1.1
Laki julkisen hallinnon tiedonhallinnasta
1 luku Yleiset säännökset
1 §. Lain tarkoitus. Lain 1 § sisältäisi lain tarkoituksen kuvauksen, jolla lain sisältö sidotaan osaksi perusoikeuksien toteuttamista laintasolla. Lakiehdotuksen 1 pykälän mukaan lain tarkoituksena olisi varmistaa viranomaisen tietoaineistojen yhdenmukainen ja laadukas hallinta sekä tietoturvallinen käsittely, mahdollistaa viranomaisen tietoaineistojen turvallinen ja tehokas hyödyntäminen, jotta viranomainen voi hoitaa tehtävänsä ja tarjota palvelunsa hallinnon asiakkaille hyvää hallintoa noudattaen tuloksellisesti ja laadukkaasti, sekä edistää tietojärjestelmien ja tietovarantojen yhteentoimivuutta. Viranomaisten toiminta on pääosin tietointensiivistä. Tästä syystä viranomaisten tehtävien hoitaminen ja palvelujen tuottaminen ovat sidoksissa käytettävissä oleviin tietoihin. Viranomaisella on oltava käytössään ajantasaisia tietoja, joiden perusteella voidaan määrittää hallinnon asiakkaiden etuja, oikeuksia ja velvollisuuksia. Jotta viranomainen voi hoitaa tehtäviään tehokkaasti, tulee näiden tarvittavien, ajantasaisten tietojen olla saatavilla. Viranomaisten toiminnan verkottuminen, yhteisten tietojärjestelmien käyttö ja yhteisten palvelujen tuottaminen lisäävät tarvetta yhdenmukaistaa viranomaisten tiedonhallinnan menettelyitä. Tietojen saatavuus sähköisessä muodossa edellyttää, että tietojärjestelmät ja tietovarannot ovat yhteentoimivia, jotta tiedon liikkuminen viranomaisten tietojärjestelmien välillä on mahdollista silloin, kun viranomaisella on oikeus saada toiselta viranomaiselta tietoja.
Pykälän 1 momentin1 kohdassa säädettäisiin lain tarkoituksesta siten, että lailla varmistetaan viranomaisten tietoaineistojen yhdenmukainen ja laadukas hallinta. Nykytilassa tiedonhallintaa on toteutettu eri säädösten perusteella erilaisilla tavoilla, jotka ovat lisänneet muun muassa tiedonsaantiin liittyviä ongelmia sekä viranomaisten tietovarantojen ja tietojärjestelmien yhteentoimivuusongelmia. Lailla yhdenmukaistettaisiin eri viranomaisten tiedonhallinnan menettelyjä sekä säädettäisiin tietojärjestelmien yhteentoimivuuden toteuttamisesta aiempaan sääntelyyn nähden velvoittavammin, jolla varmistettaisiin tietojärjestelmien ja tietovarantojen yhteentoimivuus viranomaisten toiminnassa. Momentin 1 kohdassa tietoaineistojen laadukkaalla hallinnalla tarkoitettaisiin siitä huolehtimista, että viranomaisen käyttämien tietoaineistojen ajantasaisuus, virheettömyys ja käyttökelpoisuus käyttötarkoitukseensa on varmistettu. Lain tarkoituksena olisi myös varmistaa tietoturvallisuuden toteuttamista viranomaistoiminnassa. Laissa olisi säännökset niistä hallinnollisista, toiminnallisista ja teknisistä vaatimuksista, jotka viranomaisen tulisi toteuttaa tietoturvallisuuden minimitason varmistamiseksi asiakirjoja ja tietoaineistoja käsiteltäessä. Lain tavoitteena on näillä toimenpiteillä tehostaa viranomaisten tiedonhallintaan liittyviä menettelyitä ja vähentää moninkertaisen tiedonhallinnan tarvetta ja tiedonhallinnan sääntelyä. Laki myös lisäisi viranomaisten välistä vastuullisuutta tiedonhallinnan menettelyjen toteuttamiseksi yhdenmukaisella ja tietoturvallisella tavalla, jolloin viranomaisten ei tarvitsisi erikseen asettaa toisilleen erilaisia tietoturvallisuusvaatimuksia, kuten nykytilassa. Tiedonhallinnan perimmäisenä tarkoituksena on julkisuusperiaatteen edistäminen siten, että viranomaisten julkiset asiakirjat olisivat helposti saatavilla. Perustuslain 12 §:n 2 momentin mukaan jokaisella on oikeus saada tieto julkisesta asiakirjasta ja tallenteesta. Viranomaisten toiminnan julkisuudesta annetun lain 9 §:n 1 momentin mukaan jokaisella on oikeus saada tieto viranomaisen asiakirjasta, joka on julkinen. Julkisuuslaissa tarkoitettu tiedonsaantioikeus koskee niin luonnollista henkilöä, oikeushenkilöä kuin viranomaistakin. Tiedonsaantioikeuden toteuttaminen on tapahduttava viranomaisten toiminnan julkisuudesta annetun lain 14 §:n 4 momentin mukaan viivytyksettä, mitä on tehostettu ehdottomilla asiakirjan antamista koskevilla määräajoilla. Laadukas ja tehokas tiedonhallinta edistää tietopyyntöjen käsittelyn viivytyksettömyyttä. Tehokkaaseen tiedonhallintaan ohjaava sääntely edistää siten julkisuusperiaatteen toteuttamista. Eduskunnan tarkastusvaliokunta on edellyttänyt viranomaisten välisen tietojenvaihdon kehittämistä (TrVL 5/2015 vp). Ehdotettava laki tehostaa viranomaisten sähköistä tiedonvaihtoa teknisten rajapintojen ja katseluyhteyksien avulla, mutta laissa ei säädettäisi muuten viranomaisten välisistä tiedonsaantioikeuksista tai päätöksentekomenettelyistä, vaan niistä säädettäisiin julkisuuslainsäädännössä.
Hallintolaissa säädettyihin hyvän hallinnon perusteisiin kuuluu hallinnon tehokkuus ja tuloksellisuus. Viranomaisten tehtävien hoitamisen ja palvelujen tuottamisen yhteydessä toteutettava tehokas tiedonhallinta lisää viranomaisen toiminnan tuloksellisuutta. Tiedonhallinnan siirtyessä paperiasiakirjojen käsittelystä ja hallinnasta sähköiseen toimintaympäristöön myös tiedonhallintaan ja tiedonsaantitapaan liittyvät menettelyt edellyttävät kehittämistä, jotta hallinnon asiakas saa asiansa hoidettua viranomaisessa tehokkaasti ja viranomainen voi käsitellä asiat tuloksellisesti.
Pykälän 1 momentin 2 kohdan mukaan ehdotettava tiedonhallintaa koskeva laki edistäisi hyvän hallinnon toteuttamista viranomaisten tehtävien hoidossa ja palveluja tuotettaessa, kun tiedonhallinnan menettelyitä tehostetaan. Laissa säädettäisiin muun muassa viranomaisen velvollisuudesta suunnitella palvelujen tuottamiseen liittyvät toimintaprosessinsa siten, että tarpeetonta tiedonkeruuta hallinnon asiakkaalta vähennetään, jos tiedot ovat viranomaisen saatavilla muutenkin olemassa olevien tiedonsaantioikeuksien puitteissa teknisten rajapintojen ja katseluyhteyksien avulla. Tiedonhallintaan kuuluu asian- ja palvelunhallinnan järjestäminen. Asian- ja palvelunhallinnan menettelyillä voidaan ohjata viranomaisten tehtävien hoitamista sekä seurata viranomaisen asiankäsittely- ja palveluaikoja. Sääntely edistää tältäkin osin hyvän hallinnon toteuttamista viranomaisten toiminnassa. Lain keskeisenä tavoitteena on tiedonhallinnan tehostamisella ja laadun parantamisella edistää viranomaisten hallinnon asiakkailleen tuottamien palvelujen laatua ja tehokkuutta.
Pykälän 1 momentin 3 kohdan mukaan lain kolmantena keskeisenä tavoitteena on edistää tietojärjestelmien ja tietovarantojen yhteentoimivuutta. Eduskunta on edellyttänyt toimenpiteitä, joilla taataan julkisen hallinnon tietojärjestelmien yhteentoimivuus, yhteiset sovelluspalvelut ja avoimet rajapinnat tietojärjestelmien väliseen saumattomaan tietojen vaihtoon (EK 21/2008 vp). Lisäksi eduskunta on edellyttänyt hallituksen valmistelevan valtion tietohallinnon vaikuttavuuden lisäämiseksi tarpeellisen lainsäädännön, jossa määritellään valtiovarainministeriön ohjaustoimivalta ja muut tarpeelliset asiat (EK 11/2008 vp). Vuonna 2011 voimaan tulleella julkisen hallinnon tietohallinnon ohjauksesta annetulla lailla säädetään valtiovarainministeriön ohjaustoimivallasta ja tietojärjestelmien yhteentoimivuudesta. Eduskunnan tarkastusvaliokunta on kuitenkin kiinnittänyt huomiota julkisen hallinnon tietohallinnon ohjauksesta annetun lain hitaaseen täytäntöönpanoon ja muihin siihen liittyviin ongelmiin (TrVM 2/2012 vp, TrVL 7/2013 vp). Eduskunta onkin edellyttänyt, että hallitus ryhtyy toimenpiteisiin ja käyttää pikaisesti tietohallintolain mahdollisuutta asetuksin säätää muun muassa avoimista rajapinnoista. Eduskunnan kirjelmän mukaan samanaikaisesti, kun päätetään sosiaali- ja terveydenhuollon palvelurakenteista ja järjestämisvastuusta, tulee linjata tietohallintorakenteen vaatimat toimivalta- ja vastuusuhteet tavalla, joka ei jätä epäselvyyttä siitä, millä toimijalla on viimekätinen vastuu asiassa (EK 10/2012 vp).
Ehdotettavan lain tavoitteena on edistää tietojärjestelmien ja tietovarantojen yhteentoimivuutta siten, että tietohallintolaissa olevat tehokkaan täytäntöönpanon estävät säännökset uudistetaan uuteen lakiin ja kumotaan tietohallintolaista. Lisäksi yhteentoimivuudesta sekä eduskunnan edellyttämästä valtiovarainministeriön ohjaustoimivallasta säädettäisiin uudessa tiedonhallintalaissa. Ehdotuksessa säädetään sitovammin muun muassa rajapintojen käytöstä, jolla pyritään tehostamaan viranomaisten tietojärjestelmien ja tietovarantojen käyttöä viranomaisissa sekä vähentämään viranomaisten rinnakkaista tiedonkeruuta. Laissa uudistettaisiin tietojärjestelmien yhteentoimivuuden ohjaukseen liittyvä sääntely siten, että sillä edistetään yhteentoimivuudelle asetettuja tavoitteita tehokkaammin kuin tietohallintolaissa. Laissa säädettäisiin yksityiskohtaisemmin, mitä tietoja tiedonhallinnasta on kuvattava tiedonhallintayksiköissä ja miten muutoksia on arvioitava yhteentoimivuuden toteuttamiseksi. Laissa olisi myös säännökset valtiovarainministeriön toimivallasta antaa tiedonhallintaan liittyvien uudistusten yhteydessä ohjausta valtion virastoille ja laitoksille. Ohjauksen mekanismia tehostetaan tiedonhallintaan liittyvien linjausten laadinnalla, niiden mukaisella valtion viraston tai laitoksen arvioinnilla tiedonhallintaan vaikuttavista muutoksista sekä valtiovarainministeriön antamalla lausunnolla valtion virastolle tai laitokselle muutosten arvioinnista ja muusta lausuntopyynnössä esitetystä selvityksestä. Laissa ehdotetaan säädettäväksi valtiovarainministeriölle tiedonsaantioikeus lausuntoasian käsittelyä varten. Tietojärjestelmien ja tietovarantojen yhteentoimivuutta edistettäisiin säätämällä vastuut rajapintojen suunnittelun ja ylläpidon vastuista sekä velvollisuudeksi käyttää rajapintoja viranomaisten välisessä säännöllisessä tietojenvaihdossa. Laissa ehdotetaan säädettäväksi julkisen hallinnon yleisestä tiedonhallintakartasta, jonka ylläpidosta valtiovarainministeriö vastaisi. Ministeriöiden tehtävänä olisi sisällöllisesti ylläpitää tiedonhallintakarttaa, jotta valtiovarainministeriön sekä ministeriöiden tiedonhallinnan toimialakohtainen ohjaus voidaan hoitaa koordinoidusti ja jotta julkisen hallinnon tiedonhallinnan toteuttamisesta muodostuu kokonaiskuva muun muassa lainsäädännön uudistamisen ja siihen liittyvien muutosvaikutusten arvioimiseksi.
Pykälän 2 momentin mukaan tällä lailla pannaan täytäntöön eräiltä osin Euroopan parlamentin ja neuvoston direktiivi 2013/37/EU julkisen sektorin hallussa olevien tietojen uudelleenkäytöstä annetun direktiivin 2003/98/EY muuttamisesta. Niin kutsuttu PSI-direktiivi on ollut voimassa jo pitkään ja sen asettamia vaatimuksia kansalliselle lainsäädännölle on toteutettu pääosiltaan viranomaisten toiminnan julkisuudesta annetulla lailla. PSI-direktiivin 5 artiklan vaatimuksia ei Suomessa ole kuitenkaan selkeästi pantu täytäntöön tietoaineistojen saatavuuden osalta. Direktiivin täytäntöönpanoon selkeyttämiseksi lakiin ehdotetaan säännös, jolla täytettäisiin asiakirjojen saatavilla oloa koskeva PSI-direktiivin 5 artiklassa säädetty vaatimus.
2 §.Määritelmät. Pykälä sisältäisi olennaisimmat laissa käytetyt käsitteet ja niiden määritelmät. Pykälän 1 kohdan mukaan viranomaisella tarkoitettaisiin viranomaisten toiminnan julkisuudesta annetun lain 4 §:n 1 momentissa tarkoitettuja viranomaisia. Julkisuuslain 4 §:n 1 momentin mukaan viranomaisilla tarkoitetaan
1) valtion hallintoviranomaisia sekä muita valtion virastoja ja laitoksia;
2) tuomioistuimia ja muita lainkäyttöelimiä;
3) valtion liikelaitoksia;
4) kunnallisia viranomaisia;
5) Suomen Pankkia mukaan lukien Rahoitustarkastus (nykyinen Finanssivalvonta), Kansaneläkelaitosta sekä muita itsenäisiä julkisoikeudellisia laitoksia; Eläketurvakeskuksen ja Maatalousyrittäjien eläkelaitoksen asiakirjoihin lakia kuitenkin sovelletaan 2 momentissa säädetyllä tavalla;
6) eduskunnan virastoja ja laitoksia;
7) Ahvenanmaan maakunnan viranomaisia niiden huolehtiessa valtakunnan viranomaisille kuuluvista tehtävistä maakunnassa;
8) lain tai asetuksen taikka 1, 2 tai 7 kohdassa tarkoitetun viranomaisen päätöksen perusteella tiettyä tehtävää itsenäisesti hoitamaan asetettuja lautakuntia, neuvottelukuntia, komiteoita, toimikuntia, työryhmiä, toimitusmiehiä ja kunnan ja kuntayhtymän tilintarkastajia sekä muita niihin verrattavia toimielimiä.
Julkisuuslain 4 §:n 2 momentin mukaan mitä viranomaisesta säädetään, koskee myös lain tai asetuksen taikka lain tai asetuksen nojalla annetun säännöksen tai määräyksen perusteella julkista tehtävää hoitavia yhteisöjä, laitoksia, säätiöitä ja yksityisiä henkilöitä niiden käyttäessä julkista valtaa. Julkisuuslain samassa momentissa todetaan, että evankelis-luterilaisen kirkon asiakirjojen julkisuudesta säädetään erikseen.
Ehdotettavan tiedonhallintalain sääntely olisi sidoksissa hallinnon yleislakeihin, erityisesti julkisuuslakiin, joten tiedonhallintalain ja julkisuuslain organisatorista soveltamisalaa koskevat viranomaisen määritelmät olisivat toisiaan vastaavia, mutta ehdotettavan lain soveltamisalan rajauksessa olisi säädetty tietyistä rajauksista, jotka koskevat lain 3 luvun soveltamista sekä eräiltä osin myös muita pykäliä. Tiedonhallintalaki koskisi eräiltä osin myös luonnollisia henkilöitä ja oikeushenkilöitä, jotka toimivat viranomaisen toimeksiannosta tai viranomaisen lukuun sekä niissä tilanteissa, joissa julkisuuslain soveltamisesta on säädetty erikseen muualla lainsäädännössä.
Ehdotettavassa laissa osa velvollisuuksista kohdistuisi viranomaisiin, jotka olisivat toimivaltaisia käsittelemään tietoaineistoja ja päättämään niiden käytöstä siten kuin julkisuuslaissa tai erityislainsäädännössä on säädetty. Julkisuussääntely lähtee viranomaisten erillisyysperiaatteesta, jonka vuoksi tiedonhallinnallisesti osa valtion virastoista koostuu useista viranomaisista tai kunnat koostuvat kunnallisista toimielimiin jakautuneista viranomaisista. Laissa olisi erikseen säädetty tiedonhallinnan järjestämisvelvollisuus organisaatiotasoisena velvollisuutena, jolloin tiedonhallinnan järjestämiseen liittyvät velvollisuudet koskisivat muun muassa valtion virastoa, kuntaa tai kuntayhtymää. Poikkeuksena julkisuuslaissa säädettyyn viranomaisen määritelmään ja tästä johtuvaan organisatoriseen soveltamisalaan, ehdotettavaa tiedonhallintalakia ei sovellettaisi Ahvenanmaalla toimiviin viranomaisiin. Soveltamisalan rajaamisesta olisi säädetty tältä osin 3 §:n 5 momentissa ja se vastaisi tietohallintolaissa tehtyä soveltamisalan rajausta Ahvenanmaan viranomaisiin. Tuomioistuimiin, eduskunnan virastoihin ja itsenäisiin julkisoikeudellisiin laitoksiin lakia sovellettaisiin osittain.
Pykälän 2 kohdan mukaan tietojärjestelmällä tarkoitetaan tietojenkäsittelylaitteista, ohjelmistoista ja muusta tietojenkäsittelystä koostuvaa kokonaisjärjestelyä. Tarkoituksena on, että tietojärjestelmän käsite on kattava. Tietojärjestelmän määritelmä vastaisi viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain (1406/2011) 2 §:n 1 kohdan määritelmää tietojärjestelmästä. Tietojärjestelmän käsitteeseen sisältyisivät siten erilaiset päätelaitteet, joilla käsiteltäisiin erilaisia ohjelmistoja. Ohjelmistoilla puolestaan käsiteltäisiin tietoaineistoja, joista voidaan muodostaa tai hakea eri hakuperusteilla asiakirjoja. Tietojärjestelmän käsite liittyy keskeisesti yhteentoimivuuden toteuttamiseen. Tietojärjestelmien yhteentoimivuudella tarkoitetaan niiden kykyä käyttää samoja tietoja tai toimia yhteen toisen tai toisten tietojärjestelmien kanssa rajapinnan kautta tai muulla tavalla siten että tietojen merkitys ja hyödynnettävyys säilyvät.
Pykälän 3 kohdassa viitattaisiin julkisuuslakiin viranomaisen asiakirjan käsitteen osalta. Viranomaisen asiakirjojen käsittelystä, salassapidosta ja tiedonsaannista on säädetty yleislaintasolla julkisuuslaissa. Määritelmällä sidotaan osittain tiedonhallinnan kohde julkisuuslain tieto-objektina olevaan sääntelykohteeseen – viranomaisen asiakirjaan. Muualla lainsäädännössä on säädetty erilaisista asiakirjan käsitteistä. Esimerkiksi oikeudenkäynnin julkisuudesta hallintotuomioistuimissa annetussa laissa (381/2007) sekä oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa annetussa laissa (370/2007) on säädetty oikeudenkäyntiasiakirjojen määritelmistä sekä verotustietojen julkisuudesta ja salassapidosta annetussa laissa (1346/1999) on säädetty verotusasiakirjoista. Nämä asiakirjat ovat kuitenkin viranomaisen hallussa olevia asiakirjoja, joten ne sisältyvät julkisuuslaissa säädettyyn viranomaisen asiakirjan käsitteeseen. Siten nämä erityislainsäädännössä säädetyt asiakirjatkin sisältyvät tässä laissa säädettyyn asiakirjan käsitteeseen ottaen huomioon lakiin esitetyt rajoitteet soveltamisalasta siten, että ehdotettavan lain kaikkia säännöksiä ei sovellettaisi lainkäyttöön. Näin lain kaikki säännökset eivät tulisi sovellettaviksi oikeudenkäyntiasiakirjojen tiedonhallintaan. Niin ikään sosiaalihuollon asiakasasiakirjat rinnastuvat viranomaisen asiakirjoihin ja potilasasiakirjat ovat myös viranomaisen asiakirjoja, kun niitä käsittelee julkisuuslaissa tarkoitettu viranomainen tai muu julkisuuslain organisatoriseen soveltamisalaan kuuluva toimija.
Tarkoituksena on, että ehdotettavan tiedonhallintalain asiakirjan käsite on kattava ja sillä tarkoitetaan tiedonhallintayksiköissä toimivien viranomaisten tehtävien hoitamisen yhteydessä syntyviä asiakirjoja siten kuin julkisuuslaissa on säädetty viranomaisen asiakirjasta, riippumatta siitä, mitä erityislainsäädännössä on käsitteellisesti asiakirjoista ja niiden käsittelystä säädetty. Ehdottavan lain asiakirjan käsite saa merkityssisältönsä julkisuuslain viranomaisen asiakirjan käsitteen kautta. Siten ehdotettavan lain soveltaminen kohdistuu julkisuuslaissa tarkoitettuihin viranomaisen asiakirjoihin ja asiakirjan käsite määrittelee osittain lain asiallista soveltamisalaa. Laissa käytettäisiin asiakirjan ohella tiedon käsitettä, jolla tässä yhteydessä tarkoitetaan asiakirjaan rinnastettavia tietoja, joista voidaan muodostaa erilaisilla ennalta määritellyillä hakuperusteilla asiakirjoja. Tiedonhallinnassa hallinnoidaan paitsi asiakirjoja, myös yksittäisiä tietoja, joista voidaan muodostaa viranomaisen tehtävien hoitamista varten erilaisilla hakuperusteilla asiakirjoja. Hakuperusteet voivat perustua myös tietopalvelujen tuottamiseen. Asiakirjaa vastaavilla muilla tiedoilla tarkoitetaan niitä tietoja, joista voidaan muodostaa asiakirjoja. Tiedon käsitettä ei kuitenkaan ehdoteta määriteltäväksi lakiin, koska tiedon antamisesta viranomaisen asiakirjasta tai muuten tiedon antamisesta tai tiedon saannista on säädetty muualla ilman, että sitä on sidottu pelkästään asiakirjan käsitteeseen tai, että tietoa tiedon saannin tai antamisen kohteena olisi erikseen määritelty. Tieto saa merkityssisältönsä konkreettisena käsittelykohteena olevan asiakirjan käsitteen kautta.
Pykälän 4 kohdassa säädettäisiin tietoaineiston käsitteestä, jolla tarkoitettaisiin asiakirjoista ja muista vastaavista tiedoista muodostuvaa tiettyyn viranomaisen tehtävään tai palveluun liittyvää tietokokonaisuutta. Määritelmässä mainituilla muilla vastaavilla tiedoilla tarkoitettaisiin asiakirjallisia tietoja, jotka viranomainen on tehtäviensä hoitamisen yhteydessä tallentanut tietojärjestelmään tietoyksiköiksi, joista voidaan tarvittaessa muodostaa eri hakuperusteilla asiakirjoja. Viranomaiset ovat siirtyneet monin osin käsittelemään rakenteisia asiakirjoja, jotka muodostetaan asiankäsittelyssä tai palvelujen tuottamisessa kunkin käsittelyvaiheen tai palveluvaiheen aikana tietojärjestelmissä olevien hakuperusteiden avulla. Sinällään julkisuuslaissa tarkoitettu asiakirjan käsite pitää sisällään myös rakenteiset tietojärjestelmiin tallennetut tietoyksiköiden joukot. Tietojärjestelmissä olevia tietoyksikköjä voidaan pitää myös perustuslain 12 §:n 2 momentissa tarkoitettuina tallenteina (ks. PeVL 3/2009 vp), jotka sisältyvät julkisuuslaissa säädettyyn asiakirjan määritelmään. Koska asiakirja jäsentyy eri yhteyksissä konkreettiseksi tietojenkäsittelyn kohteeksi, on tietoaineistoissa käsiteltäviin tietoyksikköihin kohdistettua tiedonhallintaa syytä kuvata paremmin kuvaavalla ja käsitteellisesti paremmin mielleyhtymiä tietoaineistojen sisältöön kohdistavalla käsitteellä – tiedolla. Tietojärjestelmän tietosisältö kokonaisuudessaan asiakirjana on vieras ajatus sääntelykohteena olevassa toimintaympäristössä, johon kuuluu erityisesti asiakirjahallinto ja tietohallinto. Asiakirjallisen tiedon käsitettä on käytetty jo pitkään asiakirjahallinnossa kuvaamaan tietoyksikköjen käsittelyä ja hallintaa paremmin kuvaavana käsitteenä kuin asiakirjan käsite. Lain säännöksiin ei kuitenkaan ehdoteta otettavaksi lisämääreellä olevaa asiakirjallisen tiedon käsitettä, vaan tietoaineistoon kuuluvat tiedot määritellään viranomaisten tehtävien tai palvelujen hoitamisen yhteydessä syntyneiksi tiedoiksi, joita viranomaisissa käsitellään asiakirjoina, kun niistä muodostetaan asiakirjoja erilaisilla ohjelmistojen mahdollistamilla hakuperusteilla. Laissa operoitaisiin asiakirjan, tietoaineiston ja tietovarannon käsitteillä erilaisia vastuita ja velvollisuuksia määriteltäessä. Konkreettinen käsittelykohde viranomaisissa olisi edelleen asiakirja, jota viranomainen käsittelee hoitaessaan tehtäviään. Tietoaineiston käsite ei olisi uusi, vaan esimerkiksi julkisuuslain 21 §:ssä viitataan tietoaineistoihin ja kansainvälisistä tietotietoturvallisuusvelvoitteista annetussa laissa (588/2004) säädetään erityissuojattavista tietoaineistoista.
Pykälän 5 kohdan mukaan tietovarannolla tarkoitettaisiin viranomaisen tehtävien hoidossa ja toiminnassa käytettäviä tietoaineistoja sisältävää kokonaisuutta, jota käsitellään tietojärjestelmien avulla tai manuaalisesti. Tietovaranto koostuisi sekä tietojärjestelmissä olevista tiedoista sekä muusta aineistosta, kuten paperiasiakirjoista. Tietovaranto olisi viranomaisten tehtävien hoidon tuloksena syntyvistä tietoaineistoista muodostuva looginen kokonaisuus. Tietovarannoissa olevia tietoja käytettäisiin hallinnon asiakkaiden ja muiden etujen, oikeuksien ja velvollisuuksien määrittämiseen ja toteuttamiseen sekä viranomaisten tehtävien hoitamiseen. Tietovarannon käsite liittyy paitsi tiedonhallinnan mutta myös yhteentoimivuuden toteuttamiseen. Tietovarannossa olevat tietoaineistot olisivat aktiivivaiheen käytössä olevia, kunnes tietoaineisto tai sen osa säilytysajan päättymisen jälkeen siirrettäisiin arkistoon tai tuhottaisiin, jos tietoaineistoa ei ole määritelty arkistoitavaksi. Aktiivivaiheessa tapahtuvalla säilyttämisellä tarkoitetaan tietoaineistojen säilyttämistä yksilöiden, yhteisöjen ja viranomaisten etujen, oikeuksien ja velvollisuuksien määrittämiseksi, toteuttamiseksi ja valvomiseksi.
Useita tietoaineistoja sisältäviä loogisia tietovarantoja ovat esimerkiksi väestötietojärjestelmässä olevat henkilö-, rakennus- ja huoneistotiedot, joista muodostuu väestötietovaranto tai kiinteistötietojärjestelmässä olevat tiedot kiinteistöistä (kiinteistörekisteri) sekä lainhuuto- ja kiinnitystiedoista (lainhuuto- ja kiinnitysrekisteri), joista muodostuu kiinteistötietovaranto. Verotuksessa puolestaan muodostuu eri verotustehtävien hoitamisen yhteydessä tietoaineistoja, joista muodostuu verotustietovaranto. Tarkoituksena on, että myöhemmin tiedonhallintalaissa omaksuttu käsitteistö yhdenmukaistetaan erityislainsäädäntöön niiltä osin kuin se on tarpeen.
Pykälän 6 kohdassa määriteltäisiin yhteisen tietovarannon käsite. Yhteisellä tietovarannolla tarkoitettaisiin useiden toimijoiden käyttöön suunniteltua ja ylläpidettyä tietovarantoa, jonka tiedot ovat luovutettavissa ja hyödynnettävissä eri tarkoituksiin. Tietovarannon tiedot kerätään vain kerran ja päivitetään tiedon muuttuessa, jonka jälkeen ne ovat tietopalvelujen ja muiden tietoja hyödyntävien palvelujen käytettävissä. Yhteisiä tietovarantoja on muodostunut muun muassa väestötietojärjestelmästä, kiinteistötietojärjestelmästä sekä yritys- ja yhteisötietojärjestelmästä. Paikkatiedon infrastruktuuri kuuluu myös yhteisiin tietovarantoihin. Terveydenhuollossa yhteisen tietovarannon muodostaa puolestaan Kanta-arkistopalvelu sekä potilaan tiedonhallintapalvelu sekä reseptikeskus. Näiden yhteisten tietovarantojen hallinnointi ja tietovarannoista tiedonsaanti on säädetty erikseen erityislainsäädännössä. Yhteisiä tietovarantoja ei voida määritellä luettelomaisesti, vaan osa yhteisistä tietovarannoista palvelee laajasti yhteiskunnan ja osa tietyn toimialan tietotarpeita.
Pykälän 7 kohdassa määriteltäisiin tietoturvallisuustoimenpiteiden käsite, jolla tarkoitettaisiin tietoaineistojen saatavuuden, eheyden ja luottamuksellisuuden varmistamista hallinnollisilla, toiminnallisilla ja teknisillä toimenpiteillä (tietoturvallisuustoimenpide). Teknisillä toimenpiteillä tarkoitetaan teknisiä menettelyitä, joilla varmistetaan tietoaineistojen saatavuus, eheys ja luottamuksellisuus sopivilla ja riittävillä teknisillä ratkaisuilla. Hallinnollisilla toimenpiteillä tarkoitetaan tietoaineistojen hallinnoinnin järjestämistä siten, että tietoaineistoja käsitellään turvallisella ja viranomaisten toimintaa sekä julkisuusperiaatetta palvelevalla tavalla. Toiminnallisilla toimenpiteillä tarkoitetaan menettelyitä, joilla viranomaisen toiminnassa varmistetaan tietoaineistojen turvallinen käsittely. Saatavuudella tarkoitetaan ominaisuutta, jolla varmistetaan, että tietoaineisto, tietojärjestelmä tai palvelu on siihen oikeutettujen saatavilla ja hyödynnettävissä haluttuna aikana ja vaaditulla tavalla. Eheydellä tarkoitetaan tiedon oikeellisuutta ja alkuperäisyyttä siten, että tietokokonaisuuteen, kuten asiakirjaan, tehdyt tai siinä tapahtuneet muutokset voidaan jälkikäteen todentaa. Eheydellä tarkoitetaan myös tietojen semanttista yhteentoimivuutta siten, että viranomaisten keskinäisessä tietojenvaihdossa tietojen siirto järjestelmästä toiseen voidaan toteuttaa tiedon eheys säilyttäen varmistamalla tietojen vaihdossa semanttinen yhteentoimivuus. Luottamuksellisuudella tarkoitetaan tiedon käytön rajoittamista tarpeen mukaan siten, että tietoja voivat käsitellä vain siihen oikeutetut henkilöt. Tietoturvallisuustoimenpiteillä tarkoitetaan esimerkiksi toiminnan turvallisuuden, tietoliikenneturvallisuuden, fyysisen turvallisuuden, laitteisto- ja ohjelmistoturvallisuuden sekä tietoaineistoturvallisuuden varmistavia toimenpiteitä. Nämä toimet on 13 §:ssä tarkoitetuin riskienhallinnan keinoin suhteutettava muun muassa uhkien vakavuuteen, tekniseen kehitystasoon ja kustannuksiin.
Pykälän 8 kohdassa määriteltäisiin tiedonhallinnan käsite. Sillä tarkoitettaisiin viranomaisen tehtävien hoidossa tai toiminnassa syntyviin tarpeisiin perustuvia toimia viranomaisen tietoaineistojen ja niiden käsittelyvaiheiden sekä tietoaineistoihin sisältyvien tietojen hallinnoimiseksi, riippumatta tietoaineistojen tallentamis- ja muista käsittelytavoista. Tiedonhallinnalla tarkoitettaisiin erilaisia toimia, jotka kohdistuisivat tietoaineistoissa oleviin tietoihin tai asiakirjoihin sekä näiden tietoaineistojen hallintaa muun muassa käsittelyvaiheiden metatietojen keräämisellä asiankäsittelyn ohjauksen ja asianmukaisuuden toteuttamiseksi ja varmistamiseksi. Tiedonhallinnan olennaisena osana ovat tietoturvallisuustoimenpiteet, joilla varmistetaan, että viranomainen voi hoitaa tehtävänsä ja velvollisuutensa tehokkaasti, mutta samalla suojataan asianosaisten ja muiden hallinnon asiakkaiden oikeuksien toteuttamista. Tiedonhallinta kohdistuu kaikkiin tietojen ja tietoaineistojen käsittelyvaiheisiin. Kysymys ei olisi organisaation rakenteita kuvaavasta käsitteestä, vaan käsite olisi toiminnallinen. Tehokkaalla ja asianmukaisella tiedonhallinnalla pyritään edistämään julkisuusperiaatteen ja hyvän hallinnon vaatimusten toteuttamista.
Pykälän 9 kohdassa määriteltäisiin toimintaprosessin käsite, jolla tarkoitetaan viranomaisen asiankäsittely- ja palveluprosesseja. Asiankäsittelyprosessissa asiat tulevat vireille viranomaisessa joko asianosaislähtöisesti tai viranomaislähtöisesti. Hallintolaissa on säädetty erityisesti asianosaislähtöisten asioiden vireilletulosta. Viranomaislähtöisiä asioita ovat puolestaan esimerkiksi valvontaan liittyvät asiat. Asiankäsittelyprosessit päättyvät yleensä viranomaisen ratkaisun sisältävään toimeen, joka voi olla hallintopäätös, rekisterimerkintä, yleisohjeen antaminen, määräyksen antaminen tai muu vastaava toimi. Palveluprosessit puolestaan alkavat hallinnon asiakkaan palvelutarpeesta, jonka pohjalta viranomainen tai sen lukuun toimiva tuottaa laissa säädetyllä tavalla palvelun hallinnon asiakkaalle. Asiankäsittely- ja palveluprosessit ovat viranomaisen toimintaprosesseja, joiden perusteella viranomaisille syntyy tietoaineistoja. Tiedonhallintalaissa säädettäisiin näiden tietoaineistojen ja niitä kuvaavien tietojen hallinnasta siltä osin kuin tietoaineistot koostuvat asiakirjoista tai tiedoista, joista voidaan muodostaa tässä laissa tarkoitettuja asiakirjoja.
Pykälän 10 kohta sisältäisi teknisen rajapinnan määritelmän, jonka mukaan teknisellä rajapinnalla tarkoitettaisiin sähköisen tietojenvaihdon mahdollistavaa tiedonsiirtoratkaisua kahden tai useamman tietojärjestelmän välillä. Teknisen rajapinnan toteutus mahdollistaa tietojärjestelmien välisen sähköisen tietojensiirron yhteentoimivalla tavalla. Tekniseen rajapintaan kuuluisivat myös tietomääritykset, joiden perusteella tietoja voidaan siirtää tietojärjestelmien välillä. Kysymys olisi kahden tai useamman järjestelmän välisestä integraatiosta. Tekninen rajapinta voisi olla mikä tahansa tekninen tiedonsiirtoratkaisu, jolla tiedot siirretään tietojärjestelmästä toiseen. Rajapinta voidaan toteuttaa esimerkiksi viestipohjaisena nk. online-yhteytenä tai tiedostopohjaisena sanomana eräajopohjaisesti tietyin väliajoin tapahtuvana tiedonsiirtona. Teknisen rajapinnan käsite ei ole sidottu tiedonsiirtotapaan tai tiedostomuotoon, vaan teknisen rajapinnan toteuttamistapa ja teknologia määrittyvät kunkin teknisen ratkaisun mukaisesti. Teknisten rajapintojen käyttöä koskevat säännökset sisältyisivät ehdotettavan lain 5 lukuun.
Pykälän 11 kohdassa olisi säädetty katseluyhteyden määritelmästä. Katseluyhteydellä tarkoitettaisiin tietojärjestelmään toteutettua tietoaineistojen katselun mahdollistavaa rajattua näkymää. Ehdotettavassa laissa säädettäisiin niistä edellytyksistä, joilla katseluyhteys voitaisiin avata viranomaisen tietojärjestelmään niissä tilanteissa, kun toisella viranomaisella on tietoihin tiedonsaantioikeus ja käsittelyperuste. Käsite olisi uusi ja sillä tarkoitettaisiin nimenomaan sellaisia tietojen luovutustilanteita, joissa luovutus ei tapahtuisi tietojärjestelmien välillä, vaan toinen viranomainen voisi katsella erillisellä näkymällä rajatusti toisen viranomaisen tietojärjestelmässä olevia tietoja. Käytännössä katseluyhteyden toteuttaminen on tapa, jolla tiedot luovuttava viranomainen toteuttaa tietopalvelua toisella viranomaiselle, kun tiedonsaanti- ja käsittelyoikeus on varmistettu.
Pykälän 12 kohta sisältäisi tietovarantojen yhteentoimivuuden määritelmän, jonka mukaan niiden yhteentoimivuudella tarkoitetaan tietojen hyödyntämistä ja vaihtoa eri tietojärjestelmien välillä siten, että tietojen merkitys ja käytettävyys säilyvät. Yhteentoimivuus koostuu paitsi teknisestä toteutustavasta, jolla tietoja voidaan siirtää tietojärjestelmien välillä, mutta myös semanttisesta yhteentoimivuudesta siten, että siirrettävät tiedot ovat sisällöltään eri tietojärjestelmissä tulkittavissa merkityssisällöltään samalla tavalla. Yhteentoimivuuteen sisältyy myös tietojen käytettävyyden varmistaminen siten, että tiedot ovat käyttötarkoitukseensa soveltuvassa muodossa, jossa niitä voidaan hyödyntää suunnitelluissa käsittelytoimissa. Siten tietovarantojen yhteentoimivuus sisältää vaatimukset teknisten toteutustapojen yhteensovittamisesta, tietoaineistojen merkityssisältöjen vakioimisesta sekä tietojen rakenteiden määrittelystä siten, että tietovarannoissa olevat tietoaineistot ovat hyödynnettävissä eri viranomaisissa ennalta suunniteltuihin käyttötarkoituksiin. Yhteentoimivuus edellyttää sanastojen ja tietorakenteiden määrittelyä, koodistojen ylläpitoa ja tiedonsiirtomenetelmien sekä siihen liittyvien teknisten toteutustapojen yhteensovittamista.
Pykälän 13 kohdassa on määritelty koneluettava muoto. Määritelmä perustuu julkisen hallinnon hallussa olevan tiedon uudellenkäytöstä annetun direktiivin (PSI-direktiivi) 2 artiklan luettelon 6 kohtaan, jonka mukaan koneellisesti luettavalla esitysmuodolla tarkoitetaan tiedostomuotoa, jonka rakenne mahdollistaa sen, että ohjelmistot pystyvät helposti yksilöimään, tunnistamaan ja poimimaan siitä määrättyjä tietoja, yksittäiset tietoalkiot ja niiden rakenne mukaan lukien. Koneluettava muoto tarkoittaa, että sekä tietoaineiston sisältö että sitä selittävät tietoaineistoa kuvailevat metatiedot ovat koneellisesti luettavassa ja tulkittavassa muodossa siten, että niitä voidaan käsitellä tietojärjestelmien avulla. Koneluettavaan muotoon kuuluu, että tietoaineisto on esitetty tavalla, joka on vakioitu siten, että se noudattaa tiedostomuodoltaan jotain alan standardia tai alalla muuten vakiintuneita vaatimuksia.
3 §.Lain soveltamisala ja sen rajoitukset. Pykälässä säädettäisiin lain soveltamisalasta, joka osaltaan määrittyy 2 §:ssä määriteltyjen käsitteiden perusteella. Lakia sovellettaisiin 1 momentin mukaan tiedonhallintaan ja tietojärjestelmien käyttöön, kun viranomaiset käsittelevät tietoaineistoja. Lakia sovellettaisiin tässä laissa tarkoitettuun tiedonhallintaan, jonka käsitteellisestä sisällöstä olisi säädetty 2 §:ssä. Tämän lain säännöksiä ei sovellettaisi mihin tahansa viranomaisen hallussa olevien tietojen tiedonhallintaan, vaan sääntely kohdistuu sellaisiin tietoaineistoihin, jotka koostuvat asiakirjoista tai tiedoista, joista voidaan muodostaa asiakirjoja. Siten sääntely koskee niitä tietoaineistoja ja asiakirjoja, joihin sovelletaan viranomaisten toiminnan julkisuudesta annettua lakia. Tiedonhallintalaki olisi tiedonhallintaa koskeva yleislaki, jota noudatettaisiin lähtökohtaisesti kattavasti viranomaistoiminnassa. Tiedonhallintaan voi kuitenkin eri toimialoilla, kuten sosiaali- ja terveydenhuollossa, sisältyä erityisiä sääntelytarpeita, joita ei voida säätää yleislaissa. Tästä syystä, jos muussa laissa olisi säädetty tiedonhallintalaista poikkeavalla tavalla, tulisi tällainen laki sovellettavaksi tiedonhallintalain sijaan siltä osin kuin sääntely poikkeaisi tiedonhallintalain säännöksistä. Jos erityislaissa olisi joitakin poikkeavia säännöksiä, erityislakia sovellettaisiin näissä tilanteissa siltä osin kuin säännöksissä on poikkeuksia suhteessa ehdotettavaan tiedonhallintalakiin. Pykälän 1 momentissa olisi säädetty lain soveltamisesta korkeakouluihin. Ehdotettavan tiedonhallintalain viranomaisia koskevia säännöksiä sovellettaisiin yliopistolaissa tarkoitettuihin yliopistoihin ja ammattikorkeakoululaissa tarkoitettuihin ammattikorkeakouluihin, koska asianomaisissa laeissa viitataan viranomaisten toiminnan julkisuudesta annettuun lakiin siten, että yliopistoihin ja ammattikorkeakouluihin sovelletaan mitä julkisuuslain 4 §:n 1 momentissa säädetään viranomaisesta.
Lain 3 §:n 2 momentti olisi informatiivinen säännös tiedonhallintaan ja viranomaisten toimintaan liittyvän muun sääntelyn suhteesta ehdotettavaan lakiin, mutta sillä säädettäisiin selventävästi eri sääntelykohteiden suhteesta toisiinsa. Asiankäsittelystä hallintoasioissa viranomaisissa on säädetty yleislaintasolla hallintolaissa, mutta menettelysäännöksiä sisältyy myös muuhun lainsäädäntöön, kuten sähköisestä asioinnista viranomaistoiminnassa annettuun lakiin (13/2003), ulosottokaareen (705/2007), esitutkintalakiin (805/2011), poliisilakiin (872/2011), tuomioistuinten toimintaa koskeviin lakeihin sekä verotusmenettelystä annettuun lakiin (1558/1995). Palvelujen tuottamista koskevia säännöksiä sisältyy muun muassa sosiaali- ja terveydenhuollon sekä opetustoimen lainsäädäntöön. Tiedonhallintalaki ei varsinaisesti vaikuta menettelysäännöksiin, mutta tiedonhallinnan avulla kerätään tietoja siitä, miten viranomaiset toimivat tai ovat toimineet asiankäsittelyssä tai palveluja tuotettaessa. Tästä syystä tiedonhallinnalliset toimet voivat vaikuttaa myös menettelyllisten säännösten toteuttamiseen muun muassa tietoturvallisuustoimenpiteiden toteuttamiseksi. Ensimmäisessä virkkeessä viitattaisiin myös tiedonsaantioikeutta koskevaan sääntelyyn, jossa yleislaintasoiset säännökset on säädetty viranomaisten toiminnan julkisuudesta annetussa laissa, mutta tiedonsaantioikeuksia koskevaa sääntelyä on myös muualla erityislainsäädännössä, kuten oikeudenkäynnin julkisuutta koskevissa säädöksissä. Salassapidosta on säädetty pääsääntöisesti viranomaisten toiminnan julkisuudesta annetussa laissa. Lisäksi asiakirjojen arkistoinnista säädettäisiin erikseen. Arkistointia koskeva sääntely perustuu Euroopan unionin yleiseen tietosuoja-asetukseen, kansalliseen tietosuojalakiin, arkistolakiin sekä muihin arkistointia ja arkistotoimea koskeviin säännöksiin. Tiedonhallintalain tietoturvallisuuteen ja tietojärjestelmien toimintaan kohdistuvat säännökset koskisivat kaikkia tietoaineistoja riippumatta siitä, onko ne viranomaisen tehtävien hoitamista varten muodostuneita aineistoja tietovarannoissa vai siirrettynä arkistoon, mutta ehdotettava laki ei vaikuta muuten niihin perusteisiin, joilla asiakirjoja arkistoidaan sekä miten arkistotoimen tehtäviä arkistolain mukaan hoidetaan.
Lain 3 §:n 2 momentin toisessa virkkeessä olisi todettu, että tiedonhallinnasta Suomen evankelis-luterilaisessa kirkossa säädetään kirkkolaissa (1054/1993). Perustuslain 76 §:n 1 momentin mukaan evankelis-luterilaisen kirkon järjestysmuodosta ja hallinnosta säädetään kirkkolaissa. Ehdotetussa laissa säännellään tiedonhallinnasta, joka on sidoksissa julkisuuslain säännöksiin. Kirkkolain 25 luvun 8 §:ssä on säädetty julkisuuslain soveltamisesta kirkkohallinnossa. Evankelis-luterilaisen kirkon toimintamahdollisuudet hoitaa sille säädettyjä julkisia hallintotehtäviä sekä toteuttaa perustuslaissa säädettyä asiakirjajulkisuutta edellyttävät riittävää tiedonhallinnan sääntelyä kirkkolaissa, mutta sen säätäminen kirkkolakiin jää evankelis-luterilaisen kirkon harkintaan ja lainsäädäntötoimien varaan perustuslain edellyttämällä tavalla.
Lain 3 §:n 3 momentissa olisi säädetty tiedonhallintalain soveltamista koskevista rajoituksista, jotka johtuvat pääosin eräiden julkiseen sektoriin kuuluvien organisaatioiden perustuslaissa säädetystä asemasta, jonka perusteella valtion keskushallintoon kuuluvien viranomaisten ohjaustoimivaltaa ei voida ulottaa näiden organisaatioiden sisäisen hallinnon ohjaukseen. Lisäksi syynä on se, että ehdotettavassa laissa on säännöksiä, jotka kohdistuvat erityisesti hallinnon toimintaan, joiden soveltamista lainkäyttöön ei voida pitää perusteltuna. Näistä syistä 3 momentin ensimmäisen virkkeen mukaan 19 §:ä, 20 §:ä, 26 §:ä ja 27 §:ä ei sovellettaisi lainkäyttöön. Säännöksiä sovellettaisiin kuitenkin tuomioistuinten hallintotoimintaan. Julkisuuslain 18 §:ä on sovellettu tuomioistuimien toimintaan, joten julkisuuslain 18 §:n sisältöä vastaava, mutta tarkentava sääntely koskisi myös lainkäyttöä. Julkisuuslain nojalla annettua asetusta tietoturvallisuudesta valtionhallinnossa on sovellettu tuomioistuimien toimintaan. Myös julkisen hallinnon tietohallinnon ohjauksesta annettua lakia on sovellettu tuomioistuimiin ja muihin lainkäyttöelimiin niiden hoitaessa hallinnollisia tehtäviä. Julkisuuslaki ja tietohallintolaki on säädetty perustuslakivaliokunnan myötävaikutuksella. Tästä syystä soveltamisalan rajausta koskevan säännöksen ulkopuolelle jäävä tiedonhallintalain sääntely tulee sovellettavaksi tuomioistuimissa lainkäyttötehtävissäkin, koska vastaava sääntely on koskenut myös tuomioistuimia aiemmin. Tuomioistuimet käyttävät lainkäytössä viranomaisten tietojärjestelmiä, joten niiden toiminnassa olisi toteutettava myös lainkäytössä perustietoturvallisuustason takaavat vaatimukset, jotta tuomioistuimille voidaan avata teknisiä rajapintoja ja katseluyhteyksiä. Kuitenkaan tiedonhallintalautakunnan arviointitehtävä ei kohdistuisi tuomioistuimiin hallinnollisten tehtävienkään osalta, millä turvataan osaltaan tuomioistuimien toiminnan riippumattomuus valtion hallintoviranomaisten toiminnasta. Tästä rajauksesta olisi säädetty pykälän toisessa virkkeessä. Sääntely kuitenkin koskee esimerkiksi Oikeusrekisterikeskusta, joka tuottaa viranomaisena tuomioistuimille palveluja. Soveltamisalan rajaussäännös ei koskisi siten Oikeusrekisterikeskuksen palvelutuotantoa tai muuta toimintaa. Tiedonhallintalautakunnan arviointitehtävää koskeva toimivalta ulottuu siten Oikeusrekisterikeskuksen toimintaan, vaikka se onkin tuomioistuimien palveluntuottaja, mutta kuitenkin itsenäinen viranomainen. Säännöksessä tarkoitettu lainkäyttöä koskeva rajaus liittyy välittömästi lainkäyttötehtäviin liittyvään tiedonhallintaan.
Momentin toisen virkkeen mukaan eduskunnan oikeusasiamiehen ja valtioneuvoston oikeuskanslerin toimintaan, tuomioistuimien ja muiden lainkäyttöelimien toimintaan, tasavallan presidentin kansliaan, eduskunnan virastoihin, Kansaneläkelaitokseen, Suomen Pankkiin, muihin itsenäisiin julkisoikeudellisiin laitoksiin, yliopistolaissa tarkoitettuihin yliopistoihin ja ammattikorkeakoululaissa tarkoitettuihin ammattikorkeakouluihin ei sovellettaisi lain 3 luvun säännöksiä. Soveltamisalan rajaaminen valtiovarainministeriön ohjaustoimivaltaa ja tiedonhallintalautakunnan tehtävää koskien olisi tarpeellinen johtuen näiden toimijoiden ja organisaatioiden pääosin valtiosääntöisestä asemasta, joihin perustuslakivaliokunta on kiinnittänyt huomiota (PeVL 46/2010 vp). Lisäksi rajaukseen on otettu mukaan ammattikorkeakoulut, koska näiden toiminta on rinnastettavissa yliopistoihin, vaikka ammattikorkeakouluilla ei ole yliopistoja vastaavaa valtiosääntöistä asemaa. Myös muut kuin eduskunnan ohjauksessa olevat itsenäiset julkisoikeudelliset laitokset rajattaisiin ohjausta ja tiedonhallintalautakunnan tehtäviä koskevien säännösten soveltamisalan ulkopuolelle selvyyden vuoksi ja siitä syystä, etteivät ne kuuluu julkisen hallinnon tiedonhallintaa toteuttavien toimijoiden ytimeen. Vaikka 3 luvun soveltamisalan ulkopuolelle jäisi julkiseen hallintoon kuuluvia organisaatioita, voisivat ne hyödyntää omassa toiminnassaan esimerkiksi tiedonhallintalautakunnan tuottamia tiedonhallinnan menettelyjen yhtenäistämiseen liittyviä suosituksia tai kannanottoja sekä muuta informaatio-ohjauksena tuotettua materiaalia. Momentissa säädettäisiin myös 3 luvun soveltamista koskevasta rajauksesta maakuntiin, kuntiin ja kuntayhtymiin siten, että lain 3 lukua sovelletaan maakuntiin, kuntiin ja kuntayhtymiin niiden hoitaessa laissa säädettyjä tehtäviä. Säännös vastaisi tietohallintolaissa säädettyä rajausta, joka koskee valtiovarainministeriön ohjaustoimivaltaa. Säännös vastaisi myös perustuslakivaliokunnan kannanottoa ohjaustoimivaltaa koskevasta laajuudesta (PeVL 46/2010 vp).
Pykälän 4 momentissa soveltamisala laajennettaisiin organisatorisesti sillä perusteella, että tarkoituksenmukaisin osin tiedonhallintalaki tulisi sovellettavaksi myös muissa toimijoissa kuin julkisuuslaissa säädetyissä viranomaisissa. Momentin ensimmäisen virkkeen mukaan lain 4 lukua ja 22—25 §:ä sovellettaisiin yksityisiin henkilöihin tai yhteisöihin taikka muihin kuin viranomaisina toimiviin julkisoikeudellisiin yhteisöihin siltä osin kuin ne toimivat viranomaisen toimeksiannosta tai viranomaisen lukuun. Näiden viranomaisten toimeksiannosta tai lukuun toimivien käsittelemiin asiakirjoihin sovelletaan viranomaisen asiakirjan käsitteen määrittelyn kautta julkisuuslakia. Niin ikään julkisuuslaissa on säädetty näiden toimijoiden vaitiolovelvollisuudesta ja viranomaisen oikeudesta antaa tällaisille toimijoille salassa pidettäviä tietoja. Säännös tarkoittaisi sitä, että myös hallinnon ulkopuolisten tuottaessa viranomaisen toimeksiannosta tai muuten sen lukuun palveluja, tiedonhallintaa koskevat keskeiset säännökset tulisivat sovellettavaksi tällaisessa toiminnassa ilman erillisiä sopimuksiakin suoraan lain nojalla. Tietoturvallisuusvaatimukset tulisi kuitenkin ottaa osaksi ainakin viittauksena ostopalvelusopimuksien sopimusehtoihin, jotta niiden noudattamatta jättämistä voidaan käsitellä selkeästi myös sopimusoikeudellisena kysymyksenä esimerkiksi sopimussakkoa määriteltäessä. Sopimuksien sisältöön vaikuttaa myös yleisessä tietosuoja-asetuksessa säädetyt vaatimukset, joita sovelletaan ensisijaisesti.
Momentin toisen virkkeen mukaan tämän lain 4 §:ä, 4 lukua sekä 22—25 §:ä ja 28 §:ä sovellettaisiin yksityiseen henkilöön ja yhteisöihin siltä osin kuin niihin sovelletaan viranomaisten toiminnan julkisuudesta annetun lain säännöksiä. Eri laeissa on säädetty julkisuuslain soveltamisesta eriasteisesti. Näissä laeissa julkisuuslain soveltamista on laajennettu yksityisiin henkilöihin, yksityisiin yhteisöihin tai muihin kuin viranomaisina toimiviin julkisoikeudellisiin yhteisöihin niiden hoitaessa julkisia hallintotehtäviä tai muuten niiden toiminnassa. Esimerkiksi Suomen ortodoksiseen kirkon ja sen seurakuntien toimintaan sovelletaan julkisuuslakia ortodoksisesta kirkosta annetun lain (985/2006) nojalla. Siten ortodoksiseen kirkon ja sen seurakuntien toimintaan sovellettaisiin tiedonhallintalakia 4 §:n, 4 luvun sekä 22—25 §:n ja 28 §:n osalta, koska niiden toimintaan sovellettaisiin julkisuuslakia erityislain perusteella. Sääntely jättäisi ortodoksiselle kirkolle ja sen seurakunnille liikkumavaraa, miten ne organisoituvat tiedonhallintayksiköksi tai -yksiköiksi. Puolestaan ylioppilaskunnat ovat julkisoikeudellisia yhdistyksiä ja niiden toimintaan sovelletaan julkisuuslakia siten kuin yliopistolaissa on säädetty.
Myös julkisuuslain 4 §:n 2 momentissa on säädetty julkisuuslain soveltamisesta eräisiin toimijoihin, jotka eivät ole julkisuuslaissa tarkoitettuja viranomaisia. Julkisuuslain 4 §:n 2 momentin mukaan mitä viranomaisesta säädetään, koskee myös lain tai asetuksen taikka lain tai asetuksen nojalla annetun säännöksen tai määräyksen perusteella julkista tehtävää hoitavia yhteisöjä, laitoksia, säätiöitä ja yksityisiä henkilöitä niiden käyttäessä julkista valtaa. Siten tiedonhallintalain säännökset tulisivat sovellettavaksi laissa ilmenevin rajoituksin muun muassa lakisääteisiä vakuutuksia tarjoavien vakuutusyhtiöiden toiminnassa sekä julkisoikeudellisissa yhdistyksissä siltä osin kuin ne hoitavat toiminnassaan julkista tehtävää ja käyttävät siinä julkista valtaa.
Pykälän 5 momentissa olisi säädetty lain soveltamisalan rajaamisesta Ahvenanmaan maakunnassa toimivien viranomaisten osalta. Ehdotuksen mukaan lakia ei sovellettaisi Ahvenanmaan maakunnassa toimiviin maakunnan, valtion ja kunnallisiin viranomaisiin. Soveltamisalan rajaus vastaisi tietohallintolaissa olevaa soveltamisalan rajausta Ahvenanmaan maakunnassa toimiviin viranomaisiin. Ehdotettu soveltamisalaa koskeva säännös on tarpeellinen, koska viranomaisten toiminnan julkisuudesta annetun lain 4 §:n 1 momentin 7 kohdan mukaan laissa viranomaisella tarkoitetaan Ahvenanmaan maakunnan viranomaisia niiden huolehtiessa valtakunnan viranomaisille kuuluvista tehtävistä maakunnassa. Ehdotettavan lain 2 §:n 1 kohdassa määritelty viranomaisen käsite kattaisi suoraan julkisuuslakiin viitattuna myös Ahvenmaan maakunnan viranomaiset, kun ne huolehtivat valtakunnan viranomaisille kuuluvista tehtävistä. Tästä syystä soveltamisalan rajausta koskeva säännös on tarpeellinen ja se vastaa tietohallintolain soveltamisalaa koskevaa rajausta Ahvenanmaan osalta.
2 luku Tiedonhallinnan järjestäminen
4 §. Tiedonhallinnan järjestäminen tiedonhallintayksikössä. Pykälässä säädettäisiin tiedonhallintayksiköstä ja sen tiedonhallintaan liittyvästä järjestämisvelvollisuudesta. Pykälän 1 momentin ensimmäisen virkkeen mukaan viranomainen kuuluisi tiedonhallintayksikköön. Tämä säännöksen tarkoituksena on jäsentää viranomaisen suhdetta tiedonhallinnan järjestämisestä vastaavaan koko organisaation kattavaan tiedonhallintayksikköön. Laissa osa velvollisuuksista on säädetty koskemaan sitä organisaatiota, joka koostuu yhdestä tai useammasta viranomaisesta. Säännöksellä on tarkoitus selventää nykytilaa, koska tosiasiassa tiedonhallinnan järjestäminen on pääasiassa järjestetty organisaatiotasolla, vaikka organisaatio koostuisi useammasta viranomaisesta. Esimerkiksi kunta muodostaa yhden organisatorisen kokonaisuuden, mutta kunta koostuu viranomaisista. Kunnissa tiedonhallintaan liittyvät tehtävät on organisoitu hallintosäännöissä kuntalain (410/2015) perusteella kuntaorganisaation sisäisen palvelurakenteen mukaisesti. Niin ikään valtion virastoissa voi toimia useita viranomaisia, mutta niiden tiedonhallinnan järjestäminen on toteutettu viraston yhteisinä toimintoina. Niin ikään työnantajavastuut kohdistuvat valtionhallinnossa työnantajavirastoon, joka voi koostua itsenäisistä viranomaisista, jotka loppujen lopuksi käsittelevät sekä tuottavat tiedonhallintaan liittyviä tietoja. Momentin mukaan tiedonhallintayksikön tehtävänä olisi järjestää tiedonhallinta tämän lain vaatimusten mukaisesti.
Pykälän 1 momenttiin sisältyisi myös luettelo siitä, miten tiedonhallintayksiköt muodostuvat. Tiedonhallintayksiköllä tarkoitettaisiin valtion virastoa tai laitosta. Näistä tiedonhallintayksiköistä käytettäisiin laissa valtion tiedonhallintayksikön käsitettä, kun säännökset kohdistuvat valtionhallintoon. Lisäksi tiedonhallintayksiköllä tarkoitettaisiin eduskunnan virastoa, valtion liikelaitosta, maakuntaa, kuntaa, kuntayhtymää, itsenäistä julkisoikeudellista laitosta, yliopistolaissa tarkoitettua yliopistoa sekä ammattikorkeakoululaissa tarkoitettua ammattikorkeakoulua. Eduskunnan virastot olisivat itsenäisinä organisaatioina omia tiedonhallintayksikköjä. Kunnat ja maakunnat koostuvat toimielimiin jaetuista viranomaisista. Kukin kunta ja kuntien muodostama kuntayhtymä olisivat omia tiedonhallintayksikköjään riippumatta siitä, miten ne ovat toimintansa organisoineet. Itsenäiset julkisoikeudelliset laitokset, kuten Kansaneläkelaitos, Suomen Pankki, Työterveyslaitos, Keva, Kuntien takauskeskus, Suomen Riistakeskus ja Suomen Metsäkeskus, ovat valtionhallinnosta erillisiä organisaatioita, joiden toiminnasta ja tehtävistä säädetään erikseen laissa. Itsenäiset julkisoikeudelliset laitokset rinnastetaan hallinnon yleislaeissa viranomaisiin. Ne muodostavat erillisinä oikeushenkilöinä omat tiedonhallintayksikkönsä. Yliopistojen ja ammattikorkeakoulujen toimintaan sovelletaan julkisuuslakia ja ne rinnastetaan julkisuuslain viranomaisiin yliopistolain (558/2009) ja ammattikorkeakoululain (932/2014) perusteella. Osa yliopistoista on itsenäisiä julkisoikeudellisia laitoksia ja osa säätiöitä. Ne ovat itsenäisiä oikeushenkilöistä. Ammattikorkeakoulut ovat puolestaan osakeyhtiöitä. Siten ne muodostavat kukin oman tiedonhallintayksikkönsä. Tiedonhallintayksiköt voisivat tehdä yhteistyötä ja järjestää tiedonhallinnan velvollisuuksiin liittyviä toimintoja yhteisesti.
Valtion virastojen ja laitoksen sekä niissä toimivien viranomaisten tiedonhallinnan järjestämistä ja toteuttamista koskevia tehtäviä ei voida tyhjentävästi organisoida virasto- tai laitoskohtaisesti. Tästä syystä pykälän 2 momentissa säädettäisiin asetuksenantovaltuudesta, jonka perusteella valtioneuvoston asetuksella voitaisiin säätää valtion tiedonhallintayksikköjen välisestä tämän lain mukaisten tehtävien hoitamisesta. Asetuksenantovaltuudella ei muutettaisi tiedonhallintayksiköissä toimivien viranomaisten toimivaltasuhteita, joten asetuksella ei voitaisi poiketa siitä, mitä laissa on säädetty viranomaisen tehtäväksi tai velvollisuudeksi eikä asetuksella voida laajentaa myöskään tiedonsaantioikeuksia yli viranomaisten rajojen, vaan tästä olisi säädettävä erikseen laissa, jos yleislakien perusteella tietoja ei voisi antaa. Esimerkiksi ministeriöiden yhteinen asiakirjahallinto ja tietohallinto on keskitetty valtioneuvoston kansliaan valtioneuvostolain (175/2003) ja valtioneuvoston ohjesäännön (262/2003) nojalla. Valtioneuvostosta annetun erityislain mukaan valtioneuvoston kanslia vastaa valtioneuvoston ja sen ministeriöiden yhteisistä hallinto- ja palvelutehtävistä. Valtioneuvoston ohjesäännön 12 §:n 1 mom. 9 kohdan mukaan valtioneuvoston kanslian toimialaan kuuluu valtioneuvoston ja sen ministeriöiden yhteinen tietohallinto, mukaan lukien ulkoasianhallinnon ulkomaanedustustojen tieto- ja viestintätekniset peruspalvelut, ja asiakirjahallinto sekä niihin liittyvä hyvän tiedonhallintatavan ja yhteentoimivuuden ohjaus, kehittäminen ja yhteensovittaminen sekä arkistonmuodostajan tehtävät. Käytännössä valtioneuvoston kanslian tehtäviin kuuluu muun muassa ministeriöiden asiakirjahallinnon, kirjaamopalveluiden, asiankäsittelyn, tiedonohjauksen ja arkistoinnin johtaminen, kehittäminen ja yhteen sovittaminen, edellisiin liittyvät toiminnalliset tehtävät salassa pidettävien aineistojen käsittely mukaan lukien, valtioneuvoston yhteisen tiedonohjaussuunnitelman laatiminen yhteistyössä ministeriöiden kanssa sekä ohjeiden laadinta ja koulutuksen järjestäminen ministeriöiden henkilöstölle. Koska valtioneuvosta annetun lain säännös valtioneuvoston ja sen ministeriöiden yhteisten hallinto- ja palvelutehtävien vastuusta on valtioneuvoston ohjesäännössä tarkennetulla tavalla erityissäännös myös tiedonhallinnan tehtävistä suhteessa ehdotetun lain lähtökohtaiseen virastokohtaiseen vastuun määrittelyyn, ei ehdotettavan lain sääntely muuttaisi valtioneuvoston ja ministeriöiden toimintojen järjestämisestä säädettyä. Nykytilaan ei olla siten esittämässä tältä osin muutosta, vaan edelleen valtioneuvoston kanslia vastaisi valtioneuvoston ja sen ministeriöiden yhteisestä, muusta kuin toimialasidonnaisesta tiedonhallinnasta. Sääntely mahdollistaisi edelleen tällaisen toimintojen järjestämisen erillisillä säännöksillä, joko tiedonhallintalaissa säädetyn asetuksenantovaltuuden tai erityislaissa tai sen nojalla säädetyn perusteella. Asetuksentasoisessa sääntelyssä on kuitenkin varmistettava, että esimerkiksi johdon tosiasiallinen vastuu voidaan toteuttaa siihen osaan tiedonhallinnan järjestämistä, mihin valtion tiedonhallintayksikköjen toiminta on organisoitu. Siten tämän lain asetuksenantovaltuutuksen perusteella asetuksessa voitaisiin säätää ainoastaan tiedonhallintayksikölle säädettyjen tehtävien organisoimisesta valtion tiedonhallintayksikköjen välillä palvelujen tuottamiseksi tai yhteisistä valtion tiedonhallintayksikköjen palveluista. Valtion tiedonhallintayksikön käsitettä käytettäisiin laissa kohdentamaan tietyt velvollisuudet koskemaan pelkästään valtion virastoja ja laitoksia ellei soveltamisalarajauksista muuta johdu.
Pykälän 3 momentin mukaan tiedonhallintayksikön johdon vastuulla olisi huolehtia siitä, että tiedonhallinta järjestettäisiin tiedonhallintayksikössä kohdassa tarkoitetulla tavalla asianmukaisesti. Tiedonhallintayksikön johdolla tarkoitettaisiin virastojen ja laitosten työjärjestyksissä sekä eri toimijoiden hallintosäännöissä määriteltyä virastopäällikköä tai johtavaa toimielintä. Johdolla tarkoitettaisiin valtion viraston tai laitoksen päällikköä, joka on tyypillisesti virkanimikkeeltään pääjohtaja tai ylijohtaja. Kuntalain (410/2015) 38 §:n 2 momentin mukaan kunnanhallitus johtaa kunnan toimintaa, hallintoa ja taloutta. Siten kunnanhallitus toimisi lähtökohtaisesti tiedonhallintalaissa tarkoitettuna tiedonhallintayksikön johtona, ellei vastuuta ole delegoitu kunnan hallintosäännössä jollekin muulle toimielimelle tai viranhaltijalle, kuten kunnanjohtajalle. Muissa laissa tarkoitetuissa organisaatioissa johdolla tarkoitetaan yliopistojen ja ammattikorkeakoulujen osalta rehtoria, ellei yliopisto tai ammattikorkeakoulu olisi määritellyt tiedonhallinnan vastuuta toisin sisäisillä johtosäännöillä. Itsenäisissä julkisoikeudellisissa laitoksissa johdolla tarkoitettaisiin kutakin laitosta koskevien säännösten perusteella määriteltyä johtoa, joka voi delegoida vastuitaan muulle johdolle.
Pykälän 3 momentin luettelon 1 kohdan mukaan johdon tulisi huolehtia siitä, että tiedonhallintayksikössä olisi määritelty tiedonhallintalaissa tai muussa laissa säädettyjen tiedonhallinnan toteuttamiseen liittyvien tehtävien vastuut. Säännöksellä tarkoitetaan konkreettisten vastuiden määrittämistä siitä, miten ja kenen vastuulla toteutetaan tämän lain mukaiset velvoitteet ja palvelut. Vastuut olisi määritettävä tiedonhallintamallin ylläpidon ja tietoaineistojen muodostamisen toteuttamiselle, tietoturvallisuuden ja asianhallinnan järjestämiselle, tietojärjestelmien yhteentoimivuuden turvaamiselle sekä tietoaineistojen säilyttämisen järjestämiselle. Tiedonhallintayksikön johdon tulisi siten määrittää ja käytännössä määrätä työjärjestyksissä tai hallintosäännöissä, miten tiedonhallinnan vastuut ja niihin liittyvät tehtävät jakautuvat tiedonhallintayksikössä, kuten valtion virastossa tai kunnassa. Tehtävien järjestäminen tarkoittaa asiakirjahallinnon ja tietohallinnon sekä muiden toimintojen vastuiden määrittämistä tiedonhallinnan velvollisuuksien ja palvelujen toteuttamiseksi. Laissa ei säädettäisi siitä, mitkä tehtävät kuuluvat tietohallinnolle ja asiakirjahallinnolle, vaan tämä järjestäminen kuuluu kunkin tiedonhallintayksikön johdon vastuulle. Laissa ei säädettäisi organisaatioiden sisäisistä hallinnollisista rakenteista.
Pykälän 3 momentin luettelon 2 kohdan mukaan johdon tulisi huolehtia siitä, että tiedonhallintayksikössä olisi ajantasaiset ohjeet tietoaineistojen käsittelystä, tietojärjestelmien käytöstä, tietojenkäsittelyoikeuksista, tiedonhallinnan vastuiden toteuttamisesta käytännössä, tiedonsaantioikeuksien toteuttamisesta ja niiden toteuttamisessa noudatettavista menettelytavoista ja vastuista, tietoturvallisuustoimenpiteistä sekä poikkeusoloihin varautumisesta. Tiedonhallintayksiköllä pitäisi olla ohjeet siitä, miten tietoaineistoja käsitellään toimintaprosesseissa. Tietojärjestelmien käytöstä pitäisi olla ajantasaiset ohjeet, jotta tietojärjestelmien käyttäjät tietävät ja saavat selon siitä, miten tietojärjestelmiä käsitellään tietoturvallisella tavalla lainmukaisiin käyttötarkoituksiin. Lisäksi ohjeet pitäisi laatia tietojenkäsittelyoikeuksien määrittelemiseksi tietojärjestelmiin ja niillä operoitaviin tietovarantoihin ja niissä oleviin tietoaineistoihin. Ohjeessa tulisi määritellä, millä perusteella käyttöoikeuksia määritellään ja kuka käyttöoikeudet myöntää. Ohjeissa tulisi myös määritellä, miten tiedonhallinnan vastuut toteutetaan käytännössä tiedonhallintayksikössä sen luettelon 1 kohdassa tarkoitetun sisäisten tehtävävastuiden mukaisesti. Tiedonhallintayksiköllä pitäisi olla ohjeet siitä, miten ja kenen vastuulla on vastata julkisuuslain tai muun lain perusteella tehtyihin tietopyyntöihin ja millä tavalla pyydetyt tiedot annetaan. Ohjeissa pitäisi olla kuvaukset myös varautumisesta poikkeaviin tilanteisiin, joiden vuoksi normaali tietojenkäsittely ja tiedonhallinta ei ole mahdollista, esimerkiksi tietoliikennehäiriöön, tietojärjestelmässä olevan käyttökatkoon tai muuhun häiriöön liittyen. Ohjeissa olisi oltava myös kattavat kuvaukset tietoturvajärjestelyistä. Jokaisella tiedonhallintayksikössä toimivalla tulisi olla tieto siitä, miten tietoturvallisuuteen liittyvät vastuut jakautuvat tiedonhallintayksikössä ja millaisilla järjestelyillä pyritään huolehtimaan tiedonhallinnan ja tietojenkäsittelyn tietoturvallisuudesta. Ohjeistuksen laatimisvelvollisuus ei olisi uusi, vaan sääntelyä täsmennettäisiin uudessa laissa. Julkisuuslain 18 §:n 1 momentin 5 kohdan mukaan viranomaisen on tullut huolehtia siitä, että sen palveluksessa olevilla on tarvittava tieto käsiteltävien asiakirjojen julkisuudesta sekä tietojen antamisessa ja käsittelyssä sekä niiden ja asiakirjojen ja tietojärjestelmien suojaamisessa noudatettavista menettelyistä, tietoturvallisuusjärjestelyistä ja tehtävänjaosta. Lisäksi valtionhallintoa koskien on säädetty vielä erikseen viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta annetun asetuksen (1030/1999) 4 §:ssä ohjeiden laatimisvelvollisuudesta. Puolestaan yleisessä tietosuoja-asetuksessa on säädetty rekisterinpitäjän velvollisuudesta laatia ohje henkilötietojen käsittelystä.
Pykälän 1 momentin luettelon 3 kohdan perusteella tiedonhallintayksiköissä pitäisi tarjota mahdollisuutta koulutukseen tai muuhun perehdytykseen sen toiminnassa noudatettavista tiedonhallinnan menettelytavoista, sovellettavasta lainsäädännöstä, asiakirjojen julkisuutta ja salassapitoa koskevista säädöksistä sekä tiedonhallintayksikön tai siinä toimivien viranomaisten määräyksistä sekä ohjeista tiedonhallinnan toteuttamiseksi. Koulutusta pitäisi järjestää henkilöstölle, mutta myös muille tiedonhallintayksikössä toimiville, esimerkiksi yrityksien asiantuntijoille, jos asiantuntijat osallistuvat tiedonhallinnan toteuttamiseen tai käsittelevät viranomaisten tietoaineistoja. Ehdotettava uusi säännös sisältyy pääosin julkisuuslain 18 §:n 1 momentin 5 kohdassa säädettyihin vaatimuksiin.
Pykälän 1 momentin luettelon 4 kohdan perusteella johdon vastuulla olisi huolehtia siitä, että tiedonhallintayksikön käytössä olisivat tarkoitukseen soveltuvat asianmukaiset työvälineet, jotta tiedonhallintayksikössä toimivat viranomaiset voivat hoitaa tiedonhallintaan liittyvät tehtävänsä hyvän hallinnon edellyttämällä tavalla tehokkaasti ja tuloksellisesti. Säännöksellä korostettaisiin sitä, että tiedonhallinnassa tarvittavat työvälineet, kuten päätelaitteet, palvelimet ja ohjelmistot ovat tehtävien edellyttämällä tavalla ajantasaisia ja riittävän suojattuja siten, että työvälineiden käyttö tukee viranomaisten tehtävien hoitamista hyvän hallinnon edellyttämällä tavalla. Asianmukaisten työvälineiden hallinnointia varten tiedonhallintayksikköjen tulisikin suunnitella laitteistojen ja tietojärjestelmien elinkaaret siten, että näiden avulla viranomainen voi hoitaa tiedonhallintayksikössä sille laissa kuuluvat tehtävät asianmukaisesti.
Pykälän 1 momentin luettelon 5 kohdan mukaan johdon olisi järjestettävä riittävä valvonta tiedonhallintaan liittyvien säädösten, määräysten ja ohjeiden noudattamisesta. Siten johdon tulisi huolehtia siitä, että tiedonhallintayksikössä on olemassa riittävät kontrollit, joilla varmistetaan, että tiedonhallintayksikössä toimivat viranomaiset noudattavat tiedonhallintaa koskevia tässä tai muussa laissa säädettyjä vaatimuksia ja että tiedonhallintayksikön sisäisiä määräyksiä ja ohjeita tiedonhallinnasta noudatetaan. Valvontaan sisältyisi myös sen kontrollointi, että henkilöstöllä on riittävä osaaminen tietoturvallisuuden ja muun tiedonhallinnan toteuttamisesta. Valvonnan järjestäminen olisi osa tiedonhallintayksikön sisäisen valvonnan järjestelyjä ja tietoturvallisuustoimenpiteiden toteuttamista. Säännös ei olisi uusi, koska kumottavaksi ehdotetun julkisuuslain 18 §:n 1 momentin 5 kohdassa on säädetty valvonnan järjestämisestä hyvän tiedonhallintatavan toteuttamiseksi.
5 §.Tiedonhallintamalli ja muutosvaikutuksen arviointi. Pykälässä säädettäisiin tiedonhallintayksikön velvollisuudesta laatia ja ylläpitää toimintaympäristönsä tiedonhallintamallia. Säännöksen tarkoituksena olisi, että tiedonhallintayksiköllä on selkeä kuvaus toimintaympäristön tiedonhallinnasta, jolla palvellaan tietojärjestelmien yhteentoimivuutta, tietovarantojen käsittelyn avoimuutta ja julkisuutta sekä tietoaineistojen hallinnan ennakollista suunnittelua viranomaisten tehtävien hoitamista varten. Tiedonhallinnan suunnittelu-, arviointi- ja kuvaamisvelvollisuuksien kokoamisella samaan lakiin ja yhteen pykälään tavoitellaan nykyisten eri säädöksiin hajautuneiden velvoitteiden yhdenmukaistamista sekä sitovien kuvausvelvoitteiden kohdentamista tiedonhallinnan kannalta olennaisiin kohteisiin. Pykälä korvaisi osittain julkisuuslain 18 §:n 1 momentin 2 kohdassa säädetyn vaatimuksen kuvata viranomaisen käytössä olevat tietojärjestelmät ja niissä olevat julkiset tiedot. Pykälä edistäisi myös tietosuoja-asetuksen 30 artiklassa säädetyn käsittelytoimia koskevan selosteen tietosisällön aktiivista ylläpitoa. Pykälä korvaisi myös kumottavaksi ehdotettavan tietohallintolain 7 §:ssä säädetyn viranomaisen velvollisuuden kuvata kokonaisarkkitehtuurinsa. Tiedonhallintamalliin sisältyisi myös tiedot viranomaisen operatiivisten tehtävien hoitamisen yhteydessä muodostuvien tietoaineistojen elinkaaren päättämiseen liittyvistä arkistoinnin tiedoista tai tietoaineiston tuhoamisesta. Arkistolain 8 §:n 2 momentin mukaan arkistonmuodostajan on määrättävä tehtävien hoidon tuloksena kertyvien asiakirjojen säilytysajat ja -tavat sekä ylläpidettävä niistä arkistonmuodostussuunnitelmaa. Koska tietoaineistojen säilytysajat ja -tavat sekä tieto arkistoinnista ja arkistointitavasta sisältyisivät tiedonhallintamalliin, vastaisi tiedonhallintamalli myös niitä vaatimuksia, joita arkistolaissa arkistonmuodostussuunnitelman sisällöstä on säädetty. Siten arkistonmuodostussuunnitelman laissa säädetty sisältö voitaisiin sisälyttää osaksi tiedonhallintamallia. Tällä vähennetään tiedonhallintayksikköjen hallinnollista taakkaa ja moninkertaisia kuvaamisvelvollisuuksia. Hallituksen esityksessä ei ehdoteta muutettavaksi arkistolakia, joten arkistonmuodostussuunnitelmaa koskeva säännös jäisi arkistolakiin. Koska arkistonmuodostussuunnitelmalle ei ole asetettu muotovaatimuksia, täyttää tiedonhallintamallin minimisisältö myös arkistonmuodostussuunnitelmalle säädetyt vaatimukset. Tällöin tiedonhallintamalli muodostaa tiedonhallinnan kokonaiskuvauksena eheän kokonaisuuden. Laissa olisi säädetty tiedonhallintamallin sisällön minimivaatimuksista. Siten tiedonhallintayksiköt voisivat sovittaa ja täydentää tiedonhallintamalliaan tarvittavilla lisäkuvauksilla esimerkiksi asiakirjahallinnon tehtävien hoitamiseksi. Siten tiedonhallintayksiköissä käytössä olevat tiedonhallintasuunnitelmat, eAMS-suunnitelmat taikka tiedonohjaussuunnitelmat voitaisiin sisällyttää tiedonhallintamalliin kuitenkin siten, että ne yhteensovitetaan tiedonhallintamallin muuhun sisältöön, jotta tiedonhallintamalli muodostaa eheän kokonaisuuden muun muassa viranomaisen prosesseista ja tietovarannoista sekä niissä käsiteltävistä tiedoista.
Jotta pykälässä tarkoitetut kuvaukset palvelevat julkisuusperiaatteen, tietoturvallisuuden, hyvän hallinnon edellyttämien asianmukaisten palvelujen toteuttamisen sekä tietovarantojen ja tietojärjestelmien yhteentoimivuuden tarpeita, on tiedonhallintamallissa kuvattava tiedonhallintayksikön toimintaprosessien, niitä toteuttavien tietojärjestelmien sekä niissä käsiteltävien tietovarantojen muodostama kokonaisuus ja näiden suhteet toisiinsa. Toimintaympäristöllä tarkoitettaisiin pykälässä tiedonhallintayksikön oman toiminnan kuvausta sekä tiedonhallintayksikön toiminnan kannalta keskeisten sidosryhmien tunnistamista suhteessa tiedonhallintayksikön toimintaan. Sidosryhmät voivat muodostua tiedonhallintayksikön asiakkaiden, toimintaan osallistuvien muiden tiedonhallintayksiköiden tai tiedonhallintayksikön palvelutoimintaan liittyvien palvelun tuottajien kautta. Toimintaympäristön kuvaus kattaisi siten tiedonhallintayksikön palvelut, prosessit, tietovarannot ja tietojärjestelmät sekä näiden väliset suhteet ja liittymät tiedonhallintayksikön ulkoisiin toimijoihin. Kuvaus myös edesauttaisi tietoturvallisuuteen liittyvien velvoitteiden täyttämistä. Tiedonhallintamallin perusteella tiedonhallintayksikössä viranomaiset toteuttavat tiedonhallintaa yhtenäisten ennalta suunniteltujen menettelyiden mukaisesti ja tiedonhallinta toteutettaisiin tiedonhallintamallissa määritellyllä tavalla. Käytännössä tiedonhallintamalli olisi tiedonhallintayksikössä noudatettava hallinnon sisäinen määräys siitä, miten asiankäsittely, palvelujen tuottaminen sekä niihin liittyvä tiedonhallinta on järjestettävä tiedonhallintayksikössä. Tiedonhallintamallista ilmenisi, mitä toimintaprosesseja tiedonhallintayksikössä on, millä tietojärjestelmillä toimintaprosesseissa muodostuvia asiakirjoja ja muita vastaavia tietoja käsitellään sekä mihin tietovarantoihin asiakirjat kuuluvat. Tiedonhallintamallia täydentävät kuvaukset voivat olla esimerkiksi tietojärjestelmien toimintakuvauksia tai prosessiohjauksen tarkoituksessa laadittuja tietojärjestelmien määrityksiä tiedonohjaussuunnitelmina, mutta näistä ei säädettäisi laissa, vaan tiedonhallintayksiköt voisivat arvioida tarpeittensa mukaisen kuvaustason, kunhan laissa säädetyt minimivaatimukset täyttyvät.
Tehtävien ja palvelujen kuvaaminen tiedonhallintamallissa mahdollistaisi tiedonhallinnan kytkemisen tiedonhallintayksikölle säädettyihin tehtäviin, joka palvelisi ehdotuksen 28 §:ssä säädettyä velvoitetta järjestää muussa kuin asiankäsittelyn yhteydessä muodostuvan tiedonhallinta siten, että tiedot olisi haettavissa erilaisten yksilöintitietojen tai tunnisteiden avulla. Tämä edesauttaisi hallinnon asiakkaan muden oikeuksien toteuttamista muun muassa tiedonsaantia itseään koskevista asiakirjoista tai niitä vastaavista tallenteista.
Pykälän 1 momentin mukaan tiedonhallintayksikön olisi ylläpidettävä toimintaympäristönsä tiedonhallintaa määrittelevää ja kuvaavaa tiedonhallintamallia. Tiedonhallintamallin laatimisen perusteet olisi säädetty niin ikään 1 momentissa. Tiedonhallintamalli tulisi laatia ja ylläpitää palvelujen, asiankäsittelyn ja tietoaineistojen hallinnan suunnittelemiseksi ja toteuttamiseksi, tiedonsaantia koskevien oikeuksien ja rajoitusten toteuttamiseksi, moninkertaisen tietojen keruun vähentämiseksi, tietojärjestelmien ja tietovarantojen yhteentoimivuuden toteuttamiseksi sekä tietoturvallisuuden ylläpitämiseksi. Näitä tarkoituksia varten 2 momentissa olisi säädetty yksityiskohtaisesti niistä tiedonhallinnan elementeistä, joista voidaan muodostaa kokonaiskuva kunkin tiedonhallintayksikön tiedonhallinnan toteuttamisesta.
Pykälän 2 momentissa säädettäisiin tiedonhallintamallin sisällöstä. Ehdotetun säännöksen mukaan tiedonhallintamalliin kuuluisivat kuvaukset tiedonhallintayksikön toimintaprosesseista, tietovarainnoista, tietoaineistoista, tietojärjestelmistä ja tietoturvajärjestelyistä. Momentti sisältäisi luettelon niistä seikoista, jotka tiedonhallintamallissa tulisi olla kuvattuna tiedonhallinnan asianmukaisen toteuttamisen varmistamiseksi. Luettelossa on mainittu tiedonhallintamallin minimitietosisältö, jota tiedonhallintayksikkö voi täydentää omilla tietotarpeillaan, esimerkiksi kokonaisarkkitehtuurikuvausten mukaiseksi. Laissa ei säädettäisi, millä menettelyllä tai muodossa kuvaukset tuotettaisiin. Ne jäisivät tiedonhallintayksikköjen harkintaan. Tiedonhallintamallin voisi kuvata soveltuvin osin esimerkiksi kokonaisarkkitehtuurimenetelmää tai muuta kuvausmenetelmää käyttäen.
Pykälän 2 momentin 1 kohdan mukaan tiedonhallintamallissa kuvattaisiin tiedonhallintayksikön toimintaprosessit. Toimintaprosesseista kuvattaisiin niitä kuvaavat nimikkeet, prosesseista vastaavat viranomaiset, prosessin tarkoitus sekä prosessin sidokset muihin prosesseihin. Kohdan tarkoituksena on varmistaa, että tiedonhallintayksikkö ylläpitäisi aktiivisesti kokonaiskuvausta toimintaprosesseistaan tiedonhallinnan asianmukaisen toteuttamisen näkökulmasta ja ottaen huomioon tiedonhallintamallin kokonaisuuden kuvaukseen liittyvät muut asiat. Kuvaus ja sitä tarkentavat tiedot palvelisivat tietovarantojen ja tietojärjestelmien yhteentoimivuuden edistämisessä ja helpottaisivat lain sisäisten velvoitteiden täyttämisessä. Viranomaisten tiedonhallinta perustuu toimintaprosesseissa muodostuviin ja käsiteltäviin tietoihin. Toimintaprosessien koostaminen tiedonhallintamalliin muodostaa kokonaiskuvan tiedonhallintayksikölle siitä, missä ja miten viranomaisten tietoaineistot muodostuvat tiedonhallintayksikössä ja miten niitä käsitellään. Toimintaprosessit ovat erottamaton osa tiedonhallinnan toteuttamista. Toimintaprosessien sitominen tietojärjestelmiin ja tietovarantoihin edistää myös tiedonhallintayksikköjen johdon tietojohtamisen päämääriä. Se, millä tasolla ja miten prosessit mahdollisesti kuvataan tarkemmin, jää tiedonhallintayksikköjen tarkoituksenmukaisuusarvioinnin varaan. Laissa on säädetty vain minimivaatimukset, jotta tiedonhallinnan asianmukainen järjestäminen voidaan toteuttaa pykälässä mainittujen tarkoitusten toteuttamiseksi. Toimintaprosessien luetteloita ja kuvauksia on tehty jo aiemmin osana kokonaisarkkitehtuurikuvauksia ja asiakirjahallinnon käytäntöinä toteutetuissa tiedonohjaussuunnitelmissa, joiden laatiminen on perustunut ainoastaan alan käytäntöihin eikä lain säännöksiin. Tiedonohjaussuunnitelmissa on kuvattu tehtävätasolla toimintaprosessit luettelomaisesti tehtäväluokituksena. Velvollisuus kuvata prosessit yleisellä tasolla ei olisi siten uusi.
Pykälän 2 momentin 2 kohdan mukaan tietovarantojen sisältökuvaukset koostuisivat tietovarantojen nimikkeistä sekä kuvauksista tietovarantojen sidoksista niitä käyttäviin toimintaprosesseihin ja tietojärjestelmiin. Tällä kuvauksella käytettävät tietovarannot sidotaan toimintaprosesseihin ja tietojärjestelmiin. Käytännössä tietovarantojen kuvauksia laaditaan viranomaisissa jo nyt tietosuoja-asetuksen 30 artiklan 1 kohdan perusteella käsittelytoimia koskevina selosteina. Tietosuoja-asetuksessa ei ole säädetty selosteen laatimisen muodosta, joten sen sisältöä voidaan hyödyntää tiedonhallintamallin kuvauksena, kun kohteena on tietovaranto. Tietosuoja-asetuksen 30 artiklan 1 kohdan mukainen seloste pitää laatia henkilötietojen käsittelytoimista, joten laatimisvelvollisuus ei koskisi muita tietoja. Tästä syystä 2 kohdassa olisi säädetty vaihtoehtoisesti siitä, että selosteeseen sisältyvät tiedot tulisi kuvata, jos selostetta ei tarvitsisi tietosuoja-asetuksen mukaan laatia. Siten tietovarannot, joihin ei kohdistu henkilötietojen käsittelytoimia eikä henkilötietoja, kuvattaisiin ehdottavan lain perusteella siten, että kuvauksesta ilmenee tiedot tietovarannosta vastaavasta viranomaisesta, tietovarannon käyttötarkoituksesta, keskeisistä tietoryhmistä tietoaineistoissa, tietojen luovutuskohteista ja tietojen säilytysajoista. Tietovarantojen sisältökuvaukset edistäisivät tietovarantojen yhteentoimivuutta, siihen liittyvien tarpeiden tunnistamista ja yhteentoimivuuden kehittämistä sekä tietoturvallisuuteen liittyvien velvoitteiden sekä julkisuusperiaatteen toteuttamista. Tietovarantojen kuvaukset kuvaavat mitä tietoaineistoja viranomaisilla on ja mihin niitä käytetään sekä miten tietovarantojen käyttöön liittyvä toiminta on sidoksissa eri prosesseihin ja tietojärjestelmiin. Kun tiedonhallintayksiköillä on olemassa tietovarantojen kuvaukset, voivat ne toteuttaa tämän lain 28 §:ssä säädetyn velvollisuuden laatia julkisuusperiaatteen toteuttamiseksi kuvauksen, jonka perusteella yleisö ja asianosaiset voivat pyytää tiedonsaantioikeuksien puitteissa tietoja tietovarannoissa olevista tiedoista.
Pykälän 2 momentin 3 kohdan mukaan tietoaineiston kuvauksessa tulisi olla tieto siitä, mitkä aineistot siirretään säilytysajan jälkeen arkistoon, millä tavalla tietoaineisto arkistoidaan, mikä on arkistointipaikka ja miten tietoaineistot on suunniteltu tuhottavaksi. Kuvausvelvollisuus kattaisi tältä osin arkistolaissa säädetyn vaatimuksen ylläpitää arkistonmuodostussuunnitelmaa. Tiedonhallintamalli sisältäisi myös tiedot tietoaineistojen ja niissä olevien asiakirjojen säilytysajoista 2 kohdan perusteella. Arkistoinnista ja tietojen säilytysaikojen määrittelemisen vastuista on säädetty erikseen tietosuoja-asetuksessa ja siltä osin kuin tietosuoja-asetus ei tule sovellettavaksi arkistolaissa. Alan käytänteiden varaan jää sen määrittäminen, miten tietojärjestelmien suunnittelussa ja toteutuksessa tarvittavat kuvaukset ja suunnitelmat tulisi laatia. Tiedonhallintamallia ei ole tarkoitettu yksittäisen tietojärjestelmän tai sen osan toimintalogiikan määritykseksi.
Pykälän 2 momentin 4 kohdan mukaan tietojärjestelmistä tulisi kuvata tietojärjestelmien nimikkeet, tietojärjestelmästä vastaava viranomainen, tietojärjestelmän käyttötarkoitukset, tiedot liittymistä muihin tietojärjestelmiin sekä liittymissä käytettävät tiedonsiirtotavat. Tiedonsiirtotavalla tarkoitettaisiin sitä, millä tavoilla ja mitä tietoja siirretään tietojärjestelmästä mahdollisesti muihin tietojärjestelmiin, esimerkiksi tapahtuuko tietojensiirto teknisiä rajapintoja käyttämällä vai katseluyhteydellä. Tietojärjestelmien sidokset tietovarantoihin ja niissä oleviin tietoaineistoihin sekä toimintaprosesseihin kuvattaisiin 1 ja 2 kohtien perusteella. Tietojärjestelmien kuvaus edistäisi tietojärjestelmien yhteentoimivuutta ja siihen liittyvien tarpeiden tunnistamista sekä yhteentoimivuuden kehittämistä sekä tietoturvallisuuteen liittyvien velvoitteiden sekä julkisuusperiaatteen toteuttamista.
Tietojärjestelmistä on pitänyt laatia kuvaukset julkisuuslain 18 §:n 1 momentin 2 kohdan perusteella, joten tietojärjestelmien kuvaamisvelvollisuus ei olisi uusi, mutta edelleen jatkossakin viranomaisten tulisi laatia julkisuusperiaatteen toteuttamiseksi oma kuvauksensa, kuten siitä on ehdotettu säädettäväksi 28 §:ssä. Tietojärjestelmän kuvauksesta on käytetty aiemmin valtion viranomaisia koskien tietojärjestelmäselosteen käsitettä, jonka sisällöstä on annettu erikseen julkista hallintoa koskeva suositus JHS 146 tietojärjestelmäselosteen laadinnasta. Suositus on koskenut sekä valtion että kuntien viranomaisia, koska julkisuuslaissa ei ole sinällään säädetty tietojärjestelmiä koskevien kuvausten sisällöstä mitään. Kunnatkin ovat joutuneet laatimaan julkisuuslain mukaiset kuvaukset.
Pykälän 2 momentin 5 kohdan mukaan tiedonhallintamalliin kuuluisivat kuvaukset tietoturvamenettelyistä. Tällä halutaan korostaa sitä, että viranomaisen on suunniteltava ennalta, miten tietoturvallisuus toteutetaan ja mitä menettelyistä tietojenkäsittelyn, tietojärjestelmien ja tietoaineistojen turvaamiseksi on toteutettu tai aiottu toteuttaa. Viranomaisten on pitänyt kuvata tietoturvallisuusjärjestelyt henkilörekistereihin henkilötietolain (523/1999) 10 §:n nojalla. Samoin tietosuoja-asetuksen 30 artiklan käsittelytoimia koskevassa selosteessa on kuvattava tekniset ja organisatoriset turvatoimet, joten tietoturvallisuustoimenpiteiden kuvausvelvollisuus ei olisi uusi, vaan voimassa oleviin vaatimuksiin nähden täydentävä.
Pykälän 3 momentissa olisi säädetty tiedonhallinnan muutosten arviointivelvollisuudesta. Eduskunnan tarkastusvaliokunta on todennut mietinnössään 7/2014 vp, että ministeriöiden ja virastojen hanketoiminnan ja projektien johtaminen sekä hankkeiden tuloksellisuuden seuranta ja arviointi kuuluvat ministeriöiden ja virastojen johdon vastuulle. Ehdotettavalla pykälällä pyritään vahvistamaan tietojärjestelmien hanketoiminnan taloudellisten ja toiminnallisten riskien ennakointia ja suunnitelmien saattamista realistiselle pohjalle. Samoin pyritään edistämään yhteentoimivuuden ja tietoturvallisuuden toteuttamista. Tiedonhallintaa koskevien muutoksien ohjaus kuuluu asianmukaiseen tiedonhallintayksikön johtamiseen. Pykälään ei kuitenkaan erikseen ehdoteta johdon vastuuttamista tiedonhallinnan muutossuunnitelman hyväksymisessä, koska johdon vastuulla on huolehtia kokonaisuudessaan tiedonhallinnan järjestämisestä 4 §:n nojalla. Velvollisuus ei olisi uusi, koska julkisuuslain 18.1 §:n 3 kohta on edellyttänyt arvioimaan hallinnollisten ja lainsäädännöllisten uudistusten sekä tietojärjestelmien käyttöönoton yhteydessä uudistusten vaikutukset tiedonhallintaan. Pykälän 3 momentin mukaan suunniteltaessa tiedonhallintamallin sisältöön vaikuttavia olennaisia hallinnollisia uudistuksia ja tietojärjestelmien käyttöönottoa, tiedonhallintayksikössä on arvioitava näihin kohdistuvat muutokset ja niiden vaikutukset suhteessa:
- tiedonhallinnan vastuisiin, jolla tarkoitetaan muutoksia, jotka voivat johtua järjestämisvastuun muutoksista, palvelutuotannon muutoksista tai tietojärjestelmien tuotannon uudistuksista. Tiedonhallinnan vastuiden osalta tulisi arvioida muuttuvatko rekisterinpitäjän vastuut, viranomaisen vastuut, palveluntuottajan vastuut ja miten näiden vastuiden muutokset vaikuttavat tiedonhallinnan vastuisiin, joista on säädetty tässä tai muussa laissa. Erityisesti tulisi arvioida, miten tiedonsaantioikeuksien toteuttamiseen liittyvä toimivalta määräytyy muutosten jälkeen. Esimerkiksi tilanteessa, jossa tiedonhallintayksikkö päättää ulkoistaa palvelujaan, tulisi kuvata, miten tiedonhallinnan vastuut muuttuvat ulkoistuksen yhteydessä. Vastaavalla tavalla palvelukeskusten käytön osalta pitäisi kuvata palvelukeskuksen vastuut suhteessa tiedonhallintayksikköön.
- 4 luvussa säädettyihin tietoturvallisuusvaatimuksiin ja -toimenpiteisiin, jolla tarkoitetaan riskiarviota, jossa selvitetään, minkälaisia riskejä muutos voi aiheuttaa tiedonhallinnalle, tietojenkäsittelylle, tietojärjestelmille ja tietoaineistoille. Riskikartoituksen perusteella tiedonhallintamalliin suunniteltaisiin toimenpiteet, joilla riskit voidaan minimoida. Ennakollisen suunnittelun tarkoituksena on varmistaa tietojen saanti ja viranomaisen toiminta lakisääteisten tehtävien hoitamiseksi ja palvelujen tuottamiseksi.
- 5 luvussa säädettyihin tietoaineistojen muodostamista ja luovutustapaa koskeviin vaatimuksiin, jolla tarkoitetaan muun muassa arviota siitä, voidaanko tässä laissa säädetyistä velvollisuuksista poiketa laissa säädetyillä perusteilla. Arviosta tulisi ilmetä perusteet, jos sähköiseen muotoon muuttamisesta tai säilyttämisestä poiketaan laissa säädetyillä perusteilla. Niin ikään arviosta tulisi ilmetä, mitkä tiedot ovat saatavilla koneluettavassa muodossa laissa säädetyllä tavalla. Arvioon sisältyisi myös perusteet, jos viranomaiselle olisi tarve kerätä hallinnon asiakkailta otteita ja todistuksia, vaikka tiedot olisivat saatavilla laissa tarkoitetulla tavalla luotettavasti ja ajantasaisesti teknistä rajapintaa tai katseluyhteyttä käyttämällä. Arviolla tiedonhallintayksikkö tai viranomainen voivat osoittaa, että laissa säädettyjen velvollisuuksien poikkeuksille on olemassa olevat arviointiin perustuvat perusteensa.
- 6 luvussa säädettyihin asian ja palvelujen tiedonhallinnan vaatimuksiin sekä muualla laissa säädettyihin asiakirjojen julkisuuteen, salassapitoon, suojaan ja tiedonsaantioikeuksiin. Arvioinnissa tulisi kiinnittää erityisesti huomiota siihen, että tietojen julkisuus ja salassapito toteutuvat muutostenkin jälkeen lainsäädännössä edellytetyllä tavalla. Niin ikään arvioinnissa olisi otettava huomioon muualla lainsäädännössä asetetut vaatimukset tietojen suojaamiseksi. Asianhallinnan ja palvelujen tiedonhallinnan muutoksia voisivat olla uuteen tietojärjestelmään tehtävät asianhallinnan toiminnallisuudet sekä asiankäsittelyn metatietojen määritykset. Jos muutoksen seurauksena muodostuu täysin uusia tietoaineistoja, tulisi jo arviointivaiheessa varmistaa, että ne olisivat tietosisältöön oikeutettujen viranomaisten ja muiden toimijoiden hyödynnettävissä tiedonsaantioikeuksien mukaisesti.
Pykälän 3 momentin mukaan tiedonhallintayksikön olisi arvioinnissaan otettava huomioon viranomaisen toiminnan kannalta keskeisten tietovarantojen yhteentoimivuus sekä niiden hyödynnettävyys tietoaineistoja muodostettaessa ja käytettäessä. Säännöksellä tarkoitetaan sitä, että tiedonhallintayksikössä olisi selvitettävä, voidaanko olemassa olevien tiedonsaantioikeuksien puitteissa ja käytettävissä olevalla teknologialla hyödyntää olemassa olevia toisten viranomaisten tietovarantoja tai yhteisiä tietovarantoja vai onko tiedot kerättävä asianosaiselta tai asiakkaalta. Tietojen hyödynnettävyyden arvioinnin tarkoituksena on osaltaan parantaa tiedonhallintayksiköiden edellytyksiä kehittää ja automatisoida omia tiedon luovutus- ja vastaanottoprosesseja sekä edistää tietojen luovutuksen automatisointia tapahtuvaksi pääsääntöisesti teknisten rajapintojen avulla. Arviointivelvollisuudella pyritään myös ohjaamaan tiedonhallintayksiköitä hyödyntämään tehokkaasti jo kerättyjä tietoja sekä varmistamaan, että tiedon tarvitsijat saavat tiedot, joihin niillä on oikeus.
Arvioinnin sisältö riippuu siitä, minkälaisia muutoksia tiedonhallintayksikkö tekee ja mihin toimintaan uudistukset kohdistuvat. Esimerkiksi hallintotoimintaan kohdistuvat muutokset ja niiden arviointitarve voi poiketa lainkäyttöön liittyvien muutosten arviointitarpeesta. Arvion laajuus ja tarkka sisältö jäävät tiedonhallintayksikköjen harkintaan, mutta tiedonhallintalautakunta voisi tiedonhallinnan menettelyjen yhtenäistämiseksi antaa esimerkiksi suosituksen arvioinnin tekemisestä. Laissa olisi myös säädetty siitä, että arviointi olisi tehtävä olennaisia hallinnollisia uudistuksia tai tietojärjestelmien käyttöönottoja tehtäessä. Siten tiedonhallintayksikön harkintaan jäisi, miltä osin ja missä laajuudessa arvio tehtäisiin. Esimerkiksi tietojärjestelmän uuden version käyttöönotto ei välttämättä edellyttäisi arvioinnin tekemistä, mutta uuden tietojärjestelmän käyttöönotto olisi laissa tarkoitettu olennainen tietojärjestelmän uudistus. Niin ikään hallinnollisten uudistusten tekemisen olennaisuus vaikuttaa arviointivelvollisuuden toteuttamiseen ja sisältöön. Muutokset, joilla ei olisi vaikutusta tiedonhallintamallin vähimmäissisältöön, ei edellyttäisi muutosten arviointia. Laissa säädetty arviointivelvollisuus olisi täydentävä suhteessa tietosuoja-asetuksen 35 artiklassa säädettyyn vaikutusarviointiin nähden.
Pykälän 3 momentin mukaan arvioinnin perusteella tiedonhallintayksikön on ryhdyttävä tarpeellisiin toimenpiteisiin tiedonhallintamallin muuttamiseksi ja muutosten toimeenpanemiseksi. Siten säännös tarkoittaa sitä, että tiedonhallintayksikössä toimivilla viranomaisilla on toimintavelvollisuus ryhtyä toimenpiteisiin tehdyn arvioinnin perusteella, jotta viranomaisten toiminta voidaan turvata sekä yksilöiden edut, oikeudet ja velvollisuudet toteuttaa. Momentti sisältäisi myös selvyyden vuoksi tarpeelliset viittaukset tietosuojalainsäädäntöön. Tietosuoja-asetuksen 35 artiklassa on säädetty tietosuojaa koskevasta vaikutuksenarvioinnista ja 36 artiklassa on säädetty tähän liittyvästä valvontaviranomaisen ennakkokuulemismenettelystä. Tietosuoja-asetuksessa säädetyt velvollisuudet ja menettelyt tulisi ottaa huomioon tiedonhallinnan muutosvaikutuksia arvioitaessa. Vastaavasta tietosuojan vaikutusarvioinnista on säädetty laissa henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ja ylläpitämisen yhteydessä (HE 31/2018 vp). Tietosuojasääntely ja tiedonhallintalain säännökset muodostavat toisiaan täydentävän arviointikokonaisuuden.
3 luku Julkisen hallinnon tiedonhallinnan yleinen ohjaus
6 §.Tietovarantojen yhteentoimivuuden yleinen ohjaus. Pykälässä säädettäisiin julkisen hallinnon tietovarantojen yhteentoimivuuden yleisestä ohjauksesta. Jokainen viranomainen vastaa omien tietovarantojensa ylläpidosta ja kehittämisestä toimivaltansa puitteissa. Kuitenkin verkostomaisesti toimivassa hallinnossa on kehitetty yhteisiä tietovarantoja joko viranomaisten yhteiseen käyttöön tai yhteiskunnan yleiseen käyttöön. Tietovarantojen tietoja hyödynnetään sähköisessä muodossa yhteiskunnan eri toiminnoissa. Jotta viranomaisten tietovarantojen keskinäinen yhteentoimivuus voitaisiin varmistaa ja yhteensovittaa kansallisella tasolla, tarvitaan tähän tätä työtä ohjaava viranomainen, jonka tehtävistä olisi säädetty ehdotettavassa pykälässä.
Pykälän 1 momentin mukaan valtiovarainministeriön tehtävänä olisi julkisen hallinnon yhteisten tietovarantojen yhteentoimivuuden yleinen ohjaus. Momentissa säädettäisiin myös niistä tehtävistä, joilla ohjausta erityisesti toteutettaisiin. Tehtävät rajaavat osaltaan valtiovarainministeriön toimivaltaa ohjauksessa laissa määriteltyjen tehtävien hoitamiseen. Ehdotettu sääntely ei kuitenkaan muuttaisi tai rajaisi valtiovarainministeriön valtioneuvoston ohjesäännön mukaista toimialaa. Valtiovarainministeriön tehtävänä olisi yhteentoimivuuden yleisen ohjauksen toteuttamiseksi 1 momentin toisen virkkeen 1 kohdan mukaan huolehtia julkisen hallinnon tiedonhallintakartan ylläpidosta. Julkisen hallinnon tiedonhallintakartan tarkoituksena on tuottaa pääpiirteinen kuvaus julkisen hallinnon tiedonhallinnasta, jonka perusteella voidaan suunnitella ja kehittää julkisen hallinnon tietovarantojen ja tietojärjestelmien yhteentoimivuutta. Tiedonhallintakartan tarkoituksena on muodostaa riittävän laaja ja kattava kuvaus julkisen hallinnon toimintaa tukevan tiedonhallinnan järjestämisestä sekä tietovarantojen välisistä tietovirroista keskeisten yhteentoimivuuden ongelmakohtien sekä niiden vaikutusten arvioimiseksi. Lisäksi julkisen hallinnon tiedonhallintaa ja sen järjestämistä koskeva kuvaus muodostaisi jatkossa paremmat lähtökohdat arvioida laajojen hallinnollisten tai rakenteellisten muutosten vaikutuksia tiedonhallinnasta vastaaville viranomaisille. Julkisen hallinnon yleisen tiedonhallintakartan sisällön ylläpidosta vastaisivat ministeriöt. Ministeriöt ylläpitäisivät toimialastaan vastaavaa informaatiota ja päivittäisivät tiedonhallintakarttaa esimerkiksi silloin, kun lainsäädäntöä, toimintatapoja tai tietojärjestelmiä uudistetaan siten, että tiedonhallintakartassa kuvattuihin tietovarantoihin tulee uudistuksista johtuvia muutoksia.
Pykälän 1 momentin 2 kohdassa olisi säädetty valtiovarainministeriön tehtäväksi ylläpitää julkisen hallinnon tiedonhallinnan kehittämisen yleisiä linjauksia tietovarantojen ja tietojärjestelmien yhteentoimivuuden edistämiseksi. Käytännössä linjaukset vaikuttavat valtion virastojen ja laitosten vastuulla olevien tietovarantojen kehittämiseen, jossa valtiovarainministeriöllä olisi ohjauskeinona käytettävissä 9 §:ssä säädettäväksi ehdotettava lausuntomenettely. Siten linjaukset eivät ohjaisi valtionhallinnon ulkopuolisten tiedonhallintayksikköjen toimintaa kuin välillisesti siltä osin kuin nämä muut tiedonhallintayksiköt käyttävät yhteisiä tietovarantoja ja tietojärjestelmiä. Linjausten ylläpidon käytännön toteutus voidaan tehdä Väestörekisterikeskuksen tehtävänä ja viranomaisten välisessä yhteistyössä. Linjausten ylläpidolla tarkoitettaisiin julkisen hallinnon tietovarantojen yhteentoimivuuden varmistamiseksi tarvittavien tietomääritysten kokoamista yhteiseen palveluun saataville, kehityshankkeissa syntyvien määritysten harmonisointia ja linkittämistä Euroopan unionin tasoiseen määritystyöhön sekä määritysten käyttökelpoisuuden varmistavaa hallintamallia. Linjausten hyödyntäminen ja yhteisiin määrityksiin perustuva kehittäminen parantaa yhteentoimivuuden ohjauksen vaikuttavuutta. Pykälän 2 momentissa säädettäisiin ministeriöiden tehtävästä ylläpitää vastaavia yhteentoimivuuden linjauksia omalla toimialallaan.
Yleisen tiedonhallintakartan sisällön ylläpidosta olisi säädetty pykälän 2 momentissa, jonka mukaan ministeriöiden on huolehdittava julkisen hallinnon tiedonhallintakartan sisällön ajantasaisuudesta omalla toimialallaan. Momentti sisältäisi valtioneuvostolle asetuksenantovaltuuden siitä, mitä tietoja tiedonhallintakartta sisältää ja millä tavalla ylläpito toteutetaan. Tarkoituksena on, että valtiovarainministeriö ylläpitäisi verkkosivustoa, esimerkiksi Avoindata.fi-portaalissa, jonne tiedonhallintakartan tiedot sisällytettäisiin. Julkisen hallinnon tiedonhallintakartan sisällössä olisi samoja elementtejä kuin tietohallintolaissa tarkoitetussa julkisen hallinnon kokonaisarkkitehtuurin kuvauksessa.
Valtiovarainministeriön yleisellä ohjauksella edistettäisiin semanttista yhteentoimivuutta. Tällä tarkoitetaan sitä, että tietojärjestelmien vaihtamien tietoaineistojen muodot ja merkityssisällöt tulkitaan tietojärjestelmien välillä samalla tavalla. Ohjaus tarkoittaisi myös sitä, että valtiovarainministeriö koordinoisi ja ohjaisi muun muassa julkisen hallinnon yhteisten tietovarantojen sanastojen määrittelyä sekä toimialakohtaisten yhteentoimivuuden linjausten laatimista, joilla mahdollistetaan osaltaan tietojärjestelmien yhteentoimivuus. Teknisten rajapintojen käyttöön liittyvästä yhteentoimivuudesta olisi säädetty erikseen 22—24 §:ssä. Tähän liittyvien tietorakenteiden kuvausten määrittely olisi ehdotetun lain 22 §:n perusteella kunkin viranomaisen vastuulla. Suunniteltaessa usean viranomaisen välistä tietojen luovuttamista teknisen rajapinnan avulla toimialasta vastaava ministeriö tai vastaavat ministeriöt yhteistyössä ohjaisivat teknisen yhteentoimivuuden mahdollistavien rajapintojen määrittelytyötä.
Pykälän 1 momentin 1 kohdassa tarkoitetulla tiedonhallintakartalla ja valtiovarainministeriön yleiseen ohjaukseen liittyvillä tehtävillä luodaan kansallinen yhteentoimivuuden viitekehys, jolla tarkoitetaan Eurooppalaisten yhteentoimivuusperiaatteiden (EIF) esittämän lähestymistavan muuntamista kansallisten erityispiirteiden mukaiseksi sekä yhteensopivaksi eurooppalaisten toimialakohtaisten yhteentoimivuuden viitekehysten kanssa (esim. INSPIRE). Eurooppalaisten yhteentoimivuusperiaatteiden tavoitteena on edistää yhteentoimivien julkisten palvelujen tuottamista jäsenvaltioissa.
Ehdotetulla sääntelyllä muutettaisiin julkisen hallinnon tietohallinnon ohjauksesta annetussa laissa (634/2011, tietohallintolaki) säädettyä julkisen hallinnon viranomaisten tietojärjestelmien yhteentoimivuuden ohjausmekanismia vastaamaan paremmin eduskunnan edellyttämien tietojärjestelmien yhteentoimivuuden ja rajapintojen sääntelyä (EK 30/2009 vp, EK 10/2012 vp). Tietohallintolaissa julkisen hallinnon tietojärjestelmien yhteentoimivuuden ohjaus on perustunut lain 7 §:ssä julkisen hallinnon viranomaisille säädettyyn velvoitteeseen ottaa tietojärjestelmiensä suunnittelussa ja hankinnoissa huomioon ministeriöiden laatimat toimialakohtaiset yhteentoimivuuden kuvaukset sekä 9 §:ssä säädettyyn velvoitteeseen saattaa tietojärjestelmänsä vastaamaan valtioneuvoston tai ministeriön asetuksella säädettyjä ministeriöiden laatimia tietojärjestelmien yhteentoimivuuden kuvauksia ja määrityksiä. Tietohallintolain nojalla ei lain voimassa olon aikana ole annettu julkisen hallinnon viranomaisten tietojärjestelmien yhteentoimivuutta koskevia asetuksia, eikä määritelty tarkemmin sääntelyn kohteena olevan yhteentoimivuuden kuvauksen ja määrityksen sisältöä. Ohjauksen yksinkertaistamiseksi ja tehostamiseksi ei lakiin enää sisältyisi tietohallintolain monivaiheista tietojärjestelmien yhteentoimivuuden kuvausten ja määritysten valmisteluprosessia ja siihen liittynyttä asetuksenantovaltuutta. Jatkossa ehdotukseen sisältyvä yleinen tietovarantojen yhteentoimivuuden ohjaus toteutettaisiin yhteentoimivuuden edistämiseksi muodostettavilla valtiovarainministeriön ja ministeriöiden ylläpitovastuulla olevilla linjauksilla, joiden toteutuminen kehittämiskohteissa valtionhallinnon osalta varmistettaisiin 9 §:ssä säädettäväksi ehdotetulla lausuntomenettelyllä ja muun julkisen hallinnon osalta 24 §:ssä säädettäväksi ehdotetulla ministeriöiden johdolla tapahtuvalla yhteisellä suunnittelulla. Ehdotettu sääntely osin tiukentaa teknisen yhteentoimivuuden toteutuksen vaatimuksia rajapintojen kuvaamisvelvollisuudella, josta olisi säädetty ehdotetun lain 22 §:ssä.
7 §.Julkisen hallinnon tiedonhallinnan sekä tieto- ja viestintäteknisen palvelujen tuottamisen yhteistyö. Pykälässä säädettäisiin valtiovarainministeriön velvollisuudesta huolehtia julkisen hallinnon tiedonhallinnan sekä tieto- ja viestintäteknisten palvelujen tuottamisen yhteistyöstä. Yhteistyövelvoite koskisi ehdotetussa laissa sääntelykohteena olevan tiedonhallinnan ohella tieto- ja viestintäteknisten palvelujen tuottamista julkisessa hallinnossa. Lisäksi valtiovarainministeriön toimialaan kuuluu valtioneuvoston toimialaa ja ministeriöiden tehtäviä koskevien säännösten perusteella valtionhallinnon ohjaus ja valtion, maakuntien ja kuntien tietohallintoyhteistyö. Tieto- ja viestintäteknisten palvelujen tuottamisella ja yleisemminkin tieto- ja viestintäteknisten keinojen hyödyntämisellä organisaatioiden toiminnassa on läheinen vaikutus siihen, miten tämän lain mukaiset tavoitteet julkisen hallinnon toiminnassa toteutuvat. Säännöksen mukaan valtiovarainministeriön olisi järjestettävä tarvittavat yhteistyötavat ja -menettelyt, joissa on mukana valtion viranomaiset sekä maakuntien ja kuntien viranomaiset. Säännöksessä ei sidottaisi sitä, miten yhteistyö järjestetään eikä myöskään sitä, voiko yhteistyöhön osallistua myös muita tahoja kuin säännöksessä nimenomaan mainitut viranomaiset, kuten Kansaneläkelaitos. Käytännössä toimintaa voidaan järjestää nykyisellä tavalla neuvottelukunnan tai muiden yhteistyöelimien avulla.
Ehdotetun pykälän 1 momentin mukaan yhteistyön tarkoituksena olisi edistää tämän lain tarkoituksen toteuttamista sekä julkisen hallinnon toimintatapojen ja palveluiden tuotantotapojen kehittämistä tietovarantoja sekä tieto- ja viestintätekniikkaa hyödyntämällä. Yhteistyössä keskeisenä tehtävänä olisi seurata julkisen hallinnon tiedonhallinnan ja tieto- ja viestintäteknisten palvelujen kehittymistä, muutoksia ja vaikutuksia. Tehtävän mukaisesti olisi tarkoitus yhteistyössä seurata muun muassa julkisen hallinnon tiedonhallinnan kehitystä sekä arvioida julkisen hallinnon tehtäviin, palvelu- ja hallintorakenteisiin sekä tietojärjestelmiin suunniteltujen muutosten vaikutuksia julkisen hallinnon viranomaisten toimintaan.
Julkisen hallinnon tietohallinnon neuvottelukunta on toiminut vuodesta 1988 alkaen. Sitä koskeva perussäännös otettiin lain tasolle vuonna 2011 säädetyssä laissa julkisen hallinnon tietohallinnon ohjauksesta. Neuvottelukunta on ollut valtion viranomaisten, Kansaneläkelaitoksen ja kunnallisten viranomaisten pysyvä yhteistyö- ja neuvotteluelin.
Ehdotettu säännös mahdollistaa vastaavan julkisen hallinnon tietohallinnon ohjaamista neuvoa-antavan neuvottelukunnan, työryhmän tai vastaavan yhteistyöelimen asettamisen. Ehdotetun pykälän 2 momentin mukaan valtioneuvosto voi asettaa tällaisen yhteistyöelimen. Asettaessaan yhteistyöelintä valtioneuvosto voi samalla päättää yhteistyöelimen tehtävistä, toimikaudesta ja jäsenistä.
Nykyisen kaltaisen julkisen hallinnon tietohallinnon neuvottelukunnan toiminnan jatkamiseen vaikuttaa ehdotetun lain 10 §:ssä tarkoitetun tiedonhallintalautakunnan perustaminen. Erityisesti tämä vaikuttaisi neuvottelukunnan tai vastaavan yhteistyöelimen avulla tehtävään ohjaukseen siten, ettei se enää jatkossa antaisi julkisen hallinnon tietohallinnon suosituksia (JHS), jotka koskevat tiedonhallintaa. Tiedonhallintaa koskevia suosituksia antaisi jatkossa tiedonhallintalautakunta. Julkisen hallinnon tietohallinnon suositukset on valmisteltu julkisen hallinnon tietohallinnon neuvottelukunnan koordinoimana työnä. Työhön on osallistunut laajasti julkisen hallinnon tietohallinnon ohjaukseen ja kehittämiseen osallistuvia sidosryhmiä. Julkisen hallinnon tietohallinnon neuvottelukunnan antamat suositukset eivät ole koskeneet pelkästään tietohallintoa, vaan ne ovat kohdistuneet myös asiakirjahallintoon ja muuhun tiedonhallintaan. Työtä on tehty henkilöiden varsinaisen työn ohella ilman erilliskorvauksia. Jonkin verran valmistelutyötä on ostettu ostopalveluna valtiovarainministeriön ja Väestörekisterikeskuksen toimesta. Tällaisen työn tehokas järjestäminen on nähty haasteellisena. Lisäksi tietohallintolain sääntelykohteena olevia julkisen hallinnon tietohallinnon yhteistä kokonaisarkkitehtuuria ja yhteentoimivuuden kuvauksia ja määrityksiä koskeviin suosituksiin perustuvia standardeja ei ole annettu lainkaan. Tämän syynä on käytännössä ollut se, ettei tietohallintolain mukainen valmisteluprosessi ole ollut toimiva sitovamman luonteisten standardien antamiseksi. Jatkossakin muiden kuin tiedonhallintaa koskevien suositusten valmistelussa voidaan koordinoida ja toteuttaa säännöksessä tarkoitetun yhteistyöelimen puitteissa tai valtiovarainministeriön taikka muun toimivaltaisen viranomaisen, kuten Väestörekisterikeskuksen toimesta.
Yhteistyöelimien kautta tapahtuvaa toimintaa on jatkossa tarkoitus kehittää enemmän toiminnan kehittämistä strategisesti ja ennakollisesti ohjaavaksi. Julkisen hallinnon tieto-hallinnon ja toiminnan kehityksen digitalisaatio on nostanut entistä tärkeämmäksi huolehtia niin sanotusta poikkihallinnollisesta yhteistyöstä. Näin ollen jatkossakin on tarkoituksenmukaista, että valtion viranomaisten, kuntien ja maakuntien viranomaisten sekä muiden julkisoikeudellisten yhteisöjen, kuten Kansaneläkelaitoksen, välinen yhteistyö on valtiovarainministeriön yhteyteen järjestetty. Yhteistyötä olisi syytä tehdä myös muiden julkisen hallinnon tiedonhallinnan ja tieto- ja viestintäteknisten palvelujen tuottamisen edistämiseen osallistuvien toimijoiden kanssa. Yhteistyöhön on tarpeen ottaa mukaan myös maakunnat. Tarkoituksenmukaista on, että nykyisessä nopeasti muuttuvassa toimintaympäristössä ja moninaisessa kehitystyössä jätetään järjestäytymistapa kuitenkin valtioneuvoston joustavammin ratkaistavaksi. Edelleenkin neuvottelukuntarakenne voi olla toimiva.
Valtion viranomaisten, kuntien ja maakuntien viranomaisten yhteistyössä olisi jatkossa edelleen syytä edistää julkisen hallinnon toimintatapojen ja palveluiden tuotantotapojen kehittämistä tieto- ja viestintätekniikkaa hyödyntämällä. Tämän yhteisen tavoitteen ympärille muodostettavan neuvottelukunnan tai vastaavan yhteistyöelimen tehtävänä voisi olla seurata julkisen hallinnon digitalisaation ja tietohallinnon yleistä kehitystä sekä seurata julkisen hallinnon tehtäviin, palvelu- ja hallintorakenteisiin sekä tietojärjestelmiin suunniteltujen muutosten vaikutuksia julkiseen talouteen ja julkisen hallinnon viranomaisten toimintaan tiedonhallinnan tai tieto- ja viestintäteknisten palvelujen tuottamisen näkökulmasta. Seurantatehtävien tarkoituksena olisi parantaa laajakantoisten uudistusten vaikutusten arviointia kaikkien julkisen hallinnon sektoreiden näkökulmasta uudistusten valmisteluvaiheessa. Merkittävien uudistusten laaja-alainen arviointi tukisi kehittämisprojektin tai lainsäädäntöhankkeen valmistelusta vastaavien tehtäviä muodostamalla jo muutosten suunnitteluvaiheessa näkemyksen ehdotuksen vaikutuksesta julkisen hallinnon tietohallintoon. Toiminnassa voitaisiin käsitellä julkisen hallinnon toimintaan vaikuttavia periaatteellisesti tärkeitä ja laajakantoisia julkisen hallinnon toimintaan, tiedonhallintaan ja tietojärjestelmiin liittyviä kehittämisprojekteja, lainsäädäntöhankkeita sekä rakenteellisia uudistuksia. Neuvottelukunta voisi muodostaa näistä käsityksensä ja saattaa se projekteista, hankkeista ja uudistuksista vastaavien tietoon. Neuvottelukunnan olisi mahdollista tehtäviensä toteuttamiseksi tehdä selvityksiä ja aloitteita. Yhteisten ja laaja-alaisten muutosten arvioimiseksi ja hallinnoimiseksi yhteisesti koordinoidusti, esimerkiksi neuvottelukunnan käynnistämänä, voitaisiin toteuttaa myös erillisiä selvitys- ja tutkimustoimenpiteitä sekä tehdä kehittämisehdotuksia.
Ehdotettu säännös edellyttää valtiovarainministeriötä huolehtimaan yhteistyöstä laajasti. Toisaalta säännös mahdollistaa sen, että yhteistyöelimiä on useampia siten kuin asiakokonaisuuksien kannalta kulloinkin on tarpeellista. Tällä hetkellä säännöksessä tarkoitetuissa asiakokonaisuuksia koskevaa yhteistyötä ja valtiovarainministeriön ohjauksen tueksi on asetettu julkisen hallinnon digitaalisen turvallisuuden johtoryhmä (VAHTI) sekä ministeriöiden tietohallintojohtajien yhteistyöryhmä, Tietohallinnon kehittämis- ja koordinaatioryhmä. Ehdotettu säännös mahdollistaisi myös tämän kaltaisten toimijoiden muodostamisen ja asettamisen tarvittaessa valtioneuvoston asetuksella erikseen tai osana edellä mainittua neuvottelukuntatoimintaa, esimerkiksi neuvottelukunnan alaisina jaostoina.
8 §.Tiedonhallinnan muutosten arviointi valtion tiedonhallintayksiköissä. Pykälän 1 momentissa säädettäisiin valtion tiedonhallintayksiköiden velvollisuudesta lain tarkoituksen toteuttamiseksi arvioida lain 5 §:n 3 momentissa säädetyn tiedonhallintamalliin vaikuttavien muutosten lisäksi myös muutoksen aiheuttamat taloudelliset vaikutukset. Taloudellisten vaikutusten arviointi tehdään samassa yhteydessä tiedonhallintaa koskevien vaikutusten arvioinnin kanssa.
Taloudellisilla vaikutuksilla tarkoitettaisiin tässä tiedonhallintayksikön tai siinä toimivan viranomaisen suunnitteleman muutoksen taloudellisia vaikutuksia tiedonhallintayksikölle sekä myös laajemmin valtion ja julkisen talouden kokonaisuuksissa. Taloudelliset vaikutukset voisivat tarkoittaa säästöjä tai menojen lisäyksiä. Arvioinnin lähtökohtana ovat muutoksen toteutuksen edellyttämät määrärahatarpeet sekä muutoksen taloudelliset vaikutukset uudistusta toteuttavan tiedonhallintayksikön toimintaan. Muutoksen kokonaisvaikutuksen esittämiseksi, tiedonhallintayksikön tulisi pyrkiä arvioimaan vaikutukset myös muutoksen kohteeseen liittyvien muiden tiedonhallintayksilöiden osalta ja eritellä vaikutukset julkisen talouden sektoreittain (valtio, maakunnat, kunnat sekä lakisääteiset työeläkeyhtiöt ja -laitokset ja muut sosiaaliturvarahastot). Muutoksen arviointi julkisen talouden osalta on merkityksellinen, jotta tiedonhallintayksikkö tunnistaisi uudistusten taloudelliset vaikutukset hyvissä ajoin ennen varsinaista suunnitelman toimeenpanoa ja suunnitelman viemistä osaksi toiminnan ja talouden suunnitelmaa.
Ehdotettavalla pykälällä pyritään vahvistamaan tietojärjestelmien hanketoiminnan taloudellisten ja toiminnallisten riskien ennakointia ja suunnitelmien saattamista realistiselle pohjalle. Eduskunnan tarkastusvaliokunta on todennut mietinnössään 7/2014 vp, että ministeriöiden ja virastojen hanketoiminnan ja projektien johtaminen sekä hankkeiden tuloksellisuuden seuranta ja arviointi kuuluvat ministeriöiden ja virastojen johdon vastuulle. Lisäksi eduskunta on edellyttänyt, että hallitus arvioi merkittävien ICT-hankkeiden tuloksia, kustannuksia ja tuottavuushyötyjä. Valtion tiedonhallintayksiköiden tiedonhallintaa koskevien muutosten arviointi ja muutoksen taloudellisen vaikutuksen esittäminen jo muutosten suunnittelun yhteydessä tukisi hankkeen toteutuksen suunnittelun lisäksi hankkeen seurannassa käytettävien arviointimenetelmien ja mittareiden suunnittelua.
Pykälän 2 momentin mukaan toimialasta vastaavan ministeriön on laadittava myös tiedonhallinnan muutosten arvointi, kun lainvalmisteluun liittyy tiedonhallintaa koskevia säännöksiä. Säännöksen tarkoituksena olisi varmistaa, että lainsäädännön valmisteluvaiheessa tunnistetaan tiedonhallintaan kohdistuvien säännösten vaikutukset viranomaisten toimintaan ja että arvioinnin perusteella voidaan ryhtyä suunnittelemaan kohdealueen tiedonhallinnan muutoksia tarkemmin. Arvioinnin avulla lainvalmistelussa tunnistetaan nykytila ja suoritetaan arvio tavoitetilasta valmisteltavan lain näkökulmasta. Vastaava tiedonhallinnan muutosten arviointi pitäisi tehdä myös asetusten valmistelun yhteydessä, jos ne kohdistuvat tiedonhallintaan.
Pykälä toimisi myös lähtökohtana 9 §:ssä säädettäväksi ehdotetulle valtiovarainministeriön lausunnolle yhteisten tietovarantojen ja tietojärjestelmien hyödyntämisestä, yhteentoimivuudesta ja tietoturvallisuudesta.
9 §.Lausunto muutosten arvioinnista valtionhallinnossa. Pykälässä säädettäisiin valtiovarainministeriön toimivallasta ohjata valtionhallinnon tiedonhallinnassa käytettävien tietovarantojen ja tietojärjestelmien hyödyntämistä, yhteentoimivuutta sekä tietoturvallisuutta.
Eduskunnan tarkastusvaliokunta on todennut mietinnössään 7/2014 vp, että ministeriöiden ja virastojen hanketoiminnan ja projektien johtaminen sekä hankkeiden tuloksellisuuden seuranta ja arviointi kuuluvat ministeriöiden ja virastojen johdon vastuulle. Valiokunta edellytti, että hallitus arvioi merkittävien ICT-hankkeiden tuloksia, kustannuksia ja tuottavuushyötyjä osana hankesalkun seurantaa ja raportoi tuloksista eduskunnalle. Eduskunta on edellyttänyt hallituksen valmistelevan valtion tietohallinnon vaikuttavuuden lisäämiseksi tarpeellisen lainsäädännön, jossa määritellään valtiovarainministeriön ohjaustoimivalta ja muut tarpeelliset asiat (TrVM 1/2008 vp, EK 11/2008 vp). Valtiovarainministeriön ohjaustoimivalta on perustunut muun muassa tietohallintolaissa säädettyyn lausuntomenettelyyn.
Ehdotuksen mukaan valtiovarainministeriö lausuisi valtion tiedonhallintayksikön toimittaman arvion perusteella tietovarantojen ja tietojärjestelmien hyödyntämisestä, yhteentoimivuudesta sekä tietoturvallisuudesta. Lausuntomenettelyllä varmistettaisiin, että valtionhallintoon ja julkisen hallinnon yhteiseen käyttöön kehitettävissä tietovarannoissa olisi huolehdittu semanttisesta yhteentoimivuudesta ja tehokkaasta tietojen hyödyntämisestä ja että tietojärjestelmien yhteentoimivuus, tietoturvallisuus ja yhteisten tieto- ja viestintäteknisten palvelujen käyttö olisi otettu huomioon asianmukaisella tavalla.
Ehdotettavassa pykälässä säädettyä valtiovarainministeriön ohjaustoimivaltaa, ei olisi kiinnitetty enää tietohallintolain mukaisesti tietojärjestelmien hankintoihin, vaan lausunto annettaisiin 8 §:ssä säädettäväksi ehdotetusta valtionhallinnon tiedonhallintayksiköiden tiedonhallinnan muutosten arvioinnista. Kysymys olisi kehitystyön varhaisen vaiheen ohjauksesta, jolloin varsinaista muutoksen toteutuksen suunnitteluhanketta ei olisi vielä käynnistetty. Tiedonhallinnan muutosten arviointi tulisi toimittaa valtiovarainministeriölle, kun arvioidulla muutoksella on merkittäviä taloudellisia tai toiminnallisia vaikutuksia tiedonhallintaan tai toimintaan taikka muutos koskee julkisen hallinnon yhteisten tietovarantojen rajapintojen tietorakenteiden olennaisia muutoksia. Yhteisten tietovarantojen rajapintojen tietorakenteiden olennaisilla muutoksilla tarkoitetaan tilanteita, jossa tietovarannon tietosisältöön liittyvät muutokset tai tietovarannon tietojen luovuttamisessa käytettävien rajapintojen toiminnalliset tai tekniset muutokset aiheuttavat taloudellisia resursseja vaativan muutostarpeen tietovarantoja hyödyntäville tahoille. Lausunnon yhteisten tietovarantojen rajapintoja koskevan osuuden tarkoituksena on varmistaa, että jatkossa tietovarantojen tiedonvaihtoon liittyvien muutosten vaikutukset arvioidaan riittävän kattavasti kaikkien tietovarannon tietoja hyödyntävien tahojen osalta. Siten kaikkia tiedonhallinnan muutoksia koskevia suunnitelmia ei tarvitsi toimittaa valtiovarainministeriöön lausuntoa varten, vaan ainoastaan tiedonhallinnan muutoksista johtuvat merkittävät ja vaikutuksiltaan laajat suunnitelmat.
Valtiovarainministeriö ohjaisi tietojärjestelmähankkeiden toteuttamista taloudellisesti myös valtion talousarviolain (423/1988) ja talousarvioasetuksen (1243/1992) perusteella. Tähän ohjausmalliin on suunnitteilla olemassa olevan valtiontalouden suunnitteluun ja talousarvion soveltamismääräyksiin perustuen investointien ohjausmalli, joka kohdistuisi tietojärjestelmäinvestointien arviointiin.
Pykälän mukaan valtiovarainministeriöllä olisi oikeus saada valtion tiedonhallintayksiköissä toimivilta viranomaisilta salassapitosäännösten estämättä välttämättömät tiedot lausunnon laatimista varten. Säännöksen tarkoituksena on varmistaa valtiovarainministeriön riittävä tiedonsaantioikeus tiedonhallinnan muutosten arviointeihin, jotka voivat olla salassa pidettäviä. Pykälä sisältäisi myös asetuksenantovaltuuden valtioneuvostolle antaa tarkentavia säännöksiä lausuntoasiassa noudatettavista menettelyistä.
10 §.Julkisen hallinnon tiedonhallintalautakunta. Suomessa ei ole yhtä viranomaista, joka keskittyisi koko julkisen hallinnon tiedonhallinnan kehittämiseen ja arviointiin, vaan tiedonhallinnan kehittämistä toteuttavat useat viranomaiset kukin omalla toimialallaan. Julkisen hallinnon tiedonhallintaan liittyvää yhteistyötä on koordinoitu eri aikoina erilaisissa viranomaisten välisissä yhteistyöryhmissä ja valtionhallinnon tietoturvallisuuden johtoryhmän työssä sekä julkisen hallinnon tietohallinnon neuvottelukunnassa. Perusrekisteriviranomaisilla on ollut eri aikoina erilaista yhteistyötä Rekisteripoolin ja perusrekisteriasiainneuvottelukunnan yhteydessä. Niin ikään sosiaali- ja terveydenhuollossa on tiedonhallinnan yhteistyötä organisoitu erilaisten yhteishankkeiden sekä sosiaali- ja terveydenhuollon sähköisen tietohallinnon neuvottelukunnan toiminnassa. Kansallisarkisto on antanut ohjeita ja määräyksiä arkistolakiin ja sähköisestä asioinnista viranomaistoiminnassa annetun lakiin perustuen, mutta määräysten antamisessa on ilmennyt ongelmia nykyisen perustuslain 80 §:n 2 momentissa säädettyyn lainsäädäntövallan delegointisäännökseen nähden. Määräykset ovat pitäneet sisällään myös vaatimuksia muun muassa viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta annetun asetuksen noudattamisesta kunnissa, vaikka julkisuuslaissa valtioneuvoston asetuksenantovaltuuskaan ei anna mahdollisuutta säätää asetuksella näistä asioista kuntia koskien. Informaatio-ohjaus on hajautunut siten, että tiedonhallinnan kokonaiskehittämistä ei ole pystytty toteuttamaan toimintaympäristön muutoksiin nähden riittävän tehokkaasti ja vastuullisesti työryhmä- ja neuvottelukuntatyönä. Tietohallinnon ja asiakirjahallinnon informaatio-ohjausta on pyritty tekemään julkisen hallinnon tietohallinnon neuvottelukunnan antamien JHS-suositusten kautta. Osa suosituksista on muodostunut näille aloille yleiseksi käytännöksi.
Tiedonhallinta perustuu monialaiseen asiantuntijoiden ja usean viranomaisen väliseen yhteistyöhön tiedonhallintayksiköissä, joten tästä syystä tiedonhallinnan kehittäminen ja informaatio-ohjaus tulisi järjestää monialaisesta asiantuntemuksesta koostuvaksi toimielimeksi. Monialaisen asiantuntemuksen käyttötarve ei ole jatkuvaa, vaan sitä tarvitaan päätöksiä valmisteltaessa ja tehtäessä. Tästä syystä ei ole perusteita esimerkiksi pysyvään lisäresursointiin monialaisen asiantuntemuksen varmistamiseksi, vaan lautakuntamalli toimisi tarkoituksenmukaisena tapana huolehtia eri näkökulmien huomioon ottamisesta ja perusoikeuksien, kuten julkisuusperiaatteen, oikeusturvan ja muiden hyvän hallinnon takeiden turvaamisesta tiedonhallinnassa. Lautakuntien tehtävänä on tyypillisesti omalla toimialalla ohjata, edistää ja valvoa alan toimintaa, kun taas neuvottelukuntien tarkoituksena on tyypillisesti pysyväisluonteisesti valmistella erilaisia asioita eri sidosryhmien välisenä yhteistyönä tai kehittää muuten alan toimintaa. Ehdotettavat tiedonhallinnan ohjaukseen liittyvät tehtävät ovat lautakunnalle tyypillisesti kuuluvia.
Tiedonhallinnan lakisääteisten vaatimusten toteuttamista ei ole arvioitu systemaattisesti eikä arviointia ole pystytty tekemään selkeänä ohjauksena. Tiedonhallinnan ongelmat kuitenkin ilmenevät ylimpien laillisuusvalvojien kanteluasioiden ratkaisuissa, joissa on kiinnitetty eri viranomaisten huomiota julkisuuslain 18 §:ssä säädettyjen vaatimusten noudattamiseen muun muassa tiedonsaannin estyttyä, kun henkilöstö ei ole tuntenut tiedonsaantiin liittyviä menettelysäännöksiä tai asiakirjoja ei ole rekisteröity asianmukaisella tavalla (ks. esimerkiksi OKV/1153/1/2014, 28.10.2015; OKV/1225/1/2012, 5.11.2014; OKV/1156/1/2013, 13.10.2014; OKV/1138/1/2013, 13.10.2014; OKV/1640/1/2012 ja OKV/1645/1/2013, 19.8.2014; EOAK/6253/2017, 5.7.2018; EOAK/4311/2017, 7.12.2017; EOAK/1473/2016, 18.9.2017). Tiedonhallinnan menettelyjen yhtenäistämiseksi, julkisuusperiaatteen toteuttamiseksi sekä tiedonhallinnan sääntelyn toimeenpanon ja noudattamisen tehosteeksi laissa ehdotettaisiin säädettäväksi julkisen hallinnon tiedonhallintalautakunnasta.
Lain 10 §:n 1 momentin mukaan valtiovarainministeriön yhteydessä toimisi julkisen hallinnon tiedonhallintalautakunta (tiedonhallintalautakunta), jonka tehtävänä olisi arvioida valtion virastojen ja laitosten sekä kuntien, kuntayhtymien ja maakuntien tämän lain 4 §:n 3 momentin, 5 §:n, 19 §:n, 22—24 §:n ja 6 luvun säännösten toteuttamista ja noudattamista. Arviointitehtävä on tarpeellinen, koska arviointiin kuuluvilla säännöksillä edistetään tiedonsaantioikeuksien ja hyvän hallinnon vaatimusten toteuttamista. Arviointitehtävä on tarpeellinen perusoikeuksien toteutumisen varmistamiseksi tiedonhallinnassa. Ylimmille laillisuusvalvojille tulevat kantelut indikoivat sitä, että viranomaisten tiedonhallinnassa on varsin yleisesti puutteita, jotka heijastuvat ongelmiin tiedonsaantioikeuksien toteuttamisena sekä tietojärjestelmien puutteiden vuoksi palvelujen saatavuudessa. Tiedonhallinnan menettelyjen arviointi edistää paitsi laissa säädettyjen velvoitteiden täytäntöönpanon varmistamista, mutta mahdollistaa tiedonmuodostamisen siitä, miten tiedonhallintalaki toimii käytännössä sekä miten tiedonhallinnan menettelyitä voidaan kehittää voimassa olevan lainsäädännön puitteissa. Arviointitehtävää ei pidä nähdäkään pelkästään valvonnallisena, vaan myös tiedonhallintaa kehittävänä ja ohjaavana.
Tiedonhallintalautakunnassa integroitaisiin tiedonhallintaan liittyvät näkökulmat asiantuntijoiden väliseksi yhteistyöksi, jolloin tiedon elinkaareen vaikuttavat näkökulmat tulevat kattavammin huomioiduksi. Koska tiedon elinkaaren eri osa-alueet asettavat tiedonhallinnalle erilaisia vaatimuksia, on perusteltua, että niiden ohjausta ja kehittämistä toteutetaan toimielimeksi organisoidussa viranomaisessa.
Momentin 1 kohdan mukaan tiedonhallintalautakunnalla olisi arviointitehtävä sen varmistamiseksi, että tiedonhallinnan menettelyt toteutetaan viranomaisissa ja että menettelyissä oleviin tulkinnallisiin ongelmiin voidaan antaa hallinnollista ohjausta. Arviointimenettelyllä on tarkoitus kerätä tietoa tiedonhallinnan menettelyjen toimivuudesta, mutta myös sen varmistaminen, että keskeisiä tiedonhallintaan liittyviä laissa säädettyjä menettelyitä noudatetaan. Lautakunnan arviointitehtävään ei kuulu suositusten noudattamisen valvonta, koska suositukset ovat informaatio-ohjausta, johon ei sisälly velvoittavia elementtejä. Arviointitehtävän avulla tiedonhallintalautakunta voi esittää myös tulkintoja tiedonhallintalain arviointikohteena olevien säännösten soveltamisesta, joka puolestaan ohjaa tiedonhallinnan menettelyjen yhtenäistämistä. Arviointitehtävän toteuttamisesta olisi säädetty tarkemmin ehdotettavan lain 11 §:ssä. Arviointitehtävä kohdistuisi valtion virastojen ja laitosten tiedonhallintaan sekä maakuntien, kuntien ja kuntayhtymien tiedonhallintaan siltä osin kuin se koskee lakisääteisten tehtävien hoitamista. Tämä soveltamisalan rajaus olisi todettu 3 §:ssä olevissa soveltamisalaa koskevissa säännöksissä. Arviointitehtävään liittyvää toimivaltaa on rajattu myös muutoin 3 §:ssä, jossa on säädetty 3 luvun soveltamista koskevista rajoituksista. Arviointitehtävä ei ulottuisi siten muihin lain soveltamisalaa kuuluviin tiedonhallintayksikköihin ja niissä toimiviin viranomaisiin, vaan arviointi kohdistuisi keskeisiin tiedonhallintaa toteuttaviin organisaatioihin. Tiedonhallintalautakunnan arviointitoimivaltaan ei kuuluisi tietoturvallisuussäännösten toteuttamisen arviointi, vaan tietoturvallisuuden arvioinnista on säädetty erikseen viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetussa laissa. Arviointitoimivaltaan ei kuuluisi myöskään asiat, jotka kuuluvat tietosuojan valvontaviranomaisen tehtäviin yleisen tietosuoja-asetuksen ja tietosuojalain mukaan.
Momentin 2 kohdan mukaan tiedonhallintalautakunnan toinen tehtävä olisi edistää tämän lain mukaisia tiedonhallinnan ja tietoturvallisuuden menettelyjä ja hyviä käytäntöjä sekä vaatimusten toteuttamista. Konkreettisesti tehtävän hoitaminen voisi sisältää muun muassa viranomaisten asiantuntijoiden yhteistyönä kehitettäviä tiedonhallinnan menettelytapoja, joiden perusteella lautakunta voisi antaa tehtävän hoitamisen tuloksena suosituksia tiedonhallintalaissa säädettyjen vaatimusten toteuttamiseksi. Suositukset eivät olisi velvoittavia, vaan niiden mukaisesti toimimalla tiedonhallintayksiköt voisivat toteuttaa tiedonhallintaan liittyvät velvollisuudet hyvien käytäntöjen mukaisesti. Siten tiedonhallintayksiköt päättäisivät miltä osin ne noudattaisivat tiedonhallintalautakunnan suosituksia, mutta ne voisivat toimia myös toisin, kunhan laissa säädetyt tiedonhallintaa koskevat vaatimukset täyttyisivät. Siten tiedonhallintalautakunta ei ohjaisi sitovasti tiedonhallintayksikköjen toimintaa, vaan tukisi niiden tiedonhallintaan liittyvien velvollisuuksien toteuttamista järjestämällä monialaisessa yhteistyössä asiantuntijoista koostuvissa jaostoissa kehittämishankkeita tiedonhallinnan menettelyjen kehittämiseksi. Nykytilaan nähden tiedonhallintalautakunta yhteensovittaisi erilaiset intressit tiedonhallinnan toteuttamiseksi.
Nykytilaan nähden julkisen hallinnon tietohallinnon neuvottelukunnan toiminnan kautta tapahtunut informaatio-ohjaus suositusten muodossa siirtyisi tiedonhallintalautakunnalle. JHS-suositukset ovat kohdistuneet sekä tietohallintoon että asiakirjahallintoon, joten tilanne ei tältä osin tulisi muuttumaan olennaisesti, vaan uudella järjestelyllä korostettaisiin entisestään tietohallinnon ja asiakirjahallinnon välisen yhteistyön merkitystä ja niiden intressien yhteensovittamista tiedonhallinnan toteuttamiseksi. Tiedonhallintalautakunta voisi antaa myös kannanottoja tiedonhallintaan liittyvistä merkittävistä kysymyksistä sekä edistää muillakin keinoilla tiedonhallinnan menettelyjä. Laissa ei siten sidottaisi tiedonhallinnan menettelyjen ja vaatimusten toteuttamisen edistämistehtävää tiettyyn muotoon, vaan lautakunta voisi arvioida tarkoituksenmukaisimmat tavat toteuttaa edistämistehtäväänsä. Tiedonhallintaan kuuluu myös arkistointi, josta ei kuitenkaan esitetä säädettäväksi tässä laissa, vaan se jää muun sääntelyn varaan. Mitään estettä sille, että arkistointiin liittyvä informaatio-ohjaus arkistotoimen tehtävistä sekä tietosuojan toteuttamisesta tehtäisiin lautakunnan toiminnan yhteydessä yhteistyössä arkistoviranomaisen ja tietosuojan valvontaviranomaisen kanssa ei olisi, vaan tämä kuuluu hyvän hallinnon toteuttamista edistävään viranomaisten väliseen yhteistyöhön, josta ei ole tarvetta säätää erikseen erityislaissa. Hallintolain 10 §:n 1 momentin mukaan viranomaisen on toimivaltansa rajoissa ja asian vaatimassa laajuudessa avustettava toista viranomaista tämän pyynnöstä hallintotehtävän hoitamisessa sekä muutoinkin pyrittävä edistämään viranomaisten välistä yhteistyötä. Siten hallintolaissa säädetty tavoite viranomaisten välisestä yhteistyöstä on riittävä eri viranomaisten tiedonhallintaan liittyvien informaatio-ohjauksen intressien yhteensovittamiseksi. Tiedonhallintalautakunnan toiminnan yhteydessä kehitettävien menettelyjen tarkoituksena olisi yhdenmukaistaa tiedonhallinnan menettelyjä ja esittää hyviä käytäntöjä tiedonhallinnan velvollisuuksien toteuttamiseksi.
Pykälän 2 momentissa olisi säädetty lautakunnan nimittämisestä, kokoonpanosta ja pätevyysvaatimuksista. Valtioneuvosto nimittäisi tiedonhallintalautakunnan neljäksi vuodeksi kerrallaan valtiovarainministeriön esittelystä. Lautakunnalla olisi puheenjohtaja, varapuheenjohtaja sekä jäseniä, joilla on asiantuntemus julkisen hallinnon tietoturvallisuudesta, tietojärjestelmien ja tietovarantojen yhteentoimivuudesta, tilastoinnista tai tietoaineistojen tiedonhallinnasta. Jäsenien edustus tulisi kattamaan asiantuntemuksen siten, että lautakunnassa olisi jäseninä valtion, kuntien, kuntayhtymien sekä maakuntien asiantuntijoita. Lautakunnan jäsenmäärästä ja kokoonpanosta säädettäisiin tarkemmin asetuksella sekä jäseniltä edellytettävästä pätevyydestä. Asetuksen tasolla säädettäisiin, minkälaisesta asiantuntemuksesta lautakunta koostuu, kuitenkin ottaen huomioon sen, mitä asiantuntemusta lautakunnalla tulisi olla ehdotettavan säännöksen perusteella. Siten asetuksessa tulisi olla huomioituna se, että lautakunta koostuu kattavasti laissa tarkoitetusta asiantuntemuksesta ja että nimitettäessä lautakuntaa, varmistetaan lautakunnan riittävä asiantuntemus. Momentti sisältäisi myös asetuksenantovaltuuden, jossa olisi määritelty ne kohteet, joista voitaisiin säätää asetuksella. Lautakunnan kokoonpanosta, toiminnan järjestämisestä, päätöksentekomenettelystä ja jäsenten pätevyysvaatimuksista voitaisiin säätää asetuksella. Toiminnan järjestämisestä säädettäisiin asetuksella siltä osin kuin se liittyy toimielimen johtamiseen, puheenjohtajan ja varapuheenjohtajan tehtäviin, lautakunnan työn organisointiin, koollekutsumiseen ja raportointiin. Lautakunnan toimintaan sovelletaan yleislakina hallintolakia, joten hallintolaissa säädetyt lautakunnan toimintaan kohdistuvat säännökset tulisivat suoraan sovellettavaksi. Päätöksentekomenettelystä säädettäisiin siltä osin asetuksella, miten lautakunnassa päätettäisiin erilaisista lautakunnan kannanmuodostuksista, suositusten antamisesta, arviointien toteuttamisesta ja niistä tehtävistä johtopäätöksistä. Pätevyysvaatimukset liittyvät monialaisen asiantuntemuksen varmistamiseen lautakunnan toiminnassa.
Pykälän 3 momentin mukaan valtiovarainministeriö määräisi virkamiehistään lautakunnan sivutoimiset sihteerit tehtäviinsä lautakunnan toimikaudeksi. Sihteerien tehtävistä säädettäisiin tarkemmin valtioneuvoston asetuksella. Laissa ei säädettäisi sihteerien tehtävänjaosta tai määrästä, vaan ne jäisivät asetuksentasoiseen sääntelyyn. Niin ikään asiassa jäisi harkintavaltaa valtiovarainministeriölle, miten monta sihteeriä lautakunnalla olisi. Tämä puolestaan riippuu lautakunnassa vireille olevien asioiden määrästä.
Koska lautakunta olisi viranomainen säädettäisiin 4 momentissa tähän liittyvistä vastuista. Lautakunnan jäseneen ja varajäseneen sovellettaisiin rikosoikeudellista virkavastuuta koskevia säännöksiä hänen hoitaessa lautakunnalle säädettyjä tehtäviä. Rikosoikeudellisella virkavastuulla tarkoitetaan tässä sitä, että lautakunnan jäsenet ja varajäsenet rinnastetaan virkamieheen. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974). Lautakunnan jäsenille ja varajäsenille maksetaan tehtävien hoitamisesta palkkio. Valtiovarainministeriö vahvistaa palkkioiden määrät, koska lautakunnasta aiheutuvat kustannukset katettaisiin valtiovarainministeriön määrärahoista. Lautakunnan menot katettaisiin olemassa olevista määrärahoista, jotka on varattu julkisen hallinnon tietohallinnon neuvottelukunnan suositusten sekä joiltakin osin valtionhallinnon tietoturvallisuusohjeiden laatimiseen. Momentissa ei säädettäisi sihteerien virkavastuusta, koska sihteerit olisivat valtiovarainministeriön virkamiehiä ja siten asemansa perusteella virkavastuussa muutenkin.
Pykälän 5 momentissa olisi säädetty julkisen hallinnon tiedonhallintaa koskevien menettelyjen kehittämisen organisoinnista siten, että tiedonhallintalautakunta voisi asettaa väliaikaisia jaostoja tiedonhallinnan menettelyjen kehittämiseksi, kuten suositusten laatimiseksi. Jaostoihin voisi kuulua tiedonhallintayksikköjen asiantuntijoita, joten jaostoissa voisi olla eduskunnan, valtion, kuntien, kuntayhtymien, maakuntien, itsenäisten julkisoikeudellisten laitosten, yliopistojen ja ammattikorkeakoulujen sekä muiden tässä laissa tarkoitettujen tiedonhallintayksikköjen asiantuntijoita. Laissa säädettäisiin niistä organisaatioista, joista lautakunnan jaostoissa voisi olla edustus sen mukaan kuin minkäkin jaoston tehtävä on määritelty. Jaostoissa voisi siten olla myös sellaisia asiantuntijoita organisaatioista, joihin sinällään lautakunnan toimivalta ei kohdistuisi. Säännöksellä korostettaisiin sitä, että lautakunnan tiedonhallinnan menettelyjen yhtenäistämistä koskeva tehtävä olisi tarkoitusperiltään koko julkista hallintoa koskeva, jolloin kattava asiantuntemus jaostoissa olisi tarpeellista. Lautakunnan sihteerit toimisivat puheenjohtajina jaostoissa, koska sihteerit esittelisivät jaostojen tuotokset lautakunnalle. Jaostojen jäsenille ei olisi asetettu pätevyysvaatimuksia eikä jaostojen toimintaan sovellettaisi virkavastuuta koskevia säännöksiä, koska esimerkiksi suositukset olisivat keino ohjata tiedonhallinnan menettelyjen yhtenäistämistä eikä suosituksilla olisi oikeudellista sitovuutta eivätkä jaostot päättäisi suosituksista. Jaostot toimisivat lautakunnan apuna suositusten laadinnassa. Väestörekisterikeskuksen tehtävänä olisi tuottaa lautakunnalle asiantuntijapalveluja tiedonhallinnan menettelyjen ja tietoturvallisuuden menettelyjen kehittämisessä. Julkisen hallinnon tietohallinnon suositusten laadinta ja ylläpito sekä julkisen hallinnon tietoturvallisuuden johtoryhmän (VAHTI) tietoturvallisuusohjeiden ylläpitäminen on organisoitu osaksi Väestörekisterikeskuksen toimintaa, joten nykyiset tehtävät säilyisivät Väestörekisterikeskuksella siten kuin niistä on säädetty Väestörekisterikeskuksen eräistä tehtävistä annetussa valtioneuvoston asetuksessa (760/2017). Väestörekisterikeskus tuottaisi asiantuntijapalveluja muun muassa erilaisten suositusten, ohjeiden ja kannanottojen laatimiseksi ja näiden julkaisemiseksi, kuten aiemminkin JHS-suosituksien ylläpidossa.
11 §.Tiedonhallintalautakunnan arviointitehtävä. Pykälän 1 momentissa säädettäisiin siitä, mihin arviointitehtävä perustuisi. Momentin mukaan arviointien toteuttaminen perustuisi tiedonhallintalautakunnan hyväksymään arviointisuunnitelmaan. Säännös tarkoittaa sitä, että arvioinnit toteutettaisiin lautakunnan hyväksymän arviointisuunnitelman mukaan, jolloin arviointi olisi suunnitelmallista lautakunnan hyväksymää toimintaa. Arviointisuunnitelma olisi toimeksianto lautakunnan sihteereille toimeenpanna arviointisuunnitelman mukainen arviointi. Lautakunta voisi hyväksyä arviointisuunnitelman vuodeksi tai kahdeksi vuodeksi tai koko toimikaudekseen. Lautakunta voisi myös muuttaa arviointisuunnitelmaa kesken arviointikauden. Säännöksellä on tarkoitettu osoittaa, miten lautakunta toteuttaa arviointitehtäväänsä. Siten tiedonhallintalautakunta ei tekisi arviointeja toimeksiantopohjaisesti tai erilaisten yhteydenottojen perusteella, vaan päättäisi itsenäisesti mitä arvioidaan ja miltä osin arviointia suoritetaan.
Pykälän 2 momentissa säädettäisiin tiedonhallintalautakunnan arviointitehtävään liittyvästä tiedonsaantioikeudesta, joka olisi sidottu lautakunnan arviointitehtävän hoitamiseen siten, että tiedonsaantioikeus koskisi välttämättömiä selvityksiä sekä tarpeellisia tietoja, jotka liittyvät tämän lain mukaisen arviointitehtävän piiriin. Tiedonhallintalautakunnalla ei olisi mitään yleistoimivaltaa tiedonhallintaan liittyviin asioihin, joista olisi säädetty erityislainsäädännössä, vaan arviointi koskisi tiedonhallintalaissa säädettyjen eräiden menettelyjen toteuttamista. Säännöksen mukaan tiedonhallintalautakunnalla olisi oikeus saada salassapitosäännösten estämättä maksutta tarpeelliset tiedot tiedonhallintayksiköiden viranomaisilta tiedonhallintamallista, tiedonhallinnan muutosten arvioinnista, 28 §:ssä tarkoitetusta kuvauksesta, käytettävistä asianhallinnan ja palvelujen tiedonhallinnan menettelyistä, asiakirjojen sähköiseen muotoon muuttamista koskevasta teknologiasta, katseluyhteyksien toteutuksesta ja teknisten rajapintojen kuvauksista, teknisten rajapintojen käytöstä ja hallinnoinnista sekä rajapintojen käytön menettelyistä lukuun ottamatta turvallisuusluokiteltavia asiakirjoja. Lautakunnalla olisi siten oikeus saada selvityksiä arviointitehtävän piiriin kuuluvista asioista sekä oikeus saada laissa mainitut tarpeelliset tiedot arviointitehtävän toteuttamiseksi. Viranomaisen olisi toimitettava pyydetyt tiedot asetettuun määräaikaan mennessä tiedonhallintalautakunnalle. Lautakunta voisi siten asettaa määräajan tietojen saannille. Salassapitosäännösten edelle menevä tiedonsaanti perustuisi tiedonhallintalautakunnan tehtävään, jolla varmistettaisiin tiedonhallintalain eräiden säännösten toteuttaminen viranomaisten toiminnassa siten, että julkisuusperiaatteen ja hyvän hallinnon vaatimukset voidaan varmistaa tiedonhallinnassa. Lautakunnalla ei olisi tarkastusoikeuksia, vaan lautakunnalla olisi oikeus saada selvityksiä viranomaisilta tiedonhallinnan toteuttamisesta. Lautakunnan toiminta näiltä osin ei olisi varsinaista laillisuusvalvontaa tai muutoksenhakua. Ylimmät laillisuusvalvojat huolehtivat olemassa olevien toimivaltuuksiensa puitteissa muuten tiedonhallintaan liittyvästä laillisuusvalvonnasta muun muassa kanteluasioiden käsittelyn yhteydessä. Puolestaan tietosuojavaltuutettu toimii henkilötietojen käsittelyn valvontaviranomaisena.
Pykälän 3 momentissa säädettäisiin tiedonhallintalautakunnan arviointitehtävään liittyvästä toimivaltuudesta kiinnittää arviointikohteena olevan viranomaisen huomiota havaittuihin puutteisiin suhteessa tiedonhallintalaissa säädettyyn nähden. Siten arviointi sisältäisi tarvittaessa hallinnollista ohjausta. Säännöksen mukaan tiedonhallintalautakunta voisi kiinnittää viranomaisen huomiota tiedonhallintaan liittyvien vaatimuksien täyttämiseen. Säännöksen mukaan, jos tiedonhallintalautakunta havaitsee 10 §:n 1 momentin 1 kohdassa tarkoitettujen arviointikohteena olevien säännösten noudattamisessa puutteita, voisi lautakunta kiinnittää viranomaisen huomiota tiedonhallintaan liittyvien tämän lain mukaisten menettelyjen toteuttamiseen ja vaatimuksien täyttämiseen. Säännöksen tarkoituksena olisi, että arvioinnin yhteydessä tehdyistä havainnoista säännösten noudattamisessa olevien epäkohtien muuttamiseksi, lautakunta voisi kiinnittää huomiota arviointikohteena olevien viranomaisten toimintaan, jotta mahdolliset puutteet voitaisiin viranomaisissa korjata tiedonhallintalautakunnan havaintojen perusteella. Tiedonhallintalautakunta ei voisi hallinnollisesti tai muuten pakottaa viranomaisia toimimaan lautakunnan ohjauksen mukaisesti, vaan arvioinnin yhteydessä tehtävä huomion kiinnittäminen toimisi informatiivisena ohjauksena sille, että viranomaisen tulisi tarkistaa menettelyitään laissa säädettyjä vaatimuksia vastaaviksi. Tapa, jolla viranomainen toteuttaisi laissa säädetyt vaatimukset, jäisi viranomaisen harkintaan, mutta huomion kiinnittämisen yhteydessä lautakunta voisi myös opastaa, miten viranomainen voisi ainakin toteuttaa laissa säädetyt vaatimukset tai toteuttaa lain mukaisesti menettelynsä.
Pykälän 4 momentissa säädettäisiin tiedonhallintalautakunnalle velvollisuus raportoida arvioinnin tuloksista kertomuksena valtiovarainministeriölle joka toinen vuosi. Kertomuksen tarkoituksena olisi koota yhteen tiedonhallintalautakunnan tekemät havainnot ja johtopäätökset julkisen hallinnon tiedonhallinnasta siltä osin kuin se liittyy lautakunnan arviointitehtävään. Kertomuksen laatiminen joka toinen vuosi olisi tarkoituksen mukainen, jotta lautakunnalle kertyisi riittävästi arviointiaineistoa kertomuksen laatimiseksi. Käytännössä lautakunta laatisi kertomuksen kahdesti toimikautensa aikana. Valtiovarainministeriö saisi kertomuksesta tietoja muun muassa lainvalmistelun kehittämiseksi sekä tässä laissa säädettyjen muiden tehtävien hoitamisen tueksi.
4 luku Tietoturvallisuus
12 §. Luotettavuutta edellyttävien tehtävien tunnistaminen ja luotettavuudesta varmistuminen. Pykälässä säädettäisiin tietoaineistojen käsittelyyn liittyvän henkilöstöturvallisuuden toteuttamisen perusteista. Pykälän ensimmäisessä virkkeessä tiedonhallintayksiköt velvoitettaisiin tunnistamaan ne tehtävät, joiden suorittaminen edellyttää sen palveluksessa olevilta tai sen lukuun toimivilta henkilöiltä erityistä luotettavuutta. Säännöksen tarkoituksena on varmistaa, että tiedonhallintayksiköt ja niissä toimivat viranomaiset arvioivat tietoaineistojensa käsittelyyn osallistuvien henkilöiden tehtävät sekä niissä edellytettävän luotettavuuden. Säännöksen tarkoituksena ei ole velvoittaa viranomaisia tekemään luotettavuusarviointeja, vaan niiden tulisi arvioida ne tehtävät, joissa käsitellään sellaisia tietoaineistoja, joiden käsittelyn tietoturvallisuuden varmistamiseksi olisi tarpeellista erikseen varmistaa henkilön luotettavuus. Se, millä perusteella tiedonhallintayksikkö ja siinä toimivat viranomaiset voisivat teettää henkilöarviointeja tai turvallisuusselvityksiä, säädetään erikseen. Tästä syystä pykälässä olisi viittaukset muihin säädöksiin, joilla mahdollistetaan turvallisuusselvitysten tekeminen ja henkilöarviointien suorittaminen tietyissä tilanteissa. Henkilöstön ja palveluja tuottavien luotettavuuden arvioinnista on säädetty muuten turvallisuusselvityslaissa (726/2014) sekä muusta työntekijöiden ja työnhakijoiden arvioinnista yksityisyyden suojasta työelämässä annetussa laissa. Näihin säädöksiin olisi viittaukset pykälän toisessa virkkeessä. Ne olisivat informatiivisia, mutta ne ovat merkityksellisiä muodostettaessa sääntelykokonaisuutta tietoaineistojen käsittelyyn liittyvästä henkilöstöturvallisuudesta ja sen perusteista. Säännös ei luo uusia velvollisuuksia henkilöarviointien tekemiseen, vaan siihen, että tiedonhallintayksiköissä tunnistetaan sellaiset tehtävät, joiden suorittaminen edellyttää tietoaineistojen käsittelyn osalta erityistä luotettavuutta.
13 §.Tietoaineistojen ja tietojärjestelmien tietoturvallisuus. Pykälässä olisi säädetty tietoaineistoturvallisuudesta ja tietojärjestelmäturvallisuudesta. Pykälän 1 momentti koskisi tiedonhallintayksikön ja siinä toimivien viranomaisten velvollisuuksia tietoaineistojen ja tietojärjestelmien tietoturvallisuuden järjestämiseksi. Pykälän 1 momentin ensimmäisen virkkeen mukaan tiedonhallintayksikön olisi seurattava toimintaympäristönsä tietoturvallisuuden tilaa ja varmistettava tietoaineistojen ja tietojärjestelmien tietoturvallisuus koko niiden elinkaaren ajan tunnistamalla tietoaineistojen ja niitä käsittelevien tietojärjestelmien olennaiset tietojenkäsittelyyn kohdistuvat riskit. Tiedonhallintayksikön olisi mitoitettava tietoturvallisuustoimenpiteet riskiarvioinnin mukaisesti. Säännöksen perusteella tiedonhallintayksikköjen olisi arvioitava tietoaineistoihin ja tietojärjestelmiin liittyviä riskejä säännöllisesti niiden koko elinkaaren ajan. Säännös koskisi siten sekä tietoaineistojen että tietojärjestelmien elinkaareen liittyvien riskien arviointia aina tietoaineistojen muodostamisesta niiden tuhoamiseen asti samoin kuin tietojärjestelmien hankinnasta aina niiden poistamiseen ja tuhoamiseen asti. Riskiarvioinnissa olisi tunnistettava olennaiset riskit, jotka voisivat vaikuttaa tietoaineistojen luottamuksellisuuden, eheyden ja saatavuuden vaarantumiseen taikka tietojärjestelmien käyttöön ja vikasietoisuuteen. Olennaisilla riskeillä tarkoitetaan riskejä, jotka voivat vaikuttaa viranomaisen toimintaan tai hallinnon asiakkaan toimintaan haittaavalla tai vahingoittavalla tavalla. Riskiarvion perusteella tiedonhallintayksikössä pitäisi mitoittaa tietoturvallisuustoimenpiteet riskiarvioinnin perusteella. Siten säännös muodostaisi kokonaisuuden, johon kuuluisi riskien arviointi, tietoturvallisuustoimenpiteiden suunnittelu tunnistettujen riskien perusteella sekä tietoturvallisuustoimenpiteiden toteuttaminen. Riskienarviointi ei olisi kertaluonteista, vaan jatkuvaa toimintaa, jossa muun muassa arvioidaan suunnitelmien toteutumista ja toteutettujen tietoturvatoimenpiteiden vaikuttavuutta.
Pykälän 2 momentissa olisi säädetty vielä erikseen tietojärjestelmien tietoturvallisuuden toteuttamiseen liittyvistä erityisvaatimuksista. Viranomaisen olennaisten tietojärjestelmien vikasietoisuus tulisi testata säännöllisesti toiminnan jatkuvuuden varmistamiseksi ja tietoturvallisuustoimenpiteiden ajan tasalla pitämiseksi. Olennaisilla tietojärjestelmillä tarkoitettaisiin sellaisia tietojärjestelmiä, jotka olisivat kriittisiä viranomaisen lakisääteisten tehtäviä toteuttamisen kannalta erityisesti hallinnon asiakkaille palveluja tuotettaessa. Siten testaaminen ei koskisi tukitoiminnoissa käytettäviä järjestelmiä taikka muita käytössä olevia järjestelmiä, jotka eivät vaikuta viranomaisten tehtävien hoitamiseen merkittävällä tavalla. Momentin mukaan niin ikään tietojärjestelmien toiminnallinen käytettävyys tulisi varmistaa testauksen avulla niin hankintavaiheessa kuin merkittävien ylläpitotoimien yhteydessä. Toiminnallisella käytettävyydellä tarkoitetaan tietojärjestelmän käyttäjän kannalta sen varmistamista, että tietojärjestelmä on helposti opittava ja käytössä sen toimintalogiikka on helposti muistettava, sen toiminta tukee niitä työtehtäviä, joita käyttäjän pitää tehdä tietojärjestelmällä ja tietojärjestelmä edistää sen käytön virheettömyyttä. Tietojärjestelmien toiminnallinen käytettävyys on osa tietoturvallisuustoimenpiteitä, koska tietojärjestelmässä olevat vaikeasti opittavat ja muistettavat sekä toimintalogiikaltaan vaikeat toiminnallisuudet voivat johtaa virheelliseen tietojärjestelmän käyttöön ja tästä johtuen tietoturvallisuuden vaarantumiseen. Tietojärjestelmien toiminnallinen käytettävyys tehostaa viranomaisten toimintaa ja sillä on sidoksensa myös perustuslain 21 §:ssä säädettyyn viranomaisen toiminnan viivytyksettömyysvaatimuksen toteuttamiseen.
Pykälän 3 momentin tarkoituksena on edistää tietojen saantia viranomaisten tietojärjestelmien ja tietoaineistojen tietosisällöstä. Vaatimukset kohdistuisivat viranomaisiin, jotka käytännössä vastaavat tietoaineistoissa olevien tietojen saatavuudesta. Säännöksellä edistettäisiin hyvän julkisuus- ja salassapitorakenteen toteutumista viranomaisten tietojärjestelmissä ja niissä olevissa tietoaineistoista muodostuvissa tietokannoissa. Pykälän 3 momentin mukaan viranomaisen olisi suunniteltava tietojärjestelmät, tietovarantojen tietorakenteet ja niihin liittyvät tietojenkäsittelyt siten, että asiakirjojen julkisuus voidaan vaivatta toteuttaa. Säännös korostaa sitä, että viranomaisen tietojärjestelmissä olevista tiedoista on pystyttävä muodostamaan tietojärjestelmässä olevilla hakutoiminnoilla viranomaisen asiakirjoja viranomaisen toiminnan julkisuuden toteuttamiseksi. Säännöksen tarkoituksena on tietojen saatavuuden varmistaminen julkisuusperiaatteen toteuttamiseksi, viranomaisten tehtävien hoitamiseksi sekä salassa pidettävien tietojen osalta salassapitointressin turvaamiseksi. Velvollisuus ei olisi uusi, vaan se on sisältynyt julkisuuslain 18 §:n 1 momentin 4 kohtaan.
Pykälän 4 momentin mukaan viranomaisten olisi varmistettava hankinnoissaan, että hankittavaan tietojärjestelmään on toteutettu asianmukaiset tietoturvallisuustoimenpiteet. Julkisia hankintoja toteuttavat hankintalainsäädännön mukaan hankintayksiköt, jotka ovat käytännössä tiedonhallintayksiköissä toimivia viranomaisia. Säännöksen tarkoituksena on korostaa sitä, että tietojärjestelmien hankinnoissa on suunniteltava ja varmistettava asianmukaisten tietoturvallisuustoimenpiteiden toteuttaminen. Viranomaisten tietojenkäsittelyn keskittyessä tietojärjestelmien käyttöön, on hankinnoissa varmistettava, että hankittava tietojärjestelmä täyttää käsiteltävien tietoaineistojen mukaiset tietoturvallisuusvaatimukset ja että tietojärjestelmä on käyttökelpoinen viranomaisen tehtävien hoitamiseksi tuloksekkaasti ja tehokkaasti.
Pykälän 5 momenttiin sisältyisi informatiivinen viittaussäännös, jonka tarkoituksena on muodostaa sidos viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen arvioinnista annettuun lakiin (1406/2011, arviointilaki) ja tähän liittyvään tietoturvallisuuden arviointilaitoksista annettuun lakiin (1405/2011). Säädöksissä on säädetty, miten viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuus on arvioitava tietyissä tilanteissa. Pykälän 5 momentti on tarpeellinen, jotta tietojärjestelmien tietoturvallisuuden suunnittelu ja sen arviointia koskeva sääntely muodostaisi selkeän kokonaisuuden. Tiedonhallintalautakunnan arviointitehtävään ei sisältyisi tässä luvussa olevia tietoturvallisuuden toteuttamisen arviointitehtäviä, vaan ne kuuluisivat arviointilain mukaiselle viranomaiselle. Toisaalta tietosuojan valvontaviranomaisena toimivat tietosuojavaltuutettu ja tietosuojavaltuutetun toimisto valvovat henkilötietojen tietoturvallisuuden toteuttamista. Siten tällainen valvonta ja arviointi kattavat merkittäviltä osin myös tiedonhallintaan liittyvät tarpeet tietoturvallisuustoimenpiteiden toteuttamisen varmistamiseksi julkisessa hallinnossa. Myös tiedonhallintayksiköillä on velvollisuus valvoa tietoturvallisuustoimenpiteiden toteuttamista tämän lain 4 §:n perusteella.
14 §.Tietojen siirtäminen tietoverkossa. Pykälässä säädettäisiin niistä perusteista, joilla viranomainen voisi siirtää salassa pidettäviä tietoja tietoverkossa. Pykälän 1 momentin ensimmäisen virkkeen mukaan viranomaisten olisi toteutettava tietojensiirto tietoverkossa salattua tai muuta suojattua tiedonsiirtoyhteyttä tai -tapaa käyttämällä, jos siirrettävät tiedot ovat salassa pidettäviä. Säännös jättäisi viranomaisen harkintaan, minkälaista yhteyttä tai tiedonsiirtotapaa käyttäen salassa pidettävien tietojen suojaaminen tietoverkossa toteutettaisiin. Yhteys voisi olla suojattu esimerkiksi salauksella tai tiedot voitaisiin siirtää yleisessä tietoverkossa ilman tietoliikenneyhteyden suojaustakin, jos tiedot olisivat salattuna siirrettävässä tiedostossa ja salaus voitaisiin purkaa vain erillisellä PIN-koodilla tai muulla salasanalla. Pykälän toisessa virkkeessä olisi lisäedellytys salassa pidettävien tietojen siirrolle tietoverkossa. Säännöksen mukaan tietojensiirto olisi järjestettävä siten, että vastaanottaja varmistetaan tai tunnistetaan riittävän tietoturvallisella tavalla ennen kuin vastaanottaja pääsee käsittelemään siirrettyjä salassa pidettäviä tietoja. Jos tietojen siirto tapahtuu tietoverkossa tietojärjestelmien välillä, on vastaanottava tietojärjestelmä varmistettava esimerkiksi palvelinvarmenteita käyttämällä. Jos puolestaan salassa pidettävien tietojen vastaanottaja olisi luonnollinen henkilö, olisi hänet tunnistettava jollakin luotettavalla menetelmällä, kuten vahvaa sähköistä tunnistusmenetelmää käyttämällä. Säännöstä sovellettaisiin tunnistamisen osalta lähinnä viranomaisten välisessä tietojenvaihdossa, koska yleisölle tarjottavien digitaalisten palvelujen tunnistamista koskevista vaatimuksista on säädetty erikseen digitaalisten palvelujen tarjoamisesta ehdotetussa laissa, joka on eduskunnan käsittelyssä omana hallituksen esityksenään (HE 60/2018 vp) samanaikaisesti tämän hallituksen esityksen kanssa.
Edellä esitetystä syystä pykälän 2 momentti sisältäisi myös tarpeellisen informatiivisen viittaussäännöksen digitaalisten palvelujen tarjoamisesta ehdotettuun lakiin, jossa olisi säädetty yleisölle tarjottavien viranomaisten digitaalisten palvelujen käyttäjien tunnistamisen perusteista. Tiedonhallintalaki olisi yleislaki suhteessa digitaalisten palvelujen tarjoamisesta ehdotettuun lakiin, jossa on säädetty erityisesti digitaalisten palvelujen käyttöön liittyvistä eräistä menettelyistä ja vaatimuksista silloin, kun digitaalista palvelua tarjotaan yleisölle. Siten tunnistamista tai varmistamista koskeva tiedonhallintalain säännös koskisi muun muassa viranomaisten välistä viestintää sähköisten tiedonsiirtomenetelmien, kuten sähköpostin, avulla taikka viranomaisten tietojärjestelmien välistä viestintää rajapintojen avulla. Kun kysymys on yleisölle tarjottavista digitaalisista palveluista, tunnistamiseen sovellettaisiin mitä digitaalisten palvelujen tarjoamisesta ehdotetussa laissa säädettäisiin sähköisestä tunnistamisesta. Sen sijaan tietojen siirtämiseen tietoverkossa ja siihen liittyviä salaus- tai suojausvaatimuksia sovellettaisiin tiedonhallintalaissa säädetyllä tavalla myös digitaalisten palvelujen tarjoamiseen yleisölle. Informatiivinen viittaussäännös olisi siten tarpeellinen, jotta lakien väliset suhteet olisivat selkeitä tunnistamis- tai varmistamisvaatimuksen toteuttamiseksi.
15 §.Tietoaineistojen turvallisuuden varmistaminen. Pykälässä säädettäisiin tietoaineistojen tietoturvallisuuden varmistamisesta. Vaatimukset kohdistuvat viranomaisiin, koska viranomaiset käsittelevät ja käyttävät päätöksentekovaltaa tietoaineistoihinsa. Tiedonhallintayksikön on kuitenkin järjestettävä siinä toimivien viranomaisten toiminta siten, että tietoaineistojen käsittely on säännösten mukaista. Pykälä sisältäisi luettelon niistä tietoturvallisuustoimenpiteistä, joilla tietoaineistojen tietoturvallisuus varmistetaan kaikissa tiedonhallintayksiköissä ja niissä toimivissa viranomaisissa. Säännökset koskisivat kaikkia viranomaisten tietoaineistoja. Pykälän 1 momentti sisältäisi luettelon pakollisista vaatimuksista tietoaineistojen tietoturvatoimenpiteiden toteuttamiseksi. Momentin 1 kohdan mukaan viranomaisten olisi varmistettava tietoaineistojen muuttumattomuus siltä osin kuin tietoaineisto on tarpeen pitää muuttumattomana. Tietoaineistojen muuttumattomuus on osassa tietoaineistoja tärkeää niiden todistusvoimaisuuden kannalta katsottuna. Tietoaineiston muuttumattomuuden varmistaminen riippuu tietoaineiston luonteesta. Muuttumattomuus tulisi varmistaa tietoaineistoissa, joilla määritellään yksilöiden ja yhteisöjen etuja, oikeuksia ja velvollisuuksia, jotta tietoaineistoissa olevien asiakirjojen ja muiden tietojen aitous ja alkuperäisyys voidaan jälkikäteen todentaa taikka havaita näihin tehdyt muutokset. Säännös jättää viranomaiselle harkintamahdollisuuden, miten muuttumattomuus varmistetaan, joten säännöksessä olisi asetettu vaatimukseksi ainoastaan muuttumattomuuden riittävä varmistaminen, jolla tarkoitetaan tietoaineiston luonteeseen liittyvää harkintaa tarpeellisten tietoturvallisuustoimenpiteiden toteuttamisesta. Momentin 2 kohdan mukaan tietoaineistot tulisi suojata teknisiltä ja fyysisiltä vahingoilta. Vaatimus koskisi muun muassa tietojärjestelmien ja niihin liittyvien palvelimien säilytystiloja sekä paperimuotoisten tietoaineistojen säilytyspaikkoja. Momentin 3 kohdassa asetettaisiin vaatimus tietoaineistojen alkuperäisyyden, ajantasaisuuden ja virheettömyyden varmistamisesta. Vaatimus olisi tärkeää viranomaistoiminnan asianmukaisuuden varmistamiseksi sekä hallinnossa työskentelevien ja hallinnon asiakkaiden oikeusturvan toteuttamiseksi ja varmistamiseksi. Laillisuusvalvonnassa on todettu itsestään selvänä lähtökohtana, että viranomaisen laatimien asiakirjojen ja ylläpitämien tiedostojen on oltava oikeita, virheettömiä ja ajantasaisia (AOKS OKV/1242/1/2013, 28.4.2014). Momentin 4 kohdan mukaan tietoaineistojen saatavuus ja käyttökelpoisuus olisi myös varmistettava. Viranomaisten toiminta on tietointensiivistä ja riippuvaa viranomaisten tietovarannoissa olevista tietoaineistoista. Asianmukaisen viranomaistoiminnan varmistamiseksi olisi varmistettava, että tiedot olisi saatavissa käyttökelpoisessa muodossa. Momentin 5 kohdan mukaan tietoaineistojen saatavuutta pitäisi rajoittaa tarvittaessa. Käytännössä tiedon saatavuutta rajoitettaisiin käyttöoikeuksin ja se riippuisi, minkälaista tietoaineistoa käsitellään. Julkisiin tietoaineistoihin ei olisi tiedon saatavuutta koskevia rajoituksia, kun taas henkilötietoihin ja erityisesti salassa pidettäviin tietoihin täytyy olla järjestettynä sellaiset toimenpiteet, että asianmukainen tietojenkäsittely voidaan varmistaa. Momentin 6 kohdassa säädettäisiin vaatimuksesta huolehtia siitä, että tietoaineistot voidaan arkistoida tarpeellisilta osin. Arkistoinnista olisi kuitenkin säädetty muuten erikseen arkistointia koskevissa säädöksissä, joista keskeisimpiä ovat yleinen tietosuoja-asetus, tietosuojalaki sekä arkistolaki. Arkistoituihin tietoaineistoihin sovellettaisiin kuitenkin tämän lain tietoaineistoja ja tietojärjestelmiä koskevia tietoturvallisuussäännöksiä, ellei muualla olisi toisin säädetty.
Pykälän 2 momentissa säädettäisiin toimitilaturvallisuuden perusteista. Säännöksen mukaan tietoaineistoja olisi käsiteltävä ja säilytettävä toimitiloissa, jotka ovat tietoaineiston luottamuksellisuuteen, eheyteen ja saatavuuteen liittyvien vaatimusten toteuttamiseksi riittävän turvallisia. Säännös korostaa sitä, että tietoaineistojen säilyttämisessä käytettävissä toimitiloissa on huomioitava kaikki tietoaineistoihin kohdistuvat tietoturvallisuusvaatimukset.
16 §.Tietojärjestelmien käyttöoikeuksien hallinta. Pykälän tarkoituksena olisi säätää tietojärjestelmien käyttöoikeuksien hallinnan perusteista siten, että säännöksellä varmistettaisiin tietojärjestelmiin pääsy vain niille, joilla on oikeus käsitellä tietojärjestelmän tietoaineistoja ja vain siltä osin kuin kunkin käyttäjän käyttötarpeet sitä edellyttävät. Pykälän säännökset olisivat kohdistettuja viranomaiseen, mutta käytännössä tiedonhallintayksiköt antavat ohjeen käyttöoikeuksien hallinnoinnille sekä toteuttavat käyttöoikeuksien hallinnointia organisaatiotasolla. Pykälän mukaan tietojärjestelmässä vastuussa olevan viranomaisen olisi määriteltävä tietojärjestelmän käyttöoikeudet. Käyttöoikeudet olisi määriteltävä kuhunkin tietojärjestelmään käyttäjän tehtäviin liittyvien tarpeiden mukaisella tavalla ja ne olisi pidettävä ajantasaisena. Säännös edellyttäisi, että käyttöoikeudet on määriteltävä ennalta kullekin tietojärjestelmän käyttäjälle. Käyttöoikeudet määräytyisivät käyttäjän tyypillisten työtehtävien mukaisesti. Käyttöoikeudet olisi pidettävä myös ajantasaisena, jotta tietoihin pääsy voidaan asianmukaisissa tilanteissa varmistaa ja toisaalta estää vanhentuneiden käyttöoikeuksien perusteella tiedonsaanti laajemmin kuin käyttäjän tehtävät edellyttäisivät. Tietojärjestelmien ylläpito ja siihen liittyvät vastuut tulisi määritellä tiedonhallintamalleissa. Siten niistä myös ilmenisi, kenen vastuulle käyttöoikeuksien määrittely ja käyttöoikeuksien ylläpito kuuluisivat. Tietojärjestelmästä vastuussa oleva viranomainen ei välttämättä ylläpitäisi käyttöoikeuksia, vaan tietojärjestelmää käyttävä viranomainen voisi olla vastuussa käyttöoikeuksien ajan tasalla pitämisestä. Tyypillisesti tällaisia tietojärjestelmien käyttöoikeuksien vastuiden jakamista tapahtuu verkottuneissa usean viranomaisen yhteiskäytössä olevissa tietojärjestelmissä esimerkiksi palvelukeskuksiin organisoiduissa palveluntuotantomalleissa. Siten palvelukeskus määrittelisi käyttöoikeudet tietojärjestelmän vastuuviranomaisena, mutta tietojärjestelmää käyttävä viranomainen ylläpitäisi käyttöoikeuksia ajantasaisina.
17 §.Lokitietojen kerääminen. Lokitiedot tulisi kerätä, jos tietojärjestelmän käyttö edellyttäisi tunnistautumista tai muuta kirjautumista. Mistä tahansa tietojärjestelmästä ei lokitietoja tarvitsisi kerätä tiedonhallintalain perusteella. Lokitiedot tulisi kerätä tietojärjestelmän käytöstä ja tietojen luovutuksista, mutta tietojen kerääminen olisi sidottu tarpeellisuuteen. Jos tietojärjestelmästä luovutetaan rajapintojen tai katseluyhteyden avulla salassa pidettäviä tietoja tai henkilötietoja, tulisi luovuttavassa järjestelmässä kerätä luovutuslokitiedot sen varmistamiseksi, että tietojen luovuttamiselle on ollut laillinen perusteensa. Lisäksi käyttölokitiedot tulisi kerätä ainakin tietojärjestelmistä, joissa käsitellään salassa pidettäviä tietoja. Ehdotetun säännöksen perusteella käyttölokitietojen keräämisen tarve tulisi arvioida puolestaan sillä perusteella, tarvitaanko niitä virheselvittelyjä varten tai yksilön etujen, oikeuksien ja velvollisuuksien sekä oikeusturvan toteuttamiseksi taikka virkavastuun todentamiseksi. Erityisesti näistä näkökulmista tulisi arvioida käyttölokitietojen tarpeellisuutta, kun tietojärjestelmässä käsitellään muita kuin salassa pidettäviä tietoja taikka tietoja, joilla voisi olla merkitystä yksilön oikeusturvan toteuttamisen näkökulmasta. Tarpeellisuusarviointiin vaikuttaa myös yleisessä tietosuoja-asetuksessa säädetyt vaatimukset teknisten ja organisatoristen toimenpiteiden toteuttamiseksi henkilötietojen suojaamiseksi. Lokitietoja ei tämän lain perusteella erikseen tarvitsi kerätä yleisesti tietoverkosta, esimerkiksi verkkosivustoilta, saatavista avoimista tietoaineistoista. Lokitietojen kerääminen perustuisi tarpeeseen, jonka määrittelee se viranomainen, joka on vastuussa tietojärjestelmästä. Se, missä laajuudessa ja mitä lokitietoja kerätään, perustuu tarpeellisuusarviointiin. Lokitiedot voidaan jättää keräämättä, jos niiden keräämiselle ei ole tässä tai muussa säädöksessä tarkoitettua perustetta.
Lokitiedot ovat pääosin henkilötietoja, joten niiden sääntelyssä on otettava huomioon tietosuojan yleissääntely. Lokitiedot ovat osa viranomaisten tietojärjestelmien tietoturvajärjestelyjä, joten ne ovat vakiintuneen oikeuskäytännössä esitetyn tulkinnan perusteella (KHO 2014:69 ja KHO 27.5.2015 t. 1419) salassa pidettäviä julkisuuslain 24 §:n 1 momentin 7 kohdan perusteella, jollei ole ilmeistä, että tiedon antaminen niistä ei vaaranna turvajärjestelyjen tarkoituksen toteutumista. Lokitietojen keräämisen tarkoituksena ja perusteena on toteuttaa viranomaisten tietojärjestelmien tietoturvallisuutta siten, että lokitietojen perusteella voidaan selvittää virhetilanteita ja valvoa tietojärjestelmien käyttöä muun muassa oikeusturvan toteuttamiseksi ja virkavastuun todentamiseksi. Lokitietojen tarkoituksena on myös dokumentoida tietojärjestelmistä tehtävät luovutukset ja samalla osaltaan varmistaa, että luovutuksille on ollut olemassa lainmukainen peruste. Näistä syntyvät tietojärjestelmien käyttölokit ja luovutuslokit. Lokirekisteri on tietojärjestelmien ja käyttäjien toimintaa kuvaava pääsääntöisesti henkilötietoja sisältävä rekisteri. Tästä syystä lokitietojen käyttötarkoitus olisi määritelty pykälän toisessa virkkeessä. Lokitietoja kerätään tietojärjestelmien käytöstä, jolla tarkoitetaan tietojen tallentamista, muuttamista, poistamista, katselua tai muuta tietoihin kohdistuvaa toimenpidettä. Pykälässä ei säädettäisi lokitietojen tiedonsaannista, vaan se ratkaistaisiin julkisuuslain tai erityislakien perusteella. Pykälä ei sisältäisi myöskään lokitietojen säilytysaikaa koskevaa säännöstä, vaan lokitietojen säilytysaika määritellään tarpeellisuusvaatimus huomioon ottaen siten kuin muukin tietojen säilyttäminen. Yleisesti lokitietojen säilytysaika on tyypillisesti vähintään viisi vuotta viranomaistoiminnassa rikosoikeudellisten vanhentumisaikojen vuoksi. Erityislainsäädännössä voi olla säädettynä erikseen lokitietojen säilytysajoista erityisesti, jos lokitietoja säilytetään pitempiä aikoja kuin on tarpeen viranomaisella olevien velvollisuuksien toteuttamiseksi. Pykälässä ei säädetä myöskään siitä sisällöstä, jota lokitiedoissa tulisi kerätä, vaan lokitietojen käyttötarve määrittelee sen, mitä tietoja lokitietoina voidaan kerätä tietystä tietojärjestelmästä.
18 §.Turvallisuusluokiteltavat asiakirjat valtionhallinnossa. Pykälän 1 momentin mukaan asiakirja tai siihen sisältyvät tiedot tulisi turvallisuusluokitella ja niihin tulisi tehdä turvallisuusluokkaa koskeva merkintä, jos asiakirja tai siihen sisältyvä tieto olisi salassa pidettävä viranomaisten toiminnan julkisuudesta annetun lain 24 §:n 1 momentin 2, 5 tai 7—11 kohdan perusteella ja asiakirjaan sisältyvän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voisi aiheuttaa vahinkoa maanpuolustukselle, poikkeusoloihin varautumiselle, kansainvälisille suhteille, rikosten torjunnalle, yleiselle turvallisuudelle tai valtion- ja kansantalouden toimivuudelle taikka muulla niihin rinnastettavalla tavalla Suomen turvallisuudelle.
Turvallisuusluokittelua koskevaa sääntelyä ehdotetaan muutettavaksi nykyisestä siten, että asiakirjojen turvallisuusluokittelu muuttuu pakolliseksi ja että turvallisuusluokittelua laajennetaan koskemaan myös julkisuuslain 24 §:n 1 momentin 5 ja 11 kohdissa tarkoitettuja asiakirjoja – eli muun muassa poliisin taktisia ja teknisiä menetelmiä ja suunnitelmia koskevia tietoja sisältäviä asiakirjoja sekä asiakirjoja, jotka sisältävät tietoja raha- ja valuuttapoliittisista päätöksistä tai toimenpiteistä taikka niiden valmistelusta tai tietoja finanssi- ja tulopolitiikan valmistelusta taikka finanssi-, tulo-, raha- tai valuuttapoliittisten päätösten tai toimenpiteiden tarpeiden selvittämisestä. Osittain tämä johtuu käytännössä ilmenneistä tarpeista, osittain siitä, että ehdotetun sääntelyn mukaan jatkossa muita kuin turvallisuusluokiteltuja asiakirjoja ei enää luokiteltaisi eri suojaustasoille, vaan niitä voitaisiin käsitellä toteuttamalla vähimmäisvaatimukset riskienhallinnan perusteella.
Mikäli asiakirja olisi vasta valmisteluvaiheen asiakirja eli ei vielä valmis, voitaisiin siihen merkitä turvallisuusluokka, mikäli asiakirja sisältönsä puolesta kuuluu tässä säännöksessä tarkoitettuihin turvallisuusluokiteltuihin asiakirjoihin.
Merkinnät voitaisiin tehdä myös asiakirjan kopioihin. Tietojärjestelmissä merkintä tehtäisiin myös asiakirjan metatietoihin. Merkintä voitaisiin tehdä asiakirjaan liitettävään erilliseen asiakirjaan, jos merkintöjen tekeminen asiakirjaan tai merkinnän muuttaminen ei ole teknisesti mahdollista tai jos luokkaa vastaavat käsittelyvaatimukset ovat tarpeen vain tietyn lyhyehkön ajan. Turvallisuusluokkaa osoittava merkintä olisi tehtävä selvästi ja oikein asiakirjaan, ja luokitus on säilytettävä vain niin kauan, kuin se suojattavan edun vuoksi on tarpeen. Turvallisuusluokittelu voidaan suorittaa myös siten, että tietoturvallisuutta koskevat vaatimukset kohdistetaan vain sellaisiin asiakirjoihin tai sellaisiin asiakirjan käsittelyvaiheisiin, joissa erityistoimenpiteet ovat suojattavan edun vuoksi tarpeen. Luokitusta ei saisi ulottaa sellaiseen asiakirjaan tai asiakirjan osiin, joissa käsittelyvaatimusten noudattaminen ei suojattavan edun vuoksi ole tarpeen.
Ehdotetun 2 momentin mukaan turvallisuusluokitusmerkintää ei saisi käyttää muissa kuin 1 momentissa tarkoitetuissa tapauksissa, ellei merkinnän tekeminen olisi tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi tai asiakirja muutoin liity kansainväliseen yhteistyöhön.
Ehdotetun 3 momentin mukaan kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa tarkoitettuihin asiakirjoihin olisi tehtävä turvallisuusluokituksesta merkintä siten kuin mainitussa laissa säädetään.
Ehdotetun 4 momentin mukaan turvallisuusluokittelusta, turvallisuusluokiteltaviin asiakirjoihin tehtävistä merkinnöistä ja niiden käsittelystä säädettäisiin tarkemmin valtioneuvoston asetuksella. Tarkoitus ei ole muuttaa nykyisiä tietoturvallisuusasetuksessa säädettyjä turvallisuusluokkia, jotka on laadittu vastaamaan kansainvälisissä yhteyksissä yleisesti käytettyä luokittelua ja merkintöjä. Näistä merkinnöistä säädettäisiin jatkossakin asetuksella. Tarkoitus on myös asetuksen tasolla mahdollistaa alimman turvallisuusluokan asiakirjojen käsittely noudattaen ehdotetussa laissa säädettäviä tiedonhallinnan perusvaatimuksia. Käsittelyssä olisi luonnollisesti otettava huomioon myös mitä ehdotetun lain 13 §:n 1 momentissa tarkoitettu riskiarviointiin perustuva tietoturvallisuuden toteuttaminen. Ehdotettu 4 momentti sisältäisi myös informatiivisen viittaussäännöksen salassapitomerkinnöistä, joista säädettäisiin julkisuuslain 25 §:ssä, jota myös ehdotetaan tällä esityksellä muutettavaksi.
5 luku Tietoaineistojen muodostaminen ja sähköinen luovutustapa
19 §.Tietoaineistojen sähköiseen muotoon muuttaminen ja saatavuus. Pykälässä säädettäisiin tietoaineistojen muuttamisesta sähköiseen muotoon. Pykälän tarkoituksena olisi ohjata viranomaisia käsittelemään tietoaineistojaan vain sähköisessä muodossa, riippumatta siitä, missä muodossa viranomainen on saanut sille toimitetut asiakirjat. Pykälässä ehdotetaan säädettäväksi viranomaisen velvollisuudesta tiedonhallintayksikön sijaan, koska asiakirjat saapuvat viranomaiselle ja toimivaltainen viranomainen käsittelee sille saapuneet asiakirjat.
Pykälän 1 momentin ensimmäisen virkkeen mukaan, jos asiakirja saapuu viranomaiselle muussa kuin sähköisessä muodossa, olisi se muunnettava sähköiseen muotoon, jos asiakirja on säädetty pysyvästi säilytettäväksi taikka lailla tai lain nojalla arkistoitavaksi. Osa asiakirjoista ja tietoaineistoista on säädetty laissa pysyvästi säilytettäväksi. Pysyvä säilyttäminen tarkoittaa henkilötietojen käsittelyssä sitä, että tietoja säilytetään alkuperäiseen käyttötarkoitukseensa siten, ettei niitä tuhota tai siirretä varsinaisesti arkistoon lainkaan, vaan niiden säilyttämiselle on olemassa pysyvä peruste etujen, oikeuksien tai velvollisuuksien määrittäjänä. Joissakin tilanteissa pysyvästä säilyttämisestä on säädetty lain nojalla. Niin ikään arkistointia koskevassa sääntelyssä käytetään käsitettä pysyvä säilyttäminen, joka on erilaisen merkityssisältönsä perusteella ongelmallinen käsite henkilötietojen säilytyksestä säädettäessä. Ehdotettava säännös tarkoittaisi, että tiedon säilyttäminen pysyvästi alkuperäiseen käyttötarkoitukseensa tai ennalta määriteltynä arkistoitavaksi muodostaisivat perusteen sille, että asiakirja olisi muunnettava sähköiseen muotoon. Viranomaisen harkintaan jäisi, milloin saapunut asiakirja muunnetaan sähköiseen muotoon. Kun viranomainen muuntaa asiakirjaa sähköiseen muotoon, on viranomaisen huolehdittava muunnetun asiakirjan todistusvoimaisuudesta siten, että sähköiseen muotoon muunnetun asiakirjan luotettavuus ja eheys voidaan varmistaa. Tästä syystä viranomaisella on oltava tarvittavat tekniset järjestelyt, joilla paperiasiakirja voidaan muuntaa luotettavalla tavalla sähköiseen muotoon siten, että asiakirjaan sisältyvien tietojen todistusvoimaisuus säilyy. Käytettävän tekniikan on sisällettävä varmennus siitä, että muunnetun asiakirjan tietosisältö on viranomaisessa tarkastettu ja varmistettu. Muunnetut asiakirjat tulisi esimerkiksi varmentaa sähköisesti sen henkilön toimesta, joka muuntamisen on tehnyt. Varmennuksen olisi oltava sellainen, että jälkikäteen voitaisiin todentaa, jos muunnettuun sähköisessä muodossa olevaan asiakirjaan olisi tehty muutoksia. Muunnettu asiakirja olisi kopio alkuperäisestä, joten olisi erityisen tärkeää varmistaa, että muuntamisen yhteydessä varmistetaan tietosisällön eheys riittävällä tavalla ja että eheys säilyy sähköisessä muodossakin. Sähköiseen muotoon muunnetun asiakirjan todistusvoimaisuudella tarkoitetaan sitä, että sen perusteella voidaan todentaa, mitä asiakirjan perusteella on viranomaiselta vaadittu tai mihin asiakirjan tietosisältö oikeuttaa tai velvoittaa ja ettei asiakirjan tietosisältöä ole muutettu alkuperäisestä.
Pykälän 1 momentin kolmannen virkkeen mukaan viranomaisen laatimat asiakirjat olisi säilytettävä sähköisessä muodossa. Tämä olisi lähtökohta, mutta siitä voitaisiin myös poiketa. Momentin neljännessä virkkeessä olisi mainittu ne tilanteet, joissa viranomaiselle saapuneen asiakirjan tai viranomaisen laatiman asiakirjan sähköisestä säilyttämisestä voitaisiin poiketa. Sähköiseen muotoon muuttamisesta ja säilyttämisestä voitaisiin poiketa, jos se olisi välttämätöntä turvallisuusluokiteltavien asiakirjojen käsittelyä koskevien vaatimusten, muiden tietoturvallisuusvaatimusten tai muun asiakirjan luonteeseen liittyvän välttämättömän syyn vuoksi. Säännöksessä mainittu välttämätön syy voisi liittyä asiakirjan muotoon tai sisältöön siten, ettei asiakirjaa voitaisi muuttaa sähköiseksi siihen liittyvien turvatekijöiden tai asiakirjan sisällön muotoon liittyvien syiden vuoksi. Asiakirja voisi olla myös sisällöltään sellainen, että sen käsittely olisi välttämätöntä paperimuodossa ilman, että siitä otetaan jäljennöstä sähköiseen muotoon. Pykälän 1 momentissa ei olisi säädetty, mitä sähköiseen muotoon muutetuille alkuperäisille paperiasiakirjoille tehdään. Arviointi, miltä osin asiakirjat olisivat sellaisia, että niiden alkuperäinen muoto olisi tarpeellista säilyttää myöhemmin tehtävää tieteellistä tai historiallista tutkimusta taikka kulttuuriperinnön säilytystä varten jäisi arkistolainsäädännön varaan arkistotoimen tehtäväksi.
Pykälän 2 momentissa olisi säädetty sähköisessä muodossa olevien tietoaineistojen saatavuuteen liittyvistä velvollisuuksista. Säännös liittyy julkisen sektorin julkisen sektorin hallussa olevien tietojen uudelleenkäytöstä annetun Euroopan parlamentin ja neuvoston direktiivin 2003/98/EY (PSI-direktiivi) ja sen muutosdirektiivin 2013/37/EU kansalliseen täytäntöönpanoon. Direktiivin 2 artiklan luettelon 6 kohdan mukaan koneellisesti luettavalla esitysmuodolla tarkoitetaan tiedostomuotoa, jonka rakenne mahdollistaa sen, että ohjelmistot pystyvät helposti yksilöimään, tunnistamaan ja poimimaan siitä määrättyjä tietoja, yksittäiset tietoalkiot ja niiden rakenne mukaan lukien. Direktiivin 5 artiklan 1 kohdan mukaan julkisen sektorin elinten on asetettava asiakirjansa saataville kaikissa jo olemassa olevissa esitysmuodoissa ja kaikkina jo olemassa olevina kielitoisintoina ja, silloin kun se on mahdollista ja tarkoituksenmukaista, avoimessa koneellisesti luettavassa esitysmuodossa yhdessä niitä koskevien metatietojen kanssa.
Pykälän 2 momentin mukaan, ottaen huomioon mitä tiedonsaannista ja henkilötietojen suojasta erikseen säädetään, viranomaisen olisi huolehdittava, että tietoaineisto olisi saatavilla ja hyödynnettävissä yleisesti käytettävässä koneluettavassa muodossa kuvailutietoineen, jos tietoaineisto voidaan saattaa alkuperäisestä muodosta suoraan koneluettavaan muotoon. Säännös jättäisi viranomaiselle laajan harkinnan siitä, mitkä tietoaineistot sille muodostuisivat siten, että tietoaineisto olisi koneluettavassa muodossa. Säännös ei olisi itsenäinen vaan sitä pitäisi tulkita tiedonsaantioikeuksia ja käsittelyoikeuksia koskevien säännösten kanssa. Säännöksessä ei säädettäisi myöskään tavasta, jolla tietoaineistoja pitäisi pitää saatavilla, vaan se jää tiedonsaantia ja henkilötietojen suojaa koskevien säännösten varaan.
Viranomaisella olisi velvollisuus huolehtia tietojen saatavuudesta ja siihen liittyvästä hyödynnettävyydestä silloin, kun tietoaineistoon on olemassa tietojensaantioikeus ja tietojenkäsittelyoikeus. Tietojen saatavuus ja hyödynnettävyys koskevat tietoaineiston muotoa sitten, että sähköiset tietoaineistot tulisi muodostaa sellaiseen muotoon, että ne olisivat yleisesti käytettävässä koneluettavassa muodossa. Yleisesti käytettävällä muodolla tarkoitettaisiin jonkin standardin mukaista tai muun yleisesti käytössä olevan tiedostomuodon tai -rakenteen käyttöä. Viranomaisella olisi 2 momentissa tarkoitettu velvollisuus silloin, kun aineisto muodostuu sähköiseen muotoon. Tällöin aineiston tulee olla saatavilla yleisesti käytettävässä muodossa ja siihen on liitettävä tietoaineistoa kuvailevat tiedot (metatiedot). Nämä vaatimukset tulisi ottaa huomioon jo tietoaineistoja sähköiseen muotoon muodostettaessa.
Säännös tulisi sovellettavaksi tiedonsaantioikeuksia käytettäessä siten, että tiedonsaantiin oikeutettu voisi saada tietoaineiston yleisesti käytettävässä koneluettavassa muodossa kuvailutietoineen. Se, miten tiedot annettaisiin tai olisivatko tiedot saatavilla jostakin julkisesta verkko-osoitteesta, jää pääosin muun sääntelyn varaan ja joitakin osin myös viranomaisen harkintaan. Viranomaisella ei olisi velvollisuutta muokata asiakirjoja siten, että kaikki aineistot olisivat koneluettavassa muodossa, jos siihen olisi jokin teknisistä ratkaisuista johtuva syy, esimerkiksi, että skannattua asiakirjaa ei voitaisi koneellisesti lukea tai muuntaa luotettavalla tavalla koneluettavaan muotoon. Tietojen koneluettavan muodon vaatimus koskisi erityisesti tietoaineistoja, jotka olisivat asiakirjallisina tietoina rakenteellisessa muodossa. Säännös ei muodosta myöskään viranomaiselle velvollisuutta pitää yleisesti saatavilla sähköisessä muodossa olevia tietoaineistoja, vaan saatavuus koskee tässä momentissa muotoa, jossa tiedot annetaan tiedonsaantiin oikeutetulle.
Pykälän 3 momentissa olisi säännös, jolla mahdollistetaan se, että tiedonhallintayksikkö voi antaa teknisluonteisen asiakirjojen sähköiseen muotoon muuttamisen yksityisen henkilön tai yhteisön hoidettavaksi. Perustuslakivaliokunta on eräässä lausunnossaan (PeVL 30/2012 vp) todennut, että perustuslain 124 §:ssä tarkoitettuja julkisia hallintotehtäviä ovat Verohallinnolle annettavien ilmoitusten ja muiden asiakirjojen vastaanotto, lajittelu sekä asiakirjojen ja niihin sisältyvien tietojen tallentaminen. Koska asiakirjojen sähköiseen muotoon muuttaminen on asiakirjojen tallentamista, on se myös julkinen hallintotehtävä. Perustuslain 124 §:n mukaan julkinen hallintotehtävä voidaan antaa muulle kuin viranomaiselle vain lailla tai lain nojalla, jos se on tarpeen tehtävän tarkoituksenmukaiseksi hoitamiseksi eikä vaaranna perusoikeuksia, oikeusturvaa tai muita hyvän hallinnon vaatimuksia. Merkittävää julkisen vallan käyttöä sisältäviä tehtäviä voidaan kuitenkin antaa vain viranomaiselle. Ehdotettavan 3 momentin perusteella yksityinen voisi hoitaa asiakirjojen sähköiseen muotoon muuttamisen viranomaisen toimeksiannosta sopimusperusteisesti. Hallinnon yleislait tulisivat sovellettavaksi tällaisiin yksityisiin suoraan lain soveltamisalaa koskevien säännösten perusteella. Momentti sisältäisi viittaukset rikosoikeudelliseen virkavastuuseen ja vahingonkorvauslakiin, jotta tehtävä voitaisiin antaa yksityisen hoidettavaksi. Asiakirjojen muuttaminen sähköiseen muotoon ei ole julkisen vallan käyttöä, vaan julkisen vallan käyttöön liittyvän avustavan tehtävän hoitamista. Rikoslain virkarikoksia koskevat säännökset eivät siten tule sovellettavaksi suoraan rikoslain (39/1889) 40 luvun perusteella, vaan rikosoikeudellisen virkavastuun laajentaminen muihin kuin julkista valtaa sisältäviin julkisiin hallintotehtäviin on tehtävä erityislainsäädännössä. Perustuslakivaliokunta on edellyttänyt rikosoikeudellisen virkavastuun ulottamista myös sellaisiin julkisiin hallintotehtäviin, joissa ei käytetä julkista valtaa (ks. esimerkiksi PeVL 11/2006 vp, PeVL 3/2009 vp, PeVL 30/2012 vp). Asiakirjojen muuttaminen sähköiseen muotoon on teknisluonteinen tehtävä, joka edellyttää erityistä huolellisuutta. Tällaiset teknisluonteiset ja rutiiniluonteiset tehtävät voidaan katsoa viranomaisesta riippuen tarkoituksenmukaiseksi antaa yksityisen hoidettavaksi muun muassa viranomaistoiminnan tehokkuuden ja resurssien tarkoituksenmukaisen käytön mahdollistamiseksi sekä ruuhkahuippujen tasaamiseksi. Kunkin viranomaisen arvioitavaksi jää, onko tehtävän antaminen yksityiselle tarkoituksenmukaista, vaikka laissa tällainen ulkoistaminen mahdollistettaisiinkin (VaVM 10/2006 vp). Perustuslakivaliokunta on pitänyt mahdollisena asiakirjojen tallentamista koskevan tehtävän antamisen yksityiselle (PeVL 30/2012 vp) julkista hallintotehtävää koskevien sääntelyvaatimusten puitteissa. Säännös sisältäisi kuitenkin lisävaatimuksena, että viranomaisen olisi tällaiselta yksityiseltä palvelua hankittaessa varmistettava, että yksityisellä on riittävät tekniset valmiudet asiakirjojen sähköiseen muotoon muuttamiseksi ja että, yksityisellä olisi riittävä osaaminen tähän tehtävään. Osaamiseen liittyy erityinen huolellisuusvaatimus sen varmistamisessa, että asiakirja säilyy eheänä ja muuttumattomana sekä käyttökelpoisena. Myös tietoturvallisuus on varmistettava siten kuin tässä tai muussa laissa säädetään. Momentissa ei olisi kuitenkaan tällaista viittausta, vaan tietoturvallisuussäännökset on otettava huomioon kaikessa tietoaineistojen käsittelyssä.
20 §.Tietoaineistojen kerääminen viranomaisen tehtäviä varten. Pykälässä säädettäisiin tavoista, joilla tietoja kerättäisiin viranomaisten tehtävien hoitamista varten. Säännöksen tarkoituksena olisi vähentää viranomaisten rinnakkaista ja päällekkäistä tietojen keräämistä hallinnon asiakkailta sekä varmistaa, että viranomaiset käyttäisivät ajantasaisia tietoja niiden alkuperäisistä tietolähteistä. Säännöksessä ei säädettäisi tiedonsaantioikeuksista, vaan viranomaisen tietojen keräämiseen liittyvistä rajoituksista. Pykälän 1 momentti asettaisi viranomaiselle velvollisuuden hyödyntää toisen viranomaisen tietoaineistoja, jos viranomainen voisi niiden avulla hoitaa sille säädettyjä tehtäviä tarkoituksenmukaisella tavalla, ottaen huomioon hallinnon asiakkaan oikeusturvan toteuttamisen. Velvollisuus koskisi momentin mukaan tilanteita, joissa viranomaisella olisi tiedonsaantioikeus toisen viranomaisen tietoihin ja tiedot olisivat saatavilla teknisen rajapinnan tai katseluyhteyden avulla. Säännös sisältäisi vaatimuksen viranomaiselle arvioida toimintaprosessien suunnittelussaan, mistä jo olemassa olevista tietovarannoista sen tarvitsemat tiedot olisi mahdollista saada ajantasaisena tiedonsaantioikeuksien ja tietojen käsittelyoikeuksien puitteissa ilman, että tietoja tarvitsisi erikseen pyytää asianosaiselta tai muulta hallinnon asiakkaalta. Säännöksen tarkoituksena on ohjata hallinnon toimintaa tarkoituksenmukaisiin toimintaprosesseihin ja samalla kiinnitetään huomiota asianosaisen ja muun hallinnon asiakkaan oikeusturvan toteuttamisesta huolehtimiseen tietojen hyödyntämisessä ja käytössä. Viranomainen ei voisi tehdä hallinnon asiakasta koskevia välittömän oikeusvaikutuksen aiheuttavia päätöksiä pelkästään kerättyjen tietojen perusteella, vaan hallinnon asiakasta pitäisi muun muassa kuulla ennen päätöksentekoa tai järjestää asiankäsittely tai palvelujen tuottaminen siten, että asianosainen tai asiakas voivat varmistaa jo asiankäsittelyn tai palvelun tuottamisen aikana viranomaisella olevien tietojen oikeellisuuden. Säännös ei siten muodosta ehdotonta velvollisuutta viranomaiselle hyödyntää toisen viranomaisen tietoaineistoja, joita toinen viranomainen tarvitsee omien tehtäviensä hoitamisessa. Säännöksellä on tarkoitus ohjata suunnittelua, jossa on otettava huomioon asiankäsittelylle ja palvelutuotannolle asetetut menettelyvaatimukset.
Pykälän 2 momentissa säädettäisiin otteina ja todistuksina kerättävien tietojen keräämisestä. Monissa tilanteissa otteisiin tai todistuksiin sisältyvät tiedot on saatavissa viranomaisten käyttöön suoraan toiselta viranomaiselta. Tällaisia otteisiin tai todistuksiin sisältyviä tietoja on saatavissa teknisen rajapinnan tai katseluyhteyden avulla muun muassa väestötietojärjestelmästä (virkatodistus), kaupparekisteristä (kaupparekisteriote) ja kiinteistötietojärjestelmästä (kiinteistörekisteriote). Säännös ei olisi ehdoton, vaan sisältäisi ehtoja, joiden perusteella tietojen keräämistä rajoittava säännös tulisi sovellettavaksi.
Säännöksessä luotettavuudella ja ajantasaisuudella tarkoitettaisiin sitä, että tiedot luovuttavalla viranomaisella tietovarannon tietoaineistojen ajantasaisuus on varmistettu ja että tietojen alkuperäisyys ja eheys on varmistettu tietoaineiston tietohuoltoon liittyvissä prosesseissa. Tietoaineiston luotettavuuteen liittyy myös se, että hallinnon asiakkaalla tulee olla mahdollisuus päästä tutustumaan näihin tietoihin sen viranomaisen tietovarannosta, josta tietoja luovutetaan toiselle viranomaiselle.
Viranomaisilla on useissa tilanteissa mahdollisuus saada tehtäviensä hoitamiseen tarvitsemansa erilaisiin todistuksiin ja otteisiin liittyvät tiedot toiselta viranomaiselta ajantasaisesti. Tästä syystä ei ole perusteita, että hallinnon asiakasta edellytettäisiin toimittamaan tällaiset tiedot. Jos viranomaisella olisi tehtäviensä hoitamista varten oikeus saada luotettavasti ja ajantasaisesti teknisen rajapinnan tai katseluyhteyden avulla toisen viranomaisen tietovarannosta sellaisia tietoja, joita otteesta tai todistuksesta ilmenisi, ei otteita tai todistuksia saisi vaatia hallinnon asiakkaalta. Asiakasta ei myöskään muulla tavalla saisi vaatia toimittamaan vastaavaa tietoa. Tarkoituksena on varmistaa, ettei jo kerran asiakkaalta saatua tai muutoin viranomaisen rekisteröimää tietoa kysyttäisi uudestaan hallinnon asiakkaalta. Tarkoitus olisi myös luopua menettelyistä, joissa hallinnon asiakkaan pitäisi toimittaa sellaisia todistuksia tai otteita, joiden antajana olisi toinen viranomainen. Tällainen menettely olisi edelleen mahdollista erityislakien perusteella, mutta tarkoituksena on, että niistäkin luovuttaisiin säädöshuollon yhteydessä. Lähtökohtaisesti viranomaisen olisi asian käsittelemiseksi tai palvelun tuottamiseksi hankittava itse kaikki tarvitsemansa otteisiin ja todistuksiin sisältyvät tiedot, jos se on sille säädettyjen tiedonsaantioikeuksien puitteissa mahdollista. Kuitenkaan viranomaisilla ei kaikissa tilanteissa ole mahdollisuutta saada otteisiin ja todistuksiin liittyviä tietoja, esimerkiksi kun kysymys on ulkomaalaisesta hallinnon asiakkaasta.
Pykälän sääntelyllä pyritään tarpeettoman tiedonkeruun vähentämiseen ja viranomaisten tietovarantojen tehokkaampaan hyödyntämiseen viranomaisten toiminnassa. Viranomainen voisi edelleen pyytää otteita ja todistuksia, jos viranomaisella ei olisi tiedonsaantioikeuksia tietoihin suoraan toiselta viranomaiselta tai toisen viranomaisen tietoaineiston ajantasaisuudesta ei voitaisi varmistua. Säännös ei vaikuttaisi myöskään muualla laissa säädettyihin ilmoitusvelvollisuuksiin, vaan säännös tulisi sovellettavaksi lähinnä asianosaislähtöisissä asioissa hakemusten toimittamisen yhteydessä.
21 §.Tietoaineistojen säilytystarpeen määrittäminen. Pykälä sisältäisi säännökset siitä, millä perusteilla tietoaineistojen säilytystarve määritetään niille tietoaineistoille tai asiakirjoille, joiden säilytysajasta ei ole säädetty laissa. Pykälän tarkoituksena olisi yhdenmukaistaa perusteet, joilla asiakirjojen ja muiden tietoaineistojen säilytysaikoja määritetään. Määrittelyn kohteena oleva tietoaineisto voi sisältää tietokokonaisuuksia, joilla on useita eri säilytysaikoja. Ehdotettu säännös koskisi kaikenlaisia tietoaineistoja riippumatta niiden sisällöstä. Pykälässä ei olisi säädetty niistä perusteista, joilla tietoaineistot arkistoidaan, vaan se perustuu muuhun sääntelyyn. Siten säilytysaika ei tarkoita sitä, miten kauan tietoaineistoa hallitaan tiedonhallintayksikössä, vaan miten kauan sitä säilytetään siihen käyttötarkoitukseen, johon asiakirjat ja muut vastaavat tiedot on kerätty. Säilytysaikojen määrittämistä koskevan pykälän tarkoituksena on varmistaa oikeusturvan ja rikosoikeudellisen virkavastuun todentaminen viranomaisten tietoaineistoista.
Suomessa on noin 300 säännöksessä säädetty asiakirjojen tai henkilörekisterissä säilytettävin tietojen säilytysajasta tai sen määräytymisestä. Säilytysaikoja koskeva sääntely ei ole kuitenkaan kattavaa. Pykälässä säädettäisiin perusteista, joilla säilytysajat määriteltäisiin julkisessa hallinnossa. Pykälä täyttäisi perustuslakivaliokunnan lausunnoissaan esittämät vaatimukset täsmällisyydestä, kattavuudesta ja tarkkarajaisuudesta yleislaissa säädettävistä henkilötietojen käsittelyn vaatimuksista. Jatkossa tietoaineistojen ja asiakirjojen, mukaan luettuna henkilötietojen, säilytysajoista olisi tarpeen säätää erikseen laissa vain, jos säilytysajan määrittelyssä poiketaan tässä pykälässä säädetyistä perusteista taikka säilytysaikojen määrittely laintasolla on tarpeen esimerkiksi Euroopan unionin lainsäädäntöön liittyvien syiden vuoksi taikka jos kysymys olisi erityisiin henkilötietoryhmiin kuuluvien tietojen taikka muiden arkaluonteisten tietojen säilytysajoista.
Perustuslakivaliokunta on todennut vakiintuneesti, että henkilörekisterin säilytysajat kuuluvat niihin seikkoihin, joista on perustuslain 10 §:n 1 momentin mukaan säädettävä lailla (PeVL 14/1998 vp ja PeVL 25/1998 vp). Henkilötietojen pysyvästä säilyttämisestä on perustuslakivaliokunta todennut toistuvasti, ettei tietojen pysyvä säilyttäminen ole henkilötietojen suojan mukaista (PeVL 51/2002 vp ja PeVL 54/2010 vp). Kuitenkin, jos tähän on tietojärjestelmän luonteen tai tarkoituksen mukainen peruste, voidaan henkilötietoja säilyttää pysyvästi (PeVL 3/2009 vp ja PeVL 54/2010 vp). Perustuslakivaliokunta on tuoreimmassa lausuntokäytännössään todennut, ettei ole estettä sille, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla (PeVL 14/2018 vp, PeVL 2/2018 vp, PeVL 31/2017 vp, PeVL 5/2017 vp ja PeVL 38/2016 vp).
Ehdotettava pykälä koskisi kaikenlaisia tietoja, joten se täydentäisi sitä, mitä Euroopan unionin yleisessä tietosuoja-asetuksessa on säädetty säilytysaikojen määräytymisestä. Euroopan unionin yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdan mukaan henkilötietoja on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Artiklan mukaan henkilötietoja voidaan säilyttää pidempiäkin aikoja, jos henkilötietoja käsitellään ainoastaan yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti edellyttäen, että tietosuoja-asetuksessa vaaditut asianmukaiset tekniset ja organisatoriset toimenpiteet on pantu täytäntöön rekisteröidyn oikeuksien ja vapauksien turvaamiseksi (”säilytyksen rajoittaminen”). Tietosuoja-asetuksen 25 artiklassa kuvattuihin sisäänrakennetun ja oletusarvoisen tietosuojan toteuttamiseen kuuluu muun muassa, että rekisterinpitäjä määrittelee käsiteltävien henkilötietojen säilytysajat ja rekisterinpitäjän on huolehdittava, että niitä noudatetaan. Säilytysaikoja määriteltäessä rekisterinpitäjän tulee ottaa huomioon käsittelyyn liittyvä tarpeellisuusvaatimus.
Julkisessa hallinnossa henkilötietojen käsittely perustuu tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdassa tarkoitettuun lakisääteisten velvoitteiden noudattamiseen sekä e alakohdassa tarkoitettuun yleistä etua koskevan tehtävän suorittamiseen taikka julkisen vallan käyttämiseen. Näitä c ja e alakohdan käsittelyn oikeusperusteita varten kansallisessa lainsäädännössä voidaan tietosuoja-asetuksen 6 artiklan 3 kohdan perusteella säätää muun muassa säilytysajoista. Ehdotetussa 21 §:ssä ei säädettäisi säilytysajoista, vaan perusteista, jotka tulisi ottaa huomioon säilytysaikoja määriteltäessä. Pykälän 1 momentissa oleva luettelo ei olisi tyhjentävä, vaan siinä on tuotu esille ne säilyttämiseen liittyvät perusteet, jotka lähtevät yksilön etujen, oikeuksien ja velvollisuuksien toteuttamisesta, viranomaisen oikeuksien ja velvollisuuksien toteuttamisesta sekä perustuslain 118 §:ssä säädetyn virkavastuun todentamisesta viranomaisten asiakirjoista. Käytännössä virkavastuun toteuttamisen ja todentamisen kannalta tärkeässä asemassa ovat viranomaiselle muodostuneet asiakirjat, joita hallinnoidaan tietovarannoissa. Säilytysaikojen määrittäminen on merkityksellistä perustuslain 21 §:ssä säädetyn oikeusturvan sekä perustuslain 118 §:ssä säädetyn virkavastuun toteuttamisen kannalta katsottuna, kun jälkikäteen arvioidaan virkamiehen vastuuta tekemistään toimista asiakirja-aineiston perusteella.
Tiedonhallintayksikön olisi huolehdittava, että sen yhteydessä toimivat viranomaiset ja rekisterinpitäjät määrittelevät tietojen käsittelyyn liittyvät säilytysajat sekä ylläpitävät näistä tiedot tiedonhallintamallissa. Asianmukaisesti laaditussa tiedonhallintamallissa henkilötietojen, asiakirjojen, muiden näitä vastaavien tietojen sekä tietoaineistojen säilytysaikaa koskeva tieto yhdistetään viranomaisen toimintaprosesseihin.
Pykälässä ei säädettäisi erikseen säilytysaikojen laskentaperusteista, vaan ne jäisivät alan suositusten varaan. Säilytysaikojen määrittämisen jälkeen tiedonhallintayksiköissä on määriteltävä, miten säilytysajat lasketaan kussakin toimintaprosessissa. Säilytysaika voitaisiin laskea muun muassa sen vuoden päättymisestä, jolloin asiankäsittely viranomaisessa on päättynyt tai palvelun tuottaminen asiakkaalle on päätetty. Asiankäsittely katsotaan päättyneeksi viranomaisessa sen jälkeen, kun esimerkiksi viranomaisen päätös on tullut lainvoimaiseksi. Siten esimerkiksi päätöksestä tehty valitus vaikuttaa asiankäsittelyssä syntyneiden asiakirjojen ja muiden asiakirjallisten tietojen säilytysajan laskentaan. Lisäksi säilytysaika voitaisiin laskea sen tilikauden päättymisestä, jolloin tilinpitoon liittyvä tietoaineisto on muodostunut. Julkisen hallinnon tiedonhallintalautakunta voisi antaa suosituksia säilytysaikojen laskentaperusteista.
Pykälän 1 momentti sisältää ne perusteet, jotka tulee ottaa huomioon määritettäessä tietoaineistojen ja asiakirjojen säilytysaikoja. Momentin luettelosta ilmenevät ne huomioitavat perusteet, joilla säilytysajat määriteltäisiin. Luettelossa olevat kriteerit eivät ole toisiaan poissulkevia, vaan toisiaan täydentäviä eikä luettelo olisi tyhjentävä, vaan siinä olisi mainittu ne näkökulmat, jotka tulisi ottaa huomioon säilytysaikaa määriteltäessä. Siten esimerkiksi tietyn viranomaisen toimen toteuttamiseen liittyvän rikosoikeudellisen virkavastuun vanheneminen voi olla viisi vuotta, mutta tietovarannossa olevat tiedot voivat vaikuttaa asianosaisen tai rekisteröidyn asemaan pidemmänkin aikaa. Näissä tapauksissa pisin säilytysajan määräytymisperuste olisi ratkaiseva säilytysaikaa määriteltäessä.
Luettelon 1 kohdan mukaan säilytysajan määrittelyssä on tehtävä tietoaineistojen säilytyksen tarpeellisuuden arviointi sen suhteen, mitä tehtävää tai palvelua varten tietoja on kerätty. Luettelon 1 kohta on ensin arvioitava, jonka jälkeen säilytysajan määrittäminen tapahtuisi luettelon 2—5 kohtien perusteella. Luettelon 2 kohdan mukaan säilytysajan määrittelyssä tulisi arvioida, missä määrin asiakirjoja tai muita tietoja on tarpeen säilyttää luonnollisen henkilön tai oikeushenkilön etujen, oikeuksien, velvollisuuksien ja oikeusturvan toteuttamiseksi ja todentamiseksi. Viranomaisten tekemät päätökset, rekistereissä olevat merkinnät sekä tietojärjestelmissä olevat kirjaukset luovat hallinnon asiakkaille ja hallinnossa työskenteleville erilaisia etuja, oikeuksia ja velvollisuuksia. Viranomaisilla on tarve säilyttää erilaisia tietoaineistoja tietovarannoissaan näiden eri oikeuksien todentamiseksi ja toteuttamiseksi sekä oikeusturvan varmistamiseksi. Tällaiset tietoaineistot voivat vaikuttaa pitkäänkin eri henkilöiden oikeuksien toteuttamiseen tai niiden todentamiseen. Joissakin tilanteissa säilytysaika voi olla lyhyempi esimerkiksi kertaluonteisen korvauksen maksamisen yhteydessä, jolloin taloushallintoon liittyvänä asiakirjana sitä säilytetään 10 vuotta osana kirjanpitoaineistoa.
Luettelon 3 kohdan mukaan asiakirjoja säilytettäisiin se aika, joka sopimuksen tai muun yksityisoikeudellisen oikeustoimen oikeusvaikutus on. Siten sopimusasiakirjoja ja muita oikeustoimia kuvaavia asiakirjoja säilytetään vaihteleva aika, johon vaikuttaa sopimuksen pituus, mutta myös siihen liittyvät taloudelliset vaikutukset ja niiden kontrollointi. Vaikka sopimuskausi olisi esimerkiksi yhden vuoden, joutuisi tiedonhallintayksikkö säilyttämään sopimusta pidemmän ajan muun muassa jälkikäteisen valvonnan toteuttamiseksi tai vahingonkorvausvelvollisuuden todentamiseksi. Tästä olisi säädetty säilytysperusteena erikseen luettelon 4 kohdassa, jonka mukaan säilytysajan määrittämiseen vaikuttaa vahingonkorvausoikeudelliset vanhentumisajat. Luettelon 5 kohdassa viitattaisiin rikosoikeudellisiin vanhentumisaikoihin. Säilytysaikojen määrittelyyn viranomaistoiminnassa vaikuttavat rikosoikeudelliset syyteoikeuden vanhentumisajat, jotka on määritelty rikoslain (39/1889) 8 luvussa. Tiedonhallintayksiköissä on siten tehtävä 1—5 kohtien perusteella kokonaisarvio kunkin tietoaineiston osalta, mitkä seikat vaikuttavat tietoaineiston säilyttämiseen. Erityisesti oikeusturvaan liittyvät seikat ovat painavassa asemassa säilytysajan määrittämisessä.
Pykälän 2 momentin mukaan säilytysajan päättymisen jälkeen tietoaineistot on arkistoitava tai tuhottava viipymättä tietoturvallisella tavalla. Kun tietoaineiston tai siinä olevien asiakirjojen säilytysaika on päättynyt, ne tulee arkistoida tai tuhota viipymättä tietoturvallisella tavalla. Säännös vastaisi tältä osin julkisuuslain 18 §:n 1 momentin 4 kohdassa säädettyä. Säännöksellä korostetaan sitä, että viranomaisen on siirrettävä säilytysajan päättymisen jälkeen tietoaineisto tai asiakirjat arkistoon viipymättä. Se, miten arkistointi toteutetaan jää viranomaisen tai arkistonmuodostajan harkintaan ja arkistointia koskevan sääntelyn varaan. Arkistointi tai tietoaineistojen tuhoaminen on tehtävä tietoturvallisella tavalla siten, että tietoaineisto ei ole sivullisten saatavilla ja että tietoaineistoa ei enää käsitellä alkuperäiseen käyttötarkoitukseensa. Tuhoamisella tarkoitetaan sitä, että tietoaineisto on poistettava käytöstä siten, ettei sitä enää voida palauttaa uudelleen käyttöön. Tuhoamisella tarkoitetaan toimia, joilla tietoaineisto tosiasiassa tuhoutuu. Tuhoaminen voidaan tehdä erilaisilla teknisillä toimilla, kuten esimerkiksi kovalevyjen päällekirjoittamisella tai fyysisellä murskaamisella. Paperiaineistojen tuhoaminen tapahtuu puolestaan esimerkiksi polttamalla. Pelkästään silppuaminen ei ole tosiasiassa tuhoamista, vaan saattamista käyttökelvottomaksi. Säännöksellä korostetaan sitä, että aineistot on tuhottava tosiasiallisesti, kun säilyttämiselle ei ole perusteita tai ellei tietoaineistoa siirretä erikseen säädetyn perusteella arkistoon.
Pykälän 3 momentti sisältäisi informatiivisen viittaussäännöksen, jonka tarkoituksena olisi selventää, että säilytysaikojen määrittämisen vastuista ja arkistotoimen tehtävistä on säädetty erikseen. Viranomainen säilyttää tietoaineistoja viranomaiselle säädettyjen tehtävien hoitamista varten. Kun tietojen säilyttämiselle ei ole tarvetta viranomaisen tehtäviä varten, ne joko tuhotaan tai siirretään arkistoon. Arkistointia koskeva sääntely hajautuu ainakin Euroopan unionin yleiseen tietosuoja-asetukseen, tietosuojalakiin, sähköisestä asioinnista viranomaistoiminnassa annettuun lakiin sekä arkistolakiin, jonka perusteella arkistoinnista päättää Kansallisarkisto. Edellä mainituissa säädöksissä olevat yksittäiset säännökset muodostavat arkistointia koskevan lainsäädännön. Momentti sisältäisi selvyyden vuoksi viittauksen arkistotoimen tehtäviin, joihin vaikuttavat niin tietosuojalainsäädäntö kuin arkistolakikin. Ehdotettavassa momentissa ei kuitenkaan viitattaisi erikseen näihin säädöksiin.
Arkistolain perusteella asiakirjojen säilytysajat määrittelee arkistonmuodostaja. Yleisen tietosuoja-asetuksen perusteella henkilötietojen säilytysajat määrittelee rekisterinpitäjä. Perusteista, joilla henkilötietoja voidaan arkistoida, säädetään yleisessä tietosuoja-asetuksessa ja tietosuojalaissa. Arkistointi muodostaa oman yleisen edun mukaisen arkistointikäyttötarkoituksen, jonka määräytyminen tapahtuu rekisterinpitäjän arvioinnin perusteella siitä, onko henkilötiedot yleisen edun vuoksi arkistoitava. Riippuen siitä, mitä lakia kulloinkin sovelletaan, määräytyy säilytysaikojen määrittelyn vastuut eri perusteilla. Siten, jos tietoaineistojen käsittelyyn ei sovelleta yleistä tietosuoja-asetusta, määrittelee arkistonmuodostaja tietoaineiston säilytysajan arkistolain perusteella.
22 §.Tietojen luovuttaminen teknisen rajapinnan avulla viranomaisten välillä. Pykälässä säädettäisiin niistä edellytyksistä, joiden täyttyessä viranomainen voisi avata toiselle viranomaiselle teknisen rajapinnan tietojen luovuttamiseksi toisen viranomaisen lakisääteisten tehtävien hoitamista varten. Pykälässä ei säädettäisi tiedonsaantioikeuksista, vaan niistä säädettäisiin edelleen julkisuuslaissa tai erityislainsäädännössä. Säännöksen tarkoituksena olisi korvata erityislainsäädännössä olevat viranomaisten välisiä teknisiä käyttöyhteyksiä koskevat säännökset. Perustuslakivaliokunta on todennut toistuvasti, että perustuslain 10 §:n 1 momentissa tarkoitettuun henkilötietojen suojaa koskeviin sääntelykohteisiin kuuluu teknisestä käyttöyhteydestä säätäminen (lähtien PeVL 12/2002 vp), mutta viimeaikaisessa lausuntokäytännössä perustuslakivaliokunta ei ole enää erikseen maininnut tärkeänä sääntelykohdevaatimuksena teknisestä käyttöyhteydestä säätämistä (ks. PeVL 14/2018 vp, PeVL 2/2018 vp, PeVL 31/2017 vp). Perustuslakivaliokunnan viimeaikaisen lausuntokäytännön mukaan estettä ei ole sille, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla (ks. PeVL 14/2018 vp, PeVL 2/2018 vp, PeVL 31/2017 vp, PeVL 5/2017 vp, ja PeVL 38/2016 vp). Ehdotettavan pykälän ja siihen liittyvien 23 ja 24 §:en tarkoituksena olisi säätää yleislaissa siitä, millä edellytyksillä viranomainen voisi luovuttaa tietoja voimassa olevan käsitteen ”teknisen käyttöyhteyden” avulla vastaavasti teknistä rajapintaa tai katseluyhteyttä käyttäen. Sääntely ei vaikuta sinällään tiedonsaantioikeuksiin vaan tietojen luovutustapaan joko velvoittaen tai mahdollistaen tiettyjen teknisten ratkaisujen käytön viranomaisten välisessä tietojenvaihdossa. Sääntely täyttäisi kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset, kuten perustuslakivaliokunta on edellyttänyt.
Jatkossa viranomainen voisi luovuttaa toiselle viranomaiselle asiakirjoja ja tietoja teknisen rajapinnan avulla, jos pykälässä säädetyt edellytykset tietojen luovuttamiselle tällä tavalla täyttyisivät. Pykälä ei mahdollistaisi rajoittamatonta pääsyä toisen viranomaisen tietovarantoihin ja niissä oleviin tietoaineistoihin, vaan tietoluovutuksia valvottaisiin erilaisin teknisin menetelmin siten, että tietoluovutuksen vastaanottavan viranomaisen tietojärjestelmässä varmistuttaisiin tiedonsaannin asianmukaisuudesta ja tarpeellisuudesta esimerkiksi asiakassuhteen, konkreettiseen palvelutilanteen tai muiden toimintaprosesseihin liittyvien kontrollien perusteella.
Pykälän 1 momentin ensimmäisen virkkeen mukaan viranomaisten olisi järjestettävä säännöllisesti toistuva ja vakiosisältöinen tietojen luovuttaminen tietojärjestelmien välillä teknisten rajapintojen avulla, jos vastaanottavalla viranomaisella on laissa säädetty tiedonsaantioikeus. Säännös koskisi tilanteita, jolloin viranomainen luovuttaisi toiselle viranomaiselle säännöllisesti tietovarannostaan tietoja toisen viranomaisen tietotarpeita varten. Tietojen luovuttaminen teknisten rajapintojen avulla olisi tällaisissa säännöllisesti toistuvissa tilanteissa lähtökohta, josta voitaisiin poiketa vain, jos tässä tai muussa laissa toisin säädetään. Velvollisuus järjestää tietojen luovuttaminen teknisten rajapintojen avulla ei koskisi tilanteita, joissa tietojen luovuttaminen tapahtuisi harvoin. Säännöllisesti toistuvalla tietojen luovuttamisella tarkoitettaisiin tilanteita, joissa tietoja luovutettaisiin säännöllisesti päivittäin tai viikoittain viranomaisten välillä. Lisäksi vaatimuksena tietojen luovuttamiselle rajapintojen avulla olisi, että tiedot luovutetaan vakiosisältöisinä, jolloin rajapintojen avulla tiedot voidaan luovuttaa automaattisesti.
Säännös ei koskisi tilanteita, joissa viranomainen toimittaa tiedonantovelvollisuuden nojalla tai muutoin tietoja toiselle viranomaiselle käyttäen, esimerkiksi ilmoituksen antamiseen, digitaalista palvelua tai muuta sähköistä tiedonsiirtomenetelmää. Tällöin kysymys ei ole teknisten rajapintojen käytöstä ja tietojen luovuttamisesta tietojärjestelmien välillä.
Sekä tiedot luovuttavalla että tiedot saavalla viranomaisella olisi velvollisuus huolehtia siitä, että niiden tietojärjestelmien välinen tietoliikenne hoidetaan yhteentoimivien teknisten rajapintojen avulla. Säännös muun muassa tarkoittaisi sitä, että kummankin viranomaisen olisi huolehdittava siitä, että niiden tietojärjestelmiin voidaan toteuttaa tarvittavat tekniset rajapinnat tietoluovutusten mahdollistamiseksi. Viranomaisten olisi siten jo tietojärjestelmiä koskevien hankintasopimusten yhteydessä otettava huomioon vaatimukset tietojen luovuttamisesta teknisten rajapintojen avulla. Käytännössä tämä tulisi huomioida myös tiedonhallinnan suunnitteluvelvollisuutta toteutettaessa, kun tiedonhallintayksikkö uudistaa menettelyjään ja hankkii tai uudistaa tietojärjestelmiään.
Pykälän 1 momentin ensimmäinen virke sisältää myös ehdon, jonka mukaan teknisen rajapinnan avulla tietoja voidaan luovuttaa vain, jos tiedot vastaanottavalla viranomaisella on laissa säädetty tiedonsaantioikeus rajapinnan avulla luovutettaviin tietoihin. Tiedonsaantioikeuksista on säädetty muualla lainsäädännössä. Tiedonsaantiin olisi siten oltava jokin siihen oikeuttava säännös, joka voisi sisältyä julkisuuslakiin tai muuhun lakiin.
Pykälän 1 momentin toisen virkkeen mukaan tietojen luovuttaminen voitaisiin toteuttaa muulla tavalla, jos teknisen rajapinnan toteuttaminen tai käyttö ei ole teknisesti tai taloudellisesti tarkoituksenmukaista. Säännös tulisi sovellettavaksi silloin, kun viranomaisille olisi muodostunut velvollisuus tietojen luovuttamiseen teknisten rajapintojen avulla, mutta tietoja ei voida luovuttaa rajapintojen välityksellä esimerkiksi tietoturvallisuudelle asetettujen erityisten edellytysten vuoksi taikka muutostilanteessa, jossa ei ole taloudellisesti kannattavaa toteuttaa vanhaan ja enää vähän aikaa käytössä olevaan, poistuvaan järjestelmään teknisiä valmiuksia tietojenvaihtoon teknisten rajapintojen avulla. Mikäli rajapintoja ei ole olemassa, sääntely edellyttäisi käytännössä joka tapauksessa viranomaisia arvioimaan siirtymäajan puitteissa, onko tiedon luovuttaminen muilla tavoin teknisesti tai taloudellisesti tarkoituksenmukaisempaa kuin rajapinnan rakentaminen. Pyrkimyksenä tulisi kuitenkin olla, että alkuperäisen tietovarannon sisällöstä ei muodostettaisi tarpeettomasti laajoja henkilötietojen sisältäviä rekistereitä kopioina, vaan tietoja siirrettäisiin tai hyödynnettäisiin alkuperäisenä tietolähteenä toimivasta tietovarannosta vain silloin, kun sille on konkreettinen asiankäsittelyyn tai palvelujen tuottamiseen liittyvä tarve. Teknisenä syynä voisivat olla myös erilaiset huolto- ja käyttökatkot tai tietojärjestelmän uudistamisen käyttöönottovaihe. Pykälän 1 momentin kolmannen virkkeen mukaan viranomainen voi avata teknisen rajapinnan myös muissa tilanteissa tiedonsaantiin oikeutetulle viranomaiselle. Kolmannen virkkeen tarkoituksena on mahdollistaa viranomaisten tietojärjestelmien välinen tietojenvaihto muissakin kuin säännöllisesti toistuvissa vakiomuotoisissa tiedonsiirroissa, mutta tältä osin tiedonsiirron järjestäminen tietojärjestelmien välillä ei olisi pakollista. Kysymykseen tulisivat tilanteet, joissa tietoluovutukset eivät olisi säännöllisiä, mutta ne olisivat vakiosisältöisiä.
Pykälän 1 momentti ei tulisi sovellettavaksi, jos viranomaisten tietojen luovuttaminen olisi epäsäännöllistä eikä liittyvää tietotarvetta voitaisi vakioida, vaan tietotarve vaihtelisi eri tilanteissa, jolloin tietopyynnöt tehdään yksilöitynä erikseen esimerkiksi sähköisiä tiedonsiirtomenetelmiä käyttäen, jolloin myös tiedot luovutetaan sähköistä tiedonsiirtomenetelmää käyttäen tai muutoin soveltuvalla tavalla.
Lisäksi momentissa viitattaisiin asiakirjojen ja tietojen antamista koskevaan sääntelyyn, jossa on säädetty erikseen tietojen antamisesta muulla tavalla kuin rajapintojen avulla. Tällaista sääntelyä olisi muun muassa tässä laissa katseluyhteyttä koskevat säännökset tai julkisuuslaissa tietojen antamista kopiona, tulosteena tai sähköisessä muodossa koskevat säännökset.
Pykälän 2 momentissa viitattaisiin 4 luvussa säädettyihin tietoturvallisuusvaatimuksiin, jotka tulisi olla toteutettuna, jotta tekninen rajapinta voitaisiin avata. Pykälän 2 momentissa olisi säädetty myös lisäedellytyksistä, joiden olisi toteuduttava, jotta teknisten rajapintojen avulla tietojen luovuttaminen olisi mahdollista. Käytännössä 2 momentissa säädetyt edellytykset ovat viranomaisille velvollisuuksia, koska ne on toteutettava, jos edellytykset teknisten rajapintojen avulla tapahtuvalle tietojen luovuttamisen järjestämisvelvollisuudelle ovat olemassa. Momentin ensimmäisen virkkeen mukaan tietojen luovuttaminen teknisten rajapintojen avulla olisi toteutettava tietojärjestelmien välillä siten, että teknisesti varmistetaan luovutettavien tietoaineistojen tapauskohtainen tarpeellisuus tai välttämättömyys tietoja saavan viranomaisen tehtävien hoitamiseksi, jos luovutettavat tiedot ovat henkilötietoja tai salassa pidettäviä tietoja. Säännös edellyttäisi tietojen luovutuksen kontrollia kun tietoja tarvitsevalla viranomaisella olisi jokin asia käsiteltävänä tai palvelu tuotettavana ja johon tietoja luovutettaisiin teknisten rajapintojen avulla. Esimerkiksi voimassa olevan lainsäädännön mukaan terveydenhuollossa ennen potilasrekisterien välillä tapahtuvaa tietoluovutusta hoitosuhde potilaaseen on tietoteknisesti varmistettava. Teknisen rajapinnan avulla luovutettavien tietojen tietopyynnön lähettävässä tietojärjestelmässä tulisi olla kontrolli, jolla varmistetaan, että tiedot pyytävällä viranomaisessa toimivalla käyttäjällä on käsittelyssään sellainen asia tai tuotettavana sellainen palvelu, että pyydetyt tiedot ovat tarpeellisia asian selvittämiseksi tai palvelun tuottamiseksi. Tiedot pyytävän viranomaisen olisi teknisen kontrollin ja toisen viranomaisen teknisen rajapinnan avulla luovuttamien tietojen perusteella mahdollista yhdistää toiselta viranomaiselta saadut tiedot käsiteltävään asiaan tai tuotettavaan palveluun. Momentin säännökset koskisivat tilanteita, joissa luovutus kohdistuisi henkilötietoihin tai salassa pidettäviin tietoihin. Siten muissa tilanteissa ei sovellettaisi rajapintojen kautta tapahtuvissa luovutuksissa momentissa säädettyjä lisäedellytyksiä.
Pykälän 3 momentti sisältäisi säännökset siitä, miten teknisten rajapintojen toteuttamisessa välttämättömät tietorakenteet määriteltäisiin viranomaisissa. Säännöksen tavoitteena on edistää ja varmistaa tietojärjestelmien välistä yhteentoimivuutta. Momentin ensimmäisen virkkeen mukaan teknisen rajapinnan avulla luovutettavien tietojen tietorakenteen kuvauksen määrittelisi se viranomainen, joka luovuttaa tiedot. Monissa tilanteissa viranomaisten välinen tietojenvaihto teknisten rajapintojen avulla on kuitenkin verkottunut, jolloin ei välttämättä ole määriteltävissä viranomaista, joka tietorakenteen määrittelee. Tällaisia tilanteita on erityisesti kunnissa ja muissa viranomaisissa, jotka hoitavat omalla alueellaan viranomaistehtävää. Tästä syystä momentin toisessa virkkeessä olisi säädetty tilanteesta, jossa tietojen luovuttaminen tapahtuisi usean viranomaisen välillä. Tällöin tietorakenteet määriteltäisiin toimialasta vastaavan ministeriön johdolla, ja siten voitaisiin varmistaa, että tietorakenteiden määritys olisi koordinoitua ja tehokasta. Ministeriöiden olisi muun muassa lainvalmistelun yhteydessä selvitettävä, miten tietorakenteiden kuvausten määrittelytyö organisoidaan muutoksia tehtäessä. Tarvittaessa poikkeuksellisissa tilanteissa voitaisiin säätää erityislakiin tietorakenteiden kuvausten määrittely- ja ylläpitovastuusta erikseen, jos vastuu määrittelystä olisi esimerkiksi valtion virastolla tai laitoksella. Ministeriöiden johdolla tehtävällä tietojen määrittelyllä olisi luonteva yhteys 6 §:ssä valtiovarainministeriölle ja ministeriöille ehdotettuun velvoitteeseen ylläpitää yhteisten tietovarantojen kehittämisen linjauksia tietovarantojen ja tietojärjestelmien yhteentoimivuuden edistämiseksi. Ministeriöt voisivat usean viranomaisen välillä tapahtuvan tiedonluovutuksen suunnittelun yhteydessä ylläpitää oman toimialansa linjauksia sekä julkisen hallinnon tiedonhallintakarttaan kohdistuvia muutoksia. Lisäksi viranomaisten suunnittelun ohjaaminen ministeriöiden toimesta parantaisi ministeriöiden mahdollisuutta arvioida 8 §:n 2 momentin vaatimusten edellyttämällä tavalla valmistelemansa lainsäädännön vaikutuksia tietoaineistoihin ja tietojärjestelmiin sekä asiakirjojen julkisuuteen ja salassapitoon.
Momentissa tietorakenteen kuvauksella tarkoitetaan tiettyyn käyttötarkoitukseen määriteltyä tiedon esitystapaa, jonka perusteella viranomaisen on muodostettava vastaavassa tarkoituksessa luovuttamansa tiedot. Tietorakenteen kuvaus koostuisi tiedonsiirron toteuttamisen vaatimasta määrityksestä, jolla vakioidaan muun muassa luovutuksen kohteena olevien tietojen kuvaamisessa käytettävät sanastot ja käsitteet, koodistot sekä näiden väliset yhteydet. Tietorakenteiden tarkemman määrittämisen tarkoituksena on varmistaa tietoaineistojen koneluettavuus sekä saatavuus. Jotta saatavuus toteutuisi, tulee tietojen luovuttamisessa hyödyntää sellaisia tiedon kuvausmenetelmiä ja teknologioita, joilla turvataan tiedon käyttö yleisesti käytettävissä olevilla ja kustannustehokkailla välineillä. Tietoaineistojen tietorakenteisiin kohdistuva ohjaus ei muuttaisi viranomaisten vastuuta tehtäviensä mukaisen toiminnan edellyttämän tiedonhallinnan järjestämisestä.
23 §.Katseluyhteyden avaaminen viranomaiselle. Pykälä sisältäisi ne perusteet, jolloin viranomainen voisi avata katselumahdollisuuden, mutta katseluyhteyden avaaminen ei mahdollistaisi rajoittamatonta pääsyä tiedot antavan viranomaisen tietovarantoon ja siellä oleviin tietoaineistoihin ja henkilörekistereihin. Säännöksen tarkoituksena olisi osaltaan korvata tekniseen käyttöyhteyteen liittyvää sääntelyä niissä tilanteissa, joissa teknisellä käyttöyhteydellä on tarkoitettu erillisen katseluyhteyden avaamista toiselle viranomaiselle esimerkiksi verkkosivustolla olevan palvelun kautta. Pykälän 1 momentin ensimmäisen virkkeen mukaan viranomainen voisi avata tietovarantoonsa katseluyhteyden toiselle viranomaiselle sellaisiin tietoihin, joihin katseluoikeuden saavalla viranomaisella on tiedonsaantioikeus. Pykälässä ei ehdoteta säädettäväksi tiedonsaantioikeuksista, vaan tavasta, jolla tietoja voidaan antaa toiselle viranomaiselle nähtäväksi tietyissä tilanteissa. Siten viranomainen ei voisi avata katseluyhteyttä missä tahansa tilanteessa, vaan ainoastaan silloin, kun katseluyhteyden saavalla viranomaisella on laissa säädetty tiedonsaantioikeus katseluyhteyden kautta saataviin tietoihin. Tiedonsaantioikeus voisi perustua julkisuuslakiin tai erityislainsäädäntöön.
Pelkästään tiedonsaantioikeus ei vielä riitä katseluyhteyden avaamiseen, vaan tämän lisäksi tarvitaan tietojärjestelmiin liittyviä suojatoimia, jotta katseluyhteyksiä ei käytettäisi tarpeettomaan tiedonhankintaan ja estetään lainvastainen tietojen käsittely. Tästä syystä pykälän toisessa virkkeessä säädettäisiin edellytyksistä, joiden perusteella katseluyhteys voitaisiin avata. Lisäedellytysten olisi täytyttävä kaikilta osin, jotta katseluyhteysmahdollisuus voitaisiin avata. Edellytyksiin kuuluu, että lain 4 luvussa olevat tietoturvallisuusvaatimukset olisi toteutettava ennen kuin katseluyhteys voitaisiin avata. Lisäksi momentissa säädettäisiin lisäedellytyksistä katseluyhteyden avaamiseksi.
Ensimmäisenä edellytyksenä olisi, että katselumahdollisuus on mahdollista rajata vain tiedonsaantioikeuden määrittämiin tarpeellisiin tai välttämättömiin tietoihin. Säännöksen tarkoituksena on rajoittaa tietojen katselumahdollisuutta vain niihin tietoihin, jotka ovat katselumahdollisuuden saavan viranomaisen tehtävien hoitamiseksi tarpeellisia tai välttämättömiä ottaen huomioon erikseen laissa säädetyt tiedonsaantioikeudet. Siten katseluyhteyden avaamista olisi arvioitava ensin kunkin viranomaisen tiedonsaantioikeuksien kannalta katsottuna ja katselumahdollisuuden olisi rajoituttava niihin tietoihin, joita viranomainen tarvitsee tiedonsaantioikeuksiensa puitteissa. Katselumahdollisuus ei voisi olla rajoittumaton ja sitä ei voisi avata mihin tahansa tietoihin, vaan ainoastaan ennalta tehdyn arvioinnin osalta viranomaiskohtaisesti toteutettuihin katseluyhteyksiin, ellei katseluyhteys ole olemassa rekisterissä oleviin tietoihin, jotka on tarkoitettu erikseen laissa säädettynä yleiseen käyttöön tai joihin jokaisella on tiedonsaantioikeus. Tällaisissa tilanteissa katseluyhteyden avaaminen voisi olla toteutettu laajemmalle joukolle tiedon saavia toimijoita, kuten kaupparekisteriin, yhdistysrekisteriin tai säätiörekisteriin. Tällaisista katseluyhteyden mahdollistavista yleiseen käyttöön tarkoitetuista tietopalveluista pitäisi olla säädetty erikseen. Perustuslakivaliokunta on pitänyt henkilötietojen julkistamista perustuslain puitteissa mahdollisena toteuttaa julkisena tietopalveluna, jos sille on oikeusturvan takeiden ja perusoikeusjärjestelmän tavoitteiden kannalta hyväksyttävät perusteet (PeVL 2/2017 vp, PeVL 65/2014 vp, PeVL 32/2008 vp). Valiokunnan mukaan yksityiselämän ja henkilötietojen suojan kannalta on kuitenkin olennaista, että tietoverkkoon sijoitettavasta henkilörekisteristä tietoja ei voida hakea erilaisina massahakuina, vaan esimerkiksi ainoastaan yksittäisinä hakuina (PeVL 2/2017 vp, PeVL 32/2008 vp). Ehdotettava ensimmäinen edellytys on linjassa sen kanssa, mitä perustuslakivaliokunta on edellyttänyt avoimien tietopalvelujen toteuttamiseksi. Nyt ehdotettavassa pykälässä ei kuitenkaan säädettäisi perustuslakivaliokunnan tarkoittamista yleisessä tietoverkossa olevista tietopalveluista, vaan katseluyhteydestä, joka avataan viranomaisten välille tiedonsaantioikeuksien puitteissa. Yleiseen käyttöön tarkoitetuista tietopalveluista säädetään erikseen. Tähän liittyen ehdotettavan lain 24 §:n 2 momentissa olisi informatiivinen viittaussäännös yleisölle tarjottavista tietopalveluista ja niiden sääntelytarpeesta.
Katselumahdollisuus ehdotetaan rajoitettavaksi ensimmäisen edellytyksen perusteella yksittäisiin hakuihin eikä katselumahdollisuuden avulla ole mahdollisuutta saada massamuotoisesti toisen viranomaisen tietovarannon tietoja rajoituksetta. Tähän vaatimukseen liittyy myös ehdotettu toinen edellytys, jonka mukaan tietojen hakemisen yhteydessä tulisi selvittää tietojen käyttötarkoitus. Edellytyksen tarkoituksena olisi varmistaa mihin käyttötarkoitukseen tietoja hakeva käyttäjä on katselemassa toisen viranomaisen tietovarannon tietoja. Käytännössä tämä voitaisiin toteuttaa siten, että tietoja haettaessa käyttäjän pitäisi syöttää tai valita valikosta tai muusta vastaavasta tietojen hakemisen peruste. Tämä peruste käyttäjätietoineen jäisi katseluyhteyden avulla kerättäviin luovutuslokitietoihin, jolloin jälkikäteen voitaisiin todentaa kunkin katseluyhteyden avulla tehdyn haun käyttötarkoitus ja lainmukainen oikeusperuste käsittelylle. Samalla käyttäjän pitäisi arvioida kullakin hakukerralla ennen haun tekemistä, onko haku virka- tai työtehtävien hoitamisen kannalta tarpeen. Katseluyhteyden avulla voisi tehdä vain yksittäisiä hakuja, joissa jokaisella kerralla olisi haun tekevän käyttäjän arvioitava käyttötarkoitus erikseen. Tällä estetään osaltaan myös se, ettei hakuja voida tehdä automaattisesti esimerkiksi hakurobotin avulla.
Pykälän 2 momentin mukaan viranomaisen olisi toteutettava tietovarantoonsa katseluyhteys siten, että katseluyhteyden mahdollistava tietojärjestelmä tunnistaa automaattisesti poikkeavan tietojen hakemisen. Säännöksen tarkoituksena olisi varmistaa, että katseluyhteyksiin olisi toteutettu riittävät kontrollit, joilla estetään massamuotoinen tietojen hakeminen toisen viranomaisen tietovarannosta. Kontrolli olisi toteutettava siten, että yhteyden mahdollistavan tietojärjestelmän olisi mahdollista tunnistaa poikkeukselliset tietohaut esimerkiksi tietyn rekisteröidyn tietoihin tai tietyn käyttäjän poikkeavat tietohaut niiden lukumäärän perusteella. Näillä kontrolleilla estettäisiin tai rajoitettiin niitä tilanteita, joissa tietoja esimerkiksi urkittaisiin katseluyhteyden avulla perusteettomasti. Tällöin haun mahdollistava tietojärjestelmä voisi lähettää esimerkiksi pääkäyttäjälle tiedon poikkeavista hauista, jotta pääkäyttäjä voisi ryhtyä selvittämään massahaun syytä. Tämä osaltaan estäisi sen, ettei hakuja voida tehdä automaattisesti esimerkiksi hakurobotin avulla.
24 §.Tietoaineistojen luovuttaminen teknisen rajapinnan avulla muille kuin viranomaisille. Pykälässä säädettäisiin tietoaineistojen luovuttamisesta teknisen rajapinnan avulla muille kuin viranomaisille. Pykälä olisi mahdollistava eikä sillä säädettäisi tiedonsaantioikeuksista tai sen perusteella kukaan ei voisi vaatia teknisen rajapinnan avaamista, vaan se jäisi viranomaisen harkittavaksi ja päätettäväksi. Säännöksen perusteella tekninen rajapinta voitaisiin avata myös sellaisiin erikseen säädettyjen tiedonsaantioikeuksien nojalla luovutettaviin tietoihin, jotka pitävät sisällään myös salassa pidettäviä ja erityisiin henkilötietoryhmiin kuuluvia henkilötietoja. Pykälän 1 momentin ensimmäisen virkkeen mukaan viranomainen voisi luovuttaa teknisten rajapintojen avulla tietoja muulle kuin toiselle viranomaiselle, jos tiedot saavalla toimijalla on erikseen laissa säädetty tiedonsaantioikeus ja oikeus käsitellä näitä tietoja. Säännös mahdollistaisi teknisen rajapinnan kautta tietojen luovuttamisen myös hallinnon ulkopuolisiin tietojärjestelmiin edellytysten niin täyttyessä ja viranomaisen niin harkitessa tietojen luovutustavan tarkoituksenmukaiseksi. Tiedonsaantioikeuksista on säädetty erikseen julkisuuslaissa tai erityislainsäädännössä. Viranomaisen olisi erikseen selvitettävä tiedonsaantioikeuden lisäksi, onko tietoluovutuksen saajalla henkilötietojen suojaa koskevien säännösten perusteella oikeus käsitellä luovutettavia henkilötietoja, jos tietoluovutus koskisi henkilötietoja. Teknisen rajapinnan avulla tapahtuva tietojen luovuttaminen voisi siten tapahtua vasta sen jälkeen, kun viranomainen olisi ratkaissut, onko luovutuksen saajalla tiedonsaanti- ja käsittelyoikeus teknisen rajapinnan avulla tapahtuvalle toistuvalle ja kontrolloidulle tietojen luovuttamiselle. Säännös mahdollistaa tietojen luovuttamisen teknisten rajapintojen avulla ilman, että siitä tarvitsisi säätää erikseen erityislainsäädännössä. Samalla teknisten rajapintojen käyttöä tietoluovutuksissa koskeva sääntely olisi pääsääntöisesti yhdessä laissa. Säännöksellä ei mahdollistettaisi teknisten rajapintojen avulla tietojen edelleen luovutusta johonkin muuhun toimintaan, vaan tästä pitäisi säätää erikseen erityislainsäädännössä. Tällainen toiminta voisi liittyä esimerkiksi elinkeinotoimintaan, kehitystoimintaan tai tutkimustoimintaan. Pykälän toinen virke sisältäisi viittauksen 22 §:ssä säädettyihin yleisiin edellytyksiin, joiden perusteella tietojen luovuttaminen teknisen rajapinnan avulla olisi mahdollista. Käytännössä samat vaatimukset tulisi toteuttaa niin viranomaisten tietojärjestelmien väliseen kuin hallinnon ulkopuolistenkin tietojärjestelmien väliseen tietojen luovutukseen teknisten rajapintojen avulla.
Pykälän 1 momentin kolmannen virkkeen mukaan tiedot luovuttavan viranomaisen olisi varmistettava, että näiden luovutettavien tietojen tietoturvallinen käsittely on varmistettu tiedon saavan toimijan toiminnassa vastaavilla tietoturvatoimenpiteillä kuin tässä laissa säädetään tiedonhallintayksikölle. Säännöksen perusteella viranomaisen olisi selvitettävä tai varmistettava, että toiminta, johon tietoja luovutetaan täyttää vastaavat tietoturvavaatimukset kuin viranomaisen tietovarannossa olevilla tietoaineistoilla ja niiden käsittelyllä on. Viranomainen voisi pyytää selvitystä tietoturvallisuuden järjestämisestä, asettaa vaatimuksia sille tai voisi edellyttää raporttia tiedot saavan toimijan tietoturva-auditoinnista. Jos kysymys olisi tiedoista, joihin ei sisältyisi tiedonsaanti- tai käyttörajoituksia, voisi viranomainen luovuttaa tietoja teknisen rajapinnan avulla ilman eri selvitystäkin. Tästä syystä kolmannessa virkkeessä mainitaan, että viranomaisen tulisi varmistaa tietoturvallisuus tarvittaessa. Siten viranomaisen on arvioitava erikseen, minkälaisiin tietoaineistoihin on tarve sisällyttää tietoturvallisuuteen liittyvät kontrollit. Jos tietovarannossa oleva tietoaineisto on kokonaan avointa, ei viranomaisella ole perusteita selvittää tietoaineistojen käytön perusteita tai tietoturvallisuusjärjestelyjä tiedon saavan toiminnassa. Tällöin tiedot voidaan luovuttaa avoimesti ilman eri selvitystäkin.
Pykälän 2 momentin mukaan tiedon antamisesta muussa sähköisessä muodossa ja yleisölle katseluyhteytenä toteutettuna tietopalveluina säädetään erikseen. Säännös olisi informatiivinen yleinen viittaussäännös, jonka tarkoituksena olisi selventää, että tietojen luovuttamisesta muulla tavalla sähköisesti on säädetty erikseen muun muassa viranomaisten toiminnan julkisuudesta annetussa laissa. Pykälän perusteella viranomainen ei voisi esimerkiksi avata tietoverkkoon yleisiä tietopalveluja viranomaisen tietovarannoissa oleviin henkilötietoja sisältäviin tietoaineistoihin, vaan tästä tulisi säätää erikseen laissa, kuten perustuslakivaliokunta on eri yhteyksissä henkilötietojen suojaa koskien edellyttänyt (PeVL 2/2017 vp, PeVL 65/2014 vp, PeVL 32/2008 vp).
6 luku Asian ja palvelujen tiedonhallinta
25 §.Rekisteröinti asiarekisteriin. Pykälä pitäisi sisällään säännökset asiarekisteriin tehtävistä merkinnöistä sekä tiedonhallintayksikön velvollisuudesta huolehtia siitä, että asiarekisterin tai sen osien julkisista merkinnöistä voidaan tuottaa tiedot, joiden perusteella tiedonsaantia koskevat pyynnöt voidaan yksilöidä. Asiarekisteri olisi looginen rekisteri, joka koostuisi tiedonhallintayksikössä muodostuvista asiankäsittelyn metatiedoista riippumatta siitä, missä tietojärjestelmässä ne muodostuisivat. Tästä syystä pelkästään asianhallintajärjestelmässä olevat metatiedot eivät kaikissa tilanteissa muodostaisi asiarekisteriä, vaan siihen kuuluisivat myös operatiivisissa tietojärjestelmissä syntyvät metatiedot asiankäsittelyn kulkua kuvaavina tietoina. Asiarekisteriä ylläpidetään asiakirjajulkisuuden toteuttamiseksi tietopyyntöjen yksilöimiseksi, asiakirjojen ja muiden niitä vastaavien tietojen jäsentämiseksi, asiankäsittelyyn liittyvien toimenpiteiden järjestämiseksi, asiankäsittelyaikojen seuraamiseksi sekä prosessien ohjaamiseksi. Asiarekisteri edistää siten julkisuusperiaatteen toteuttamista ja hyvään hallintoon kuuluvan asianmukaisen ja joutuisan asiankäsittelyn seuraamista ja todentamista. Asiarekisterillä tarkoitetaan muun muassa aiemman terminologian mukaisia viranomaisten diaareja ja muita vastaavia hakemistoja, mutta asiarekisteriin kuuluvat myös tietojärjestelmissä olevat asianhallintaan liittyvät tiedot. Pykälän sisältö vastaisi pääosin kumottavaksi ehdotettavaa julkisuuslain 18 §:n 1 momentin 1 kohtaa sekä valtionhallintoa koskevan julkisuusasetuksen kumoutuvia 5—6 §:ää.
Pykälän 1 momentin ensimmäisen virkkeen mukaan tiedonhallintayksikön olisi ylläpidettävä viranomaisen käsittelyssä olevista ja olleista asioista asiarekisteriä, johon rekisteröidään asiaa, asiankäsittelyä ja asiakirjoja koskevat tiedot. Virke loisi tiedonhallintayksiköille ja niissä toimiville viranomaisille velvollisuuden asiarekisterin tietojen ylläpitoon sekä kertyvien asiakirjojen rekisteröintiin ja liittämiseen kuhunkin käsiteltävään asiaan. Momentin toisessa virkkeessä säädettäisiin asiakirjojen rekisteröinnin viivytyksettömyysvaatimuksesta, joka kohdistuisi viranomaiseen, koska käytännössä kukin viranomainen huolehtii asiakirjojen rekisteröimisestä asiarekisteriin. Säännöksellä pyritään tehostamaan viranomaisissa tapahtuvaa asianhallintaan liittyvää rekisteröintiä. Viranomaisen olisi rekisteröitävä viipymättä sille saapunut tai sen laatima asiakirja asiarekisteriin. Rekisteröinti olisi siten tehtävä, kun asiakirja on viranomaiselle saapunut tai kun viranomaisen laatima asiakirja on valmistunut käyttötarkoitukseensa. Rekisteröintivelvollisuus koskisi vireillepanossa, asiankäsittelyssä ja tiedoksiannossa kertyviä asiakirjoja, mutta myös muita viranomaisen toiminnassa kertyviä asiakirjoja. Palvelujen tuottamisen yhteydessä kertyvistä asiakirjoista ja niiden tiedonhallinnasta olisi säädetty erikseen 27 §:ssä.
Asiarekisterin tietosisältö muodostuisi asiankäsittelyn perusmetatiedoista, joista olisi säädetty 26 §:ssä. Asiarekisterissä olisi siten asian metatiedot, asiankäsittelyn metatiedot sekä asiakirjojen perusmetatiedot. Asiarekisteri ei siten olisi välttämättä yksi tietojärjestelmä eikä asiarekisteriin kuuluvia tietoja tarvitse sisällyttää yhteen tietojärjestelmään. Tiedonhallintayksiköillä tulee olla selkeä kuvaus siitä, missä asiarekisteriin kuuluvia tietoja muodostuu ja miten nämä tiedot on saatavissa sellaiseen muotoon, että asiakirjajulkisuus voidaan toteuttaa.
Ehdotettavaa säännöstä sovellettaisiin kattavasti eri tiedonhallintayksikköjen ja niissä toimivien viranomaisten toimintaan sekä myös yksityisiin toimijoihin siltä osin kuin ne käsittelisivät tässä laissa tarkoitettuja asiakirjoja. Rekisteröintiä koskeva säännös olisi laajasti sovellettava, koska asiakirjajulkisuuden toteuttamiseen liittyy keskeisesti tietopyyntöjen yksilöinti asiarekisterissä olevien tietojen perusteella. Säännös edistää perusoikeutena turvatun asiakirjajulkisuuden toteuttamista. Tästä syystä pykälän 2 momentissa olisi säädetty erikseen tiedonhallintayksikön velvollisuudesta huolehtia siitä, että sen toiminnassa muodostuvasta asiarekisteristä tai sen osista on mahdollista tuottaa tiedot niiden julkisista merkinnöistä, joiden perusteella julkisuuslain mukaisesti tiedonsaantia koskevat pyynnöt voidaan yksilöidä. Siten ei ole riittävää, että asianhallintajärjestelmissä on ominaisuudet, joista voidaan tuottaa näkymä asiarekisterin julkisista merkinnöistä, vaan tietojärjestelmistä pitää pystyä muodostamaan listaukset tai näkymät, joilla asiakirjapyyntö voidaan yksilöidä. Säännös ei olisi uusi, vaan sisältyy julkisuuslain 18 §:n 1 momentin 1 kohtaan, mutta säännöstä tarkennetaan uuteen säännökseen, jotta sähköisessä toimintaympäristössä voidaan varmistaa tietojen saannin tosiasiallinen toteutuminen julkisuuslain tarkoittamalla tavalla.
26 §.Asiarekisteriin rekisteröitävät tiedot. Pykälässä säädettäisiin asiaan liittyvien perusmetatietojen hallinnasta ja näiden perusmetatietojen yksilöintiin käytettävästä asiatunnuksesta. Asian käsitettä ei määriteltäisi laissa, mutta sillä tarkoitettaisiin asiakirjahallinnossa vakiintuneesti ymmärrettynä viranomaisen käsiteltäväksi saamaa tai ottamaa kokonaisuutta, jonka tuloksena viranomaisen toimintaprosessissa (asiankäsittelyprosessissa) tehdään toimenpiteitä, jonka lopputuloksena syntyy viranomaisen tekemä ratkaisu, joka voi olla esimerkiksi hallintopäätös, määräys, lausunto, hallituksen esitys, ohje tai muu viranomaisen kannanmuodostus. Hallintolaissa ei ole erityisesti määritelty hallintoasian käsitettä, vaan se on jätetty avoimeksi. Näistä syistä asian käsitettä ei määriteltäisi tiedonhallintalaissa. Asian perusmetatietojen perusteella voidaan yksilöidä asiaan liittyvät asiakirjat ja muut tiedot.
Pykälän 1 momentin mukaan tiedonhallintayksikön olisi muodostettava viranomaisen käsiteltäväksi otetun tai annetun asian yksilöivä asiatunnus, jonka avulla asiaan liittyvät tiedot yksilöidään. Asiatunnuksen avulla pitäisi pystyä yksilöimään asiaan liittyvät metatiedot, eikä säännöksellä asetettaisi asiatunnukselle mitään sisällöllisiä muotovaatimuksia. Siten viranomaisten käyttämät diaarinumerot, diaaritunnukset ja asianumerot vastaavat asiatunnuksen käyttötarkoitusta, jos tällaiset käytössä olevat tunnistesarjat yksilöivät asiaan liittyvät metatiedot. Säännöksellä ei siten olisi välittömiä vaikutuksia käytössä oleviin asian tunnisteisiin. Säännös yhtenäistää alan käsitteistöä asiatunnuksen ja asiaan liittyvien metatietojen osalta siten, että asiaan liittyvät metatiedot on pystyttävä hakemaan ja yksilöimään asiatunnuksen perusteella. Asiatunnuksen sisältö jää tiedonhallintayksikön harkintaan, mutta asiatunnuksessa voidaan hyödyntää asiaan liittyviä metatietoja tarpeen mukaan kuten aiemminkin. Käytettävistä asiatunnuksista olisi tiedohallintayksikössä kuitenkin muodostuttava eheä kokonaisuus asioiden yksiselitteiseksi yksilöimiseksi.
Pykälän 2 momentissa olisi luettelo niistä asian perusmetatiedoista, jotka tiedonhallintayksikön olisi määriteltävä kussakin toimintaprosessissa käsitellyistä asioista. Luettelo ei olisi tyhjentävä, vaan se sisältäisi minimivaatimukset asian perusmetatiedoista. Säännös olisi nykyiseen sääntelyyn nähden uusi, mutta se vastaisi pääosiltaan sitä, mitä asioista on tähänkin asti kirjattu diaareihin ja muihin asiakirjahakemistoihin.
Perusmetatietoihin kuuluisi pykälän 2 momentin luettelon 1 kohdan mukaan tiedonhallintayksikön yksilöivä tunnus, joka olisi kunkin tiedonhallintayksikön voimassa oleva yritys- ja yhteisötunnus. Esimerkiksi kunnalla ja valtion virastolla on olemassa oleva Y-tunnus, jota alettaisiin käyttää asian perusmetatiedoissa yksilöimään tiedonhallintayksikkö, jonka toiminnassa tietoaineistoon on muodostunut asiakirjoja tai muita tietoja. Y-tunnukset ovat jokaisen saatavilla yritys- ja yhteisötietojärjestelmän tietopalvelusta yleisessä tietoverkossa. Y-tunnus olisi tarpeellinen metatieto muodostettaessa eri tiedonhallintayksikköjen tietoaineistoista laajempia tietovarantoja, jolloin organisaatiota kuvaavan tiedon tulee olla yksiselitteinen sekä perustua johonkin pysyvään tunnisteeseen. Esimerkiksi tiedonhallintayksikköjen fuusioiden, kuten kuntaliitosten ja virastojen yhdistämisten, yhteydessä on tärkeää yksilöidä ja erottaa toisistaan tietoaineistot, jotka ovat muodostuneet aiemmassa organisaatiossa ja tietoaineistot, jotka ovat muodostuneet uudessa rakenteessa. Organisaatiotason tietoa tarvitaan myös keskitettyjä sähköisiä arkistopalveluja kehitettäessä. Keskitetyissä tietovarannoissa ja arkistoissa tietojen tulee olla yksilöitynä siten, että niistä voidaan todentaa, minkä tiedonhallintayksikön viranomaisessa tietoaineisto on muodostunut ja kuka vastaa tietojen käsittelystä. Viranomaisen yksilöiviä tunnisteita ei tällä hetkellä ole kattavasti käytössä eivätkä asiakirjahallinnossa kehitetyt kirjainyhdistelmät muodosta riittävän kattavaa ja eheää pohjaa jukisen hallinnon tietoaineistojen yksilöimiselle tai asiankäsittelyyn liittyvien tietojen hallinnalle.
Pykälän 2 momentin luettelon 2 kohdan mukaan perusmetatietoihin tulisi sisältyä viranomaisen yksilöivä tunniste: tieto, jonka perusteella voidaan selvittää, mille viranomaiselle asiaan liittyvien tietojen antamista ja muuta hallintaa koskevat vastuut määräytyvät tiedonhallintayksikössä. Viranomaisen yksilöivä tieto tulisi olla ymmärrettävässä muodossa siten, että ulkopuolinenkin saa selon siitä, minkä viranomaisen tietoaineistoon asiaan liittyvät tiedot kuuluvat. Viranomaisen yksilöivä tieto voisi olla myös yleisesti käytetty lyhenne viranomaisen nimestä.
Luettelon 3 kohdan mukaan metatietoihin tulisi liittää toimintaprosessin yksilöivä tunniste, joka voisi olla esimerkiksi tehtäväluokkatunnus tai muu vastaava. Nykyisessä toimintaympäristössä ei voida vakioida toimintaprosessien tunnisteita, vaikka eri tiedonhallintayksiköissä onkin tehty määrämuotoista työtä tehtäväluokittelujen kehittämiseksi. Lainvalmistelussa on arvioitu, ettei viranomaisilla ole tässä vaiheessa valmiuksia muodostaa yhtenäistä toimintaprosessien yksilöivää tunnistekokonaisuutta, vaikka se lisäisi yhteentoimivuutta ja edistäisi tiedonhallinnan tehostamista. Toiminnan kehittyessä voi olla tarpeen arvioida uudelleen toimintaprosessien yksilöintiin liittyvien tunnisteiden muodostamista, kun ehdotettavan lain toimeenpanoa seurataan. Tiedonhallintayksikkö voisi siten itse päättää toimintaprosessien yksilöivistä tunnisteista, ellei erityislainsäädännössä toisin säädetä. Luettelon 4 kohdassa olisi säädetty asian perusmetatietoihin asian vireilletuloajankohta, joka olisi ajankohta, jolloin viranomainen on saattanut sille saapuneiden asiakirjojen perusteella asian vireille tai oma-aloitteisissa asioissa käynnistänyt toimet asian vireillesaattamiseksi.
Pykälän 3 momentti sisältäisi viranomaiselle saapuneen asiakirjan perusmetatietoja koskevat vähimmäisvaatimukset. Tiedonhallintayksiköissä voitaisiin määritellä myös muita asiakirjojen metatietoja tarpeen mukaan. Asiakirjasta olisi rekisteröitävä ainakin luettelon 1 kohdan mukaan asiakirjan yksilöivä tieto siten, että asiakirja olisi jollakin tavalla yksilöitävissä. Yksilöinti voisi olla asiakirjan numeerinen tunniste tai muu tunnus taikka asiakirjan otsikkotieto. Luettelon 2 kohdan mukaan asiakirjan saapumisajankohta pitäisi myös rekisteröidä. Saapumisajankohdan rekisteröinti riippuu osittain asiakirjan saapumistavasta, koska postitse saapuvat asiakirjat voidaan ajankohdan osalta määrittää tiettyyn saapumispäivään, kun taas sähköisiä tiedonsiirtomenetelmiä tai digitaalisia palveluja käyttämällä asiakirjan saapumisajankohta voidaan määritellä tietyn päivän tiettyyn kellonaikaan. Saapumisajankohdan rekisteröinnillä, joka on tarpeellinen muun muassa määräaikojen laskemiseksi, on siten erityinen merkitys oikeusturvan toteuttamiseksi. Saapumisajankohtaan liittyy myös 3 kohdassa säädettäväksi ehdotettava saapumistavan rekisteröinti. Saapumistapa on merkityksellinen selvitettäessä sitä, miten saapumisajankohta määritellään määräaikoja laskettaessa tai määriteltäessä. Sähköisiä tiedonsiirtomenetelmiä koskien saapumisaika ja asiakirjan saapumista koskevat toimet on säädetty yleislaintasolla sähköisestä asioinnista viranomaistoiminnassa annetussa laissa, kun taas hallintoasioissa postitse tai muulla vastaavalla tavalla viranomaiselle toimitettu asiakirjan vastaanottotoimet, saapumisajankohdan määräytyminen ja vireilletulo määräytyvät hallintolain perusteella. Saapumistavan rekisteröinti liittyy asiakirjan lähettäjän oikeusturvan varmistamiseen sekä saapumista ja vireilletuloa koskevien säännösten soveltamisen määrittämiseen jälkikäteen, esimerkiksi laillisuusvalvonnassa tai määräaikojen laskennassa. Momentin 4 kohdan mukaan asiakirjasta rekisteröidään myös asiakirjan lähettäjä tai asiamies. Asiakirjan on voinut lähettää muukin kuin asianosainen itse, joten asiankäsittelyn eri vaiheiden asiakirja-aineistojen muodostumisen kannalta on tärkeää rekisteröidä asiakirjojen lähettäjien tiedot erityisesti, jos lähettäjä ei ole asianosainen. Asiakirjan lähettäjästä ja asiamiehestä on säädetty muualla lainsäädännössä.
Pykälän 4 momentissa olisi säädetty viranomaisen laatimien asiakirjojen rekisteröinnistä. Perusmetatietojen perusteella viranomaisen laatimat asiakirjat olisi pystyttävä yksilöimään jollakin tavalla, joko tunnisteella tai otsikkotietojen perusteella. Asiakirjan laatijasta pitäisi rekisteröidä tiedot, jotta jälkikäteen voitaisiin todentaa, kuka asiakirjan sisällöstä olisi vastuussa. Laatimisajankohdalla puolestaan tarkoitetaan ajankohtaa, jolloin viranomaisen asiakirja rekisteröidään asiarekisteriin tai ajankohtaa, jolloin asiakirja on ollut valmis käyttötarkoitukseensa. Viranomaisen asiakirjan metatietoihin voidaan lisäksi liittää myös muita tietoja, jotka voivat koskea muun muassa päätöksentekoa tai allekirjoittajia.
Pykälän 5 momentissa olisi säädetty muista asiankäsittelyyn liittyvistä tiedoista. Momentin luettelon 1 kohdan mukaan asiarekisteriin tulisi rekisteröidä tieto vireillepanijasta ja tarvittaessa asianosaisista. Vireillepanijaa ja asianosaista koskevat tiedot olisivat tarpeellisia muun muassa myöhemmin tapahtuvan tiedoksiannon toteuttamiseksi ja siten asianosaisten oikeusturvan varmistamiseksi. Jos asiankäsittelyn kaikkia asianosaisia ei voitaisi yksilöidä tai kysymys olisi laajasta henkilöjoukosta, tulisi asianosaistietona rekisteröidä ainakin asiaosaisryhmät, jos se olisi mahdollista määritellä. Asiarekisteristä tulisi ilmetä 2 kohdan mukaan asiankäsittelyn tila. Säännös on sidoksissa hallintolain 23 §:n 2 momentissa säädettyyn viranomaisen velvollisuuteen vastata asianosaisen tiedusteluun, joka koskee arviota päätöksen antamisajankohdasta tai muusta asiankäsittelyn etenemistä. Asian tilatiedot helpottavat asianosaisille vastaamista tai niiden perusteella voidaan toteuttaa tietopalvelu, josta asianosainen voi seurata asiansa käsittelyn tilaa. Tilatiedot on määriteltävä viranomaisissa selkeäksi ja niiden perusteella on pystyttävä muodostamaan kuva, missä vaiheessa asiankäsittely on. Laissa ei asian tilatiedoilla ei tarkoiteta teknisiä asian tai asiakirjan tilatietoja, vaan asiankäsittelyyn liittyviä tilatietoja. Momentin 3 kohdassa olisi säädetty viranomaisen velvollisuudesta rekisteröidä asiarekisteriin välitoimenpiteet ja käsittelyvaiheet, joiden perusteella voidaan jälkikäteen todentaa, miten asiankäsittely on toteutettu ja mitä toimenpiteitä siinä on tehty. Esimerkiksi selvityspyynnön lähettäminen tai lausuntopyyntö ovat välitoimenpiteitä, jotka eivät muodosta omaa asiankäsittelyprosessiaan. Siten viranomaisten on huolehdittava myös siitä, ettei asiarekisteriin rekisteröidä tarpeettomasti uusia asioita, jotka tosiasiassa liittyvät jo olemassa olevien asioiden toimenpiteisiin. Viranomaisten on vältettävä samaan asiankäsittelyyn liittyvää moninkertaista asian perustamista ja siihen liittyvää rekisteröintiä. Asiankäsittelyiden on muodostettava eheä kokonaisuus.
27 §.Tietoaineistojen hallinta palveluja tuotettaessa. Viranomaisten toiminnassa tuotetaan runsaasti tietoaineistoja muussakin kuin asiankäsittelyn yhteydessä. Tällainen tietoaineistojen tuottaminen on tyypillistä erilaisia palveluja tuotettaessa. Tähän asti lainsäädännössä ei ole ollut yleisiä säännöksiä siitä, miten tällaisten tietoaineistojen metatietojen hallinta järjestetään. Erityislainsäädännössä on voitu kuitenkin määrittää, miten esimerkiksi yksittäinen asiakirja muodostuu palvelua tuotettaessa. Kuitenkin asiakirjajulkisuuden takaava tiedonhallinta ja tietojen saanti on turvattava myös palvelujen tuottamisen yhteydessä muodostuviin asiakirjoihin. Ehdotettavan pykälän mukaan tiedonhallintayksikön olisi järjestettävä muussa kuin asiankäsittelyn yhteydessä muodostuvan tietoaineiston hallinta siten, että tietoaineistosta muodostettavat asiakirjat ovat haettavissa jollakin tietokokonaisuudet yksilöivällä tunnuksella, jotta tiedot voidaan antaa siihen oikeutetulle vaivattomasti. Säännöksen tarkoituksena on korostaa asiakirjajulkisuuden toteuttamista sellaisiin tietoaineistoihin, jotka eivät ole muodostuneet asiankäsittelyn yhteydessä. Näistäkin aineistoista on pystyttävä hakemaan tiedot muun muassa asiakirjajulkisuuden ja asianosaisten oikeuksien toteuttamiseksi. Tällaisten palvelujen tuottamisen yhteydessä muodostuvien tietoaineistojen tiedonhallinta on järjestettävä siten, että tiedot on haettavissa jonkin yksilöivän tunnuksen avulla. Tällainen tunnus voi olla asiakasnumero, henkilötunnus, Y-tunnus, kiinteistötunnus, oppijanumero, palvelutunnus tai muu vastaava yksilöintitieto. Pykälän toinen virke sisältäisi viranomaiselle asiakirjan tai muun vastaavan tiedon rekisteröintivelvollisuuden viipymättä sen jälkeen, kun asiakirja tai tieto on muodostunut palvelua tuotettaessa. Vaatimuksena olisi, että asiakirjaan tai muuhun vastaavaan tietoon tulisi liittää sellaiset tiedot, joiden avulla asiakirjan tai muun vastaavan tiedon muodostuminen voidaan jälkikäteen todentaa. Tällaisia metatietoja muodostettaessa voitaisiin hyödyntää asian metatietoja koskevia säännöksiä, mutta palvelujen tuottamisessa kertyvien metatietojen muodostaminen jäisi erityislainsäädännön ja tiedonhallintayksikköjen omien määritysten varaan. Pykälässä siten edellytettäisiin, että tällaiset, lähinnä palvelujen tuottamisessa syntyvät, tietoaineistot on muodostettava siten, että niissä olevat tiedot voidaan hakea. Palvelujen tuottamisen yhteydessä olisi tuotettava käytännössä saman tyyppiset metatiedot palveluprosesseista kuin asiankäsittelyprosesseistakin. Muodostuvasta tietoaineistosta on pystyttävä yksilöimään missä palvelun toimintaprosessissa tietoaineistoon on syntynyt asiakirjoja tai niitä vastaavia muita tietoja. Pykälässä tarkoitettuja palveluja ovat muun muassa lasten päivähoidon toteuttaminen, opetuksen antaminen ja kotihoidon toteuttaminen. Näiden palvelujen tuottamiseen voi liittyä myös toimintaprosesseja, jotka muodostavat asiankäsittelyprosessin, kuten päivähoitopaikan hakemisen yhteydessä.
28 §. Kuvaus asiakirjajulkisuuden toteuttamiseksi. Pykälässä säädettäisiin tiedonhallintayksikön velvollisuudesta ylläpitää kuvausta sen hallinnoimista asiarekistereistä ja tietovarannoista. Säännös korvaisi nykyisin voimassa olevan julkisuuslain 18 §:n 1 momentin 2 kohdassa säädetyn velvollisuuden kuvata tietojärjestelmät ja niiden tietosisältö julkisten tietojen osalta. Kuvauksella toteutettaisiin osaltaan julkisuusperiaatetta, sillä kuvaus helpottaa tietopyynnön tekemistä. Julkisuuslain 13 §:n 1 momentin mukaan pyyntö saada tieto viranomaisen asiakirjan sisällöstä on yksilöitävä riittävästi siten, että viranomainen voi selvittää, mitä asiakirjaa pyyntö koskee. Tiedon pyytäjää on diaarin ja muiden hakemistojen avulla avustettava yksilöimään asiakirja, josta hän haluaa tiedon. Jotta julkisuuslaissa tarkoitettu tietopyynnön yksilöinti voidaan toteuttaa tiedonhallintayksikössä, on sillä oltava kuvaus, josta riittävät tiedot tietopyynnön tekemiseksi ilmenevät. Lisäksi kuvauksen avulla on jokaisen mahdollista saada tietoa siitä, missä laajuudessa ja miten viranomainen käsittelee tietoja asiankäsittelyn ja palvelujen tuottamisen yhteydessä.
Pykälän 1 momentin mukaan tiedonhallintayksikön olisi julkisuusperiaatteen toteuttamista varten ylläpidettävä kuvausta sen hallinnoimista tietovarannoista ja asiarekistereistä. Momentissa olisi luettelo tiedoista, jotka kuvauksen on sisällettävä. Luettelon 1 kohdan mukaan kuvauksessa tulisi olla tiedot tietojärjestelmistä, jotka sisältävät asiarekisteriin tai palvelujen tiedonhallintaan kuuluvia tietoja. Tiedonhallintayksikössä asiarekisteri muodostaa yhden loogisen kokonaisuuden, johon kuuluvat kaikki asiankäsittelyä kuvaavat metatiedot. Useimmilla tiedonhallintayksiköillä asiarekisteriin kuuluvia tietoja sisältyy asianhallintajärjestelmään, mutta myös eri operatiivisiin tietojärjestelmiin. Tarkoituksena on, että tiedonhallintayksiköt kuvaisivat nykyistä paremmin, missä tietojärjestelmissä ja muilla alustoilla niillä on asiarekisterin kuuluvia tietoja. Kuvauksesta ilmenisi, miten tiedonhallintayksikön asiarekisteri on jäsentynyt. Vastaavasti tiedonhallintayksiköiden tulisi kuvata missä tietojärjestelmissä muodostuu palvelujen tiedonhallintaan kuuluvia tietoja, jotta ilmenisi, miten palvelujen tiedonhallinta on jäsentynyt. Luettelon 2 kohdan mukaan kuvauksessa tulisi olla tiedot asiarekisterin tai tietojärjestelmän sisältämien tietojen antamisesta päättävästä viranomaisesta ja sen yhteystiedoista tiedonsaantia koskevan pyynnön esittämiseksi. Julkisuuslain 14 §:n mukaan asiakirjan antamisesta päättää se viranomainen, jonka hallussa asiakirja on, jollei 15 §:n 3 momentissa tai muualla laissa toisin säädetä. Kuvauksen avulla tiedon pyytäjä pystyisi esittämään tietopyyntönsä selkeästi ja vaivattomasti sille viranomaiselle, joka päättää tietojen antamisesta. Luettelon 3 kohdan mukaan kuvauksessa tulisi olla tiedot tietojärjestelmien sisältämistä tietoaineistoista tietoryhmittäin. Velvoite julkaista tietojärjestelmien tietoaineistot tietoryhmittäin parantaa julkisuutta ja mahdollistaa tietopyynnön riittävän yksilöinnin. Luettelon 4 kohdan mukaan kuvauksessa tulisi olla tiedot hakuperusteista, joilla julkisia asiakirjoja tai muita tietoja voidaan hakea asiarekistereistä tai tietojärjestelmistä. Luettelon 5 kohdan mukaan kuvauksessa tulisi olla tiedot tietoaineistojen saatavuudesta avoimesti teknisen rajapinnan avulla. Mikäli tietoaineistot ovat saatavissa avoimesti teknisen rajapinnan avulla, tulisi kuvauksessa olla kohdan mukaisesti tieto, mistä tiedot ovat saatavissa. Luettelon 5 kohta ei tarkoittaisi sitä, että mikä tahansa rajapintojen kautta tapahtuva tiedonsaanti sisällytettäisiin tähän kuvaukseen, vaan ainoastaan tiedot sellaisista rajapinnoista, jotka olisivat yleisesti käytettävissä ja joiden kautta voisi saada hyödynnettäväksi viranomaisissa muodostuneita tietoaineistoja. Tietoaineistojen koneluettavasta muodosta olisi säädetty erikseen 19 §:n 2 momentissa.
Pykälän 2 momentissa olisi säädetty tiedonhallintayksikölle velvollisuus julkaista 1 momentissa tarkoitettu kuvaus yleisessä tietoverkossa siltä osin kuin tiedot eivät ole salassa pidettäviä. Säännöksen perusteella kuvauksen tulisi olla saatavissa esimerkiksi tiedonhallintayksikön verkkosivuilla. Kuvauksen saatavuus palvelee julkisuusperiaatteen toteuttamista.
7 luku Erinäiset säännökset
29 §.Voimaantulo. Pykälä sisältäisi voimaantulosäännöksen. Lain on tarkoitus tulla voimaan mahdollisimman pian tiedonhallintaa koskevan sääntelyn vanhentuneisuuden vuoksi ja ristiriitaisuuksien poistamiseksi tiedonhallinnan sääntelystä. Voimaantuloa koskeva pykälä sisältäisi julkisen hallinnon tietohallinnosta annetun lain kumoamisen.
30 §.Siirtymäsäännökset. Ehdotettava laki sisältäisi siirtymäsäännöksiä, koska lain voimaantullessa tiedonhallintayksiköillä ei ole kaikkia tarvittavia valmiuksia soveltaa uutta lakia ja siinä olevia uusia säännöksiä. Siltä osin kuin laissa olevat säännökset vastaavat voimassa olevaa, mutta kumottavaa tai muutettavaa lainsäädäntöä tai jos sääntely vastaa jo voimassa olevia käytäntöjä siirtymäaikoja ei ehdoteta säädettäväksi.
Pykälän 1 momentin mukaan viranomaisen olisi laadittava 5 §:n mukainen tiedonhallintamalli viimeistään 12 kuukauden kuluessa tämän lain voimaantulosta. Tällä hetkellä viranomaisilla on käsittelytoimia koskevia selosteita, tietojärjestelmäselosteita, arkistonmuodostussuunnitelmia sekä niitä lakiin perustumattomia tarkentavia prosessiohjausta varten laadittuja tiedonohjaussuunnitelmia ja arkkitehtuurikuvauksia, joiden kokoamiselle ja yhteensovittamiseen pitää varata riittävästi aikaa. Koska tiedonhallintamalli tuotetaan olemassa olevien dokumenttien perusteella, 12 kuukautta voidaan pitää riittävänä aikana tiedonhallintamallin laatimiselle.
Pykälän 2 momentissa olisi säädetty muiden kuin valtion virastoissa ja laitoksissa toimivien viranomaisten tietoturvallisuusvaatimusten toteuttamisen määräajasta. Osa tietoturvallisuusvaatimuksista perustuu jo voimassa olevaan julkisuuslain 18 §:ssä säädettyihin sekä EU:n tietosuoja-asetuksessa säädettyihin vaatimuksiin, joihin on aikanaan säädetty omat siirtymäaikansa. Lisäksi vaatimusten vastatessa viranomaisten olemassa olevia käytäntöjä, eivät ehdotettavat muutokset ole niin merkittäviä, että niihin tarvittaisiin 3 vuotta enempää siirtymäaikaa. Valtion virastoissa ja laitoksissa toimiville viranomaisille vaatimukset eivät muutu tavalla, joka edellyttäisi oman siirtymäajan säätämistä, koska valtionhallinnon tietoturvallisuudesta annetussa asetuksessa on säädetty pääosin vastaavalla tavalla tietoturvallisuuden järjestämisestä. Asetukseen sisältyi aikanaan vastaava siirtymäaika.
Pykälän 3 momentti sisältäisi sähköiseen muotoon liittyvien menettelyjen sekä tietoaineistojen saatavuuden toteuttamisen siirtymäsäännökset. Viranomaisen olisi toteutettava 19 §:n 1 momentissa tarkoitetut menettelyt vaatimusten mukaiseksi muussa kuin sähköisessä muodossa saapuvien asiakirjojen muuttamiseksi sähköiseen muotoon ja asiakirjojen säilyttämiseksi sähköisessä muodossa 18 kuukauden kuluessa lain voimaantulosta. Lain 19 §:n 2 momentin mukaisesti viranomaisen olisi huolehdittava tietoaineistojen saatavilla olosta ja hyödyntämisestä yleisesti käytettävässä koneluettavassa muodossa 2 vuoden kuluessa lain voimaantulosta. Siirtymäsäännöksillä mahdollistetaan viranomaisille riittävä aika varmistaa menettelyjen lainmukaisuus. Sääntely koskee uusia muodostuvia tietoaineistoja, joten ennen siirtymäaikojen päättymistä muodostuneisiin tietoaineistoihin säännöksiä ei sovellettaisi, mutta mitään estettä ei olisi myöskään sille, että lain säännöksiä noudatettaisiin viranomaisissa jo ennen siirtymäajan päättymistä. Lisäksi momentti sisältää 12 kuukauden siirtymäajan, joka koskee 20 §:ssä säädettyjä tietojen keräämistä koskevien säännöksiä. Ehdotettava 12 kuukauden siirtymäaika mahdollistaa viranomaisille tarkistaa tietojen keräämistä koskevat menettelyt.
Pykälän 4 momentissa olisi säädetty ministeriöiden velvollisuudesta selvittää omalla toimialallaan 12 kuukauden kuluessa lain voimaantulosta useiden viranomaisten välisen teknisten rajapintojen avulla tapahtuvan säännönmukaisen ja vakioitavissa olevan tiedonluovutuksen määrittelyn ja ylläpidon hallinnointia edellyttävät kohteet. Ministeriöt vastaavat tiedonluovutusta koskevan sääntelyn valmistelusta ja ministeriöiden tehtävänä on ollut vuoden 2011 syyskuusta saakka julkisen hallinnon tietohallinnon ohjauksesta annetun lain (634/2011) 8 §:n 1 momentin mukaisesti laatia ja ylläpitää oman toimialansa tietojärjestelmien yhteentoimivuuden kuvaukset ja määritykset. Koska ehdotuksen 22 §:n 3 momentissa ministeriöiden vastuulle ehdotetun velvollisuuden toteuttamisen edellyttämä tieto on olemassa, 12 kuukautta voidaan pitää riittävänä aikana selvittää lain tarkoittamat rajapintojen määrittelyn kohteet.
Pykälän 5 momentissa olisi säädetty viranomaisten lokitietojen keräämistä, tietojen luovuttamista teknisen rajapinnan avulla sekä katseluyhteyden avaamista viranomaisille koskevien tietojärjestelmämuutosten määräajoista. Säännöksiä sovellettaisiin lain voimaantulon jälkeen hankittaviin tietojärjestelmiin, joka jättäisi viranomaisille riittävän ajan varmistaa tulevissa hankinnoissa käytettyjen vaatimusten vastaavuus tiedonhallintalaissa säädettyihin vaatimuksiin. Lain 22—24 §:ssä säädetyt tietojen sähköistä luovutustapaa koskevat vaatimukset tulisi toteuttaa ennen lain voimaantuloa hankittuihin tietojärjestelmiin, kun tietojärjestelmien teknisiä rajapintoja tai katseluyhteyksiä päivitetään. Päivitysten yhteydessä tehtävät muutokset tulisi toteuttaa kuitenkin viimeistään 4 vuoden kuluttua lain voimaantulosta. Lain 17 §:ssä säädetyt lokitietojen keräämistä koskevat vaatimukset tulisi toteuttaa tietojärjestelmiin viimeistään 2 vuoden kuluttua lain voimaantulosta. Siirtymäsäännökset mahdollistavat sen, että viranomaiset voivat muuttaa tietojärjestelmänsä lainmukaiseksi harkintansa mukaan tarkoituksenmukaisena ajankohtana tietojärjestelmähankintojen ja järjestelmien normaalin elinkaaren aikaisen kehityksen yhteydessä. Lait, joissa on teknisiä käyttöyhteyksiä koskevia säännöksiä, jotka esitetään tässä hallituksen esityksessä kumottaviksi, tulisivat voimaan samaan aikaan kuin tiedonhallintalaki, mutta vanhoihin teknisiin käyttöyhteyksiin sovellettaisiin enintään 48 kuukautta vanhoja kumottuja säännöksiä. Uuden tiedonhallintalain mukaisesti tekniset käyttöyhteydet voidaan uudistaa siirtymävaiheen aikana, jolloin tiedonhallintalain säännöksiä alettaisiin soveltaa muutosten jälkeen.
Pykälän 6 momentti sisältäisi asianhallinnan ja palvelujen tiedonhallinnan menettelyjen siirtymäsäännökset. Viranomaisen olisi järjestettävä 12 kuukauden kuluessa lain voimaantulosta asioiden ja asiakirjojen rekisteröinti, tietoaineistojen hallinta palveluja tuotettaessa sekä kuvattava sen hallinnoimat tietovarannot ja asiarekisterit lain 26—28 §:n vaatimusten mukaiseksi. Viranomaiselle saapuneiden ja viranomaisen laatimien asiakirjojen rekisteröintiä koskevat vaatimukset perustuvat jo voimassa olevaan julkisuuslain 18 §:ssä säädettyihin vaatimuksiin, joihin on aikanaan säädetty omat siirtymäaikansa, joten 25 §:ää sovelletaan heti lain voimaantulosta. Asiarekisterin ja tietovarantojen kuvauksen sisällön vastatessa viranomaisten ylläpitämien tietojen käsittelytoimia koskevien selosteiden, tietojärjestelmäselosteiden, arkistonmuodostussuunnitelmien (tiedonohjaussuunnitelma) ja arkkitehtuurikuvausten sisältöä, voidaan 12 kuukauden siirtymäaikaa pitää riittävänä aikana kuvauksen laatimiselle.