Laki julkisen hallinnon tiedonhallinnasta

Eduskunnan päätöksen mukaisesti säädetään:

1 luku. Yleiset säännökset

1 § Lain tarkoitus

Tämän lain tarkoituksena on:

1) varmistaa viranomaisten tietoaineistojen yhdenmukainen ja laadukas hallinta sekä tietoturvallinen käsittely julkisuusperiaatteen toteuttamiseksi;

2) mahdollistaa viranomaisten tietoaineistojen turvallinen ja tehokas hyödyntäminen, jotta viranomainen voi hoitaa tehtävänsä ja tarjota palvelunsa hallinnon asiakkaille hyvää hallintoa noudattaen tuloksellisesti ja laadukkaasti;

3) edistää tietojärjestelmien ja tietovarantojen yhteentoimivuutta.

* 2 momentti on kumottu L:lla 15.7.2021/710. *

2 § Määritelmät

Tässä laissa tarkoitetaan:

1) viranomaisella viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 4 §:n 1 momentissa tarkoitettuja viranomaisia;

2) tiedonhallintayksiköllä viranomaista, jonka tehtävänä on järjestää tiedonhallinta tämän lain vaatimusten mukaisesti;

3) tietojärjestelmällä tietojenkäsittelylaitteista, ohjelmistoista ja muusta tietojenkäsittelystä koostuvaa kokonaisjärjestelyä;

4) asiakirjalla viranomaisten toiminnan julkisuudesta annetun lain 5 §:n 2 momentissa tarkoitettua viranomaisen asiakirjaa;

5) tietoaineistolla asiakirjoista ja muista vastaavista tiedoista muodostuvaa tiettyyn viranomaisen tehtävään tai palveluun liittyvää tietokokonaisuutta;

6) tietovarannolla viranomaisen tehtävien hoidossa tai muussa toiminnassa käytettäviä tietoaineistoja sisältävää kokonaisuutta, jota käsitellään tietojärjestelmien avulla tai manuaalisesti;

7) yhteisellä tietovarannolla useiden toimijoiden käyttöön suunniteltua ja ylläpidettyä tietovarantoa, jonka tiedot ovat luovutettavissa ja hyödynnettävissä eri tarkoituksiin;

8) tietoturvallisuustoimenpiteillä tietoaineistojen saatavuuden, eheyden ja luottamuksellisuuden varmistamista hallinnollisilla, toiminnallisilla ja teknisillä toimenpiteillä;

9) tiedonhallinnalla viranomaisen tehtävien hoidossa tai sen muussa toiminnassa syntyviin tarpeisiin perustuvia toimia ja tietoturvallisuustoimenpiteitä viranomaisen tietoaineistojen, niiden käsittelyvaiheiden ja tietoaineistoihin sisältyvien tietojen hallinnoimiseksi riippumatta tietoaineistojen tallentamistavasta ja muista käsittelytavoista;

10) toimintaprosessilla viranomaisen asiankäsittely- tai palveluprosessia;

11) teknisellä rajapinnalla sähköisen tietojenvaihdon mahdollistavaa tiedonsiirtoratkaisua kahden tai useamman tietojärjestelmän välillä;

12) katseluyhteydellä tietojärjestelmään toteutettua tietoaineistojen katselun mahdollistavaa rajattua näkymää;

13) tietovarantojen yhteentoimivuudella tietojen hyödyntämistä ja vaihtoa eri tietojärjestelmien välillä siten, että tietojen merkitys ja käytettävyys säilyvät;

14) koneluettavalla muodolla tiedostomuotoa, jonka rakenne mahdollistaa sen, että ohjelmistot pystyvät helposti yksilöimään, tunnistamaan ja poimimaan siitä tietoaineistoja, yksittäisiä tietoja sekä niiden rakenteita.

3 § Lain soveltamisala ja sen rajoitukset

Tätä lakia sovelletaan tiedonhallintaan ja tietojärjestelmien käyttöön, kun viranomaiset käsittelevät tietoaineistoja, jollei muualla laissa toisin säädetä. Mitä tässä laissa säädetään viranomaisesta, sovelletaan myös yliopistolaissa (558/2009) tarkoitettuihin yliopistoihin ja ammattikorkeakoululaissa (932/2014) tarkoitettuihin ammattikorkeakouluihin.

Asiankäsittelyssä ja palvelujen tuottamisessa noudatettavista menettelyistä, salassapidosta ja tiedonsaantioikeudesta viranomaisten asiakirjoihin sekä asiakirjojen arkistoinnista säädetään erikseen. Tiedonhallinnasta ja tietojärjestelmien käytöstä Suomen evankelis-luterilaisessa kirkossa säädetään kirkkolaissa (1054/1993).

Tämän lain 19, 20, 26 ja 27 §:ää ei sovelleta tuomioistuimien eikä valitusasioita käsittelemään perustettujen lautakuntien lainkäyttöön. Tämän lain 3 lukua ei sovelleta eduskunnan oikeusasiamiehen eikä valtioneuvoston oikeuskanslerin toimintaan, tuomioistuimien eikä valitusasioita käsittelemään perustettujen lautakuntien toimintaan, tasavallan presidentin kansliaan, eduskunnan virastoihin, Kansaneläkelaitokseen, Suomen Pankkiin, muihin itsenäisiin julkisoikeudellisiin laitoksiin, yliopistolaissa tarkoitettuihin yliopistoihin eikä ammattikorkeakoululaissa tarkoitettuihin ammattikorkeakouluihin. Tämän lain 3 lukua sovelletaan hyvinvointialueisiin, hyvinvointiyhtymiin, kuntiin ja kuntayhtymiin niiden hoitaessa laissa säädettyjä tehtäviä.

Tämän lain 4 lukua sekä 22–24 ja 25–27 §:ää sovelletaan yksityisiin henkilöihin tai yhteisöihin taikka muihin kuin viranomaisena toimiviin julkisoikeudellisiin yhteisöihin siltä osin kuin ne hoitavat julkista hallintotehtävää. Yksityisiin henkilöihin ja yhteisöihin sekä muihin kuin viranomaisena toimiviin julkisoikeudellisiin yhteisöihin sovelletaan lisäksi, mitä 4 ja 28 §:ssä säädetään, niiden käyttäessä julkista valtaa viranomaisten toiminnan julkisuudesta annetun lain 4 §:n 2 momentissa tarkoitetulla tavalla tai kun mainittu laki on säädetty erikseen sovellettavaksi niiden toiminnassa. Edelleen yksityisiin yhteisöihin ja muihin kuin viranomaisena toimiviin julkisoikeudellisiin yhteisöihin sovelletaan, mitä tämän lain 19 §:n 2 momentissa sekä 24 a ja 24 b §:ssä säädetään, niiden käyttäessä julkista valtaa viranomaisten toiminnan julkisuudesta annetun lain 4 §:n 2 momentissa tarkoitetulla tavalla.

Tätä lakia ei sovelleta Ahvenanmaan maakunnassa toimiviin maakunnan, valtion ja kunnallisiin viranomaisiin.

2 luku. Tiedonhallinnan järjestäminen

4 § Tiedonhallinnan järjestäminen tiedonhallintayksikössä

Tässä laissa tarkoitettuja tiedonhallintayksikkojä ovat:

1) valtion virastot ja laitokset;

2) tuomioistuimet ja valitusasioita käsittelemään perustetut lautakunnat;

3) eduskunnan virastot;

4) valtion liikelaitokset;

5) hyvinvointialueet;

6) hyvinvointiyhtymät;

7) kunnat;

8) kuntayhtymät;

9) itsenäiset julkisoikeudelliset laitokset;

10) yliopistolaissa tarkoitetut yliopistot sekä ammattikorkeakoululaissa tarkoitetut ammattikorkeakoulut.

Tiedonhallintayksikön johdon on huolehdittava siitä, että tiedonhallintayksikössä on:

1) määritelty tässä ja muussa laissa säädettyjen tiedonhallinnan toteuttamiseen liittyvien tehtävien vastuut;

2) ajantasaiset ohjeet tietoaineistojen käsittelystä, tietojärjestelmien käytöstä, tietojenkäsittelyoikeuksista, tiedonhallinnan vastuiden toteuttamisesta, tiedonsaantioikeuksien toteuttamisesta, tietoturvallisuustoimenpiteistä sekä poikkeusoloihin varautumisesta;

3) tarjolla koulutusta, jolla varmistetaan, että henkilöstöllä ja tiedonhallintayksikön lukuun toimivilla on riittävä tuntemus voimassa olevista tiedonhallintaa, tietojenkäsittelyä sekä asiakirjojen julkisuutta ja salassapitoa koskevista säädöksistä, määräyksistä ja tiedonhallintayksikön ohjeista;

4) asianmukaiset työvälineet tiedonhallintaa koskevien velvollisuuksien toteuttamiseksi;

5) järjestetty riittävä valvonta tiedonhallintaan liittyvien säädösten, määräysten ja ohjeiden noudattamisesta.

5 § Tiedonhallintamalli ja muutosvaikutuksen arviointi

Tiedonhallintayksikössä on ylläpidettävä sen toimintaympäristön tiedonhallintaa määrittelevää ja kuvaavaa tiedonhallintamallia. Tiedonhallintamallia ylläpidetään palvelujen, asiankäsittelyn ja tietoaineistojen hallinnan suunnittelemiseksi ja toteuttamiseksi, tiedonsaantia koskevien oikeuksien ja rajoitusten toteuttamiseksi, moninkertaisen tietojen keruun vähentämiseksi, tietojärjestelmien ja tietovarantojen yhteentoimivuuden toteuttamiseksi sekä tietoturvallisuuden ylläpitämiseksi.

Tiedonhallintamallin on sisällettävä vähintään tiedot:

1) toimintaprosesseja kuvaavista nimikkeistä, prosessista vastaavasta viranomaisesta, prosessin tarkoituksesta sekä prosessin sidoksista muihin prosesseihin;

2) tietovarantojen nimikkeistä, kuvaukset tietovarantojen sidoksista toimintaprosesseihin ja tietojärjestelmiin sekä luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679, jäljempänä tietosuoja-asetus, 30 artiklan 1 kohdassa tarkoitetun selosteen sisällöstä tai, jos selostetta ei tarvitse tietosuoja-asetuksen mukaan laatia, tietovarannosta vastaavasta viranomaisesta, tietovarannon käyttötarkoituksesta, keskeisistä tietoryhmistä tietoaineistoissa, tietojen luovutuskohteista ja tietojen säilytysajoista;

3) tietoaineiston arkistoon siirtämisestä, arkistointitavasta ja arkistopaikasta tai tuhoamisesta;

4) tietojärjestelmien nimikkeistä, tietojärjestelmästä vastaavasta viranomaisesta, tietojärjestelmän käyttötarkoituksesta, tietojärjestelmän liittymistä muihin tietojärjestelmiin ja liittymissä käytettävistä tiedonsiirtotavoista;

5) tietoturvallisuustoimenpiteistä.

Suunniteltaessa tiedonhallintamallin sisältöön vaikuttavia olennaisia hallinnollisia uudistuksia ja tietojärjestelmien käyttöönottoa tiedonhallintayksikössä on arvioitava näihin kohdistuvat muutokset ja niiden vaikutukset suhteessa tiedonhallinnan vastuisiin, 4 luvussa säädettyihin tietoturvallisuusvaatimuksiin ja -toimenpiteisiin, 5 luvussa säädettyihin tietoaineistojen muodostamista ja luovutustapaa koskeviin vaatimuksiin, 6 luvussa säädettyihin asianhallinnan ja palvelujen tiedonhallinnan vaatimuksiin sekä muualla laissa säädettyihin asiakirjojen julkisuuteen, salassapitoon, suojaan ja tiedonsaantioikeuksiin. Tiedonhallintayksikön on tiedonhallinnan muutosten arvioinnissaan otettava huomioon tietovarantojen yhteentoimivuus sekä niiden hyödynnettävyys tietoaineistoja muodostettaessa ja käytettäessä. Arvioinnin perusteella tiedonhallintayksikön on ryhdyttävä tarpeellisiin toimenpiteisiin tiedonhallintamallin muuttamiseksi ja muutosten toimeenpanemiseksi. Tietosuojaa koskevasta vaikutustenarvioinnista ja siihen liittyvästä ennakkokuulemisesta säädetään erikseen.

3 luku. Julkisen hallinnon tiedonhallinnan yleinen ohjaus

6 § Tietovarantojen yhteentoimivuuden yleinen ohjaus

Valtiovarainministeriön tehtävänä on julkisen hallinnon yhteisten tietovarantojen yhteentoimivuuden yleinen ohjaus. Tässä tarkoituksessa valtiovarainministeriö:

1) huolehtii julkisen hallinnon tiedonhallintakartan ylläpidosta;

2) ylläpitää julkisen hallinnon tiedonhallinnan kehittämisen yleisiä linjauksia yhteisten tietovarantojen ja tietojärjestelmien yhteentoimivuuden edistämiseksi.

Kunkin ministeriön on omalla toimialallaan huolehdittava julkisen hallinnon tiedonhallintakartan sisällön ajantasaisuudesta sekä ylläpidettävä yleisiä linjauksia yhteisten tietovarantojen ja tietojärjestelmien yhteentoimivuuden edistämiseksi. Valtioneuvoston asetuksella voidaan säätää tarkemmin julkisen hallinnon tiedonhallintakartan sisällöstä ja ylläpidon toteutuksesta.

7 § Julkisen hallinnon tiedonhallinnan sekä tieto- ja viestintäteknisten palvelujen tuottamisen yhteistyö

Valtiovarainministeriön on huolehdittava, että julkisen hallinnon tiedonhallintaa sekä tieto- ja viestintäteknisten palvelujen tuottamista koskevan yhteistyön koordinointia varten on järjestetty valtion virastoissa ja laitoksissa toimivien viranomaisten sekä hyvinvointialueiden, hyvinvointiyhtymien ja kuntien viranomaisten yhteistyötavat ja -menettelyt. Yhteistyön tarkoituksena on edistää tämän lain tarkoitusten toteuttamista sekä julkisen hallinnon toimintatapojen ja palvelujen tuotantotapojen kehittämistä tietovarantoja sekä tieto- ja viestintätekniikkaa hyödyntämällä. Yhteistyössä seurataan julkisen hallinnon tiedonhallinnan ja tieto- ja viestintäteknisten palvelujen kehittymistä, muutoksia ja vaikutuksia.

Valtioneuvosto voi asettaa 1 momentissa tarkoitettua yhteistyötä varten tarvittavia neuvottelukuntia tai muita yhteistyöelimiä.

8 § Tiedonhallinnan muutosten arviointi valtion virastoissa ja laitoksissa

Valtion virastojen ja laitosten on arvioitava tiedonhallintaan vaikuttavien muutosten taloudelliset vaikutukset tehdessään 5 §:n 3 momentin mukaista arviointia.

Toimialasta vastaavan ministeriön on laadittava 5 §:n 3 momentin mukainen arviointi, kun valmisteltavat säännökset vaikuttavat tietoaineistoihin ja tietojärjestelmiin. Lisäksi ministeriön on arvioitava suunniteltujen säännösten vaikutukset asiakirjojen julkisuuteen ja salassapitoon.

9 § Lausunto muutosten arvioinnista valtionhallinnossa

Valtion virastojen ja laitosten on toimitettava valtiovarainministeriölle 5 §:n 3 momentin ja 8 §:n 1 momentin perusteella tehty arviointi tietovarantojen ja tietojärjestelmien hyödyntämistä, yhteentoimivuutta ja tietoturvallisuutta koskevaa lausuntoa varten, kun arvioidulla muutoksella on merkittäviä taloudellisia tai toiminnallisia vaikutuksia tiedonhallintaan tai toimintaan taikka muutos koskee julkisen hallinnon yhteisten tietovarantojen rajapintojen tietorakenteiden olennaisia muutoksia. Valtiovarainministeriöllä on oikeus saada salassapitosäännösten estämättä välttämättömät tiedot valtion viranomaiselta lausunnon antamista varten.

Lausuntoa edellyttävistä tiedonhallinnan muutoksista, lausuntopyynnön sisällöstä ja lausuntoasiassa noudatettavasta menettelystä säädetään tarkemmin valtioneuvoston asetuksella.

10 § Julkisen hallinnon tiedonhallintalautakunta

Valtiovarainministeriön yhteydessä toimii julkisen hallinnon tiedonhallintalautakunta (tiedonhallintalautakunta), jonka tehtävänä on:

1) arvioida valtion virastojen ja laitosten, hyvinvointialueiden ja hyvinvointiyhtymien sekä kuntien ja kuntayhtymien 4 §:n 2 momentin, 5, 19, 22–24, 24 a, 24 b ja 28 §:n sekä 6 luvun säännösten toteuttamista ja noudattamista;

2) edistää tässä laissa säädettyjen tiedonhallinnan ja tietoturvallisuuden menettelytapojen ja tämän lain vaatimusten toteuttamista.

Valtioneuvosto nimittää tiedonhallintalautakunnan neljäksi vuodeksi kerrallaan. Tiedonhallintalautakunnassa on puheenjohtaja, varapuheenjohtaja sekä jäseniä, joilla on asiantuntemus julkisen hallinnon tietoturvallisuudesta, tietojärjestelmien ja tietovarantojen yhteentoimivuudesta, tilastoinnista tai tietoaineistojen tiedonhallinnasta. Tiedonhallintalautakunnan tarkemmasta kokoonpanosta, toiminnan järjestämisestä, päätöksentekomenettelystä ja jäsenten pätevyysvaatimuksista säädetään valtioneuvoston asetuksella.

Valtiovarainministeriö määrää virkamiehistään lautakunnan sivutoimiset sihteerit tehtäviinsä lautakunnan toimikaudeksi. Sihteerien tehtävistä säädetään tarkemmin valtioneuvoston asetuksella.

Lautakunnan jäseneen ja varajäseneen sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen hoitaessaan lautakunnalle säädettyjä tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974). Lautakunnan jäsenille ja varajäsenille maksetaan tehtävien hoitamisesta palkkio. Valtiovarainministeriö vahvistaa palkkioiden määrät.

Tiedonhallintalautakunta voi asettaa väliaikaisia jaostoja tiedonhallinnan menettelyjen kehittämiseksi. Jaostoihin voi kuulua tiedonhallintayksikköjen asiantuntijoita. Lautakunnan sihteerit toimivat jaostojen puheenjohtajina. Väestörekisterikeskuksen tehtävänä on tuottaa tiedonhallintalautakunnalle asiantuntijapalveluja tiedonhallinnan ja tietoturvallisuuden menettelyjen kehittämiseksi.

11 § Tiedonhallintalautakunnan arviointitehtävä

Tiedonhallintalautakunnan arviointitehtävän toteuttaminen perustuu tiedonhallintalautakunnan hyväksymään arviointisuunnitelmaan.

Tiedonhallintalautakunnalla on oikeus saada arviointitehtävän toteuttamiseksi arvioinnin kohteena olevilta viranomaisilta salassapitosäännösten estämättä maksutta arviointitehtävän hoitamiseksi välttämättömät selvitykset sekä tarpeelliset tiedot tiedonhallintamallista, tiedonhallinnan muutosten arvioinnista, 24 a ja 24 b §:ssä tarkoitettujen tietojen saatavuuden toteuttamisesta, 28 §:ssä tarkoitetusta kuvauksesta, käytettävistä asianhallinnan ja palvelujen tiedonhallinnan menettelyistä, asiakirjojen sähköiseen muotoon muuttamista koskevasta teknologiasta, katseluyhteyksien toteutuksesta ja teknisten rajapintojen kuvauksista, teknisten rajapintojen käytöstä ja hallinnoinnista sekä rajapintojen käytön menettelyistä lukuun ottamatta turvallisuusluokiteltavia asiakirjoja. Viranomaisen on toimitettava pyydetyt tiedot asetettuun määräaikaan mennessä tiedonhallintalautakunnalle.

Jos tiedonhallintalautakunta havaitsee 10 §:n 1 momentin 1 kohdassa tarkoitettujen arviointikohteena olevien säännösten noudattamisessa puutteita, voi lautakunta kiinnittää viranomaisen huomiota tiedonhallintaan liittyvien tämän lain mukaisten menettelyjen toteuttamiseen ja vaatimusten täyttämiseen.

Tiedonhallintalautakunnan on laadittava kertomus arvioinnin tuloksista joka toinen vuosi ja toimitettava se valtiovarainministeriölle.

4 luku. Tietoturvallisuus

12 § Luotettavuutta edellyttävien tehtävien tunnistaminen ja luotettavuudesta varmistuminen

Tiedonhallintayksikön on tunnistettava ne tehtävät, joiden suorittaminen edellyttää sen palveluksessa olevilta tai sen lukuun toimivilta henkilöiltä erityistä luotettavuutta. Henkilöturvallisuusselvityksen laatimisen edellytyksistä säädetään turvallisuusselvityslaissa (726/2014). Työnantajan oikeudesta selvittää työntekijän luotettavuuden arvioimiseksi häntä koskevat luottotiedot ja käsitellä huumausainetestejä koskevia tietoja säädetään yksityisyyden suojasta työelämässä annetussa laissa (759/2004).

13 § Tietoaineistojen ja tietojärjestelmien tietoturvallisuus

Tiedonhallintayksikön on seurattava toimintaympäristönsä tietoturvallisuuden tilaa ja varmistettava tietoaineistojen ja tietojärjestelmien tietoturvallisuus koko niiden elinkaaren ajan. Tiedonhallintayksikön on selvitettävä olennaiset tietojenkäsittelyyn kohdistuvat riskit ja mitoitettava tietoturvallisuustoimenpiteet riskiarvioinnin mukaisesti.

Viranomaisen tehtävien hoitamisen kannalta olennaisten tietojärjestelmien vikasietoisuus ja toiminnallinen käytettävyys on varmistettava riittävällä testauksella säännöllisesti.

Viranomaisen on suunniteltava tietojärjestelmät, tietovarantojen tietorakenteet ja niihin liittyvä tietojenkäsittely siten, että asiakirjojen julkisuus voidaan vaivatta toteuttaa.

Viranomaisen on varmistettava hankinnoissaan, että hankittavaan tietojärjestelmään on toteutettu asianmukaiset tietoturvallisuustoimenpiteet.

Viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista säädetään erikseen.

14 § Tietojen siirtäminen tietoverkossa