olisi tuottaa ja kehittää 3 §:n 1 momentin 5 kohdassa tarkoitettuihin palveluihin kuuluvaa sähköistä tunnistuspalvelua, jonka avulla viranomainen tai muu julkista tehtävää hoitava voi julkista tehtävää hoitaessaan tunnistaa organisaation ja sitä edustavan henkilön, enintään 31 päivään joulukuuta 2016. Säännöksessä tarkoitetaan KATSO-palvelua, jonka tuotantovastuu siirtyisi VRK:lle viimeistään vuoden 2017 alussa.
Pykälän 5 momentin mukaan KEHA-keskuksen tehtävänä olisi tuottaa ja kehittää 3 §:n 1 momentin 2 ja 3 kohdassa tarkoitettuihin palveluihin kuuluvaa yrityssuomi.fi –palvelua enintään 31 päivään joulukuuta 2017.
Pykälän 6 momentin mukaan valtiovarainministeriö päättäisi tarkemmin 1-4 momentissa säädettyjen määräaikojen puitteissa hallinnonalansa sisällä tapahtuvista siirroista – eli Valtorilta, Valtiokonttorilta ja verohallinnolta VRK:lle siirrettävistä tehtävistä ja toiminnoista sekä aikatauluista.
Ehdotetun 7 momentin mukaan Valtioneuvosto päättäisi tarkemmin 5 momentissa säädetyn määräajan puitteissa KEHA-keskukselta VRK:lle siirrettävistä tehtävistä ja toiminnoista sekä aikatauluista.
28 §.Henkilöstöä koskeva siirtymäsäännös. Ehdotetun 1 momentin mukaan Valtorin tuottamaan tukipalveluun eli viestinvälityspalveluun ja avoindata.fi:hin liittyviä tehtäviä hoitava työsopimussuhteinen henkilöstö siirtyisi VRK:een virkaan valtiovarainministeriön 27 §:n 6 momentin päätöksen tai 3 §:n 2 momentissa tarkoitetun asetuksen mukaisesti. Määräaikaisessa työsuhteessa näissä tehtävissä oleva henkilöstö siirtyisi palvelussuhteensa keston ajaksi VRK:een määräaikaisen virkasuhteeseen. Säännöksessä on lisäksi virkamieslain 5 a §:ää vastaava kohta koskien työsopimussuhteessa olevan henkilön siirtämistä ilman suostumusta, mikäli hänet siirretään hänen työssäkäyntialueellaan tai työssäkäyntialueelleen. Työssäkäyntialuetta koskeva edellytys tullaan ottamaan huomioon siirtoja tehtäessä.
Ehdotetun 2 momentin mukaan työntekijä saisi työsuhteessa muutoin sovellettavaa irtisanomisaikaa noudattamatta tai sen kestoajasta riippumatta irtisanoa työsopimuksen päättymään siirtopäivästä, jos hän on saanut tiedon siirrosta Valtorilta tai VRK:lta viimeistään kuukautta ennen siirtopäivää. Jos työntekijälle on annettu tieto siirrosta myöhemmin, hän saisi irtisanoa työsopimuksensa päättymään siirtopäivästä tai tämän jälkeen, viimeistään kuitenkin kuukauden kuluessa saatuaan tiedon siirrosta.
Lisäksi pykälän 2 momentin mukaan Valtorista VRK:een siirtyvän henkilöstön palvelussuhteen katsottaisiin palvelussuhde-etuuksien määräytymisen kannalta jatkuneen valtiolla yhdenjaksoisena. Kysymys on esimerkiksi ennen ehdotetun lain voimaantuloa kertyneiden lomien siirtymisestä tai lomarahoista. Siirtyvien työsopimussuhteessa olevien henkilöiden palkkaukseen sovelletaan periaatteita, joita eri palkkausjärjestelmien yhteensovittamisesta on kirjattu valtion virka- ja työehtosopimuksen allekirjoittamispöytäkirjan kohtaan 2 ”Palkkaus henkilöstön siirtyessä organisaatiomuutoksessa suoraan lain nojalla”.
Ehdotettu 3 momentti sisältäisi informatiivisen säännöksen koskien virkamieslain (750/1994) soveltamista virkasuhteessa siirtyvään henkilöstön asemaan. Suomi.fi -palvelun lakkauttamisen yhteydessä Valtiokonttorista on tarkoitus siirtää palvelun tuotantoon liittyvät virat ja niihin nimitetyt virkamiehet VRK:een virkamieslain 2 luvun nojalla. Myös KEHA-keskuksesta, yrityssuomi.fi -palvelun palvelutuotannosta on tarkoitus siirtää vastaavalla tavalla virat ja niihin nimitetyt virkamiehet VRK:een. KATSO -palvelun tuotantotehtävistä verohallinnosta siirtyvät myös tehtäviin liittyvät virat ja niitä hoitavat virkamiehet VRK:een.”
Valtion virkamieslain 2 lukuun sisältyvän 5 a §:n 1 ja 2 momentin mukaan valtionhallinnon toimintojen uudelleenjärjestelyn yhteydessä virat ja niihin nimitetyt virkamiehet siirtyvät samaan virastoon tai samoihin virastoihin kuin tehtävät siirtyvät ja määräaikaiseen virkasuhteeseen nimitetty virkamies siirtyy viraston palvelukseen määräaikaisen virkasuhteensa keston ajaksi. Lain 5 a §:n 3 momentin säännöksen mukaan virka voidaan siirtää edellä tarkoitetuissa tilanteissa ilman virkamiehen suostumusta, jos virka siirretään virkamiehen työssäkäyntialueella tai työssäkäyntialueelle. Työssäkäyntialuetta koskeva edellytys tullaan ottamaan huomioon siirtoja tehtäessä.
Valtion virkamieslain 5 a §:n 4 momentin mukaan virkamiehen palvelussuhteen ehtoihin sovelletaan, mitä niistä virkaehtosopimuksissa sovitaan tai laissa säädetään. Esimerkiksi palkkauksen osalta suoraan lain nojalla siirtyvien palkkaukseen sovelletaan periaatteita, joita eri palkkausjärjestelmien yhteensovittamisesta on kirjattu valtion virka- ja työehtosopimuksen allekirjoittamispöytäkirjan kohtaan 2 ”Palkkaus henkilöstön siirtyessä organisaatiomuutoksessa suoraan lain nojalla”.
29 §.Käyttövelvoitteen voimaantuloa koskeva siirtymäsäännös. Pykälän 1 momentissa säädettäisiin käyttöön velvoitettujen tahojen velvollisuudesta ottaa eräät tukipalvelut käyttöön tiettyyn ajankohtaan mennessä. Niiden palvelujen osalta, joita siirtymäsäännöksessä ei ole mainittu (esimerkiksi palveluväylä), käyttövelvollisuus tulee voimaan lain voimaan tullessa, ellei 5 §:ssä säädetyistä poikkeamisperusteista muuta johdu.
Ehdotetussa pykälässä säädettäisiin, että käyttöön velvoitetun käyttäjäorganisaation on kuvattava palvelujaan koskevat tiedot palvelutietovarantoon ja tuotava rekisteritietojaan palvelunäkymään viimeistään 1 päivänä heinäkuuta 2017, otettava luonnollisen henkilön tunnistuspalvelu ja verkkomaksamisen kokoamis- ja hallinnointipalvelu käyttöön viimeistään 1 päivänä tammikuuta 2018 ja otettava viestinvälityspalvelu käyttöön viimeistään 1 päivänä heinäkuuta 2017.
Ehdotetussa 2 momentissa säädettäisiin yksityisten yhteisöjen, säätiöiden ja elinkeinonharjoittajien palvelutietovarannon käyttöoikeuden voimaantulosta. Käyttöoikeus tulisi voimaan, kun yksityisten yhteisöjen ja elinkeinonharjoittajien palvelutietovarannon käyttövaltuuksien hallintamallit ovat valmiit, viimeistään 1 päivänä heinäkuuta 2017.
30 §.Sopimuksia ja muita sitoumuksia sekä vireillä olevia asioita koskeva siirtymäsäännös. Pykälässä säädettäisiin tehtävien ja toimintojen siirtämisen yhteydessä näihin tehtäviin ja toimintoihin liittyvien sopimusten ja sitoumusten ja niihin liittyvien oikeuksien ja velvollisuuksien sekä vireillä olevien asioiden siirtymisestä VRK:lle.