Esityksen lähtökohdat
Hallituksen esityksessä ehdotetun julkisen hallinnon automaattista päätöksentekoa koskevan lainsäädännön tarkoituksena on luoda yleissääntely, jonka perusteella viranomainen voi ratkaista hallintoasian automaatiota hyödyntäen niin, että varmistutaan erityisesti hallinnon lainalaisuusperiaatteen, julkisuuden, hyvän hallinnon ja oikeusturvan sekä virkavastuun toteutumisesta. Toiseksi lainsäädännön tarkoituksena on luoda EU:n tietosuojasäädösten edellyttämä lakiperusta sille, että tehdään automatisoidusti luonnollista henkilöä koskeva päätös, ja turvata tässä yhteydessä päätöksen kohteena olevan luonnollisen henkilön henkilötietojen suoja.
Esityksen taustalla ovat perustuslakivaliokunnan ja ylimpien laillisuusvalvojien viime vuosina tekemät kannanotot. Perustuslakivaliokunta on lausunnoissaan kiinnittänyt valtioneuvoston huomiota siihen, että automatisoituun päätöksentekoon vaikuttaa sisältyvän useita hallinnon yleislaeilla nimenomaisesti säätelemättömiä kysymyksiä. Valiokunta on edellyttänyt, että valtioneuvosto tekee asiasta selvityksen, jossa tarkastellaan, millä tavoin automatisoidun hallintomenettelyn ja päätöksenteon sääntely täyttää hallinnon lainalaisuuden, julkisuusperiaatteen ja hyvän hallinnon perusteisiin kuuluvien hallinnon oikeusperiaatteiden asettamia vaatimuksia sekä turvaa oikeusturvan ja virkamiesten virkavastuun asianmukaisen toteutumisen (PeVL 7/2019 vp, PeVL 78/2018 vp, PeVL 70/2018 vp ja PeVL 62/2018 vp). Eduskunnan apulaisoikeusasiamies ja valtioneuvoston oikeuskansleri ovat ratkaisuissaan viitanneet vastaaviin kysymyksiin ja muun muassa katsoneet, että Verohallinnon ja Kansaneläkelaitoksen automaattisilta menettelyiltä puuttuu tarvittava lakiperusta (mm. EOAK/3379/2018 ja OKV/131/70/2020).
Esityksessä ehdotetaan hallintolakiin (434/2003) lisättäväksi uusi 8 b luku, jossa säädetään automaattisen ratkaisemisen edellytyksistä, oikeussuojaedellytyksestä sekä viranomaisen velvollisuudesta ilmoittaa asianosaiselle asian ratkaisemisesta automaattisesti (1. lakiehdotus). Julkisen hallinnon tiedonhallinnasta annettuun lakiin (906/2019, jäljempänä tiedonhallintalaki) ehdotetaan lisättäväksi säännökset, jotka liittyvät automaattisen ratkaisumenettelyn käyttöönottoon ja dokumentointiin, laadunvarmistamiseen ja laadunvalvontaan sekä (automaattista ratkaisumenettelyä koskevaan) tiedottamiseen (2. lakiehdotus). Digitaalisten palvelujen tarjoamisesta annettuun lakiin (306/2019) ehdotetaan lisättäväksi säännökset palveluautomaation käytöstä neuvonnassa (3. lakiehdotus). Lisäksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden yhteydessä annettua lakia (1054/2018, jäljempänä rikosasioiden tietosuojalaki, 4. lakiehdotus) ja maakaaren 5 lukua (5. lakiehdotus) muutettaisiin automaattisten ratkaisujen mahdollistamiseksi eräissä näiden lakien soveltamisalaan kuuluvissa päätöksissä.
Hallintovaliokunta pitää ehdotettua lainsäädäntökokonaisuutta tärkeänä ja tarpeellisena. Hallintolakiin ja tiedonhallintalakiin ehdotetut muutokset täydentävät hallinnon yleislainsäädäntöä. Hallintolakiin ehdotetuilla muutoksilla luodaan oikeusperusta hallinnon automaattiselle päätöksenteolle. Esitys lisää automaattisen päätöksenteon oikeusvarmuutta ja edistää hallinnon ja yhteiskunnan digitalisaatiota.
Perustuslakivaliokunta esittää, että lakiehdotukset voidaan käsitellä tavallisen lain säätämisjärjestyksessä, 2. lakiehdotus kuitenkin vain, mikäli valiokunnan sen täsmällisyydestä ja selkeydestä tekemä valtiosääntöoikeudellinen huomautus otetaan asianmukaisesti huomioon.
Hallintovaliokunta käsittelee perustuslakivaliokunnan esittämiä valtiosääntöisiä ja muita huomautuksia jäljempänä tässä mietinnössä ja ehdottaa 2. lakiehdotukseen tehtävien muutosten lisäksi tarkistuksia myös 1. ja 3. lakiehdotukseen. Hallintovaliokunta pitää tärkeänä, että nyt käsiteltävänä olevan lainsäädäntökokonaisuuden toimivuutta ja vaikutuksia seurataan ja tarvittaessa ryhdytään toimenpiteisiin lainsäädännön tarkistamiseksi.
Perustuslakivaliokunta katsoo, että hallintovaliokunnan on syytä arvioida, tulisiko myös muihin hallintoasian käsittelyvaiheisiin kohdistaa yleistä sääntelyä erillisessä valmistelussa. Tältä osin hallintovaliokunta toteaa, että käsillä olevassa esityksessä on ehdotettu hallintoasian automaattista ratkaisemista koskevaa sääntelyä, koska siihen liittyy kiireellinen sääntelytarve. Automaatiota voi liittyä myös esimerkiksi asian vireilletuloon, asian selvittämiseen ja asianosaisen kuulemiseen. Näihin käsittelyvaiheisiin liittyviä kiireellisiä sääntelytarpeita valiokunnalla ei ole tiedossa, mutta asiaa on perusteltua arvioida sopivassa yhteydessä. Jos EU:ssa neuvoteltava tekoälyasetus hyväksytään, myös sen vaikutus hallintoasian käsittelyyn on syytä arvioida.
Suhde EU:n tietosuojasääntelyyn
EU:n yleinen tietosuoja-asetus kieltää pelkästään automaattiseen käsittelyyn perustuvien oikeusvaikutuksia tai muita merkittäviä vaikutuksia sisältävien päätösten antamisen. Asetukseen sisältyvän kansallisen liikkumavaran puitteissa on kuitenkin mahdollista kansallisesti säätää automatisoitujen yksittäispäätösten tekemisestä. Tällöin tulee huolehtia siitä, että sääntely on kokonaisuudessaan yhteensopivaa yleisen tietosuoja-asetuksen kanssa ja että siinä vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Rikosasioiden tietosuojadirektiivin täytäntöönpanemiseksi säädetty rikosasioiden tietosuojalaki (1054/2018) kieltää automatisoidut yksittäispäätökset, jos päätöksellä on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai se on muutoin hänen kannaltaan merkittävä.
Perustuslakivaliokunta on lausuntokäytännössään korostanut, että henkilötietojen suojan näkökulmasta laaditun tietosuoja-asetuksen sääntely ei muodosta hyvän hallinnon periaatteiden ja hallinnon oikeusturvajärjestelmän näkökulmasta riittävää perustaa automatisoidulle päätöksenteolle (PeVL 7/2019 vp). Toisaalta on sinänsä selvää, että Euroopan unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan unionin lainsäädäntö on ensisijaista suhteessa kansallisiin säännöksiin oikeuskäytännössä määriteltyjen edellytysten mukaisesti (ks. PeVL 20/2017 vp, s. 6 ja PeVL 51/2014 vp, s. 2/II), eikä suomalaisessa lainsäädännössä ole syytä pyrkiä EU-oikeuden kanssa ristiriidassa oleviin ratkaisuihin (esim. PeVL 19/2021 vp, kappale 14 ja siinä mainittu lausuntokäytäntö).
Perustuslakivaliokunnan mukaan tietosuoja-asetuksen yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan EU:n perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Henkilötietojen suoja tulee turvata ensisijaisesti EU:n yleisen tietosuoja-asetuksen ja kansallisen yleislainsäädännön nojalla (ks. PeVL 14/2018 vp, s. 4—5). Valiokunta on tarkastellut profilointia ja automaattista päätöksentekoa (PeVL 15/2018 vp, s. 43—45) merkitseviä lakiehdotuksia myös henkilötietojen suojan näkökulmasta pitäen selvänä, että lainsäätäjän toimivaltaan ei voi kuulua yksityiselämän suojan kannalta keskeisten arkaluonteisten tietojen automaattisesta käsittelystä säätäminen vastoin tietosuoja-asetuksen sääntelyä.
Perustuslakivaliokunnan esityksestä antaman lausunnon mukaan hallintovaliokunnan on syytä varmistua sääntelyn yhteensopivuudesta EU:n tietosuoja-asetuksen kanssa kiinnittäen erityisesti huomiota asetuksen 22 artiklan 3 kohdan sääntelyyn oikeudesta vaatia, että tiedot käsittelee rekisterinpitäjän puolesta luonnollinen henkilö.
Hallintovaliokunta toteaa, että tietosuoja-asetuksen 22 artiklan 1 kohdan mukaan rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. Artiklan 2 kohdan b alakohdan mukaan 1 kohtaa ei sovelleta, jos päätös on hyväksytty rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Nyt ehdotetun kansallisen lainsäädännön valmistelu perustuu tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan sisältämään kansalliseen liikkumavaraan.
Tietosuoja-asetuksen 22 artiklan 3 kohdan mukaan 2 kohdan a ja c alakohdassa tarkoitetuissa tapauksissa rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi; tämä koskee vähintään oikeutta vaatia, että tiedot käsittelee rekisterinpitäjän puolesta luonnollinen henkilö, sekä oikeutta esittää kantansa ja riitauttaa päätös. Koska esitys perustuu tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohtaan, 22 artiklan 3 kohdassa säädetty ei tule sovellettavaksi.
Suojatoimivelvoitteita seuraa kuitenkin myös tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdasta. Säännöksen mukaan unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa käsittely hyväksytään, on vahvistettava myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Suojatoimia koskeva velvoite on sanamuodoltaan siten yleisempi kuin 22 artiklan 3 kohdassa. Asetuksen johdanto-osan 71 perustelukappaleen mukaan 22 artiklassa tarkoitettuun käsittelyyn olisi aina sovellettava asianmukaisia suojatoimia, joihin olisi ainakin kuuluttava käsittelystä ilmoittaminen rekisteröidylle ja tämän oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen, oikeus esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös. Ottaen huomioon tietosuoja-asetuksessa omaksuttu riskiperusteinen lähestymistapa, jättää perustelukappale 22 artiklan 2 kohdan b alakohdan osalta lainsäätäjälle enemmän harkintaa kussakin yhteydessä asianmukaisista suojatoimista. Rikosasioiden tietosuojadirektiivissä suojatoimista säädetään direktiivin 11 artiklan 1 kohdassa, mukaan lukien oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen. Lisäksi kummankin säädöksen mukaan suojatoimen on oltava maksuton ja rekisteröidyn tulee pystyä kohdistamaan se automaattisen päätöksen tehneelle rekisterinpitäjälle.
Hallintolain 53 f §:ssä ehdotetaan säädettävän erityisenä suojatoimena oikeussuojaedellytyksestä, jonka mukaan asian automaattisen ratkaisemisen edellytyksenä on, että muualla laissa on säädetty automaattisen päätöksen kohteena olevan luonnollisen henkilön oikeudesta maksuttomaan oikaisuvaatimukseen tai siihen rinnastuvaan vaatimukseen. Oikaisuvaatimusta koskevalla edellytyksellä toteutetaan EU:n tietosuojasääntelyssä tarkoitettu oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen.
Hallintovaliokunta tähdentää, että ehdotetussa hallintolain 53 f §:ssä ei säädetä muutoksenhausta, vaan lisäedellytyksestä, jonka on täytyttävä, jotta automaattisia ratkaisuja voidaan tehdä. Pykälästä itsessään ei seuraa oikeutta oikaisuvaatimukseen, eikä se muutenkaan vaikuta olemassa oleviin oikeussuojakeinoihin. Asianosaisen muutoksenhakuoikeus ja oikeus oikeusturvaan määräytyvät muun lainsäädännön perusteella. Oikaisuvaatimusmenettelystä on säädettävä erikseen (hallintolain 49 b §:n 1 momentti).
Hallintolain 53 g §:ään ehdotettu sääntely viranomaisen velvollisuudesta ilmoittaa automaattisesta ratkaisusta asianosaiselle on myös yksi suojatoimi. Valiokunta tarkastelee sitä ja muita rekisteröidyn informointiin liittyviä säännöksiä erikseen jäljempänä.
Automaattisen käsittelyn yleisinä suojatoimina toimivat hallintomenettelyyn sisältyvät, voimassa olevassa hallintolaissa säädetyt oikeusturvatakeet kuten oikeus tulla kuulluksi ja saada perusteltu päätös. Myös muutoksenhaku- ja virkavastuusääntely toimivat osaltaan suojatoimina.
Lisäksi tietosuoja-asetus, sitä kansallisesti täsmentävä ja täydentävä tietosuojalaki (1050/2018) sekä rikosasioiden tietosuojalaki sisältävät yksityiskohtaiset säännökset muun muassa henkilötietojen käsittelyn yleisistä periaatteista, rekisterinpitäjän velvollisuuksista ja rekisteröidyn oikeuksista, tietoturvallisuudesta ja henkilötietojen käsittelyn valvonnasta sekä lainvastaisen henkilötietojen käsittelyn seuraamuksista.
Hallintovaliokunnan näkemyksen mukaan nyt ehdotetussa sääntelyssä on otettu asianmukaisesti huomioon EU-oikeudesta johtuvat vaatimukset. Toimivalta arvioida EU-oikeuden mukaisuutta on kuitenkin Euroopan unionin tuomioistuimella.
Hallintolakia koskeva ehdotus
Sääntelyn soveltamisala
Hallintolain uudessa 8 b luvussa ehdotetaan säädettäväksi asioiden automaattisen ratkaisemisen edellytyksistä ja siihen liittyvistä velvoitteista. Esityksen perustelujen mukaan asian ratkaisemisella viitataan hallintolain 7 lukuun ("Asian ratkaiseminen") ja siinä tarkoitettuun hallintoasian käsittelyn päättävään ratkaisuun, jolla päätetään jonkun edusta, oikeudesta tai velvollisuudesta. Tällaisia ratkaisuja tehdään esimerkiksi asioissa, jotka koskevat etuuden hakemista (esimerkiksi sosiaaliturvaetuudet), velvoitetta (esimerkiksi verotus) tai lupaa (esimerkiksi ajokortti). Edelleen perusteluissa todetaan, että koska säännöksessä asian ratkaisemisella tarkoitetaan hallintoasian käsittelyn päättävää toimea, sääntely ei lähtökohtaisesti sovellu esimerkiksi tosiasialliseen hallintotoimintaan kuten julkisten palvelujen toteuttamiseen.
Hallintovaliokunta toteaa, että sääntelyä soveltavan viranomaisen on hallintolain ja oikeudenkäynnistä hallintoasioissa annetun lain (808/2019) yleisistä lähtökohdista käsin arvioitava, onko kyseessä hallintolaissa tarkoitettu asian ratkaisu. Arvioon voi vaikuttaa esimerkiksi rekisterimerkinnän yhteydessä se, onko rekisterimerkinnän tekemisessä kyse päätöksen tekemisestä vai muusta käsittelytoimesta, esimerkiksi tosiasiallisesta hallintotoiminnasta tai päätöksen täytäntöönpanosta. Myös sovellettavassa erityislainsäädännössä omaksutuilla sääntelyratkaisuilla voi olla vaikutusta arvioon.
Ehdotuksen mukaan automaattisen ratkaisemisen on perustuttava sovellettavan lain perusteella laadittuihin tiedonhallintalain 2 §:n 16 kohdassa tarkoitettuihin käsittelysääntöihin. Tämä lähtökohta sulkee käytännössä pois niin sanotut oppivat tekoälyjärjestelmät. Sääntely ei kuitenkaan rajoita tekoälyn tai muun automatiikan käyttöä silloin, kun ne ovat asian valmistelijaa avustavassa roolissa, mutta eivät tee lopullista päätöstä.
Ehdotetussa sääntelyssä korostetaan viranomaisen velvollisuutta arvioida käsittelysääntöjä muodostaessaan automaattisen päätöksenteon laillisuus aineellisen ja menettelyllisen lainsäädännön kannalta. Myös esimerkiksi lapsen oikeuksia koskevat kysymykset tulee arvioida tässä yhteydessä. Kun viranomainen arvioi, voiko lapseen liittyvän asian ratkaista automaattisesti, tai kun yksittäiseen päätökseen liittyvää tapauskohtaista harkintaa edellyttävää seikkaa arvioidaan, viranomaisen on otettava huomioon YK:n lapsen oikeuksien sopimuksen velvoitteet.
Ehdotetun sääntelyn perusteella voidaan käytännössä automatisoida kaavamaisia päätöksiä. Jos asian ratkaiseminen edellyttää tapauskohtaista harkintaa, asian käsittely täytyy siltä osin siirtää ihmiselle. Viranomaisen on otettava tämä huomioon käsittelysääntöjä laadittaessa.
Esityksessä on pyritty ottamaan huomioon muun ohella perustuslakivaliokunnan automaattista päätöksentekoa koskeva käytäntö. Valiokunnan mukaan laista tulee ilmetä, millaisin perustein asioita voidaan valikoida automaattisen päätöksenteon piiriin (PeVL 70/2018 vp, s. 3). Valiokunnan mukaan automatisoitu päätöksenteko ei sovellu esimerkiksi sellaiseen hallinnolliseen päätöksentekoon, joka edellyttää päätöksentekijän käyttävän laajaa harkintavaltaa (PeVL 7/2019 vp, s. 9).
Perustuslakivaliokunta on kiinnittänyt lausunnossaan huomiota ehdotetun 53 e §:n 2 momentin säännökseen viranomaisen etukäteisharkinnasta ja katsonut, että hallintovaliokunnan on syytä tarkastella säännöksen sanamuotoa. Hallintovaliokunta toteaa, että säännöstä on aiheellista selkeyttää, ja ehdottaa sanamuodon täsmentämistä yksityiskohtaisista perusteluista tarkemmin ilmenevin tavoin.
Rekisteröidyn informointi automaattisesta päätöksenteosta
Voimassa olevaan EU:n tietosuojasääntelyyn ja ehdotettuun kansalliseen lainsäädäntöön sisältyy säännöksiä rekisteröidyn informoinnista silloin, kun tehdään tai on mahdollista tehdä häntä koskeva automaattinen päätös.
Hallintolain 53 g §:ssä ehdotetaan säädettäväksi automaattisesta ratkaisusta ilmoittamisesta. Ehdotuksen mukaan hallintopäätöksestä on käytävä ilmi, jos asia on ratkaistu automaattisesti, sekä tieto siitä, missä tiedonhallintalain 28 d §:ssä tarkoitettu käyttöönottopäätös on saatavilla. Jos asiassa ei muun lain perusteella anneta hallintopäätöstä, tiedot on annettava asianosaiselle muulla tavoin viimeistään asian käsittelyn päättyessä.
Rekisterinpitäjän informointivelvollisuudesta ja siihen liittyvistä menettelyistä säädetään tietosuoja-asetuksen 12, 13 ja 14 artiklassa. Rekisterinpitäjän on jo suoraan tietosuoja-asetuksen perusteella informoitava rekisteröityä automaattisesta päätöksenteosta. Tietosuoja-asetuksen informointisääntelyn tarkoituksena on, että rekisteröity saa kattavan ja selkeän kuvan henkilötietojen käsittelyn kokonaisuudesta, kun taas hallintolakiin ehdotetun 53 g §:n tarkoituksena on varmistaa asianosaisen oikeusturvan toteutumista asian automaattisessa ratkaisemisessa.
Ehdotetun 53 g §:n säännöskohtaisissa perusteluissa (HE 145/2022 vp, s. 104) viitataan perusteltujen odotusten suojaan ja viranomaistoiminnan avoimuuteen syynä sille, että asianosaiselle kerrotaan, että asia on ratkaistu automaattisesti. Lisäksi säännös on tietosuoja-asetuksessa tarkoitettu suojatoimi, jolla toteutetaan käsittelystä ilmoittaminen rekisteröidylle. Tarkoitus on informoida siitä, että juuri nimenomainen viranomaisen antama päätös on ratkaistu automaattisesti. Tällainen sääntely eroaa automaattista ratkaisemista koskevasta tiedonhallintalain 28 e §:n tiedottamisvelvollisuudesta ja informointia koskevasta yleisen tietosuoja-asetuksen 12—14 artiklan sääntelystä.
Perustuslakivaliokunta toteaa rekisteröidyn etukäteisestä informoinnista säädettävän tietosuoja-asetuksen suoraan sovellettavassa sääntelyssä. Etukäteisestä informoinnista ei siten ole syytä säätää kansallisesti. Perustuslakivaliokunnan lausunnon mukaan hallintovaliokunnan on kuitenkin syytä harkita, voidaanko perusteluiden johdosta epäselvää oikeustilaa selventää informatiivisella säädösviittauksella tietosuoja-asetuksen sääntelyyn.
Hallintovaliokunta katsoo, että informatiiviset viittaukset soveltuvat huonosti yleislakiin, eikä valiokunta pidä informatiivisen viittauksen säätämistä tässä yhteydessä tarpeellisena. Lain täytäntöönpanovaiheessa tulee huolehtia siitä, että tietosuoja-asetuksessa säädetyt vaatimukset tietojen antamisesta rekisteröidylle täyttyvät ja että tiedot annetaan rekisteröidylle oikea-aikaisesti.
Erilaiset tekniset tai oikeudelliset seikat voivat vaikuttaa siihen, tuleeko tietty asia lopulta ratkaistuksi automaattisesti, joten tietoa yksittäisen asian ratkaisutavasta ei välttämättä pystytä luotettavasti antamaan etukäteen asioinnin alkuvaiheessa. Hallintovaliokunta pitää silti tarpeellisena, että asiakasta informoidaan siitä, että hän on aloittamassa asiointia, jossa asia voidaan ratkaista automaattisesti, ja siitä, miten asia on mahdollista saattaa ihmisen käsiteltäväksi. Valiokunnan käsityksen mukaan tällainen informointi on myös toteutettavissa teknisesti yksinkertaisella tavalla.
Tiedonhallintalakia koskeva ehdotus
Sääntelyn perusratkaisu
Tiedonhallintalakiin ehdotettu uusi 6 a luku yhdessä hallintolain uuden 8 b luvun kanssa muodostaa automaattisen päätöksenteon yleissääntelyn kokonaisuuden, jolla on tarkoitus varmistaa hyvän hallinnon vaatimusten toteutuminen, virkavastuun kohdistuminen, päätöksenteon läpinäkyvyys sekä riittävä kontrolli. Tiedonhallintalain 2 §:ssä ehdotetaan säädettäväksi 6 a luvun kannalta keskeisistä määritelmistä ja 3 §:ssä uuden 6 a luvun soveltamisalasta.
Perustuslakivaliokunta on kiinnittänyt huomiota tiedonhallintalakia koskevan ehdotuksen epäselvyyteen ja tulkinnanvaraisuuteen suhteessa hallintolain voimassa olevaan ja ehdotettuun sääntelyyn ja viittaa esimerkiksi termeihin ja ilmaisuihin, kuten automatisoitu toimintaprosessi ja ratkaisun tuottaminen. Koska kysymys on oikeusturvaa ja julkisen vallan käyttöä koskevan päätöksentekomenettelyn eikä tuotannon sääntelystä, siinä on valiokunnan mielestä syytä käyttää yhdenmukaista ja oikeudellisesti yksiselitteistä terminologiaa. Laissa on myös syytä nimenomaisesti määritellä automaattisen päätöksenteon perusteiden ja käsittelysääntöjen dokumentoinnin perussisältö.
Perustuslakivaliokunnan lausuntokäytännössä korostetaan, että sääntelyn selkeyteen on syytä kiinnittää huomiota perusoikeuskytkentäisessä sääntelyssä, joka koskee luonnollisia henkilöitä heidän tavanomaiseen elämäänsä kuuluvissa toiminnoissa (PeVL 70/2022 vp, kappale 12, PeVL 45/2016 vp, s. 3, ks. myös PeVL 41/2006 vp, s. 4/II). Vaikeaselkoisuudella voi nyt käsillä olevassa sääntely-yhteydessä olla myös virkamiesten oikeusturvaa heikentävää merkitystä (ks. myös PeVL 4/2021 vp, kappale 13).
Perustuslakivaliokunnan mielestä sääntelystä ei riittävällä täsmällisyydellä ja selkeydellä ilmene perustuslain 21 §:ssä turvatun asianmukaisen käsittelyn eikä hyvän hallinnon tai oikeusturvan perusteita. Sääntely on ongelmallisen epäselvää myös virkavastuun asianmukaisen kohdistumisen kannalta. Sääntelyä on täsmennettävä. Sääntelyn kokonaisuutta on kehitettävä siten, että lakiehdotusten keskinäinen suhde on olennaisesti selvempi. Koska valiokunta ei ole edellä pitänyt 1. lakiehdotusta sääntelytavaltaan ongelmallisen epäselvänä, tällainen täsmentäminen ja selventäminen on edellytyksenä 2. lakiehdotuksen käsittelemiselle tavallisen lain säätämisjärjestyksessä.
Perustuslakivaliokunnan käsityksen mukaan sääntelyn korjaaminen perustuslainmukaiseksi ei kuitenkaan edellytä kasuistista sääntelyä. Vaikka 2. lakiehdotukseen sisältyvä tiedonhallintaa koskeva sääntely on soveltamisalaltaan laaja-alaista, se on toisaalta monelta osin erittäin yksityiskohtaista ja luonteeltaan varsin teknistä. Valiokunnan käsityksen mukaan esimerkiksi 28 c §:n sääntelyä laadunvalvonnasta, 28 b §:n sääntelyä testaamisesta ja 28 g §:n sääntelyä arvioinnista voidaan pitää verraten yksityiskohtaisena detaljisääntelynä. Valiokunnan mielestä ehdotettua sääntelytapaa on hallinnollisen taakan vähentämiseksikin syytä muuttaa teknisestä kasuistisuudesta sääntelyn olennaisten perusteiden asianmukaiseen määrittämiseen.
Myös hallintovaliokunta toteaa, että vaikka hallintolakia ja tiedonhallintalakia koskevat lakiehdotukset sääntelevät samaa asiakokonaisuutta, sääntelyn yksityiskohtaisuus ja käsitteet eroavat näissä laeissa toisistaan huomattavasti. Tiedonhallintalakia koskevaan ehdotukseen sisältyvä ylisääntely ja terminologian tulkinnanvaraisuudet voivat olennaisesti vaikeuttaa lain toimeenpanoa ja aiheuttaa suhteetonta hallinnollista taakkaa, joka ei ole välttämätöntä automatisoidun päätöksenteon perusteiden määrittelyn kannalta. Sääntelyä on siten aiheellista pelkistää ja keskittää olennaiseen. Hallintovaliokunta ehdottaa 2. lakiehdotukseen useita muutoksia ja poistoja yksityiskohtaisista perusteluista tarkemmin ilmenevin tavoin.
Dokumentointivelvollisuus
Tiedonhallintalakia koskevassa ehdotuksessa käytetään käsitettä "dokumentointi" viittaamaan automaattista ratkaisumenettelyä kuvaavan ja sen lainmukaisuuden ja virkavastuun osoittamisen kannalta keskeisten tietojen ja seikkojen selkeään ja kattavaan tallentamiseen kirjallisessa muodossa. Perustuslakivaliokunta katsoo, että laissa olisi nimenomaisesti määriteltävä dokumentoinnin perussisältö.
Saadun selvityksen mukaan automaattisesti ratkaistu asia perustuu dokumentointiketjuun, jossa viranomaisen on kirjattava pysyvässä muodossa automaattisen ratkaisumenettelyn vastuut, sen taustalla olevat seikat sekä siinä tapahtuvat muutokset niin, että menettelyn lainmukaisuus ja siihen sisältyvät virkatoimet voidaan osoittaa. Dokumentointiketjun seuraavina vaiheina ovat 28 a §:n mukaisen dokumentoinnin jälkeen sen varmistaminen, että toteutettu automaattinen ratkaisumenettely on dokumentaation mukainen (ehdotuksen 28 b §), ja käyttöönottopäätöksen tekeminen (ehdotuksen 28 d §) dokumentaatioon perustuen.
"Dokumentaatiolla" tarkoitetaan hallituksen esityksen asiayhteydessä sellaista ylläpidettävää tietoaineistoa, joka voi olla sähköisessä tai fyysisessä muodossa ja joka voi olla olemassa erillisinä asiakirjoina tai osana laajempaa tiedonhallinnan kokonaisuutta ja johon kuvataan tiettyä tapahtumaa tai menettelyä koskevia tietoja mahdollisimman selkeästi ja kattavasti. "Dokumentoinnilla" tarkoitetaan puolestaan tämän kokonaisuuden laatimista ja pitämistä yllä. Dokumentoinnilla on tarkoitettu myös muualla lainsäädännössä organisaation menettelyn, arvion tai muun vastaavan riittävän selkeää ja kattavaa kuvaamista kirjallisessa muodossa, esimerkiksi sijoituspalvelulain (747/2012) 3 §:ssä, hankintalain (1397/2016) 124 §:ssä ja säteilylain (859/2018) 30 §:ssä.
Hallintovaliokunta toteaa, että dokumentointia koskevaa sääntelyä on lakiehdotuksessa tarpeen tarkentaa ja yksinkertaistaa. Valiokunta viittaa yksityiskohtaisissa perusteluissa tarkemmin esitettyyn.
Automaattisen ratkaisutoiminnan perusteiden julkisuus
Perustuslakivaliokunta toteaa lausunnossaan korostaneensa automaattisessa ratkaisutoiminnassa käytettävän koodin tai algoritmin julkisuuden asianmukaista toteutumista yksityiselle ymmärrettävässä muodossa (PeVL 7/2019 vp). Hallituksen esityksen 2. lakiehdotuksen 28 a §:n mukaan viranomaisen on laadittava automatisoidun toimintaprosessin kehittämisen olennainen dokumentaatio, johon sisältyy muun muassa tieto toimintaprosessin kunkin vaiheen käsittelysäännöistä. Lisäksi 2. lakiehdotuksen 28 d §:n mukaan viranomaisen on tehtävä automatisoidun toimintaprosessin käyttöönotosta nimenomainen päätös, johon sisältyy tieto muun muassa käyttöönottopäätöksen perusteena olevista asiakirjoista ja perustelut käyttöönoton edellytyksistä.
Perustuslakivaliokunta toteaa, että jokaisella on perustuslain 12 §:n 2 momentin mukaisesti oikeus saada tietoa päätöksestä ja siihen liittyvistä asiakirjoista. Mainitut asiakirjat kuuluvat viranomaisten toiminnan julkisuudesta annetun lain soveltamisalaan. Valiokunnalla ei edellä informointivelvollisuudesta sanottu ja siitä esityksessä säädetty huomioiden ole tältä osin huomauttamista sääntelyyn. Lausunnon mukaan hallintovaliokunnan on kuitenkin syytä tarkastella sääntelyn selkeyttä tältäkin osin.
Hallintovaliokunta toteaa, että sääntelyssä on selventämisen varaa. Valiokunta ehdottaa yksityiskohtaisissa perusteluissa dokumentointiin liittyvien säännösten selkeyttämisen lisäksi, että myös tiedottamista koskevaa 28 e §:ää täsmennetään.
Avustavien tehtävien antaminen yksityiselle
Hallituksen esityksessä ehdotetaan tiedonhallintalakiin 28 j §:ää, jonka mukaan viranomainen voi antaa 28 b §:ssä tarkoitettuun testaamiseen ja 28 c §:ssä tarkoitettuun teknisten virheiden korjaamiseen liittyvän avustavan tehtävän hoitamisen yksityiselle toimijalle, jolla on siihen riittävät tekniset edellytykset sekä riittävä osaaminen. Samalla on ehdotettu säädettäväksi, että rikosoikeudellista virkavastuuta koskevia säännöksiä sovellettaisiin yksityiseen julkista hallintotehtävää hoitavaan henkilöön ja viitataan vahingonkorvauslakiin. Ehdotuksen tarkoitus liittyy esityksen perustelujen mukaan perustuslain 124 §:ään, jonka mukaan julkinen hallintotehtävä voidaan antaa muulle kuin viranomaiselle vain lailla tai lain nojalla.
Perustuslakivaliokunta toteaa lausunnossaan, että ehdotettuun sääntelyyn ei sen perustelutkin huomioon ottaen ole huomauttamista perustuslain 124 §:n kannalta. Valiokunnan käsityksen mukaan säännöksellä voi olla myös avustavien tehtävien siirtämistä rajaavaa merkitystä. Koska sääntelytarve asiassa perustuu osin EU:n tietosuoja-asetuksen 22 artiklassa automatisoidun yksittäispäätöksen sallittavuudelta edellytettyyn jäsenvaltion lainsäädännössä säädettyyn oikeusperustaan, hallintovaliokunnan on syytä tarkastella sääntelyn yhteensopivuutta EU-oikeuden kanssa erityisesti sellaisessa tilanteessa, jossa säännöksen soveltamisalalle kuuluva avustavan tehtävän ulkoistaja toimii EU-oikeuden mukaan palveluiden tarjoamisen vapauden piirissä.
Hallintovaliokunta toteaa, että laadun varmistamisen osalta 28 b §:ssä ehdotetaan hallituksen esityksessä, että viranomaisen olisi varmistettava automaattisen ratkaisumenettelyn laatu testaamalla ja että testaamisessa olisi käytettävä asianmukaisia testimenetelmiä ja testausaineistoja. Valiokunta kuitenkin ehdottaa yksityiskohtaisista perusteluista tarkemmin ilmenevin tavoin säännöstä perustuslakivaliokunnan lausunnon johdosta muutettavaksi niin, että viranomaisen velvollisuutena on varmistaa automaattisen ratkaisumenettelyn laatu. Valiokunnan ehdottama säännös on siten luonteeltaan yleisempi. Sen mukaan viranomaisen velvollisuus ei enää sisällä nimenomaista velvollisuutta toteuttaa varmistaminen testaamalla, vaan viranomainen voi käyttää harkintansa mukaan soveltuvia keinoja.
Virheiden korjaamisen osalta hallituksen esitykseen sisältyvässä 28 j §:ssä ehdotetaan, että 28 c §:ssä tarkoitettu teknisen virheen korjaamisessa avustava tehtävä voitaisiin antaa yksityisen hoidettavaksi. Selvityksen mukaan ehdotuksen tarkoituksena on ollut varmistaa, että viranomainen voi käyttää yksityistä apuna teknisten virheiden korjaamisessa täyttäessään velvoitetta ryhtyä virheen korjaaviin toimenpiteisiin. Teknisen virheen korjaaminen liittyy kuitenkin tietojärjestelmän kehittämiseen tai hankintaan, jotka eivät kuulu tiedonhallintalain 6 a luvun soveltamisalaan, joten säännösehdotukseen sisältyy epätarkkuus.
Hallituksen esityksen tarkoituksena on ollut, että 28 c §:ään sisältyvä viranomaisen velvollisuus ryhtyä korjaaviin toimenpiteisiin ei koske teknisen virheen varsinaista korjaamista, vaan velvollisuutta varmistua virheiden korjaamisesta. Jos virhe on luonteeltaan tekninen, säännös velvoittaa esimerkiksi viranomaisen pyytämään teknistä korjausta tietojärjestelmän toimittaneelta sopimuskumppaniltaan. Jos virhe on luonteeltaan sisällöllinen, säännös voi velvoittaa viranomaista esimerkiksi muuttamaan käsittelysääntöjä, päivittämään dokumentaatiota tai tekemään uuden käyttöönottopäätöksen. Valiokunta ehdottaa yksityiskohtaisissa perusteluissa 28 c §:n sääntelyä täsmennettäväksi.
Koska hallintovaliokunta ehdottaa edellä todetuista syistä sekä 28 b §:n että 28 c §:n sisältämiä velvollisuuksia muutettavaksi perustuslakivaliokunnan lausunnon mukaisesti yleisempään muotoon tavalla, joka rajaa velvollisuuden sisällön vain viranomaisen varmistamisvelvollisuuteen ja joka ei velvoita viranomaista tekemään itse teknistä testaamista tai teknistä virheen korjaamista, viranomaisen velvollisuuksiin ei enää sisälly tehtäviä, joita olisi tarpeen antaa yksityisen hoidettavaksi. Tästä syystä 28 j §:lle ei ole enää tarvetta ja se voidaan poistaa lakiehdotuksesta.
Hallintovaliokunnan mielestä voi olla tarkoituksenmukaista, että viranomainen hankkii laadun varmistamisen tueksi yksityiseltä tekniseen testaamiseen liittyviä asiantuntijapalveluita. Jos tällainen asiantuntijapalvelu tapahtuu viranomaisen toimeksiantoon perustuen ja viranomaisen valvonnassa ja viranomaiselle jää edelleen viimekätinen vastuu automaattisen ratkaisumenettelyn laadun varmistamisesta, testauspalvelun hankinnassa yksityiseltä ei valiokunnan näkemyksen mukaan ole kyse sellaisesta julkisesta hallintotehtävästä, jonka siirtämisestä yksityiselle olisi säädettävä lailla. Yksityisen testaajan testauksesta antama raportti rinnastuu asiantuntijalausuntoon, joka ei sido viranomaista, vaan viranomaisen on tehtävä lopullinen arvio automaattisen ratkaisumenettelyn laadusta itse (vrt. PeVL 2/2002 vp, s. 3—4, PeVL 4/2012 vp, s. 2/II). Vastaava arvio koskee sellaista teknistä virheen korjaamista, joka tapahtuu viranomaisen toimeksiannosta ja sen mukaisesti. Valiokunta toteaa lisäksi, että tiedonhallintalain 6 a luvussa ei säädetä tietojärjestelmän kehittämisestä, hankinnasta, testaamisesta tai järjestelmään sisältyvien teknisten virheiden korjaamisesta.
Hallintovaliokunta ehdottaa yksityiskohtaisissa perusteluissa 28 j §:n poistamista lakiehdotuksesta. Pykälä sisältää säännöksen tiettyjen tehtävien antamisesta yksityiselle sekä tähän liittyvän säännöksen rikosoikeudellisesta virkavastuusta. Poistettaessa pykälä poistuu samalla myös tarve tarkastella siihen liittyviä kysymyksiä rikosoikeudellisesta virkavastuusta ja sääntelyn yhteensopivuudesta EU-oikeuden kanssa.
Hallintovaliokunta tähdentää tässä yhteydessä vielä, että tiedonhallintalain 6 a luvun sääntelykokonaisuuden yhtenä tarkoituksena on sallia automaattinen päätöksenteko EU:n yleisessä tietosuoja-asetuksessa tarkoitetulla tavalla. Ehdotettu sääntely jättää toimijan omaan harkintaan, ottaako se automaattista päätöksentekoa käyttöön. EU-oikeuden näkökulmasta yleisen tietosuoja-asetuksen antama liikkumavara mahdollistaa jäsenvaltioissa erilaisen lainsäädännön, mitä tulee automaattiseen päätöksentekoon. Merkitystä on myös sillä, että ehdotettu sääntely on yleissääntelyä suhteessa toimialakohtaiseen erityissääntelyyn.
Digitaalisten palvelujen tarjoamisesta annettua lakia koskeva ehdotus
Digitaalisten palvelujen tarjoamisesta annettuun lakiin (306/2019) ehdotetaan lisättäväksi uusi 6 a § palveluautomaation käytöstä hallinnon asiakkaan neuvonnassa (3. lakiehdotus). Ehdotetun sääntelyn tarkoituksena on varmistaa hyvän hallinnon perusteiden sekä hallinnossa asioivan oikeusturvan toteutuminen asettamalla palveluautomaation (ns. "chatbot"-palvelun) käyttämiselle viranomaisen antamassa neuvonnassa eräitä vaatimuksia. Samalla pyritään selkeyttämään automatisoitujen neuvontapalveluiden sääntelytilaa ja madaltamaan viranomaisten kynnystä hyödyntää palveluautomaatiota neuvonnassa. Sääntely ei koske sellaista neuvontaa, jonka antaminen ei perustu laissa säädettyyn tehtävään tai velvollisuuteen. Sääntely koskee vain sellaista neuvontaan tai ohjaukseen liittyvää palveluautomaatiota, jossa ei tuoteta viranomaisen ratkaisua.
Ehdotetun säännöksen on lähtökohtaisesti tarkoitus olla teknologiariippumaton. Kuitenkin ehdotetun 6 a §:n 1 momentin 2 kohta, jonka mukaan viranomaisen on ennalta varmistettava neuvonnan tietosisällön asianmukaisuus, tarkoittaa esityksen perustelujen mukaan käytännössä sitä, että viranomaisen on luotava palveluautomaatioon tietosisällöt itse tai ainakin kontrolloitava ja valvottava sen tietosisältöjä. Siten sääntely ei mahdollista sellaista palveluautomaatiota, joka toimii ilman luonnollisen henkilön kontrollia ja valvontaa (HE, s. 133).
Valiokunta tähdentää ehdotetun 6 a §:n 1 momentin 4 kohdan säännöstä, jonka mukaan käyttäjälle on kerrottava siitä, että hän on vuorovaikutuksessa reaaliaikaisessa viestien vaihdossa palveluautomaation kanssa. Säännöksen tarkoituksena on varmistaa, että käyttäjä ymmärtää, että hän ei kommunikoi luonnollisen henkilön kanssa palvelutilanteessa eikä esimerkiksi keskustele neuvontatarpeestaan viranomaisessa neuvontatehtäviä hoitavan virkamiehen kanssa. Jos asioinnin aikana luonnollinen henkilö alkaa käydä keskustelua käyttäjän kanssa palveluautomaation sijaan esimerkiksi teknisen ongelman vuoksi tai koska palveluautomaatio ei pystykään antamaan sopivaa neuvontaa, on tästäkin kerrottava käyttäjälle.
Tiedonhallintalakiin ehdotettujen muutosten vuoksi valiokunta ehdottaa digitaalisten palvelujen tarjoamisesta annettuun lakiin ehdotetun 6 a §:n tarkistamista.
Siirtymäsäännökset
Hallintovaliokunnan asiantuntijakuulemisessa on katsottu, että esityksessä ehdotettu siirtymäaika on erityisesti tiedonhallintalain velvoitteisiin nähden liian lyhyt. Valiokunta ehdottaa tässä mietinnössään tiedonhallintalakiin ehdotetun sääntelyn merkittävää keventämistä. Tästä huolimatta siirtymäaikoja on valiokunnan mielestä kuitenkin tarpeen jonkin verran pidentää. Sekä tiedonhallintalakiin että hallintolakiin ehdotettuihin siirtymäsäännöksiin sisältyy lisäksi porrastuksia, joita saadun selvityksen mukaan on mahdollista lakiehdotuksiin ehdotettujen muutosten vuoksi vähentää. Valiokunta ehdottaa 1., 2. ja 3. lakiehdotukseen sisältyviä siirtymäaikoja pidennettäväksi 12 kuukaudesta 18 kuukauteen yksityiskohtaisista perusteluista tarkemmin ilmenevin tavoin.