Yleistä
Esityksessä ehdotetaan säädettäväksi uusi laki rakennetun ympäristön tietojärjestelmästä. Lain tavoitteena on toteuttaa valtakunnallinen yhteinen tietojärjestelmä rakennetun ympäristön tiedolle. Suomen ympäristökeskuksen ylläpitämään tietojärjestelmään kerätään rakentamisen ja alueidenkäytön tietoja. Lakiehdotus toteuttaa hallitusohjelman kirjausta rakennetun ympäristön valtakunnallisesta digitaalisesta rekisteristä ja tietoalustasta, joihin alueidenkäyttöä ja rakentamista koskevat päätökset ja prosessit tukeutuvat. Lakiehdotus sisältää säännökset rakennetun ympäristön tietojärjestelmän perustamisesta, ylläpidosta, tiedonsaanti- ja tiedonluovutusoikeuksista ja tietovarantojen rekisterinpitäjistä. Lisäksi esityksessä ehdotetaan tehtäviksi maankäyttö- ja rakennuslakiin kaavojen ja tonttijaon digitalisaatiosta johtuvat muutokset. Kaavat ja tonttijako laadittaisiin jatkossa valtakunnallisesti yhteentoimivassa tietomallimuodossa. Kaavat koostuisivat nykyisten kaavamerkintöjen ja -määräysten sijaan kaavakohteista ja kaavamääräyksistä. Esityksen ja saamansa selvityksen perusteella valiokunta pitää esitystä tarpeellisena ja kannatettavana sekä puoltaa siihen sisältyvien lakiehdotusten hyväksymistä muutettuina.
Valiokunnan saamissa lausunnoissa esityksen tavoitteita on pidetty sinänsä hyvinä ja kannatettavina. Toisaalta esityksen tietopohjaa ja toteutustapaa on kritisoitu. Valiokunnalle on todettu, että lainsäädäntö on valmisteltu hyvin nopealla aikataululla, mikä on voinut vaikuttaa esityksessä olevan vaikutuksenarvioinnin puutteellisuuteen. Rakentamisen tietovarantoon liittyvien vaatimusten vaikutuksia rakentamisen osapuoliin ei arvioida riittävästi esityksessä. Vaikutuksia rakentamisen osapuoliin ei ole myöskään ollut mahdollista arvioida rakentamislakia koskevien ehdotusten (HE 139/2022 vp) yhteydessä, sillä järjestelmään tallennettavan tiedon sisällön yksityiskohdista ei ole tarkempaa tietoa ennen asetusten valmistelun etenemistä.
Perustuslakivaliokunta on lausunnossaan (PeVL 82/2022 vp) kiinnittänyt huomiota hallituksen esityksen perusteluiden puutteisiin ja säännösten teknisiin ongelmakohtiin. Saamansa lausuntopalautteen perusteella valiokunta kiinnittää ympäristöministeriön huomiota lainvalmistelun laatuun ja lainvalmistelua koskevan ohjeistuksen noudattamiseen. Rakennetun ympäristön tietojärjestelmää koskevaan lakiehdotukseen on jouduttu tekemään varsin paljon lakiehdotusten perusvalmisteluun kuuluvia muutoksia valiokunnan käsittelyssä, eikä tätä voida pitää asianmukaisena etenkään hallitusohjelmaan sisältyvän, vaikutuksiltaan merkittävän hankkeen kohdalla. Lisäksi esitystä on kritisoitu niin rakennusalan toimijoiden kuin kuntien taholta. Kaiken kaikkiaan vaikuttaa siltä, ettei esitykseen sisältyville ehdotuksille ole saatu keskeisten sidosryhmien hyväksyntää. Vaikuttaa kuitenkin siltä, että sidosryhmien keskeisimmät huolenaiheet liittyvät tietöjärjestelmän ja sitä koskevan lainsäädännön jatkokehittämisen vaiheisiin. Valiokunta edellyttää, että rakennetun ympäristön tietojärjestelmän sisältöön ja jatkokehitykseen vaikuttavat asetukset valmistellaan yhteistyössä sidosryhmien ja erityisesti rakentamisen osapuolten edustajien kanssa ja että asetuksista laaditaan asianmukainen vaikutusarviointi, jossa esitetään myös vaikutukset rakentamisen markkinaan, kustannuksiin ja lupaprosessien sujuvuuteen.
Rakennusalan toimijoiden lausuntopalautteessa esitetyn kritiikin mukaan esityksen tavoitteena tulee olla se, että tietojärjestelmässä käsitellään vain sellaista tietoa, jota viranomaiset tarvitsevat lakisääteisiin tehtäviinsä, eikä järjestelmän tulevissakaan kehitysvaiheissa pidä kerätä ylimääräistä ja yksityiskohtaista tietoa kaikkiin mahdollisiin yhteiskunnan tietotarpeisiin. Järjestelmän jatkokehityksessä tavoitteena ei näin ollen tule olla kaiken mahdollisen tiedon kokoaminen, jota tiedontuottajien tulisi päivittää ilman lupahakemuksen vireilläoloa. Valiokunta pitää tärkeänä, että ympäristöministeriö ottaa tämän kritiikin vakavasti ja mahdollinen järjestelmän jatkokehittäminen tehdään hyvässä yhteistyössä alan toimijoiden kanssa ja vaikutustenarviointiin kiinnitetään erityistä huomiota. (Valiokunnan lausumaehdotus 1)
Kunnat vastaavat yhdyskunnan toimivuudesta sekä maankäyttöön ja rakentamiseen liittyvistä palveluista. Kuntien taholta esitystä on kritisoitu useasta näkökulmasta. Valiokunnan saamissa lausunnoissa on korostettu, ettei rakennetun ympäristön tietojärjestelmä voi korvata kuntien omia rekistereitä, vaan kunnan toimintaa palvelevat jatkossakin kuntien kaava- ja rakennusluparekisterit. Ne ovat osa kunnan laajempaa perusrekisterikokonaisuutta maaomaisuus-, kiinteistö-, osoite- ja väestöosien sekä kunnan tuottamien lukuisten muiden paikkatietoaineistojen kanssa. Kunnan viranomaistehtävissä tarvittavan tiedon tarve on paljon rakennetun ympäristön tietojärjestelmään kuuluvia tietovarantoja kattavampi. Näin ollen kuntien on jatkossakin pidettävä yllä omia tietovarantojaan lakisääteisiä tehtäviään varten.
Lisäksi Kuntaliiton esittämän arvion mukaan rakentamislakiesityksessä, alueidenkäyttölakiesityksessä ja käsillä olevassa lakiesityksessä kuvattujen tietojen yhteentoimivuuden toteutukseen tarvitaan 6 miljoonaa euroa vuodessa, mikä tarkoittaa 60:tä miljoonaa euroa kymmenen vuoden aikana, jotta yhteentoimivuus on saatu valtakunnallisesti toteutettua. Lisäksi uudet tietomallit ja muutokset tietorakenteissa aiheuttavat muutoksia kuntien asiointipalveluihin, tuotantojärjestelmiin, rekistereihin, integraatioihin ja rajapintoihin. Vaadittava ohjelmistokehitys ja uudet rajapinnat tuovat myös jatkuvia lisäkustannuksia. Kuntien ohjelmistojen ylläpitomaksut nousevat arvion mukaan 30 prosenttia. Lisäksi esitys edellyttää kunnilta erittäin merkittävää lisäresursointia henkilöstöön ja koulutukseen. Kuntaliitto arvioi, että asetustasoinen sääntely tulee aiheuttamaan vielä lisää kustannuksia. Toisaalta rakennetun ympäristön tietojärjestelmä helpottaa rakennustietojen raportointia valtion viranomaisten tarpeisiin, ja sen toivotaan myös parantavan tietojen laatua. Valiokunta suhtautuu edellä esitettyihin huoliin vakavasti, ja se on pyrkinyt selvittämään rahoituksen riittävyyttä suhteessa Kuntaliiton esittämiin tarpeisiin.
Valiokunnan saaman selvityksen mukaan julkisen talouden suunnitelmassa vuosille 2023—2026 on varattu 15 miljoonaa euroa rakennetun ympäristön tietojärjestelmälain, rakentamislain ja alueidenkäyttölain uusien digivelvoitteiden aiheuttamien muutosten kunnille ja maakuntien liitoille aiheuttamiin kustannuksiin. Kunnat voivat tämän rahoituksen puitteissa hakea avustusta rakennetun ympäristön tietojärjestelmästä aiheutuviin menoihin. Ympäristöministeriö on todennut kyseisen rahoituksen olevan tehtyjen selvitysten perusteella riittävä. Lisäksi on tuotu esiin, ettei lakiehdotuksessa ehdoteta muutoksia kuntien alueidenkäytön päätöksenteon prosesseihin. Kunnat voivat tukeutua päätöksenteossa jatkossakin jo käytössä oleviin tiedonhallintaratkaisuihinsa. Valiokunnan mielestä kuntien huoliin ja käytännön vaikeuksiin järjestelmän käyttöönotossa tulee suhtautua vakavasti. Mikäli järjestelmän jatkovalmistelussa käy ilmi, etteivät kunnat kykene ottamaan järjestelmää käyttöön rakentamislakiesityksessä ehdotettujen velvoitteiden osalta vuoden 2027 loppuun mennessä tai kaavatietojen osalta vuoden 2028 loppuun mennessä, valtioneuvoston tulee ryhtyä tarpeellisiin toimenpiteisiin järjestelmän hallitun käyttöönoton tukemiseksi mukaan lukien siirtymäajan jatkaminen.
Tietojen julkisuus ja luovuttaminen
Rakennetun ympäristön tietojärjestelmässä on tarkoitus käsitellä lakiehdotuksen 5 §:ssä lueteltuja kaavatietoja sekä maankäyttö- ja rakennuslain 131, 142, 150, 153 ja 153 a §:n mukaisia tietoja rakennuslupahakemuksista, lupapäätöksistä, viranomaiskatselmuksista, loppukatselmuksista ja osittaisista loppukatselmuksista. Uuden rakentamislain tultua voimaan rakennetun ympäristön tietojärjestelmään tulee toimittaa rakentamisluvasta tieto rakennuksen tai muun rakennuskohteen rakentamislupapäätös liitteineen, maisematyölupapäätös, purkamislupapäätös, poikkeamislupapäätös, rakennuksen suunnitelmamalli, rakennuksen toteumamalli ja toteumamallin tiedot. Edellä mainitut tiedot ovat lähtökohtaisesti viranomaisten toiminnan julkisuudesta annetun lain, jäljempänä julkisuuslaki, mukaan julkisia. Julkisuuslain mukaan jokaisella on oikeus saada tietoja viranomaisen julkisista asiakirjoista. Viranomaisten asiakirjat ovat julkisia, jollei erikseen toisin säädetä. Kuntien tekemät viranomaispäätökset, kuten kaavat, ovat aina lähtökohtaisesti julkisia asiakirjoja. Asiakirjojen julkisuutta voidaan rajoittaa lailla, ja julkisuuslain 24 §:ssä on lueteltu asiakirjat, jotka ovat lähtökohtaisesti salassa pidettäviä. Viranomaisen asiakirjan sisällöstä annetaan tieto suullisesti taikka antamalla asiakirja viranomaisen luona nähtäväksi ja jäljennettäväksi tai kuunneltavaksi taikka antamalla siitä kopio tai tuloste. Rakentamislupatiedon, kuten rakennuksen piirustusten, luovuttamista kunnan ylläpitämän tietopalvelun kautta ei ole lailla rajoitettu, ellei kyseiseen tietoon kohdistu salassapitoperusteita. Jo tällä hetkellä kunnat jakavat eri tietopalveluidensa kautta kaavoitus- ja rakennustietoa. Jokainen voi pyytää kunnalta rakennuksen piirustuksia nähtävilleen. Nämä ovat siten myös esityksessä omaksuttuja lähtökohtia. Valiokunta pitää tärkeänä julkisuuslaissa säädettyjä lähtökohtia, mutta kantaa samalla erityistä huolta tietojen hyödyntämisestä rikollisiin tai muuten kyseenalaisiin tarkoituksiin.
Edellä esitetystä seuraa, ettei yksityinen kansalainen voi kieltää julkisen pohjapiirustuksen luovuttamista rakennetun ympäristön tietojärjestelmään tai tietojärjestelmästä, kun on kyse julkisuuslain mukaisesta tietopyynnöstä tai tiedonsaajalla on lain mukaan oikeus käsitellä tietoa. Lisäksi lakiesityksen 12 §:ssä ehdotetaan nimenomaista säännöstä, jonka mukaan rekisteröity ei voi rajoittaa tietojen käsittelyä luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus) 18 artiklan 1 kohdassa tarkoitetulla tavalla. Rakennetun ympäristön tietojärjestelmän kannalta keskeiset salassapitoperusteet sisältyvät julkisuuslain 24 §:n 1 momentin 7 kohtaan, jonka mukaan salassapidettäviä ovat henkilöiden, rakennusten, laitosten, rakennelmien sekä tieto- ja viestintäjärjestelmien turvajärjestelyjä koskevat ja niiden toteuttamiseen vaikuttavat asiakirjat, jollei ole ilmeistä, ettei asiakirjan luovuttamisesta aiheudu haittaa turvajärjestelyjen toteutumiselle. Lisäksi mainitun pykälän 1 momentin 9 ja 10 kohdan mukaan salassa pidettäviä ovat asiakirjat, jotka vaikuttavat esimerkiksi valtion turvallisuuteen tai maanpuolustukseen ovat lähtökohtaisesti salassa pidettäviä. Salassapidosta voidaan poiketa, jos on ilmeistä, ettei tiedon antaminen vaaranna valtion turvallisuutta taikka vahingoita tai vaaranna maanpuolustuksen etua.
Valiokunnan käsittelyssä on noussut esiin kysymys siitä, miten muiden turvallisuusviranomaisten, kuten poliisiviranomaisten ja Rajavartiolaitoksen, tietojen suojaaminen tapahtuu. Valiokunnan saaman selvityksen mukaan edellä mainitut viranomaiset esittävät rakennuslupaprosessin yhteydessä tarpeellisiksi katsomansa salassapitoperusteet, jotka perustuvat julkisuuslain 24 §:ään. Päätöksen asiakirjojen salassapidosta tekee kunta. Pääosin rakennusvalvontaviranomaiset hyväksyvät viranomaisten esittämät rajoitteet sellaisinaan. Kun päätös tiedon taikka asiakirjan tai sen osan salassapidosta on tehty, tästä välittyy jatkossa tieto rakennetun ympäristön tietojärjestelmään. Järjestelmässä olevia salassapidettäviä tietoja luovutetaan vain sellaiselle viranomaiselle, joilla on lakisääteinen oikeus tietoihin. Tietojen suojaamista ja tietojärjestelmän auditointia selvitetään tarkemmin jäljempänä. Valiokunnan saaman selvityksen mukaan rakennetun ympäristön tietojärjestelmässä on tarpeen käsitellä salassa pidettävää tietoa, sillä sen avulla tietoa voidaan välittää sitä tarvitseville viranomaisille, kuten Hätäkeskuslaitokselle ja pelastustoimelle. Niillä tulee olla mahdollisimman kattava tieto, joten ne tarvitsevat myös poliisin ja Rajavartiolaitoksen hallinnassa olevien alueiden ja rakennusten tietoja toiminnassaan. Lakiehdotuksen 10 §:ssä ehdotetaan säädettäväksi muun muassa puolustusvoimien, pelastustoimen ja Hätäkeskuksen oikeudesta saada salassapitosäädösten estämättä välttämättömät tiedot. Jos meneteltäisiin niin, että poliisin, Rajavartiolaitoksen ja muiden tahojen tiedot jätetään rakennetun ympäristön tietojärjestelmän ulkopuolelle, joudutaan esimerkiksi pelastustoimen ja kuntien välinen tiedon luovutus järjestämään erillisellä menettelyllä. Tämä puolestaan edellyttää enemmän resursseja kuin keskitetty tiedonluovutus rakennetun ympäristön tietojärjestelmän kautta. Valiokunta pitää tältä osin saamaansa selvitystä tyydyttävänä.
Kuten edellä on todettu, päätöksen tiedon luovuttamisesta julkisuuslain mukaan tekee se viranomainen, jonka hallussa asiakirja on. Tilanteissa, joissa useammalla viranomaisella on sama julkinen asiakirja, voi tiedon pyytää kultakin viranomaiselta, joka tekee päätöksen tiedon luovuttamisesta. Teknisen rajapinnan avaamisesta säädetään julkisen hallinnon tiedonhallinnasta annetussa laista. Teknisen rajapinnan avaaminen edellyttää laissa säädettyä tiedonsaantioikeutta sekä oikeutta käsitellä tietoja. Rakennetun ympäristön tietojärjestelmää koskevassa lakiehdotuksessa ei ole ehdotettu säädettäväksi tällaisia tiedonsaantioikeuksia muille kuin viranomaisille. Teknisiä rajapintoja voi olla tarpeen avata Suomen ympäristökeskuksen toimesta, kun kyse on arvokkaista tietoaineistoista. Tällöin noudatetaan tiedonhallintalain säännöksiä sekä arvokkaiden tietoaineistojen luettelosta ja niiden julkaisemista ja uudelleenkäyttöä koskevista järjestelyistä annettua komission täytäntöönpanoasetusta. Tiedon luovuttamista koskevien menettelysäännösten ja tiedonluovuksen edellytysten jakautumista eri lakeihin tiedonluovutustavan perusteella ei voida pitää selkeänä ratkaisuna tiedontarvitsijoiden näkökulmasta. Perustuslakivaliokunnan tavoin valiokunta katsoo, että tietojen luovuttamisesta vastaava viranomainen on tarpeen säätää lain tasolla selkeästi. Kysymys on Suomen ympäristökeskuksesta, jolla on toimivalta luovuttaa tietoa tietopalvelun kautta ja vastuu tietojenluovutuksen lainmukaisuudesta. Valiokunta palaa tätä koskeviin säännösehdotuksiin jäljempänä.
Valiokunnan saaman selvityksen mukaan rakennetun ympäristön tietojärjestelmä parantaa henkilötietojen ja salassa pidettävien tietojen suojaa sekä tietoturvaa nykytilanteeseen verrattuna edellyttämällä kirjautumisessa vahvaa tunnistautumista sekä käsittelemällä tietoja yhdenmukaisen luokittelun perusteella. Lisäksi tarvittaessa keskitetyssä järjestelmässä voidaan helpommin toteuttaa tiedon tai käyttäjien rajoittamistoimenpiteitä turvallisuustilanteen muuttuessa. Rakennetun ympäristön tietojärjestelmän julkisten tietojen luovuttaminen tietopyynnön tehneelle on tarkoitus järjestää siten, että vastaanotettuaan tietopyynnön vahvalla tunnistautumisella kirjautuneelta käyttäjältä Suomen ympäristökeskus tarkistaa tietopyynnön kohteena olevan tiedon salassapitoperusteen, turvakieltotilanteen, tietopyynnön tehneen oikeuden pyydettyyn tietoon sekä tietokohtaisen luokittelutilanteen. Järjestelmän tiedot luokitellaan julkisiin tietoihin, arvokkaisiin tietoaineistoihin, henkilötietoihin, salassa pidettäviin tietoihin ja turvallisuusluokiteltuihin tietoihin. Luokittelun perusteella luovutettuihin tietoihin voidaan tehdä tarvittavia suojaustoimenpiteitä. Esimerkiksi turvakiellon kohteena olevien tietojen käsittelyn yhteydessä on tarkistusmenettely, jolla estetään kyseisen tiedon luovuttaminen muulle kuin viranomaiselle, jonka oikeus näiden tietojen käsittelyyn perustuu laissa tai sen nojalla säädetyn tehtävän tai määrätyn kiellon kohteena olevan henkilön oikeutta tai velvollisuutta koskevan tehtävän, toimenpiteen tai toimeksiannon hoitamiseen. Ennen tiedonluovutusta tietopyynnön tehnyt hyväksyy tiedon käyttöoikeussopimuksen, jossa asetetaan ehdot pyydettyjen tietojen käytölle. Käyttöoikeussopimuksen rikkominen voi johtaa vahingonkorvausvastuuseen käyttöoikeussopimuksen perusteella.
Valiokunnan käsityksen mukaan on tärkeää huolehtia siitä, että salassa pidettävän tai turvakiellon alaisen aineiston suojaaminen ja aineistoa käsittelevien henkilöiden osaaminen ja oikeus käsitellä aineistoa varmistetaan kaikissa tilanteissa. Perustuslakivaliokunnan lausunnon johdosta valiokunta pitää asianmukaisena täydentää lakiehdotuksen 2 §:n sääntelyä sen osalta, ettei tietojärjestelmässä lainkaan käsitellä arkaluonteisia henkilötietoja. Valiokunta palaa tätä koskeviin ehdotuksiin jäljempänä. Saamansa selvityksen perusteella valiokunta pitää julkisuuslain asiakirjojen salassapitoa koskevan sääntelyn sovellettavuutta varsin kattavana sekä edellä kuvattuja tietojen suojaamisen menetelmiä hyväksyttävinä. Samalla valiokunta korostaa puolustusvaliokunnan (PuVL 9/2022 vp) ja perustuslakivaliokunnan tavoin turvallisuuden kannalta kriittisiä toimintoja koskevien tietojen suojaamisen tärkeyttä. Tämä on syytä varmistaa erityisesti eri tietojärjestelmien sisältämän tiedon kasautumisen näkökulmasta ja etenkin lakiehdotuksen 11 §:n mukaista julkista tietopalvelua toteutettaessa. Valiokunta katsoo, että valtioneuvoston tulee tarkastella rakennuskohteita koskevan tiedon saatavuutta, kasautumista ja mahdollisia salassapitotarpeita huolellisesti osana turvallisuuden kannalta kriittistä infrastruktuuria koskevan tiedon suojaamista (Valiokunnan lausumaehdotus 2). Samalla on tiedostettava, että tämä edellyttää useiden eri viranomais- ja muiden lähteiden kokonaistarkastelua, eikä rakennetun ympäristön tietojärjestelmä yksin tarjoa ratkaisua rakennustiedon suojaamiseen. Myös julkisuuslain kokonaisuudistuksen tai henkilötietojen suojaa koskevien säännösten tarkastelun yhteydessä tulee kriittisesti arvioida rakennustiedon julkisuutta sen kannalta, että tietoa voidaan käyttää rikollisiin tai muuten kyseenalaisiin tarkoituksiin. (Valiokunnan lausumaehdotus 3)
Turvallisuuden kannalta kriittistä infrastruktuuria koskevan tiedon suojaaminen
Puolustusvaliokunta toteaa lausunnossaan, ettei esitys ehdotetussa muodossa varmista kansallisen turvallisuuden huomioimista riittävällä tavalla. Tämä on yhteistä useille säädöshankkeille, joilla pyritään edistämään yhteiskunnan digitalisaatiota. Lisäksi turvallisuustilanne on muuttunut, mitä ei voitu huomioida hallitusohjelman linjauksia tehtäessä. Ukrainan sota ja sen seurannaisvaikutukset sekä turvallisuusympäristön muutoksen pitkäkestoisuus johtavat puolustusvaliokunnan näkemyksen mukaan tarpeeseen tarkastella kaikkia kansalliseen turvallisuuteen suoranaisesti tai epäsuorasti liittyviä lakihankkeita uudessa valossa. Puolustusvaliokunta pitää tarpeellisena, että lakihankkeita, joihin voi arvioida sisältyvän vaikutuksia kansalliseen turvallisuuteen, tarkastellaan säännönmukaisesti myös Turvallisuuskomiteassa tai muussa tarkoitukseen sopivassa poikkihallinnollisessa ohjaus- tai koordinaatioryhmässä. Turvallisuuskomitea on kokonaisturvallisuuteen liittyvä ennakoivan varautumisen pysyvä ja laajapohjainen yhteistoimintaelin, joten sen käyttö tällaiseen arviointiin on luontevaa. Valiokunta yhtyy puolustusvaliokunnan tilannearvioon ja ehdotuksiin.
Puolustusvaliokunta on katsonut, että ennen rakennetun ympäristön tietojärjestelmän käyttöönottoa digitaalisen kiinteistötiedon turvallisuuden ulottuvuuksia tulee edelleen tarkentaa tunnistamalla ja määrittämällä yhteiskunnan elintärkeiden toimintojen kannalta kriittinen infrastruktuuri. Tässä työssä tulee huomioida myös niin sanotun CER-direktiivin EU 2022/2557 (Critical Entities Resilience) vaatimukset sekä direktiivin täytäntöönpanon yhteydessä tehtävä kriittisen infrastruktuurin määrittelytyö. Direktiivi tuli voimaan tammikuussa 2023. Puolustusvaliokunta toteaa, että paikkatiedon kansallisen turvallisuuden riskiarvion laatiminen on perusteltua toteuttaa ennen esityksessä ehdotetun lain voimaantuloa. Tässä yhteydessä tulee huomioida myös yhtymäkohdat CER-direktiiviin. Tehtävän riskiarvion tulisi kattaa koko toimitusketju: valtionhallinto, kuntasektori sekä yritykset.
Valiokunnan saaman selvityksen mukaan tarkoituksena on tarkentaa rakennetun ympäristön ja paikkatiedon turvallisuuden ulottuvuuksia eri hallinnonalojen yhteistyönä ja osana kriittisen infrastruktuurin kansallista määrittelytyötä. CER -direktiivi tulee luomaan lähtökohdat kansallisesti kriittisen infrastruktuurin tunnistamiseen. Tietojärjestelmän suunnittelussa on tehty järjestelmän tietojen luokittelu perustuen erilaisiin uhkamalleihin ja tunnistettu mahdollisina hallintatoimenpiteinä avoimena tietona julkistettavan tiedon yleistäminen ja karkeistaminen. Selvityksen perusteella avoimen tiedon julkaisemisen kautta ei ole syntymässä merkittävää uutta kasaumavaikutusta rakennetun ympäristön tietoon edellyttäen, että suunnitellut hallintatoimenpiteet toteutetaan. Valtakunnallinen järjestelmä mahdollistaa varautumisen nopeasti muuttuvissa tilanteissa verrattuna hajanaiseen nykytilanteeseen. Valiokunta pitää välttämättömänä, että ympäristöministeriö toteuttaa edellä mainitun riskinarvioinnin rakennetun ympäristön tietojärjestelmän osalta ja osallistuu omalta osaltaan kriittisen infrastruktuurin määrittelytyöhön. Lisäksi on tärkeää, että CER-direktiivin täytäntööpano huomioidaan täysimääräisesti niin järjestelmän kuin lainsäädännön jatkokehittämisessä ja tähän liittyvät rakennetun ympäristön tietojen mahdolliset salassa pitoa koskevat sääntelytarpeet huomioidaan direktiivin kansallista toimeenpanoa valmistelevassa lainsäädäntöhankkeessa.
Puolustusvaliokunta on lausunnossaan todennut, että Puolustusvoimat soveltaa periaatetta, jonka mukaan käsiteltäessä julkista tai turvaluokittelematonta kokonaisuutta massana siitä muodostuu vähintään turvallisuusluokkaan TL IV kuuluva kokonaisuus. Valiokunnan saamissa lausunnoissa on myös todettu, että tietojärjestelmään tulisi koota ainoastaan kokonaisuutena julkista tietoa. Jos kuitenkin järjestelmään sisällytetään tiedon kasaantumisvaikutus huomioon ottaen Puolustusvoimiin liittyvää salassa pidettävää tai turvaluokiteltua tietoa eli muutakin kuin julkista tietoa, rakennutun ympäristön tietojärjestelmän tulee olla kokonaisuutena virallisesti auditoitu vähintään TL IV-tasolle. Tämän tehtävän suorittavat Pääesikunta määrättynä turvallisuusviranomaisena (DSA) ja Liikenne- ja viestintävirasto Traficom määrättynä tietoliikenneturvallisuusviranomaisena (NCSA). Vastaava vaatimus on syytä ulottaa muidenkin turvallisuusviranomaisten ja yhteiskunnan kriittisen infrastruktuurin paikkatietoon. Lisäksi edellä sanottu tulee ottaa huomioon myös järjestelmää käyttävien henkilöiden osaamisvaatimuksissa, käyttöoikeuksissa ja niiden hallinnassa sekä lokitietojen keräämisessä ja käsittelyssä. Lisäksi on tarkastettava niiden yritysten sekä valtion ja kuntien virastojen tilat, joissa järjestelmää on tarkoitus käyttää, sekä turvaselvitettävä kaikki TL IV -tietoon pääsevät henkilöt. Näin ei ole valiokunnan saaman selvityksen mukaan tarkoitus menetellä, eivätkä Puolustusvoimien salassa pidettävän tiedon tai turvaluokitellun tiedon käsittelyä koskevat edellytykset täyty.
Rakennetun ympäristön tietojärjestelmästä on kuitenkin tarkoitus toteuttaa viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain mukainen tietoturvallisuuden auditointi. Tämä ei kuitenkaan yllä Puolustusvoimien edellyttämän suojan tasolle. Valiokunnan saaman selvityksen mukaan tarkoituksena on hallita kasaumavaikutuksia tieto- ja tapauskohtaisesti sekä huolehtia poikkihallinnollisesti, yhteistyössä muiden viranomaisten kanssa tietojen suojaamisesta. Kaavatietojen osalta tietomallimuotoinen ja asetuksella ohjattu kaavoitus mahdollistaa kriittisen infrastruktuurin kohteiden rajaamisen pois. Samoin kriittisen infrastruktuurin määrittelyn muuttuessa voidaan tietojen saatavuutta järjestelmässä rajoittaa nopeasti. Tätä ei ole pidetty riittävänä, sillä valiokunnan saamissa lausunnoissa on ehdotettu lakiehdotuksen soveltamisalaan muutoksia, jotka tiiviimmin ja Puolustusvoimien harkinnasta riippuen sulkevat sen käytössä olevat alueet ja rakennukset rakennetun ympäristön tietojärjestelmää koskevan lain soveltamisalan ulkopuolelle. Valiokunnan saaman selvityksen mukaan tällaisen poikkeuksen piiriin kuuluvat myös yksityiset yritykset ja niiden hallinnoimat alueet ja rakennukset, jotka ovat Puolustusvoimien strategisia kumppaneita.Valiokunta pitää näitä muutosehdotuksia tarpeellisina ja palaa niihin jäljempänä.
Valiokunnan saamissa lausunnoissa on lisäksi kiinnitetty huomiota keskeiseen digitalisaation tuomaan kehityskulkuun. Tietojärjestelmistä ja niiden teknisistä rajapinnoista vastaavat entistä laajemmin kaupalliset toimijat. Yrityksillä on lisäksi keskeinen ja yhä kasvava rooli myös rakennetun ympäristön tiedon tuottajina. Tämän myötä kasvaa myös viranomaisten riippuvuus yksityisen sektorin toimijoista ja niiden toimitusketjuista. Tämä lisää entisestään yhteiskunnan elintärkeiden toimintojen haavoittuvuutta kyberuhkien ja -hyökkäysten kohteena. Paikkatietojen hallinnan muutos asettaa yritysten turvallisuudelle, jatkuvuuden hallinnalle ja häiriötilanteisiin varautumiselle sellaisia uusia yhteiskunnallisia huoltovarmuudellisia vaatimuksia, joiden valvontaa, ylläpitoa, koulutusta ja yhteistoiminnan harjoittelua eri tilanteissa tulee tarkastella nykyistä tarkemmin. Kaupallisiin toimijoihin liittyy myös omistajanvaihdosten riski. Uuden omistajan arvot ja turvallisuuskulttuuri tai liiketoimintamalli saattavat poiketa alkuperäisestä tarkoituksesta ja vaarantaa yhteiskunnan elintärkeät toiminnot. Riskien realisoituessa tietovuotojen havaitseminen, laajuuden arviointi sekä jäljittäminen on vaikeaa. Tähän liittyvät vastuukysymykset ovat vaikeita. Valiokunnan mielestä kyseessä on koko yhteiskunnan digitalisaation näkökulmasta tärkeä havainto. Valiokunta kiinnittää ympäristöministeriön ja lakiehdotuksessa tarkoitettujen yhteisrekisterinpitäjien huomiota tarpeeseen huolehtia yhteiskunnan elintärkeiden toimintojen kannalta kriittisen tiedon suojaamisesta tietojen käsittelyn kaikissa vaiheissa toimijoiden roolista riippumatta.
Toinen keskeinen näkökulma liittyy yhteiskunnan elintärkeitä toimintoja koskevan tiedon suojaamiseen, kun kyseessä on esimerkiksi huoltovarmuuden kannalta tärkeää yksityistä yritystä koskevat tiedot. Valiokunnan saaman selvityksen mukaan yksityiset yritykset voivat nykyisin rakennuslupahakemuksen yhteydessä tai toimittaessaan yksittäisen asiakirjan esittää tarpeen ja perusteen salassapidolle. Tässäkin tapauksessa kunta ratkaisee salassapidon. Salassa pidettävien asioiden tai asiakirjojen osalta tiedot käsitellään rakennetun ympäristön tietojärjestelmässä edellä kuvatulla tavalla. Muiden yritysten tietojen osalta suojaustoimien onnistunut kohdentaminen tietoihin edellyttää kansallisen kriittisen infrastruktuurin määrityksen tekemistä. Kriittisen infrastruktuurin muodostavat toimialat sisältävät laajasti rakennetun ympäristön kohteita. Meneillään olevassa CER-direktiivin toimeenpanoa valmistelevassa lainsäädäntöhankkeessa voidaan päätyä säätämään myös tällaisten kohdetietojen salassapidosta. Valiokunnan saamassa selvityksessä todetaan, että myös yksityisten yritysten tietojen suojaamisen kannalta tiedonhallinnan ja tietojen luovutuksen toteuttaminen rakennetun ympäristön tietojärjestelmässä on nopeampi ja varmempi toteuttaa, jos tiedon luovutusta tai käyttäjiä joudutaan rajoittamaan turvallisuustilanteen muuttuessa. Valiokunta pitää tätä selvitystä riittävänä.