Esityksessä ehdotetaan muutettaviksi hallintolakia, julkisen hallinnon tiedonhallinnasta annettua lakia, digitaalisten palvelujen tarjoamisesta annettua lakia, henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettua lakia ja maakaarta.

Esityksen tarkoituksena on mahdollistaa automaattinen päätöksenteko julkisessa hallinnossa. Esityksessä ehdotetaan säädettäväksi EU:n yleisen tietosuoja-asetuksen edellyttämä kansallinen oikeusperusta automatisoitujen yksittäispäätösten tekemiseksi. Vastaavasti esityksessä ehdotetaan säädettäväksi poikkeus rikosasioiden tietosuojadirektiiviin perustuvan rikosasioiden tietosuojalain automatisoidun yksittäispäätöksen kiellosta hallintoasiassa.

Hallintolakiin lisättäisiin säännökset automaattisen ratkaisemisen edellytyksistä, oikeussuojaedellytyksestä sekä viranomaisen velvollisuudesta ilmoittaa asianosaiselle asian ratkaisemisesta automaattisesti. Julkisen hallinnon tiedonhallinnasta annettuun lakiin lisättäisiin automaattisen päätöksenteon virkavastuun kohdentumista ja hyvän hallinnon periaatteiden toteutumista edistävät säännökset muun muassa automatisoidun toimintaprosessin kehittämisen dokumentoinnista, laadunvarmistamisesta, laadunvalvonnasta ja käyttöönotosta sekä velvollisuudesta tiedottaa automaattisista toimintaprosesseista. Rikosasioiden tietosuojalakiin lisättäisiin säännös, joka mahdollistaa hallintoasian automaattisen ratkaisemisen kyseisen lain soveltamisalalla. Digitaalisten palvelujen tarjoamisesta annettuun lakiin lisättäisiin säännös edellytyksistä, joilla digitaalisessa palvelussa voidaan käyttää käyttäjän ja automatisoidun toiminnon reaaliaikaiseen viestien vaihtoon liittyvää neuvontaa ja opastusta. Maakaarta ehdotetaan muutettavaksi siten, että automaattinen päätöksenteko Maanmittauslaitoksessa voi jatkua.

Pääministeri Sanna Marinin hallituksen hallitusohjelman mukaisesti esitys edistää hallinnon ja yhteiskunnan digitalisaatiota. Esityksellä edistetään myös hallitusohjelman tavoitetta digitalisaation hyödyntämisestä sosiaaliturvaetuuksien hakemisessa, käsittelyssä ja päätöksissä.

Esitys liittyy valtion vuoden 2023 talousarvioesitykseen ja on tarkoitettu käsiteltäväksi sen yhteydessä.

Ehdotetut lait on tarkoitettu tulemaan voimaan 1.1.2023.

1.1 Tausta

Julkisessa hallinnossa on käytetty vuosikymmeniä tietojärjestelmiä hallintoasioiden käsittelyssä sekä muussa julkisten palvelujen tuottamisessa. Viime vuosina muun muassa tietosuojanäkökulmien korostuminen on johtanut erityisesti automaattisen päätöksenteon sääntelytarpeen tunnistamiseen. Tässä yhteydessä ovat nousseet esille myös automaattisesta päätöksenteosta johtuvien valtiosääntöisten kysymysten ratkaisemisen tarve, minkä vuoksi asian säänteleminen on nähty aiheelliseksi yleislainsäädännössä. Nykyisin tietojärjestelmien kehittämiseen ja käyttöön vaikuttava sääntely on hajanaista.

Lainsäädännössä ei ole säädetty hallintopäätösten tekemisestä automaattisesti. Siltä osin kuin automaattiset päätökset kohdistuvat luonnollisiin henkilöihin, niitä koskee EU:n tietosuojalainsäädäntö. Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (jäljempänä yleinen tietosuoja-asetus) tuli voimaan 24.5.2016 ja sen soveltaminen alkoi 25.5.2018. Asetus kieltää pelkästään automaattiseen käsittelyyn perustuvien merkittäviä oikeusvaikutuksia sisältävien päätösten antamisen. Yleisen tietosuoja-asetuksen kansallisen liikkumavaran puitteissa on mahdollista kansallisesti säätää automatisoitujen yksittäispäätösten tekemisestä. Tällöin tulee kuitenkin huolehtia siitä, että sääntely on kokonaisuudessaan yhteensopivaa yleisen tietosuoja-asetuksen kanssa ja että siinä vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Yleisen tietosuoja-asetuksen lisäksi Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (jäljempänä rikosasioiden tietosuojadirektiivi) annettiin 6.5.2016, ja pantiin Suomessa täytäntöön henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetulla lailla (1054/2018, jäljempänä rikosasioiden tietosuojalaki). Rikosasioiden tietosuojalaki kieltää myös automatisoidut yksittäispäätökset, jos päätöksellä on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai se on muutoin hänen kannaltaan merkittävä.

Pääministeri Sanna Marinin hallituksen ohjelmaan sisältyy pyrkimys edistää hallinnon ja koko yhteiskunnan digitalisaatiota. Hallitusohjelmassa asetetaan tavoitteeksi kehittää säädösympäristöä ja hallintoa siten, että ne mahdollistavat digitalisaation ja kestävän kehityksen sekä laajan kokeilukulttuurin. Hallitusohjelmassa mainitaan erikseen lainmuutokset, joilla edistetään digitalisaation ja tekoälyn hyödyntämistä sosiaaliturvaetuuksien hakemisessa, käsittelyssä ja päätöksissä. Hallitusohjelmassa todetaan myös, että henkilötietojen suojaa kehitetään määrätietoisesti.

Eduskunnan käsiteltävänä on ollut neljä lakiehdotusta, joihin on sisältynyt automaattiset yksittäispäätökset mahdollistava säännösehdotus (HE 224/2018 vp, HE 298/2018 vp, HE 52/2018 vp ja HE 18/2019 vp). Perustuslakivaliokunta ei pitänyt sääntelytarkkuudeltaan riittävinä ehdotuksiin sisältyneitä rajauksia siitä, millaisia päätöksiä voitaisiin tehdä automaattisesti (PeVL 62/2018 vp, PeVL 70/2018 vp, PeVL 78/2018 vp ja PeVL 7/2019 vp).

Perustuslakivaliokunta arvioi lausunnoissaan PeVL 62/2018 vp ja PeVL 7/2019 vp ehdotuksia laiksi henkilötietojen käsittelystä maahanmuuttohallinnossa. Valiokunta piti muun muassa hyvän hallinnon ja virkavastuun näkökulmasta ongelmallisena ehdotuksiin sisältyviä säännöksiä, jotka olisivat mahdollistaneet eräiden Maahanmuuttoviraston hallintopäätösten tekemisen automatisoidussa menettelyssä. Valiokunta arvioi automaattiset päätökset mahdollistavia säännösehdotuksia myös lausunnoissaan PeVL 70/2018 vp (potilasvakuutuslaki) ja PeVL 78/2018 vp (sosiaaliturva- ja vakuutuslainsäädännön muuttaminen EU:n yleisen tietosuoja-asetuksen johdosta). Molemmissa asioissa valiokunta piti säännösten täsmentämistä säätämisjärjestyskysymyksenä.

Lausunnossaan PeVL 7/2019 vp valiokunta totesi kiinnittäneensä lausunnossa PeVL 62/2018 vp valtioneuvoston huomiota siihen, että automatisoituun päätöksentekoon vaikuttaa sisältyvän useita hallinnon yleislaeilla nimenomaisesti säätelemättömiä kysymyksiä (ks. myös PeVL 70/2018 vp ja PeVL 78/2018 vp). Valiokunta katsoi, että asiasta ja oikeusministeriön valmisteluvastuulle kuuluvan hallinnon yleislainsäädännön alan sääntelytarpeesta tuli tehdä selvitys. Selvityksessä oli tarkasteltava, millä tavoin automatisoidun hallintomenettelyn ja päätöksenteon sääntely täyttää hallinnon lainalaisuuden, julkisuusperiaatteen ja hyvän hallinnon perusteisiin kuuluvien hallinnon oikeusperiaatteiden asettamia vaatimuksia sekä turvaa oikeusturvan ja virkamiesten virkavastuun asianmukaisen toteutumisen. Perustuslakivaliokunta korosti selvitystarpeen merkitystä ja kiirehti selvitystyön viivytyksetöntä käynnistämistä ja asianmukaista resursointia. Valiokunnan mielestä käsillä olleessa tilanteessa oli välttämätöntä pidättäytyä uusista hallinnonalakohtaisista automatisoitua päätöksentekoa koskevista sääntelyehdotuksista.

Ylimmät laillisuusvalvojat ovat valvontakäytännössään kiinnittäneet huomiota automaattista päätöksentekoa koskeviin kysymyksiin. Apulaisoikeusasiamies arvioi 20.11.2019 antamassaan päätöksessä (EOAK/3379/2018) Verohallinnon automatisoitua päätöksentekomenettelyä. Apulaisoikeusasiamies totesi olevansa samaa mieltä perustuslakivaliokunnan kanssa siitä, että automatisoidun päätöksenteon sääntelytarpeet olisi selvitettävä. Apulaisoikeusasiamies piti valitettavana, että Verohallinnossa automatisoitu hallinto- ja päätöksentekomenettely on edennyt laajasti ilman asianmukaista selvitystä ja arviota lailla säätämisen tarpeesta, jossa olisi otettu huomioon perustuslakivaliokunnan lausunnossa todetut avoimet ja selvitettävät seikat. Apulaisoikeusasiamies piti Verohallinnon automatisoitua verotus- ja päätöksentekomenettelyä lainvastaisena, koska se ei perustu asianmukaiseen ja täsmälliseen lainsääntelyyn, jossa olisi otettu huomioon hyvän hallinnon ja oikeusturvan sekä virkavastuun asianmukainen toteutuminen. Apulaisoikeusasiamies totesi, että automatisoidun päätöksenteon sääntelytarpeet tulee selvittää viipymättä. Lisäksi apulaisoikeusasiamiehen käsityksen mukaan automatisoidulla verotuksen päätöksenteolla on verovelvollisiin kohdistuvia yleisen tietosuoja-asetuksen tarkoittamia oikeusvaikutuksia tai muita vastaavia merkittäviä vaikutuksia. Siten myös tietosuoja-asetuksen vaatimukset tulee ottaa huomioon automatisoidun päätöksenteon sääntelytarpeita selvitettäessä.

Oikeuskansleri otti omana aloitteenaan tutkittavaksi sosiaaliturvaa koskevan päätöksenteon automatisoinnin Kansaneläkelaitoksessa ja antoi asiassa ratkaisunsa 20.4.2021 (OKV/131/70/2020). Oikeuskansleri totesi ratkaisussaan Kansaneläkelaitokselta saamiensa tietojen perusteella, että Kansaneläkelaitos tekee päätöksiä osin perustuen pelkästään henkilötietojen automaattiseen käsittelyyn ja näissä päätöksissä on ainakin osin kysymys yleisen tietosuoja-asetuksen 22 artiklassa tarkoitetuista automaattisista päätöksistä. Kansaneläkelaitoksella ei kuitenkaan ole tälle päätöksenteolle tarvittavaa perustuslain (731/1999) 80 §:n ja yleisen tietosuoja-asetuksen 22 artiklan 2 kohdan mukaista oikeusperustaa. Oikeuskanslerin mukaan on ongelmallista hallinnon yleisten kehitysnäkymien ja digitalisaation kehittämisen kannalta, että Kansaneläkelaitoksella ei ole automaattiselle päätöksenteolle oikeusperustaa. Oikeuskanslerin mukaan oikeusministeriössä valmisteltavana oleva automaattista päätöksentekoa koskeva yleislainsäädäntö tulee ratkaisemaan automaattiseen päätöksentekoon liittyviä ongelmia, mutta ei välttämättä Kansaneläkelaitoksen kohdalla yksin riitä ratkaisemaan automaation hyödyntämiseen liittyviä kysymyksiä.

Oikeuskansleri on antanut ratkaisun myös työvoimahallinnon automaattisista päätöksistä (OKV/138/10/2020). Ratkaisussa oli kyse työ- ja elinkeinotoimiston automaattisesti antamasta työvoimapoliittisesta lausunnosta, vaikka lausunnon saaja ei ollut työtön työnhakija eikä hän ollut hakenut tai aikonut hakea työttömyysetuutta. Oikeuskanslerin käsityksen mukaan työvoimapoliittista lausuntoa ei olisi tullut antaa, koska työttömyysturvalaissa säädetyt perusteet lausunnon antamiselle eivät täyttyneet kantelijan kohdalla. Työvoimapoliittisen lausunnon antaminen kantelijalle ei ollut asianmukaista palvelua, vaikka lausunnon antaminen ei käytettävissä olevien tietojen perusteella aiheuttanut kantelijalle hänen oikeuksiinsa tai velvollisuuksiinsa kohdistuvia kielteisiä seuraamuksia. Oikeuskansleri kehotti KEHA-keskusta arvioimaan TE-toimistojen käyttämän asiakastietojärjestelmän asianmukaisuutta siltä osin kuin on kysymys automaattisesti annettavista työvoimapoliittisista lausunnoista.

Euroopan komissio on huhtikuussa 2021 antanut ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi tekoälyä koskevista yhdenmukaistetuista säännöistä (tekoälysäädös) (COM/2021/206 final). Ehdotetun asetuksen lopullinen sisältö ja soveltamisala, muun muassa sen soveltuvuus julkiseen hallintoon, ei ole vielä selvillä. Asetuksen vaikutusta julkisen hallinnon automatisaatioon on arvioitava, kun lopullinen asetus on hyväksytty.

1.2 Valmistelu

1.2.1 Esiselvitys

Oikeusministeriö julkaisi 14.2.2020 esiselvityksen (saatavilla hankkeen sivuilta osoitteesta https://oikeusministerio.fi/hankkeet-ja-saadosvalmistelu tunnuksella OM021:00/2020) automaattiseen päätöksentekoon liittyvistä yleislainsäädännön sääntelytarpeista. Esiselvityksen tarkoituksena oli muodostaa yleiskäsitys automaattisten päätöksentekojärjestelmien toimintaperiaatteista sekä täsmentää automaattiseen päätöksentekoon liittyviä oikeudellisia ongelmia erityisesti perustuslain, hallinnon yleislakien, virkavastuun ja tietosuojalainsäädännön kannalta.

1.2.2 Arviomuistio

Oikeusministeriö pyysi 20.2.2020 päivätyllä tietopyynnöllä ministeriöiltä, virastoilta ja muilta viranomaisilta taustatietoa arviomuistion laatimista varten. Tietopyynnöllä selvitettiin, millaisissa asiaryhmissä ja millaisin edellytyksin automaattista päätöksentekoa tällä hetkellä käytetään ja minkälaisten säännösten perusteella. Lisäksi kartoitettiin näkemyksiä automaattisen päätöksenteon tulevaisuuden käyttökohteista eri hallinnonaloilla. Tietopyynnöllä kerättiin esimerkkejä myös virkavastuun ja hyvän hallinnon periaatteiden toteuttamistavoista sekä viranomaisten näkemyksiä siitä, miten valmisteltavaa yleislainsäädäntöä ja sen alaa tulisi rajata. Vastausaika päättyi 13.3.2020. Oikeusministeriö sai yhteensä 28 vastausta tietopyyntöön ja kolme ilmoitusta siitä, ettei kyseisellä viranomaisella ole tietopyyntöön vastattavaa.

Oikeusministeriö julkaisi 6.7.2020 arviomuistion (Oikeusministeriön julkaisuja, Selvityksiä ja ohjeita 2020:14) hallinnon automaattiseen päätöksentekoon liittyvistä yleislainsäädännön sääntelytarpeista. Muistiossa arvioidaan, kuinka hallinnon lainalaisuus, julkisuusperiaate ja hyvän hallinnon perusteisiin kuuluvat hallinnon oikeusperiaatteet toteutuvat tehtäessä automaattisia hallintopäätöksiä sekä kuinka oikeusturvan ja virkamiesten virkavastuun asianmukainen toteutuminen varmistetaan. Lisäksi automaattista päätöksentekoa arvioidaan Euroopan unionin yleisen tietosuoja-asetuksen asettamien vaatimusten kannalta. Muistiossa esitetään arvio tarvittavasta sääntelystä, jolla edellä kuvattujen periaatteiden ja säännösten toteutuminen turvataan.

1.2.3 Selvitykset

Valtioneuvoston selvitys- ja tutkimustoiminnan puitteissa on toteutettu joitakin automaattiseen päätöksentekoon liittyviä hankkeita. Tekoälyohjelmakokonaisuuteen kuuluvasta hankkeesta julkaistiin 25.6.2019 Algoritmi päätöksentekijänä? Tekoälyn hyödyntämisen mahdollisuudet ja haasteet kansallisessa sääntely-ympäristössä –selvitys. Hankkeen tavoitteena oli selvittää ohjelmistorobotiikan ja tekoälyn hyödyntämisen mahdollisuudet viranomaisen päätöksentekoprosesseissa lainsäädännön näkökulmasta, jotta robotiikkaa ja tekoälyä voidaan ottaa käyttöön nykysäädöksin itsenäisesti tai osana päätösprosessia. Lisäksi hankkeen tavoitteena oli selvittää tarpeellisia säädösmuutoksia ja analysoida kansallista lainsäädäntöä suhteessa kansainväliseen kehitykseen.

Virkavastuun kehittämistarpeita arvioiva Virkavastuu julkishallinnon muuttuvassa toimintaympäristössä –hanke on valmistunut ja julkaistu 15.2.2022 (Valtioneuvoston selvitys- ja tutkimustoiminnan julkaisusarja 2022:14). Hankkeessa on arvioitu virkavastuun haasteita erityisesti yksityistämisen ja ulkoistamisen, automaation ja kansainvälistymisen osalta. Selvityksen keskeisimpänä huomiona esitetään, että moderni julkishallinto näyttäisi edellyttävän täsmällisemmin säädettyjä toimintavelvoitteita. Lisäksi käynnissä on hanke Tekoälyn vinoumien välttäminen: suomalainen arviointikehikko syrjimättömille tekoälysovelluksille. Hankkeen tavoitteena on kartoittaa, millaisia riskejä perusoikeuksille ja syrjinnälle Suomessa käytössä ja suunnitteilla olevat koneoppimiseen perustuvat tekoälysovellukset sisältävät. Lisäksi tavoitteena on laatia arviointikehikko tekoälysovellusten syrjimättömyyden varmistamiseksi eri käyttökonteksteissa.

1.2.4 Lausunnot

Arviomuistiosta järjestettiin lausuntokierros 6.7.–4.9.2020, jolla annettiin 65 lausuntoa. Lausunnoista tehtiin oikeusministeriössä lausuntotiivistelmä (Oikeusministeriön julkaisuja, Mietintöjä ja lausuntoja 2020:21), joka julkaistiin 5.2.2021.

1.2.5 Oikeusministeriön asettama työryhmä

Oikeusministeriö asetti 18.1.2021 työryhmän, jonka toimeksiantona oli valmistella säännökset automaation käyttämisestä hallintoasian käsittelyssä, erityisesti hallintopäätösten teossa ja niiden valmistelussa. Sääntelyn tuli sisältää tarpeelliset säännökset automaation sallitusta käyttöalasta, tietojärjestelmiin kohdistuvista vaatimuksista, tietojärjestelmien hyväksynnästä ja valvonnasta, läpinäkyvyyden ja asiakirjajulkisuuden toteutumisesta sekä muut hyvän hallinnon, oikeusturvan ja muiden perusoikeuksien varmistamiseksi tarpeelliset säännökset. Työryhmän tuli laatia ehdotuksensa hallituksen esityksen muotoon. Työryhmän työ valmistui 21.12.2021.

Työryhmän mietintö on julkaistu 21.2.2022 (Julkisen hallinnon automaattista päätöksentekoa koskeva lainsäädäntö: Työryhmämietintö, Oikeusministeriön julkaisuja, Mietintöjä ja lausuntoja 2022:7).

1.2.6 Valtiovarainministeriön asettama työryhmä

Valtiovarainministeriö asetti 30.3.2021 kaudelle 1.4.2021–30.9.2022 työryhmän selvittämään julkisen hallinnon tietojärjestelmiä koskevan sääntelyn kehittämistarpeita sekä tekemään ehdotukset tarvittavasta lainsäädännön uudistamisesta. Työryhmän asiakirjat ovat saatavilla hankkeen sivuilta osoitteesta https://vm.fi/hanke?tunnus=VM059:00/2021 . Työryhmän tavoitteena on tarkistaa julkisen hallinnon tietojärjestelmien sääntelyä, jolla varmistetaan hyvän hallinnon ja oikeusturvan sekä virkavastuun toteutuminen, erityisesti automaattisessa päätöksenteossa. Valtiovarainministeriön asettama työryhmä on tehnyt yhteistyötä oikeusministeriön asettaman työryhmän kanssa.

Valtiovarainministeriön työryhmä on laatinut lainsäädännön nykytilasta ja havaituista sääntelytarpeista arviomuistion (Valtiovarainministeriön julkaisuja 2021:54), joka on julkaistu 12.7.2021. Arviomuistiosta on järjestetty lausuntokierros 12.7.–6.9.2021 ja julkinen kuulemistilaisuus 23.8.2021. Arviomuistio, lausunnot ja lausuntoyhteenveto ovat saatavilla työryhmän hankesivulla. Arviomuistiossa käsiteltiin myös tietoturvallisuuden arviointia ja arviointilaitoksia koskevaa lainsäädäntöä, mutta tämän sääntelyn valmistelua ei valtiovarainministeriössä jatkettu automaattista päätöksentekoa koskevan sääntelyn valmistelun yhteydessä, koska sen ei katsottu olevan kiinteässä yhteydessä automaattiseen päätöksentekoon.

1.2.7 Kuulemiset työryhmätyön aikana

Oikeusministeriön asettama työryhmä on toimikautensa aikana järjestänyt automaattisen päätöksenteon käyttöalaa ja läpinäkyvyyttä koskevista säännösluonnoksista pienryhmäkuulemistilaisuuksia ja kirjallisen lausuntokierroksen. Pienryhmäkuulemiset järjestettiin 7.–10.6.2021, ja niihin kutsuttiin automaattisen päätöksenteon kannalta keskeisiä ministeriöitä, viranomaisia, kuntia ja julkista hallintotehtävää hoitavia yksityisiä, jotka eivät ole työryhmässä suoraan edustettuina. Lausuntokierroksen lausuntoaika oli 9.6.–20.8.2021. Lausuntoja annettiin 70 kappaletta.

Valtiovarainministeriön työryhmä on toimikautensa aikana järjestänyt useita pienryhmäkuulemisia ja verkkokyselyitä selvittääkseen ehdotusten taloudellisia vaikutuksia niihin toimijoihin, jotka ovat jo ottaneet automattista päätöksentekoa käyttöön.

1.2.8 Esityksen jatkovalmistelu

Esitys muodostuu kiinteästi toisiinsa kytkettyjen lakiehdotusten kokonaisuudesta, jossa ehdotetaan automaattisen päätöksenteon mahdollistavia säännöksiä hallintolakiin (434/2003), julkisen hallinnon tiedonhallinnasta annettuun lakiin (906/2019, jäljempänä tiedonhallintalaki) sekä rikosasioiden tietosuojalakiin. Valtiovarainministeriön työryhmä on pyytänyt oikeusministeriötä sisällyttämään työryhmän ehdotukset oikeusministeriön työryhmän valmistelemaan hallituksen esitykseen ja pyytämään niistä lausuntoa osana sitä.

Koska oikeusministeriön työryhmän toimikauden päättyessä työryhmällä ei ole ollut käytössä valtiovarainministeriön työryhmän ehdotuksia tiedonhallintalakiin ehdotettavista automaattista päätöksentekoa koskevista säännöksistä, on näiden kahden työryhmän ehdotusten yhteensovittamista ollut välttämätöntä tehdä virkavalmisteluna oikeusministeriössä ja valtiovarainministeriössä ennen lausuntokierrosta. Työryhmän hallintolakiin ehdotettavien muutosten osalta on pyritty tekemään ainoastaan välttämättömät yhteensovittamisen edellyttämät muutokset sekä eräitä säädösteknisempiä muutoksia.

Rikosasioiden tietosuojalain 13 §:n 2 momenttiin ehdotetaan lisättäväksi säännös automaation käytöstä kyseisen lain soveltamisalalla olevissa hallintoasioissa. Hallintolain ja rikosasioiden tietosuojalain 13 §:n toissijaisuutta osoittavien säännösten vuoksi nimenomainen säännös oli tarpeen lisätä lainsäädännön selkeyden vuoksi.

Oikeusministeriön työryhmä jätti pohjaehdotuksen automaattista asian ratkaisemista koskeviksi muutoksiksi oikeusministeriölle. Ehdotuksia ei ollut aikatauluun liittyvistä syistä yhteensovitettu valtiovarainministeriön työryhmässä valmisteilla olleiden ehdotusten kanssa. Tästä syystä oikeusministeriön työryhmän pohjaehdotusta on jouduttu välttämättömiltä osin muuttamaan virkavalmistelussa.

Oikeusministeriön työryhmän pohjaehdotuksessa ehdotettua automaattisen ratkaisemisen määritelmää oli yhteensovittamisen yhteydessä välttämätöntä täsmentää, koska määritelmällä on keskeinen merkitys tiedonhallintalakiin ehdotettavien säännösten soveltamiseen. Soveltamisalaa oli välttämätöntä täsmentää, jotta sääntely ei jäisi tulkinnanvaraiseksi, milloin ja mihin toimintaprosesseihin tiedonhallintalakiin ehdotettavia uusia säännöksiä sovelletaan. Valtiovarainministeriön työryhmän ehdottamat muutokset tiedonhallintalakiin tulisivat aiheuttamaan muutostarpeita niihin viranomaisten tietojärjestelmiin, joilla automaattisia ratkaisuja tuotetaan. Tästä syystä automaattisen ratkaisemisen määritelmää oli rajattava tarkemmin, jotta ehdotuksen vaikutukset ja ennen kaikkea kustannukset olisi mahdollista kartoittaa riittävän yksityiskohtaisella tasolla olemassa oleviin toimintaprosesseihin, jotka kuuluisivat ehdotettavan sääntelyn soveltamisalaan. Jotta automaattista päätöksentekoa koskevasta yleissääntelystä tulisi koherentti kokonaisuus, sisällytettiin automaattisen ratkaisun määritelmään myös tiedonhallintalakia koskevan ehdotuksen systematiikkaa, jossa automaattinen ratkaisu muodostuu ”oikeudellisen päättelyn” sijaan ”käsittelysäännöillä”. Oikeusministeriön työryhmän ehdotusta lisäksi selkeytettiin siten, että automaattisen ratkaisun soveltamisala kattaa sekä luonnollisia henkilöitä että oikeushenkilöitä koskevat asiat.

Valtiovarainministeriön työryhmä ehdotti myös, että oikeusministeriön työryhmän pohjaehdotus automatisointia koskevasta kuvauksesta siirrettäisiin tiedonhallintalain uuteen lukuun laajemmaksi ja yksityiskohtaisemmaksi tiedottamista koskevaksi säännökseksi, jotta automaattisen ratkaisemisen läpinäkyvyys voitaisiin tehokkaasti varmistaa ja että sääntely olisi yleispiirteisen sääntelyehdotuksen sijaan täsmällisempää. Valtiovarainministeriön työryhmän ehdotus sisältää useita yksityiskohtaisia dokumentointiin liittyviä velvollisuuksia, joiden myötä automaattisia päätöksiä tekevän viranomaisen on tuotettava asiakirjoja, jotka sisältävät automaattisen päätöksenteon läpinäkyvyyden ja ymmärrettävyyden kannalta keskeisiä tietoja. Koska viranomaisen tiedottamista koskeva velvollisuus olisi sidoksissa tiedonhallintalain 6 a luvussa tarkoitettuun dokumentaatioon ja käyttöönottopäätökseen, ehdotti valtiovarainministeriön työryhmä tiedottamista koskevan sääntelyn sijoittamista ja sitomista tiedonhallintalain sääntelykokonaisuuteen.

Tiedon virheettömyyteen ja ajantasaisuuteen liittyviin ongelmiin hallintoasioiden käsittelyssä on kiinnitetty huomiota niin oikeuskäytännössä kuin laillisuusvalvojien kanteluratkaisuissakin. Tästä syystä työryhmä ehdotti, että jos automaattisesti ratkaistussa asiassa ei anneta kirjallista hallintopäätöstä, olisi asianosaiselle muulla tavoin annettava päätöksen perusteena olleet tiedot. Koska kyse on vastaavasta tilanteesta kuin hallintolain 53 g §:n 2 momentissa kuvattu, valtiovarainministeriön työryhmä katsoi tarkoituksenmukaiseksi, että säännös sijoitettaisiin kyseiseen hallintolakiin ehdotettavaan säännökseen.

Oikeusministeriön työryhmän pohjaehdotukseen tehtiin myös muutokset, jotka koskevat automaattisesti tehdyn hallintopäätöksen sisältöä koskevia vaatimuksia. Ehdotuksen sanamuotoja selkeytettiin sekä hallintopäätökseen ehdotetaan sisällytettäväksi tieto käyttöönottopäätöksestä.

Oikeusministeriön ja valtiovarainministeriön työryhmien työn perusteella oikeusministeriössä laaditusta hallituksen esityksestä on järjestetty lausuntokierros 25.3.–6.5.2022. Ruotsinkielisen esitysluonnoksen lausuntoaikaa jatkettiin 2.8.2022 asti.

Hallituksen esityksen valmisteluasiakirjat ovat saatavissa ministeriöiden hankesivuilta (https://oikeusministerio.fi/hankkeet-ja-saadosvalmistelu, tunnus OM021:00/2020 ja https://vm.fi/hankkeet, tunnus VM059:00/2021).

Suomenkielinen esitys on tarkastettu oikeusministeriön laintarkastuksessa.

Esitys on käsitelty kuntatalouden ja -hallinnon neuvottelukunnassa 16.8.2022. Esitys on ollut oikeuskanslerin ennakkotarkastuksessa.

2.1 Automaattista päätöksentekoa koskeva sääntely

Hallinnon yleislakeihin ei sisälly hallinto-oikeudellista eikä tiedonhallintaan liittyvää sääntelyä automaattisesta päätöksenteosta hallintotoiminnassa.

Siltä osin kuin automaattisten päätösten kohteena on luonnollinen henkilö, soveltuvaa sääntelyä sisältyy EU:n tietosuojasääntelyyn. Vuoden 2018 loppuun asti voimassa olleen henkilötietolain (523/1999) 31 §:ssä säädettiin automatisoiduista päätöksistä. Pykälän 1 kohdan mukaan sellaisen rekisteröidyn tiettyjen ominaisuuksien arviointiin tarkoitetun päätöksen tekeminen, joka tapahtui ainoastaan automatisoidun tietojenkäsittelyn perusteella ja josta aiheutui rekisteröidylle oikeudellisia vaikutuksia tai joka muuten vaikutti häneen merkittävällä tavalla, oli sallittu vain, jos siitä oli laissa säädetty. EU:n yleistä tietosuoja-asetusta, joka sisältää lähtökohtaisen automatisoitujen yksittäispäätösten kiellon, alettiin soveltaa 25.5.2018. Vastaava kielto on myös 1.1.2019 voimaan tulleessa rikosasioiden tietosuojalaissa. Lainsäädännössä ei ole yleissäännöksiä, jotka sallisivat tietosuojasääntelyssä tarkoitettujen automatisoitujen yksittäispäätösten tekemisen. Lainsäädäntöön ei sisälly säännöksiä myöskään muiden kuin luonnollisia henkilöitä koskevien päätösten tekemisestä automaattisesti.

Automaattisia päätöksiä koskevaa erityissääntelyä on kestävän metsätalouden määräaikaisen rahoituslain (34/2015) 31 a §:ssä, jonka mukaan taimikon varhaishoidon, nuoren metsän hoidon ja terveyslannoituksen tuen myöntöpäätös ja päätös tuen lopullisesta määrästä voidaan tehdä automaattisesti. Erityissääntelyä automaattisesta päätöksenteosta on myös rahoitusvakausviranomaisesta annetun lain (1195/2014) 5 luvun 20 §:ssä.

2.2 Henkilötietojen suoja

2.2.1 Yleinen tietosuoja-asetus

Yleisellä tietosuoja-asetuksella vahvistetaan säännöt luonnollisten henkilöiden suojelulle henkilötietojen käsittelyssä sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta. Asetusta sovelletaan kaikenlaiseen kokonaan tai osittain automaattiseen henkilötietojen käsittelyyn, sekä osittain myös manuaaliseen henkilötietojen käsittelyyn. Lisäksi tietosuoja-asetuksen rinnalla sovellettavaksi voivat tulla kansallinen tietosuojalaki tai erityislainsäädäntö.

Tietosuoja-asetus sisältää säännöksen automatisoidusta yksittäispäätöksestä. Asetuksen 22 artiklan 1 kohdan mukaan rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. Artiklan 1 kohtaa ei kuitenkaan sovelleta, jos päätös on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten; on hyväksytty rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Lisäksi automatisoitu päätös on sallittu, jos se perustuu rekisteröidyn nimenomaiseen suostumukseen.

Yleinen tietosuoja-asetus jättää lainsäätäjälle kansallista liikkumavaraa, jonka puitteissa on mahdollista säätää automatisoituihin yksittäispäätöksiin liittyvistä käsittelykiellon poikkeamisista. Tällöin tulee kuitenkin huolehtia siitä, että sääntely on kokonaisuudessaan yhteensopivaa yleisen tietosuoja-asetuksen kanssa ja että siinä vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi (jäljempänä myös suojatoimet). Yleisen tietosuoja-asetuksen 22 artiklassa ei tarkemmin yksilöidä, millaisia suojatoimien on oltava silloin, kun päätöksenteosta säädetään laissa. Asetuksen johdanto-osan 71 perustelukappaleen mukaan tällaiseen käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia suojatoimia, joihin olisi ainakin kuuluttava käsittelystä ilmoittaminen rekisteröidylle ja tämän oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen, oikeus esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös. Seikat korostavat käsittelyä koskevan avoimuuden tarvetta.

Yleisen tietosuoja-asetuksen 22 artiklan 4 kohdan mukaan automatisoidut yksittäispäätökset eivät saa perustua erityisiin henkilötietoryhmiin, paitsi jos sovelletaan 9 artiklan 2 kohdan a tai g alakohtaa ja asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi on toteutettu. Yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan a alakohdan mukaan erityisten henkilötietoryhmien käsittelykieltoa ei sovelleta, jos rekisteröity on antanut nimenomaisen suostumuksensa henkilötietojen käsittelyyn. Artiklan 2 kohdan g alakohdan mukaan käsittelykieltoa ei sovelleta, jos käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Tyypillisesti erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä säädetään kunkin sektorin erityislainsäädännössä.

Yleisen tietosuoja-asetuksen 22 artiklassa ei tehdä eroa sen välillä, koskeeko automatisoitu päätöksenteko aikuisia vai lapsia. Asetuksen johdanto-osan 71 perustelukappaleessa kuitenkin todetaan, että lapsiin ei tulisi kohdistaa sellaista pelkästään automaattiseen käsittelyyn perustuvaa päätöksentekoa, profilointi mukaan luettuna, jolla on oikeusvaikutuksia tai vastaavalla tavalla merkittäviä vaikutuksia. Koska tämä sanamuoto ei näy artiklatasolla, on esimerkiksi Euroopan unionin tietosuojatyöryhmä (WP 29 Suuntaviivat automatisoiduista yksittäispäätöksistä, WP251rev.01, s. 30) katsonut, ettei yleinen tietosuoja-asetus muodosta tällaisen lapsiin kohdistuvan käsittelyn ehdotonta kieltoa.

Lainsäädäntöön ei sisälly säännöksiä, joiden perusteella tietosuoja-asetuksen 22 artiklassa kiellettyjä automatisoituja yksittäispäätöksiä voitaisiin tehdä hallintoasioita ratkaistaessa. Jotta tällaisten päätösten tekeminen olisi ylipäätään mahdollista, kansallisella sääntelyllä on luotava sille oikeusperusta.

2.2.2 Henkilötietojen käsittely rikosasioissa

Toinen henkilötietojen käsittelyyn sovellettava yleislaki yleisen tietosuoja-asetuksen ja tietosuojalain lisäksi on rikosasioiden tietosuojalaki. Lailla on pantu täytäntöön Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta, jäljempänä rikosasioiden tietosuojadirektiivi.

Rikosasioiden tietosuojalakia sovelletaan poliisin, syyttäjien, yleisten tuomioistuinten, Rikosseuraamuslaitoksen, Tullin, Rajavartiolaitoksen ja muiden toimivaltaisten viranomaisten käsitellessä henkilötietoja, kun kysymys on rikoksen ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta, rikokseen liittyvästä syyttäjän toiminnasta, rikosasian käsittelemisestä tuomioistuimessa, rikosoikeudellisen seuraamuksen täytäntöönpanemisesta taikka yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta tai tällaisten uhkien ehkäisemisestä. Lakia sovelletaan myös Puolustusvoimien, poliisin ja Rajavartiolaitoksen käsitellessä henkilötietoja kansallisen turvallisuuden ylläpitämisen yhteydessä. Rikosasioiden tietosuojalaki on edellä mainituissa tilanteissa sovellettava yleislaki, jonka sääntelystä voidaan erityislainsäädännössä poiketa. Rikosasioiden tietosuojalain soveltamisala on huomattavasti yleisen tietosuoja-asetuksen ja tietosuojalain soveltamisalaa kapeampi. Rikosasioiden tietosuojalaki on hallinnon automaattisen päätöksenteon kannalta merkityksellinen siltä osin kuin viranomaisissa tehdään hallintolaissa tarkoitettuja hallintopäätöksiä asioissa, jotka kuuluvat kyseisen lain soveltamisalaan. Tällaisia hallintopäätöksiä tehdään esimerkiksi Oikeusrekisterikeskuksessa ja Rikosseuraamuslaitoksessa.

Myös rikosasioiden tietosuojadirektiivi sisältää automatisoituja yksittäispäätöksiä koskevan nimenomaisen säännöksen. Direktiivin 11 artiklan 1 kohdan mukaan jäsenvaltioiden on säädettävä siitä, että sellainen päätös on kielletty, joka perustuu pelkästään automatisoituun käsittelyyn (ml. profilointiin) ja jolla on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai joka vaikuttaa häneen merkittävästi. Tällainen käsittely on artiklan mukaan mahdollista vain, jos se sallitaan rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa on otettu huomioon rekisteröidyn oikeuksia ja vapauksia koskevat asianmukaiset suojatoimet. Niihin kuuluu vähintään oikeus vaatia, että käsittelyyn osallistuu rekisterinpitäjän puolesta ihminen. Direktiivin johdanto-osan 38 perustelukappaleen mukaan asianmukaisiin suojatoimiin kuuluisivat käsittelystä ilmoittaminen rekisteröidylle ja oikeus ihmisen suorittamaan interventioon, erityisesti jotta rekisteröity voisi esittää oman kantansa, saada selvityksen kyseisen arvioinnin jälkeen tehdystä päätöksestä tai riitauttaa päätöksen.

Lisäksi rikosasioiden tietosuojadirektiivin 11 artiklan 2 kohdassa säädetään, etteivät 1 kohdassa tarkoitetut päätökset saa perustua direktiivin 10 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin, paitsi jos toteutetaan asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Artiklan 3 kohdan mukaan unionin oikeuden mukaisesti on kiellettävä profilointi, joka johtaa 10 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin perustuvaan luonnollisten henkilöiden syrjintään. Rikosasioiden tietosuojalain 11 §:n 3 momentissa säädetään nimenomaisesti kielletyksi sellainen profilointi, joka johtaa erityisiin henkilötietoryhmiin perustuvaan luonnollisten henkilöiden syrjintään. Lain esitöiden (HE 31/2018 vp) mukaan säännöksellä lähtökohtaisesti kiellettäisiin esimerkiksi sellainen algoritmeihin perustuva profilointi, jonka seurauksena johonkin tiettyyn etniseen ryhmään kuuluvat henkilöt joutuvat muita tiukemman seurannan tai tarkastusten kohteeksi. Direktiivin johdanto-osan 38 perustelukappaleen mukaan profilointi, jonka seurauksena luonnollisia henkilöitä syrjitään sellaisten henkilötietojen perusteella, jotka ovat luonteeltaan erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, olisi kiellettävä Euroopan unionin perusoikeuskirjan 21 ja 52 artiklassa säädettyjen ehtojen mukaisesti.

Rikosasioiden tietosuojalain 13 §:n mukaan, ellei laissa toisin säädetä, päätöstä ei saa tehdä pelkästään automatisoidun henkilötietojen käsittelyn perusteella, jos päätöksellä on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai se on muutoin hänen kannaltaan merkittävä. Säännös koskee tilanteita, joissa päätöksenteko perustuu puhtaasti automatisoituun henkilötietojen käsittelyyn eli joissa päätöksentekoon ei osallistu luonnollista henkilöä. Tällaisen automatisoidun yksittäispäätöksen tekeminen on lain soveltamisalalla sallittua ainoastaan, jos muualla laissa niin säädetään. Tällöin lainsäädännön tulee täyttää direktiivin 11 artiklassa säädetyt vaatimukset muun muassa rekisteröidyn oikeudesta vaatia, että käsittelyyn osallistuu rekisterinpitäjän toimesta luonnollinen henkilö. Säännöksessä tarkoitettuja puhtaasti automatisoituun henkilötietojen käsittelyyn perustuvia päätöksentekomekanismeja ei Suomessa tiettävästi ole lain soveltamisalalla tällä hetkellä käytössä.

Rikosasioiden tietosuojadirektiivi ja yleinen tietosuoja-asetus eroavat käsittelyn suojatoimivaatimusten osalta toisistaan siltä osin, että toisin kuin yleinen tietosuoja-asetus, rikosasioiden tietosuojadirektiivi velvoittaa artiklatasolla lainsäätäjää säätämään rekisteröidyn oikeudesta vaatia, että käsittelyyn osallistuu rekisterinpitäjän toimesta luonnollinen henkilö.

Lainsäädäntöön ei tiettävästi sisälly säännöksiä, joiden perusteella rikosasioiden tietosuojalain 13 §:ssä kiellettyjä automatisoituja yksittäispäätöksiä voitaisiin tehdä hallintoasioita ratkaistaessa. Tällaisten päätösten tekeminen tulisi mahdollistaa kansallisella sääntelyllä, joka luo oikeusperustan pelkästään automaattisessa käsittelyssä tapahtuvalle päätöksenteolle rikosasioiden tietosuojalain soveltamisalalla.

2.2.3 Erityiset henkilötietoryhmät automaattisessa päätöksenteossa

Tietosuoja-asetuksen 9 artiklan 1 kohdan mukaan erityisiä henkilötietoryhmiä koskevien henkilötietojen käsittely on kielletty. Artiklan 2 kohdan mukaan kyseisiä tietoja voidaan kuitenkin käsitellä, jos joku 2 kohdan alakohdissa säädetyistä edellytyksistä täyttyy. Esimerkiksi 9 artiklan 2 kohdan g alakohta sallii erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyn, jos käsittely on tarpeen yleistä etua koskevasta syystä jäsenvaltion lainsäädännön nojalla. Osa 2 kohdassa säädetyistä alakohdista on suoraan sovellettavaa oikeutta, osa edellyttää kansallista lainsäädäntöä.

Tietosuoja-asetuksen 22 artiklan 4 kohdan mukaan automatisoidut yksittäispäätökset eivät saa perustua 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin, paitsi jos sovelletaan 9 artiklan 2 kohdan a tai g alakohtaa ja asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi on toteutettu.

Molemmat erityisiä henkilötietoryhmiä koskevat käsittelyperusteet edellyttävät, että rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Suostumus ei lähtökohtaisesti sovellu viranomaistoiminnassa käsittelyperusteeksi. Viranomaistoiminnassa erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely automatisoidussa päätöksenteossa voisi perustua siten ainoastaan yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohtaan, jonka mukaan tietoja voidaan käsitellä, kun käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.

Tietosuojalain 6 §:n 1 momentissa säädetään erityisiä henkilötietoryhmiä koskevasta käsittelystä. Momentin 1, 2, 5 ja 6 kohdassa säädetyt käsittelyperusteet täsmentävät tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdassa säädettyä käsittelyperustetta. Pykälän 1 momentin 1 kohdan mukaan tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovelleta vakuutuslaitoksen käsitellessä vakuutustoiminnassa saatuja tietoja vakuutetun ja korvauksenhakijan terveydentilasta, sairaudesta tai vammaisuudesta taikka sellaista häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavista toimista, jotka ovat tarpeen vakuutuslaitoksen vastuun selvittämiseksi. Pykälän 1 momentin 2 kohdan mukaan käsittelykieltoa ei niin ikään sovelleta tietojen käsittelyyn, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä. Pykälän 1 momentin 5 kohdan mukaan käsittelykieltoa ei sovelleta myöskään silloin, kun sosiaalihuollon palveluntarjoaja järjestäessään tai tuottaessaan palveluja tai myöntäessään etuuksia käsittelee tässä toiminnassa saamiaan tai tuottamiaan tietoja henkilön terveydentilasta tai vammaisuudesta taikka hänen saamastaan terveydenhuollon ja kuntoutuksen palvelusta taikka muita rekisteröidyn palvelun tai etuuden myöntämisen kannalta välttämättömiä tietoja. Henkilötietoja voisivat käsitellä sosiaaliviranomaisten lisäksi myös muut sosiaalietuuksia myöntävät viranomaiset ja laitokset. Pykälän 1 momentin 6 kohdan mukaan käsittelykieltoa ei myöskään sovelleta terveyttä koskevien ja geneettisten tietojen käsittelyssä antidoping-työssä ja vammaisurheilun yhteydessä siltä osin, kuin näiden tietojen käsittely on välttämätöntä antidopingtyön tai vammaisten ja pitkäaikaissairaiden urheilun mahdollistamiseksi.

Tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan edellyttämät suojatoimet toteutuisivat tietosuojalain 6 §:n 2 momentissa säädetyillä suojatoimilla. Tietosuojalain 6 §:n 2 momentissa säädetään erityisistä suojatoimenpiteistä, joita rekisterinpitäjän ja henkilötietojen käsittelijän on sovellettava soveltuvin osin, kun käsitellään erityisiin henkilötietoryhmiin kuuluvia tietoja. Tällaisia suojatoimia olisivat muun muassa rekisterinpitäjän sisäiset toimenpiteet, joilla estetään pääsy henkilötietoihin, toimenpiteet, joilla parannetaan henkilötietoja käsittelevän henkilöstön osaamista ja toimenpiteet, joilla on jälkeenpäin mahdollista varmistaa ja todentaa kenen toimesta henkilötietoja on tallennettu, muutettu tai siirretty. Pelkästään automaattiseen käsittelyyn perustuvaa päätöksentekoa toteuttavan rekisterinpitäjän olisi sovellettava luettelossa listattuja suojatoimia soveltuvin osin silloin, kun käsittely perustuu yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohtaan ja sitä täsmentäviin käsittelyperusteisiin, joista säädetään tietosuojalain 6 §:n 1 momentin 1, 2, 5 ja 6 kohdissa.

Rikosasioiden tietosuojadirektiivin 11 artiklan 2 kohdan mukaan artiklan 1 kohdassa tarkoitetut päätökset eivät saa perustua 10 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin, paitsi jos on toteutettu asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Direktiivi on pantu täytäntöön rikosasioiden tietosuojalailla. Rikosasioiden tietosuojalain 11 §:n 2 momentin 1 kohta sallii erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyn, jos se on välttämätöntä, rekisteröidyn oikeuksien turvaamisen edellyttämät suojatoimet on toteutettu ja jos käsittelystä säädetään laissa.

Rikosasioiden tietosuojalaissa säädetään suojatoimista, jotka rekisterinpitäjän on toteutettava, kun käsitellään henkilötietoja. Rikosasioiden tietosuojalain 14 §:ssä säädetään rekisterinpitäjän vastuusta ja velvollisuudesta toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet osoitusvelvollisuuden täyttämiseksi, 15 §:ssä sisäänrakennetusta ja oletusarvoisesta tietosuojasta, 19 §:ssä rekisterinpitäjän velvollisuudesta huolehtia lokitietojen keräämisestä ja säilyttämisestä, 20 §:ssä tietosuojaa koskevasta vaikutustenarvioinnista, 32 §:ssä henkilötietojen suojaamisesta automatisoidussa käsittelyssä ja 38 §:ssä rekisterinpitäjän velvollisuudesta nimittää tietosuojavastaava. Lisäksi rikosasioiden tietosuojadirektiivin soveltamisalalla on paljon suojatoimisääntelyä sisältävää erityislainsäädäntöä, jota sovelletaan direktiivin soveltamisalalla toimiviin viranomaisiin.

Tietosuoja-asetuksen 22 artikla ja rikosasioiden tietosuojadirektiivin 11 artikla eivät edellytä voimassa olevan lainsäädännön lisäksi suojatoimiin liittyvää lisäsääntelyä, kun tehdään pelkästään automaattisen käsittelyyn perustuvia päätöksiä, joihin sisältyy erityisiin henkilötietoryhmiin kuuluvia tietoja.

Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely automaattisessa päätöksenteossa olisi sallittua, kun käsittely suoritetaan tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohtaa täsmentävän tietosuojalain 6 §:n 1 momentin 1, 2, 5 ja 6 kohdissa säädetyissä tarkoituksissa ja rikosasioiden tietosuojadirektiivin soveltamisalalla silloin, kun käsittelyn oikeusperusteesta on säädetty erikseen laissa.

2.2.4 Henkilötietojen käsittelyn suojatoimet

2.2.4.1 Velvollisuus säätää suojatoimista

Yleisen tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan mukaan unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa käsittely hyväksytään, on vahvistettava myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Tietosuoja-asetuksen johdanto-osan 71 perustelukappaleen mukaan tällaiseen käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia suojatoimia, joihin olisi ainakin kuuluttava käsittelystä ilmoittaminen rekisteröidylle ja tämän oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen, oikeus esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös.

Rikosasioiden tietosuojadirektiivin 11 artiklan 1 kohdan mukaan jäsenvaltioiden on säädettävä siitä, että päätös, joka perustuu pelkästään automatisoituun käsittelyyn, kuten profilointiin, ja jolla on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai joka vaikuttaa häneen merkittävästi, on kielletty, jollei sitä ole sallittu rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa on otettu huomioon rekisteröidyn oikeuksia ja vapauksia koskevat asianmukaiset suojatoimet, vähintään oikeus vaatia, että käsittelyyn osallistuu rekisterinpitäjän puolesta ihminen. Direktiivin johdanto-osan 38 perustelukappaleen mukaan tällaiseen käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia suojatoimia, joihin kuuluisivat tällaisesta käsittelystä ilmoittaminen rekisteröidylle ja oikeus ihmisen suorittamaan interventioon, erityisesti jotta rekisteröity voisi esittää oman kantansa, saada selvityksen kyseisen arvioinnin jälkeen tehdystä päätöksestä tai riitauttaa päätöksen.

2.2.4.2 Oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen

Kuten edellä on todettu, tietosuoja-asetuksen johdanto-osassa ja rikosasioiden tietosuojadirektiivin 11 artiklan 1 kohdassa edellytetään, että rekisteröidyllä olisi oltava oikeus vaatia ihmisen osallistumista tietojen käsittelyyn.

Tämän lisäksi tietosuoja-asetuksen 12 artiklan 5 kohdassa säädetään, että kaikki 22 artiklaan perustuvat tiedot ja toimenpiteet ovat maksuttomia. Puolestaan rikosasioiden tietosuojadirektiivin 12 artiklan 4 kohdassa edellytetään jäsenvaltioiden säätävän siitä, että kaikki 11 artiklan nojalla tehdyt ilmoitukset tai toteutetut toimet ovat maksuttomia.

Tietosuoja-asetuksen 3 luvussa säädetään rekisteröidyn oikeuksista. Rekisterinpitäjällä on velvollisuus huolehtia rekisteröidyn oikeuksien toteuttamisesta. Rekisteröity voi käyttää oikeuksiaan olemalla yhteydessä rekisterinpitäjään. Tietosuoja-asetuksen 22 artiklan 1 kohdassa ja rikosasioiden tietosuojadirektiivin 11 artiklan 1 kohdassa säädetään kiellosta tehdä pelkästään automatisoituun käsittelyyn perustuvia yksittäispäätöksiä, josta voidaan poiketa rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä.

Edellä kuvatut vaatimukset edellyttävät säädettäväksi sellaisesta suojatoimesta, joka antaisi rekisteröidylle mahdollisuuden vaatia ihminen osallistumista käsittelyyn. Lisäksi suojatoimen olisi oltava maksuton ja rekisteröidyn tulisi pystyä kohdistamaan se automaattisen päätöksen tehneelle rekisterinpitäjälle.

2.2.4.3 Käsittelystä ilmoittaminen rekisteröidylle ja rekisteröidyn informointi

Tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin johdanto-osassa edellytetään, että automaattisesta käsittelystä olisi ilmoitettava rekisteröidylle. EU:n tietosuojatyöryhmä on suuntaviivoissaan (WP 29 Suuntaviivat automatisoiduista yksittäispäätöksistä, WP251rev.01, s. 29) arvioinut suojatoimea toteamalla rekisteröidyn pystyvän riitauttamaan päätöksen tai esittämään siitä kantansa vain, jos hän ymmärtää täysin, miten se on tehty ja millä perustein.

Lisäksi tietosuoja-asetuksen 13 artiklassa säädetään rekisteröidylle toimitettavista tiedoista, kun henkilötietoja kerätään rekisteröidyltä. Tietosuoja-asetuksen 14 artiklassa säädetään rekisteröidylle toimitettavista tiedoista, kun tietoja ei ole saatu rekisteröidyltä. Tietosuoja-asetuksen 13 artiklan 2 kohdan f alakohdassa ja 14 artiklan 2 kohdan g alakohdassa säädetään velvollisuudesta toimittaa rekisteröidylle lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi automaattisen päätöksenteon, muun muassa 22 artiklan 1 ja 4 kohdassa tarkoitetun profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle. Rikosasioiden tietosuojadirektiivissä tai rikosasioiden tietosuojalaissa ei ole vastaavanlaista informointisäännöstä.

Edellä kuvatut vaatimukset ja voimassa oleva informointisääntely huomioiden, lisäsääntelylle on perusteltu tarve. Ottaen huomioon edellä kuvatun tietosuojatyöryhmän kannanoton, rekisteröidyn tulisi aina saada tieto siitä, että päätös on ratkaistu pelkästään automaattisen käsittelyn perusteella riippumatta siitä, onko häntä koskevat henkilötiedot kerätty häneltä itseltään vai muualta, ja onko sovellettava käsittely tietosuoja-asetuksen vai rikosasioiden tietosuojadirektiivin soveltamisalalla.

2.2.4.4 Rekisteröidyn oikeus esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös

Tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin johdanto-osien perustelukappaleissa edellytetään, että rekisteröidyllä tulee olla automaattisen käsittelyyn perustuvan päätöksen jälkeen oikeus esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös. EU:n tietosuojatyöryhmä on suuntaviivoissaan (WP 29 Suuntaviivat automatisoiduista yksittäispäätöksistä, WP251rev.01, s. 26) katsonut, että rekisterinpitäjän on tarjottava rekisteröidylle yksinkertainen tapa käyttää näitä oikeuksia. Hallintolain ja oikeudenkäynnistä hallintoasioissa annetun lain (808/2019) voimassa oleva asianosaisen kuulemista, päätöksen perustelemista, oikaisuvaatimusta ja muutoksenhakua koskeva sääntely toteuttaa nämä suojatoimet. Lisäsääntelylle ei arvioida olevan tarvetta.

2.3 Hallinnon lainalaisuus

Hallinnon lainalaisuus- ja lakisidonnaisuusperiaatteesta säädetään perustuslain 2 §:n 3 momentissa, jonka mukaan julkisen vallan käytön tulee perustua lakiin ja kaikessa julkisessa toiminnassa on noudatettava tarkoin lakia. Organisatorisessa mielessä julkisen vallan käyttö ei ole palautettavissa yksinomaan valtion toiminnaksi. Suomessa esimerkiksi kunnat, kuntayhtymät, Ahvenanmaan maakunta ja evankelis-luterilainen kirkko itsehallintoyhdyskuntina samoin kuin niin sanotun välillisen julkishallinnon organisaatiot, kuten Kansaneläkelaitos ja julkisoikeudelliset yhdistykset käyttävät merkittävää julkista valtaa (HE 1/1998 vp, s. 74/II). Aineellisessa mielessä julkisen vallan käytön piiriin luetaan muun muassa sellaiset norminanto-, lainkäyttö- ja hallintopäätökset, jotka tehdään yksipuolisesti ja joiden vaikutus ulottuu yksityisiin oikeussubjekteihin (HE 1/1998 vp, s. 74/II).

Hallinnon lainalaisuus tarkoittaa automaattisen päätöksenteon kannalta sitä, että automaattisia päätöksiä tekevissä järjestelmissä olisi varmistuttava, että tehdyt päätökset ovat lain mukaisia. Lainalaisuusperiaatteella voi olla merkitystä myös sille, millaiset tekniset toteutustavat automaattisessa päätöksenteossa ovat mahdollisia. Esimerkiksi todennäköisyysajatteluun perustuvissa tekoälytekniikoissa lainmukaisuuden toteutuminen jokaisen yksittäisen päätöksen kohdalla voi olla vaikeammin toteutettavissa kuin ihmisen laatimiin käsittelysääntöihin perustuvassa automaatiossa. Lisäksi esityksessä on arvioitu, että lainalaisuusperiaate edellyttää, että asian ratkaisemisesta automaattisesti on säädettävä laissa. Asioiden käsittelyä ja ratkaisemista koskeva lainsäädäntö on alun perin säädetty käsittelijälähtöisesti ja tilanteessa, jolloin asioiden automaattinen käsittely ei ollut nykyisissä määrin teknisesti mahdollista.

2.4 Hyvä hallinto ja oikeusturva

Perustuslain 21 §:n 1 momentin mukaan jokaisella on oikeus saada asiansa käsitellyksi asianmukaisesti ja ilman aiheetonta viivytystä lain mukaan toimivaltaisessa tuomioistuimessa tai muussa viranomaisessa sekä oikeus saada oikeuksiaan ja velvollisuuksiaan koskeva päätös tuomioistuimen tai muun riippumattoman lainkäyttöelimen käsiteltäväksi. Pykälän 2 momentin mukaan käsittelyn julkisuus sekä oikeus tulla kuulluksi, saada perusteltu päätös ja hakea muutosta samoin kuin muut oikeudenmukaisen oikeudenkäynnin ja hyvän hallinnon takeet turvataan lailla.

Hallintolaki konkretisoi perustuslain 21 §:ssä säädettyä jokaisen oikeutta hyvään hallintoon. Hallintolaki sisältää yleiset säännökset hyvän hallinnon perusteista ja hallintoasiassa noudatettavasta menettelystä. Hallintolakiin sisältyy säännökset muun muassa asian selvittämisestä, asianosaisen kuulemisesta, hallintopäätöksen sisällöstä, hallintopäätöksen perustelemisesta, virheen korjaamisesta, valitusosoituksesta, tiedoksiannosta ja oikaisuvaatimuksesta.

Hyvää hallintoa turvaavat myös muut hallinnon yleislait kuten laki viranomaisten toiminnan julkisuudesta (621/1999, jäljempänä julkisuuslaki), kielilaki (423/2003) ja laki oikeudenkäynnistä hallintoasioissa. Näiden lakien sääntely tulee sovellettavaksi myös automaattisesti ratkaistavissa asioissa.

Automaattisia menettelyitä kehitettäessä ja käyttöön otettaessa on tärkeää jo ennakollisesti varmistaa, että niitä koskevien tietojärjestelmien ylläpitämisessä otetaan asianmukaisesti huomioon hyvän hallinnon vaatimusten toteutuminen. Hallintolain menettelysäännöksiä on noudatettava myös asian automaattisessa käsittelyssä ja ratkaisemisessa.

Hyvän hallinnon, oikeusturvan ja hallinnon lainalaisuusperiaatteen toteutuminen tulisi pyrkiä varmistamaan kaiken automaattisen päätöksenteon osalta. Hallintolain hyvää hallintoa turvaavat säännökset eivät erottele hallinnon asiakasta esimerkiksi sillä perusteella, onko kyseessä luonnollinen henkilö vai oikeushenkilö. Tästä syystä on perusteltua säätää automaattisesta päätöksenteosta siten, että sääntelyn piiriin kuuluvat tietosuojasääntelyssä tarkoitettujen automatisoitujen yksittäispäätösten lisäksi kaikki sellaiset hallintopäätökset, jotka on tehty automaattisesti. Tämä tarkoittaa automaation käyttöalan määrittelyä siten, että se kattaa myös automaattiset päätökset, jotka kohdistuvat oikeushenkilöihin.

2.5 Käsittelyn julkisuus ja asiakirjajulkisuus

Perustuslain 21 §:n 2 momentissa turvataan käsittelyn julkisuus ja oikeus saada perusteltu päätös, mutta automaattisen päätöksenteon läpinäkyvyyttä ja julkisuutta koskevat kysymykset ovat merkityksellisiä myös perustuslain 12 §:n 2 momentissa turvatun julkisuusperiaatteen kannalta. Automaattisen päätöksentekomenettelyn ja sovellettavien käsittelysääntöjen läpinäkyvyys on merkityksellistä yhtäältä päätöksen kohteena olevan henkilön ja toisaalta yleisön kannalta. Käytettäviin ohjelmistoihin ja käsittelysääntöihin liittyy myös asiakirjajulkisuutta koskevia kysymyksiä.

Automaattista päätöksentekoa koskevan yleisöjulkisuuden toteutumisen kannalta merkityksellistä on, pidetäänkö automaattiseen päätöksentekomenettelyyn liittyviä ohjelmistoja, käsittelysääntöjä tai suunnitteludokumentteja julkisuuslain 5 §:n 2 momentin mukaisena viranomaisen asiakirjana ja miltä osin nämä tiedot ovat salassa pidettäviä. Asiakirjaan voi sisältyä tietoja esimerkiksi viranomaisten tarkastusmenettelyyn liittyvistä raja-arvoista, jolloin sen salassapitoa on tarkasteltava julkisuuslain 24 §:n 1 momentin 15 kohdan perusteella.

Julkisuuslain 11 §:n 1 momentin mukaan hakijalla, valittajalla sekä muulla, jonka oikeutta, etua tai velvollisuutta asia koskee, on oikeus saada asiaa käsittelevältä tai käsitelleeltä viranomaiselta tieto muunkin kuin julkisen asiakirjan sisällöstä, joka voi tai on voinut vaikuttaa hänen asiansa käsittelyyn. Pykälän 2 momentin 1 kohdan mukaan oikeutta ei kuitenkaan ole muun muassa asiakirjaan, josta tiedon antaminen olisi vastoin erittäin tärkeää yleistä etua. Salassapitoa koskevat säännökset saattavat siten rajoittaa sitä, kuinka yksityiskohtaisesti asianosaiselle voidaan kuvata käytettyä automaattista päätöksentekomenettelyä.

Käsittelyn julkisuutta koskevan sääntelyn mukaisesti hallinnon asiakkaalla on oikeus saada tietoa myös viranomaisen automaattisesta päätöksenteosta siltä osin kuin kyse ei ole salassa pidettävistä tiedoista. Automaattista päätöksentekoa koskevassa yleissääntelyssä ei ole tarpeen säätää poikkeusta salassapitoa koskeviin säännöksiin. Sääntelyssä olisi kuitenkin varmistettava hallinnon asiakkaiden mahdollisuus saada tietoa viranomaisen tekemästä automaattisesta päätöksenteosta selkeästi ja vaivattomasti.

2.6 Virkavastuu ja tietosuojalainsäädännön vahingonkorvaussääntely

2.6.1 Virkavastuun lähtökohdat ja rikosoikeudellinen virkavastuu

Virkamiehen erityisasemaan kuuluu muita laajempi vastuu työssä tapahtuneista virheistä eli virkavastuu. Perustuslain 118 §:n 1 momentin mukaan virkamies vastaa virkatoimiensa lainmukaisuudesta. Hän on myös vastuussa sellaisesta monijäsenisen toimielimen päätöksestä, jota hän on toimielimen jäsenenä kannattanut. Pykälän 2 momentin mukaan esittelijä on vastuussa siitä, mitä hänen esittelystään on päätetty, jollei hän ole jättänyt päätökseen eriävää mielipidettään. Pykälän 3 momentin mukaan jokaisella, joka on kärsinyt oikeudenloukkauksen tai vahinkoa virkamiehen tai muun julkista tehtävää hoitavan henkilön lainvastaisen toimenpiteen tai laiminlyönnin vuoksi, on oikeus vaatia tämän tuomitsemista rangaistukseen sekä vahingonkorvausta julkisyhteisöltä taikka virkamieheltä tai muulta julkista tehtävää hoitavalta sen mukaan kuin lailla säädetään. Tässä tarkoitettua syyteoikeutta ei kuitenkaan ole, jos syyte on perustuslain mukaan käsiteltävä valtakunnanoikeudessa.

Perustuslakivaliokunnan mukaan perustuslain säännökset hallinnon lainalaisuusperiaatteesta sekä valtion ja virkamiehen vastuusta ilmentävät virkamieshallinnon periaatetta (PeVL 19/1985 vp, s. 3/II). Valiokunnan käytännössä on lisäksi vakiintuneesti katsottu, että annettaessa julkinen hallintotehtävä muun kuin viranomaisen tehtäväksi oikeusturvan ja hyvän hallinnon vaatimusten toteutumisen varmistaminen edellyttää muun muassa, että asian käsittelyssä noudatetaan hallinnon yleislakeja ja että asioita käsittelevät toimivat virkavastuulla (PeVL 26/2017 vp, s. 49, PeVL 33/2004 vp, s. 7/II, PeVL 46/2002 vp, s. 10, PeVL 62/2018 vp). Virkavastuun on vakiintuneesti katsottu käsittävän sekä rikosoikeudellisen että vahingonkorvausoikeudellisen vastuun.

Rikoslain (39/1889) 40 luvun 11 §:n mukaan virkavastuussa toimistaan ovat virkamies, julkisyhteisön työntekijä, julkista luottamustehtävää hoitava henkilö ja muu julkista valtaa käyttävä henkilö. Rikosoikeudellinen virkavastuu kohdistuu luonnolliseen henkilöön, eikä sitä voida ulottaa vahingonkorvausvastuun tapaan esimerkiksi viranomaisorganisaatioon. Virkarikokseksi on rikoslain 40 luvun mukaan säädetty muun muassa lahjuksen ottaminen, virkasalaisuuden rikkominen, virka-aseman väärinkäyttäminen ja virkavelvollisuuden rikkominen. Perustuslain 8 §:ssä säädetty rikosoikeudellinen laillisuusperiaate sisältää lain täsmällisyyteen kohdistuvan erityisen vaatimuksen. Sen mukaan kunkin rikoksen tunnusmerkistö on ilmaistava laissa riittävällä täsmällisyydellä siten, että lain sanamuodon perusteella on ennakoitavissa, onko jokin teko tai laiminlyönti rangaistavaa.

Sen sijaan, että yksittäinen virkamies tekisi päätöksen, automaattisia päätöksiä tekevän tietojärjestelmän suunnitteluun, toteutukseen ja ylläpitoon osallistuu eri vaiheissa useita virkamiehiä, joilla on erilaisia tietojärjestelmään liittyviä tehtäviä. Laissa ei ole nykyisin säädetty virkamiesten roolista ja tehtävistä automaattisessa päätöksentekojärjestelmässä, joten virkavastuun kohdentaminen ja toteuttaminen on nykyisen sääntelyn näkökulmasta haasteellista. Virkavastuun kohdentamista käsitellään tarkemmin luvussa 2.6.3.

Jotta virkamiestä, jolle on osoitettu automaattiseen päätöksentekoon liittyvä virkatehtävä, esimerkiksi järjestelmän valvominen jonkin asiaryhmän osalta, voitaisiin pitää rikosoikeudellisesti vastuullisena, tulee hänen rikoslain 40 luvun mukaan virkaansa toimittaessaan tahallaan tai huolimattomuudesta rikkoa virkatoiminnassa noudatettavan säännöksiin tai määräyksiin perustuvan virkavelvollisuutensa. Lisäksi edellytetään, että teko, huomioon ottaen sen haitallisuus ja vahingollisuus ja muut tekoon liittyvät seikat, ei ole kokonaisuutena arvostellen vähäinen. Valtion virkamieslain (750/1994) 14 §:n 1 momentin mukaan virkamiehen on suoritettava tehtävänsä asianmukaisesti ja viivytyksettä. Hänen on noudatettava työnjohto- ja valvontamääräyksiä. Menettelyyn liittyviä tehtäviä voidaan siten osoittaa tiettyjen virkamiesten tehtäväksi.

2.6.2 Vahingonkorvausoikeudellinen virkavastuu ja vahingonkorvaussääntely tietosuojalainsäädännössä

Viranomaisen ja virkamiehen vahingonkorvausvastuuseen sovelletaan yleislakina vahingonkorvauslakia (412/1974). Julkisyhteisö vastaa lain perusteella sekä omasta että työntekijänsä tai virkamiehen tuottamuksesta. Vahingonkorvauslain 3 luvun 1 §:n 1 momentin mukainen isännänvastuu koskee myös valtiota, kuntaa ja muuta julkista yhteisöä tai laitosta, kun vahinko on aiheutunut sellaisen julkisyhteisön työntekijän taikka yhteisöön virka- tai siihen verrattavassa palvelussuhteessa olevan henkilön virheestä tai laiminlyönnistä toiminnassa, jota ei ole pidettävä julkisen vallan käyttämisenä. Hallintopäätöksenteossa kyse on julkisen vallan käyttämisestä ja korvausvastuuseen sen osalta sovelletaan lain 3 luvun 2 §:ää, jonka mukaan julkisyhteisö on velvollinen korvaamaan julkista valtaa käytettäessä virheen tai laiminlyönnin johdosta aiheutuneen vahingon. Tähän pykälään sisältyvän niin sanotun standardisäännöksen mukaan vastuun syntyminen edellyttää lisäksi, ettei toimen tai tehtävän suorittamiselle sen laatu ja tarkoitus huomioon ottaen kohtuudella asetettavia vaatimuksia ole noudatettu. Sovellettavaksi voi tulla myös lain 4 §, jonka mukaan, jos valtion tai kunnan viranomaisen virheellisen ratkaisun johdosta vahinkoa kärsinyt on pätevättä syyttä jättänyt hakematta muutosta siihen, hänellä ei ole oikeutta saada korvausta vahingosta, jolta hän muutosta hakemalla olisi voinut välttyä.

Yksittäisen virkamiehen vastuusta säädetään vahingonkorvauslain 4 luvussa. Virkamies vastaa virassaan virheellään tai laiminlyönnillään aiheuttamastaan vahingosta. Virkamies on velvollinen korvaamaan määrän, joka harkitaan kohtuulliseksi ottaen huomioon vahingon suuruus, teon laatu, vahingon aiheuttajan asema, vahingon kärsineen tarve sekä muut olosuhteet. Jos virkamiehen vahingoksi jää vain lievä tuottamus, ei vahingonkorvausta tuomita. Sekä julkisyhteisö että virkamies ovat vastuussa virkamiehen tuottamuksellaan aiheuttamasta vahingosta. Vahingonkorvauslain 6 luvun 2 §:n kanavointisäännöksen vuoksi virkamiehen korvausvastuu on kuitenkin toissijaista. Julkisyhteisö, joka joutuu maksamaan vahingonkorvausta, voi halutessaan esittää regressivaatimuksen vahingon aiheuttaneelle virkamiehelle silloin, kun vahinko on aiheutettu lievää suuremmalla tuottamuksella. Virkamiehen korvausvastuuta yleensä tällöinkin sovitellaan.

Vahinkoa kärsineen korvausoikeuden kannalta ei ole merkitystä sillä, voidaanko jonkun yksittäisen virkamiehen katsoa aiheuttaneen vahingon tuottamuksellaan. Jos päätöksenteossa on tapahtunut virhe, jonka ei voida osoittaa johtuneen yksittäisen työntekijän virheestä tai laiminlyönnistä, julkisyhteisö vastaa siitä huolimatta vahingosta.

Automaattisen päätöksenteon kannalta merkityksellistä vahingonkorvaussääntelyä sisältyy myös tietosuojalainsäädäntöön. Yleisen tietosuoja-asetuksen 82 artiklassa säädetään rekisterinpitäjän vahingonkorvausvastuusta. Vahingonkorvausoikeus voi perustua myös kansalliseen vahingonkorvaussääntelyyn, jos vahinko ei täytä tietosuoja-asetuksessa tarkoitetun vahingon tunnusmerkkejä, mutta vahinko olisi korvattava kansallisen lainsäädännön perusteella. Vahingonkorvauslakia ja muuta kansallista vahingonkorvaussääntelyä sovelletaan täydentävästi suhteessa tietosuoja-asetukseen. Lakivaliokunta on maakaaren (540/1995) muuttamista koskevassa mietinnössään (LaVM 2/2020 vp) pitänyt perusteltuna kansallista sääntelyä, jonka mukaan henkilötietojen käsittelystä aiheutuneeseen vahinkoon sovelletaan, mitä tietosuoja-asetuksessa säädetään. Maakaareen lisätyllä virkkeellä selkiytettiin maakaaren ja tietosuoja-asetuksen välistä suhdetta vahingonkorvausvastuun määräytymisen osalta.

Tietosuoja-asetuksen 82 artiklan 2 kohdan mukaan kukin tietojenkäsittelyyn osallistunut rekisterinpitäjä on vastuussa vahingosta, joka on aiheutunut käsittelystä, jolla on rikottu tätä asetusta. Rekisterinpitäjän vastuu on siten lähtökohtaisesti tuottamuksesta riippumaton ja ankara. Tietosuoja-asetuksen 82 artiklan 3 kohdan mukaan rekisterinpitäjä […] on vapautettava vastuusta 2 kohdan nojalla, jos se osoittaa, ettei se ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta.

Vaikka tietosuoja-asetuksen vahingonkorvausvastuu muistuttaa niin sanottua ekskulpaatiovastuuta, se on kuitenkin sitä ankarampaa. Vastuuta ei ekskulpaatiovastuun mukaan synny sille, joka pystyy osoittamaan, että on toiminut huolellisesti. Tietosuoja-asetuksessa ei kuitenkaan mainita huolellisuuteen liittyvää vapautusperustetta, minkä vuoksi vapautuminen voi tapahtua vain osoittamalla, että käsittelyssä on noudatettu tietosuojaa koskevaa sääntelyä.

Yleisen tietosuoja-asetuksen 82 artiklassa säädetty ankara vahingonkorvausvastuu tulee sovellettavaksi, jos rekisterinpitäjä rikkoo tietosuoja-asetusta. Asetuksen vahingonkorvausta koskeva säännös voi tulla myös sovellettavaksi, kun kysymys on tietosuoja-asetuksen 22 artiklaan perustuvasta käsittelystä. Rekisterinpitäjä voisi joutua vastuuseen esimerkiksi sellaisesta käsittelystä, jossa se tuottaa rekisteröityyn kohdistuvan pelkästään automaattiseen käsittelyyn perustuvan päätöksen ilman, että sitä on tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdassa tarkoitetulla tavalla hyväksytty jäsenvaltion lainsäädännössä. Vahingonkorvausvastuuseen voi joutua myös viranomainen. Huomioitavaa on myös, että tietosuoja-asetuksen 82 artiklan vahingonkorvaussäännös voi tulla sovellettavaksi myös sellaisessa tilanteessa, jossa rekisterinpitäjä käsittelisi henkilötietoja vastoin tietosuoja-asetuksen muita vaatimuksia, vaikkakin automatisoituun päätöksentekoon perustuva käsittely olisi muutoin sallittua jäsenvaltion lainsäädännössä.

Rikosasioiden tietosuojadirektiivin 56 artiklan mukaan jäsenvaltioiden on säädettävä siitä, että jos henkilölle aiheutuu aineellista tai aineetonta vahinkoa lainvastaisesta käsittelystä tai muusta tämän direktiivin nojalla annettuja säännöksiä rikkovasta menettelystä, hänellä on oikeus saada korvaus aiheutuneesta vahingosta rekisterinpitäjältä tai muulta jäsenvaltion lainsäädännön mukaisesti toimivaltaiselta viranomaiselta. Direktiivin johdanto-osan 88 kohdan mukaan, kun viitataan käsittelyyn, joka rikkoo tämän direktiivin nojalla annettuja säännöksiä, tarkoitetaan myös käsittelyä, joka rikkoo tämän direktiivin nojalla annettuja täytäntöönpanosäädöksiä. Rikosasioiden tietosuojalain 60 §:n 1 momentin mukaan rekisterinpitäjä on velvollinen korvaamaan sen taloudellisen ja muun vahingon, joka on aiheutunut rekisteröidylle tai muulle henkilölle tämän lain vastaisesta henkilötietojen käsittelystä. Pykälän 2 momentin mukaan muutoin oikeudesta saada korvaus vahingosta säädetään vahingonkorvauslaissa.

Toisin kuin tietosuoja-asetuksessa, rikosasioiden tietosuojalain vahingonkorvaussäännös on muotoiltu siten, että korvausvastuu ei riipu tuottamuksesta, joten rekisterinpitäjä on ankarassa vastuussa lain vastaisesta käsittelystä johtuvasta vahingosta. Näin ollen rikosasioiden tietosuojalain vahingonkorvaussäännös on tietosuoja-asetuksen vastaavaa säännöstä ankarampi. Pykälän perusteella rekisterinpitäjä on velvollinen korvaamaan kaiken laittomasta käsittelystä aiheutuneen taloudellisen ja muun vahingon, kuten rekisteröidyn kärsimyksen.

Tietosuojalainsäädännön vahingonkorvaussääntelyä sovelletaan myös viranomaisiin, joten sen voidaan myös osaltaan katsoa turvaavan virkavastuun toteutumista. Automaattisesta päätöksenteosta ei vaikuttaisi seuraavan sääntelytarpeita vahingonkorvauslakiin tai muuhun vahingonkorvauslainsäädäntöön.

2.6.3 Vastuun kohdentuminen

Perustuslakivaliokunta on arvioinut viime vuosina lausunnoissaan automaattisen päätöksenteon sääntelyä virkavastuun kohdentumisen näkökulmasta. Tämän lisäksi virkavastuuta ovat arvioineet eduskunnan apulaisoikeusasiamies ja oikeuskansleri Verohallintoa ja Kansaneläkelaitosta koskevissa ratkaisuissaan.

Perustuslakivaliokunta piti näennäisenä ja keinotekoisena maahanmuuton henkilötietolakiesityksessä ehdotettua järjestelyä, jossa virkavastuu olisi säädöksellä kohdistettu viraston yleisjohtamisesta vastaavaan ylijohtajaan. Ehdotuksessa jäi epäselväksi, mistä virkatoimista Maahanmuuttoviraston ylijohtaja itseasiassa vastaa ja mistä virkatoimista hän olisi tosiasiassa oikeudellisissa käytännöissä vastuuseen saatettavissa, kun päätökset tehdään tietojärjestelmässä automatisoidusti ilman välitöntä ja suoraa päätöskohtaista inhimillistä kontrollia. Valiokunta katsoi, että automatisoidun päätöksentekomenettelyn tulee olla perustuslain 118 §:stä johtuvista syistä tarkasti valvottua ja oikeudellisesti kontrolloitavissa. Siihen on voitava liittää viime kädessä myös virkamiehiin kohdistuva vastuu virkatoimista. Perustuslakivaliokunta piti selvänä, ettei päätöksenteon siirtäminen automaattiseen käsittelyyn saa johtaa siihen, että virkavastuuta koskevat perustuslain säännökset menettävät merkityksensä. (PeVL 7/2019 vp).

Perustuslakivaliokunta ei ole pitänyt virkavastuun toteutumisen kannalta riittävänä myöskään sitä yleistä lähtökohtaa, että asiantuntijat, jotka päättävät automaattisen päätöksen käsittelyn säännöistä ja joilla on tosiasiallinen valta ja kompetenssi muuttaa tiettyyn päätökseen johtanutta sääntöä, toimivat viranomaisessa virkavastuulla. Valiokunnan mielestä tällainen välillinen virkavastuu tehdystä päätöksestä ei ollut riittävää perustuslain 118 §:n kannalta. Hallintovaliokunnan oli tarkasteltava virkavastuun kohdentumista ja tarvittaessa täsmennettävä sääntelyä. (PeVL 62/2018 vp).

Eduskunnan apulaisoikeusasiamies on Verohallinnon automatisoitua päätöksentekoa arvioidessaan todennut, että Verohallinnon työjärjestyksen määräys, jonka mukaan prosessinomistaja ratkaisee asiat, jotka koskevat valtakunnallisen työmenettelyohjeen antamista sekä työnjakoa, suunnittelua, kehittämistä, menettelyohjausta, viestintää ja seurantaa, on yleisluonteinen eikä sen perusteella ole johdettavissa täsmällistä virkavastuuta eikä sen sisältöä ja laajuutta automaattisesta päätöksenteosta. Myöskään prosessinomistajan virka-asemaan perustuvaa vastuuta ei voida pitää riittävänä virkavastuuna vahingonkorvausvastuun eikä perustuslain 8 §:n rikosoikeudellisen laillisuusperiaatteen valossa rikosoikeudellisen vastuun toteutumisen kannalta. (EOAK/3379/2018).

Lisäksi oikeuskansleri on arvioinut virkavastuun toteutumista Kansaneläkelaitoksen automaattisessa päätöksenteossa. Kansaneläkelaitoksen mukaan vastuussa oleva yksikkö ja toimihenkilö ovat aina määritettävissä niin sanottuun systeemityömenetelmään pohjautuvan dokumentaation ja työnjakoa, toimivaltaa ja toimintamalleja koskevien määrittelyjen perusteella. Oikeuskanslerin mukaan tämän kaltainen vastuun määräytymismalli voi tapauksesta riippuen hämärtää ja etäännyttää etenkin rikosoikeudellisen vastuun edellyttämän teon ja seurauksen välisen syy-seuraussuhteen siinä määrin hienovireiseksi ja/tai monipolviseksi ketjuksi, ettei vastuun kohdentaminen käytännössä ole enää mahdollista tai ainakin sen todennäköisyys on hyvin pieni. Tällöin virkavastuu voisi olla pahimmillaan välillinen ja lähinnä näennäinen eikä se käytännössä kaikissa tilanteissa voisi toteutua.

Perustuslakivaliokunta ja ylimmät laillisuusvalvojat ovat edellä mainitun mukaisesti korostaneet vastuun tosiasiallista toteutumista, virkavastuuta ei voida toteuttaa pelkästään muodollisesti, eikä se saisi myöskään jäädä välilliseksi. Automaattisen päätöksenteon ja muutoinkin tietojärjestelmien käytössä virkavastuumallin rakentamisessa tulee siten mahdollistaa virkavastuun toteutuminen tosiasiallisesti. Virkavastuun toteuttaminen on mahdollista kehittämällä päätöksentekojärjestelmien ja automatisoitujen toimintaprosessien sisäistä ja ulkoista arviointi- ja varmistusmenettelyä. Algoritmien ja järjestelmien tekninen sekä juridinen arviointi sekä niihin liittyvät täsmälliset velvollisuudet voivat muodostaa ne virkatoimet, joihin perustuslaissa tarkoitettu virkavastuu voidaan kohdentaa henkilötasolla.

Tällä hetkellä lainsäädännössä ei erikseen säädetä virkamiehen roolista tietojärjestelmän kehittämisen valvonnassa ja ominaisuuksien sekä toiminnallisuuksien määrittelyssä, testaamisessa tai käyttöönotossa. Tietojärjestelmien käytön valvonta perustuu tietosuoja-asetuksen 24 artiklan 1 kohdassa, 25 artiklan 2 kohdassa ja 32 artiklan 4 kohdassa säädettyyn rekisterinpitäjän velvollisuuteen toteuttaa tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi ja sen varmistamiseksi, että henkilötietoja käsitellään rekisterinpitäjän ohjeiden mukaisesti. Käytännössä eräs tällainen asetuksessa tarkoitettu toimi on valvonnan järjestäminen ja sen dokumentointi. Tietosuoja-asetuksen 39 artiklan 1 kohdan mukaisesti tietosuojavastaavan tehtävänä on valvoa tietosuojaa koskevan vaatimustenmukaisuuden noudattamista. Tiedonhallintalain 4 §:n 2 momentin 5 kohdassa puolestaan säädetään siitä, että tiedonhallintayksikön johdon on huolehdittava siitä, että tiedonhallintayksikössä on järjestetty riittävä valvonta tiedonhallintaan liittyvien säädösten, määräysten ja ohjeiden noudattamisesta. Edellä esitetyssä sääntelyssä ei ole kuitenkaan säädetty mitään erityisiä vaatimuksia valvonnalle tai sen toteuttamiselle, vaan se jää laajasti rekisterinpitäjän ja tiedonhallintayksikön johdon vastuulle.

Virkavastuun asianmukainen toteuttaminen edellyttää, että automatisoitujen toimintaprosessien kehittämiseen, käyttöönottoon sekä käytön seurantaan luodaan normisto, jonka perusteella virkamiesten ja muiden vastuullisten virkavelvollisuudet ovat selvästi määriteltävissä, ja nämä virkavelvollisuudet täyttämällä hallinnon lainalaisuusperiaatteen, oikeusturvan, hyvän hallinnon takeiden sekä muiden hallintolain menettelysäännösten, asiakirjajulkisuuden ja tietosuojan viranomaistoiminnalle asettamien vaatimusten toteutuminen turvataan asianmukaisesti.

2.7 Julkisen hallinnon tietojärjestelmien ja tiedonhallinnan sääntely

2.7.1 Automaattiset päätöksentekojärjestelmät ja palveluautomaatio

Julkisessa hallinnossa on käytetty vuosikymmeniä tietojärjestelmiä hallintoasioiden käsittelyssä sekä muussa julkisten palvelujen tuottamisessa. Tietojärjestelmien, mukaan lukien palveluautomaation, kehittämisen ja käytön sääntely on kuitenkin hajanaista ja hyvin yleisluontoista.

Erityislainsäädännössä on sallittu automaattisten päätösten tekeminen kestävän metsätalouden määräaikaisessa rahoituslain 31 a §:ssä (34/2015, muutettu L:lla 14/2019), joka ei kuitenkaan sisällä tarkempaa sääntelyä automaattiseen päätöksentekoon käytettävän järjestelmän tai toimintaprosessin kehittämisestä, käyttöönotosta tai valvonnasta. Palveluautomaation osalta verkkotunnuslain 6 §:ssä (228/2003, kumottu 1.1.2015 alkaen L:lla 917/2014) säädettiin Viestintäviraston mahdollisuudesta käyttää palveluautomaatiojärjestelmää. Tässäkään yhteydessä ei säädetty tarkemmin palveluautomaation käyttöönoton edellytyksistä tai valvonnasta tai muista kontrolleista, mutta todettiin, että Viestintäviraston on nimettävä virkamies, joka vastaa asian käsittelystä palveluautomaatiojärjestelmässä.

Yleisellä tasolla tietojärjestelmien kehittämistä ohjaa tällä hetkellä lähinnä talouden suunnittelua, julkisia hankintoja, tietosuojaa ja tiedonhallintaa koskeva lainsäädäntö, jossa ei ole automaattiseen päätöksentekoon tai sen kehittämiseen tai käyttöön nimenomaisesti kohdistuvaa sääntelyä. Tiedonhallintalain 4 §:n 2 momentin mukaan tiedonhallintayksikön johdon on huolehdittava siitä, että tiedonhallintayksikössä on asianmukaiset työvälineet tiedonhallintaa koskevien velvollisuuksien toteuttamiseksi. Tiedonhallintalain 13 §:n 1–4 momentti velvoittaa varmistamaan tietojenkäsittelyn asianmukaisuuden sekä muiden perusoikeuksien toteuttaminen. Lisäksi digitaalisten palvelujen tarjoamisesta annetun lain (306/2019, jäljempänä digipalvelulaki) 4 §:ssä säädetään yleisesti digitaalisten palvelujen suunnitteluvelvollisuuden täyttämisestä ja digitaalisille palveluille asetettavista vaatimuksista, kuten tietoturvallisuudesta ja yhteensopivuudesta. Yleislainsäädännössä ei kuitenkaan ole säädetty tarkemmin siitä, millä tavoin viranomaisten tietojärjestelmissä asianmukainen asiankäsittely varmistetaan tai miten viranomaisen tulisi osoittaa, että asianmukaisen asiankäsittelyn edellytykset on varmistettu tietojärjestelmän kehittämisessä ja käytössä. Yleislainsäädännössä ei myöskään ole säädetty tarkemmin siitä, kuka käyttää julkista valtaa ja kehen virkavastuu kohdistuu, kun viranomaisen ratkaisu tehdään osittain tai kokonaan automaattisen tietojenkäsittelyn avulla.

Yleisen tietosuoja-asetuksen 35 artiklassa säädetään tietosuojan vaikutustenarvioinnista muun muassa uutta teknologiaa käyttöönotettaessa. Tietosuoja-asetuksen vaikutustenarviointia koskevaa velvollisuutta on tarkennettu tietosuojavaltuutetun päätöksessä, jossa on määritelty, missä tilanteissa vaikutustenarviointi on pakollista. Tällaisia tilanteita ovat muun muassa automaattisten päätöksenteon käyttöönotto, rekisteröityjen järjestelmällinen valvonta, erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely ja laajamittainen tietojenkäsittely. Tietosuojan vaikutustenarviointia koskeva sääntely jää kuitenkin yleiselle tasolle, ja sitä sovelletaan vain henkilötietojen käsittelyyn.

2.7.2 Viranomaisten varautumista koskeva sääntely

Valmiuslain (1552/2011) 12 §:n mukaan viranomaisten tulee varmistaa tehtäviensä mahdollisimman hyvä hoitaminen myös poikkeusoloissa. Varautumisvelvoitteen on katsottu koskevan myös muita, poikkeusoloja lievempiä häiriötilanteita. Tiedonhallintalain 13 §:n 2 momentissa säädetään viranomaisen velvoitteesta varmistaa tehtäviensä hoitamisen kannalta olennaisten tietojärjestelmien vikasietoisuus ja toiminnallinen käytettävyys riittävällä säännöllisellä testauksella. Yleisen tietosuoja-asetuksen henkilötietojen käsittelyn turvallisuutta koskevissa säännöksissä rekisterinpitäjän vastuulle on säädetty velvoite toteuttaa tarvittavat toimenpiteet, joilla taataan tietojen käytettävyys sekä kyetä palauttamaan nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa (32 artiklan 1 kohdan b ja c alakohdat). Sen sijaan tietovarantojen tietojen saatavuudesta tai käytettävyydestä on vain vähän sääntelyä ja sekin kohdentuu pääosin vastuullisen viranomaisen määrittämiseen. Toiminnan jatkuvuuden ja varautumisen vaatimukset ovat lainsäädännössä yleisellä tasolla eikä viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen arvioinnista annetussa laissa (1406/2011) erikseen mainita toiminnan jatkuvuuden ja varautumisen vaatimusten arviointia. Varautumista koskevassa sääntelyssä ei myöskään ole otettu eikä ole voitukaan ottaa huomioon automaattisen päätöksenteon yleistymisestä johtuvaa toimintaympäristön muutosta ja siitä aiheutuvia riskejä.

2.8 Julkishallinnossa käytössä olevat automaatioratkaisut

2.8.1 Avustava automaatio

Automaatiota eri muodoissaan käytetään useissa eri viranomaisissa ja julkista hallintotehtävää hoitavissa yksityisissä. Automaatio voi avustaa virkamiestä eri tavoin asian käsittelyssä. Automaattisessa ratkaisemisessa taas lopullinen asiaratkaisu muodostetaan ilman virkamiehen osallistumista. Automaatiota käytetään enenevissä määrin myös julkishallinnon neuvonnassa ja palvelutoiminnassa. Erilaisten automaatioratkaisujen taloudellinen merkitys on useilla viranomaisilla huomattava.

Avustavassa automaatiossa on kyse siitä, että automaation roolista huolimatta virkamies laatii tai ainakin arvioi lopullisen ratkaisun ennen sen antamista. Avustavaa automaatiota on hyvin monenlaista, ja automaatiota voidaan käyttää asian käsittelyn eri vaiheissa. Avustavaa automaatiota käytetään myös sellaisissa viranomaisissa tai niiden sellaisissa asiaryhmissä, joissa ei varsinaisesti ratkaista asioita automaattisesti.

Automaatiota hyödynnetään viranomaisissa esimerkiksi päätöstä varten tarvittavien tietojen keräämisellä eri sähköisistä rekistereistä. Automaatiota voidaan hyödyntää myös tapausten valikoinnissa ihmiskäsittelyyn, jolloin järjestelmään ohjelmoidaan erilaisia kriteerejä, joiden täyttyessä tapaus siirtyy ihmisen käsiteltäväksi. Esimerkiksi Verohallinnossa valikoidaan tällä tavoin asioita virkailijan tutkittavaksi. Joissain viranomaisissa tapauksia priorisoidaan automaattisesti ja myös valvontaan tulevaa materiaalia voidaan seuloa automaattisesti. Automaatiolla on tärkeä rooli myös viranomaisten välisessä tietojenvaihdossa esimerkiksi eri viranomaisten rekisterien välillä.

Useat viranomaiset hyödyntävät automaatiota erilaisiin laskentatoimituksiin sekä tiedon kokoamiseen käsittelijälle. Avustavassa automaatiossa sähköinen järjestelmä voi myös tuoda tietoja suoraan päätöspohjaan ja joissain tapauksissa luoda olemassa olevien tietojen pohjalta myös päätösehdotuksen vakiolausekkeineen ja -perusteluineen. Tämä päätöspohja menee manuaalisesti virkamiehen tarkistettavaksi tai täydennettäväksi ja siten itse hallintopäätös tehdään manuaalisesti. Avustava automaatio voi automaattisesti tai virkamiehen pyynnöstä tuottaa myös valmista asiakirjapohjaa käyttäen luonnoksen varsinaisesta päätöksestä, jonka virkamies tarkistaa ja vahvistaa mahdollisten muutosten jälkeen. Osa viranomaisista hyödyntää automaatiota tiedoksiannossa tai erilaisten yhteydenotto- ja neuvontakirjeiden lähettämisessä.

Jotkin viranomaiset hoitavat asiakirjojen arkistoinnin automaattisesti. Automaatiota käytetään myös ohjelmallisissa maksatuksissa esimerkiksi tilanteessa, jossa kuukausittain maksettavasta tuesta on annettu päätös aiemmin. Ohjelmallinen maksatus on käytössä esimerkiksi Kansaneläkelaitoksessa ja työttömyyskassoissa. Lisäksi erilaisissa määräaikojen seurannoissa ja ohjelmallisissa tarkastuksissa käytetään automaatiota.

2.8.2 Automaatio viranomaisen neuvonnassa ja palvelutoiminnassa

Viranomaiset käyttävät automaatiota yhä enemmän myös julkishallinnon neuvonnassa ja palvelutoiminnassa. Useilla viranomaisilla on esimerkiksi verkkosivuillaan käytössä chatbot, joka antaa yleistä neuvontaa hallinnon asiakkaiden tavallisimpiin kysymyksiin tai ohjaa asiakasta oikean palvelun piiriin. Jotkin viranomaiset kehittävät chatbotteja yhä henkilökohtaisempaan palveluun, jolloin myös asioita voidaan hoitaa chatbotin avulla puhelin- ja toimistopalvelun sijaan.

Jotkin viranomaiset ovat kokeilleet puheentunnistusta palvelutoiminnassaan. Esimerkiksi Kansaneläkelaitos on kokeillut puhebotin käyttöä puhelinpalvelussaan. Lisäksi asiakaspalvelupuheluiden analysointia on kokeiltu puheanalytiikalla. Puheanalytiikassa puhe muunnetaan tekstiksi ja tekstiä analysoidaan tekoälyn avulla. Kansaneläkelaitoksessa kokeillaan myös henkilöasiakkaiden lähettämien viestien luokittelua tekoälyn avulla yksiköiden välillä viestin sisällön perusteella.

Viranomaiset kehittävät myös erilaisia automaatiota hyödyntäviä digitaalisia palveluja. Esimerkiksi Elinkeino-, liikenne ja ympäristökeskusten sekä työ- ja elinkeinotoimistojen kehittämis- ja hallintokeskuksessa rakennetaan parhaillaan digitaalisia TE-viranomaispalveluja. Henkilö- ja yritysasiakkaiden sekä asiantuntijoiden asiointipalvelut samoin kuin näiden tietosisällöt tulevat jatkossa löytymään Työmarkkinatori-nimiseltä verkkoalustalta. Työmarkkinatorilla on niin kutsuttu ”kohtaantotoiminnallisuus”, jonka avulla työnhakijat löytävät itselleen sopivimmat työpaikat sekä työnantajat löytävät parhaiten tehtävään sopivat ehdokkaat.

2.8.3 Automaattisesti ratkaistavat asiat

Joissakin viranomaisissa on käytössä prosesseja, joissa valitut asiat käsitellään vireillepanosta päätöksentekoon ja tiedoksiantoon saakka itsenäisesti ilman käsittelijän osallistumista. Käsittelijä voi myös ottaa automatisoidussa prosessissa kantaa joihinkin, esimerkiksi harkintaa vaativiin kysymyksiin, minkä jälkeen lopullinen ratkaisu annetaan automaatiossa. Järjestelmät on toteutettu tyypillisesti niin, että vain tietyt edellytykset täyttävät tapaukset käsitellään kokonaan automaattisesti ja muut siirretään manuaaliseen käsittelyyn.

Hallintopäätösten lisäksi automaatiota hyödynnetään myös muissa sellaisissa viranomaisten toimissa, joilla on vaikutusta asianosaiseen. Nämä toimet ovat usein hallintopäätösten kaltaisia viranomaisten päätöksiä tai asiakkaalta itseltään edellytettäviä toimia. Kansaneläkelaitoksessa automaattisia prosesseja on käytössä muun muassa indeksitarkistusten yhteydessä. Indeksitarkistuksissa on kyse lakimuutosten perusteella tehtävästä laskennallisesta etuuden määrän muuttamisesta, josta ei erikseen anneta päätöstä kuin pyydettäessä. Työ- ja elinkeinotoimistot antavat työvoimapoliittisia lausuntoja automaattisesti tapauksissa, joihin ei sisälly harkintaa. Liikenne- ja viestintävirastossa automaatio on käytössä erilaisissa asiakkaan oma-aloitteisissa ilmoitus- ja rekisteröimisvelvollisuuksissa, kuten ajoneuvon ennakkoilmoittamisen yhteydessä.

Verohallinnossa automatisoitua päätöksentekoa käytetään verotusmenettelyn eri vaiheissa kymmenissä eri päätösryhmissä. Verotus on luonteeltaan massamenettelyä ja päätökset perustuvat pääasiallisesti riidattomien seikkojen ja laissa säädettyjen kriteerien perusteella tapahtuvaan päättelyyn ja laskentaan, joka ei edellytä virkailijan tapauskohtaista harkintaa. Verohallinto valikoi asioita virkailijoiden tutkittavaksi tietojärjestelmään ohjelmoitujen valikointiehtojen perusteella. Asiat, jotka eivät valikoidu, ratkaistaan kokonaan automaattisesti. Verohallinto antaa vuosittain ainakin 14,5 miljoonaa päätöstä automaatiossa. Suurimpia päätösryhmiä ovat henkilöasiakkaiden säännönmukainen tuloverotus (noin 5 miljoonaa päätöstä), ennakonpidätysprosentin määrääminen (noin 4,8 miljoonaa päätöstä), säännönmukainen kiinteistöverotus (noin 1,9 miljoonaa päätöstä) sekä ennakonpidätysprosentin muuttaminen ja ennakonkannon muuttaminen henkilöasiakkailla (noin 1,4 miljoonaa päätöstä). Muita suuria päätösryhmiä ovat oma-aloitteisten verojen arvioverotuspäätökset veroilmoituksen puuttuessa (noin 80 000 päätöstä), myöhästymismaksut (noin 350 000 päätöstä) ja yhteisöasiakkaiden säännönmukainen tuloverotus (noin 380 000 päätöstä).

Kansaneläkelaitos antaa vuosittain kymmeniä miljoonia ratkaisuja täysin automatisoidusti. Ratkaisuista suuri osa koskee apteekkitilityksiä (noin 40 miljoonaa kappaletta). Apteekkitilityksistä käsittelijän tarkistettavaksi nousevat vain ne ostot, joissa on esitarkastusjakson perusteella virheitä tai muuta tarkistettavaa. Muita suuria automaattisesti ratkaistavia asiaryhmiä ovat matkakorvaukset (noin 3,1 miljoonaa kappaletta) ja sairaanhoitokorvaukset (noin 1,5 miljoonaa kappaletta). Apteekkitilityksistä, matkakorvauksista ja sairaanhoitokorvauksista ei anneta asiakkaalle kirjallista päätöstä, jos korvaus on tilityksessä haetun mukainen. Asiakas voi halutessaan pyytää kirjallisen päätöksen. Jos hakemus hylätään kokonaan tai osittain, käsittelijä tekee kirjallisen päätöksen, joka annetaan sekä palveluntuottajalle että asiakkaalle. Varsinaisia automatisoituja hallintopäätöksiä Kansaneläkelaitos antaa esimerkiksi työttömyysturvaan kuuluvasta peruspäivärahan lakkautuksesta ja tarkistuksesta (noin 200 000 päätöstä), yleisen asumistuen lakkautuksesta (noin 70 000 päätöstä) sekä opintoetuuksista (noin 130 000 päätöstä). Opintoetuuksiin liittyviä automaattisia päätöksiä annetaan esimerkiksi opintotuen verkkohakemuksen perusteella haetusta opintotuesta, opintotuen lakkautuksesta, opintotuen perumisesta, opintotuen tulovalvonnassa, opintolainahyvityksestä ja –vähennyksestä sekä aikuiskoulutustuen lainatakauksesta.

Tullissa suurin osa tulli-ilmoitusten käsittelystä on automaattista, ja koko tulliselvitys huomioiden yli 90 % siitä tehdään automaattisesti. Tullimenettelyihin liittyviä hallinnollisia päätöksiä tehtiin vuonna 2019 yhteensä noin 2,3 miljoonaa. Näistä noin 1 130 000 oli vientejä, noin 920 000 tuonteja ja noin 240 000 passituksia. Kaikista päätöksistä 91,5 % eli lähes 2,1 miljoonaa tapausta käsiteltiin automaattisesti järjestelmään määritettyjen sääntöjen avulla. Automaatio käsittää tulli-ilmoitusten vastaanottamista, käsittelyä ja hyväksymistä sekä tavaran luovuttamista tullimenettelyyn. Lähtökohtana on, että kaikki tavanomaiset tulli-ilmoitukset käsitellään automaattisesti, ellei ole jotakin syytä nostaa tapausta manuaalisesti käsiteltäväksi.

Liikenne- ja viestintävirasto antaa vuosittain lähes 13 miljoonaa automaattiratkaisua ajokorttien, ajoneuvoverotuksen, ajoneuvon rekisteröinnin, ajoneuvojen tyyppihyväksynnän, radiolupahallinnon, miehittämättömän ilmailun, rautatieliikenteen sekä vesiliikenteen ja merenkulun alueilla. Automaattisesti annettavista päätöksistä suurimman osan muodostavat ajoneuvoveron maksuunpanopäätökset (noin 7,3 miljoonaa päätöstä) ja ajoneuvojen rekisteröintiin liittyvät päätökset (noin 5 miljoonaa päätöstä). Muita suurempia automaatiossa tehtäviä päätös- tai ratkaisuryhmiä ovat rautatiekaluston käyttöönottolupien myöntäminen raja-asemalle saapuville vaunuille (noin 270 000 päätöstä), ajoneuvon ennakkoilmoittaminen (noin 180 000 päätöstä) ja ajokorttilupa sekä ajokorttihakemukset (noin 100 000 päätöstä). Näistä ajoneuvon ennakkoilmoittaminen itsessään ei ole varsinaista hallintopäätöksentekoa, mutta toimenpiteeseen liittyy kuitenkin oikeusvaikutuksia ja siitä on oikeus saada todistus ensirekisteröintiä varten.

Maanmittauslaitoksessa automaatiota käytetään joissakin maakaaren 5 luvun 1 §:n mukaisissa kirjaamisasioissa. Yhteensä automaatioratkaisuja annettiin vuonna 2019 noin 105 000 kappaletta. Eniten automatisoituja ratkaisuja annettiin sähköisen panttikirjan siirtämisasioissa. Näitä ratkaistiin vuonna 2019 noin 119 000 kappaletta, joista noin 93 000 asiaa automatisoidusti. Myös osa kiinnityksen vahvistamisista tehdään automatisoidusti. Vuonna 2019 kiinnityksen vahvistamista koskevia asioita ratkaistiin noin 58 000 kappaletta, joista automatisoidusti noin 10 000 asiaa. Kolmantena automatisoituna asiaryhmänä on lainhuuto- ja kiinnitysrekisteriin kirjatun erityisen oikeuden poistaminen. Näitä ratkaistiin vuonna 2019 automatisoidusti yli 2 000 kappaletta.

Patentti- ja rekisterihallituksessa tehdään automaattisesti erilaisia yritysten ja yhteisöjen rekisteröintejä sekä kirjaamisia kaupparekisteriin. Tilinpäätösasiakirjat rekisteröidään kaupparekisteriin automaattisesti silloin, kun tilinpäätös toimitetaan teknisen käyttöyhteyden välityksellä Verohallinnosta. Vuonna 2019 tällaisia tilinpäätösilmoituksia rekisteröitiin noin 225 000 kappaletta. Osoite- ja yhteystiedot voidaan kirjata automaattisesti yritys- ja yhteisötietojärjestelmään silloin, kun nämä ilmoitetaan yritys- ja yhteisötietojärjestelmän sähköisessä asiointipalvelussa. Tällaisia kirjaamisia tehtiin vuonna 2019 noin 59 000 kappaletta. Myös yhteisön tosiasiallisten edunsaajatietojen rekisteröiminen kaupparekisteriin voidaan tehdä automaattisesti silloin, kun ilmoitus edunsaajatiedoista on tehty vastaavasti sähköisessä asiointipalvelussa. Sähköisiä edunsaajailmoituksia tehtiin vuonna 2019 noin 23 000 kappaletta. Lisäksi kaupparekisterilain (129/1979), osakeyhtiölain (624/2006), osuuskuntalain (421/2013) ja yhdistyslain (503/1989) mukaisia poistomenettelyjä tehdään automatisoidusti. Kaupparekisteristä poistettiin syyskuussa 2018 noin 11 000 elinkeinonharjoittajan tiedot. Vuosien 2018–2019 aikana rekisteristä on poistettu yhteensä noin 30 000 osakeyhtiötä ja osuuskuntaa. Yhdistysrekisteristä poistettiin helmikuussa 2017 noin 35 000 yhdistystä.

Digi- ja väestötietovirastossa automatiikkaa käytetään muun muassa erilaisissa kirjaamis- ja rekisteriasioissa. Kunnan sisäinen muutto kirjautuu väestötietojärjestelmään automaattisesti, ellei ilmoituksessa ole epäselvyyksiä. Vuonna 2019 tällaisia muuttoja kirjattiin noin 185 000 kappaletta. Uskontokunnasta eroaminen on mahdollista sähköisessä vahvan tunnistautumisen sisältävässä palvelussa, jolloin ero kirjautuu suoraan väestötietojärjestelmään. Rekisterimerkinnän tekemiseen ei tarvita viranomaisen myötävaikutusta. Asioiden määrä on vuositasolla noin 55 000 kappaletta, joista vain osa tapahtuu sähköisen palvelun kautta. Myös omia tietoja koskeva Väestötietojärjestelmän rekisteriote muodostuu automaattisesti, kun henkilö tilaa sen sähköisestä palvelusta. Asiamääriä rekisteriotteen osalta ei ole tiedossa, koska palvelu on uusi. Lisäksi erilaiset yksityishenkilöiden tai organisaatioiden edustajien antamat suomi.fi-valtuudet rekisteröityvät automaattisesti tietokantaan, kun valtuuden saaja on vahvistanut valtuuden. Automaatio tarkistaa käyttäjän henkilöllisyyden ja tarvittaessa toimivallan, minkä jälkeen käyttäjä voi antaa ja vahvistaa valtuuksia.

Rajavartiolaitoksessa suoritetaan automaattisia rajatarkastuksia. Automaattisessa rajatarkastuksessa maahan saapuva henkilö luetuttaa itse asiakirjansa ja vuodesta 2022 eteenpäin kolmansien maiden kansalaiset syöttävät maahantulopuhuttelun perustiedot rajatarkastusjärjestelmään. Järjestelmä vertailee maahan saapuvan henkilön biometriikan ja tarkastaa henkilöön ja asiakirjaan liittyen taustarekisterit. Mikäli automaattisessa tarkastuksessa ei ilmene riskitekijöitä järjestelmä sallii ja kirjaa maahan saapumisen. Automaattinen rajatarkastus tapahtuu rajatarkastajan tai -tarkastajien valvomosta tapahtuvan tarkkailun alaisena ja valvojalla on mahdollisuus puuttua tarkastustapahtumaan. Automaattinen rajatarkastus on noin 95-prosenttisesti automaattinen. Automaattisia rajatarkastuksia toteutettiin vuonna 2019 noin 2,4 miljoonaa. Automaattinen rajatarkastus on toistaiseksi ollut mahdollinen EU-kansalaisille ja eräille muille kansalaisuuksille. Vuonna 2022 automaattinen rajatarkastus on laajentumassa myös EU:n ulkopuolisille kansalaisuuksille.

Suomen metsäkeskus tekee kestävän metsätalouden määräaikaisen rahoituslain 31 a §:ssä tarkoitettuja automaattisia päätöksiä. Automaattinen päätöksenteko on mahdollista taimikon varhaishoidon, nuoren metsän hoidon ja terveyslannoituksen tuen myöntämisessä sekä niin sanotuissa tuen lopullista määrää koskevissa päätöksissä. Automatisoidut päätökset ovat mahdollisia vain niin sanotuissa selvissä tapauksissa eli silloin, kun ei ole tarpeen tehdä lisäselvityspyyntöä hallinnon asiakkaalla. Automaattisesti voidaan tehdä ainoastaan myönteisiä tukipäätöksiä. Päätös voidaan tehdä automaattisesti, jos hakemuksen tiedot eivät sisällä puutteita tai ristiriitaisuuksia metsäkeskuksen käytettävissä olevien sähköisten tietoaineistojen kanssa. Taimikon varhaishoidon ja nuoren metsän hoidon tuen myöntävistä koskevia päätöksiä on tehty vuonna 2019 yhteensä 8 882 kappaletta. Lopullista tuen määrää koskevien päätösten osalta saapuvat toteutusilmoitukset tarkastetaan automaattisesti ja jos toteutusilmoitus vastaa tuen myöntämistä koskevaa päätöstä, se menee automaattisesti maksuun. Näitä tapauksia metsäkeskuksessa on ollut vuonna 2019 yli 12 000 kappaletta.

Eläketurvakeskus ratkaisee, sovelletaanko työntekijään tai yrittäjään Suomen sosiaaliturvaa silloin, kun hän työskentelee toisessa EU/ETA-maassa, Sveitsissä tai maassa, jonka kanssa Suomella on sosiaaliturvasopimus. Myönteisissä tilanteissa vakuutetulle annetaan A1-todistus tai sosiaaliturvasopimusmaan todistus. Osa näistä A1-todistuksista annetaan automaattisesti. Todistuksia annettiin automaatiossa vuonna 2020 noin 4 000 kappaletta (2019 noin 4 600 kappaletta), mikä on noin 36 % kaikista samana vuonna annetuista todistuksista (vuonna 2019 noin 35 % kaikista samana vuonna annetuista todistuksista).

Valtiokonttorissa määrätään vuosittain automaattisesti kymmeniä tuhansia liikennevakuutuslaissa (460/2016) sekä työtapaturma- ja ammattitautilaissa (459/2015) tarkoitettuja vakuutusmaksuja vastaavia maksuja ja laiminlyöntimaksuja. Liikennevakuutuslakiin perustuvia asioita saapuu vuosittain 35 000–40 000 kappaletta, ja automaatioaste on noin 96 %. Työtapaturma- ja ammattitautilakiin perustuvia asioita saapuu vuosittain 2 000–2 500 kappaletta. Näiden osalta automaatioaste on noin 90 %.

Työllisyysrahasto hyödyntää automaattista päätöksentekoa työttömyysvakuutusmaksujen määräämisessä ja aikuiskoulutustuen maksuhakemuksissa. Työllisyysrahasto sai tulorekisteristä noin 57 miljoonaa palkkatietoilmoitusta koskien vuoden 2019 palkkatietoja. Yhdessä palkkatietoilmoituksessa on keskimäärin useita rivejä palkkatietoja, jotka lasketaan yhteen ja vähennetään toisistaan tiettyjen kaavamaisten laskusääntöjen perusteella. Työllisyysrahasto laskee yhden työnantajan kaikki palkkatietoilmoitukset tulorekisteriin tehtyine korjauksineen yhteen ja määrää ilmoitettujen tietojen perusteella työnantajalle työttömyysvakuutusmaksut maksettaviksi. Työllisyysrahasto antaa vuosittain noin 500 000 hallintopäätöstä työttömyysvakuutusmaksuista. Työllisyysrahasto itseoikaisee jo määrättyjä maksuja tulorekisteriin tehtyjen korjausten perusteella automaattisesti. Oikaisupäätösten lukumäärä sisältyy arvioituun vuosittaiseen 500 000 hallintopäätökseen. Päätöksistä noin 99 % tehdään automaatiossa.

Työllisyysrahastossa palkansaajan aikuiskoulutustuen hakemisen malli on kaksivaiheinen. Ensivaiheessa hakija lähettää Työllisyysrahastoon ensihakemuksen, jonka yhteydessä rahasto selvittää, onko hän oikeutettu aikuiskoulutustukeen. Tämän jälkeen hakija voi hakea aikuiskoulutustuen maksua kuukausittain maksuhakemuksella. Automaattisen käsittelyn seurauksena hakemukseen muodostetaan automaattinen päätös, jos asiakas on antanut siihen nimenomaisen suostumuksensa. Työllisyysrahaston arvion mukaan maksuhakemuksia saapuu vuositasolla n. 85 000 kappaletta, joista automaattinen päätös annetaan 40–70 %:ssa tapauksista eli noin 30 000–60 000 päätökseen.

Työ- ja elinkeinotoimisto ratkaisee toimivaltaansa kuuluvat työnhakijan työttömyysturvaoikeutta koskevat edellytykset ja antaa niitä koskevan työvoimapoliittisen lausunnon Kansaneläkelaitokselle tai työttömyyskassalle. Työvoimapoliittinen lausunto annetaan muun muassa työttömyysetuuden saamisen niin sanotuista yleisistä työvoimapoliittisista edellytyksistä. Työvoimapoliittinen lausunto ei ole päätös työnhakijan työttömyysturvaoikeudesta, vaan päätöksen valmisteluun liittyvä toimi. Koska lausunto sitoo Kansaneläkelaitosta tai työttömyyskassaa, lausunnon antamiseen on kuitenkin vakiintuneesti sovellettu soveltuvin osin hallintolain säännöksiä päätöksen antamisesta. Osa työvoimapoliittisista lausunnoista annetaan automaattisesti työnhakijan työ- ja elinkeinotoimiston verkkopalvelussa ilmoittamien tietojen perusteella. Työnhakijan antamien tietojen perusteella käsitellään automaattisesti ainoastaan tilanteita, joihin ei liity harkintaa. Työttömyyden alkaessa annettavia työvoimapoliittisia lausuntoja työttömyysetuuden saamisen yleisten edellytysten täyttymisestä annettiin vuonna 2018 noin 600 000, joista noin 30 000 annettiin automaattisesti. Lisäksi työnhaun voimassaolon päättymisestä ja työttömyyden päättymisestä annettiin vuonna 2018 noin 790 000 työvoimapoliittista lausuntoa, joista merkittävä osa on annettu automaattisesti.

Työttömyyskassoissa hyödynnetään automaattista tietojenkäsittelyä osana päätöksenantomenettelyä. Osassa työttömyyskassoista esimerkiksi jäseneksi hyväksymisen edellytykset voidaan todeta jäsenen itsensä antamien tietojen perusteella, jolloin hakemus voidaan hyväksyä automaattisessa prosessissa. Työttömyyskassalain (603/1984) 4 §:n 4 momenttia on vakiintuneesti tulkittu siten, että jäseneksi ottamisesta annetaan valituskelpoinen päätös vain henkilön sitä itse vaatiessa.

Työeläkelaitoksissa tehdään vanhuuseläkepäätöksiä ja osittaista varhennettua vanhuuseläkkeitä koskevia päätöksiä automaattisesti. Vuonna 2019 tehtiin noin 20 000 vanhuuseläkepäätöstä automaattisesti, mikä on arviolta noin 20 % kaikista vanhuuseläkepäätöksistä. Osittaista varhennettua vanhuuseläkettä koskevia päätöksiä tehtiin vuonna 2019 joitakin tuhansia.

Rahoitusvakausvirastossa tehdään rahoitusvakausvirastosta annetun lain 5 luvun 20 §:n mukaisesti automaattisia päätöksiä koskien talletussuojakorvauksia.

Ehdotuksen tavoitteena on mahdollistaa automaattinen päätöksenteko viranomaisissa ja julkista hallintotehtävää hoitavissa yksityisissä turvaten erityisesti perustuslain ja hallintolain sekä muiden hallinnon yleislakien asettamat hyvää hallintoa, hallintoasian käsittelyä, viranomaisten toiminnan lakisidonnaisuutta ja hallinnon lainalaisuutta koskevat vaatimukset. Sääntely koskisi sekä luonnollisiin henkilöihin että oikeushenkilöihin kohdistuvia hallintopäätöksiä. Luonnollisten henkilöiden osalta ehdotetulla lailla säädettäisiin poikkeus EU:n tietosuojasääntelyyn sisältyvästä automaattisten päätösten kiellosta.

Tavoitteena on myös varmistaa asiankäsittelyn asianmukaisuus, viranomaisen toiminnan läpinäkyvyys, virkavastuun kohdentuminen sekä riittävät kontrollit silloin, kun viranomainen tekee päätöksiä automaattisesti. Lisäksi tavoitteena on varmistaa viranomaisten kyvyn hoitaa tehtäviään säilyttäminen erilaisissa häiriötilanteissa, sekä riittävä tiedonkulku viranomaisten tietoaineistoja hyödyntäville häiriötilanteen sattuessa. Tavoitteena on selkeyttää palveluautomaation oikeustilaa erityisesti suhteessa automaattiseen päätöksentekoon ja varmistaa, että asianmukaisuus ja laadunvalvonta toteutuvat myös palveluautomaatiolla annettavassa neuvonnassa.

4.1 Keskeiset ehdotukset

4.1.1 Lähtökohdat

Esityksessä ehdotetaan, että yleislainsäädännön tasolla säädetään automaattisesta päätöksenteosta tietosuoja-asetuksessa edellytetyllä tavalla. Lisäksi ehdotetaan yleislainsäädännön tasolle hallintolakiin ja tiedonhallintalakiin sääntelyä, jolla täytetään perustuslakivaliokunnan vaatimus siitä, että julkisen hallinnon automaattisen päätöksenteon on täytettävä hallinnon lainalaisuuden, julkisuusperiaatteen ja hyvän hallinnon perusteisiin kuuluvien hallinnon oikeusperiaatteiden asettamat edellytykset sekä turvattava oikeusturvan ja virkamiesten virkavastuun asianmukainen toteutuminen.

4.1.2 Hallintolaki

Esityksessä ehdotetaan lisättäväksi hallintolakiin uusi asioiden automaattista ratkaisemista koskeva luku. Sääntely perustaa viranomaiselle toimivallan tehdä ratkaisuja automaattisesti lukuun sisältyvillä edellytyksillä. Lisäksi sääntely mahdollistaisi kansalliseen liikkumavaraan nojautuen EU:n tietosuojasääntelyyn sisältyvän automaattisten päätösten kiellosta poikkeamisen.

Lukuun sisältyvät säännökset automaattisen ratkaisemisen sallitusta käyttöalasta ja oikeussuojaedellytyksestä. Ehdotuksen mukaan viranomainen voisi ratkaista automaattisesti asian, johon ei sisälly seikkoja, jotka viranomaisen etukäteisen harkinnan mukaan edellyttäisivät tapauskohtaista harkintaa, tai johon sisältyvät tapauskohtaista harkintaa edellyttävät seikat virkamies tai muu asian käsittelijä on arvioinut. Automaattisen ratkaisemisen olisi perustuttava sovellettavan lain perusteella laadittuihin käsittelysääntöihin. Oikaisuvaatimusta tai siihen rinnastuvaa vaatimusta ei saisi ratkaista automaattisesti. Automaattisen ratkaisemisen oikeussuojaedellytykseksi ehdotetaan, että ratkaisun kohteena olevalla luonnollisella henkilöllä tulisi olla käytössään hallintolain mukainen oikaisuvaatimus tai siihen rinnastuva maksuton vaatimus.

Hallintolakiin lisättäisiin myös säännökset viranomaisen velvollisuudesta ilmoittaa automaattisesta ratkaisemisesta asianosaiselle sekä jos asiakkaalle ei anneta hallintopäätöstä, ratkaisun perusteena olevat tiedot. Automaattisesti ratkaistuissa asioissa ei olisi tarpeen ilmoittaa henkilön nimeä, jolta asianosainen voi pyytää tarvittaessa lisätietoja päätöksestä.

4.1.3 Laki julkisen hallinnon tiedonhallinnasta

Esityksessä ehdotetaan lisättäväksi tiedonhallintalakiin uusi automatisoituja toimintaprosesseja koskeva 6 a luku, uusi 13 a § sekä muutoksia 2 §:ään, 3 § ään ja 26 §:ään. Lain 14 §:ään tehtäisiin tekninen muutos.

Yhdistettynä hallintolain ehdotettuun 8 b lukuun tiedonhallintalain 6 a luku muodostaisi automaattisen päätöksenteon yleissääntelyn kokonaisuuden, jolla varmistettaisiin hyvän hallinnon vaatimusten toteutuminen, virkavastuun kohdistuminen, päätöksenteon läpinäkyvyys sekä riittävät kontrollit. Tiedonhallintalain 2 §:ssä säädettäisiin 6 a luvun kannalta keskeisistä määritelmistä ja 3 §;ssä säädettäisiin uuden 6 a luvun soveltamisalasta.

Sääntelykohteena 6 a luvussa olisi automatisoitu toimintaprosessi, joka 2 §:n mukaan tarkoittaisi toimintaprosessia, jossa tuotetaan ehdotetussa hallintolain 53 e §:ssä tarkoitettu automaattinen ratkaisu. Luku sisältäisi useita velvollisuuksia, jotka kohdistuisivat automaattista päätöksentekoa kehittävään ja käyttävään viranomaiseen. Näin muodostettaisiin virkavastuun ketju, johon kuuluisivat keskeiset automatisoidun toimintaprosessin kehittämisessä, käyttöönotossa ja valvonnassa mukana olevat henkilöt. Luvussa säädettyjen tehtävien hoitaminen kytkettäisiin nimenomaisella säännöksellä virkamiehen rikosoikeudelliseen virkavastuuseen.

Viranomaisen olisi huolehdittava automatisoidun toimintaprosessin asianmukaisesta ja kattavasta dokumentaatiosta sekä varmistettava asianmukaisella ja suunnitelmallisella testauksella, että automatisoitu toimintaprosessi vastaa sille asetettuja vaatimuksia. Vaatimustenmukaisuuden varmistamiselle olisi nimettävä erityinen vastuuhenkilö. Viranomaisen olisi myös huolehdittava automatisoidun toimintaprosessin laadunvalvonnasta, mihin kuuluisi tarpeellisten tietojen tallentaminen itse toimintaprosessista, laadunvalvontasuunnitelman hyväksyminen ja laadunvalvonnasta vastaavan henkilön nimeäminen. Viranomaisen olisi viipymättä ryhdyttävä korjaaviin toimenpiteisiin, jos automatisoidussa toimintaprosessissa havaitaan virhe. Automatisoidun toimintaprosessin tietoturvallisuutta vahvistettaisiin edellyttämällä, että automatisoidussa toimintaprosessissa käytetyt käsittelysäännöt on suojattava oikeudettomalta muuttamiselta. Automaattisessa ratkaisemisessa hyödynnettävien tietojen ajantasaisuus ja virheettömyys tulisi varmistaa riskiarvioinnin perusteella. Läpinäkyvyyden varmistamiseksi viranomaisen olisi julkaistava käyttöönottopäätös verkkosivuillaan sekä tiedotettava verkkosivustollaan automaattisesti ratkaistavista asioista, automatisoidun toimintaprosessin käytön perusteista ja muista hallinnon asiakkaan oikeuksien kannalta keskeisistä tiedoista.

Viranomaisen olisi tehtävä ennen automatisoidun toimintaprosessin käyttöönottoa käyttöönottopäätös, jossa olisi esitettävä perusteet toimintaprosessin käyttöönotolle sekä lueteltava keskeinen toimintaprosessia kuvaava dokumentaatio. Tiedonhallintalautakunnalle annettaisiin tehtävä arvioida käyttöönottopäätöksen ja sen perusteena olevien asiakirjojen tiedonhallintalain mukaisuutta ja lautakunnalle annettaisiin tehtävän hoitamisen kannalta välttämättömät tiedonsaanti- ja tarkastusoikeudet. Jos tiedonhallintalautakunta havaitsee olennaisia puutteita arviointitehtävänsä yhteydessä, se voisi kiinnittää viranomaisen huomiota niihin ja asettaa määräajan, jonka kuluessa viranomaisen olisi ilmoitettava toimenpiteistä, joihin se on ryhtynyt huomion kiinnittämisen johdosta.

Lisäksi tiedonhallintalakiin ehdotetaan lisättäväksi velvoite tiedonhallintayksiköille selvittää tietoaineistojen käsittelyn, tietojärjestelmien hyödyntämisen sekä niihin perustuvan toiminnan jatkuvuuteen kohdistuvat riskit. Lisäksi viranomaisen olisi viipymättä tiedotettava sen tietoaineistoja hyödyntäville, jos sen tiedonhallintaan kohdistuu häiriö, joka estää tai uhkaa estää viranomaisen tietoaineistojen saatavuuden.

4.1.4 Laki digitaalisten palvelujen tarjoamisesta

Lakiin ehdotetaan lisättäväksi uusi 6 a §, jossa säädettäisiin edellytyksistä, joilla viranomainen voi antaa neuvontaa digitaalisessa palvelussa palveluautomaation avulla. Viranomaisen olisi ennalta varmistettava neuvonnan tietosisällön asianmukaisuus sekä palveluautomaation hyvä kielenkäyttö. Hallinnon asiakkaalle olisi kerrottava, että hän vaihtaa viestejä palveluautomaation kanssa, minkä lisäksi hänelle on tarjottava mahdollisuus ottaa yhteyttä viranomaisessa toimivaan luonnolliseen henkilöön. Lisäksi hallinnon asiakkaan tulisi voida tallentaa palveluautomaation kanssa käyty viestinvaihto ja viranomaisen olisi valvottava neuvonnan laatua ja muuta asianmukaisuutta.

4.1.5 Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

Rikosasioiden tietosuojalain 13 §:n 2 momenttiin ehdotetaan säännöstä, joka mahdollistaa rikosasioiden tietosuojalain soveltamisalalla hallintoasian automaattisen ratkaisemisen.

4.1.6 Maakaari

Esityksessä ehdotetaan lisäksi muutettavaksi maakaaren 5 luvun 2 §:ää, jossa säädetään kirjaamisviranomaisesta. Muutoksella mahdollistetaan automaattisen päätöksenteon jatkaminen Maanmittauslaitoksessa.

4.2 Pääasialliset vaikutukset

4.2.1 Taloudelliset vaikutukset

4.2.1.1 Vaikutukset valtion talouteen

Esitys liittyy vuoden 2023 talousarvioesitykseen ja on tarkoitettu käsiteltäväksi eduskunnassa sen yhteydessä.

Esityksen tavoitteena on mahdollistaa automaattinen päätöksenteko julkisessa hallinnossa. Ehdotusten mukaiset lainsäädännölliset velvoitteet tulevat aiheuttamaan sekä kertaluonteisia että pysyviä määrärahan lisäystarpeita valtion virastoille ja siten esitys tulee vaikuttamaan vuoden 2023 talousarvioesitykseen sekä pysyviin määrärahatarpeisiin tuleville vuosille. Merkittävimmät kustannusvaikutukset liittyvät nykyisistä prosesseista laaditun dokumentaation sekä prosessien laadunvarmistuksessa ja -valvonnassa käytettyjen menettelyjen tarkistamiseen sekä sen varmistamiseen, että prosessien toimintaa seurataan vaatimusten mukaisesti ja prosesseista tallennetaan niiden valvonnan edellyttämät tiedot. Lisäksi kustannuksia aiheutuisi vaatimusten mukaisten menettelyiden koulutuksesta ja opastuksesta. Esityksen mukaisilla vaatimuksilla lähinnä tarkennetaan viranomaiselle jo laissa säädettyjä vaatimuksia. Esitetyt määrärahavaikutukset ovat viranomaisten hallituksen esityksen valmisteluun tuottamia tietoja.

Verohallinnolta saadun arvion mukaan esitys tulee aiheuttamaan kertaluontoisia kustannuksia 1 280 000 euroa vuonna 2023 ja 560 000 euroa per vuosi ajalla 2024–2026, jotka kohdistuvat valtiovarainministeriön hallinnonalan momentille 28.10.01 Verohallinnon toimintamenot.

Tullin arvion mukaan esitys tulee aiheuttamaan kertaluontoisia kustannuksia 370 000 euroa vuodelle 2023, 370 000 euroa vuonna 2024 sekä 1 230 000 euroa per vuosi ajalla 2025–2026, jotka kohdistuvat valtiovarainministeriön hallinnonalan momentille 28.10.02 Tullin toimintamenot.

Valtiokonttori on arvioinut, että esitys tulee aiheuttamaan kertaluontoisia kustannuksia 1 230 000 euroa vuotena 2023, 2 766 000 euroa vuonna 2024 sekä 2 784 000 euroa per vuosi ajalla 2025–2026, jotka kohdistuvat valtiovarainministeriön hallinnonalan momentille 28.20.01 Valtiokonttorin toimintamenot.

Digi- ja väestötietoviraston arvion mukaan esitys tulee aiheuttamaan lisämäärärahan tarvetta kertaluontoisena 755 000 euroa vuotena 2023. Lisäksi se arvioi kustannusten olevan 120 000 euroa vuonna 2024 sekä ajalla 2025–2026 80 000 euroa per vuosi. Nämä kustannukset kohdistuisivat valtionvarainministeriön hallinnonalan momentille 28.30.03 Digi- ja väestötietoviraston toimintamenot.

Rahoitusvakausvirasto on toimittanut arvion, jonka mukaisesti esitys tulee aiheuttamaan kertaluontoisia kustannuksia 50 000 euroa vuodelle 2023 ja 2 000 euroa per vuosi ajalla 2024–2026, jotka kohdistuisivat valtionvarainministeriön hallinnonalan momentille 28.92.03 Rahoitusvakausviraston toimintamenot.

Ruokavirasto on arvioinut esityksen aiheuttamien kertaluontoisten kustannusten olevan 2 500 000 euroa vuonna 2023 ja 1 200 000 vuonna 2024. Kustannusarvio ajalle 2025–2026 on 1 150 000 euroa per vuosi. Kustannukset kohdistuisivat maa- ja metsätalousministeriön hallinnonalan momentille 30.20.01 Ruokaviraston toimintamenot.

Maanmittauslaitoksen arvion mukaan esitys tulee aiheuttamaan kertaluontoisia kustannuksia 96 000 euroa vuodelle 2023. Kustannukset kohdistuisivat maa- ja metsätalousministeriön hallinnonalan momentille 30.70.01 Maanmittauslaitoksen toimintamenot.

Työ- ja elinkeinoministeriöltä saadun arvion mukaan esitys tulee aiheuttamaan kertaluontoisia kustannuksia työ- ja elinkeinotoimistoille 270 000 euroa vuonna 2023 sekä 135 000 euroa vuotena 2024, jotka kohdistuvat työ- ja elinkeinoministeriön hallinnonalan momentille 32.01.02 Elinkeino-, liikenne- ja ympäristökeskusten toimintamenot.

4.2.1.2 Valtion viranomaiset

Taloudelliset vaikutukset valtion viranomaisille yleisesti

Tiedonhallintalain 6 a luvun vaatimusten toteuttaminen edellyttäisi toimenpiteitä niiltä valtion virastoilta ja laitoksilta, joilla on tällä hetkellä käytössä hallintolakia koskevassa ehdotuksessa tarkoitettua automaattista ratkaisemista. Valmistelun aikana muutostarpeen on tunnistettu kohdistuvan ainakin Digi- ja väestötietoviraston, Liikenne- ja viestintäviraston, Maanmittauslaitoksen, Patentti- ja rekisterihallituksen, Rahoitusvakausviraston, Ruokaviraston, Tullin, työ- ja elinkeinotoimistojen, Valtiokonttorin sekä Verohallinnon prosesseihin.

Vaatimusten toteuttaminen nykyisiin prosesseihin edellyttäisi niiden läpikäyntiä sekä prosesseista tuotetun dokumentaation tarkistamista ja mahdollista muokkaamista, mikäli kuvaukset eivät vastaa vaadittua. Virastojen tulisi myös laatia olemassa olevista prosesseista ehdotuksen tarkoittamat käyttöönottopäätökset sekä laadunvalvontasuunnitelmat. Lisäksi virastojen olisi tarkistettava nykyiset käytännöt, joilla ne seuraavat ja keräävät tietoa prosessien toteutumisesta, korjaavat prosesseissa havaitsemansa virheet sekä varmistavat päätöksissä käytettävien tietojen ajantasaisuuden ja virheettömyyden.

Ehdotuksen ei arvioida muodostavan sellaisia uusia vaatimuksia, jotka edellyttäisivät merkittäviä muutoksia käytössä oleviin tietojärjestelmiin. Viranomaisten olisi kuitenkin varauduttava muuttamaan myös järjestelmiään, mikäli ne eivät vastaa ehdotuksessa tai muualla laissa säädettyä.

Ehdotusten valmistelun aikana tehtyjen selvitysten perusteella automaattisia ratkaisuja toteuttavien prosessien muuttaminen tiedonhallintalain 6 a luvun vaatimusten mukaiseksi aiheuttaisi noin 10–12 miljoonan euron kertaluonteisen muutoskustannuksen vuosina 2023–2024. Ehdotuksen talousarviovaikutusten vuoden 2023 osalta arvioidaan olevan 6 551 490 euroa. Vaatimusten arvioidaan nostavan prosessien ylläpitokustannuksia yhteensä noin 6 miljoonalla eurolla vuodessa vuodesta 2023 alkaen. Vaatimusten toteuttamisen vaatiman työpanoksen ja kustannusten arvioidaan olevan kuitenkin vähäinen verrattuna siihen, että automaatiota hyödyntävät virastot joutuisivat vähentämään nykyisen ratkaisutoimintansa automaatioastetta. Selvitysten perusteella käytössä olevan automatisoinnin korvaaminen henkilötyöllä tarkoittaisi tuhansien henkilötyövuosien vuosittaista lisäystä valtionhallintoon. Lisäksi nykyisen automaation vähentämistä ei olisi käytännössä mahdollista tehdä ilman pitkää siirtymäaikaa.

Tiedonhallintalain 6 a lukuun ehdotettujen vaatimusten keskeisten hyötyjen arvioidaan muodostuvan ehdotuksen automaattiseen päätöksentekoon liittyvän epävarmuuden vähentymisestä. Ehdotuksella mahdollistettaisiin nykyisen automatisointiasteen säilyttäminen ja vältettäisiin merkittävät lisäkustannukset, joita automaation korvaaminen henkilötyöllä edellyttäisi. Tällä hetkellä myös useiden valtion virastojen toiminnan kehittäminen toimintaprosessien automatisoinnin avulla on pysähdyksissä, koska riittävää varmuutta prosessissa huomioitavista vaatimuksista ei ole. Vaatimusten vakioinnilla lain tasolla mahdollistettaisiin pitkäjänteinen automatisoinnin kehittäminen ja sen avulla saatavat laatu- ja tuottavuushyödyt. Ehdotuksen mahdollistamien hyötyjen suuruus riippuu pitkälti automatisoitavasta prosessista sekä tavasta, jolla automatisointi toteutetaan. Nykyisin käytössä olevien prosessien osalta tehtyjen arvioiden mukaan hyötypotentiaalin on arvioitu olevan kuitenkin merkittävä.

Uusien automatisoitavien päätöksentekoprosessien osalta tiedonhallintalain 6 a luvussa ehdotettujen vaatimusten arvioidaan lisäävän valtion virastojen ja laitosten prosessien kehittämiskustannuksia verrattuna siihen, että prosessien kehittäminen, käyttöönotto ja käytön aikainen valvonta toteutettaisiin yleisemmän tasoisilla vaatimuksilla, kuin mitä automaattisen päätöksenteon läpinäkyvyyden varmistaminen, prosessin kontrolloitavuus ja virkavastuun kohdentaminen edellyttäisivät. Työmäärän arvioidaan olevan kuitenkin vähäinen suhteessa prosessien kehitystyön tai tietojärjestelmien ylläpidon kokonaiskustannuksiin. Uusien prosessien osalta kustannukset voidaan huomioida kehittämisen yhteydessä tehtävässä normaalissa resurssisuunnittelussa ja kehittämisen edellyttämissä määrärahaesityksissä.

Tiedonhallintalain 13 a §:ssä ehdotettujen häiriötilanteiden viestintää ja varautumista koskevien vaatimusten arvioidaan edellyttävän valtion viranomaisilta nykyisin käytössä olevien vastaavien menettelyiden ja valmiussuunnittelua koskevien käytäntöjen tarkistamista ja mahdollista muuttamista vaatimuksia vastaavaksi. Menettelyiden ja ohjeiden tarkistamisen vaatiman työpanoksen ei arvioida olevan merkittävä. Niiden toteuttamisen arvioidaan olevan mahdollista allokoimalla uudelleen olemassa olevia resursseja. Tiedonhallintalain 26 §:ssä ehdotettujen asiarekisteriin merkittäviä tietoja koskevien vaatimusten ei arvioida aiheuttavan valtion virastojen ja laitosten asianhallinnalle merkittäviä muutostarpeita. Asiarekisteriin merkittäviä tietoja koskevat ehdotukset vastaavat nykyisiä laissa säädettyjen velvollisuuksien toteuttamiseen liittyviä tarpeita tallentaa tiedot asiakirjojen lähettämisestä sekä ratkaisujen ajankohdista.

Digipalvelulain 6 a §:n palveluautomaatiota koskevien vaatimusten ei arvioida aiheuttavan merkittäviä kustannuksia niille valtion virastoille ja laitoksille, jotka tällä hetkellä käyttävät neuvonnassa automaatioon perustuvia ”chatbot-palveluja” tai niitä vastaavia ratkaisuja. Lähtökohtaisesti viranomaisen hallinnon asiakkaille tarjoaman neuvonnan tulisi vastata ehdotukseen sisältyviä hyvälle hallinnolle, neuvontavelvollisuudelle sekä neuvonnan kielelle asetettuja vaatimuksia.

Palvelujen testausta ja laadunvarmistamista koskevien vaatimusten arvioidaan lisäävän lyhytaikaisesti palveluautomaatiolla toteutettavan neuvontaprosessien ylläpitokustannuksia sekä uusien palvelujen kehittämiskustannuksia. Pidemmällä aikavälillä palveluautomaatiota koskevien vaatimusten arvioidaan kuitenkin tuovan merkittäviä hyötyjä palvelujen käyttöönottamisen oikeusvarmuuden, palvelujen kehittämisen tehostumisen sekä palvelujen käytön laajentumisen kautta.

Häiriötilanteista tiedottaminen ja varautuminen häiriötilanteisiin

Tiedonhallintalain 13 a §:n 1 momenttiin ehdotetaan säädettäväksi valtion viranomaisille vaatimus tiedottaa viipymättä sen tietoaineistoja hyödyntäville, jos sen tiedonhallintaan kohdistuu häiriö, joka estää tai uhkaa estää viranomaisen tietoaineistojen saatavuuden. Viranomaisen olisi tiedotettava myös häiriön tai uhkan päättymisestä. Ehdotettu tiedottamisvelvollisuus edellyttäisi viranomaisilta nykyisten tiedottamiseen liittyvien toimintamallien ja menettelyiden tarkistamista sekä tarvittavien muutostoimenpiteiden toteuttamista niihin. Ehdotuksen taloudellisten vaikutusten arvioidaan olevan kuitenkin vähäisiä. Valmistelun aikana tehdyn selvityksen ja ehdotuksesta saatujen lausuntopalautteiden perusteella valtion viranomaisten nykyiset käytännöt tiedottamisesta niiden omalla vastuulla oleviin tietojärjestelmiin liittyvistä häiriöistä vastaavat pitkälti ehdotettua. Viranomaisilla on olemassa sovitut menettelyt, joiden avulla tietojenluovuttamiseen liittyvistä häiriötilanteista viestitään toisille viranomaisille. Kun ehdotus jättää lisäksi tiedottamisen tavan ja tiedottamisessa käytettävän välineet viranomaisten omaan harkintaan, voidaan vaatimusten toteuttamisessa tukeutua olemassa oleviin menettelyihin. Ehdotukseen liittyvä 12 kuukauden siirtymäsäännös mahdollistaisi sen, että valtion virastot ja laitokset pystyisivät toteuttamaan vaatimuksen olemassa olevilla resursseilla.

Tiedonhallintalain 13 a §:n 3 momentissa ehdotetaan säädettäväksi valtion virastoille ja laitoksille sekä niiden yhteydessä toimiville viranomaisille vaatimuksesta varmistaa riskinarvioinnin perusteella toimintansa jatkuvuus toteuttamalla valittuja valmiussuunnittelua koskevia toimenpiteitä myös normaaliolojen häiriötilanteissa. Ehdotus kohdentaa tiedonhallintalain 13 §:n 1 momentissa säädetyn riskienarviointivelvollisuuden tietojärjestelmien hyödyntämiseen ja liittää viranomaiselta edellytetyt toimenpiteet samansuuntaiseksi valmiuslain 12 §:ssä säädettyjä varautumisvelvollisuuksien kanssa. Koska ehdotuksella lähinnä tarkennetaan voimassa olevaa sääntelyä toiminnan jatkuvuuden varmistamiseksi, ei ehdotuksen arvioida edellyttävän valtion viranomaisilta merkittäviä muutostoimenpiteitä. Ehdotuksen vaikutuksia valtion viranomaisille vähentää osataan myös vaatimusten samansuuntaisuus voimassa olevan erityislainsäädännön kanssa. Ehdotusta vastaavia vaatimuksia varautumisesta normaaliolojen häiriötilanteisiin sisältyy muun muassa Ilmatieteenlaitoksen (laki Ilmatieteenlaitoksesta 212/2018 1 §), Liikenne- ja viestintäviraston (laki Liikenne- ja viestintävirastosta 935/2018 2 §) sekä Väyläviraston (laki Väylävirastosta 862/2009 2 §) tehtäviä koskevaan sääntelyyn. Lisäksi samansuuntaisista vaatimuksista on säädetty Digi- ja väestötietoviraston vastuulla olevien hallinnon yhteisten sähköisen asioinnin tukipalvelujen (laki hallinnon yhteisistä sähköisen asioinnin tukipalveluista 571/2016 19 §) sekä valtion tieto- ja viestintäteknisen palvelukeskuksen Valtorin vastuulla olevien valtion yhteisten tieto- ja viestintäteknisten palvelujen (laki valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä 1226/2013 15 §) sekä hallinnon turvallisuusverkon tiettyjen palvelujen ylläpidon osalta (laki julkisen hallinnon turvallisuusverkkotoiminnasta 10/2015 9 §).

Esitettyä arviota vahvistaa valmistelun aikana tehdyissä selvityksissä valtion viranomaisilta saadut arviot siitä, että tiedonhallintalain 13 a §:n 3 momentissa ehdotetut vaatimukset toteutuvat jo tällä hetkellä vähintäänkin keskeisten tietojärjestelmien ja tietojen käsittelyn osalta. Kun valtion viranomaisten varautumiseen ja valmiussuunnitteluun liittyvien toimenpiteiden toteuttaminen perustuu käytännön tasolla riskien tunnistamiseen ja arvioinnin perusteella valittuihin toimenpiteisiin, ei ehdotus muodosta sellaisia uusia vaatimuksia, jotka edellyttäisivät nykyisten käytäntöjen merkittävää muuttamista.

Asiarekisteriin rekisteröitävät tiedot

Tiedonhallintalain 26 §:n 4 momenttiin ehdotetaan lisättäväksi viranomaisten laatimista asiakirjoista rekisteröitäviin tietoihin tarvittaessa tiedot asiakirjan lähettämisajankohdasta, lähettämisen tarkoituksesta ja lähettämistavasta. Pykälän 5 momenttiin ehdotetaan lisättäväksi asiarekisteriin rekisteröitäviksi tiedoiksi asiasta ainakin viranomaisen tekemän asiankäsittelyn päättävän ratkaisun ajankohta ja tarvittaessa tiedot viranomaisen ratkaisun perusteella tehdyn rekisterimerkinnän ajankohdasta ja merkintätavasta sekä viranomaisen lähettämien asiakirjojen tiedoksiantotavasta.

Ehdotetut asiakirjojen ja asioiden rekisteröintivaatimukset edellyttävät valtion virastoilta ja laitoksilta nykyisten asioiden ja asiakirjojen kirjauskäytäntöjen sekä asiarekisteriin tallennettavien tietojen tarkistamista. Vaatimukset edellyttäisivät myös toimenpiteitä, mikäli viranomaisten asianhallinta ei vastaa ehdotettua. Lisäksi uusien käytäntöjen ohjeistaminen ja henkilöstön kouluttaminen aiheuttavat virastoille ja laitoksille määräaikaisen lisäresurssitarpeen. Asiakirjan lähettämisajankohtaa koskevat tiedot rekisteröitäisiin asiarekisteriin vain tarvittaessa niissä tilanteissa, kun viranomaisen asiakirja lähetetään viranomaisesta jollekin viranomaisen ulkopuoliselle taholle kuten asianosaiselle tai toiselle viranomaiselle. Asiarekisteriin rekisteröitävä rekisterimerkinnän ajankohta ja merkintätapa tulisi sovellettavaksi niissä valtion viranomaisissa, joiden ratkaisuihin sisältyy rekisterimerkinnän tekeminen. Tiedoksiantotapaa koskeva merkintä tulisi tehdä tarvittaessa, jos asiakirja lähetään hallintoasioissa tiedoksiantotarkoituksessa. Ehdotettujen vaatimusten toteuttamisen aiheuttaman työmäärän ei arvioida olevan merkittävä valtion virastojen ja laitosten osalta, koska asiakirjojen lähettämisajankohtaa, lähettämistapaa, tiedoksiantotapaa tai ratkaisun ajankohtaa koskevien merkintöjen lisäämisen asiarekisteriin ei pitäisi muuttaa viranomaisten nykyisiä käytäntöjä. Viranomaisilla on tälläkin hetkellä tarve tallentaa hallintolaissa säädettyjen velvollisuuksien toteuttamiseksi 26 §:n muutosehdotukseen sisältyvät tiedot. Ehdotetut vaatimukset saattavat edellyttää muutoksia nykyisin asioiden kirjaamisessa ja asiarekisterin ylläpidossa käytettäviin tietojärjestelmiin. Ehdotuksen valmistelun aikana viranomaisilta saatujen lausuntojen sekä aikaisempien vastaavien vaatimusten osalta tehtyjen arviointien (ks. HE 284/2018 vp) perusteella mahdollisten tietojärjestelmämuutosten arvioidaan olevan vähäisiä ja toteutettavissa normaalin järjestelmien ylläpidon aikaisen kehittämisen osana. Vaikutusta vähentää osaltaan se, että asiakirjojen lähettämisaikaa ja –tapaa koskevat vaatimukset eivät edellyttäisi kaikkien niiden tietojärjestelmien muuttamista, joissa tiedonhallintalain 26 §:ssä tarkoitetun asiarekisterin tietoja ylläpidetään, vaan mahdollinen muutos kohdentuisi lähinnä niihin tietojärjestelmiin, joissa asiakirjojen antamista ja lähettämistä koskevia merkintöjä sekä ratkaisuajankohtaa koskevia merkintöjä hallitaan.

Automatisoitujen toimintaprosessien kehittämisen ja käytön tiedonhallinta

Tiedonhallintalain 6 a luvussa ehdotettujen vaatimusten arvioidaan aiheuttavan lisätyötä edellyttävän muutostarpeen niille valtion virastoille ja laitoksille, jotka tällä hetkellä hyödyntävät automaatiota ehdotuksen tarkoittamassa ratkaisutoiminnassa. Valmistelun aikana tehtyjen selvitysten perusteella automatisoituja toimintaprosesseja hyödynnetään Digi- ja väestötietoviraston, Liikenne- ja viestintäviraston, Maanmittauslaitoksen, Patentti- ja rekisterihallituksen, Rahoitusvakausviraston, Ruokaviraston, Tullin, työ- ja elinkeinotoimistojen, Valtiokonttorin sekä Verohallinnon prosesseissa.

Vaatimusten toteuttamisen arvioidaan edellyttävän edellä mainituilta virastoilta muutoksia nykyisiin automatisoituihin toimintaprosesseihin, Muutostarpeet kohdentuisivat virastojen ohjaus- ja hallintamenettelyihin, joilla ne varmistavat toimintaprosessin lain- ja vaatimustenmukaisuutta. Lisäksi ehdotukset muuttavat vaatimuksia, joita viranomaisten olisi otettava huomioon toimintaprosessien ja niissä hyödynnettävien tietojärjestelmien käyttöönottoon liittyvässä päätöksenteossa sekä käytössä olevien prosessien valvonnassa. Vaatimusten edellyttämien kertaluonteisen muutoksen lisäksi, ehdotuksen arvioidaan lisäävän myös automatisoituja toimintaprosesseja toteuttavien viranomaisten prosessien ja niissä hyödynnettävien tietojärjestelmien valvonnassa ja ylläpidossa tarvittavia resursseja.

Ehdotusten valmistelun aikana tehtyjen selvitysten perusteella automaattisia ratkaisuja toteuttavien prosessien muuttaminen tiedonhallintalain 6 a luvun vaatimusten mukaiseksi aiheuttaisi noin 10–12 miljoonan euron kertaluonteisen muutoskustannuksen vuosina 2023–2024.

Kertaluonteisen muutostyön lisäksi tiedonhallintalain 6 a luvun vaatimusten arvioidaan lisäävän myös nykyisten automatisoitujen toimintaprosessien ylläpitokustannuksia prosessien valvonnan, tietojärjestelmien ylläpidon sekä ylläpidon aikaisten muutostoimenpiteiden osalta. Toimenpiteiden arvioidaan nostavan prosessien ylläpitokustannuksia yhteensä noin 6 miljoonalla eurolla vuodessa vuodesta 2023 alkaen.

Arvio ehdotuksen talousarviovaikutuksista valtion virastoille ja laitoksille (1 000 euroa):

Lisäksi ehdotuksen vaatima resurssitarve kohdistuu liikenne- ja viestintäministeriön hallinnonalaan kuuluvan Liikenne- ja viestintäviraston toimintaan. Tarve voidaan kattaa vuodesta 2023 lukien momentin 31.01.02 (Liikenne- ja viestintäviraston toimintamenot) määrärahojen puitteissa. Edellä esitettyjen arviointien osalta virastot ovat korostaneet, että esitettyihin arvioihin liittyy vielä tiettyä epävarmuutta, koska kaikkia muutoksen kohteena olevia prosesseja ei ole ehditty yksityiskohtaisesti arvioida, eikä kustannuksia aiheuttavia toimenpiteitä suunnitella tarvittavalla tarkkuustasolla.

Nykyisiin prosesseihin ehdotettujen vaatimusten toteuttamisen resurssitarve muodostuisi tiedonhallintalain 28 a §:n toimintaprosessien dokumentointivaatimuksista, jotka edellyttävät virastoja arvioimaan olemassa olevien prosessi- ja tietojärjestelmäkuvausten vastaavuutta ehdotettuihin vaatimuksiin sekä tekemään kuvauksiin tarvittavat tarkennukset ja muutokset. Kun ehdotetut dokumentointivaatimukset kohdentuvat lähinnä prosessin suunnittelussa ja kehittämisessä normaalisti syntyvän tiedon kokoamiseen ehdotuksen 28 a §:n 2 momentissa lueteltujen asioiden varmistamiseksi, ei vaatimuksen edellyttämän prosessikohtaisen työpanoksen arvioida olevan merkittävä. Ehdotettu vaatimus ei esimerkiksi muodostaisi erillistä velvollisuutta kuvata prosesseja tai tietojärjestelmiä, vaan lähinnä edellyttäisi sen varmistamista, että prosessien ja tietojärjestelmien kuvauksiin sisältyvästä informaatiosta olisi todennettavissa säännöksessä ehdotettujen vaatimusten toteutuminen.

Automatisoitujen toimintaprosessien testaamista koskevien tiedonhallintalain 28 b §:n vaatimusten arvioidaan vastaavan pitkälti viranomaisten nykyisiä käytäntöjä. Arviota tukevat valmistelun aikana virastoilta ja laitoksilta saadut lausunnot. Ehdotus edellyttäisi viranomaisilta nykyisin käytössä olevien testausmenettelyiden tarkistamista ja muuttamista ehdotusta vastaavaksi. Lisäksi testausta koskevat vaatimukset lähinnä tarkentaisivat tiedonhallintalain 13 §:n 2 momentissa jo nykyisin säädettyä. Vaatimuksen virastoille ja laitoksille aiheuttaman muutoksen suuruuteen vaikuttaa osaltaan se, ettei ehdotus edellytä nykyisten prosessien uudelleen testaamista, vaan vain sen todentamista, että ennen ehdotuksen voimaantuloa käyttöön otettujen automatisoitujen toimintaprosessien menettelytavat ja käsittelysäännöt sekä asianosaiselle annettavat asiakirjat vastaavat niille asetettuja vaatimuksia. Vaatimukset ovat todennettavissa esimerkiksi aikaisemmin tehdyn testaamisen perusteella.

Tiedonhallintalain 28 c §:ssä säädettävät vaatimukset toimintaprosessien laadunvalvonnasta, tietojen tallentamisesta ja virheiden korjaamisesta edellyttäisivät nykyisin käytössä olevien valvonnan ja virheiden korjaamisen menettelyiden tarkistamista. Valtion virastoilta valmistelun aikana saatujen tietojen mukaan nykyisin prosesseissa käytettävien tietojärjestelmien arvioidaan pääosin toteuttavan ehdotetut vaatimukset. Arvioon liittyy kuitenkin epävarmuutta erityisesti sen osalta, ettei valmistelun aikana ole ollut mahdollista tarkemmin selvittää kaikkien automatisoituja toimintaprosesseja toteuttavien tietojärjestelmien nykytilannetta.

Tiedonhallintalain 28 d §:n automatisoitujen toimintaprosessien käyttöönottopäätöstä koskevien vaatimusten arvioidaan vastaavan päätöksen sisällön osalta tietojärjestelmien käyttöönoton yhteydessä nykyisin tehtävää tarkistamista. Uutena ehdotuksessa ovat päätöksen sisältöä ja päätöksentekomenettelyä koskevat vaatimukset, muun muassa päätöksen esittelyn osalta. Tämän osalta lisätyötä aiheutuisi käyttöönottopäätökseen liittyvän dokumentaation hallinnasta ja päätöksentekomenettelyn toteuttamisesta. Päätöksen valmistelu edellyttää riittävää asiantuntemusta päätöksen kohteesta, mutta valmistelun ei arvioida vaativan suurta lisätyöpanosta, koska päätöksen sisältö muodostuisi tiedonhallintalain 6 a luvussa ehdotettujen muiden vaatimusten toteuttamisen myötä. Myös päätöksen esittelyyn käytettävän työajan arvioidaan olevan normaalitilanteissa vähäinen. Käytössä olevien automatisoitujen prosessien osalta valmistelutyön määrään vaikuttavat käytössä olevien prosessien määrä sekä prosesseissa myöhemmin tapahtuvien käyttöönottopäätösten edellyttämien muutosten määrä. Uusien käyttöönotettavien prosessien osalta päätösten lukumäärän ei virastokohtaisesti arvioida vuositasolla olevan kovinkaan suuri. Myös tiedonhallintalain 28 g §:ään sisältyvien käyttöönottopäätöksen arviointimenettelyä koskevien vaatimusten arvioidaan lisäävän työmäärää, kun käyttöönottopäätökset on toimitettava julkisen hallinnon tiedonhallintalautakunnalle. Työmäärän asiakirjan lähettämisestä toiselle viranomaiselle arvioidaan olevan vähäinen.

Tiedonhallintalain 28 e §:ssä säädettävien vaatimusten käyttöönottopäätösten julkaisusta ja automatisoidusta toimintaprosessin tiedottamisesta arvioidaan edellyttävän valtion viranomaisilta kertaluonteisia toimenpiteitä julkaisuprosessin muodostamisen sekä julkaisujärjestelmiin tarvittavien määrittelyiden osalta. Muutoksen ei arvioida aiheuttavan merkittäviä resurssitarpeita, mikäli julkaisu toteutetaan esimerkiksi staattisena verkkosivuille vietävänä informaationa.

Automatisoidun toimintaprosessin käsittelysääntöjen muuttamista koskevat tiedonhallintalain 28 f §:n vaatimukset edellyttävät valtion viranomaisia varmistamaan, että niiden käyttämissä tietojärjestelmissä on vaatimusten mukaiset suojauskäytännöt toimintaprosesseissa käytettyjen käsittelysääntöjen suojaamiseksi. Lisäksi säännöksessä edellytettäisiin viranomaisia selvittämään, miten nykyisin tietojärjestelmien tietojen käsittelyä ohjaavien käsittelysääntöjen muutokset tallennetaan sekä muuttamaan niiden tallentamiseen liittyviä menettelyjä ja teknistä toteutusta tarvittaessa. Kun tiedonhallintalain 4 luvussa säädetyt tietoturvallisuus- ja tietojärjestelmien suojausvaatimukset on valtion viranomaisten tullut toteuttaa omiin tietojärjestelmiinsä jo vuodesta 2020 alkaen, ei ehdotuksessa esitettyjen vaatimusten arvioida muodostavan merkittäviä muutoskustannuksia valtion virastoille ja laitoksille. Ehdotusten valmistelun aikana toteutetun selvityksen mukaan suurimmalle osalle automaattisia ratkaisuja toteuttavista valtion virastoista esitetyt vaatimukset eivät aiheuta muutoksia nykyisin käytössä oleviin suojaustoimiin.

Automaattisessa päätöksenteossa käytettävän tiedon laadunvarmistamista koskevat tiedonhallintalain 28 h §:n vaatimukset edellyttäisivät valtion viranomaisia arvioimaan nykyisin käytössä olevat tietojen ajantasaisuuden ja virheettömyyden varmistavat menettelynsä sekä tarvittaessa toteuttamaan tarvittavat kontrollit. Ehdotuksen vaatimilla teknisillä varmistuksilla tarkoitetaan laajaa valikoimaa erilaisia teknisiä toimenpiteitä, joiden avulla viranomainen etukäteen varmistaisi, että sen päätöksenteossaan käyttämät tiedot ovat riittävän ajantasaisia ja virheettömiä käyttötarkoitukseen nähden. Tekninen varmistus voi tarkoittaa toimenpiteitä, jolla varmistetaan tietojen käyttö sellaisesta tietolähteestä, jonka tiedot on määritelty julkisesti luotettaviksi. Toimenpiteitä voivat olla myös tietoaineistojen erilaiset ristiintarkastukset. Toimenpiteen jäädessä viranomaisen päätettäväksi, ei ehdotuksen arvioida edellyttävän virastoilta ja laitoksilta sellaisia uusia toimenpiteitä, jotka aiheuttaisivat niille lisäresurssitarpeita. Koska ehdotetut vaatimukset vastaavat pitkälti myös valtion viranomaisten tiedonhallinnan nykykäytäntöjä, ei ehdotettujen vaatimusten arvioida aiheuttavan merkittäviä kustannuksia automatisoituja toimintaprosesseja tällä hetkellä toteuttaville virastoille.

Automatisoituja toimintaprosesseja tällä hetkellä hyödyntävät valtion virastot ovat valmistelun aikana arvioineet, että tiedonhallintalain 6 a lukuun ehdotettavat vaatimukset mahdollistaisivat niiden nykyisen toiminnan jatkamisen ilman merkittäviä katkoja päätösten valmisteluun. Ehdotukset mahdollistaisivat myös sen, ettei prosesseihin sisältyvää automaatiota olisi tarvetta vähentää. Vaatimusten edellyttämien mahdollisten muutosten prosessien dokumentointiin, laadunvalvontaan tai prosesseista tallennettaviin tietoihin arvioidaan kuitenkin edellyttävän vähäistä työmäärää verrattuna hallinnollisten ratkaisujen automatisoinnilla saavutettavaan hyötyyn ja työajansäästöön.

Uusien automatisoitavien päätöksentekoprosessien osalta tiedonhallintalain 6 a luvussa ehdotettujen vaatimusten arvioidaan lisäävän valtion viranomaisten resurssitarpeita verrattuna siihen, että prosessien kehittäminen, käyttöönotto ja käytön aikainen seuranta ja valvonta toteutettaisiin ilman vastaavalle tarkkuustasolle meneviä vaatimuksia. Työmäärän lisäys kohdentuisi vain automaattisia ratkaisuja toteuttaviin prosesseihin, ei laajemmin virastojen toiminnan kehittämiseen. Kun uusien prosessien vaatimat resurssitarpeet riippuvat kehitettävästä prosessista ja kehitettävien prosessien määrästä sekä myös tavasta, jolla kehittämistyötä tehdään, ei tässä yhteydessä ole mahdollista muodostaa kokonaisarvioita uusien prosessien kehittämisen ja käyttöönoton taloudellisista vaikutuksista. Tiedonhallintalain 6 a luvun vaatimusten toteuttamisen edellyttämään työmäärään vaikuttaa olennaisesti myös se, miten usein ja miten suuria muutoksia toimintaprosessia toteuttavaan tietojärjestelmään on tarve tehdä sen elinkaaren aikana. Suurempi muutosten määrä vaatisi luonnollisesti enemmän työtä myös ehdotettujen dokumentaatio- ja testausvaatimusten sekä käyttöönottopäätösten toteutuksen osalta.

Tiedonhallintalain 6 a luvun vaatimusten lähinnä tarkentaessa voimassa olevaa sääntelyä sekä vastatessa yleisesti valtion virastoilla käytössä olevia prosessien ja tietojärjestelmien kehittämisen ja laadunvalvonnan hyviä käytäntöjä, voidaan ehdotettujen vaatimusten jatkossa virastoille aiheuttaman työmäärän olettaa olevan kuitenkin hyvin vähäinen suhteessa prosessien kehitystyön tai tietojärjestelmien ylläpidon kokonaiskustannuksiin. Prosessin dokumentointia, testaamista, valvontasuunnitelman laadintaa, käyttöönottopäätöksen valmistelua sekä myös prosessista tiedottamista koskevien vaatimusten toteuttaminen tehdään käytännössä uuden prosessin kehittämiseksi tai olemassa olevan prosessin muuttamiseksi organisoitavan hankkeen tai projektin yhteydessä. Tällöin vaatimusten toteuttamisen edellyttämät työmäärät ja määrärahatarpeet voidaan huomioida kehittämisen yhteydessä tehtävässä normaalissa resurssisuunnittelussa ja kehittämisen edellyttämissä määrärahaesityksissä. Prosessien valvonnan vaatimat resurssit voidaan puolestaan huomioida viraston ja laitoksen toimintamäärärahaesityksissä.

Tiedonhallintalain 6 a luvussa säädettävien vaatimusten aiheuttama lisätyö ja -kustannus kompensoituu osittain ehdotuksella aikaansaatavien hyötyjen avulla. Keskeisin suora hyöty ehdotuksesta muodostuu automaattista päätöksentekoa koskevan oikeudellisen epävarmuuden vähentymisen kautta. Tällä hetkellä useiden valtion viranomaisten toiminnan kehittäminen on pysähdyksissä toimintaprosessien automatisoinnin osalta, koska ei ole riittävää varmuutta siitä, vastaako suunniteltu kehittäminen myöhemmin mahdollisesti asetettavia vaatimuksia. Valmistelun aikana tehtyjen kartoitusten perusteella valtion virastoilla ja laitoksilla olisi useita potentiaalisia erityisesti tietojen rekisteröintiin ja kirjaamiseen sekä lupa- ja ilmoitusmenettelyihin liittyviä prosesseja, joiden automatisoinnille vaatimukset muodostaisivat tarvittavat edellytykset. Epävarmuus ei myöskään tue kehittämisessä tarvittavien investointipäätösten tekemistä. Automatisoituja toimintaprosesseja koskevien vaatimusten määrittely ehdotetun mukaisesti lain tasolla muodostaisi perustan, johon tukeutuen voidaan edistää virastojen toiminnan kehittämiselle asetettuja tavoitteita ja hyödyntää edelleen digitalisaation tarjoamia keinoja. Lisäksi automaattista päätöksentekoa koskevan yleissääntelyn puuttumisen arvioidaan vaarantavan osassa virastoissa myös nykyisen automaatioasteen säilyttämisen ja aiheuttavan pahimmillaan merkittävän lisähenkilöstön rekrytointitarpeen. Verohallinnon arvion mukaan sen henkilöstön pysyvä lisäystarve olisi kaikki verolajit ja asiaryhmät huomioon ottaen noin 2 000 henkilötyövuotta, jos nykyisessä laajuudessa sovelletusta automaattisesta päätöksenteosta jouduttaisiin luopumaan. Valtiokonttori on arvioinut että, mikäli sen pitäisi luopua automaattisesta päätöksenteosta, tulisi pelkästään liikennevakuutuslakiin ja työtapaturma- ja ammattitautilakiin perustuvissa laiminlyöntimaksuasioissa asiaa käsitteleviä henkilöresursseja moninkertaistaa nykyiseen verrattuna.

Ehdotettujen vaatimusten taloudellisina hyötyinä voidaan nähdä myös prosessien ja tietojärjestelmien vaatimusten vakioimisen kautta syntyvät vaikutukset valtion viranomaisten käyttämiin tietojärjestelmä- ja palveluhankintoihin. Kun valtion viranomaisille tietojärjestelmä- ja asiantuntijapalveluja tarjoavilla yrityksillä olisi laissa säädetyt automatisoituja prosesseja koskevat vaatimukset tiedossa, olisi todennäköistä, että ainakin pidemmällä aikavälillä valtion virastoille tarjottavat ratkaisut vastaisivat jo valmiiksi palveluilta edellytettäviä vaatimuksia ja tämä vähentäisi palvelujen hankintoihin liittyvää työmäärää sekä mahdollisesti myös alentaisi hankintasopimusten hintaa.

Vaikutukset valtion viranomaisten käyttämiin tietojärjestelmiin

Tiedonhallintalain 6 a luvun ehdotusten ei arvioida edellyttävän muutoksia valtion viranomaisten käyttämiin tietojärjestelmiin. Ehdotuksen 28 a §:n vaatimukset vastuiden määrittelystä tai prosessien dokumentoimisesta eivät edellytä muutoksia tietojärjestelmiin. Dokumentointivaatimus kohdistuu käyttöönottovalmiin prosessin ja sitä toteuttavan tietojärjestelmän ominaisuuksien ja toiminnallisuuksien dokumentointiin. Ehdotuksen 28 b §:ssä prosessin testaamista koskevat velvollisuudet eivät luo vaatimuksia, jotka edellyttäisivät tietojärjestelmien muuttamista. Testaamisessa havaitut virheet voivat muodostaa tarpeita järjestelmien muuttamiseen, mutta tällöin tarve ei muodostu ehdotetusta vaatimuksesta, vaan siitä, ettei tietojärjestelmä toimi sille asetettujen vaatimusten mukaisesti. Ehdotuksen 28 c §:ssä säädettävät velvollisuudet laadunvalvontasuunnitelman hyväksymisestä ja laadunvalvonnan vastuuhenkilöiden nimeämisestä eivät myöskään vaikuta viranomaisten käyttämiin tietojärjestelmiin. Tiedonhallintalain 28 c §:n 4 momenttiin sisältyvä ehdotus virheiden korjaamisesta ei edellytä viranomaista muuttamaan tietojärjestelmiään, mikäli ne toimivat laissa säädetyn mukaisesti. Ehdotuksen 28 c §:n 3 momentin vaatimus tietojen tallentamisesta vastaa pitkälti, mitä tiedonhallintalain 17 §:ssä on säädetty viranomaisen velvollisuudesta kerätä lokitietoja tietojärjestelmän käytöstä. Automatisoidusta toimintaprosessista tehtävä 28 d §:ssä tarkoitettu käyttöönottopäätös tulisi tehdä toimivasta ja käyttöönottovalmiista prosessista. Tällöin kaikki mahdolliset muutokset prosessissa käytettäviin tietojärjestelmiin on tullut tehdä jo ennen käyttöönottopäätöstä.

Ehdotuksen 28 e §:ssä säädetty velvollisuus tiedottaa automatisoiduista toimintaprosesseista voidaan lähtökohtaisesti toteuttaa viranomaisilla jo käytössä olevilla tietojärjestelmillä ja niiden olemassa olevilla toiminnallisuuksilla. Käsittelysääntöjen muuttamista koskevat 28 f §:n vaatimukset vastaavat pitkälti tiedonhallintalain 15 §:ssä säädettyjä vaatimuksia, jotka valtion viranomaisten on tullut toteuttaa järjestelmiinsä vuodesta 2020 alkaen. Tiedonhallintalain 28 h §:ssä ehdotetut tekniset varmistukset tarkoittavat laajaa variaatiota erilaisia teknisiä toimenpiteitä, joilla viranomainen etukäteen varmistaisi, että se käyttää päätöksenteossaan riittävän ajantasaista ja virheetöntä tietoa. Valtion viranomaisten on tullut tiedonhallintolain 15 §:n säännösten perusteella varmistaa tietoturvallisuustoimenpitein käyttämänsä tietojen ajantasaisuus ja virheettömyys vuodesta 2020 alkaen. Tiedon ajantasaisuuden ja virheettömyyden varmistamista koskevista vaatimuksista henkilötietojen käsittelyn osalta säädetään yleisessä tietosuoja-asetuksessa. Nämä vaatimukset on myös jo tullut toteuttaa järjestelmiin.

Tiedonhallintalain 6 a luvun vaatimusten ei arvioida muodostavan myöskään sellaisia uusia vaatimuksia, jotka tosiasiallisesti nostaisivat jatkossa automaattista päätöksentekoa toteuttavien tietojärjestelmien kehittämis- ja ylläpitokustannuksia. Vaatimuksilla lähinnä tarkennetaan, mitä tiedonhallinnan ja henkilötietojen käsittelystä on yleisesti säädetty.

Julkisen hallinnon tiedonhallintalautakunta

Tiedonhallintalain 28 g §:ssä ehdotetaan lisättäväksi julkisen hallinnon tiedonhallintalautakunnalle tehtäväksi arvioida ehdotuksen 28 d §:ssä tarkoitetun käyttöönottopäätökselle ja sen perusteena oleville asiakirjoille säädettyjen vaatimusten sekä niihin liittyvien menettelyjen täyttymistä. Tiedonhallintalautakunta toteuttaisi arviointitehtävän automatisoidun toimintaprosessin käyttöönottovan viranomaisen toimittaman käyttöönottopäätöksen perusteella. Tiedonhallintalautakunnan olisi mahdollista kiinnittää viranomaisen huomiota arviointitehtävän yhteydessä havaitsemiinsa dokumentaatioon liittyviin olennaisiin puutteisiin. Se voisi myös asettaa määräajan, jonka kuluessa viranomaisen on ilmoitettava, mihin toimenpiteisiin se on ryhtynyt huomion kiinnittämisen johdosta. Uusi arviointitehtävä koskisi valtion, kunnallisten ja hyvinvointialueiden viranomaisten lisäksi myös muita tiedonhallintalain soveltamisalan piiriin kuuluvia viranomaisia ja julkisia hallintotehtäviä hoitavia. Vaatimuksen tiedonhallintalautakunnalle aiheuttamaan resurssitarpeeseen vaikuttaisi se, ettei lautakunta arvioisi kaikkia sille toimitettuja käyttöönottopäätöksiä, vaan se päättäisi itse käyttöönottopäätösten perusteella arvioinnin suorittamista.

Tiedonhallintalain 28 g §:n uuteen 3 momenttiin ehdotetaan lisättäväksi säännös, joka mahdollistaisi tiedonhallintalautakunnan toimittaa tarkastus tiedonhallintayksikön toimitiloissa. Tarkastuksen toimittamiseksi, tiedonhallintalautakunta määräisi sihteeristöstään ne henkilöt, jotka suorittavat tarkastuksen. Tiedonhallintalautakunta voisi päätöksellään myös valtuuttaa Digi- ja väestötietoviraston virkamiehen avustamaan tarkastuksen toimittamisessa. Digi- ja väestötietoviraston resurssia voitaisiin hyödyntää vain siltä osin kuin siihen on käytettävissä riittävän asiantunteva henkilö, jolla on käytettävissä aikaa tarkastuksen avustavaan tehtävään. Ehdotettavalla lailla ei esitetä Digi- ja väestötietovirastolle lisäresursseja, koska säännös on mahdollistava, mutta ei edellytä, että virasto tuottaisi yli sen resurssin, joka virastolla on käytettävissä asiantuntijapalvelujen tuottamiseen tiedonhallintalautakunnalle.

Tiedonhallintalakiin tiedonhallintalautakunnalle esitettävät uudet tehtävät edellyttäisivät lautakunnan resurssien lisäämistä yhdellä henkilötyövuodella. Tiedonhallintalautakunnan toimiessa valtiovarainministeriön yhteydessä, kohdistuisi lisätarve valtiovarainministeriön henkilöstöresursseihin.

Palveluautomaation käyttö neuvonnassa digitaalisessa palvelussa

Digipalvelulakiin ehdotetaan lisättäväksi 6 a §, jossa säädettäisiin vaatimuksista palveluautomaatiolla toteutettavan neuvonnan käytölle. Ehdotus koskisi niin sanottuja chatbot-palveluja tai niitä vastaavia palveluja, joissa käyttäjä kommunikoi reaaliaikaisesti luonnollisella kielellä digitaalisen palveluautomaation kanssa.

Digipalvelulain 6 a §:n vaatimukset edellyttäisivät niiltä valtion virastoilta ja laitoksilta, joilla tällä hetkellä on käytössä ehdotuksen tarkoittamia ratkaisuja, olemassa olevien palvelujen tarkistamista ja mahdollista muuttamista ehdotettujen vaatimusten mukaiseksi. Lisäksi vaatimukset saattavat edellyttää lisäresursointia palvelujen ylläpidon seurannan ja valvonnan osalta. Valtion virastoissa ehdotuksen tarkoittamaa palveluautomaatiota on käytössä muun muassa aluehallintovirastoilla, elinkeino-, liikenne- ja ympäristökeskuksilla, Maahanmuuttovirastolla, Patentti- ja rekisterihallituksella, työ- ja elinkeinotoimistoilla, Tullilla, Valtiokonttorilla ja Verohallinnolla.

Siltä osin kun digipalvelulain 6 a §:ssä ehdotettavissa vaatimuksissa lähinnä tarkennetaan voimassa olevaa sääntelyä, ei ehdotuksen arvioida muodostavan merkittävää muutostarvetta käytössä olevilla palveluille. Hallintolaissa säädetyt viranomaisten neuvontavelvollisuutta ja hyvän kielen käyttöä koskevat vaatimukset on tullut toteuttaa jo nykyisiin palveluihin. Samoin digipalvelulain 3 luvussa säädettyjen saavutettavuusvaatimusten toteutuminen, muun muassa palvelujen ymmärrettävyyden osalta, on tullut jo palveluiden osalta varmistaa.

Ehdotusten valmistelun aikana tehdyn selvityksen perusteella suurin osa valtion virastojen käytössä olevista palveluista toimii jo nykyisin ehdotettujen vaatimusten mukaisesti. Lähes kaikki käytössä olevat palvelut informoivat asiakasta viestien vaihdosta palveluautomaation kanssa sekä antavat asiakkaalle tiedon, miten hänen on mahdollista jatkaa asiointia asiakaspalveluhenkilön tai palvelusta muuten vastaavan henkilön kanssa. Käytössä olevat palvelut myös pääsääntöisesti mahdollistavat vähintään sen, että asiakas voi kopioida viestien vaihdon päätteeltään tai laitteeltaan tallennettavaksi itselleen. Osaan palveluista on rakennettu asiakkaalle erillinen toiminnallisuus, jonka avulla asiakas voi tallentaa viestien vaihdon. Lähinnä edellä mainitut digipalvelulain 6 a §:n 1 momentin 3–5 kohdissa ehdotetut vaatimukset edellyttäisivät virastoja tarkistamaan, että omissa palveluissa esitettävä informaatio vastaa ehdotettua.

Vaatimukset palveluautomaation sisällön laadun ja muun toiminnan asianmukaisuuden seuraamisesta edellyttävät valtion viranomaisilta nykyisten käytäntöjen tarkistamista ja tarvittavien muutosten toteuttamista niihin. Vastaavasti viranomaisten olisi nimettävä seurannasta ja palvelun laaduntarkkailusta vastaava henkilö, mikäli henkilöä ei tällä hetkellä ole nimetty. Erityisesti palvelujen seurantaa koskevien vaatimusten arvioidaan aiheuttavan lisätyötä niille viranomaisille, jotka eivät tällä hetkellä tallenna palvelujen viestien vaihtoa tai seuraa viestien vaihdon asianmukaisuutta.

Valtion virastoilla on myös käytössä sellaisia neuvontaa toteuttavia palveluautomaatioratkaisuja, jotka mahdollistavat asiakkaan poistaa viestien vaihto, joka myös poistaa viranomaiselta mahdollisuuden käytännössä seurata palvelujen asiakkaalle tarjoamaa neuvontaa ja tarkkailla neuvonnan laatua. Selvitysten perusteella kaikki palveluja käyttävät viranomaiset eivät tällä hetkellä myöskään tallenna palvelussa käytyä keskustelua. Tämän kaltaisten palvelujen osalta ehdotuksen arvioidaan edellyttävän muutostyötä. Muutoksen vaatiman työn määrä ja kustannukset vaihtelevat viranomaisittain, riippuen neuvontaa toteuttavan palveluautomaation roolista viranomaisen tehtävässä sekä myös osittain automaatiossa käytettävästä teknologiasta. Tämän hetkisen arvion mukaan vaatimusten toteutuksen kustannuksiksi niiden palvelujen osalta, jotka eivät tällä hetkellä vastaa ehdotettuja vaatimuksia, on arvioitu 10 000–50 000 euroa palvelua kohden. Vaatimukset olisi toteutettava käytössä oleviin palveluihin 12 kuukauden kuluessa lain voimaatulosta.

Myös ehdotukseen sisältyvän vaatimuksen palvelujen testaamisesta tiedonhallintalain 28 b §:n mukaisesti arvioidaan edellyttävän virastoilta ja laitoksilta lisätyötä palvelujen kehittämisen osalta. Uusien käyttöönotettavien palveluautomaatioratkaisujen osalta vaatimusten aiheuttamat kustannukset voidaan kuitenkin huomioida palvelujen kehittämistyöhön varatuissa resursseissa. Ehdotuksen aiheuttamien jatkuvien lisäresurssitarpeiden arvioidaan aiheutuvan juuri seurantaa ja laadunvarmistusta koskevista vaatimuksista.

Digipalvelulain 6 a §:ään esitettävien vaatimusten arvioidaan selkeyttävän palveluautomaatiota koskevia vaatimuksia ja parantavan mahdollisuuksia palvelujen kehittämiseen. Sääntelyn tuoma oikeusvarmuus edistäisi palveluautomaation käyttöönottoa ja sitä kautta pidemmällä aikavälillä tehostaisi palvelujen tuottamista ja palvelukohtaantoa. Lisäksi ehdotuksen arvioidaan parantavan myös palvelujen laatua, kun ehdotuksessa määriteltäisiin tarkemmin palveluihin kohdistuvia vaatimuksia. Toisaalta valmistelun aikana tehtyjen selvitysten perusteella useat virastoista arvioivat, että tarkkarajaiset vaatimukset lisäävät palvelujen kehittämisen ja ylläpitoon liittyviä kustannuksia ja nostavan palveluautomaation käyttöönoton kynnystä.

4.2.1.3 Kunnat ja kuntayhtymät

Taloudelliset vaikutukset kunnille ja kuntayhtymille yleisesti

Tiedonhallintalain 6 a luvussa ehdotettujen automatisoituja toimintaprosesseja koskevien vaatimusten ei arvioida aiheuttavan kunnille ja kuntayhtymille suoria taloudellisia vaikutuksia. Valmistelun aikana ei ole tunnistettu, että kunnissa ja kuntayhtymissä olisi käytössä hallintolakia koskevassa ehdotuksessa tarkoitettua automaattista päätöksentekoa. Kuntien tulisi ottaa vaatimukset huomioon, kun ne päättävät lähteä automatisoimaan prosessejaan lain tarkoittamalla tavalla.

Tiedonhallintalain 6 a luvun vaatimusten hyödyt kunnille ja kuntayhtymille muodostuisivat ehdotuksen automaattiseen päätöksentekoon liittyvän epävarmuuden vähentymisestä. Lain tasolla tehtävän vaatimusten vakioinnin arvioidaankin mahdollistavan pitkäjänteisen prosessien kehittämisen ja automatisoinnin avulla tavoiteltujen hyötyjen saavuttamisen. Hyötyjen suuruus riippuu automatisoitavasta prosessista sekä tavasta, jolla automatisointi tehdään.

Uusien automatisoitavien toimintaprosessien osalta tiedonhallintalain 6 a luvussa ehdotettujen vaatimusten arvioidaan lisäävän kuntien ja kuntayhtymien prosessikohtaisia kehittämiskustannuksia verrattuna siihen, että prosessin kehittäminen, käyttöönotto ja käytön aikainen seuranta ja valvonta toteutettaisiin ilman vastaavalle tarkkuustasolle meneviä vaatimuksia. Prosessikohtaisen työmäärän lisääntymisen arvioidaan olevan kuitenkin vähäinen suhteessa prosessien kehitystyön tai tietojärjestelmien ylläpidon kokonaiskustannuksiin.

Ehdotusten ei arvioida hidastavan kuntien automaatio- tai digitalisaatiokehitystä, vaan tarjoavan selkeät vaatimukset, joiden varaan tulevaa kehittämistä on mahdollista rakentaa pitkäjänteisesti. Lisäksi kuntien mahdollisuudet järjestää toiminnassaan tarvitsemansa tietojärjestelmäpalvelut yhteistoiminnassa muiden kuntien tai palveluntuottajien kanssa mahdollistaa kustannustehokkaan prosessien kehittämisen ja ylläpidon myös automatisoitujen toimintaprosessien osalta.

Tiedonhallintalain 13 a §:ssä ehdotettujen häiriötilanteiden viestintää ja varautumista koskevien vaatimusten arvioidaan edellyttävän kunnallisilta viranomaisilta nykyisin käytössä olevien vastaavien menettelyiden ja valmiussuunnittelua koskevien käytäntöjen tarkistamista ja mahdollista muuttamista vaatimuksia vastaavaksi. Menettelyiden ja ohjeiden tarkistamisen vaatiman työpanoksen ei arvioida olevan merkittävä. Työmäärää vähentää osaltaan myös se, että vastaavan suuntaisista vaatimuksista on säädetty kunnallisia viranomaisia koskevassa erityissääntelyssä muun muassa sosiaali- ja terveydenhuollon osalta. Lisäksi ehdotettujen vaatimusten arvioidaan olevan samansuuntaisia myös kuntien ja kuntayhtymien nykyisten käytäntöjen kanssa. Tiedonhallintalain 26 §:ssä ehdotettujen asiarekisteriin merkittäviä tietoja koskevien vaatimusten ei arvioida aiheuttavan kuntien ja kuntayhtymien asianhallinnalle merkittäviä muutostarpeita.

Useilla kunnilla ja kuntayhtymillä on käytössä asiakkaiden neuvonnassa palveluautomaatioon perustuvia ratkaisuja. Digipalvelulain 6 a §:n palveluautomaatiota koskevien vaatimusten ei arvioida edellyttävän merkittäviä muutoksia käytössä oleville ”chatbot”-palveluille tai niitä vastaaville ratkaisuille. Lähtökohtaisesti viranomaisen hallinnon asiakkaille tarjoaman neuvonnan tulisi vastata ehdotukseen sisältyviä hyvälle hallinnolle, neuvontavelvollisuudelle ja neuvonnan kielelle asetettuja vaatimuksia.

Ehdotusten valmistelun aikana on tunnistettu, että yksittäiset kuntien ”chatbot-palvelut” eivät kaikilta osin vastaisi ehdotuksia, erityisesti palvelusta tallennettavien tietojen ja palvelun seurannan osalta. Palvelun saattamisen ehdotettuja vaatimuksia vastaavaksi arvioidaan aiheuttavan noin 10 000–50 000 euron kertaluonteisen kustannuksen. Palvelujen testausta ja valvontaa koskevien vaatimusten toteuttamisen arvioidaan myös lisäävän jonkin verran myös neuvontaprosessien ylläpitokustannuksia sekä uusien palvelujen kehittämiskustannuksia.

Pidemmällä aikavälillä palveluautomaatiota koskevien vaatimusten arvioidaan kuitenkin tuovan merkittäviä hyötyjä palvelujen käyttöönottamisen oikeusvarmuuden, palvelujen kehittämisen tehostumisen sekä palvelujen käytön laajentumisen kautta.

Häiriötilanteista tiedottaminen ja varautuminen häiriötilanteisiin

Tiedonhallintalain 13 a §:n 1 momenttiin ehdotetaan säädettäväksi myös kunnallisille viranomaisille vaatimus tiedottaa viipymättä sen tietoaineistoja hyödyntäville, jos sen tiedonhallintaan kohdistuu häiriö, joka estää tai uhkaa estää viranomaisen tietoaineistojen saatavuuden. Viranomaisen olisi tiedotettava myös häiriön tai uhkan päättymisestä. Ehdotettu tiedottamisvelvollisuus edellyttäisi viranomaisilta nykyisten toimintamallien ja menettelyiden tarkistamista sekä tarvittavien muutostoimenpiteiden toteuttamista niihin. Valmistelun aikana tehdyn selvityksen mukaan vaatimuksen toteuttamien ei aiheuttaisi suurta muutostarvetta nykyisiin tiedotuskäytäntöihin. Kun vaatimus jättää tiedottamisen tavan ja tiedottamisessa käytettävän välineet viranomaisten omaan harkintaan, voidaan vaatimusten toteuttamisessa tukeutua olemassa oleviin menettelyihin. Ehdotukseen liittyvä 12 kuukauden siirtymäsäännön mahdollistaisi sen, että valtion kunnat ja kuntayhtymät pystyvät toteuttamaan vaatimuksen olemassa olevilla resursseilla. Ehdotettujen vaatimusten kanssa samansuuntaisia ohjeita häiriötilanteista tiedottamisesta sisältyy myös laajalti kunnissa sovellettuihin Suomen Kuntaliitto ry:n ja Huoltovarmuuskeskuksen kuntien jatkuvuudenhallintahankkeessa tuotettuihin arviointimalleihin sekä Pelastus-opiston ohjeeseen kunnan kriisiviestinnän suunnittelusta (Pelastusopiston julkaisu 4/2017).

Tiedonhallintalain 13 a §:n 3 momentissa ehdotetaan säädettäväksi vaatimuksesta kunnille ja kuntayhtymille sekä niiden yhteydessä toimiville viranomaisille varmistaa riskinarvioinnin perusteella toimintansa jatkuvuus toteuttamalla valittuja valmiussuunnittelua koskevia toimenpiteitä myös normaaliolojen häiriötilanteissa. Vaatimusten lähinnä tarkennettaessa voimassa olevaa sääntelyä toiminnan jatkuvuuden varmistamiseksi, ei ehdotuksen arvioida edellyttävän kunnilta ja kuntayhtymiltä merkittäviä muutostoimenpiteitä. Ehdotus yksilöi tiedonhallintalain 13 §:n 1 momentissa tarkemmin hallittavien riskien kohteeksi tietojärjestelmien hyödyntämisen ja liittää arvioinnin osaksi viranomaisille valmiuslain 12 §:ssä säädettyä varautumisvelvollisuutta.

Vaatimusten toteuttamiseen vaikuttaa osaltaan kunnille ja kuntayhtymille säädetty velvollisuus toteuttaa tiedonhallintalain 13 §:n 1 momentissa säädetyt riskienarviointia ja tietoturvallisuustoimenpiteitä koskevat vaatimukset vuoden 2022 loppuun mennessä. Kun ehdotukset tulevat voimaan vasta tämän jälkeen, arvioidaan niiden edellyttävän kunnilta lähinnä olemassa olevien menettelyiden tarkistamista. Vastaavasti, kun voimassa olevan valmiuslain 12 §:ssä säädetään kunnallisten viranomaisten velvollisuudesta valmiussuunnitelmin ja poikkeusoloissa tapahtuvan toiminnan etukäteisvalmisteluin sekä muilla toimenpiteillä varmistaa tehtäviensä mahdollisimman hyvä hoitaminen myös poikkeusoloissa, on ehdotuksessa kyse lähinnä olemassa olevien vaatimusten sovittamisesta käytännön menettelyihin. Lisäksi ehdotettujen vaatimusten kanssa samansuuntaisia ohjeita sisältyy myös kunnissa laajasti sovellettuun Pelastusopiston ohjeeseen kunnan valmiussuunnitelman mallista ja sen käytöstä kunnassa (ks. Pelastusopiston julkaisu 2/2012).

Valmistelun aikana tehtyjen selvitysten perusteella myös tiedonhallintalain 13 a §:n 3 momentissa ehdotetut vaatimukset toteutuvat jo tällä hetkellä kuntasektorilla useimmissa kunnissa ja vähintäänkin keskeisten tietojärjestelmien osalta. Tähän on osaltaan vaikuttanut myös sektorikohtainen sääntely, jossa vastaavista vaatimuksista on säädetty erikseen myös tietojärjestelmätasolla (ks. esim. sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annettu laki 784/2021).

Ehdotettujen vaatimusten toteuttamisen resurssitarpeiden arvioidaan vaihtelevan suuresti eri kuntien ja kuntayhtymien välillä. Muutoksen kustannuksiin vaikuttavat olennaisesti nykyisin käytössä olevat jatkuvuuden varmistamiseksi muodostetut käytännöt sekä prosesseissa käytetyt tietojärjestelmät. Osalle kunnista ehdotuksen ei arvioida aiheuttavan muutoksia nykytilaan. Kun toimenpiteet ja niiden aiheuttamat kustannukset jäävät lopulta viranomaisen omaan harkintaan, ei ehdotettujen vaatimusten osalta ole mahdollista arvioida ehdotuksen suoria vaikutuksia kuntasektorille tai kuntakohtaisesti. Voidaan kuitenkin olettaa, että suurimmalle osalle kunnista ja kuntayhtymistä vaatimusten toteuttamisessa tarvittavat resurssit on mahdollista kattaa olemassa olevia resursseja allokoimalla. Arvioon liittyy kuitenkin epävarmuutta.

Asiarekisteriin rekisteröitävät tiedot

Tiedonhallintalain 26 §:n 4 momenttiin ehdotetaan lisättäväksi vaatimus, että viranomaisten laatimista asiakirjoista on tarvittaessa rekisteröitävä tiedot asiakirjan lähettämisajankohdasta ja lähettämistavasta. Pykälän 5 momenttiin ehdotetaan lisättäväksi asiarekisteriin asiasta rekisteröitäviksi tiedoiksi ainakin viranomaisen tekemän asiankäsittelyn päättävän ratkaisun ajankohta ja tarvittaessa tiedot viranomaisen ratkaisun perusteella tehdyn rekisterimerkinnän ajankohdasta ja merkintätavasta sekä viranomaisen lähettämien asiakirjojen tiedoksiantotavasta.

Ehdotetut asiakirjojen ja asioiden rekisteröintivaatimukset edellyttävät kunnilta ja kuntayhtymiltä nykyisten asiakirjojen ja asioiden kirjauskäytäntöjen ja asiarekisteriin tallennettavien tietojen tarkistamista ja näiden mahdollista muuttamista, mikäli ne eivät vastaa vaatimuksia. Asiakirjan lähettämisajankohtaa koskevat tiedot rekisteröitäisiin asiarekisteriin vain tarvittaessa niissä tilanteissa, kun viranomaisen asiakirja lähetetään viranomaisesta jollekin viranomaisen ulkopuoliselle taholle kuten asianosaiselle tai toiselle viranomaiselle. Asiarekisteriin rekisteröitävä rekisterimerkinnän ajankohta ja merkintätapa tulisi sovellettavaksi niissä kunnallisissa viranomaisissa, joiden ratkaisuihin sisältyy rekisterimerkinnän tekeminen. Tiedoksiantotapaa koskeva merkintä tulisi tehdä tarvittaessa, jos asiakirja lähetään hallintoasioissa tiedoksiantotarkoituksessa. Vaikka asiarekisterimerkintöjä koskevat vaatimukset tulisivat sovellettavaksi vain lain tarkoittamissa tilanteissa, edellyttää vaadittujen tietojen kirjaaminen tarvittavien käytäntöjen muodostamista sekä kirjaamiskäytäntöjen ohjeistamista. Ehdotettujen vaatimusten toteuttamisen ei arvioida edellyttävän kunnilta ja kuntayhtymiltä merkittävää nykyisten resurssien lisäämistä, koska asiakirjojen lähettämisajankohtaa, lähettämistapaa, tiedoksiantotapaa tai ratkaisun ajankohtaa koskevien merkintöjen lisäämisen asiarekisteriin ei pitäisi lähtökohtaisesti muuttaa viranomaisten nykyisiä käytäntöjä. Kunnallisten viranomaisten on tälläkin hetkellä tarve tallentaa hallintolaissa säädettyjen velvollisuuksien toteuttamiseksi 26 §:n ehdotukseen sisältyvät tiedot. Lisäksi ehdotetut vaatimukset saattavat edellyttää muutoksia nykyisin asioiden kirjaamisessa ja asiarekisterin ylläpidossa käytettäviin tietojärjestelmiin. Lisäksi ehdotetut vaatimukset eivät edellytä kaikkien niiden tietojärjestelmien muuttamista, joissa tiedonhallintalain 26 §:ssä tarkoitetun asiarekisterin tietoja ylläpidetään, vaan asiakirjojen lähettämisaikaa ja –tapaa koskevat vaatimukset kohdentuisivat lähinnä niihin tietojärjestelmiin, joihin asiakirjojen antamista ja lähettämistä koskevat merkinnät sekä rekisterimerkintöjä koskevia ratkaisuja koskevat merkinnät tehdään.

Automatisoitujen toimintaprosessien kehittämisen ja käytön tiedonhallinta

Valmistelun aikana tehtyjen kartoitusten perusteella kunnissa ja kuntayhtymissä ei tällä hetkellä ole käytössä automatisoituja prosesseja, joihin tiedonhallintalain 6 a luvussa esitetyt vaatimukset tulisivat sovellettavaksi. Automaatiota käytetään tällä hetkellä kuntasektorilla lähinnä päätöksentekoon liittyvissä avustavissa prosesseissa. Näin ollen ehdotetuilla vaatimuksilla ei olisi suoria muutosta edellyttäviä vaikutuksia kuntien nykyisiin prosesseihin ja niissä käytettäviin tietojärjestelmiin.

Uusien automatisoitavien toimintaprosessien osalta tiedonhallintalain 6 a luvun vaatimusten arvioidaan lisäävän kunnallisten viranomaisten resurssitarpeita verrattuna nykyiseen. Esitetyt prosessien dokumentointia, testausta, käyttöönottoa ja käytön aikaista seurantaa ja valvontaa koskevat vaatimukset lisäävät niiden vaatimaa työmäärää. Kun resurssitarpeet riippuvat kehitettävästä prosessista ja kehitettävien prosessien määrästä sekä tavasta, jolla kehittämistyötä tehdään, ei tässä yhteydessä ole mahdollista muodostaa kokonaisarvioita uusien prosessien kehittämisen ja käyttöönoton taloudellisista vaikutuksista kunnille. Koska ehdotukset vastaavat jo pitkälti prosessien ja tietojärjestelmien kehittämisen ja laadunvalvonnan hyviä käytäntöjä, voidaan ehdotusten aiheuttaman työmäärän arvioida olevan kuitenkin vähäinen suhteessa prosessien kehitystyön ja tietojärjestelmien elinkaaren kokonaiskustannuksiin. Vaatimusten toteuttamisen edellyttämät työmäärät ja määrärahatarpeet voidaan huomioida kehittämisen yhteydessä tehtävässä normaalissa resurssisuunnittelussa ja kehittämisen edellyttämissä määrärahaesityksissä.

Tiedonhallintalain 6 a luvussa ehdotettujen vaatimusten ei arvioida edellyttävän muutoksia kuntien käyttämiin tietojärjestelmiin tai vaikuttavan kuntien tietojärjestelmien kehittämiseen ja ylläpitoon tai näiden kustannuksiin. Arviointi perustuu vastaavaan sääntelyn vaikutusten arviointiin, mitä valtion viranomaisten tietojärjestelmien osalta on tehty (ks. vaikutukset valtion viranomaisten käyttämiin tietojärjestelmiin).

Tiedonhallintalain 6 a luvussa esitettävien vaatimusten arvioidaan parantavan myös kuntien ja kuntayhtymien edellytyksiä toiminnan kehittämiseen automaattisten toimintaprosessien avulla. Ehdotus poistaa asian automaattiseen ratkaisemiseen liittyvää oikeudellista epävarmuutta ja antaa kunnallisille viranomaisille selkeämmän oikeudellisen perustan, jonka perusteella mahdollista automaationkehitystyötä voidaan toteuttaa. Ehdotusten arvioidaan selkeyttävän toimintaympäristöä ja varmistavan paremman laadun päätöksenteossa. Ehdotuksen valmistelun aikana tehtyjen kartoitusten perusteella kuntasektorilla ratkaisutoiminnan automatisoinnin avulla olisi mahdollista kehittää muun muassa varhaiskasvatukseen osallistumista sekä esi- ja perusopetukseen ottamista sekä asiakasmaksujen määräytymistä koskevaa päätöksentekoa.

Asukasmäärältään pienempien kuntien vähäiset tapahtumamäärät eivät välttämättä kaikissa tilanteissa muodosta riittävää perustetta prosessien automatisoinnin edellyttämille kehittämis- ja investointipäätöksille. Kuntien on kuitenkin mahdollista sopimukseen perustuvana yhteistoimintana hankkia tai kehittää myös automatisoiduissa prosesseissa käytettäviä tietojärjestelmiä yhdessä muiden kuntien kanssa ja näin alentaa investoinnin kuntakohtaista suuruutta. Kuntasektorilla on ollut vakiintuneena käytäntönä muodostaa erilaisia yhteenliittymiä, joiden puitteissa tieto- ja viestintätekniset palvelut järjestetään. Vuonna 2018 Suomen Kuntaliiton tekemän selvityksen mukaan kuntien tietotekniikkahankinnoista 51 % järjestettiin kuntien ja kuntayhtymien omistamien yhtiöiden kautta ja 17 % kuntien välisenä yhteistyönä (Hyvärinen & Parviainen: Kuntien tietotekniikkakartoitus 2018). Vuoden 2021 vastaavan kartoituksen mukaan 54 % Suomen kunnista osallistuu ICT:n kehittämisen osalta yhteisiin hankkeisiin muiden kuntien ja kuntayhtymien kanssa. Tiedonhallintalain 6 a luvussa ehdotetut vaatimukset eivät rajoittaisi kuntien välisiä yhteistyömahdollisuuksia prosessien kehittämisen osalta.

Kuntien olisi nykyistä vastaavien yhteistoimintamallien avulla mahdollista toteuttaa muun muassa automatisoiduista toimintaprosessista vaadittuja kuvauksia, suunnitella prosessin testaus- ja valvontamenettelyjä sekä valmistella myös tarvittavien käyttöönottopäätösten malleja. Yhteistoimintana valmisteltujen kuvausten perusteella käyttöönotettavasta prosessista vastaavan kunnan olisi mahdollista täydentää ja tarkentaa vaadittua dokumentaatiota sen hyväksynnän edellyttämällä kuntakohtaisella informaatiolla, muun muassa prosessiin liittyvien vastuiden osalta. Vaikka ehdotettuihin vaatimuksiin liittyviä valmistelevia tehtäviä olisi mahdollista toteuttaa yhteistyössä muiden kuntien ja palvelutuottajien kanssa, on keskeistä, että kunnallinen viranomainen vastaa tiedonhallintalain 6 a luvussa säädetyistä velvollisuuksista. Kunnalla ei ole ehdotuksen mukaan mahdollisuutta ulkoistaa tehtäviin liittyvää vastuuta muille kunnille tai palveluntuottajille ilman tämän mahdollistavaa erityissääntelyä.

Tiedonhallintalaissa ehdotettujen vaatimusten voidaan myös olettaa mahdollistavan nykyistä tehokkaamman palvelujen tuotannon niissä palvelujen tuotantomalleissa, joissa samaa palvelua tuotetaan usealle kunnalle. Kun prosessien kehittämisen ja ylläpidon vaiheisiin liittyvät vaatimukset ja vastuut on vakioitu laintasolla, voidaan tietojärjestelmät ja niiden tuotantomallit tuotteistaa identtisellä tavalla kaikkien tietojärjestelmäpalvelua käyttävien kuntien osalta.

Kuntien hyödyntäessä paljon markkinoiden tarjoamia tietojärjestelmien valmisratkaisuja, voidaan ehdotuksen pidemmän aikavälin välillisiksi vaikutuksiksi arvioida tarjottavien ratkaisujen kehittymisen paremmin kuntien vaatimuksia vastaavaksi ja mahdollistavan hankintoihin käytettävän työmäärän vähentymisen sekä hankintasopimusten hintojen alentumisen.

Palveluautomaation käyttö neuvonnassa digitaalisessa palvelussa

Digipalvelulakiin ehdotetaan lisättäväksi 6 a §, jossa säädettäisiin vaatimuksista palveluautomaatiolla toteutettavan neuvonnan käytölle. Ehdotus koskisi niin sanottuja ”chatbot”-palveluja tai niitä vastaavia palveluja, joissa käyttäjä kommunikoi reaaliaikaisesti luonnollisella kielellä digitaalisen palveluautomaation kanssa.

Digipalvelulain 6 a §:n vaatimukset edellyttäisivät niiltä kunnilta ja kuntayhtymiltä, joilla tällä hetkellä on käytössä ehdotuksen tarkoittamia ratkaisuja, olemassa olevien palvelujen tarkistamista ja mahdollista muuttamista ehdotettujen vaatimusten mukaiseksi. Lisäksi vaatimukset saattavat edellyttää lisäresursointia palvelujen ylläpidon osalta. Kunnista ja kuntayhtymistä ehdotuksen tarkoittamaa palveluautomaatiota on käytössä laajasti eri käyttötarkoituksissa.

Siltä osin kun digipalvelulain 6 a §:ssä ehdotettavista vaatimuksissa lähinnä tarkennetaan voimassa olevaa sääntelyä, ei ehdotuksen arvioida muodostavan merkittävää muutostarvetta kunnissa tällä hetkellä käytössä olevilla palveluille. Hallintolaissa säädetyt viranomaisten neuvontavelvollisuutta ja hyvän kielen käyttöä koskevat vaatimukset on tullut toteuttaa jo nykyisiin palveluihin. Samoin digipalvelulain 3 luvussa säädettyjen saavutettavuusvaatimusten toteutuminen, muun muassa palvelujen ymmärrettävyyden osalta, on tullut palveluiden osalta jo varmistaa.

Voimassa olevan sääntelyn lisäksi valmistelun aikana tehdyn selvityksen perusteella voidaan arvioida, että suurin osa kunnilla ja kuntayhtymillä käytössä olevista palveluista toimii jo nykyisin ehdotettujen vaatimusten mukaisesti. Lähes kaikki käytössä olevat palvelut informoivat asiakasta viestien vaihdosta palveluautomaation kanssa sekä antavat asiakkaalle tiedon, miten hänen on mahdollista jatkaa asiointia asiakaspalveluhenkilön tai palvelusta muuten vastaavan kanssa. Kuntien käyttämät palvelut pääsääntöisesti mahdollistavat sen, että asiakas voi kopioida viestien vaihdon päätteeltään tai laitteeltaan tallennettavaksi itselleen. Lähinnä edellä mainitut digipalvelulain 6 a §:n 1 momentin 3–5 kohdissa esitetyt vaatimukset edellyttäisivät kunnallisia viranomaisia tarkistamaan omissa palveluissa esitettävän informaation vastaavuus ehdotettuun.

Vaatimukset palveluautomaation sisällön laadun ja muun toiminnan asianmukaisuuden seuraamisesta edellyttävät kunnallisilta viranomaisilta nykyisten käytäntöjen tarkistamista ja tarvittavien muutosten toteuttamista niihin. Vastaavasti viranomaisten olisi nimettävä seurannasta ja palvelun laaduntarkkailusta vastaava henkilö, mikäli henkilöä ei tällä hetkellä ole nimetty. Erityisesti palvelujen seurantaa koskevien vaatimusten arvioidaan aiheuttavat lisätyötä niille viranomaisille, jotka eivät tällä hetkellä tallenna palvelujen viestien vaihtoa ja seuraa viestien vaihdon asianmukaisuutta.

Kuntasektorilla on käytössä myös sellaisia neuvontaa toteuttavia palveluautomaatioratkaisuja, jotka mahdollistavat asiakkaan poistaa viestien vaihdon, jolloin poistuu myös viranomaisilta mahdollisuus käytännössä seurata palvelujen asiakkaalle tarjoamaa neuvontaa ja tarkkailla neuvonnan laatua. Vastaavasti kaikki palveluja käyttävät kunnat ja kuntayhtymät eivät tällä hetkellä tallenna palvelussa käytyä keskustelua. Näiltä osin ehdotuksen arvioidaan aiheuttavan kustannuksia muutosten toteuttamiseksi. Muutoksen vaatiman työn määrä ja kustannukset vaihtelevat viranomaisittain riippuen neuvontaa toteuttavan palveluautomaation roolista viranomaisen tehtävässä sekä myös osittain automaatiossa käytettävästä teknologiasta. Tämän hetkisen arvion mukaan vaatimusten toteutuksen kustannuksiksi niiden palvelujen osalta, jotka eivät tällä hetkellä vastaa ehdotettuja vaatimuksia, on arvioitu 10 000–50 000 euroa palvelua kohden. Vaatimukset olisi toteutettava käytössä oleviin palveluihin 12 kuukauden kuluessa lain voimaatulosta.

Myös ehdotukseen sisältyvän vaatimuksen palvelujen testaamisesta tiedonhallintalain 28 b §:n mukaisesti arvioidaan edellyttävän kunnilta lisätyötä palvelujen kehittämisen osalta. Uusien käyttöönotettavien palveluautomaatioratkaisujen osalta vaatimusten aiheuttamat kustannukset voidaan kuitenkin huomioida palvelujen kehittämistyöhön varatuissa resursseissa. Ehdotuksen aiheuttamien jatkuvien lisäresurssitarpeiden arvioidaan aiheutuvan juuri seurantaa ja laadunvarmistusta koskevista vaatimuksista.

Digipalvelulain 6 a §:ään esitettävien vaatimusten arvioidaan selkeyttävän palveluautomaatiolta edellytettäviä vaatimuksia ja parantavan mahdollisuuksia palvelujen kehittämiseen. Sääntelyn tuoma oikeusvarmuus edistäisi palveluautomaation käyttöönottoa ja sitä kautta pidemmällä aikavälillä tehostaisi palveluiden tuottamista ja palvelukohtaantoa. Lisäksi ehdotuksen arvioidaan vaatimustason määrittelyllä parantavan myös palvelujen laatua, kun ehdotuksessa määriteltäisiin tarkemmin palveluihin kohdistuvia vaatimuksia. Toisaalta tarkkarajaisten vaatimusten arvioidaan myös lisäävän palvelujen kehittämisen ja ylläpitoon liittyviä kustannuksia ja nostavan palveluautomaation käyttöönoton kynnystä kunnissa.

4.2.1.4 Hyvinvointialueet

Taloudelliset vaikutukset hyvinvointialueille yleisesti

Tiedonhallintalain 6 a luvussa ehdotettujen automatisoituja toimintaprosesseja koskevien vaatimusten ei arvioida aiheuttavan hyvinvointialueille tai HUS-yhtymälle suoria taloudellisia vaikutuksia. Valmistelun aikana ei ole tunnistettu, että julkisessa sosiaali- ja terveydenhuollossa olisi käytössä hallintolakia koskevassa ehdotuksessa tarkoitettua automaattista päätöksentekoa. Hyvinvointialueiden tulisi ottaa vaatimukset huomioon, kun ne päättävät lähteä automatisoimaan prosessejaan lain tarkoittamalla tavalla.

Tiedonhallintalain 6 a lukuun ehdotettujen vaatimusten keskeisen hyödyn hyvinvointialueille arvioidaan muodostuvan, kuntia vastaavasti, ehdotuksen automaattiseen päätöksentekoon liittyvän epävarmuuden vähentymisestä. Lain tasolla tehtävän vaatimusten vakioinnin arvioidaan mahdollistavan pitkäjänteisen prosessien kehittämisen ja automatisoinnin avulla tavoiteltujen hyötyjen saavuttamisen. Hyötyjen suuruus riippuu pitkälti automatisoitavasta prosessista sekä tavasta, jolla automatisointi tehdään.

Tiedonhallintalain 13 a §:ssä ehdotettujen häiriötilanteiden viestintää ja varautumista koskevat vaatimukset edellyttävät hyvinvointialueiden viranomaisilta nykyisin käytössä olevien vastaavien menettelyiden ja valmiussuunnittelua koskevien käytäntöjen tarkistamista ja mahdollista muuttamista vaatimustenmukaiseksi. Menettelyiden ja ohjeiden tarkistaminen edellyttää työpanosta, jonka ei kuitenkaan arvioida olevan merkittäviä. Työmäärää vähentää osaltaan myös se, että vastaavan suuntaisista vaatimuksista on säädetty sosiaali- ja terveydenhuoltoa koskevassa erityissääntelyssä. Lisäksi ehdotettujen vaatimusten arvioidaan olevan samansuuntaisia myös sosiaali- ja terveydenhuollon ja pelastustoimen tehtävistä vastaavien kuntien ja sosiaali- ja terveydenhuollon kuntayhtymien nykyisten käytäntöjen kanssa. Tiedonhallintalain 26 §:ssä ehdotettujen asiarekisteriin merkittäviä tietoja koskevien vaatimusten ei arvioida aiheuttavan hyvinvointialuiden tai HUS-yhtymän asianhallinnalle merkittäviä muutostarpeita.

Useilla sosiaali- ja terveydenhuollon tehtävistä vastaavilla kunnilla ja kuntayhtymillä on sosiaali- ja terveydenhuollon palveluissa käytössä asiakkaiden neuvonnassa palveluautomaatioon perustuvia ratkaisuja. Erityisesti kuntayhtymien käytössä olevien palvelujen arvioidaan siirtyvän hyvinvointialueiden vastuulle vuoden 2023 alusta alkaen. Digipalvelulain 6 a §:n vaatimusten ei arvioida edellyttävän merkittäviä muutoksia käytössä oleville ”chatbot” -palveluille tai niitä vastaaville ratkaisuille. Lähtökohtaisesti myös sosiaali- ja terveydenhuollon viranomaisen hallinnon asiakkaille tarjoaman neuvonnan tulee vastata ehdotukseen sisältyviä hyvälle hallinnolle, neuvontavelvollisuudelle ja neuvonnan kielelle asetettuja vaatimuksia.

Ehdotusten valmistelun aikana ei ole tunnistettu merkittävää tarvetta muuttaa sosiaali- ja terveydenhuollossa käytössä olevia palveluautomaatioratkaisuja, niiden vastatessa pitkälti ehdotettua. Mikäli palveluja on tarve muuttaa vaatimusten takia, arvioidaan palvelukohtaisen muutoskustannuksen olevan kuntia vastaavasti noin muutamia kymmeniä tuhansia euroja.

Häiriötilanteista tiedottaminen ja varautuminen häiriötilanteisiin

Tiedonhallintalain 13 a §:n 1 momenttiin ehdotetaan säädettäväksi hyvinvointialueiden viranomaisille vaatimus tiedottaa viipymättä sen tietoaineistoja hyödyntäville, jos sen tiedonhallintaan kohdistuu häiriö, joka estää tai uhkaa estää viranomaisen tietoaineistojen saatavuuden. Viranomaisen olisi tiedotettava myös häiriön tai uhkan päättymisestä. Ehdotettu tiedottamisvelvollisuus edellyttäisi viranomaisilta nykyisten toimintamallien ja menettelyiden tarkistamista sekä tarvittavien muutostoimenpiteiden toteuttamista niihin. Valmistelun aikana kunnallisille sosiaali- ja terveydenhuolloin sekä pelastustoimen viranomaisille tehdyn kyselyn tulosten mukaan vaatimuksen toteuttamien ei aiheuttaisi suurta muutostarvetta nykyisiin tiedotuskäytäntöihin. Tältä osin vastaavien käytänteiden oletetaan siirtyvän myös hyvinvointialueille. Kun vaatimus jättää tiedottamisen tavan ja tiedottamisessa käytettävän välineet viranomaisten omaan harkintaan, voidaan vaatimusten toteuttamisessa tukeutua olemassa oleviin menettelyihin. Lisäksi, kun vaatimusta sovellettaisiin viranomaisen menettelyihin 12 kuukauden kuluttua lain voimaantulosta, arvioidaan ehdotuksen olevan toteutettavissa olemassa olevia resursseja väliaikaisesti uudelleen allokoimalla.

Tiedonhallintalain 13 a §:n 3 momentissa ehdotetaan säädettäväksi hyvinvointialueille ja hyvinvointiyhtymille sekä niiden yhteydessä toimiville viranomaisille vaatimuksesta varmistaa riskinarvioinnin perusteella toimintansa jatkuvuus toteuttamalla valittuja valmiussuunnittelua koskevia toimenpiteitä myös normaaliolojen häiriötilanteissa. Vaatimusten lähinnä tarkennettaessa voimassa olevaa sääntelyä toiminnan jatkuvuuden varmistamiseksi, ei ehdotuksen arvioida edellyttävän hyvinvointialueiden viranomaisilta merkittäviä muutostoimenpiteitä. Hyvinvointialueesta annetun lain (611/2021) 150 §:ssä säädetyn varautumisvelvollisuuden on katsottu sisältävän myös viestinnän suunnittelun ja siihen liittyvien ohjeiden antamisen (ks. HE 241/2020 vp). Ehdotus yksilöi tiedonhallintalain 13 §:n 1 momentissa tarkemmin hallittavien riskien kohteeksi tietojärjestelmien hyödyntämisen ja liittää arvioinnin osaksi viranomaisille valmiuslain 12 §:ssä säädettyä varautumisvelvollisuutta. Hyvinvointialueiden viranomaisten osalta ehdotettujen vaatimusten toteuttamisen edellyttämään työmäärään vaikuttaa osaltaan se, että ehdotuksen kanssa samansuuntaisia ohjeita häiriötilanteista tiedottamisesta sisältyy myös laajalti kunnallisessa sosiaali- ja terveydenhuollossa sovellettuihin Suomen Kuntaliitto ry:n ja Huoltovarmuuskeskuksen kuntien jatkuvuudenhallintahankkeessa (KUJA) tuotettuihin arviointimalleihin sekä Pelastusopiston ohjeeseen kunnan kriisiviestinnän suunnittelusta (Pelastusopiston julkaisu 4/2017).

Varautumista koskevien vaatimusten toteuttamisen vaikutuksiin hyvinvointialueiden osalta vaikuttaa myös se, että tiedonhallintalain 13 §:n 1 momentissa kunnille ja kuntayhtymille säädetty velvollisuus selvittää olennaiset tietojenkäsittelyyn kohdistuvat riskit ja mitoittaa tietoturvallisuustoimenpiteet riskiarvioinnin mukaisesti tulee toteuttaa vuoden 2022 loppuun mennessä myös sosiaali- ja terveydenhuollon sekä pelastustoimen tehtävien osalta. Kun ehdotukset tulevat voimaan vasta tämän jälkeen, arvioidaan niiden edellyttävän hyvinvointialueilta lähinnä olemassa olevien menettelyiden tarkistamista. Vastaavasti, kun voimassa olevan valmiuslain 12 §:ssä säädetään kunnallisten viranomaisten velvollisuudesta valmiussuunnitelmin ja poikkeusoloissa tapahtuvan toiminnan etukäteisvalmisteluin sekä muilla toimenpiteillä varmistaa tehtäviensä mahdollisimman hyvä hoitaminen myös poikkeusoloissa, on ehdotuksessa kyse lähinnä olemassa olevien vaatimusten sovittamisesta käytännön menettelyihin. Hyvinvointialueiden viranomaisille ja HUS-yhtymälle erikseen säädetyt samansuuntaiset varautumisvelvollisuudet vähentävät ehdotettujen vaatimusten toteuttamisen edellyttämää työmäärää. Hyvinvointialueista annetun lain 150 §:ssä säädetään hyvinvointialueen velvollisuudesta huolehtia toimintansa jatkuvuudesta normaaliolojen häiriötilanteissa sekä poikkeusoloissa. Hyvinvointialueen toiminnan jatkuvuuden varmistamiseen liittyvistä yhteistoimintavelvollisuuksista muiden hyvinvointialueiden sekä kuntien kanssa säädetään sosiaali- ja terveydenhuollon järjestämisestä annetun lain (612/2021) 36, 50 ja 51 §:ssä.

Lisäksi valmistelun aikana tehtyjen selvitysten perusteella voidaan varautumista ja valmiussuunnittelua koskevien ehdotusten arvioida toteutuvan suurelta osin jo nykyisin sosiaali- ja terveydenhuollon sekä pelastustoimen tehtävistä vastaavien kunnallisten viranomaisten käytännöissä. Ehdotettujen vaatimusten kanssa samansuuntaista ohjeistusta sisältyy myös sosiaali- ja terveysministeriön antamiin ohjeisiin sosiaali- ja terveydenhuollon riskienhallinnasta ja turvallisuussuunnittelusta (Sosiaali- ja terveysministeriön julkaisuja 2011:15) sekä korkean varautumisen ja viestintä- ja tietojärjestelmien hallinnasta ja käytöstä (https://stm.fi/valmiusasiat). Ehdotettujen vaatimusten kanssa samansuuntaisia ohjeita sisältyy myös kunnallisissa sosiaali- ja terveydenhuollon viranomaisten sovellettuun Pelastusopiston ohjeeseen kunnan valmiussuunnitelman mallista ja sen käytöstä kunnassa (ks. Pelastusopiston julkaisu 2/2012).

Asiarekisteriin rekisteröitävät tiedot

Tiedonhallintalain 26 §:n 4 momenttiin ehdotettujen, asiarekisteriin merkittäviä tietoja koske-vien, vaatimusten taloudellisten vaikutusten arvioidaan hyvinvointialueiden viranomaisten osalta vastaavan, mitä kuntien ja kuntayhtymien osalta on esitetty. Ehdotusten ei arvioida aiheuttavan viranomaisten asianhallinnalle merkittäviä muutostarpeita, niiden vastatessa viranomaisille nykyisiä laissa säädettyjen velvollisuuksien toteuttamiseen liittyviä tarpeita tallentaa tiedot asiakirjojen lähettämisestä sekä ratkaisujen ajankohdista.

Automatisoitujen toimintaprosessien kehittämisen ja käytön tiedonhallinta

Sosiaali- ja terveydenhuollon sekä pelastustoimen tehtävät siirtyvät kunnallisilta viranomaisilta hyvinvointialueiden viranomaisten järjestämisvastuulle 1.1.2023. Tiedonhallintalain 6 a luvun ehdotusten valmistelun aikana tehdyissä selvityksissä ei ole tunnistettu, että tällä hetkellä sosiaali- ja terveydenhuollossa tai pelastustoimessa olisi käytössä ehdotuksessa tarkoitettuja automatisoituja toimintaprosesseja. Tällöin ehdotuksen ei arvioida aiheuttavan muutoksia hyvinvointialueiden nykyiseen toimintaan. Ehdotusten vaatimat resurssitarpeet tuleva ajankohtaiseksi vasta siinä vaiheessa, kun hyvinvointialue päättää lähteä kehittämään prosessejaan automaattiseen ratkaisuun perustuvaksi.

Uusien automatisoitavien toimintaprosessien osalta tiedonhallintalain 6 a luvun vaatimusten arvioidaan hyvinvointialueiden osalta mahdollistavan vastaavia hyötyjä mitä kunnille ehdotuksesta arvioidaan muodostuvan. Ehdotuksen hyvinvointialueille muodostama hyötypotentiaali voi olla kuitenkin vähäisempi verrattuna muihin julkisen hallinnon toimijoihin, koska sosiaali- ja terveydenhuollossa tehtäviin päätöksiin liittyy tyypillisesti sellaista harkintaa, joiden toteuttaminen ehdotuksen tarkoittamalla automaattisella päätöksenteolla on haasteellista, tiettyjä laskutusta ja maksujen määräytymistä koskevaa päätöksentekoa lukuun ottamatta.

Palveluautomaation käyttö neuvonnassa digitaalisessa palvelussa

Digipalvelulakiin ehdotetaan lisättäväksi 6 a §, jossa säädettäisiin vaatimuksista palveluautomaatiolla toteutettavan neuvonnan käytölle. Ehdotus koskisi niin sanottuja ”chatbot”-palveluja tai niitä vastaavia palveluja, joissa käyttäjä kommunikoi reaaliaikaisesti luonnollisella kielellä digitaalisen palveluautomaation kanssa. Digipalvelulain 6 a §:n vaatimukset edellyttäisivät tällä hetkellä käytössä olevien palvelujen tarkistamista ja mahdollista muuttamista ehdotettujen vaatimusten mukaiseksi. Lisäksi vaatimukset saattavat edellyttää lisäresursointia palvelujen ylläpidon osalta.

Sosiaali- ja terveydenhuollon sekä pelastustoimen tehtävät siirtyvät hyvinvointialueiden viranomaisten järjestämisvastuulle 1.1.2023. Tällöin on todennäköistä, että tällä hetkellä sosiaali- ja terveydenhuollossa sekä pelastustoimessa käytössä olevista palveluautomaatioratkaisuista ainakin osan voidaan olettaa siirtyvän myös hyvinvointialueiden viranomaisten vastuulle 1.1.2023 alkaen. Sosiaali- ja terveydenhuollon kuntayhtymistä ehdotuksen tarkoittamaa palveluautomaatiota on käytössä useissa sairaanhoitopiireissä sekä perusterveydenhuollon kuntayhtymissä.

Muilta osin ehdotuksen aiheuttamien suorien ja epäsuorien taloudellisten vaikutusten arvioidaan olevan vastaavat, mitä kuntien osalta on esitetty.

4.2.1.5 Muu julkinen hallinto

Taloudelliset vaikutukset julkisoikeudellisille laitoksille yleisesti

Tiedonhallintalain 6 a luvun vaatimusten toteuttaminen edellyttää toimenpiteitä niiltä julkisoikeudellisilta laitoksilta, joilta on tällä hetkellä käytössä hallintolakia koskevassa ehdotuksessa tarkoitettua automaattista ratkaisemista. Valmistelun aikana muutostarpeen on tunnistettu kohdistuvan ainakin Kansaneläkelaitoksen, Kevan sekä Suomen metsäkeskuksen prosesseihin. Lisäksi yliopistoilla ja korkeakouluilla on mahdollisesti käytössä automaattista ratkaisutoimintaa muun muassa opintosuoritusten arvioinnissa.

Vaatimusten toteuttaminen nykyisiin prosesseihin edellyttäisi niiden läpikäyntiä sekä prosesseista tuotetun dokumentaation tarkistamista sekä mahdollista muokkaamista, mikäli kuvaukset eivät vastaa ehdotuksessa vaadittua. Viranomaisten tulisi myös laatia olemassa olevista prosesseista ehdotuksen tarkoittamat käyttöönottopäätökset sekä laadunvalvontasuunnitelmat. Lisäksi niiden olisi tarkistettava nykyiset käytännöt, joilla ne seuraavat ja keräävät tietoa prosessien toteutumisesta, korjaavat prosesseissa havaitsemansa virheet sekä varmistavat päätöksissä käytettävien tietojen ajantasaisuuden ja virheettömyyden. Ehdotuksen ei arvioida muodostavan sellaisia uusia vaatimuksia, jotka edellyttäisivät merkittäviä muutoksia käytössä oleviin tietojärjestelmiin. Viranomaisten olisi kuitenkin varauduttava muuttamaan järjestelmiään, mikäli ne eivät vastaa ehdotuksessa tai muualla laissa säädettyä.

Valmistelun aikana tehtyjen selvitysten perusteella prosessien muuttaminen tiedonhallintalain 6 a luvun vaatimuksia vastaavaksi edellyttäisi Kansaneläkelaitokselta arviolta noin 300 000 euron kertaluonteisen määrärahatarpeen vuodelle 2023. Kansaneläkelaitoksen arvion mukaan vaatimukset lisäisivät myös sen prosessien ylläpitokustannuksia vuosittain noin 100 000 eurolla. Kansaneläkelaitos on arvioinut, että automaattisen päätöksenteon avulla se säästää noin 7,2 miljoonaa euroa toimintamenoistaan pelkästään opintotukipäätösten osalta. Keva on arvioinut oman toimintansa vastaavan suurelta osin jo tällä hetkellä ehdotettuja vaatimuksia, jolloin ehdotuksesta aiheutuvat muutokset voidaan toteuttaa nykyisillä resursseilla. Suomen metsäkeskukselle vaatimusten toteuttamisen arvioidaan edellyttävän kertaluonteisesti noin yhden henkilötyövuoden työpanoksen.

Tiedonhallintalain 6 a lukuun ehdotettujen vaatimusten keskeiset hyödyt julkisoikeudellisille laitoksille muodostuisivat vastaavista tekijöistä, mitä valtion, kuntien ja hyvinvointialueiden viranomaisten osalta on arvioitu. Merkittävimmän hyödyn arvioidaan muodostuvan siitä, että ehdotetun sääntelyn avulla nykyinen automaatiotaso voidaan säilyttää ja saadaan muodostettua vakiintuneet vaatimukset tulevalle kehittämiselle.

Uusien automatisoitavien päätöksentekoprosessien osalta tiedonhallintalain 6 a luvussa ehdotettujen vaatimusten arvioidaan lisäävän valtion virastojen ja laitosten prosessien kehittämiskustannuksia verrattuna siihen, että prosessien kehittäminen, käyttöönotto ja käytön aikainen valvonta toteutettaisiin yleisemmän tasoisilla vaatimuksilla, kuin mitä automaattisen päätöksenteon läpinäkyvyyden varmistaminen, prosessin kontrolloitavuus ja virkavastuun kohdentaminen edellyttäisivät. Työmäärän arvioidaan olevan kuitenkin vähäinen suhteessa prosessien kehitystyön tai tietojärjestelmien ylläpidon kokonaiskustannuksiin. Uusien prosessien osalta kustannukset voidaan huomioida kehittämisen yhteydessä tehtävässä normaalissa resurssisuunnittelussa ja kehittämisen edellyttämissä määrärahaesityksissä.

Tiedonhallintalain 13 a §:ssä ehdotettujen häiriötilanteiden viestintää ja varautumista koskevien vaatimusten arvioidaan edellyttävän laitoksilta nykyisin käytössä olevien vastaavien menettelyiden ja valmiussuunnittelua koskevien käytäntöjen tarkistamista ja mahdollista muuttamista vaatimuksia vastaavaksi. Ehdotettujen vaatimusten vastatessa pitkälti nykyisiä käytäntöjä ja osittain voimassa olevaa sääntelyä, ei vaatimusten arvioida edellyttävän lisäresursseja, vaan ne voidaan suurelta osin toteuttaa olemassa olevia resursseja uudelleen allokoimalla. Tiedonhallintalain 26 §:ssä ehdotettujen asiarekisteriin merkittäviä tietoja koskevien vaatimusten ei arvioida aiheuttavan laitosten asianhallinnalle merkittäviä muutostarpeita. Asiarekisteriin merkittäviä tietoja koskevat ehdotukset vastaavat nykyisiä laissa säädettyjen velvollisuuksien toteuttamiseen liittyviä tarpeita tallentaa tiedot asiakirjojen lähettämisestä sekä ratkaisujen ajankohdista.

Digipalvelulain muutosehdotuksen tarkoittamia palveluautomaatioratkaisuja arvioidaan olevan tällä hetkellä käytössä muun muassa Kansaneläkelaitoksella, Kevalla sekä muutamissa ammattikorkeakouluissa. Digipalvelulain 6 a §:n vaatimusten ei arvioida edellyttävän merkittäviä muutoksia käytössä oleville ”chatbot -palveluille” tai niitä vastaaville ratkaisuille. Lähtökohtaisesti viranomaisen hallinnon asiakkaille tarjoaman neuvonnan tulee vastata ehdotukseen sisältyviä hyvälle hallinnolle, neuvontavelvollisuudelle ja neuvonnan kielelle asetettuja vaatimuksia. Korkeakouluilta saatujen arvioiden mukaan ehdotuksen mahdollisesti vaatimat lisäresurssitarpeet muodostuisivat erityisesti palvelun seurantaa ja laadunvarmistusta koskevista vaatimuksista. Palvelujen muuttamista vaatimuksia vastaavaksi arvioidaan aiheuttavan noin 10 000 – 50 000 euron palvelukohtaisen muutoskustannuksen. Palvelujen testausta ja valvontaa koskevien vaatimusten arvioidaan lisäävän jonkin verran myös neuvontaprosessien ylläpitokustannuksia sekä uusien palvelujen kehittämiskustannuksia.

Häiriötilanteista tiedottaminen ja varautuminen häiriötilanteisiin

Tiedonhallintalain 13 a §:n 1 momenttiin ehdotetaan viranomaiselle vaatimusta tiedottaa viipymättä sen tietoaineistoja hyödyntäville, jos sen tiedonhallintaan kohdistuu häiriö, joka estää tai uhkaa estää viranomaisen tietoaineistojen saatavuuden. Viranomaisen olisi tiedotettava myös häiriön tai uhkan päättymisestä. Ehdotettu tiedottamisvelvollisuus edellyttäisi viranomaisilta nykyisten toimintamallien ja menettelyiden tarkistamista sekä tarvittavien muutostoimenpiteiden toteuttamista niihin. Ehdotuksen taloudellisten vaikutusten arvioidaan olevan kuitenkin vähäisiä. Valmistelun aikana tehdyn selvityksen mukaan ja ehdotuksesta saatujen lausuntopalautteiden perusteella osassa itsenäisistä julkisoikeudellisista laitoksista tiedottaminen, niiden omalla vastuulla olevien tietojärjestelmien ja –varantojen osalta vastaa pitkälti ehdotettua. Laitoksilla on käytössä vaatimusten mukaisia menettelyjä, joiden avulla tietojenluovuttamiseen liittyvistä häiriötilanteista viestitään. Kun ehdotus jättää lisäksi tiedottamisen tavan ja tiedottamisessa käytettävän välineet viranomaisten omaan harkintaan, voidaan vaatimusten toteuttamisessa tukeutua olemassa oleviin menettelyihin. Ehdotukseen liittyvä 12 kuukauden siirtymäsäännön mahdollistaisi sen, että itsenäiset julkisoikeudelliset laitokset pystyvät toteuttamaan vaatimuksen olemassa olevilla resursseilla.

Tiedonhallintalain 13 a §:n 3 momentin ehdotukseen sisältyvien tietoaineistojen käsittelyä ja tietojärjestelmien hyödyntämistä koskevien varautumisvaatimusten ei arvioida edellyttävän julkisoikeudellisilta laitoksilta tai korkeakouluilta merkittäviä muutostoimenpiteitä. Ehdotuksella lähinnä tarkennettaisiin voimassa olevaa riskienhallintaa koskevaa sääntelyä yksilöimällä tiedonhallintalain 13 §:n 1 momentissa tarkemmin hallittavien riskien kohteeksi tietojärjestelmien hyödyntämisen ja liittää arvioinnin osaksi viranomaisille valmiuslain 12 §:ssä säädettyä varautumisvelvollisuutta.

Itsenäisten julkisoikeudellisten laitosten sekä yliopistojen ja korkeakoulujen tulee toteuttaa tiedonhallintalain 13 §:n 1 momentissa säädetty velvollisuus selvittää olennaiset tietojenkäsittelyyn kohdistuvat riskit ja mitoittaa tietoturvallisuustoimenpiteet riskiarvioinnin mukaisesti vuoden 2022 loppuun mennessä. Kun ehdotukset tulisivat voimaan vasta tämän jälkeen, arvioidaan niiden edellyttävän lähinnä olemassa olevien menettelyiden tarkistamista. Ehdotuksen vaikutuksia arvioidaan vähentävän osaltaan se, että valmiuslain 12 §:n varautumisvelvollisuutta vastaavasti yliopistojen varautumisvelvollisuudesta poikkeusoloissa säädetään yliopistolain (558/2009) 90 §:ssä ja ammattikorkeakoulujen vastaavasta ammattikorkeakoululain (932/2014) 66 §:ssä.

Valmistelun aikana tehtyjen selvitysten perusteella tiedonhallintalain 13 a §:ssä ehdotetut vaatimukset toteutuvat pääosin jo tällä hetkellä Kansaneläkelaitoksessa, Kevassa ja Suomen metsäkeskuksessa. Suomen metsäkeskuksen osalta tarkan työmääräarvion laatiminen ei ole ollut mahdollista, joten esitettyyn arvioon liittyy tiettyä epävarmuutta. Tiedonhallintalain 13 a §:ssä ehdotettujen vaatimusten toteuttamisen edellyttämään työmäärään vaikuttaa osaltaan laitoksia koskevassa erityislainsäädännössä säädetyt samansuuntaiset varautumisvelvollisuudet. Kevasta annetun lain (66/2016) 8 §:ssä säädetään Kevan velvollisuudesta varmistaa asianmukaisin toimin toimintansa jatkuvuus ja säännöllisyys kaikissa tilanteissa. Kansaneläkelaitoksen velvollisuudesta varmistaa valtakunnallisten sosiaali- ja terveydenhuollon tietojärjestämäpalvelujen jatkuvuus säädetään sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (784/2021) 14 §:ssä sekä sähköisestä lääkemääräyksestä annetun lain (61/2007) 20 §:ssä.

Asiarekisteriin rekisteröitävät tiedot

Tiedonhallintalain 26 §:n 4 momenttiin ehdotettujen, asiarekisteriin merkittäviä tietoja koske-vien, vaatimusten taloudellisten vaikutusten arvioidaan itsenäisten julkisoikeudellisten laitosten ja yliopistojen osalta vastaavan, mitä valtion viranomaisten osalta on esitetty. Ehdotusten ei arvioida aiheuttavan viranomaisten asianhallinnalle merkittäviä muutostarpeita, niiden vastatessa viranomaisille nykyisiä laissa säädettyjen velvollisuuksien toteuttamiseen liittyviä tarpeita tallentaa tiedot asiakirjojen lähettämisestä sekä ratkaisujen ajankohdista.

Automatisoitujen toimintaprosessien kehittämisen ja käytön tiedonhallinta

Tiedonhallintalain 6 a luvussa ehdotetut vaatimukset aiheuttavat kertaluonteisen muutostarpeen myös niille julkisoikeudellisille laitoksille, joilla on automatisoituja toimintaprosesseja käytössä tällä hetkellä. Ehdotusten valmistelun aikana tehtyjen selvitysten perusteella ehdotuksen tarkoittamia automatisoituja toimintaprosesseja on ainakin Kansaneläkelaitoksella, Kevalla sekä Suomen metsäkeskuksella. Lisäksi yliopistoissa ja korkeakouluissa tiettyjen suoritusten arviointiin liittyvien ratkaisujen tekeminen voidaan sisällyttää automatisoitujen toimintaprosessien kategoriaan.

Ehdotettujen vaatimusten toteuttamisen arvioidaan edellyttävän tällä hetkellä automatisoituja toimintaprosesseja hyödyntäviltä toimijoilta muutoksia nykyisten prosessien ja tietojärjestelmien suunnitteluun sekä kehittämiseen. Lisäksi ehdotukset muuttavat vaatimuksia, joita viranomaisten olisi otettava huomioon toimintaprosessien ja niissä hyödynnettävien tietojärjestelmien käyttöönottoon liittyvässä päätöksenteossa sekä käytössä olevien prosessien valvonnassa. Kustannuksia viranomaisille aiheutuu myös ehdotuksiin sisältyvistä tietojärjestelmien suojaustoimenpiteistä, tietojärjestelmistä tallennettavista tiedoista sekä tietojen antamista tietojärjestelmistä koskevista vaatimuksista. Automatisoidusta toimintaprosessista tiedottamisen arvioidaan edellyttävän vain vähäistä lisätyötä, mikäli tiedot julkaistaan staattisina verkkosivustoilla. Vaatimusten arvioidaan lisäävän myös automatisoituja toimintaprosesseja toteuttavien viranomaisten prosessien ylläpidossa tarvittavien resurssien määrää. Toimenpiteet, joista lisätyö aiheutuu, ovat pitkälti vastaavia kuin ne, joita valtion viranomaisia koskevassa arvioinnissa on esitetty. Tiedonhallintalain 6 a luvun vaatimusten aiheuttamat muutokset itsenäisten julkisoikeudellisten laitosten tietojärjestelmiin vastaavat, mitä valtion viranomaisten kohdalla on esitetty.

Kansaneläkelaitoksen, Kevan sekä Suomen metsäkeskuksen osalta ehdotusten arvioidaan aiheuttavan suoria kustannuksia nykyisin käytössä olevien prosessien ja niissä käytettyjen tietojärjestelmien muuttamisesta ehdotettuja vaatimuksia vastaavaksi. Valmistelun aikana tehdyn selvityksen perusteella tiedonhallintalain 6 a luvun vaatimusten toteuttaminen nykyisin käytössä oleviin prosesseihin aiheuttaisi Kansaneläkelaitokselle arviolta noin 300 000 euron määrärahatarpeen vuodelle 2023. Prosessin ylläpidon osalta Kansaneläkelaitos on arvioinut ehdotusten lisäävän, sen suuresta tietojärjestelmämäärästä johtuen, prosessien ylläpidon resursseja arviolta noin 100 000 eurolla vuosittain vuodesta 2024 alkaen. Esitettyyn arvioon liittyy vielä epävarmuutta sen osalta, mitkä laitoksen prosessit kuuluisivat ehdotettujen vaatimusten piiriin. Keva on arvioinut oman toimintansa vastaavan suurelta osin jo tällä hetkellä ehdotettuja vaatimuksia, jolloin ehdotuksesta aiheutuvat muutokset voidaan toteuttaa nykyisillä resursseilla. Suomen metsäkeskukselle vaatimusten toteuttamisen arvioidaan edellyttävän kertaluonteisesti noin yhden henkilötyövuoden työpanosta. Kaikkiin edellä mainittuihin arvioihin sisältyy epävarmuutta. Luotettavamman arvioinnin toteuttaminen edellyttäisi vaatimusten tarkempaa prosessikohtaista selvittämistä.

Ehdotuksen valmistelun aikana tehtyjen selvitysten perusteella automatisoituja prosesseja tällä hetkellä toteuttavat viranomaiset arvioivat tiedonhallintalain 6 a lukuun ehdotettujen vaatimusten mahdollistavan nykyisen toiminnan jatkamisen ilman merkittäviä muutoksia tai prosesseihin sisältyvän automaation vähentämistä. Vaatimusten toteuttamisen edellyttämän työmäärän olemassa olevien prosessien dokumentointiin, laadunvalvontaan tai prosesseista tallennettaviin tietoihin arvioidaan olevan vähäinen verrattuna hallinnollisten ratkaisujen automatisoinnilla saavutettavaan hyötyyn. Kansaneläkelaitoksen sekä opetus- ja kulttuuriministeriön arvion mukaan automaattipäätökset säästävät toimeenpanomenoja nykyisin noin 7,2 miljoonaa euroa pelkästään Kansaneläkelaitoksen opintotuen toimeenpanotehtävissä. Vaihtoehtoinen kustannus sille, että nykyistä automaatio jouduttaisiin purkamaan tai vähentämään, olisi suuri.

Tiedonhallintalain 6 a luvun vaatimusten arvioidaan lisäävän julkisoikeudellisten laitosten sekä yliopistojen ja korkeakoulujen työmäärää tulevan kehittämisen osalta. Ehdotukseen sisältyvät dokumentointivaatimukset, prosessin laadunvarmistamiseen liittyvä testaus, prosessin käyttöönottopäätösten valmistelu sekä prosessin valvontaa ja virheiden korjaamista koskevien tehtävien toteuttaminen ehdotuksessa vaaditulla laatutasolla edellyttävät prosessin kehittämisessä, käyttöönotossa ja käyttöönotetun prosessien valvonnassa käytettävien menettelyiden lainmukaisuuden varmistamista. Kun ehdotukseen sisältyvät vaatimukset vastaavat pitkälti voimassa olevaa sääntelyä ja nykyisin prosessien kehittämisessä käytettäviä käytäntöjä, voidaan ehdotetut vaatimukset huomioida osana normaalin kehittämisen resurssisuunnittelua. Lisäksi vaatimusten taloudelliset vaikutukset tulevaan kehittämiseen riippuvat pitkälti kehitettävästä prosesseista ja kehitettävien prosessien määrästä sekä kehittämisessä käytettävistä menettelyistä.

Kuten muiden viranomaisten osalta, arvioidaan ehdotusten oikeustilaan liittyvän epävarmuuden poistamisen ja automatisoituja toimintaprosesseja koskevien vaatimusten vakioimisen muodostavan myös julkisoikeudellisten laitosten ja korkeakoulujen prosessien kehittämiselle jatkossa toimintaympäristön, joka edesauttaa kehittämistä. Jos asiantila jäisi sääntelyn osalta nykyisen kaltaiseksi, saattaisi se pidemmällä aikavälillä tarkoittaa, ettei prosessien kehittämisessä voida täysimääräisesti hyödyntää digitalisaation ja teknologian tarjoamia ratkaisuja tai saavuttaa muun muassa toiminnan taloudellisuudelle ja tuottavuudelle asetettuja tavoitteita. Ehdotuksiin liittyvien vaatimusten on arvioitu myös hidastavan päätöksentekoprosessien kehittämistä sekä kasvattavan kehittämisen kustannuksia. Tiedonhallintalakiin esitetyt vaatimukset on nähty erityisesti korkeakoulupuolella raskaiksi toteuttaa ja niiden on arvioitu aiheuttavan kustannuksia, mikäli automaattista päätöksentekoa otettaisiin laajemmin käyttöön.

Palveluautomaation käyttö neuvonnassa digitaalisessa palvelussa

Digipalvelulakiin ehdotetaan lisättäväksi 6 a §, jossa säädettäisiin vaatimuksista palveluautomaatiolla toteutettavan neuvonnan käytölle. Ehdotus koskisi niin sanottuja ”chatbot”-palveluja tai niitä vastaavia palveluja, joissa käyttäjä kommunikoi reaaliaikaisesti luonnollisella kielellä digitaalisen palveluautomaation kanssa. Lain tarkoittamia palveluautomaatioratkaisuja on tällä hetkellä käytössä Kansaneläkelaitoksella, Kevalla sekä muutamissa ammattikorkeakouluissa.

Palveluautomaatiota koskevien ehdotusten lähinnä tarkentaessa voimassa olevaa sääntelyä ja vastatessa pitkälti nykyisten palveluautomaatioratkaisujen toiminnallisuuksia, ei ehdotettujen vaatimusten toteuttamisen arvioida edellyttävän julkisoikeudellisilta laitoksilta tai korkeakouluilta merkittävää muutosta nykyisiin palveluihin tai muutoksen lisäresursointia. Muutoksen edellyttämän työn määrä ja kustannukset vaihtelevat eri toimijoiden välillä riippuen neuvontaa toteuttavan palveluautomaation roolista organisaatiossa sekä myös osittain automaatiossa käytettävästä teknologiasta. Korkeakouluilta saatujen arvioiden mukaan ehdotuksen vaatimat lisäresurssitarpeet aiheutuisivat erityisesti seurantaa ja laadunvarmistusta koskevista vaatimuksista.

Julkisessa hallinnossa käytössä olevat palveluautomaatioratkaisut perustuvat pitkälti samoihin valmistuotteisiin ja ratkaisuihin, jolloin muutoksen aiheuttaman resurssitarpeen muutosta vaativien palveluiden osalta voidaan arvioida edellyttävän 10 000–50 000 euron investointia palvelua kohden. Korkeakoulut ovat arvioineet palvelujen muuttamisen vaatimuksia vastaavaksi aiheuttavan noin 10 000–20 000 euron palvelukohtaisen muutoskustannuksen. Vaatimukset olisi toteutettava käytössä oleviin palveluihin 12 kuukauden kuluessa lain voimaatulosta.

Myös ehdotukseen sisältyvän vaatimuksen palvelujen testaamisesta tiedonhallintalain 28 b §:n mukaisesti arvioidaan edellyttävän lisätyötä palvelujen kehittämisen osalta. Uusien käyttöönotettavien palveluautomaatioratkaisujen osalta vaatimusten aiheuttamat kustannukset voidaan kuitenkin huomioida palvelujen kehittämistyöhön varatuissa resursseissa.

Muilta osin ehdotuksen aiheuttamien suorien ja epäsuorien taloudellisten vaikutusten arvioidaan olevan vastaavat, mitä valtion viranomaisten osalta on esitetty.

4.2.1.6 Julkisia hallintotehtäviä hoitavat yksityiset ja yhteisöt

Taloudelliset vaikutukset julkista hallintotehtävää hoitaville yleisesti

Tiedonhallintalain 6 a luvun vaatimukset edellyttäisivät muutostoimenpiteitä niille julkista hallintotehtävää hoitaville yksityisille ja yhteisöille, jotka tällä hetkellä käyttävät prosesseissaan hallintolakia koskevassa ehdotuksessa tarkoitettua automaattista ratkaisemista. Muutostarpeen on tunnistettu kohdistuvan erityisesti lakisääteisten vakuutusten toimeenpanotehtäviä toteuttavien työeläke- ja vakuutusyhtiöiden sekä työttömyyskassojen prosesseihin. Valmistelun aikana tehtyjen selvitysten perusteella ehdotetut vaatimukset tulisivat sovellettavaksi niissä Eläketurvakeskuksen, Työllisyysrahaston, Liikennevakuutuskeskuksen, Maatalousyrittäjien eläkelaitoksen sekä lakisääteisiä tehtäviä toteuttavien vakuutusyhtiöiden, työeläkevakuuttajien, työttömyyskassojen sekä vakuutuskassojen prosesseissa, jotka vastaavat hallintolakia koskevassa ehdotuksessa määriteltyä automaattista ratkaisua. Ehdotusta koskevissa lausunnoissa edellä mainitut tahojen arvioihin sisältyi myös epävarmuutta sen osalta, missä määrin niillä olisi käytössä hallintolakia koskevassa ehdotuksessa tarkoitettua täysin automatisoitua päätöksentekoa.

Vaatimusten toteuttaminen nykyisiin prosesseihin edellyttäisi, viranomaisia vastaavasti, niiden läpikäyntiä sekä prosesseista tuotetun dokumentaation tarkistamista ja mahdollista muokkaamista, mikäli kuvaukset eivät vastaa vaadittua. Lisäksi yhtiöiden olisi tarkistettava nykyiset käytännöt, joilla ne seuraavat ja keräävät tietoa prosessien toteutumisesta, korjaavat prosesseissa havaitsemansa virheet sekä varmistavat päätöksissä käytettävien tietojen ajantasaisuuden ja virheettömyyden.

Vaatimusten edellyttämät toimenpiteet ja niiden vaatima työpanos vastaavat pitkälti, mitä valtion viranomaisten osalta on esitetty ja arvioitu. Vaatimusten soveltamisalaan kuuluvilta vakuutustoimijoilta saatujen arvioiden mukaan, tarkkojen toimijakohtaisten kustannusarvioiden tekeminen valmistelun yhteydessä ei ole ollut mahdollista. Tämän vuoksi arvioon liittyy epävarmuutta.

Ehdotuksen suoria kustannusvaikutuksia automatisoituja prosesseja käyttäville vakuutustoimijoille arvioidaan vähentävän toimialalla voimassa olevan samansuuntaisen sääntelyn. Lakisääteisten vakuutusten toimeenpanotehtäviä hoitavien yritysten, eläke- ja työttömyyskassojen sekä vakuutustoimintaa ja eläketurvaa kehittävien toimielinten vastuiden määrittelystä, laadunvalvonnasta sekä riskienhallinnasta on säädetty toimialan erityislainsäädännössä. Lisäksi Finanssivalvonta on antanut mainituille toimijoille tarkentavia määräyksiä erityislaissa säädetyistä velvollisuuksista. Ehdotuksen ei arvioida muodostavan julkista hallintotehtävää hoitaville myöskään sellaisia uusia vaatimuksia, jotka edellyttäisivät merkittäviä muutoksia näiden prosesseissa käyttämille tietojärjestelmille. Ehdotettujen prosesseista tallennettavia tietoja sekä tietojen suojaamista koskevien vaatimusten on arvioitu edellyttävän mahdollisesti toimenpiteitä, mikäli käytössä olevat järjestelmät eivät vastaa vaatimuksia. Muutoksen kustannuksia arvioidaan alentavan myös sen, että julkista hallintotehtävää hoitavien on tullut toteuttaa vastaavat vaatimukset tiedonhallintalain 4 luvussa säädetyn mukaisesti vuoden 2022 loppuun mennessä.

Tiedonhallintalain 13 a §:ssä ehdotettujen häiriötilanteiden viestintää ja varautumista koskevien vaatimusten arvioidaan edellyttävän myös julkista hallintotehtävää hoitavilta nykyisin käytössä olevien vastaavien menettelyiden ja valmiussuunnittelua koskevien käytäntöjen tarkistamista sekä niiden mahdollista muuttamista vaatimuksia vastaavaksi. Menettelyiden ja ohjeiden tarkistamisen vaatiman työpanoksen ei arvioida olevan merkittävä. Ehdotukset ovat pitkälti samansuuntaisia voimassa olevan erityislainsäädännön sekä käytäntöjen kanssa. Varautumista ja riskienhallintaa koskevista velvollisuuksista on säädetty kattavasti muun muassa vakuutustoimijoiden osalta. Lisäksi lain säännöksiä on tarkennettu Finanssivalvonnan antamilla määräyksillä. Tiedonhallintalain 26 §:ssä ehdotettujen asiarekisteriin merkittäviä tietoja koskevien vaatimusten ei arvioida aiheuttavan julkista hallintotehtävää hoitavien asianhallinnalle merkittäviä muutostarpeita.

Digipalvelulain muutosehdotuksen tarkoittamia palveluautomaatioratkaisuja on käytössä laajasti julkista hallintotehtävää hoitavissa yhteisöissä. Neuvontaa toteuttavia ”chatbot-palveluja” käytetään muun muassa vakuutusyhtiöiden asiakaspalvelussa, kunnallista jätehuoltoa toteuttavissa yrityksissä sekä valtiontukea saavissa vuokra-asuntoyhtiöissä. Kun julkisia hallintotehtäviä koskevat vaatimukset määrittävät palvelun vaatimukset myös niissä tilanteissa, joissa samaa palvelua käytetään sekä julkisten hallintotehtävien että muiden tehtävien toteuttamiseen, ei ehdotuksen arvioida edellyttävän merkittäviä muutoksia käytössä oleviin palveluautomaatioratkaisuihin. Lähtökohtaisesti myös julkista hallintotehtävää hoitavien asiakkaille tarjottavan neuvonnan tulee vastata ehdotukseen sisältyviä hyvää hallintoa, neuvontavelvollisuutta ja neuvonnan kieltä koskevia vaatimuksia.

Häiriötilanteista tiedottaminen ja varautuminen häiriötilanteisiin

Tiedonhallintalain 13 a §:n 1 momenttiin ehdotetaan vaatimusta tiedottaa viipymättä julkista hallintotehtävää hoitavan yhteisön tietoaineistoja hyödyntäville, jos sen tiedonhallintaan kohdistuu häiriö, joka estää tai uhkaa estää viranomaisen tietoaineistojen saatavuuden. Tiedottamisvelvollisuus koskisi myös häiriön tai uhkan päättymisestä. Ehdotus edellyttäisi velvolliselta nykyisten toimintamallien ja menettelyiden tarkistamista sekä tarvittavien muutostoimenpiteiden toteuttamista niihin. Valmistelun aikana tehdyn selvityksen mukaan muun muassa vakuutustoimialalla tiedottaminen, niiden omalla vastuulla oleviin tietojärjestelmiin ja -varantoihin liittyvistä häiriöistä, on nykyisin suurelta osin vakiintunut käytäntö. Häiriötilanteissa vakuutustoimijoiden on varmistettava, että niillä on käytössään tehokkaat viestintämenettelyt, jotta kaikille asiaankuuluville sidosryhmille, myös asianomaisille valvontaviranomaisille ja palveluntarjoajille, tiedotetaan hyvissä ajoin ja asianmukaisella tavalla. Kun ehdotus jättää lisäksi tiedottamisen tavan ja tiedottamisessa käytettävän välineet viranomaisten omaan harkintaan, voidaan vaatimusten toteuttamisessa tukeutua olemassa oleviin menettelyihin. Ehdotukseen liittyvä 12 kuukauden siirtymäsääntö mahdollistaisi sen, että julkista hallintotehtävää hoitavat pystyvät toteuttamaan vaatimuksen olemassa olevilla resursseilla.

Tiedonhallintalain 13 a §:n 3 momentin riskienhallintaan ja jatkuvuuden varmistamiseen liittyvillä ehdotuksilla pääasiassa tarkennetaan julkisissa hallintotehtävissä sovellettavaa voimassa olevaa sääntelyä. Ehdotuksen kanssa samansuuntaisista varautumista ja riskienhallintaa koskevista vaatimuksista on säädetty eläkesäätiöiden osalta eläkesäätiöistä ja eläkekassoista annetun lain (946/2021) 4 luvun 22 ja 27 §:ssä, Eläketurvakeskuksen osalta Eläketurvakeskuksesta annetun lain (397/2006) 15 §:ssä, Liikennevakuutuskeskuksen osalta Liikennevakuutuskeskuksesta annetun lain (461/2016) 16 §ssä, Maatalousyrittäjien eläkelaitoksen osalta Maatalousyrittäjien eläkelain (1280/2006) 119 ja 132 §:ssä, Merimieseläkekassan osalta merimieseläkelain (1290/2006) 229 §:ssä, Potilasvakuutuskeskuksen osalta Potilasvakuutuskeskuksesta annetun lain (949/2019) 18 §:ssä sekä lakisääteisten vakuutusten toimeenpanotehtäviä toteuttavien vakuutusyhtiöiden osalta vakuutusyhtiölain (521/2008) 6 luvun 8, 10 ja 13 §:ssä. Kun Finanssivalvonta on määräyksillään tarkentanut henki- ja vahinkovakuutusyhtiöiden (Finanssivalvonnan määräykset ja ohjeet 6/2015, myöhemmin FIVA), työeläkevakuutusyhtiöiden (FIVA 2/2017), Merimieseläkekassan (FIVA 10/2017), Maatalousyrittäjien eläkelaitoksen (FIVA 8/2018), työttömyyskassojen (FIVA 2021) sekä eläkesäätiöiden ja eläkekassojen (FIVA 11/2021) vakuutustoimijoiden riskienhallinnan ja riskienarvioinnin menettelyjä sekä henki- ja vahinkovakuutusyhtiöiden (FIVA (6/2015) ja työttömyyskassojen (FIVA 3/2021) osalta myös valmiussuunnittelun vaatimuksia, ei ehdotettujen vaatimusten toteuttamisen arvioida vaativan merkittäviä muutostoimenpiteitä niitä soveltavilta toimijoilta. Esitettyä arviota tukee myös ehdotusten valmisteluaikana vakuutustoimintaa harjoittaville tehty selvitys, jonka perusteella on arvioitavissa ehdotettujen vaatimusten toteutuminen tällä hetkellä myös käytännön tasolla.

Ehdotettujen vaatimusten on tunnistettu aiheuttavan kertaluonteista lisätyötä ja kustannuksia, jotka muodostuvat ainakin vaatimusten vertaamisesta nykyisiin menettelyihin sekä havaittujen muutostarpeiden toteuttamisesta. Toimenpiteiden edellyttämän resurssitarpeen ei arvioida olevan merkittävä. Valmistelun aikana ei ole kuitenkaan pystytty muodostamaan euromääräistä arvioita toimenpiteiden vaikutuksista, mikä jättää esitettyyn arvioon epävarmuutta tosiasiallisiin taloudellisiin vaikutuksiin.

Asiarekisteriin rekisteröitävät tiedot

Tiedonhallintalain 26 §:n 4 momenttiin ehdotetaan lisättäväksi vaatimus, että viranomaisten laatimista asiakirjoista on tarvittaessa rekisteröitävä tiedot asiakirjan lähettämisajankohdasta ja lähettämistavasta. Pykälän 5 momenttiin ehdotetaan lisättäväksi asiarekisteriin rekisteröitäviksi tiedoiksi asiasta ainakin viranomaisen tekemän asiankäsittelyn päättävän ratkaisun ajankohta ja tarvittaessa tiedot viranomaisen ratkaisun perusteella tehdyn rekisterimerkinnän ajankohdasta ja merkintätavasta sekä viranomaisen lähettämien asiakirjojen tiedoksiantotavasta. Säännöstä sovellettaisiin yksityisiin henkilöihin tai yhteisöihin taikka muihin kuin viranomaisena toimiviin julkisoikeudellisiin yhteisöihin siltä osin kuin ne hoitavat julkista hallintotehtävää.

Ehdotetut asiakirjojen ja asioiden rekisteröintivaatimukset vaatimukset edellyttävät tiedonhallintalain soveltamisalaan kuuluvilta yhteisöiltä nykyisten asiakirjojen ja asioiden kirjauskäytäntöjen ja asiarekisteriin tallennettavien tietojen tarkistamista ja näiden mahdollista muuttamista, mikäli ne eivät vastaa vaatimuksia. Asiakirjan lähettämisajankohtaa koskevat tiedot rekisteröitäisiin asiarekisteriin vain tarvittaessa niissä tilanteissa, kun viranomaisen asiakirja lähetetään viranomaisesta jollekin viranomaisen ulkopuoliselle taholle kuten asianosaiselle tai toiselle viranomaiselle. Asiarekisteriin rekisteröitävä rekisterimerkinnän ajankohta ja merkintätapa tulisi sovellettavaksi niissä yhteisöissä, joiden ratkaisuihin sisältyy rekisterimerkinnän tekeminen. Tiedoksiantotapaa koskeva merkintä tulisi tehdä tarvittaessa, jos asiakirja lähetään hallintoasioissa tiedoksiantotarkoituksessa. Vaikka asiarekisterimerkintöjä koskevat vaatimukset tulisivat sovellettavaksi vain lain tarkoittamissa tilanteissa, edellyttää vaadittujen tietojen kirjaaminen tarvittavien käytäntöjen muodostamista sekä kirjaamiskäytäntöjen ohjeistamista. Ehdotettujen vaatimusten toteuttamisen ei arvioida edellyttävän julkisia hallintotehtävää hoitavilta merkittäviä resursseja, koska asiakirjojen lähettämisajankohtaa, lähettämistapaa, tiedoksiantotapaa tai ratkaisun ajankohtaa koskevien merkintöjen lisäämisen asiarekisteriin ei pitäisi lähtökohtaisesti muuttaa viranomaisten nykyisiä käytäntöjä. Julkisia hallintotehtäviä hoitavien on tälläkin hetkellä tarve tallentaa hallintolaissa säädettyjen velvollisuuksien toteuttamiseksi 26 §:n ehdotukseen sisältyvät tiedot. Lisäksi ehdotetut vaatimukset saattavat edellyttää muutoksia nykyisin asioiden kirjaamisessa ja asiarekisterin ylläpidossa käytettäviin dokumentin- ja asianhallintajärjestelmiin.

Automatisoitujen toimintaprosessien kehittämisen ja käytön tiedonhallinta

Tiedonhallintalain 6 a luvussa ehdotettujen automatisoituja toimintaprosesseja koskevien säännösten on tunnistettu vaikuttavan tiettyihin julkisia hallintotehtäviä toteuttavien työeläke- ja vakuutusyhtiöiden sekä työttömyyskassojen ratkaisuprosesseihin. Tehtyjen selvitysten perusteella automatisoitua ratkaisutoimintaa toteutetaan tällä hetkellä muun muassa Eläketurvakeskuksessa, Työllisyysrahastossa, Liikennevakuutuskeskuksessa, Maatalousyrittäjien eläkelaitoksessa sekä lakisääteisiä tehtäviä toteuttavissa vakuutusyhtiöissä, työeläkevakuuttajissa, työttömyyskassoissa sekä vakuutuskassoissa. Ehdotuksia koskevissa lausunnoissa edellä mainitut tahot esittivät, ettei niillä olisi käytössä juurikaan täysin automatisoitua päätöksentekoa. Tällöin ehdotuksen suorat vaikutukset niiden nykyiseen toimintaan olisivat vähäiset. Arvioihin liittyy kuitenkin epävarmuutta sen osalta mihin yksittäisiin prosesseihin sääntely tulisi sovellettavaksi.

Osa 6 a luvussa ehdotetuista vaatimuksista vastaa voimassa olevaa sääntelyä, mikä osittain vähentää ehdotusten muutosvaikutuksia. Toisaalta tietty toimialakohtainen sääntely saattaa aiheuttaa myös lisätyötä sen osalta, kun nykyisiä prosessien kehittämisessä ja ylläpidossa käytettäviä menettelyjä joudutaan tarkistamaan ja muuttamaan uusia ehdotuksia vastaavaksi. Vaikutuksiin ja niiden toteutumiseen vaikuttaa osaltaan myös se, missä määrin toimialakohtaisella erityissääntelyllä säädettäisiin myöhemmässä yhteydessä poikkeuksia nyt ehdotettavasta yleissääntelystä. Ehdotuksen kanssa samansuuntaisia vastuita, laadunvalvontaa ja riskienhallintaa koskevista vaatimuksista on säädetty eläkesäätiöiden ja eläkekassojen osalta eläkesäätiöistä ja eläkekassoista annetun lain 4 luvun 22 ja 24 §:ssä, Maatalousyrittäjien eläkelaitoksen osalta maatalousyrittäjän eläkelain 11 luvun 119 §:ssä, Merimieseläkekassan osalta merimieseläkelain 184 ja 184 a §:ssä, työeläkevakuutusyhtiöiden osalta työeläkevakuutusyhtiöistä annetun lain (354/1997) 12 b ja 12 c §:ssä, työttömyyskassojen osalta työttömyyskassalain 12 a §:ssä sekä lakisääteisten vakuutusten toimeenpanotehtäviä toteuttavien vakuutusyhtiöiden osalta vakuutusyhtiölain 6 luvun 8, 10 ja 14 §:ssä.

Muutostarpeita nykyisiin prosesseihin aiheuttaisivat muun muassa tiedonhallintalain 28 a §:n vaatimukset prosessin olennaisesta dokumentoinnista, jotka edellyttäisivät nykyisten prosessien ja niissä hyödynnettävien tietojärjestelmien olemassa olevan dokumentaation läpikäyntiä, tarkistamista ja mahdollista muuttamista vaatimusten mukaiseksi. Lisäksi automatisoitujen toimintaprosessien testaamista koskevien tiedonhallintalain 28 b §:n vaatimusten arvioidaan edellyttävän nykyisin käytössä olevien prosessien ja tietojärjestelmien kehittämisessä ja versioinnissa käytettävien testausmenettelyiden tarkistamista ja muuttamista ehdotusta vastaavaksi. Testausta koskevat vaatimukset lähinnä tarkentaisivat tiedonhallintalain 13 §:n 2 momentissa säädettyä sekä muun muassa tiettyjä Finanssivalvonnan vakuutustoiminnasta antamia määräyksiä (Finanssivalvonnan määräykset ja ohjeet 6/2015). Valmistelun aikana tehtyjen selvitysten perusteella useiden julkista hallintotehtävää hoitavien yhteisöjen käytännöt vastaavat myös tällä hetkellä ehdotettuja vaatimuksia. Testausta koskevien vaatimusten osalta aiheutuvaan työmäärään vaikuttaa osaltaan myös prosessin käytön aikana tehtävien testausta edellyttävien merkittävien muutosten ja kehitystoimenpiteiden määrä.

Tiedonhallintalain 28 c §:n laadunvalvontaa ja virhetilanteiden käsittelyä koskevien vaatimusten toteuttamisen arvioidaan aiheuttavan määräaikaisen resurssitarpeen, jotta vaadittu dokumentaatio nykyisistä prosesseista voidaan tuottaa sekä olemassa olevat valvontaprosessit ja käytännöt muuttaa vaatimuksia vastaavaksi. Vaatimus aiheuttaa mahdollisesti myös muutostarpeita käytössä oleviin tietojärjestelmiin, mikäli niihin ei tällä hetkellä ole mahdollista tallentaa pykäläehdotuksessa tarkoitettuja tietoja. Ehdotusten valmistelun aikana tehdyssä selvityksessä ei pystytty tunnistamaan riittävässä määrin tietojärjestelmiin kohdistuvia muutostarpeita tai niiden euromääräistä suuruutta. Lähtökohtaisesti myös julkista hallintotehtävää hoitavalla on jo voimassa olevan sääntelyn perusteella velvoite seurata lakisääteisen tehtävän toimeenpanoon liittyvän prosessin oikeellisuutta ja siihen liittyvän tietojen käsittelyn lainmukaisuutta, jonka vuoksi ehdotuksen ei arvioida vaativan perustavanlaatuisia muutoksia prosesseissa käytettäviin tietojärjestelmiin. Tiedon tuottaminen olisi edellyttänyt erillisten prosessikohtaisten kartoitusten tekemistä ehdotuksen soveltamisalaan kuuluvissa yhteisöissä. Tältä osin ehdotuksella saattaa olla vaikutuksia tietojärjestelmien muutoskustannuksiin. Valmistelun aikana tehdyn selvityksen perusteella myös virheiden korjaamista koskevien vaatimusten arvioidaan vastaavan pääpiirteiltään julkista hallintotehtävää hoitavien yhteisöjen nykyisiä käytäntöjä.

Tiedonhallintalain 28 d §:n automatisoidun toimintaprosessin käyttöönottopäätöksen sisältöä sekä päätöksentekomenettelyä ja tiedonhallintaa koskevien vaatimusten arvioidaan edellyttävän muutoksia nykyiseen käytäntöön erityisesti niiden julkista hallintotehtävää hoitavien yhteisöjen osalta, joissa prosessien ja tietojärjestelmien käyttöönotto on vakiintuneesti toteutettu ilman muodollista päätöstä tai muutoin kuin esittelystä tehtynä. Valmistelun aikana tehdyssä selvityksessä useat yhteisöt toivat esiin sen, että vaatimus saattaa tarkoittaa erillisen ja rinnakkaisen päätöksentekomenettelyn muodostamista lakisääteisiin hallintotehtäviin ja muuhun toimintaan.

Automatisoidusta toimintaprosessista tiedottamista koskevien tiedonhallintalain 28 e §:ssä esitettyjen vaatimusten käyttöönottopäätösten julkaisusta ja toimintaprosessin tiedottamisesta yleisessä tietoverkossa arvioidaan edellyttävän julkista hallintotehtävää toteuttavilta kertaluonteisia toimenpiteitä julkaisuprosessin muodostamisen, informaation muokkaamisen sekä julkaisujärjestelmiin tarvittavien määrittelyiden osalta. Muutoksen ei arvioida aiheuttavan merkittäviä resurssitarpeita, mikäli tietojen julkaisu toteutetaan esimerkiksi staattisena verkkosivuille vietävänä informaationa.

Automatisoidun toimintaprosessin käsittelysääntöjen muuttamista koskevat tiedonhallintalain 28 f §:n vaatimukset edellyttävät nykyisin käytössä olevien tietojärjestelmien suojauskäytäntöjen tarkistamista ja mahdollista muuttamista. Ehdotetuissa vaatimuksissa ei yksityiskohtaisesti säädettäisi siitä, mitä suojauskäytäntöjä tietojärjestelmissä tulee käyttää eri tarkoituksissa, minkä vuoksi ehdotuksen mahdollisesti eri yhteisöille aiheuttamien kustannusten lopullinen suuruus riippuu pitkälti valitusta suojauskäytännöistä. Koska julkista hallintotehtävää hoitavien on toteutettava tiedonhallintalain 15 §:n vaatimukset vuoden 2022 loppuun mennessä, ei ehdotuksen arvioida lisäävän kustannuksia merkittävästi. Valmistelun aikana tehtyjen selvitysten perusteella tietojen säilyttämisen arvioidaan edellyttävän muutoksia tiettyjen vakuutustoimintaa harjoittavien toimijoiden ja työttömyyskassojen tietojärjestelmiin, mutta muutoskustannusten suuruuden arviointi edellyttäisi tarkempaa ja työmäärällisesti merkittävää prosessikohtaista analysointia. Arvioon liittyy epävarmuutta myös sen osalta, ettei ehdotuksen valmisteluaikana tietojärjestelmämuutoksia ole pystytty kartoittamaan kattavasti eri toimijoiden osalta.

Päätöksenteossa käytettävien tietojen käyttöä koskevien tiedonhallintalain 28 h §:n vaatimusten arvioidaan aiheuttavan myös kertaluonteisia kustannuksia tarvittavien riskienhallintaan ja laadunvarmistamiseen liittyvien menettelyiden muodostamiseksi, mikäli niitä ei tällä hetkellä ole käytössä.

Tiedonhallintalain 6 a luvussa ehdotettujen vaatimusten toteuttamisen aiheuttamaa muutostarvetta vähentää vakuutustoimijoiden osalta Finanssivalvonnan samansuuntaiset määräykset. Finanssivalvonta on antanut määräyksen henki- ja vahinkovakuutusyhtiöille niiden velvollisuudesta määrittää vastuut, dokumentoida prosessit, varmistaa palvelujen laatu ja valvoa laatua, suojata tietojärjestelmissä käsiteltäviä tietoja sekä tallentaa tietoja, jotta tapahtumien jäljittäminen olisi mahdollista (FIVA 6/2015). Finanssivalvonta on antanut määräyksen riskien ja tietoturvallisuuden valvonnan osalta työeläkevakuutusyhtiöille (FIVA 2/2017), Merimieseläkekassalle (FIVA 10/2017), Maatalousyrittäjien eläkelaitokselle (FIVA 8/2018) sekä eläkesäätiöille ja eläkekassoille (FIVA 11/2021). Lisäksi Finanssivalvonta on edellyttänyt, että työttömyyskassat laativat toiminnastaan prosessikuvaukset ja tunnistavat prosesseihin liittyvät riskit sekä valvovat riskejä ja toteuttavat tietoturvallisuuden valvontaa edellyttävät toimenpiteet (FIVA 3/2021).

Julkista hallintotehtävää hoitavien tietojärjestelmien osalta tiedonhallintalain 6 a luvussa ehdotetun sääntelyn vaikutukset on arvioitu olevan vastaavat, mitä valtion viranomaisten kohdalla on esitetty (ks. vaikutukset valtion viranomaisten käyttämiin tietojärjestelmiin). Julkista hallintotehtävää hoitavien velvollisuus varmistaa tietoturvallisuustoimenpitein käyttämiensä tietojen ajantasaisuus sekä tarvittavien lokitietojen kerääminen on tullut toteuttaa niiden käyttämiin järjestelmiin vuoden 2022 loppuun mennessä. Valmistelun aikana vakuutustoimijoilta saaduissa selvityksissä Työeläkevakuuttajat ovat arvioineet vaatimusten toteuttamisen aiheuttamien kustannusten olevan työeläkeyhtiöiden osalta useita miljoonia euroja. Eläketurvakeskus on arvioinut, että työeläkealan yhteisten tietojärjestelmien muuttaminen siten, että niistä olisi mahdollista varmistaa toimintaprosessin toteutuminen käsittelysääntöjen mukaisesti, aiheuttaisi yli 5 miljoonan euron kustannuksen. Finanssiala ry. on arvioinut vakuutusyhtiöiden tietojärjestelmien muuttamiseen kohdistuvien kustannusten olevan moninkertainen verrattuna ehdotuksesta viranomaisille aiheutuviin kustannuksiin. Arviointeihin liittyy kuitenkin paljon epävarmuutta, koska tarkempien arvioiden edellyttämää suunnittelutyötä ei vielä ehdotusten valmisteluvaiheessa ole ollut mahdollista tehdä.

Kertaluonteisten muutoskustannusten lisäksi tiedonhallintalain 6 a luvun vaatimusten arvioidaan lisäävän myös automatisoitujen toimintaprosessien resurssitarpeita prosessien valvonnan, tietojärjestelmien ylläpidon sekä ylläpidon aikaisten muutosten osalta. Tarvittavien resurssien määrät vaihtelevat huomattavasti yhteisöittäin ja ovat pitkälti kiinni muutoksen kohteena olevien prosessien ja tietojärjestelmien tämän hetkisestä tilanteesta, kuten myös prosessissa hyödynnettävien tietojärjestelmien ylläpitotavoista. Ehdotettujen vaatimusten pidemmän aikavälin vaikutusta julkista hallintotehtävää hoitavien kustannuksiin ei valmistelun yhteydessä ole pystytty muodostamaan.

Uusien kehitettävien ja käyttöönotettavien prosessien osalta ehdotettujen vaatimusten aiheuttaman työmäärän tai kustannusten lisäys riippuu pitkälti kehittämisen kohteena olevista prosesseista ja niiden määrästä. Yleisellä tasolla arvioituna, tiedonhallintalain 28 a §:n dokumentointivaatimusten ja 28 b §:ssä ehdotettujen testausta koskevien vaatimusten arvioidaan lisäävän työmäärää tulevien uusien palvelujen kehittämisen osalta. Lisäksi, kun testaaminen toteutetaan käytännössä usein tietojärjestelmätoimittajan tai ulkopuolisen asiantuntijaresurssin toimesta, voidaan ehdotuksen arvioida lisäävän ostettavaa työtä. Koska prosessien suunnittelu ja tietojärjestelmien testaaminen on selvitysten perusteella vakiintunut käytäntö julkisia hallintotehtäviä hoitavissa yhteisöissä, ei ennen prosessin käyttöönottoa koskevien 28 a ja 28 b §:ien vaatimusten arvioida muodostavan kovinkaan merkittävää osuutta kehittämisen kokonaiskustannuksista. Ehdotettujen vaatimusten aiheuttamaa resurssitarvetta vähentää osaltaan vakuutusyhtiöiden osalta se, että vastaavan kaltaisista vaatimuksista on säännelty Finanssivalvonnan määräyksillä (ks. esim. Finanssivalvonnan määräykset ja ohjeet 6/2015). Edellä esitetyn lisäksi myös ehdotuksen 28 f §:ään sisältyvän velvollisuuden käyttöönottopäätöksen toimittamisesta tiedonhallintalautakunnan arvioitavaksi, arvioidaan vaativan vähäistä lisätyötä.

Tiedonhallintalain 6 a luvun ehdotusten arvioidaan oikeustilaan liittyvän epävarmuuden poistamisen ja automatisoituja toimintaprosesseja koskevien vaatimusten määrittämisen myötä muodostavan julkista hallintotehtävää toteuttaville yksityisille ja yhteisöille kehittämistä tukevan toimintaympäristön. Jos asiantilan jäisi sääntelyn osalta nykyisen kaltaiseksi, voisi sillä olla pidemmällä aikavälillä huomattavia negatiivisia vaikutuksia tilanteissa, joissa prosessien kehittämisessä ei voida täysimääräisesti hyödyntää digitalisaation ja teknologian tarjoamia ratkaisuja. Virheettömästi ja laadukkaasti toimivan automaattisen päätöksenteon voidaan arvioida tukevan asiankäsittelyprosessia ja osittain vapauttavan resursseja vaativampaan työskentelyyn. Toisaalta ehdotettujen vaatimusten on erityisesti vakuutustoimintaa toteuttavien osalta arvioitu myös mahdollisesti hidastavan automatisoitujen päätöksentekoprosessien kehittämistä ja käyttöönottoa tulevaisuudessa.

Palveluautomaation käyttö neuvonnassa digitaalisessa palvelussa

Digitaalisten palvelujen tarjoamisesta annettuun lakiin ehdotetaan lisättäväksi 6 a §, jossa säädettäisiin vaatimuksista palveluautomaatiolla toteutettavan neuvonnan käytölle. Ehdotus koskisi niin sanottuja ”chatbot” tai niitä vastaavia palveluja, joissa käyttäjä kommunikoi reaaliaikaisesti luonnollisella kielellä digitaalisen palveluautomaation kanssa. Ehdotetun sääntelyn piiriin kuuluisivat muun muassa laissa säädettyjen vakuutusten toimeenpanotehtäviä toteuttavien vakuutusyhtiöiden neuvontaa antavat chatbot-palvelut, kun vaatimuksia sovellettaisiin vakuutusyhtiölain 1 luvun 1 §:n 1 momentissa tarkoitettujen vakuutusyhtiöiden ja vakuutusyhdistyslain (1250/1987) 1 luvun 1 §:n 1 momentissa tarkoitettujen vakuutusyhdistysten digitaalisiin palveluihin siltä osin kuin niiden tarkoituksena on tarjota palvelua yleisölle. Muita valmistelun aikana tunnistettuja vastaavia palveluja on käytössä muun muassa kunnallisissa jätehuollon palvelutehtäviä toteuttavissa yrityksissä sekä tietyissä valtion tukea saavissa vuokrataloyhtiöissä.

Julkista hallintotehtävää hoitavilla yhteisöillä käytössä olevat chatbot-palvelut tuottavat neuvontaa sekä lakisääteisten että vapaaehtoisten tehtävien osalta. Laillisuusvalvonnassa on yleisellä tasolla katsottu, että jos jokin saman toimijan ylläpitämä palvelu on yhteisesti käytössä niin julkisen hallintotehtävän hoitamisessa kuin tämän toiminnan ulkopuolelle jäävässä yksityisluonteisessa toiminnassa, koko palvelua on tarkasteltava julkisen hallintotehtävän vaatimusten näkökulmasta sikäli kuin palvelua ei ole mahdollista järjestää erikseen kutakin toiminnan lohkoa varten (ks. esim. EOA dnro 1930/2/13, 29.4.2016 ja EOAK/5410/2017, 17.12.2018). Edellä mainitun vuoksi ehdotettujen vaatimusten arvioidaan kohdistuvan laajasti nykyisin käytössä oleviin palveluihin. Mainitun vuoksi voidaan arvioinnissa lähtökohtana pitää sitä, että myös julkista hallintotehtävää hoitavien asiakkaille tarjoaman neuvonnan on tullut jo tähänkin saakka vastata ehdotukseen sisältyviä hyvälle hallinnolle, neuvontavelvollisuudelle ja neuvonnan kielelle asetettuja vaatimuksia.

Julkista hallintotehtävää hoitavien osalta palveluautomaatiota koskevat ehdotukset lähinnä tarkentavat voimassa olevaa sääntelyä. Ehdotusten arvioidaan vastaavan pitkälti myös nykyisin käytössä olevien palveluautomaatioratkaisujen toiminnallisuuksia. Muutostyön määrä ja kustannukset niiden palvelujen osalta, joihin vaatimukset edellyttäisivät kehitystyötä vaihtelevat huomattavasti eri toimijoiden välillä, riippuen neuvontaa toteuttavan palveluautomaation roolista organisaatiossa sekä myös osittain automaatiossa käytettävästä teknologiasta.

Julkista hallintotehtävää hoitavien käytössä olevat palveluautomaatioratkaisut perustuvat pitkälti samoihin valmistuotteisiin ja ratkaisuihin mitä käytetään myös julkisessa hallinnossa. Tällöin muutoksen aiheuttaman resurssitarpeen muutosta vaativien palveluiden osalta voidaan arvioida edellyttävän julkisen hallinnon viranomaisten palveluja vastaavasti 10 000–50 000 euron investointia palvelua kohden. Vaatimukset olisi toteutettava käytössä oleviin palveluihin 12 kuukauden kuluessa lain voimaatulosta.

Myös ehdotukseen sisältyvän vaatimuksen palvelujen testaamisesta tiedonhallintalain 28 b §:n mukaisesti arvioidaan edellyttävän lisätyötä palvelujen kehittämisen osalta. Uusien käyttöönotettavien palveluautomaatioratkaisujen osalta vaatimusten aiheuttamat kustannukset voidaan kuitenkin huomioida palvelujen kehittämistyöhön varatuissa resursseissa.

Muilta osin ehdotuksen aiheuttamien suorien ja epäsuorien taloudellisten vaikutusten arvioidaan olevan vastaavat, mitä valtion viranomaisten osalta on esitetty.

4.2.2 Vaikutukset yrityksiin

Tiedonhallintalain 6 a luvussa ehdotetulla sääntelyllä arvioidaan olevan tiettyjä välillisiä vaikutuksia niihin yrityksiin, jotka toimittavat julkiselle hallinnolle tietojärjestelmien kehittämisprojekteja ja niistä syntyviä ratkaisuja sekä tarjoavat viranomaisille tietojärjestelmien testaamiseen sekä auditointiin liittyviä palveluja.

Tiedonhallintalain 28 j §:ssä viranomaiselle kohdentuvat vaatimukset muodostaisivat yrityksille vaatimuksen varmistaa henkilöstönsä riittävä osaaminen, joka mahdollistaisi viranomaisen antamaan 28 b §:ssä tarkoitettuun testaamiseen ja 28 c §:ssä tarkoitettuun teknisten virheiden korjaamiseen liittyvän avustavan tehtävän hoitamisen yksityiselle toimijalle, jolla on siihen riittävät tekniset edellytykset sekä riittävä osaaminen. Myös ehdotukseen sisältyvä vaatimus tehtävää hoitavan henkilön toimimisesta tehtäviä hoitaessaan virkamiehen rikosoikeudellisella virkavastuulla saattaisi palveluja tarjoavien yritysten osalta edellyttää virkavastuun tuntemisen edellyttämää henkilöstön kouluttamista. Rikosoikeudellisella virkavastuulla toimiminen saattaa myös heikentää yrityksen tehtävissä käyttämän henkilöstön saatavuutta ja kohottaa henkilöstökustannuksia ehdotettujen laatuvaatimusten ja vastuiden sekä mahdollisten seuraamusten myötä. Ehdotusten kohdistuessa vain automatisoituihin toimintaprosesseihin, ei vaikutusten arvioida kuitenkaan olevan merkittäviä tai koskevan laajasti yrityskenttää.

Tiedonhallintalain 6 a luvun ehdotusten ollessa kaikille yrityksille uusia ja koskevan kaikkia toimialalla toimivia yrityksiä samalla tavoin, ei niillä arvioida olevan vaikutuksia yritysten väliseen kilpailuun tai markkinoiden toimivuuteen.

Digipalvelulain 6 a §:n ehdotukset muodostavat palveluautomaatioratkaisuja tarjoaville yrityksille tarkkarajaiset vaatimukset, joita vasten ratkaisuja voidaan kehittää pidemmällä aikavälillä. Vaatimusten sääntely laintasolla mahdollistaa pitkäjänteisen investoinnin tuotekehitykseen. Niille nykyisin viranomaisille palveluautomaatioratkaisuja tarjoaville yrityksille, joiden tuotteet eivät tällä hetkellä täytä ehdotettuja vaatimuksia, ehdotus aiheuttaa palvelujen kehitystarpeen. Yritysten on mahdollista siirtää lakisääteisten vaatimusten toteuttamisen aiheuttama työ asiakkailta laskutettavaksi, jonka vuoksi vaatimuksilla ei arvioida olevan tältä osin pidemmän aikavälin vaikutuksia yritysten liiketoimintaan.

4.2.3 Vaikutukset viranomaisiin ja julkista hallintotehtävää hoitaviin yksityisiin

Sääntelyn arvioidaan mahdollistavan viranomaisten ja julkista hallintotehtävää hoitavien yksityisten automaation käytön ja käyttöönoton tarkoituksenmukaisissa asiaryhmissä. Osalla viranomaisista on jo käytössään automaattista päätöksentekoa ja useilla viranomaisilla on potentiaalia automatisoinnin kehittämiselle. Ehdotuksen sääntelyä sovelletaan hallintolain mukaiseen asioiden ratkaisemiseen eli hallintopäätöksen tekemiseen. Sääntely ei kohdistu eikä sillä ole vaikutuksia muunlaisen automaation, esimerkiksi päätöksentekoa avustavan automaation käyttöön.

Automaattisen päätöksenteon käyttöönotto mahdollistaa viranomaisessa ihmistyön suuntaamisen yksinkertaisemmista asioista monimutkaisempiin ja esimerkiksi harkintaa vaativiin tapauksiin. Viranomaisen on siten mahdollista keskittää ihmistyötä tarkoituksenmukaisemmin, joka edistää viranomaisen tehtävien hoitamista.

4.2.3.1 Vaikutukset viranomaisten tehtäviin

Häiriötilanteista tiedottaminen ja varautuminen häiriötilanteisiin

Tiedonhallintalain 13 a §:n 1 momentti muodostaisi viranomaiselle uuden tiedottamisvelvollisuuden tilanteissa, joissa sen vastuulla olevaan tietojärjestelmään tai tietovarantoon kohdistuu häiriö, jolla on vaikutuksia muihin viranomaisiin. Tiedonhallintalain 13 a §:n 3 momentin riskienhallintaan ja jatkuvuuden varmistamista koskevalla ehdotuksilla ei muodosteta viranomaisille uusia tehtäviä. Ehdotus lähinnä tarkentaa viranomaisille tiedonhallintalain 13 §:n 1 momentissa sekä valmiuslain 12 §:ssä säädettyjä vaatimuksia ja liittää riskienhallinnan ja valmiussuunnittelun toimenpiteet yhteen. Tiedonhallintalain 13 a §:n vaatimus yksilöi aikaisempaa tarkemmin hallittavien riskien kohteeksi tietojen käsittelyn lisäksi tietojärjestelmien hyödyntämisen. Lisäksi ehdotus liittäisi arvioinnin osaksi viranomaisille valmiuslain 12 §:ssä säädettyjä velvollisuuksia varmistaa tehtäviensä mahdollisimman hyvä hoitaminen myös poikkeusoloissa valmiussuunnitelmin ja poikkeusoloissa tapahtuvan toiminnan etukäteisvalmisteluin sekä muilla toimenpiteillä. Käytännössä ehdotettu vaatimus edellyttäisi viranomaisia tarkistamaan nykyisin käytössä olevat riskienhallintaa ja toiminnan jatkuvuuden varmistamiseen muodostetut menettelyt, muuttamaan ne vaatimuksia vastaavaksi sekä huolehtimaan muuttuneiden menettelyjen käyttöönotosta viranomaisen toiminnassa.

Tiedonhallintalain 13 a §:n ehdotettujen vaatimusten vaikutukset viranomaisen toimintaan riippuvat myös mahdollisesta viranomaiseen sovellettavasta erityissääntelystä. Valtion virastojen ja laitosten osalta vastaavia vaatimuksia varautumisesta normaaliolojen häiriötilanteisiin sisältyy muun muassa Ilmatieteenlaitoksen (laki Ilmatieteenlaitoksesta 1 §), Liikenne- ja viestintä-viraston (laki Liikenne- ja viestintävirastosta 2 §) sekä Väyläviraston (laki Väylävirastosta 2 §) tehtäviä koskevaan sääntelyyn. Lisäksi samansuuntaisista vaatimuksista on säädetty Digi- ja väestötietoviraston vastuulla olevien hallinnon yhteisten sähköisen asioinnin tukipalvelujen (laki hallinnon yhteisistä sähköisen asioinnin tukipalveluista 19 §) sekä valtion tieto- ja viestintäteknisen palvelukeskuksen Valtorin vastuulla olevien valtion yhteisten tieto- ja viestintäteknisten palvelujen (laki valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä 15 §) sekä hallinnon turvallisuusverkon tiettyjen palvelujen ylläpidon osalta (laki julkisen hallinnon turvallisuusverkkotoiminnasta 9 §). Hyvinvointialueiden viranomaisten on valmiussuunnitelmin ja normaaliolojen häiriötilanteissa tai poikkeusoloissa tapahtuvan toiminnan etukäteisvalmisteluin sekä muin toimenpitein huolehdittava siitä, että sen toiminta jatkuu mahdollisimman häiriöttömästi normaaliolojen häiriötilanteissa sekä poikkeusoloissa (laki hyvinvointialueista, 150 §). Sosiaali- ja terveydenhuollon järjestämisestä annetun lain 50 §:ssä säädetään hyvinvointialueen velvollisuudesta varautua ennakkoon tehtävillä valmiussuunnitelmilla sekä muilla toimenpiteillä yhteistyössä alueensa kuntien ja sosiaali- ja terveydenhuollon yhteistyöalueensa hyvinvointialueiden kanssa häiriötilanteisiin ja poikkeusoloihin. Säännös edellyttää hyvinvointialuetta varmistamaan palvelujensa jatkuvuuden turvaaminen myös silloin, kun palveluja toteutetaan hankkimalla niitä yksityisiltä palveluntuottajilta. Hyvinvointialueen pelastustoimen palvelutasoissa on otettava huomioon myös toiminta valmiuslain 3 §:ssä tarkoitetuissa poikkeusoloissa ja niihin varautuminen (Laki pelastustoimen järjestämisestä 3 §). Itsenäisiä julkisoikeudellisia laitoksia koskevassa lainsäädännössä Kevasta annetun lain 8 §:ssä säädetään Kevan velvollisuudesta varmistaa asianmukaisin toimin toimintansa jatkuvuus ja säännöllisyys kaikissa tilanteissa. Kansaneläkelaitoksen velvollisuudesta varmistaa valtakunnallisten sosiaali- ja terveydenhuollon tietojärjestämäpalvelujen jatkuvuudesta säädetään sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain 14 §:ssä sekä sähköisestä lääkemääräyksestä annetun lain 20 §:ssä.

Varautumista koskevalla ehdotuksella pyritään varmistamaan viranomaisten tehtävien hoitaminen normaaliolojen häiriötilanteissa. Velvollisuus kattaisi myös varautumisen niiden tehtävien osalta, joihin sisältyy yhteistyötä muiden viranomaisten kanssa. Ehdotetut vaatimukset edistäisivät myös käytännössä viranomaisten välistä yhteistyötä erityisesti henkilöstömäärältään pienissä viranomaisissa, joissa ei kaikilta osin olisi tarkoituksenmukaista ylläpitää itsellään kaikkea vaatimusten edellyttämää osaamista. Viranomaisten tulisikin tehtävien järjestämisen yhteydessä arvioida edellytyksiä toteuttaa muun muassa häiriöistä tiedottamiseen, riskienarviointiin sekä valmiussuunnitteluun toteuttamiseen liittyviä tehtäviä yhteistyössä muiden viranomaisten kanssa. Vastaavasti viranomaiset, jotka tukeutuvat tehtävissään muiden viranomaisten tietojärjestelmiin olisi luontevaa sopia yhteistyöstä palvelua tuottavan viranomaisen kanssa varautumiseen liittyvistä menettelyistä.

Automatisoitujen toimintaprosessien kehittämisen ja käytön tiedonhallinta

Tiedonhallintalain 6 a luvussa säädetyt vaatimukset tulevat sovellettavaksi niissä viranomaisten toimintaprosesseissa, jotka tuottavat hallintolain 53 e §:ssä tarkoitetun asian automaattisen ratkaisun (automatisoitu toimintaprosessi). Tiedonhallintalain 6 a luvun vaatimukset eivät muodosta viranomaisille, julkisen hallinnon tiedonhallintalautakuntaa lukuun ottamatta, uusia tehtäviä, vaan tarkentavat vaatimuksia, joita viranomaisen on otettava huomioon sen kehittäessä ja ottaessa käyttöön automatisoituja toimintaprosesseja.

Tiedonhallintalain 6 a luku edellyttäisi viranomaisia määrittämään toimintaprosessien dokumentointiin, vaatimustenmukaisuuden varmistamiseen sekä prosessin laadunvalvontaan liittyvät vastuut tavalla, joka ei jättäisi epäselväksi, kenelle laissa säädetyt velvollisuudet (virkavelvollisuudet) kuuluvat ja keneltä edellytetään laissa säädettyjä virkatoimia. Tämä tarkoittaa myös sitä, että viranomaisissa on oltava riittävät resurssit, jotta virkavelvollisuudet on tosiasiassa mahdollista hoitaa. Henkilöstömäärältään pienissä viranomaisissa automatisoitujen toimintaprosessien kehittämisen ja ylläpidon vastuut voivat olla liian raskaita suhteessa viranomaisen käytössä oleviin resursseihin. Mikäli myös resursseiltaan pienemmissä viranomaisissa otetaan käyttöön automatisoituja toimintaprosesseja, vastuiden kohdentaminen vastuiden edellyttämässä määrin eri henkilöille sekä vastuiden vaatiman osaamisen ylläpito ei kaikissa yhteyksissä olisi tarkoituksenmukaista toteuttaa vain viranomaisen oman henkilöstön toimesta, vaan osana viranomaisten välistä yhteistyötä. Viranomaisten, jotka tukeutuvat prosesseissaan muiden viranomaisten vastuulla oleviin tietojärjestelmiin, olisi luontevaa järjestää automatisoitujen toimintaprosessien kehittäminen ja käyttö yhteistyössä toisten viranomaisten kanssa huolehtien myös siitä, että toimintaan liittyvät vastuut ovat oikeudellisilta perusteiltaan selvät.

Ehdotetut vaatimukset muodostaisivat välittömän muutostarpeen niille viranomaisille, jotka tällä hetkellä tuottavat ehdotuksen tarkoittamia automaattisia ratkaisuja. Etukäteisarvioinnissa ei ole mahdollista esittää tyhjentävästi viranomaisten nykyisiä tehtäviä ja toimintaprosesseja, joihin vaatimukset tulisivat sovellettavaksi lain voimaantultua. Ehdotusten valmistelun yhteydessä automatisoituja toimintaprosesseja on tunnistettu olevan valtion virastoista Digi- ja väestötietovirastolla, Liikenne- ja viestintävirastolla, Maanmittauslaitoksella, Patentti- ja rekisterihallituksella, Rahoitusvakausvirastolla, Ruokavirastolla, Tullilla, työ- ja elinkeinotoimistoilla, Valtiokonttorilla sekä Verohallinnolla. Itsenäisistä julkisoikeudellisista laitoksista automaattisia ratkaisuja toteuttavat muun muassa Kansaneläkelaitos, Keva sekä Suomen metsäkeskus. Lisäksi yliopistoissa ja korkeakouluissa tiettyjen suoritusten arviointiin liittyvien ratkaisujen tekeminen voidaan sisällyttää automatisoitujen toimintaprosessien kategoriaan, joihin ehdotetut säännökset saattavat tuoda muutostarpeita. Kuntien viranomaisilla tai hyvinvointialueiden viranomaisille vuoden 2023 alusta siirtyvissä kunnallisissa sosiaali- ja terveydenhuollon ja pelastustoimen tehtävissä ei tällä hetkellä ole tunnistettu olevan käytössä lakiehdotuksessa tarkoitettua automaattista päätöksentekoa.

Tiedonhallintalain 6 a luvun vaatimukset kohdentuisivat lähinnä viranomaisen omaan sisäiseen toimintaan ja niihin hallinta- ja ohjausmenettelyihin, joilla se kehittää, ottaa käyttöön ja ohjaa käytössä olevia prosesseja. Lisäksi ehdotus muodostaa mainittuihin prosesseihin liittyviä dokumentointivaatimuksia sekä vaatimuksia tietojen julkaisusta ja niiden antamisesta asianosaiselle. Ehdotetulla sääntelyllä ei olisi vaikutuksia viranomaisten väliseen toimintaan, muutoin kuin tiedonhallintalautakunnan ja automatisoituja toimintaprosesseja käyttöönottavien viranomaisten osalta. Ehdotukseen sisältyisi uusi velvollisuus toimittaa automatisoitua toimintaprosessia koskeva käyttöönottopäätös julkisen hallinnon tiedonhallintalautakunnalle tiedoksi sekä lautakunnan mahdollisuus kiinnittää viranomaisen huomio käyttöönottopäätöksen dokumentaatiossa mahdollisesti oleviin olennaisiin puutteisiin. Ehdotuksen mukaan tiedonhallintalautakunta voisi myös ohjata viranomaisen omaa valmistelua asettamalla määräajan, jonka kuluessa viranomaisen olisi ilmoitettava lautakunnalle, mihin toimenpiteisiin se on ryhtynyt huomion kiinnittämisen johdosta.

Viranomaisille kohdistuvien velvoitteiden tasolla tiedonhallintalain 28 a §:ään sisältyvät dokumentointivaatimukset tarkentavat automatisoitujen toimintaprosessien osalta viranomaisille tiedonhallintalain 5 §:ssä ja yleisen tietosuoja-asetuksen 30 artiklan 1 kohdassa tarkoitetun selosteen sisältöä prosessissa käsiteltävien tietojen käsittelysääntöjen sekä asian ratkaisussa käytettävien tietojen osalta.

Tiedonhallintalain 28 b §:n ehdotus tarkentaa viranomaisen prosessien laadunvarmistamiseen liittyviä menettelytapavaatimuksia prosessin vaatimustenmukaisuuden ja prosessista tuotettavien asiakirjojen ymmärrettävyyden testaamisen ja testaamisesta syntyvän dokumentaation osalta. Lisäksi ehdotuksella tarkennetaan myös testaamisen suorittamiseen liittyviä laatu- ja osaamisvaatimuksia. Prosessin testaamista koskevat vaatimukset osittain tarkentavat tiedonhallintalain 13 §:n 2 momentissa viranomaiselle säädettyjä testausvelvoitteita, jotka valtion viranomaisten on tullut toteuttaa vuodesta 2020 alkaen ja muiden viranomaisten vuoden 2022 loppuun mennessä.

Tiedonhallintalain 28 c §:ssä ehdotettavat laadunvalvontaa ja virhetilanteiden käsittelyä koskevat vaatimukset niin ikään tarkentavat muualla laissa säädettyjä riskienhallintavaatimuksia ja prosessissa käsiteltävien tietojen ja prosessin tuottaman ratkaisun virheettömyyttä koskevia vaatimuksia. Automatisoiduista toimintaprosesseista tallennettavia tietoja koskevat vaatimukset ovat edellytys prosessin asianmukaisen toiminnan varmistamiseksi jälkikäteen. Tiedonhallintalain 28 b §:n ja 28 c §:n säännökset mahdollistaisivat edelleen testauksen ja virheiden korjaamisen teknisen toteutuksen hankkimisen myös yksityiseltä. Ehdotuksen 28 j §:ssä olisi esitetty edellytykset ja laatuvaatimukset, joiden tulisi täyttyä, jotta avustavat tehtävät olisi mahdollista antaa yksityisen toimijan hoidettavaksi. Säännös testaamiseen ja virheiden korjaamiseen liittyviä tehtäviä hoitavan yksityisen palveluksessa olevan henkilön toimimisesta rikosoikeudellisella virkavastuulla helpottaa viranomaista toteuttamaan omaa vastuutaan testaamisen vastuuhenkilön ja laadunvalvonnan vastuuhenkilön roolissa. Hyvinvointialueiden viranmaisten kohdalla sosiaali- ja terveydenhuollon tietojärjestelmiä koskevista vastaavista vaatimuksista on säädetty sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetussa laissa (784/2021).

Tiedonhallintalain 28 d § muodostaisi viranomaisille uuden velvollisuuden päättää erikseen automatisoidun prosessin käyttöönotosta sekä määrittäisi päätöksen sisällön ja menettelyn, jolla päätös tulisi tehdä. Tiedonhallintalain 28 e § velvoittaisi viranomaisen julkaisemaan automatisoituja toimintaprosesseja koskevat käyttöönottopäätökset yleisessä tietoverkossa ja tiedottamaan verkkosivuillaan automaattisesti ratkaistavasta asiasta, automatisoidun toimintaprosessin käytön perusteista ja muista asiakkaan oikeuksien kannalta keskeisistä tiedoista toimintaprosessin dokumentaatioon perustuen. Ehdotetut vaatimukset tarkentaisivat julkisuuslain 20 §:ssä viranomaiselle säädettyä velvollisuutta tiedottaa toiminnastaan sekä yksilöiden ja yhteisöjen oikeuksista ja velvollisuuksista toimialaansa liittyvissä asioissa.

Automatisoitujen toimintaprosessien kehittämisen ja käyttöönottoon liittyvien dokumentointi- ja menettelytapavaatimusten ohella tiedonhallintalain 28 f §:ssä säädettäisiin viranomaisen velvollisuudesta huolehtia, että automatisoidussa toimintaprosessissa käytetyt käsittelysäännöt on suojattu oikeudettomalta muuttamiselta ja säilyttää käsittelysääntöjen muuttamista koskevat tiedot viisi vuotta. Kun tiedonhallintalain 15 §:ssä on säädetty viranomaisten velvollisuudesta varmistaa tarpeellisin tietoturvallisuustoimenpitein, että sen tietoaineistojen muuttumattomuus on riittävästi varmistettu ja tietoaineistot on suojattu teknisiltä ja fyysisiltä vahingoilta, ehdotuksella lähinnä tarkennettaisiin vaatimusten kohdentumista automatisoitujen toimintaprosessien osalta nimenomaisesti käsittelysääntöihin. Ehdotuksessa ei oteta kantaa siihen, mitä suojauskäytäntöjä viranomaisen tulisi käyttää missäkin prosessissa. Hyvinvointialueiden viranmaisten kohdalla sosiaali- ja terveydenhuollon tietojärjestelmiä koskevista vastaavista vaatimuksista on säädetty sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetussa laissa (784/2021).

Tiedonhallintalain 28 h §:ssä ehdotetut vaatimukset viranomaiselle toteuttaa tarvittaessa riskiarvioinnin perusteella asianmukaiset toimenpiteet, joilla se teknisesti varmistaa automaattisessa ratkaisemisessa hyödynnettävien tietojen ajantasaisuuden ja virheettömyyden, eivät lisäisi perusteiltaan muualla laissa säädettyjä vaatimuksia. Ehdotus kohdentaisi tietojen laadunvarmistamiseen liittyvien teknisten varmistustoimenpiteiden toteuttamisen perustumaan viranomaisen etukäteen tekemään riskienarviointiin. Viranomaisen olisi tarvittavin etukäteisin toimenpitein selvitettävä ja varmistettava asiankäsittelyssä käytettävien tietojen riittävä laatu ja toteuttamaan laadunvarmistamisen edellyttämät toimenpiteet. Vastaavasta menettelyvaatimuksista on säädetty yleisemmällä tasolla henkilötietojen käsittelyn osalta yleisen tietosuoja-asetuksen 24 ja 25 artiklassa.

Palveluautomaation käyttö neuvonnassa digitaalisessa palvelussa

Digipalvelulakiin ehdotettava 6 a § palveluautomaation käytöstä neuvonnassa ei muuttaisi viranomaisten tehtäviä. Säännöksellä tarkennettaisiin vaatimuksia, jotka viranomaisten olisi otettava huomioon käyttäessään digitaalisessa palvelussa hallinnon asiakkaalle neuvontaa tuottavaa palveluautomaatiota, joka perustuu reaaliaikaiseen viestien vaihtoon hallinnon asiakkaan ja palveluautomaation välillä. Neuvontaa tuottavan palveluautomaation käyttö viranomaisen toimivaltaan kuuluvassa neuvonnassa jää edelleen viranomaisen omaan harkintaan.

Vaatimus neuvontaan tuottavan palveluautomaation kielen ymmärrettävyydestä vastaa hallintolain 9 §:ssä säädettyä hyvän kielenkäytön vaatimusta. Ehdotuksella vain kohdennettaisiin hyvän kielen vaatimusta nimenomaisesti palveluautomaation käyttämään kieleen. Myös digipalvelulain 3 luvussa säädettyjen saavutettavuusvaatimusten toteutuminen, muun muassa palvelujen ymmärrettävyyden osalta, on tullut viranomaisen varmistaa jo nykyisin. Vaatimukset käyttäjälle tarjottavasta informaatiosta sekä yhteystietojen esittämisestä palveluautomaation yhteydessä toteutuvat käytännössä jo nykyisin viranomaisten käyttämissä ratkaisuissa. Vaatimusten palvelun seuraamisesta ja laaduntarkkailusta sekä tämän edellyttämästä viestien vaihdon tallentamisesta ei arvioida myöskään muuttavan viranomaisten toimintaa. Vaatimuksen toteutustavan jäädessä viranomaisten harkintaan, edellyttäisi vaatimus viranomaista varmistamaan ennen palveluautomaation käyttöönottoa asiakkaan mahdollisuus saada palvelun viestien vaihto itselleen sellaisessa muodossa, että sen tallentaminen olisi mahdollista. Viranomaiselle säädettävä vaatimus huolehtia palvelun laaduntarkkailusta edellyttäisi viranomaista tallentamaan asiakkaan kanssa käydyn keskustelun sellaisessa muodossa ja sellaisin kuvailutiedoin, että neuvonnan asianmukaisuutta on mahdollista seurata. Kun tältäkään osin ehdotus ei säädättäisi vaatimuksen toteutustavasta, jäävät vaatimuksen toteuttamisen edellyttämät toimenpiteet viranomaisen omaan harkintaan.

Käytännön tasolla digipalvelulain 6 a §:n ehdotuksella ei arvioida olevan merkittäviä vaikutuksia julkisen hallinnon viranomaisten toimintaan. Tällä hetkellä valtion, kuntien ja itsenäisten julkisoikeudellisten laitosten palveluautomaatioratkaisujen arvioidaan toteuttavat ehdotetut vaatimukset pääosin. Niiden viranomaisten osalta, jotka eivät tällä hetkellä neuvontaa tuottavan palveluautomaation viestien vaihtoa tallenna, ehdotus edellyttäisi muutoksia palvelun tiedonhallintaan palvelun laadunseurannan mahdollistamiseksi.

Julkisen hallinnon tiedonhallintalautakunta

Tiedonhallintalain 28 g §:ssä julkisen hallinnon tiedonhallintalautakunnalle ehdotetaan uusi automatisoituja toimintaprosesseja koskevien käyttöönottopäätösten arviointitehtävä. Ehdotuksen mukaan tiedonhallintalautakunnan uutena tehtävänä olisi arvioida käyttöönottopäätösten osalta tiedonhallintalain 6 a luvussa säädettyjen vaatimusten sekä niihin liittyvien menettelyjen täyttymistä. Arvioinnin toteuttamiseksi viranomaisen olisi toimitettava käyttöönottopäätös tiedonhallintalautakunnalle tiedoksi seitsemän päivän kuluessa päätöksen tekemisestä. Tiedonhallintalautakunta päättäisi erikseen toimitettujen käyttöönottopäätösten perusteella tarvittavien arviointien toteuttamisesta yksittäistapauksessa. Tiedonhallintalautakunta voisi päätöksellään kiinnittää viranomaisen huomiota arviointitehtävän yhteydessä havaitsemiinsa dokumentaatioon liittyviin olennaisiin puutteisiin sekä asettaa määräajan, jonka kuluessa viranomaisen on ilmoitettava, mihin toimenpiteisiin se on ryhtynyt huomion kiinnittämisen johdosta. Jotta tehtävän toteuttamisen kannalta välttämättömien tietojen saaminen voitaisiin varmistaa, tiedonhallintalain 28 g § laajentaisi tiedonhallintalautakunnan tietojensaantioikeuksia kattamaan myös viranomaisen käyttöönottopäätöksen perusteena olevia asiakirjoja. Automatisoituja toimintaprosesseja koskevan arviointitehtävän osalta tiedonhallintalautakunnan toimivalta laajenisi koskemaan, valtion, kuntien ja hyvinvointialueiden viranomaisten lisäksi, myös muita tiedonhallintalain soveltamisalan piiriin kuuluvia viranomaisia ja julkisia hallintotehtäviä hoitavia.

4.2.3.2 Vaikutukset julkista hallintotehtävää hoitaviin yksityisiin ja yhteisöihin

Häiriötilanteista tiedottaminen ja varautuminen häiriötilanteisiin

Tiedonhallintalain 13 a §:n 1 momentti muodostaisi julkista hallintotehtävää hoitavalle uuden tiedottamisvelvollisuuden tilanteissa, joissa sen vastuulla olevaan tietojärjestelmään tai tietovarantoon kohdistuu häiriö, jolla on vaikutuksia muihin viranomaisiin Tiedonhallintalain 13 a §:n 3 momentin riskienhallintaan ja jatkuvuuden varmistamista koskevalla ehdotuksilla ei muodosteta julkista hallintotehtävää hoitaville uusia tehtäviä riskienarvioinnin osalta. Ehdotuksella lähinnä tarkennetaan tiedonhallintalain 13 §:n 1 momentissa säädettyjä vaatimuksia riskienhallinnasta ja liitetään ne yhteen valmiussuunnittelua koskevien vaatimusten kanssa. Kun valmiuslain 12:n säännöksiä ei sovelleta julkista hallintotehtävää hoitavaan, voidaan vaatimusta riskiarvioinnin perusteella tehtävistä toiminnan jatkuvuuden turvaavista toimenpiteistä pitää uutena, ja arvioida sen edellyttävän toimenpiteitä julkistan hallintotehtävää hoitavalta. Toimenpiteiden määrään ja vaikutusten suuruuteen vaikuttaa merkittäviltä osin se, miten eri tehtävistä on varautumisen osalta säädetty voimassa olevassa erityislainsäädännössä.

Vakuutustoiminnan osalta voimassa olevan vakuutusyhtiölain 6 luvun 8 §:ssä säädetään vakuutusyhtiöiden velvollisuuksista riskienhallinnan toimintaperiaatteiden sekä toimintansa jatkuvuuden ja toimintavarmuuden varmistamisen osalta. Vakuutusyhtiölaissa säädetään myös siitä, että vakuutusyhtiössä on oltava riskienhallintajärjestelmä sekä riskienhallinnan vähimmäisosa-alueista ja riskiarvioinnin sisällöstä ja laatimisesta. Finanssivalvonnan vakuutusyhtiölain nojalla antamien määräysten mukaan yhtiön jatkuvuussuunnitelmien tulee pohjautua liiketoimintojen uhka- ja haavoittuvuusanalyyseihin eli arvioon tietoihin, järjestelmiin, toimintoihin ja palveluihin kohdistuvista uhkista, haavoittuvuuksista ja riskeistä (ks. Finanssivalvonnan määräykset ja ohjeet 6/2015). Työeläkevakuutusyhtiöistä annetun lain (354/1997) 12 c §:n mukaan työeläkevakuutusyhtiöllä on oltava yhtiön toiminnan laatuun ja laajuuteen nähden riittävä riskienhallintajärjestelmä, joka kattaa yhtiöön kohdistuvien riskien ja riskien yhteisvaikutusten jatkuvan tunnistamisen, mittaamisen, seurannan, valvonnan ja raportoinnin. Finanssivalvonnan määräysten mukaan yhtiön riskienhallinnassa on otettava huomioon kaikki olennaiset yhtiön toimintaan vaikuttavat sisäiset ja ulkoiset sekä ulkoistettujen toimintojen riskit (ks. Finanssivalvonnan määräykset ja ohjeet 2/2017). Vastaavasti maatalousyrittäjien eläkelain 11 luvun 119 §:n mukaan Maatalousyrittäjien eläkelaitoksen hallitus huolehtii laitoksen toiminnan laatuun ja laajuuteen nähden riittävistä riskienhallintajärjestelmistä ja 132 §:n mukaan eläkelaitoksen tulee varmistaa tehtäviensä mahdollisimman häiriötön hoitaminen myös poikkeusoloissa osallistumalla vakuutusalan valmiussuunnitteluun ja valmistelemalla etukäteen poikkeusoloissa tapahtuvaa toimintaa sekä muin toimenpitein. Työttömyyskassalain (603/1984) 12 a §:n 1 momentin mukaan työttömyyskassoilla on oltava sen hallituksen hyväksymä jatkuvuussuunnitelma sekä kirjalliset toimintaperiaatteet riskienhallintajärjestelmästä. Finanssivalvonnan määräyksien mukaan riskienhallinnan toteuttamisessa kassan on arvioitava riskien vaikutusten merkittävyys ja toteutumisen todennäköisyys, jotta niiden hallitsemiseksi voidaan kehittää asianmukaiset menettelyt. Kassan tulee myös etukäteen arvioida, suunnitella ja varautua poikkeusoloissa ja laadultaan ja vakavuudeltaan erilaisissa häiriötilanteissa tarvittavien resurssien, toimintojen ja kapasiteetin osalta niin, että mahdollisissa häiriötilanteissa toimintaa voidaan jatkaa jatkuvuussuunnitelman pohjalta (ks. Finanssivalvonnan määräykset ja ohjeet 3/2021).

Valmistelun aikana tehdyn selvityksen perusteella ehdotuksen soveltamisalaan kuuluvat vakuutusyhtiöt, työeläkeyhtiöt ja työttömyyskassat arvioivat ehdotusten vastaavan pääosin nykyistä käytäntöä. Lisäksi ehdotusten katsottiin edellyttävän vielä tarkempaa arviointia, jotta muun muassa toiminnassa käytettäviin tietojärjestelmiin kohdistuvat käytännön muutostarpeet olisi mahdollista tunnistaa.

Tiedonhallinnan yleislainsäädäntöön tehtävät muutokset aiheuttavat myös tarpeen tarkistaa sektorikohtaista sääntelyä suhteessa esitettyyn. Koska mainitut ehdotukset eivät ole mukana tässä ehdotuksessa, jää niiden arviointi sektorikohtaisessa lainvalmistelussa tehtäväksi. Tämän arvioidaan jättävän ehdotuksen kokonaisvaikutusten arviointiin tiettyä epävarmuutta.

Automatisoituja toimintaprosesseja koskevat vaatimukset

Tiedonhallintalain 6 a luvun automatisoituja toimintaprosesseja koskevat vaatimukset tulisivat sovellettavaksi yksityisiin henkilöihin tai yhteisöihin taikka muihin kuin viranomaisena toimiviin julkisoikeudellisiin yhteisöihin siltä osin kuin ne hoitavat julkista hallintotehtävää. Tiedonhallintalain 6 a luvun vaatimukset eivät muodosta julkista hallintotehtävää hoitaville, uusia tehtäviä, vaan tarkentavat vaatimuksia, joita niiden on otettava huomioon kehittäessään ja ottaessaan käyttöön automatisoituja toimintaprosesseja.

Ehdotetut muutokset kohdentuisivat lähinnä julkisia hallintotehtäviä hoitavien yhteisöjen sisäisiin menettelyihin, joilla se ohjaa ja valvoo toimintaprosessien kehittämistä, käyttöönottoa ja käyttöä. Vaatimukset edellyttäisivät muutoksia niiltä julkista hallintotehtävään hoitavilta, joiden nykyiseen toimintaan sisältyy asian automaattisen ratkaisun tuottavia prosesseja. Ehdotuksen valmistelun aikana tiedonhallintalain 6 a luvun säännösten soveltamisalaan on tunnistettu kuuluvaksi tietyt Eläketurvakeskuksen, Työllisyysrahaston, Liikennevakuutuskeskuksen, Maatalousyrittäjien eläkelaitoksen sekä vahinkovakuutusyhtiöiden, työeläkevakuuttajien, työttömyyskassojen sekä vakuutuskassojen toimintaprosessit.

Ehdotus laajentaisi julkisen hallinnon tiedonhallintalautakunnan arviointitehtävän koskemaan myös julkista hallintotehtävää hoitavan automaattisiin ratkaisuihin, kun automatisoitujen toimintaprosessien käyttöönottopäätöksen arviointia koskeva menettely tulisi sovellettavaksi myös julkista hallintotehtävään hoitaviin. Julkista hallintotehtävään hoitavien tulisi toimittaa automatisoitua toimintaprosessia koskeva käyttöönottopäätös julkisen hallinnon tiedonhallintalautakunnalle tiedoksi seitsemän päivän kuluessa päätöksen tekemisestä. Tiedonhallintalautakunnalla olisi mahdollisuus kiinnittää huomio käyttöönottopäätöksen dokumentaatiossa mahdollisesti liittyviin olennaisiin puutteisiin. Tiedonhallintalautakunta voisi myös asettaa määräajan, jonka kuluessa julkista hallintotehtävää hoitavan on ilmoitettava lautakunnalle, mihin toimenpiteisiin se on ryhtynyt huomion kiinnittämisen johdosta.

Tiedonhallintalain 6 a luvun ehdotukset muodostaisivat julkista hallintotehtävää hoitavalle uusia tarkennettuja velvollisuuksia prosessien dokumentoinnin, laadunvarmistamisen ja –valvonnan sekä tietojen tallentamisen osalta. Osalle julkista hallintotehtävää hoitavista ehdotukset ovat myös rinnakkaista ja päällekkäistä sääntelyä verrattuna voimassa olevaan erityislainsäädäntöön. Tiedonhallintalain 28 a §:ään sisältyvät dokumentointivaatimukset tarkentaisivat automatisoitujen toimintaprosessien osalta tiedonhallintalain 5 §:ssä säädettyjen kuvausvelvoitteiden ja tietosuoja-asetuksen 30 artiklan 1 kohdassa tarkoitetun selosteen sisältöä. Tämän lisäksi ehdotus muodostaa prosessin dokumentaatioon tiedonhallintaa koskevia velvollisuuksia ja edellyttäisi määrittelemään dokumentaation hyväksymiseen liittyvät vastuut. Vaikka hallinnollisten päätöksentekoprosessien dokumentoinnin voidaan katsoa olevan vakiintunut käytäntö julkisia hallintotehtäviä hoitavissa, edellyttää ehdotetun kaltainen tarkkarajainen sääntely vähintäänkin nykyisten prosessien kuvausten tarkistamista ja mahdollista täydentämistä sekä uusien prosessein dokumentointikäytäntöjen tarkistamista.

Tiedonhallintalain 28 b §:ssä ehdotettu vaatimus varmistaa testaamalla automatisoidun toimintaprosessin vaatimustenmukaisuus ja asiakirjojen ymmärrettävyys tarkentavat tiedonhallintalain 13 §:n 2 momentissa säädettyä tietojärjestelmien säännöllistä testausvelvoitetta. Henki- ja vahinkovakuutustoiminnan osalta ehdotetun vaatimuksen arvioidaan vastaavan, mitä Finanssivalvonnan määräyksissä on tietojärjestelmien testaamisen osalta säädetty (ks. Finanssivalvonnan määräykset ja ohjeet 6/2015). Myös tietojärjestelmien testaaminen ennen niiden käyttöönottoa on arvioitu normaaliksi menettelytavaksi, jonka vuoksi ehdotus vaatisi lähinnä seuraavien käyttöönotettavien prosessien testausmenetelmien ja testiaineistojen tarkistamista vaatimuksia vastaavaksi sekä testaukseen liittyvien vastuiden määrittämistä.

Tiedonhallintalain 28 c §:n laadunvalvontaa ja virhetilanteiden käsittelyä koskevat vaatimukset tarkentavat osittain tiedonhallintalain 15 §:ssä säädettyjä tietoaineistojen tietoturvallisuutta ja 17 §:ssä säädettyjä lokitietojen keräämistä koskevia vaatimuksia. Ehdotus tarkentaisi myös yleisen tietosuoja-asetuksen tietojen laatua ja tietojen oikaisua koskevia säännöksiä. Toimintaprosessista tallennettavia tietoja koskeva ehdotus tarkentaisi myös osaltaan vaatimuksia, joita on tullut toteuttaa jo nykyisin prosessien toimivuuden ja prosessissa tapahtuvan tietojen käsittelyn seurannan ja käsittelyn virheettömyyden varmistamiseksi. Myös tältä osin vaatimus on samansuuntainen Finanssivalvonnan vakuutustoimintaan antamien tietojärjestelmissä käsiteltävien tapahtumien kiistämättömyyttä ja tietojärjestelmissä käsiteltävien tapahtumien aukotonta jäljittämistä koskevien määräysten osalta. Lisäksi muun muassa Finanssivalvonnan vakuutustoimintaa koskevissa määräyksissä edellytetty tietojärjestelmien virheitä koskeva ilmoitusmenettely on edellyttänyt ehdotusta vastaavan virheiden hallintamenettelyn olemassa oloa (ks. Finanssivalvonnan ohjeet ja määräykset 6/2015).

Tiedonhallintalain 28 d §:n ehdotuksen automatisoidun toimintaprosessin käyttöönottoa koskevasta päätöksestä arvioidaan edellyttävän muutoksia julkista hallintotehtävää hoitavien nykyisiin toimintaprosessien ja tietojärjestelmien käyttöönoton hyväksymistä koskeviin menettelyihin. Ehdotus tarkentaisi käyttöönottopäätöksen sisältöä tiedonhallintalain 6 a luvussa säädettyjen velvoitteiden ja dokumentointivaatimusten osalta sekä edellyttäisi erillisen käyttöönottopäätöksen tekemistä esittelystä. Kun nykyisin päätöksiä prosessien ja tietojärjestelmien käyttöönotosta ei kaikilta osin tehdä ehdotettua vastaavasti muodollisina ja esittelystä, saattaa ehdotus edellyttää uuden päätöksentekomenettelyn muodostamista ja mahdollisesti erillisen menettelyn käyttöönottoa lakisääteisten tehtävien osalta. Myös ehdotuksen 28 e §:ään sisältyvä velvollisuus julkaista käyttöönottopäätös yleisessä tietoverkossa ja tiedottaa ratkaistavasta asiasta ovat uusia ja edellyttävät vaatimusten mukaisten ylläpito- ja julkaisuprosessien muodostamista sekä tiedottamistoimenpiteiden suunnittelua ja toteuttamista. Ehdotetut vaatimuksen tarkentaisivat julkisuuslain 20 §:ssä julkista hallintotehtävää hoitavalle säädettyä velvollisuutta tiedottaa toiminnastaan sekä yksilöiden ja yhteisöjen oikeuksista ja velvollisuuksista toimialaansa liittyvissä asioissa.

Tiedonhallintalain 28 f §:n automatisoidun toimintaprosessin käsittelysääntöjen muuttamista koskevat suojausvaatimukset tarkentaisivat osittain voimassa olevaan sääntelyä. Tiedonhallintalain 15 §:n vaatimusten toteuttaminen on edellyttänyt julkista hallintotehtävää hoitavaa varmistamaan tarpeellisin suojaustoimenpitein tietoaineistojen muuttumattomuus sekä suojaamaan tietoaineistonsa teknisiltä ja fyysisiltä vahingoilta. Lisäksi tietosuoja-asetuksen 24 artikla on edellyttänyt rekisterinpitäjää toteuttamaan tarvittavat tekniset ja organisatoriset toimenpiteet, joilla se varmistaa tietojen muuttumattomuuden ja eheyden. Ehdotukseen sisältyvä velvollisuus tallentaa käsittelysääntöjen muuttamista koskevat tiedot vähintään viisi vuotta on uusi ja edellyttää tietojen säilyttämisessä tarvittavien menettelyiden tarkistamista. Myös tiedonhallintalain 28 h §:n tietojen käyttöä koskevat vaatimukset tarkentavat lähinnä voimassa olevaan sääntelyä. Tiedonhallintalain 15 §:n vaatimukset edellyttävät julkista hallintotehtävään hoitavan varmistamaan tarvittavin tietoturvallisuustoimenpiteiden sen tietoaineistojen ajantasaisuus ja virheettömyys. Tietosuoja-asetuksen 5 artiklan 1 kohta edellyttää käsiteltävien henkilötietojen täsmällisyyttä ja tarvittavaa ajantasaisuutta.

Palveluautomaation käyttö neuvonnassa digitaalisessa palvelussa

Digipalvelulakiin ehdotettava 6 a § palveluautomaation käytöstä neuvonnassa ei muuttaisi julkisia hallintotehtäviä hoitavien yksityisten ja yhteisöjen tehtäviä. Säännöksellä tarkennettaisiin vaatimuksia, jotka niiden olisi otettava huomioon käyttäessään digitaalisessa palvelussa hallinnon asiakkaalle neuvontaa tuottavaa palveluautomaatiota, joka perustuu reaaliaikaiseen viestien vaihtoon asiakkaan ja palveluautomaation välillä. Neuvontaa tuottavan palveluautomaation käyttö viranomaisen toimivaltaan kuuluvassa neuvonnassa jää edelleen yhteisön omaan harkintaan. Kun julkista hallintotehtävää hoitaviin sovelletaan hallinnon yleislainsäädäntöä, on niiden asiakkaille tarjoaman neuvonnan tullut vastata jo nykyisin ehdotukseen sisältyviä hyvälle hallinnolle, neuvontavelvollisuudelle ja neuvonnan kielelle asetettuja vaatimuksia.

4.2.3.3 Vaikutukset tiedonhallintaan

Häiriötilanteista tiedottaminen ja varautuminen häiriötilanteisiin

Tiedonhallintalain 13 a §:n 1 momentin tiedottamisvelvollisuus muodostaisi tiedonhallintayksikkönä toimivalle viranomaiselle velvollisuuden määrittää häiriötilanteista tiedottamiseen liittyvät vastuut, huolehtia tiedottamisen edellyttämien ohjeiden ajantasaisuudesta sekä tarvittaessa järjestää henkilöstölleen koulutusta ehdotettujen säännösten soveltamisesta. Tiedonhallintalain 13 a §:n 3 momentissa ehdotetut vaatimukset varautumisesta tietoaineistojen käsittelyssä ja tietojärjestelmien hyödyntämisessä muodostaisivat tiedonhallintayksiköille uuden velvollisuuden selvittää sen tietoaineistojen käsittelyn, tietojärjestelmien hyödyntämisen sekä toiminnan jatkuvuuteen kohdistuvat olennaiset riskit. Tiedonhallintayksikön olisi riskiarvioinnin perusteella valmiussuunnitelmin ja häiriötilanteissa tapahtuvan toiminnan etukäteisvalmisteluin sekä muilla toimenpiteillä huolehdittava, että sen tietoaineistojen käsittely, tietojärjestelmien hyödyntäminen ja toiminta jatkuvat mahdollisimman häiriöttömästi normaaliolojen häiriötilanteissa sekä valmiuslaissa tarkoitetuissa poikkeusoloissa.

Varautumista koskevat vaatimukset tarkentaisivat ja mahdollisesti lisäisivät viranomaisen valmiussuunnittelusta muodostuvien asiakirjojen sisältöä riskienarvioinnin ja jatkuvuuden varmistamiseen liittyvien toimenpiteiden osalta. Lisäksi tiedonhallintalain 13 a §:n 1 momentin vaatimukset muodostaisivat viranomaiselle tiedottamisen suunnittelun ja toteuttamisen edellyttämiä asiakirjoja. Tiedonhallintalain 13 a §:n sääntelystä muodostuvien asiakirjojen julkisuuteen sovellettaisiin julkisuuslaissa säädettyjä asiakirjajulkisuutta ja -salaisuutta koskevia säännöksiä.

Asiarekisteriin rekisteröitävät tiedot

Tiedonhallintalain 26 §:n vaatimus automatisoituun asiaratkaisuun liittyvien toimien todentamisen asiarekisteristä mahdollistamisesta ei muuttaisi tiedonhallintalaissa viranomaisille säädettyjä tehtäviä. Ehdotus vain tarkentaisi tietoja, joita viranomaisen laatimista asiakirjoista merkitään asiarekisteriin.

Automatisoitujen toimintaprosessien kehittämisen ja käytön tiedonhallinta

Tiedonhallintalain 6 a lukuun ehdotettava sääntely ei muuttaisi tiedonhallintalaissa säädettyjä tiedonhallintayksiköiden ja viranomaisten välisiä tehtäviä ja vastuista julkisen hallinnon tiedonhallintalautakunnan arviointitehtävää lukuun ottamatta. Ehdotukset lähinnä tarkentaisivat vaatimuksia, joita viranomaisten olisi otettava huomioon, kun ne kehittävät ja ottavat käyttöön automatisoituja prosesseja. Tiedonhallintalain 6 a luvun vaatimukset edellyttäisivät tiedonhallintayksiköitä huolehtimaan tiedonhallintalain 4 §:n mukaisesti, että laissa säädettävät vastuut on määritelty tiedonhallintayksikössä tavalla, joka ei jättäisi epäselväksi, kenelle laissa säädetyt velvollisuudet (virkavelvollisuudet) kuuluvat, ja keneltä edellytetään laissa säädettyjä virkatoimia.

Tiedonhallintalain 28 g §:n ehdotus muodostaisi julkisen hallinnon tiedonhallintalautakunnalle uuden tehtävän automatisoitujen toimintaprosessien käyttöönottopäätösten arvioinnin osalta. Ehdotus laajentaisi lautakunnan toimivaltaa arvioida myös julkisia hallintotehtäviä hoitavien yksityisten ja yhteisöjen käyttöönottopäätösten sisältöä. Arviointitehtävän hoitamiseksi tiedonhallintalain 28 g §:n 2 momentissa säädettäisiin tiedonhallintalautakunnan oikeudesta saada viranomaiselta salassapitosäännösten estämättä maksutta ja viivytyksettä välttämättömiä tietoja käyttöönottopäätöksen perusteena olevista asiakirjoista. Lisäksi ehdotuksessa säädettäisiin tiedonhallintalautakunnan mahdollisuudesta kiinnittää automatisoituja toimintaprosesseja koskevan käyttöönottopäätöksen tehneen viranomaisen huomiota arviointitehtävän yhteydessä havaitsemiinsa dokumentaatioon liittyviin olennaisiin puutteisiin. Tiedonhallintalautakunta voisi myös asettaa määräajan, jonka kuluessa viranomaisen on ilmoitettava, mihin toimenpiteisiin se on ryhtynyt huomion kiinnittämisen johdosta.

Tiedonhallintalain 6 a luvun sääntelystä viranomaiselle muodostuisi asiakirjoja automatisoidun toimintaprosessin suunnittelun, testaamisen, laadunvalvonnan sekä käyttöönottopäätöksen osalta. Ehdotuksen 28 a §:ssä säädettäisiin automatisoidun toimintaprosessin kehittämisen olennaisesta dokumentaatiosta, joka sisältäisi tietoja prosessin vaiheista, käsittelysäännöistä, asian ratkaisemisessa tarvittavista tiedoista ja tietolähteistä sekä tietojen ajantasaisuuden ja virheettömyyden varmistamisesta. Lisäksi asiakirjaan merkittäisiin toimintaprosessin laadunvalvonnan mahdollistavat toiminnallisuudet sekä tietoturvallisuustoimenpiteitä koskevien vaatimusten toteuttaminen. Ehdotettu vaatimus edellyttäisi viranomaista säilyttämään hyväksytyt asiakirjat viisi vuotta automatisoidun toimintaprosessin käytöstä poistamista seuraavan kalenterivuoden vuoden alusta lukien.

Tiedonhallintalain 28 b § edellyttäisi viranomaista dokumentoimaan toimintaprosessin testitulokset sekä testauksessa havaitut virheet ja puutteet korjaavat toimet ja 28 c § vaatisi viranomaista hyväksymään laadunvalvontasuunnitelman. Laadunvalvontasuunnitelma sisältäisi tietoja laadunvalvonnan vastuista sekä miten automatisoidusti ratkaistujen asioiden laatua ja sisällöllistä virheettömyyttä tarkkaillaan, havaitut virheet korjataan ja toimintaprosessiin liittyvä riskejä hallitaan käyttöönoton jälkeen. Tiedonhallintalain 28 c §:n 3 momentti edellyttäisi viranomaista dokumentoimaan myös toimintaprosessin käyttöönoton jälkeen havaitut virheet, virheen korjaamista koskevat toimenpiteet sekä virheen korjaamisen vaikutukset toimintaprosessissa tehtyihin viranomaisen ratkaisuihin.

Tiedonhallintalain 28 d §:ssä säädettäisiin viranomaisen tekemästä käyttöönottopäätöksestä, joka sisältäisi tietoja toimintaprosessista, prosessista vastaavasta viranomaisesta, prosessin käyttöönoton edellytyksistä ja siihen sovelletuista säännöksistä sekä käyttöönottopäätöksen perusteena olevista asiakirjoista. Lisäksi käyttöönottopäätös sisältäisi tiedot toimintaprosessin suunnitellusta käyttöönottopäivämäärästä ja päätöksen tekemisen ajankohdasta, päätöksentekijästä ja esittelijästä sekä viranomaisen yhteystiedosta, josta saa lisätietoa automatisoidun toimintaprosessin käytöstä. Lisäksi tiedonhallintalain 28 e §:ssä säädettäisiin erikseen käyttöönottopäätöksestä tiedottamisesta, joka muodostaisi viranomaiselle velvollisuuden julkaista käyttöönottopäätökseen sekä tiedottamiseen liittyvät asiakirjat. Myös tiedonhallintalautakunnalle ehdotuksen 28 g §:ssä säädetty arviointitehtävä tuottaisi uuden asiakirjan tilanteissa, joissa lautakunta kiinnittää viranomaisten huomioin käyttöönottopäätöksen puutteisiin. Tiedonhallintalain 6 a luvun sääntelystä muodostuvien asiakirjojen julkisuuteen sovellettaisiin julkisuuslaissa (621/1999) säädettyjä asiakirjajulkisuutta ja -salaisuutta koskevia säännöksiä.

Palveluautomaation käyttö neuvonnassa digitaalisessa palvelussa

Digipalvelulain 6 a §:n palveluautomaation käyttöä neuvonnassa digitaalisessa palvelussa koskevat vaatimukset eivät muuttaisi viranomaisille tiedonhallintalaissa säädettyjä tehtäviä. Vaatimuksilla lähinnä tarkennetaan voimassa olevaan sääntelyä kohdistumaan palveluautomaatioon sekä varmistetaan palveluista käyttäjälle tuotettavan informaation asianmukaisuus ja laatu. Viranomaiselle muodostuu asiakirjoja, kun viranomainen tallentaa palveluautomaatiossa käydyn viestin vaihdon ja kun viranomainen dokumentoi palveluautomaation vaatimustenmukaisuuden varmistamiseksi toimintaprosessin testitulokset sekä testauksessa havaitut virheet ja puutteet korjaavat toimet. Digipalvelulain 6 a §:n sääntelystä muodostuvien asiakirjojen julkisuuteen sovellettaisiin julkisuuslaissa säädettyjä asiakirjajulkisuutta ja -salaisuutta koskevia säännöksiä.

4.2.4 Yhteiskunnalliset vaikutukset

4.2.4.1 Oikeusvaltioperiaate, hallinnon lainalaisuus ja hyvä hallinto

Ehdotuksen arvioidaan edistävän perustuslain 2 §:n 3 momentissa säädetyn oikeusvaltioperiaatteen ja hallinnon lainalaisuusperiaatteen toteutumista. Oikeusvaltioperiaatteen mukaan automatisoidulla julkisen vallan käyttämisellä on oltava peruste laissa ja hallinnon lainalaisuusperiaatteen mukaan automaattisen päätöksenteon on noudatettava tarkoin lakia. Tällä hetkellä ei ole nimenomaisesti automaattista päätöksentekoa koskevaa yleislainsäädäntöä, ja automaattinen päätöksenteko on toteutettu viranomaisten sisäisesti toteuttamien menettelyjen ja käytäntöjen avulla. Ehdotus sisältää säännökset etenkin automaattisen päätöksenteon käyttöalasta ja automaattisen päätöksenteon tiedonhallintaan kohdistuvista vaatimuksista. Sääntelyn tarkoituksena on muun muassa yhdenmukaistaa viranomaisissa tällä hetkellä vallitsevia käytäntöjä ja varmistaa, että julkisen vallan käyttö perustuu lakiin ja hallinnon automaattinen päätöksenteko noudattaa tarkoin lakia. Ehdotuksen arvioidaan edistävän oikeusvaltioperiaatetta ja hallinnon lainalaisuutta luomalla viranomaisen automaattiselle päätöksenteolle yhtenäistä yleislain tasoista sääntelyä. Automaattisen päätöksenteon kehittämistä ja käyttöä koskevia täsmällisiä velvoitteita osoittava sääntely edistäisi virkavastuun toteutumista ja sitä kautta myös kansalaisten luottamusta viranomaisten toimintaan ja julkiseen hallintoon.

Ehdotuksella arvioidaan olevan myönteisiä vaikutuksia myös hyvän hallinnon toteuttamiseen viranomaisen automaattisessa päätöksenteossa. Hallinnon oikeusperiaatteista automaattisen päätöksenteon kannalta keskeisiä ovat erityisesti yhdenvertaisuus- ja luottamuksensuojaperiaate. Ehdotus ei sisällä poikkeuksia esimerkiksi hallintolain mukaan asioiden käsittelyssä noudatettavasta menettelystä. Viranomaisen on järjestettävä asioiden käsittely siten, että hallintolain vaatimukset hyvän hallinnon perusteista ja hallintoasiassa noudatettavasta menettelystä toteutuvat sen käyttäessä automaattista päätöksentekoa toiminnassaan. Ehdotus sisältää viranomaisiin kohdistuvia velvoitteita, joiden arvioidaan toteuttavan hyvää hallintoa automaattisessa päätöksenteossa.

Hallintolain 6 §:n tasapuolisuuden vaatimus edellyttää viranomaisen kohtelevan samanlaisia tapauksia samalla tavoin ja eri tapauksia eri tavoin. Yhdenvertaisuusperiaate voidaan turvata perustamalla automaattinen päätöksenteko objektiivisiin, soveltuvan lainsäädännön perusteella muodostettuihin sääntöihin. Koska ehdotuksen mukaisen automaattisen päätöksenteon on perustuttava tällaisiin sääntöihin, ehdotuksella ei arvioida olevan negatiivisia vaikutuksia hallintolain mukaisen tasapuolisuuden vaatimuksen näkökulmasta. Yhdenvertaisuutta on käsitelty erikseen omassa luvussa 4.2.4.3.

Luottamuksensuojaperiaate edellyttää, että viranomaisen on toiminnassaan otettava huomioon oikeusjärjestyksen perusteella suojatut odotukset ja turvattava ne. Periaate tarkoittaa, että hallinnon asiakkaalla on tietyin perustelluin edellytyksin oikeus luottaa viranomaisen toimintaan ja hallintopäätöksen oikeellisuuteen ja pysyvyyteen (HE 72/2002 vp, s. 56). Eduskunnan oikeusasiamies on Verohallinnon automatisoitua päätöksentekomenettelyä käsittelevässä ratkaisussaan katsonut, että luottamuksensuoja edellyttää, että Verohallinto tiedottaa avoimesti asiakkailleen, milloin heidän veroasiansa on käsitelty automaattisessa päätöksentekomenettelyssä. Eduskunnan apulaisoikeusasiamiehen mukaan Verohallinnon asiakkailla on oikeus tietää heidän asiansa käsittelyn perusteet, jotta he voivat arvioida automaattisen päätöksenteon asianmukaisuutta ja jotta heidän oikeusturvansa toteutuisi. (EOAK/3379/2018, s. 36). Ehdotuksen mukaisessa sääntelyssä edellytetään viranomaista ilmoittamaan asianosaiselle, jos asia on ratkaistu automaattisesti. Tältä osin ehdotus toteuttaa asianmukaisesti luottamuksensuojaa eduskunnan apulaisoikeusasiamiehen katsomalla tavalla.

Ehdotus sisältää viranomaiselle velvollisuuden julkaista voimassa oleva käyttöönottopäätös yleisessä tietoverkossa verkkosivustollaan. Viranomaisen on tiedotettava asioiden automaattisesta ratkaisemisesta toimialallaan, automatisoidun toimintaprosessin käytön perusteista ja muista asiakkaan oikeuksien kannalta keskeisistä tiedoista toimintaprosessin dokumentaatioon ja käyttöönottopäätökseen perustuen. Tiedot on julkaistava yleisessä tietoverkossa viranomaisen verkkosivustolla. Tältä osin ehdotuksen arvioidaan toteuttavan osaltaan hallinnon palvelu- ja neuvontaperiaatteita. Säännöksen johdosta hallinnon asiakkaalla on mahdollisuus saada selkeä kuva siitä, millaisissa asioissa viranomainen tekee automaattisia ratkaisuja.

Hallintolain 23 §:n 1 momentin mukaan asia on käsiteltävä ilman aiheetonta viivytystä. Toiminnan tehostamiseksi eri julkisen hallinnon toimijat ovatkin jo ottaneet käyttöön eriasteista automaattista päätöksentekoa, koska sen hyödyt on nähty merkittäviksi. Ehdotuksella edistettäisiinkin hallintoasioiden nopeampaa ja tehokkaampaa käsittelyä.

4.2.4.2 Hallinnon asiakkaat

Ehdotuksella arvioidaan olevan myönteisiä vaikutuksia hallinnon asiakkaisiin. Päätöksentekoautomaatiolla on todennäköisesti mahdollista lyhentää viranomaisten käsittelyaikoja, jolloin päätös on mahdollista saada nopeammin, joissain tapauksissa jopa heti hakemuksen jättämisen jälkeen. Esimerkiksi verokortti annetaan jo nykyään pääosin välittömästi Verohallinnon sähköisessä asiointijärjestelmässä asiakkaan täyttämien tietojen perusteella. Verohallinnossa automaatiolla on onnistuttu nopeuttamaan henkilöasiakkaiden tuloverotusta siten, että noin 90 prosentilla asiakkaista verotus päättyy verovuotta seuraavan vuoden kesä-heinäkuussa sen sijaan, että verotus päättyisi aikaisempaan tapaan vasta lokakuun lopussa. Eläketurvakeskuksessa todistus Suomen sosiaaliturvaan kuulumisesta (A1-todistus) pystytään antamaan automaatiossa vuorokauden käsittelyajalla, kun kaikkien A1-todistusten keskimääräinen käsittelyaika on ollut 46 päivää vuonna 2020. Ehdotuksen arvioidaan siten nopeuttavan asioiden käsittelyä viranomaisissa, kun automaattisen päätöksenteon käytölle on selkeä oikeusperusta ja toimintoja on mahdollista ryhtyä automatisoimaan yhä useammassa viranomaisessa.

Samalla kun yksinkertaisempia asioita voidaan automatisoida, ihmistyö voidaan keskittää monimutkaisempiin ja harkintaa vaativiin tapauksiin, mikä saattaa nopeuttaa myös manuaalisten asioiden käsittelyä. Toisaalta jotkin viranomaiset ovat huomauttaneet, ettei automaattisella päätöksenteolla ole vaikutusta manuaalisen päätöksenteon käsittelyaikoihin, koska resurssit mitoitetaan työmäärän mukaan. Keskimäärin automaattisen päätöksenteon arvioidaan kuitenkin nopeuttavan käsittelyä, ja käsittelyn nopeutumisella taas on myönteinen vaikutus hallinnon asiakkaan oikeusturvaan. Käsittelyn nopeutumisen arvioidaan edistävän hallinnon asiakkaan näkökulmasta myös perustuslain 19 §:n mukaista oikeutta sosiaaliturvaan. Käsittelyn tehostuminen voi lisäksi alentaa viranomaisten suoritteiden omakustannushintaa, josta hallinnon asiakkaat hyötyisivät alempina käsittelymaksuina.

Ehdotuksen mukaan asianosaisella on mahdollisuus vaatia automaattisesti tehtyyn ratkaisuun oikaisua päätöksen tehneeltä viranomaiselta oikaisuvaatimuksella tai siihen rinnastuvalla vaatimuksella maksutta. Säännös toteuttaa EU:n yleisen tietosuoja-asetuksen vaatimuksia sekä kansalaisen oikeusturvaa. Menettelyyn osallistuu tällöin ihminen, ja asianosaisella on mahdollisuus saattaa koneen tekemä päätös luonnollisen henkilön tutkittavaksi maksutta samassa viranomaisessa. Ehdotus sisältää poikkeuksen tästä oikaisuvaatimuksen tai vastaavan menettelyn vaatimuksesta tilanteessa, jossa hyväksytään asianosaisen vaatimus, joka ei koske toista asianosaista. Tällöin asianosaisella ei arvioida olevan erityistä oikeussuojan tarvetta, koska asianosainen on saanut vaatimuksensa kaikilta osin hyväksyttyä. Vaikka viranomaisella ei tällaisissa asioissa olisikaan käytössä oikaisuvaatimusta tai siihen rinnastuvaa vaatimusta koskevaa menettelyä, on päätökseen tavallisesti silti mahdollista hakea muutosta esimerkiksi valittamalla. Oikaisuvaatimusmenettely tai siihen rinnastuva vaatimus edistää hallinnon asiakkaan oikeusturvaa, koska maksuttomuuden lisäksi menettely on valitusta nopeampi, yksinkertaisempi, vapaamuotoisempi ja kevyempi.

Viranomaisen tulisi automaattisia ratkaisuja tehdessään noudattaa hallintolain menettelysäännöksiä. Viranomaisen on suunniteltava asiankäsittelyprosessinsa siten, että muun muassa asian selvittämistä, kuulemista sekä päätöksen sisältöä ja perustelemista koskevat periaatteet toteutuvat asianmukaisesti. Tätä koskevan arvion dokumentointivelvoite säädettäisiin tiedonhallintalain 28 a §:ssä. Esimerkiksi kuulemisvelvoitteesta huolehtiminen voi edellyttää, että automaattisessa prosessissa tehty hakemus ohjataan ihmisen käsiteltäväksi, jos hakija on sisällyttänyt hakemukseen vapaamuotoista lisäselvitystä. Ehdotuksella ei siten arvioida olevan vaikutuksia hallinnon asiakkaalle hallintomenettelyn näkökulmasta.

4.2.4.3 Yhdenvertaisuus, tasa-arvo ja vammaiset henkilöt

Ehdotuksen mukaisesta sääntelystä ei arvioida seuraavan negatiivisia vaikutuksia yhdenvertaisuuteen. Automaattisen päätöksenteon on perustuttava viranomaisen ennalta määrittelemiin sääntöihin, joiden muodostamisessa viranomaisen on huomioitava muun muassa velvollisuus edistää yhdenvertaisuutta sekä muut yhdenvertaisuutta koskevat säännökset ja syrjinnän kielto. Viranomaisen edistämisvelvollisuus koskee myös julkista hallintotehtävää hoitavaa. Täten ennalta määriteltyjen sääntöjen voidaankin katsoa muodostavan automaattisessa päätöksenteossa myös mahdollisuuden edistää yhdenvertaisuuden toteutumista syrjinnän torjumisen lisäksi.

Automaattisessa tietojenkäsittelyssä samanlaiset tapaukset käsitellään aina samalla tavalla, kun päätös tehdään automaattisesti ja päätös perustuu tiettyihin etukäteen määriteltyihin käsittelysääntöihin. Tämä pienentää inhimillisen virheen todennäköisyyttä ja mahdollisuutta tehdä päätös syrjivin perustein. Ennakollisia sääntöjä laadittaessa onkin tarpeen huomioida myös yhdenvertaisuuslain (1325/2014) 8 §:ssä tunnistetut eri syrjinnän muodot sekä eri syrjintäperusteet, jolloin päätöksen syrjintäriskin voidaan katsoa pienentyneen jo etukäteen.

Automaattisessa päätöksenteossa painottuukin päätöksentekoperusteiden etukäteinen arviointi. Yhdenvertaisuuteen liittyvät näkökulmat, mukaan lukien edistämisvelvoite, tuleekin huomioida jo etukäteen suhteutettuna siihen, mitä halutaan automatisoida, kuka on päätöksenteon kohteena, mikä on tavoite, keihin päätöksellä on vaikutuksia ja mitkä ryhmät hyötyvät tai joutuvat mahdollisesti huonompaan asemaan sen johdosta. Päätöksenteon käyttöönoton suunnitteluvaiheessa ja käsittelysääntöjä laatiessa on siten syytä arvioida myös aiemmat yhdenvertaisuuslain tulkinta- ja soveltamiskäytännöt huomioon ottaen, voisiko esimerkiksi sukupuoleen liittyvän välittömän syrjintäriskin lisäksi olla mahdollisuus myös välilliseen syrjintään tai voidaanko asiassa huomioida vammaisten henkilöiden kohtuulliset mukautukset, joilla turvataan yhdenvertaisuus. Kohtuulliset mukautukset voivat olla viranomaisessa asioinnin yhteydessä tarpeen esimerkiksi asian vireillepanoon, sen käsittelyyn ja päätöksen tiedoksi saamiseen liittyvissä sellaisissa menettelyissä, joissa asiakkaalta edellytetään toimenpiteitä (HE 19/2014 vp, s. 80).

Lisäksi huomioitavaa on myös se, että esimerkiksi eri syrjintäperusteisiin rinnastettavien syiden tunnistaminen voi käsittelysääntöjä laatiessa olla vaikeaa, jolloin asia voi vaatia viranomaisen tapauskohtaista arviointia, mutta joka siten voitaisiin lopulta ratkaista automaattisesti. Merkityksellistä on myös se, että syrjintäriski voisi muodostua myös silloin, jos henkilöön liittyvän syyn perusteella asioiden käsittely olisi muita hitaampaa.

Ehdotus sisältää viranomaiselle automaattisten prosessien suunnitteluun ja valvontaan kohdistuvia vaatimuksia, joiden tarkoituksena on varmistaa automaattisen päätöksenteon huolellinen ja lain mukainen toteuttaminen. Automaattisen päätöksenteon kehittämiseen, käyttöön ja valvontaan kohdistuvien vaatimusten voidaan katsoa edistävän myös yhdenvertaisuuteen liittyvien kysymysten tunnistamista mahdollisimman varhaisessa suunnittelun vaiheessa. Viranomaisen on automaattista päätöksentekoa suunnitellessaan ja toteuttaessaan huomioitava yhdenvertaisuusnäkökulmasta erityisesti haavoittuvat ryhmät, kuten vierasta kieltä puhuvat, vammaiset henkilöt ja ikääntyneet. Automaattisen päätöksenteonvalvontaa koskevat velvoitteet taas auttavat tunnistamaan päätöksenteon poikkeavuuksia ja siten myös edistämään syrjinnän ehkäisyä. Tiedonhallintalain 28 a §:ssä ehdotetaan säädettäväksi erikseen, että viranomaisen on dokumentoitava millä tavalla on varmistettu automaattisten prosessien syrjimättömyys.

Vaikka automaatio voi osaltaan edesauttaa yhdenvertaisuuden toteutumista, automaattisessa päätöksenteossa on potentiaalisesti tunnistettavissa riski syrjivistä päätöksistä esimerkiksi käytettäessä harkinnanvaraisen seikan arvioinnin perustana tilastotietoja, joiden nojalla tehdään yksilöä koskevia olettamuksia sukupuolen tai muun kielletyn syrjintäperusteen nojalla ilman, että yksilöllisiä olosuhteita otetaan huomioon (esim. yhdenvertaisuus- ja tasa-arvolautakunnan ratkaisu 216/2017). Ehdotettu lainsäädäntö ei kuitenkaan sallisi päätöksenteon perustumista tällaiseen tilastolliseen päättelymekanismiin, minkä vuoksi automaatiosta ehdotuksen mukaisesti toteutettuna ei seuraa mainitun kaltaista syrjintäriskiä.

Ehdotus sisältää velvollisuuden tiedottaa viranomaisen automatisoidusta toimintaprosessista. Viranomaisen tiedottamisen perusteella kansalaisilla tulisi olla mahdollisuus saada tietoa siitä, mitkä asiat viranomaisessa voidaan ratkaista automaattisesti, mahdolliset asioiden rajaukset sekä ne lain säännökset, joiden soveltamista ratkaiseminen koskee. Tiedottamisvelvollisuuden voidaan nähdä myös toteuttavan yhdenvertaisuutta, sillä se tekee läpinäkyvämmäksi viranomaisen automaattisen ratkaisutoiminnan, jolloin myös mahdollisiin syrjiviin käytäntöihin voidaan helpommin puuttua.

Yhdenvertaisuusperiaatteen toteutumista voitaisiin myös edistää järjestämällä esimerkiksi koulutusta ja opastusta yhdenvertaisuuslain velvoitteiden huomioimisesta automaattisessa päätöksenteossa.

Ehdotuksella ei arvioida olevan negatiivisia vaikutuksia sukupuolten tasa-arvoon, koska automaattisesti ratkaistavat asiat on valittava ja ratkaistava sovellettavan lain perusteella laadittujen käsittelysääntöjen, kuten naisten ja miesten välisestä tasa-arvosta annetun lain (609/1986, jäljempänä tasa-arvolaki) mukaisesti.

Ehdotuksella ei arvioida olevan negatiivisia vaikutuksia vammaisiin. Muun muassa vammaispalvelua koskevat asiat sisältävät paljon harkintavallan käyttöä, jolloin on mahdollista, ettei automaattista päätöksentekoa hyödynnetä laajalti vammaisia koskevissa päätöksissä.

4.2.4.4 Lapsen asema

Arvion mukaan ehdotuksella ei ole merkittäviä vaikutuksia lasten asemaan. Ehdotus ei myöskään sisällä sääntelyä, joka koskisi nimenomaisesti lapsia. Ehdotetussa sääntelyssä korostetaan viranomaisen velvollisuutta arvioida käsittelysääntöjä muodostaessaan automaattisen päätöksenteon laillisuus aineellisen ja menettelyllisen lainsäädännön kannalta. Myös lapsen oikeuksia koskevat kysymykset tulee arvioida tässä yhteydessä. Arvioitaessa, voiko lapseen liittyvän asian ratkaista automaattisesti, tai harkittaessa yksittäiseen päätökseen liittyvää tapauskohtaista harkintaa edellyttävää seikkaa, asia tulee arvioida lapsen oikeuksien sopimuksen velvoitteiden näkökulmasta (SopS 59–60/1991). Toinen keskeinen kysymys on se, miten on varmistettu, että tarvittaessa päätöksenteossa otetaan huomioon vanhemmalle annettavan päätöksen ja hänen kuulemisensa ohella myös lapsen mielipide.

Jos asian ratkaiseminen edellyttää tapauskohtaista lapsen etuun liittyvää harkintaa, asian ratkaisemista ei voitaisi automatisoida tai vaihtoehtoisesti asian käsittelijän tulisi harkita tapauskohtaista harkintaa edellyttävä seikka. Tällaista harkintaa edellyttävää päätöksentekoa on esimerkiksi lastensuojelussa. Lastensuojeluasioitakin voi olla mahdollista automatisoida niiltä suppeilta osin kuin ne eivät edellytä ehdotuksessa tarkoitettua harkintaa.

Ehdotuksessa ei erikseen säädetä poikkeuksia hallinnollisen päätöksenteon menettelysäännöksiin kuten kuulemiseen. Viranomaisen on automatisoitavia asiaryhmiä määriteltäessä erikseen arvioitava, voiko lapsiin kohdistuviin päätöksiin kohdistua esimerkiksi erityistä kuulemisen tarvetta. Tässä yhteydessä on kiinnitettävä huomiota muun muassa kuulemisen toteuttamiseen lapselle sopivalla tavalla, koska lapsi on lähtökohtaisesti aikuista haavoittuvammassa asemassa.

Automaattiset päätökset voivat kohdistua lapseen usein muussa roolissa kuin varsinaisesti lapsena. Lapsi voi olla automaattisen päätöksenteon kohteena esimerkiksi verovelvollisena. Verohallinnon mukaan verotusta koskevassa päätöksenteossa automatiikkaa ei kohdisteta erityisesti lapsiin. Kun verotusta koskeva päätös tehdään automaatiossa, voi päätös kohdistua yhtä lailla täysivaltaiseen ja vajaavaltaiseen henkilöön. Verotus perustuu lakiin ja verotusta toimitettaessa noudatetaan verotuksen tasapuolisuuden ja yhdenvertaisuuden periaatetta. Verotus toimitetaan verovelvollisen ilmoituksen, sivulliselta tiedonantovelvolliselta saatujen tietojen ja asiassa saadun muun selvityksen perusteella. Verotusta toimitettaessa ei näin ollen ole merkitystä sillä, onko päätöksenteon kohteena täysivaltainen henkilö tai esimerkiksi lapsi.

Automaattinen päätöksenteko voi joissain tapauksissa olla myös nimenomaisesti lapsen edun mukaista. Automaattinen päätös voisi olla lapsen edun mukaista tehdä esimerkiksi ulkomaalaislaissa (301/2004) tarkoitetun oleskeluluvan jatkolupahakemuksiin, jolloin edellytykset, joiden perusteella edellinen oleskelulupa on myönnetty, ovat edelleen olemassa. Mikäli automaattista päätöstä ei kohdistettaisi lapsiin, joutuisivat esimerkiksi lapsiperheet yllä kuvatuissa jatkolupahakemustilanteissa odottamaan, että luonnollinen henkilö käsittelisi asian. Käsittely olisi tällaisessa tapauksessa hitaampaa kuin automaattisessa päätöksenteossa, mikä asettaisi lapset systemaattisesti muita huonompaan asemaan (HE 224/2018 vp, s. 30). Yleisessä tietosuoja-asetuksessa asetetaan rekisterinpitäjälle lisävelvoitteita sen käsitellessä lasten henkilötietoja. Tietosuoja-asetuksen 22 artiklassa ei tehdä eroa sille, koskeeko automatisoitu päätöksenteko aikuisia vai lapsia. Sen sijaan asetuksen johdanto-osan 71 perustelukappaleen mukaan tällaista toimenpidettä ei saisi kohdistaa lapseen.

Euroopan unionin tietosuojatyöryhmä on suuntaviivoissaan (WP 29 Suuntaviivat automatisoiduista yksittäispäätöksistä, WP251rev.01, s. 30) tulkinnut perustelukappaleen merkitystä. Koska kieltävä sanamuoto ei käy ilmi itse artiklasta, työryhmä katsoo, ettei johdanto-osa muodosta lapsiin kohdistuvan käsittelyn ehdotonta kieltoa. Lisäksi työryhmä katsoo, että saattaa olla tilanteita, joissa rekisterinpitäjien on välttämätöntä tehdä lapsiin kohdistuvia pelkästään automaattiseen käsittelyyn perustuvia päätöksiä, profilointi mukaan luettuna, joilla on oikeusvaikutuksia tai vastaavalla tavalla merkittäviä vaikutuksia. Työryhmän mukaan näissä tapauksissa on toteutettava asianmukaiset suojatoimet, kuten 22 artiklan 2 kohdan b alakohdassa ja 3 kohdassa edellytetään, ja niiden on näin ollen oltava lapsille soveltuvia. Rekisterinpitäjän on varmistettava, että näillä suojatoimilla suojellaan tehokkaasti niiden lasten oikeuksia, vapauksia ja oikeutettuja etuja, joiden tietoja se käsittelee.

Esityksessä ehdotetaan hallintolakiin erityisiksi suojatoimiksi oikeussuojaedellytystä ja automaattisesta ratkaisusta ilmoittamista. Jotta pelkästään automaattisia päätöksiä voidaan tehdä, on ratkaisemisen edellytyksenä, että luonnollinen henkilö, johon päätös on kohdistettu voi kaikilta osin vaatia ratkaisuun oikaisua maksutta oikaisuvaatimuksella tai siihen rinnastuvalla vaatimuksella (ns. oikeussuojaedellytys). Kuten edellä on todettu, automaattisen päätöksenteon käyttöala ehdotetaan rajattavaksi asioihin, joihin ei sisälly seikkoja, jotka viranomaisen etukäteisen harkinnan mukaan edellyttäisivät tapauskohtaista harkintaa, tai johon sisältyvät tapauskohtaista harkintaa edellyttävät seikat virkamies tai muu asian käsittelijä on arvioinut, on rajatun käyttöalan ja oikeussuojaedellytyksen antamaa suojaa pidettävä soveltuvana myös lapsille. Lisäksi esityksessä ehdotetaan, että hallintopäätöksestä on käytävä ilmi, jos asia on ratkaistu automaattisesti, tai jos asiassa ei anneta hallintopäätöstä, tieto automaattisesta ratkaisemisesta on annettava asianosaiselle muulla tavoin. Automaattisesta ratkaisemisesta ilmoittamiseen sovelletaan hallintolain 2 luvussa säädettyjä yleisiä hyvän hallinnon perusteita, kuten esimerkiksi hyvän kielenkäytön vaatimusta. Hyvän kielenkäytön vaatimus edellyttää, että viranomaisen on käytettävä asiallista, selkeää ja ymmärrettävää kieltä. Koska hallintopäätöksiä kohdistetaan myös lapsiin, on viranomaisen informoinnin asian ratkaisemistavasta oltava ymmärrettävää ja selkeää lapsen tarpeet huomioivalla tavalla. Näin ollen ehdotettua suojatoimea voidaan pitää soveltuvana myös lapsille.

Tietosuojaoikeudellisia suojatoimia käsitellään tarkemmin säännöskohtaiset perustelut -jaksossa ja suhde perustuslakiin ja säätämisjärjestys -jaksossa.

4.2.4.5 Työllisyys ja työelämä

Ehdotuksella on vaikutuksia työelämään, erityisesti virkamiehiin, joita hallinnossa työskentelee sekä julkisyhteisöjen työntekijöihin. Automaation tarkoituksena on tehostaa viranomaisten ja muiden julkisia hallintotehtäviä hoitavien toimintaa ja muun muassa tuottaa kustannussäästöjä vähentämällä tehtävien hoitamiseen tarvittavaa henkilötyövoimaa. On mahdollista, että virkoja tai työsuhteita päädytään työvoiman tarpeen vähetessä lakkauttamaan, mutta on myös mahdollista, että viranomaisten tehtävien ja asiamäärien kasvun johdosta virkoja tai tehtäviä ei lakkauteta, vaan sen sijaan tarve perustaa uusia virkoja tai tehtäviä vähenee verrattuna tilanteeseen, jossa automaatiota ei oteta käyttöön. Nämä vaikutukset riippuvat voimakkaasti toimijoiden tehtävistä, rakenteesta ja toimintaympäristöstä.

Tyypillisen virkamiehen tai viranomaisessa työskentelevän työn luonne tulee muuttumaan automaation yleistyessä samaan tapaan kuin se on digitalisaation myötä muuttunut viimeisen kolmen vuosikymmenen aikana. Julkisessa hallinnossa vaadittavan osaamisen ja koulutuksen luonne sekä eri viranomaisten virkarakenteet todennäköisesti muuttuvat. Viranomaiset ja julkisyhteisöt tarvitsevat jatkossa uudenlaisia asiantuntijoita erilaisiin tehtäviin, kun taas tarve käsittelyä ja muita rutiininomaisia vaiheita tekeville vähenee. Viranomaisissa ja julkisyhteisöissä tullaan tarvitsemaan aiempaa enemmän tiedonhallintaan sekä tietojärjestelmien kehittämiseen ja hankintaan liittyvää osaamista, sekä enemmän poikkitieteellistä osaamista, jossa virkamiehen tai viranomaisessa työskentelevän on hallittava sekä sovellettava lainsäädäntö että tietojärjestelmät ja tiedonhallinta.

5.1 Vaihtoehdot ja niiden vaikutukset

5.1.1 Automaattisen päätöksenteon sääntelyn jättäminen nykytilan varaan tai sääntely ainoastaan erityislainsäädännössä

Automaattisen päätöksenteon jättäminen nykyisen sääntelyn varaan ei ole perusteltua ottaen huomioon olemassa oleva tarve automaation käyttöön myös yksittäispäätösten osalta. EU:n yleisen tietosuoja-asetuksen 22 artikla asettaa lähtökohtaisen automatisoitujen yksittäispäätösten kiellon, joten automaattisesta päätöksenteosta tulisi säätää tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan mukainen poikkeus, elleivät muut 2 kohdassa mainitut poikkeusperusteet täyty. Sama pätee myös automaattiseen päätöksentekoon rikosasioissa, koska rikosasioiden tietosuojalaissa säädetään niin ikään automaattisen päätöksenteon kiellosta.

Automaattisen päätöksenteon jättäminen nykysääntelyn varaan muodostaisi kestämättömän oikeustilan automaatiota jo nykyisin käyttävien viranomaisten kannalta paitsi tietosuojan, myös valtiosääntöisen näkökulman kannalta. Eduskunnan apulaisoikeusasiamies on esimerkiksi Verohallintoa koskevassa ratkaisussaan katsonut, ettei Verohallinnon automatisoitu päätöksentekomenettely täytä perustuslain vaatimuksia (EOAK/3379/2018). Myös oikeuskansleri on todennut Kansaneläkelaitosta koskevassa ratkaisussaan automaattisen päätöksenteon olevan sääntelemätöntä paitsi automaattista päätöksentekoa koskevan yleislainsäädännön, mutta myös mahdollisesti tarvittavan erityislainsäädännön osalta. Oikeuskanslerin mukaan toimiva ja riittävä lainsäädäntö on keino varmistaa automaattiseen päätöksentekoon ja sen edellyttämiin päätöksentekojärjestelmiin oletusarvoisesti ja sisäänrakennetusti kuuluva hyvä hallinto ja asiakkaiden oikeusturva (OKV/131/70/2020, s. 29).

Nykyisin automaattista päätöksentekoa käyttävistä viranomaisista esimerkiksi Verohallinto on käyttänyt automaattista päätöksentekoa 1990-luvulta alkaen ja automaattisten menettelyjen hyödyntäminen on olennaisesti tehostanut Verohallinnon toimintaa. Verohallinnon arvion mukaan henkilöstön pysyvä lisäresurssitarve olisi kaikki verolajit ja asiaryhmät huomioon ottaen noin 2 000 henkilötyövuotta, jos nykyisessä laajuudessa sovelletusta automaattisesta päätöksenteosta jouduttaisiin luopumaan. Tämän laajuinen henkilötyövuosien lisäys aiheuttaisi Verohallinnolle vähintään noin 110 miljoonan euron vuosittaiset lisäkustannukset. Vastaavasti Kansaneläkelaitoksessa tarvittaisiin moninkertainen määrä etuuskäsittelijöitä pitämään käsittelyajat tavoitteiden mukaisina, jos automaattisia päätöksiä ei tehtäisi.Kansaneläkelaitoksen mukaan opintotuessa yhden manuaalipäätöksen loppusuoritehinta on 52,96 euroa. Arvion mukaan automaattinen päätös on puolet halvempi, jolloin kustannussäästö on 7,2 miljoonaa euroa pelkästään opintotuessa, jossa annetaan noin 270 000 automaattista päätöstä vuosittain.

Automaattisen päätöksenteon sääntelemättä jättäminen ei olisi perusteltua myöskään viranomaisen toiminnan järjestämisen kannalta tulevaisuudessa. Sääntelemättömässä tilassa julkishallinnon digitalisaation avulla saavutettavat hyödyt jäisivät automaattisen päätöksenteon osalta toteutumatta, kun tulevaisuudessa teknologinen kehitys mahdollistanee yhä useampien toimintojen automatisoinnin. Useilla viranomaisilla ja julkista tehtävää hoitavilla yksityisillä on suunnitelmia nykyistä laajemman automaation käyttöönottoon toiminnoissaan tai automaation käyttöönottamiseksi ratkaisutoiminnassa, jos sitä ei vielä ole käytössä.

Automaattisesta päätöksenteosta voitaisiin säätää yleislainsäädännön sijaan vaihtoehtoisesti ainoastaan erityislainsäädännössä. Tällä hetkellä esimerkiksi kestävän metsätalouden määräaikaisen rahoituslain 31 a §:ssä on automaattista päätöksentekoa koskeva säännös. Tämä voi olla tietosuojanäkökulmasta riittävää, mutta ongelmaksi muodostuvat etenkin valtiosääntöiset kysymykset. Tähän vaihtoehtoon turvauduttiin EU:n yleisen tietosuoja-asetuksen astuessa voimaan sosiaaliturva- ja vakuutuslainsäädännössä, potilasvakuutuslaissa sekä maahanmuuton henkilötietolaissa (HE 52/2018 vp, HE 224/2018 vp, HE 298/2018 vp ja HE 18/2019 vp). Perustuslakivaliokunta kuitenkin kritisoi lakiehdotusten automaattista päätöksentekoa koskevia säännöksiä, mikä johti automaattisen päätöksenteon sääntelystä luopumiseen näissä ehdotuksissa. Perustuslakivaliokunta on hallituksen esityksiä koskevissa lausunnoissaan kiinnittänyt valtioneuvoston huomiota siihen, että automatisoituun päätöksentekoon vaikuttaa sisältyvän useita hallinnon yleislaeilla nimenomaisesti säätelemättömiä kysymyksiä. Valiokunta katsoi, että asiasta ja oikeusministeriön valmisteluvastuulle kuuluvan hallinnon yleislainsäädännön alan sääntelytarpeesta tulee tehdä selvitys. Selvityksessä on tarkasteltava, millä tavoin automatisoidun hallintomenettelyn ja päätöksenteon sääntely täyttää hallinnon lainalaisuuden, julkisuusperiaatteen ja hyvän hallinnon perusteisiin kuuluvien hallinnon oikeusperiaatteiden asettamia vaatimuksia sekä turvaa oikeusturvan ja virkamiesten virkavastuun asianmukaisen toteutumisen. (PeVL 62/2018 vp, PeVL 70/2018 vp, PeVL 78/2018 vp ja PeVL 7/2019 vp). Perustuslakivaliokunta on lisäksi todennut, ettei automatisoituja yksittäispäätöksiä koskevaa hallinnollista päätöksentekoa tulisi pyrkiä sääntelemään yksittäisillä pistemäisillä lakiehdotuksilla (PeVL 7/2019 vp, s. 12).

Automaattisen päätöksenteon valtiosääntöisten näkökohtien huomioon ottaminen vaikuttaisi siten vaativan yleislain tasoista sääntelyä. Lisäksi pelkästään sektorikohtaisessa erityislain tasoisessa sääntelyssä vaarana on, että hallinnon automaattisen päätöksenteon sääntely pirstaloituu ja viranomaisille muodostuu toisistaan poikkeavia käytäntöjä. Tämä taas sekavoittaa oikeustilaa ja esille voi nousta myös kansalaisen oikeusturvaan liittyviä ongelmia.

5.1.2 Automaattisen päätöksenteon sääntelyvaihtoehdot yleislainsäädännössä

Valmistelun aikana on harkittu erilaisia automaattisen päätöksenteon sääntelyvaihtoehtoja yleislainsäädännössä. Valmistelussa on harkittu esimerkiksi sääntelyvaihtoehtoa, jossa sääntelyn soveltamisala olisi ollut nyt ehdotettua laajempi ulottuen osittain myös hallintoasian valmisteluun ja tosiasialliseen hallintotoimintaan. Vaihtoehdon etuna on se, että viranomaisen automaatio olisi mahdollista saada kattavammin sääntelyn piiriin ja näin varmistua toiminnan lainmukaisuudesta.

Tämä vaihtoehto oli esillä myös 9.6.–20.8.2021 järjestetyllä lausuntokierroksella (Lausuntopyyntö hallinnon automaattisen päätöksenteon käyttöalaa ja läpinäkyvyyttä koskevista säännösluonnoksista, VN/3071/2020). Vaihtoehdon mukaan sääntely olisi koskenut myös sellaista hallintoasian valmistelua ja tosiasiallista hallintotoimintaa, jolla on oikeusvaikutuksia tai joka vaikuttaa vastaavalla merkittävällä tavalla asianosaiseen tai hallinnon asiakkaaseen. Lausuntopalautteessa ehdotus sai kuitenkin kritiikkiä sen epäselvyydestä ja tulkinnanvaraisuudesta. Viranomaisilla ja julkista hallintotehtävää hoitavilla yksityisillä oli myös osittain hankaluuksia tunnistaa toiminnassaan tilanteita, joihin säännös voisi soveltua. Lausuntopalautteen kritiikin lisäksi vaihtoehdon mukaisen sääntelyn haasteena on se, että sääntelyn vaikutukset voisivat muodostua osin ennalta arvaamattomiksi ja sääntely saattaisi tuoda viranomaisille tarpeetonta sääntelytaakkaa.

Toiseksi automaattinen päätöksenteko voitaisiin myös sallia esimerkiksi hallintolakiin otettavalla yleisellä säännöksellä, joka ei asettaisi erityisiä automaatioon tai sen käyttöalaan liittyviä vaatimuksia. Tämän vaihtoehdon etuna on se, että viranomaisten olisi mahdollista käyttää automaatiota harkintansa mukaisessa laajuudessa, kunhan muut yleis- ja erityislainsäädännön vaatimukset hallinnon päätöksenteolle ja tietojärjestelmille täyttyisivät. Vaihtoehto voisi periaatteessa mahdollistaa myös erilaisten todennäköisyyksiin ja tilastollisiin menetelmiin perustuvien tekoälyratkaisujen käytön automaattisessa päätöksenteossa.

Sääntelyvaihtoehto vaikuttaa kuitenkin ongelmalliselta perustuslain näkökulmasta. Esimerkiksi hallituksen esityksessä HE 224/2018 vp ehdotettiin säädettäväksi, että päätös, jonka Maahanmuuttovirasto tekee ulkomaalaisasioiden asiankäsittelyjärjestelmässä, voidaan tehdä menettelyssä, joka perustuu pelkästään automaattiseen käsittelyyn, ellei asian laatu tai laajuus, yhdenmukainen kohtelu, lapsen etu taikka muu erityinen syy muuta edellytä. Perustuslakivaliokunnan mukaan ehdotettua sääntelyä oli kuitenkin välttämätöntä täsmentää. Säännöksessä olisi säänneltävä ehdotettua täsmällisemmin, millaisin perustein asioita voidaan valikoida automaattisen päätöksenteon piiriin. Perustuslakivaliokunta totesi lisäksi, että automatisoituun päätöksentekoon vaikuttaa sisältyvän useita hallinnon yleislaeilla nimenomaisesti säätelemättömiä kysymyksiä. Perustuslakivaliokunnan mukaan tällaisia selvitettäviä kysymyksiä ovat hallinnon lainalaisuuden, julkisuusperiaatteen ja hyvän hallinnon perusteisiin kuuluvien hallinnon oikeusperiaatteiden asettamien vaatimusten sekä oikeusturvan ja virkamiesten virkavastuun asianmukainen toteutuminen. (PeVL 62/2018 vp, s. 7 ja 9, vastaavasti myös PeVL 70/2018 vp, PeVL 78/2018 vp ja PeVL 7/2019 vp). Perustuslakivaliokunnan lausuntokäytäntö huomioiden tämä vaihtoehto ei siten vaikuttaisi olevan perustuslain mukainen ja riittävän täsmällinen sekä tarkkarajainen.

Kolmantena vaihtoehtona sallitun automaattisen päätöksenteon käyttöalaa olisi mahdollista rajata myös ehdotettua suppeammaksi esimerkiksi tiukentamalla viranomaisen harkinnan edellytyksiä tai luettelemalla asiaryhmiä, joissa automaattista päätöksentekoa voisi hyödyntää. Myöhemmin tarpeelliseksi osoittautuvan automaation mahdollistaminen ainoastaan lakia muuttamalla muodostuisi kuitenkin raskaaksi. Asiaryhmien listaaminen automaattisen päätöksenteon käyttöalasäännöksessä ei myöskään vaikuta soveltuvan hyvin yleislain systematiikkaan.

Neljänneksi yleislainsäädännössä voitaisiin säätää automaattisesta päätöksenteosta, mutta tämän lisäksi erityislainsäädännössä olisi erikseen säädettävä automaattisen päätöksenteon käyttöönotosta hallinnonalakohtaisesti. Tällöin automaation käyttöönotosta säädettäessä olisi mahdollista huomioida hallinnonala- tai asiaryhmäkohtaiset erityispiirteet. Tällaisen ratkaisun etuna olisi täsmällisyys ja tarkkarajaisuus siinä, mitä asioita voidaan ratkaista automaattisesti. Automaattisen päätöksenteon käyttöönotosta säätäminen hallinnonalakohtaisesti edellyttäisi runsaasti erityislainsäädäntöä. Ehdotettu sääntely ei sekään poista kokonaan hallinnonalakohtaista erityislainsäädännön tarvetta kaikkien viranomaisten osalta.

Lisäksi valmistelussa on pohdittu automaattista päätöksentekoa koskevan sääntelyn rajaamista koskemaan pelkästään luonnollisia henkilöitä, koska EU:n yleistä tietosuoja-asetusta ja asetuksen 22 artiklan automatisoitujen yksittäispäätösten kieltoa sovelletaan vain luonnollisiin henkilöihin. Valmistelun aikana on harkittu, onko sääntelyä tarpeen ulottaa myös oikeushenkilöihin, sillä oikeushenkilöillä ei ole henkilötietojen suojan tarvetta. Hallintolaki ei kuitenkaan erottele luonnollista henkilöä ja oikeushenkilöä koskevia päätöksiä, vaan esimerkiksi hyvän hallinnon perusteita ja hallintolain menettelysäännöksiä tulee noudattaa päätöksenteon kohteesta riippumatta. Perustuslakivaliokunta on säännösehdotuksia automatisoiduista yksittäispäätöksistä arvioidessaan katsonut, että automaattisen päätöksenteon sääntely on henkilötietojen suojaan liittyvien kysymysten ohella merkityksellistä erityisesti perustuslain 21 §:ssä turvattujen hyvän hallinnon periaatteiden ja 118 §:ssä säädetyn virkavastuun kannalta (PeVL 78/2018 vp, s. 5–6, PeVL 70/2018 vp, s. 3–5 ja PeVL 62/2018 vp, s. 6–9). Valmistelussa on arvioitu, että hyvän hallinnon ja edellä mainittujen valtiosääntöisten näkökohtien huomioon ottaminen edellyttää automaattisen päätöksenteon sääntelyn ulottamista myös oikeushenkilöihin.

Automaattisen päätöksenteon tiedonhallinnan sekä automaattisen päätöksenteon kehittämiseen ja käyttöön liittyvien ihmiskontrollien ja virkavastuun kohdentumisen osalta valmistelun aikana on harkittu erilaisia vaihtoehtoja. Valmistelun aikana on katsottu perustuslain 21 §:ssä turvattujen hyvän hallinnon periaatteiden ja 118 §:ssä virkavastuusta säädetyn kannalta sekä perustuslakivaliokunnan kannanottojen valossa (mm. PeVL 78/2018 vp ja PeVL 7/2019 vp) olevan tarpeen sääntely, jossa viranomaiselle asetetaan riittävän yksityiskohtaiset ja täsmälliset velvoitteet, jotka liittyvät automaattisen päätöksenteon kehittämiseen, valvontaan ja käyttämiseen ja joilla turvataan välttämätön ihmiskontrolli automaattisessa päätöksenteossa. Valtiovarainministeriön asettama työryhmä laati valmistelun aikana arviomuistion julkisen hallinnon tietojärjestelmien sääntelyn nykytilasta ja kehittämistarpeista (Valtiovarainministeriön julkaisuja, 2021:54), jossa arvioidun sääntelyn kohteena olisi ollut viranomaisten tietojärjestelmät ja niiden toiminnallisuudet. Arviomuistiosta annetun lausuntopalautteen perusteella valmistelussa kuitenkin luovuttiin tietojärjestelmistä sääntelykohteena ja päädyttiin painottamaan toimintaprosessin automatisointiin liittyviä dokumentointi- ja varmistamisvelvollisuuksia. Arviomuistiosta annettiin myös useita lausuntoja, joiden mukaan automaattisen päätöksenteon hyvän hallinnon periaatteiden toteutuminen tiedonhallinnan ja ihmiskontrollien näkökulmasta olisi mahdollista turvata laintasoisen sääntelyn sijaan suositusten, vakiintuneiden käytäntöjen ja muun soft law –tyyppisen sääntelyn avulla, mutta valmistelussa tätä ei ole pidetty hallinnon lainalaisuusperiaatteen, hyvän hallinnon vaatimusten sekä rikosoikeudellisen lainalaisuusperiaatteen vuoksi mahdollisena ratkaisuna. Arviomuistio, arviomuistiosta annettu lausuntopalaute ja sen perusteella laadittu yhteenveto ovat saatavilla verkko-osoitteesta https://vm.fi/hanke?tunnus=VM059:00/2021.

5.2 Ulkomaiden lainsäädäntö ja muut ulkomailla käytetyt keinot

5.2.1 Automaattisen päätöksenteon käyttöala

Ruotsissa säädettiin vuonna 2018 uusi hallintolaki, jonka 28 §:ää (förvaltningslag [2017:900]) mahdollisti automaattisen päätöksenteon. Säännöksen mukaan päätöksen voi tehdä virkamies yksin tai yhdessä tai se voidaan tehdä automaattisesti. Päätösautomaatiota on käytetty enenevissä määrin esimerkiksi sosiaalivakuutuksen parissa ja lain esitöiden mukaan on syytä selventää lain tasolla, että hallintopäätös voidaan tehdä automatisoidusti. Kun automaattisesta päätöksenteosta säädetään hallintolaissa, viranomaiset eivät tarvitse erikseen erityislainsäädäntöä tehdäkseen automaattisia päätöksiä (prop. 2016/17:180 s. 179). Automaattisella päätöksenteolla tarkoitetaan päätöstä, joka tehdään koneellisesti ilman että kukaan yksittäinen virkamies osallistuu aktiivisesti päätöksentekoon yksittäisessä tapauksessa (prop. 2016/17:180 s. 315). Säännös luo oikeusperustan automaattisen päätöksenteon käytölle viranomaisessa, mutta säännös tai lain esityöt eivät ota kantaa siihen, millä tavoin automaation käyttöalaa tulisi rajata. Myöskään säännöksen suhdetta yleiseen tietosuoja-asetukseen ei lain esitöissä käsitellä. Yleinen hallinnon lainalaisuusvaatimus kuitenkin asettaa rajoituksia automaation käytölle.

Ruotsissa automaattisen päätöksenteon oikeusperusta on ollut kunnissa jossain määrin epäselvä, koska hallintolaki on toissijainen suhteessa kuntalakiin (kommunallag [2017:725]). Hallitus on tilannut alkuvuodesta 2021 valmistuneen selvityksen (SOU 2021:16), jossa ehdotetaan muutoksia kuntalakiin automaattisen päätöksenteon sallimiseksi. Automaattinen päätöksenteko ehdotetaan sallittavaksi asioissa, joissa toimivallan siirtäminen esimerkiksi virkailijoille on kuntalain mukaan mahdollista. Automaattisen päätöksenteon ulkopuolelle olisi rajattu laillisuustarkastukseen liittyvät asiat, asiat, joihin ei voi hakea muutosta sekä hankinta-asiat, jotka eivät Euroopan unionin sääntelyn vuoksi sovellu automaattiseen päätöksentekoon (SOU 2021:16, s. 96–97). Selvityksessä huomautetaan, että päätöksentekoautomaatiolle voi seurata rajoituksia muusta lainsäädännöstä kuin kuntalain toimivallan siirtämistä koskevasta sääntelystä, esimerkiksi päätöksen perustelemisen vaatimuksesta tai asian selvittämistä koskevista vaatimuksista. Hallintolaki tai erityislainsäädäntö voi siten rajoittaa automaattisen päätöksenteon käyttöönottoa. Laissa voidaan myös edellyttää punnintaa, jota ei voida tehdä automaattisesti. Laista voi toisaalta seurata epäsuora vaatimus siitä, että luonnollinen henkilö käsittelee asian. Tällaisia voivat olla esimerkiksi asian tutkimista ja käsittelyä koskevat erityisvaatimukset. Lisäksi laissa on olemassa nimenomaisia vaatimuksia siitä, että asian käsittelee luonnollinen henkilö, jolla on erityinen säädetty toimivalta (SOU 2021:16, s. 94). Joka tapauksessa vastuu toiminnan seurannasta ja lainmukaisuudesta säilyy toimivallan siirtäneellä taholla (SOU 2021:16, s. 94, 97).

Ranskan tietosuojalain (Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) 47 artiklassa säännellään automaattista päätöksentekoa. Artiklan mukaan hallintopäätöksiä voidaan tehdä automaattisesti. Muutoksenhakuasiat on kuitenkin rajattu automaattisen päätöksenteon ulkopuolelle. Automaattinen päätöksenteko ei ole tietosuojalain 47 artiklan mukaan sallittua lain 6 artiklassa mainittujen arkaluonteisten henkilötietojen osalta. Arkaluonteisten henkilötietojen käsite vastaa yleisen tietosuoja-asetuksen erityisten henkilötietoryhmien käsitettä. Tietosuojalain lisäksi hallintolaissa (Code des relations entre le public et l'administration) säännellään automaattista päätöksentekoa. Automaattisen päätöksenteon sääntelyä sovelletaan sekä täysin automatisoituun päätöksentekoon, että sellaiseen päätöksentekoon, jossa tekoälyä tai ohjelmistorobotiikkaa hyödynnetään ainoastaan tukitoimintona. Soveltamisala on siis laajempi kuin yleisessä tietosuoja-asetuksessa. Ranskan perustuslakineuvosto on automaattista päätöksentekoa koskevassa ratkaisussaan todennut, että päätöksentekosääntöjen on oltava inhimillisesti kontrolloitavissa, eikä kontrollin ulkopuolella olevia, jatkuvasti itseoppivia ja päättelysääntöjä muuttavia ohjelmistoja saa käyttää (CC 2018-765, kappale 70).

Saksassa liittovaltion hallintolainkäyttölain 35a §:ssä (Verwaltungsverfahrensgesetz, VwVfG) on vuodesta 2017 lähtien säädetty hallinnollisten päätösten automaatiosta. Pykälässä määritellään ne edellytykset, joiden vallitessa jokin päätöstyyppi voidaan automatisoida. Lainkohdan taustalla on ollut tarve kehittää hallintomenettelyä etenkin verotuksen ja sosiaalietuuksien osalta. Johtuen liittovaltiorakenteesta sekä yleislain toissijaisuudesta suhteessa erityislakeihin lainkohdan tulkinta ja soveltaminen käytännössä on jäänyt osavaltiokohtaisten lainsäätäjien varaan. Hallintolainkäyttölain mukaan automaatista päätöksentekoa voidaan käyttää, jos siitä on erikseen säädetty laissa ja päätös ei sisällä harkintavaltaa eikä tarvetta arviointiin. Saksalainen hallintolainkäyttölaki siis edellyttää lailla säätämistä jokaisessa yksittäistapauksessa ja samalla harkinnanvaraisuutta sisältävät päätöslajit on kokonaisuudessaan rajattu automaattisen päätöksenteon ulkopuolelle.

Saksassa erityislainsäädännön osalta esimerkiksi verotuksen automaatiosta säädetään verotusta koskevassa laissa (Abgabenordnung, AO). Lain 155 § antaa verottajalle oikeuden automaattisesti myöntää, korjata, peruuttaa tai muuttaa veroehdotuksia, verohyvityksiä, verovähennyksiä ja ennakkomaksuja, mikäli ei ole syytä virkailijan käsittelylle. Sosiaaliturvaa koskevan sääntelyn (Sozialverwaltungsverfahren und Sozialdatenschutz, SGB) 31a §:n mukaan hallinnollinen päätös voi olla kokonaisuudessaan automatisoitu, jos ei ole syytä sille, että päätöksen käsittelisi virkailija. Automatisoidussa päätöksessä tulee kuitenkin ottaa huomioon tapauskohtainen asiakkaan tarjoama informaatio. Näyttää siltä, että sektorikohtainen sääntely sallisi myös valitusten käsittelyn ja virheiden korjaamisen osin automaattisesti, mutta tätä mahdollisuutta hyödynnetään käytännössä vielä suppeasti. Keskeisenä huomiona voidaan todeta, että etenkin harkinnanvaraisten päätösten rajaaminen hallintolailla automatisoimisen ulkopuolelle on merkittävä oikeudellinen reunaehto.

Saksassa on hallinnollisen sääntelyn lisäksi liittovaltion tietosuojalaissa (Bundesdatenschutzgesetz, BDSG) säädetty automaattisesta päätöksenteosta. Tietosuojalain 37 §:ssä on säädetty poikkeus EU:n yleisen tietosuoja-asetuksen 22 artiklasta. Pykälän mukaan automaattinen päätöksenteko on mahdollista vakuutussopimuksen mukaisissa palveluissa. Automaattinen päätös voidaan tehdä, kun hyväksytään rekisteröidyn vaatimus. Jos rekisteröidyn pyyntöä ei hyväksytä kokonaisuudessaan, niin automaattisen päätöksen on perustuttava vakuutussopimuksen pakollisiin sääntöihin terapeuttisen hoidon korvauksista ja rekisterinpitäjän on ryhdyttävä asianmukaisiin toimenpiteisiin rekisteröidyn oikeuksien ja etujen suojaamiseksi. Suojatoimiin kuuluvat 37 §:n mukaan ainakin oikeus vaatia, että tiedot käsittelee rekisterinpitäjän puolesta luonnollinen henkilö, sekä rekisteröidyn oikeus esittää kantansa ja riitauttaa päätös. Lisäksi lainkohdassa todetaan, että rekisterinpitäjän tulee ilmoittaa rekisteröidylle hänen oikeutensa samalla, kun hänelle ilmoitetaan, ettei hänen pyyntöään hyväksytä kokonaisuudessaan. Vakuutussopimuksia koskevan 37 §:n lisäksi tietosuojalain 54 §:ssä on säädetty, että pelkästään automaattiseen käsittelyyn perustuva päätös, jolla on epäedullisia seurauksia tai merkittäviä vaikutuksia rekisteröidylle, on sallittu vain, kun siitä on laissa säädetty. Tällaisissa 54 §:n mukaisissa päätöksissä ei saa käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja, ellei asianmukaisista suojatoimista ole huolehdittu.

Norjassa ei tällä hetkellä ole yleislainsäädännössä säädetty julkishallinnon automaattisesta päätöksenteosta, mutta julkishallinnon lakikomitea on pohtinut julkishallintolain uudistamistarpeita muun muassa digitalisaation näkökulmasta laajassa lakiehdotuksen sisältävässä selvityksessä (NOU 2019:5). Lakiehdotuksessa esitetään säädettäväksi myös automaattisesta päätöksenteosta. Lakiehdotuksen 11 §:n mukaan automaattisesta päätöksenteosta on säädettävä hallinnonalakohtaisesti kuninkaan antamalla asetuksella. Päätöksiä, joilla on vain vähäisiä vaikutuksia yksilön oikeuksiin, voidaan tehdä ilman tätä oikeusperustaa. (NOU 2019:5, s. 19). Sääntelyn olisi tarkoitus olla lähtökohtaisesti teknologianeutraalia (NOU 2019:5, s. 55 ja 259). Yksiselitteiset lain säännökset soveltuisivat automatisointiin, mutta harkintaa ja arviointia edellyttävät säännökset eivät. Myös muutoksenhakuasiat voitaisiin joissain tapauksissa automatisoida, esimerkiksi tilanteessa, jossa jokin päätökseen vaikuttava tosiseikka on oletettu, tulkittu tai luokiteltu väärin. Tällöin päätös voitaisiin korjata ja suorittamalla automaatisoitu prosessi uudelleen. Jos taas valitus kohdistuu lain soveltamisen ongelmaan, muutoksenhakuasia tulisi käsitellä manuaalisesti. (NOU 2019:5, s. 261).

Isossa-Britanniassa automaattista päätöksentekoa on säännelty kansallisessa tietosuojalaissa (Data Protection Act 2018). Sääntely on laadittu alun perin EU:n yleisen tietosuoja-asetuksen vaatimusten mukaiseksi. Iso-Britannia erosi Euroopan unionista 31.1.2020, mutta yleisen tietosuoja-asetuksen säännöksiä sovelletaan kuitenkin toistaiseksi lähes samansisältöisenä Ison-Britannian asetuksesta laatiman oman version muodossa (United Kingdom General Data Protection Regulation [UK-GDPR]). Ison-Britannian tietosuojalaki sisältää automaattisen päätöksenteon säännöksiä koskien yleistä henkilötietojen käsittelyä (14 §), rikosasioiden tietoduojadirektiivin alaan kuuluvaa henkilötietojen käsittelyä (49 ja 50 §:t) sekä henkilötietojen käsittelyä kansallisen turvallisuuden alueella (96–98 §:t). Tietosuojalain 14 §:ssä säädetään yleisen tietosuoja-asetuksen 22 artiklan 2 b alakohdan mukainen poikkeus asetuksen 22 artiklan lähtökohtaisesta kiellosta koskien automatisoituja yksittäispäätöksiä. Rekisteröidylle oikeusvaikutuksia tai vastaavia merkittäviä vaikutuksia tuottavia päätöksiä voidaan tehdä automaattisesti, jos 14 §:ssä säädetyistä suojatoimista huolehditaan.

Ison-Britannian tietosuojalain 49 § koskee automaattista päätöksentekoa rikosasioiden tietosuojadirektiivin alaan kuuluvien henkilötietojen käsittelyssä. Tällaista henkilötietojen käsittelyä tehdään esimerkiksi poliisissa ja muissa rikosoikeudellisia asioita käsittelevissä viranomaisissa. Tietosuojalain 49 §:n mukaan kielteisiä oikeusvaikutuksia tai merkittäviä vaikutuksia rekisteröidylle tuottavia päätöksiä ei saa tehdä pelkästään automaattisesti, jollei sitä ole sallittu laissa. Jos tällaisen automaattisen päätöksen antamisesta on säädetty laissa, tietosuojalain 50 §:ssä säädetään päätöstä koskevista suojatoimista. Tietosuojalakia selittävissä liitteissä huomautetaan erikseen, että 49 ja 50 §:n säännösten tarkoitetaan koskevan täysin automaattista päätöksentekoa, ei pelkästään automaattista käsittelyä. Automaattisella käsittelyllä tarkoitetaan jonkin tiedoille suoritettavan toiminnon tekemistä ilman ihmisen vuorovaikutusta. Rikosasioiden tietosuojadirektiivin soveltamisalalla tällaista automaattista käsittelyä käytetään usein suodattamaan suurista tietojoukoista hallittavissa olevia määriä tietoja ihmiskäsittelijän käytettäväksi. Automaattinen päätöksenteko on taas automattisen käsittelyn muoto, joka vaatii lopullisen päätöksen antamista ilman ihmisen vuorovaikutusta. Lisäksi huomautetaan, että käytännössä kielteiseen lopputulokseen johtavaa automaattista päätöksentekoa käytetään harvoin rikosasioiden tietosuojadirektiivin soveltamisalalla ja on epätodennäköistä, että automaattisella päätöksenteolla olisi mitään operatiivista käyttöä. (Data Protection Act 2018 – Explanatory Notes, s. 38–39).

Isossa-Britanniassa on lisäksi säädetty erikseen automaattisesta päätöksenteosta henkilötietojen käsittelyssä kansallisen turvallisuuden alueella, mihin EU-oikeus tai yleinen tietosuoja-asetus eivät sovellu. Tietosuojalain 96 §:ssä on yleistä tietosuoja-asetusta vastaava sääntelytapa, jossa automaattinen päätöksenteko on lähtökohtaisesti kielletty, mutta voidaan sallia tietyissä tapauksissa, kuten asiasta lailla säädettäessä.

Kanadassa automaattista päätöksentekoa julkishallinnossa on säännelty lakia alemmantasoisella automaattista päätöksentekoa koskevalla direktiivillä (Directive on Automated Decision-Making). Direktiivi on eräänlainen ohjeistus, joka kuuluu erilaisten käytäntöjen, standardien ja suuntaviivojen joukkoon. Sääntely koskee liittovaltion instituutioita ja näiden järjestelmätoimittajia, mutta muut hallinnolliset organisaatiot ja yksityiset toimijat jäävät sen soveltamisalan ulkopuolelle. Direktiivin soveltamisala on siinä mielessä laaja, että se koskee paitsi täysin automaattisia päätöksiä antavia järjestelmiä, mutta myös ihmistä avustavaa automaatiota. Direktiivin tarkoittamilla päätöksillä tarkoitetaan hallintopäätöksiä. Vaikka direktiivin soveltamisala on laaja, se toisaalta sallii myös tekoälyteknologioiden käyttämisen päätöksenteossa. Direktiivi perustuu riskiperusteiseen malliin, jossa erityisen algoritmien vaikutusten arviointimenettelyn avulla määritellään päätöksentekojärjestelmälle neliportainen riskitaso. Riskitason perusteella päätöksentekojärjestelmälle asetetaan erilaisia vaatimuksia. Vaikka direktiivi ei kiellä eri teknologioiden käyttöä automaattisessa päätöksenteossa, se kuitenkin edellyttää korkeammilla riskitasoilla, että päätöksentekoon osallistuu ihminen ja lopullisen päätöksen antaa ihminen.

5.2.2 Hyvä hallinto, suojatoimet ja läpinäkyvyys

Ruotsissa on arvioitu joidenkin automaattista päätöksentekoa koskevien erityislainsäädäntöhankkeiden yhteydessä sääntelyn suhdetta yleisen tietosuoja-asetuksen 22 artiklaan. Hallituksen esityksissä todetaan, että julkishallinnon automaattiseen päätöksentekoon sovelletaan hallintolain mukaisia oikeusturvatakeita. Lainalaisuutta, puolueettomuutta ja suhteellisuusperiaatetta koskevien yleisten vaatimusten lisäksi päätöksiä koskevat asianosaisjulkisuus ja kuulemisvelvollisuus sekä mahdollisuus virheen korjaamiseen ja muutoksenhakuun. Näiden oikeusturvatakeiden katsotaan kattavan yleisen tietosuoja-asetuksen edellyttämät suojatoimet. (Esim. Prop. 2017/18:115, s. 31; Prop. 2019/20:196, s. 35 ja Prop. 2017/18:112, s. 64).

Ranskan hallintolakiin on vuonna 2016 lisätty automaattista päätöksentekoa koskeva artikla L311-3-1, jonka mukaan automaattisen päätöksenteon kohdetta on muun muassa informoitava automaattisesta käsittelystä. Säännöksen soveltamisen edellytyksistä säädetään erillisellä asetuksella (Décret n° 2017-330 du 14 mars 2017 relatif aux droits des personnes faisant l'objet de décisions individuelles prises sur le fondement d'un traitement algorithmique), jossa määritellään tarkemmin yksilön oikeudet automatisoitujen yksittäispäätösten suhteen. Mikäli päätös pohjautuu automaattiseen käsittelyyn, päätöksen kohteena olevalle henkilölle on tämän pyynnöstä annettava tieto algoritmin toimintalogiikasta ja sen täytäntöönpanon pääpiirteistä. Lisäksi asetus velvoittaa viranomaista tiedottamaan yksilölle tämän tiedonsaantioikeuksista ja menettelystä, jolla tiedonsaantioikeutta voidaan käyttää. Tämä tarkoittaa yksilöllä olevaa oikeutta saada selvitys automaattisen päätöksen taustoista ja perusteluista, mikä on jonkin verran laajempi kuin vastaava oikeus yleisessä tietosuoja-asetuksessa. Kansallisen asetuksen mukaan automatisoidussa yksittäispäätöksessä viranomaisten tulee asianosaisen pyynnöstä ilmoittaa salassapitovelvollisuutta loukkaamatta ymmärrettävässä muodossa seuraavat päätökseen liittyvät seikat: missä määrin ja missä muodossa algoritmista päätöksentekoa on käytetty päätöksenteossa; mitä tietoa päätöksentekoprosessissa on hyödynnetty ja mistä päätöksessä käytetty tieto on peräisin; algoritmisen käsittelyn parametrit ja, jos mahdollista, niiden painotukset päätöstä tehdessä sekä algoritmisen käsittelyn toimet. Selitysvelvollisuus tosin koskee yksittäisiä päätöksiä, eikä velvoita selittämään järjestelmän toimintaa kokonaisuutena. Koska jokainen yksittäinen tapaus perustuu erilaisiin faktoihin ja jokainen tapaus on ainutlaatuinen, ei myöskään ole tarkoituksenmukaista selittää koko järjestelmän toimintaa.

Saksan liittovaltion sisäministeriön hallintomenettelylainsäädännön neuvoa-antava lautakunta (Der Beirat Verwaltungsverfahrensrecht beim Bundesministerium des Innern) on antanut automaattista päätöksentekoa koskevan lausunnon vuonna 2015, eli ennen hallintolainkäyttölain 35 a §:n säätämistä vuonna 2017. Lausunnossa on todettu, että automaattinen käsittely hallinnossa tulee järjestää tavalla, jossa oikeusvaltion vaatimukset toteutuvat. Näihin kuuluvat tietyt hyvän hallinnon takeet, kuten asianomaisen kuulemisesta huolehtiminen. Kokonaan automaattisessa menettelyssä on varmistettava, että kaikki päätökseen kuuluvat tosiseikat ovat tiedossa ja ne ovat yksiselitteisiä. Harkintaa sisältävää hallintotoimea ei voida tehdä automaattisesti. Lautakunta lisäksi korostaa päätösten perusteluvelvollisuutta, viranomaisen tutkintavelvollisuutta, asianosaisen menettelyllisiä oikeuksia sekä informaatio-oikeutta. (Automatisiert erlassene Verwaltungsakte und Bekanntgabe über Internetplattformen – Fortentwicklung des Verfahrensrechts im Zeichen der Digitalisierung: Wie können rechtsstaatliche Standards gewahrt werden? [NVwZ 2015, 1114]).

Norjassa julkishallinnon lakikomitean julkishallintolain uudistusta koskevan lakiehdotuksen (NOU 2019:5) 12 §:n mukaan hallintoviranomaisen olisi dokumentoitava automaattisten päätöksentekojärjestelmien oikeudellinen sisältö. Asiakirjat olisivat ehdotuksen mukaan julkisia, ellei laki tai erityiset syyt rajoita julkisuutta. (NOU 2019:5, s. 20). Dokumentointivaatimus edellyttäisi ehdotuksen perustelutekstin mukaan dokumentointia siitä, miten lain soveltaminen tapahtuu järjestelmässä. Vaatimuksella helpotettaisiin automaattisen päätöksenteon valvontaa, ja dokumentointi voitaisiin toteuttaa esimerkiksi pseudokoodin muodossa. Järjestelmän oikeudellinen sisältö olisi julkistettava esimerkiksi viranomaisen verkkosivuilla salassapitosäännökset ja muut asiakirjajulkisuuden poikkeukset huomioiden. (NOU 2019:5, s. 265–267). Ehdotuksen 47 §:n 2 kohdassa ehdotetaan lisäksi, että päätöksessä olisi ilmoitettava, jos asia on käsitelty täysin automaattisesti (NOU 2019:5, s. 19–20, 30).

Isossa-Britanniassa on säädetty tietosuojalaissa yhteneväisesti automaattista päätöksentekoa koskevista suojatoimista niin yleisen tietosuoja-asetuksen, rikosasioiden tietosuojadirektiivin kuin kansallisen turvallisuudenkin alueella. Automaattisen päätöksenteon kohdetta on informoitava kirjallisesti siitä, että päätös perustuu pelkästään automaattiseen käsittelyyn. Päätöksenteon kohde voi tällöin yhden kuukauden kuluessa vaatia päätöksen uudelleen harkitsemista tai uutta päätöstä, joka ei perustu pelkästään automaattiseen käsittelyyn. (Data Protection Act 2018 14(4), 50(2) ja 97(3–4) §:t).

Kanadassa automaattista päätöksentekoa koskevan direktiivin tavoitteena on varmistaa, että automaattiset päätöksentekojärjestelmät ovat kehitetty tavalla, joka vähentää kansalaisiin ja liittovaltion instituutioihin kohdistuvia riskejä ja johtaa tehokkaampaan, tarkempaan, johdonmukaisempaan ja selitettävämpään lain mukaiseen päätöksentekoon. Direktiivi asettaa erilaisia vaatimuksia päätöksentekojärjestelmille sen mukaan, mille neljästä riskitasosta järjestelmä algoritmien vaikutusten arviointimenettelyn mukaan asettuu. Arviointimenettelyssä arvioidaan, kuinka suuria vaikutuksia järjestelmällä on ihmisten ja yhteisöjen oikeuksiin; terveyteen tai hyvinvointiin; taloudellisiin etuihin sekä luonnon kestävyyteen. Direktiivi asettaa erikseen kaikkia automaattisia päätöksentekojärjestelmiä koskevia vaatimuksia ja toisaalta riskiperusteisesti määräytyviä vaatimuksia, joita tulee toteuttaa järjestelmän riskitason mukaisesti. Kaikkia järjestelmiä koskevia vaatimuksia ovat etenkin lähdekoodin julkaiseminen, elleivät salassapitosäännökset sitä estä; päätösten dokumentointi; järjestelmän testaus ja valvonta esimerkiksi syrjivien ratkaisujen tunnistamiseksi; tietojen laatuvaatimukset; järjestelmän turvallisuusvaatimukset; järjestelmän lainmukaisen toiminnan varmistaminen; muutoksenhakumahdollisuus sekä tietojen julkaiseminen siitä, miten järjestelmä on saavuttanut sille asetetut tavoitteet. Riskiperusteisesti määräytyviä vaatimuksia ovat ilmoitus automaattisen päätöksenteon käytöstä, kuvaus järjestelmästä, vertaisarviointi, henkilöstön koulutus, häiriöihin varautuminen, ihmisen osallistuminen ja järjestelmän etukäteinen hyväksymismenettely.

5.2.3 Päätöksentekojärjestelmien kehittäminen ja käyttö

Ruotsissa automaattisten päätöksentekojärjestelmien vaatimuksista tai kontrolleista ei ole säädetty lain tasolla. Valtiontalouden tarkastusvirasto (Riksrevisionen) julkaisi 4.11.2020 selvityksen automaattisesta päätöksenteosta valtionhallinnossa (RIR 2020:22, saatavilla osoitteesta https://www.riksrevisionen.se/rapporter/granskningsrapporter/2020/automatiserat-beslutsfattande-i-statsforvaltningen---effektivt-men-kontroll-och-uppfoljning-brister.html). Selvityksessä analysoitiin automaattista päätöksentekoa verohallinnossa, liikennevirastossa sekä vakuutuskassassa (Försäkringskassan). Valtiontalouden tarkastusvirasto päätyi suosittelemaan selvityksessä, että automaattisia päätöksentekojärjestelmiä käyttäessä tulisi kiinnittää huomiota automaattisesti tuotettujen ratkaisujen oikeellisuuden ja lainmukaisuuden seurantaan, automatisoinnin kattavaan dokumentointiin sekä siihen, että automaattisten ratkaisujen lainmukaisuuden ja laadunvalvonta on järjestetty asianmukaisesti. Lisäksi selvityksessä todettiin, että vastuun kohdistumista automaattisten ratkaisujen osalta tulisi tarkentaa.

Iso-Britanniassa ei myöskään ole säädetty tarkemmista päätöksentekojärjestelmien vaatimuksista tai kontrolleista lain tasolla. Sen sijaanhallitus on 13.5.2021 antanut ohjeen automaattisen päätöksenteon eettisyyttä, läpinäkyvyyttä ja vastuullisuutta koskevista periaatteista (”Ethics, Transparency and Accountability Framework for Automated Decision-making”, saatavilla osoitteesta https://www.gov.uk/government/publications/ethics-transparency-and-accountability-framework-for-automated-decision-making/ethics-transparency-and-accountability-framework-for-automated-decision-making). Ohjeessa painotetaan erilaisia hyviä käytäntöjä, kun automaattista päätöksentekojärjestelmää kehitetään ja suunnitellaan. Ohjeessa korostetaan erilaisten systeemisten riskien kuten teknisten virheiden, tietoturvariskien ja tiedon laatuun liittyvien riskien tunnistamista ja hallintaa. Keskeisen lainsäädännön tuntevien asiantuntijoiden olisi osallistuttava järjestelmän suunnitteluun ja kehittämiseen alusta asti. Tekoälyjärjestelmien kouluttamisessa koulutetun datan tulisi olla riittävän laadukasta, ja laatu olisi varmistettava asianmukaisella testaamisella. Käyttöönottovaiheen testaamisen lisäksi myös jo käytössä olevaa järjestelmää olisi säännöllisesti testattava ja sen vaikutuksia arvioida. Testaajalla tulisikin olla tehtävän edellyttämä osaaminen ja asiantuntemus. Virkavastuun osalta kaikille automatisoiduille prosesseilla tulisi ohjeen mukaan nimetä ”omistaja”, joka on vastuussa kyseisen prosessin riskien hallinnasta, minkä lisäksi viranomaisen tulisi itse kyetä ymmärtämään käytössä olevan päätöksentekojärjestelmän keskeinen logiikka ja toimintaperiaatteet. Ohjeessa suositellaan myös hallinnon asiakkaiden informointia automaattisesta päätöksenteosta ja erityisen tiedottamisesta vastuussa olevan henkilön nimeämistä.

Kanadassa automaattista päätöksentekoa julkishallinnossa on edellä kuvatulla tavalla säännelty lakia alemmantasoisella automaattista päätöksentekoa koskevalla direktiivillä (Directive on Automated Decision-Making). Direktiivi perustuu riskiperusteiseen malliin, jossa erityisen algoritmien vaikutusten arviointimenettelyn avulla (Algorithmic Impact Assessment) määritellään päätöksentekojärjestelmälle neliportainen riskitaso. Direktiivin soveltamisen tueksi Kanadan hallitus on laatinut luonnoksen automaattisen päätöksentekojärjestelmän kehittämistä ja käyttöönottoa koskevasta ohjeesta (”How Should I Implement an Automated Decision System?” saatavilla verkko-osoitteesta https://canada-ca.github.io/digital-playbook-guide-numerique/views-vues/automated-decision-automatise/en/automated-decision.html). Kehittämisessä tehtävät toimenpiteet ja käytön kontrollit riippuvat siitä, kuinka korkea riskitaso järjestelmällä perusteella on.

Kehittämisvaiheessa järjestelmästä suositellaan tehtäväksi ennakkoarviointi, johon osallistuu esimerkiksi eri viranomaisten, järjestöjen tai korkeakoulujen asiantuntijoita. Kehittämisvaiheessa olisi myös varmistuttava siitä, että päätöksentekojärjestelmälle on käytössä riittävät varajärjestelmät tai että häiriötilanteita varten on laadittu riittävä varautumissuunnitelma. Ennen käyttöönottoa päätöksentekojärjestelmän kouluttamiseen käytettävä data tulisi myös testata asianmukaisesti. Lähtökohtana ohjeessa pidetään järjestelmän lähdekoodin julkaisemista siihen tarkoitetulla verkkosivustolla, ellei salassapitoa koskeva sääntely tätä estä tai ellei julkaisemisesta saada lupaa poiketa. Riskitasosta riippuen Kanadan julkishallinnon kokonaisarkkitehtuuria arvioivalta lautakunnalta on myös pyydettävä hyväksyntää päätöksentekojärjestelmän käyttöön ottamiseen.

Ohjeen mukaan päätöksentekojärjestelmää käyttävän organisaation tulisi huolehtia päätöksenteon kohteena olevien osapuolten riittävästä tiedottamisesta sekä automaattisesti tuotetun ratkaisun riittävästä perustelemisesta. Tiedottamisen ja perustelemisen tarkkuuden ja laajuuden taso on niin ikään kiinnitetty järjestelmästä tehtävään riskiarviointiin. Käyttöönoton jälkeen päätöksentekojärjestelmää operoivan viranomaisen olisi seurattava järjestelmän toimivuutta ja valvottava sen tuottamien ratkaisujen laatua ja lainmukaisuutta, sekä tuotettava yleisölle tietoa järjestelmän tehokkuudesta ja toimivuudesta.

6.1 Lausunnot ja kuulemisen palautteet valmistelun aikana

Oikeusministeriö on laatinut hallinnon automaattiseen päätöksentekoon liittyvistä sääntelytarpeista arviomuistion (Oikeusministeriön julkaisuja, Selvityksiä ja ohjeita 2020:14). Arviomuistiosta järjestettiin lausuntokierros 6.7.2020–4.9.2020, jolla annettiin 65 lausuntoa. Useat lausunnonantajat suhtautuivat myönteisesti arviomuistion ehdotukseen, jonka mukaan automaattisten hallintopäätösten tekeminen rajattaisiin tilanteisiin, joissa ratkaisu on johdettavissa koneellisesti lainsäädännöstä ja tiedossa olevista yksiselitteisistä faktoista tilanteissa, joihin ei liity harkintavaltaa. Useissa lausunnoissa kuitenkin pidettiin tärkeänä mahdollistaa automaattisen päätöksentekojärjestelmän käyttäminen valmistelevassa roolissa osana sellaisia päätösprosesseja, joihin liittyy harkinnanvallan käyttämistä. Useat lausunnonantajat pitivät tärkeänä säännellä automaation käyttämistä myös tosiasiallisessa hallintotoiminnassa. Useissa lausunnoissa suhtauduttiin myönteisesti tekoälysovellusten pois sulkemiseen ainakin sääntelyn ensimmäisessä vaiheessa. Osa lausunnonantajista piti tällaista sääntelytapaa liian rajaavana ja katsoi, että sääntelyn tulisi olla teknologianeutraalia. Myös muista arviomuistion ehdotuksista esitettiin runsaasti huomioita. Lausunnoista tehtiin oikeusministeriössä lausuntotiivistelmä (Oikeusministeriön julkaisuja, Mietintöjä ja lausuntoja 2020:21), joka julkaistiin 5.2.2020.

Oikeusministeriön asettama työryhmä on toimikautensa aikana järjestänyt automaattisen päätöksenteon käyttöalaa ja läpinäkyvyyttä koskevista säännösluonnoksista pienryhmäkuulemistilaisuuksia ja kirjallisen lausuntokierroksen. Pienryhmäkuulemiset järjestettiin 7.–10.6.2021, ja niihin kutsuttiin automaattisen päätöksenteon kannalta keskeisiä ministeriöitä, viranomaisia, kuntia ja julkista hallintotehtävää hoitavia yksityisiä, jotka eivät ole työryhmässä suoraan edustettuina. Lausuntokierroksen lausuntoaika oli 9.6.–20.8.2021, ja lausuntoja annettiin 70 kappaletta.

Pienryhmäkuulemisissa ja lausuntopalautteessa näkemykset jakaantuivat käyttöalasäännöksen osalta jonkin verran. Useat pitivät käyttöalasäännöstä riittävän selvänä ja tarkkarajaisena, mutta toisaalta osa katsoi, että säännöksen pitäisi rakentua toisenlaisille lähtökohdille. Osa piti käyttöalan rajausta liian kapeana ja osa taas katsoi, että esimerkiksi avustava automaatio pitäisi jättää käyttöalan ulkopuolelle. Epävarmuutta esiintyi kuitenkin myös merkittävillä automaation käyttäjillä siitä, sallisiko säännös jo nyt tehtäviä massaluonteisia automaattisia päätöksentekomenettelyjä. Säännösluonnosta pidettiin osittain epäselvänä ja käytettyjä käsitteitä liian tulkinnanvaraisina. Etenkin käyttöalasäännöksen hallintoasian valmistelua ja tosiasiallista hallintotoimintaa koskeva momentti nähtiin haasteellisena. Kritiikistä huolimatta lausuntopalautteen perusteella ehdotetun käyttöalasäännöksen nähtiin mahdollistavan pääosin tai ainakin osin nykyiset tai suunnitellut automaattiset päätökset. Läpinäkyvyyttä koskevat ehdotukset saivat laajaa kannatusta, mutta niihin esitettiin myös lisähuomioita.

Valtiovarainministeriön asettama työryhmä on laatinut julkisen hallinnon tietojärjestelmien sääntelyn nykytilasta ja kehittämistarpeista arviomuistion (Valtiovarainministeriön julkaisuja 2021:54), joka on julkaistu 12.7.2021. Arviomuistiosta on järjestetty lausuntokierros 12.7.–6.9.2021 ja julkinen kuulemistilaisuus 23.8.2021.

Lausunnonantajat pitivät valtiovarainministeriön työryhmän laatimaa arviomuistiota kattavana ja seikkaperäisenä katsauksena tietojärjestelmiä koskevan sääntelyn nykytilaan. Lainsäädännössä on jo nykyisin runsaasti sääntelyä, joka toisaalta koskee tietojärjestelmiä ja toisaalta yleisesti kaikkea hallintomenettelyä käsittelytavoista riippumatta. Tietojärjestelmiä koskeva lainsäädäntö on osin melko uutta, eikä sen soveltamisesta ole vielä paljon kokemusta. Useissa lausunnoissa korostettiin sitä, että tietojärjestelmiä koskevan sääntelyn olisi oltava teknologiariippumatonta ja että sääntelyn tulisi kohdistua itse järjestelmien sijaan toimintaprosesseihin, joita tietojärjestelmillä toteutetaan, sekä niiden kehittämiseen, käyttämiseen ja valvontaan. Sääntelyn tulisi olla suhteellisen ylätasoista, koska tietojärjestelmien kehittämiseen käytetään erilaisia menetelmiä ja niitä kehitetään hyvin erilaisiin tarkoituksiin. Joissakin lausunnoissa tuotiin esiin myös suomalaisen julkisen hallinnon asema eri tietojärjestelmätoimittajien asiakkaina, ja että tätä asemaa ei tulisi heikentää. Julkista hallintotehtävää hoitavat yksityiset tahot olivat erityisesti huolissaan mahdollisesta sääntelytaakasta sekä uuden sääntelyn vaikutuksista niiden kilpailuasemaan. Osa lausunnonantajista pitikin tarkempaa tietojärjestelmiin kohdistuvaa, nykyistä pidemmälle menevää sääntelyä tarpeettomana, ja katsoi että arviomuistiossa havaitut ongelmat olisi mahdollista ratkaista itsesääntelyllä, standardeilla ja muilla vastaavilla, lainsäädäntöä kevyemmillä keinoilla. Lisäsääntelyn tarvetta, soveltamisalaa, yhteensovittamista voimassa olevan lainsäädännön kanssa sekä kustannusvaikutuksia olisi arvioitava huolellisesti. Lausunnoista laadittiin lausuntotiivistelmä 24.9.2021, joka on saatavilla valtiovarainministeriön verkkosivuilta osoitteesta https://vm.fi/hankkeet tunnuksella VM059:00/2021.

6.2 Lausunnot hallituksen esitysluonnoksesta

Hallituksen esityksen luonnoksesta sisältäen valtiovarainministeriön työryhmän ehdotukset on järjestetty lausuntokierros 23.5.–6.5.2022. Ruotsinkielisen esitysluonnoksen lausuntoaikaa jatkettiin 2.8.2022 asti. Lausuntokierroksen aikana saapui 100 lausuntoa. Varsinainen lausuntotiivistelmä ja lausunnot löytyvät oikeusministeriön hankesivulta (tunnus OM021:00/2020).

Suurin osa lausunnonantajista suhtautui myönteisesti automaattisen päätöksenteon yleissääntelyn luomiseen. Eräät lausunnonantajat totesivat kuitenkin tiedonhallintalain sääntelyn joiltain osin liian yksityiskohtaiseksi, mutta eräät toisaalta katsoivat sääntelyn tarpeelliseksi kokonaisuuden, kuten vastuukysymysten tai hallinnon lainalaisuusperiaatteen kannalta. Kuntaliitto katsoi tiedonhallintalain sääntelyn ylimitoitettuna erityisesti virkavastuun kohdistumisen osalta, ja että valtiosääntöoikeudelliset vaatimukset olisivat täytettävissä kevyemmällä lähestymistavalla. Osa lausunnonantajista on nähnyt kannatettavana, ettei sääntely sallisi tekoälyn käyttöä, kun taas osa lausunnonantajista katsoi, että tekoälyä ei tulisi suoraan rajata pois käyttöalasta tai sen käyttöä tulisi arvioida. Lausunnoissa on myös yleisesti korostettu aikaa kestävän sääntelykehyksen luomista.

Finanssiala sekä eläke- ja vakuutusalan toimijat katsoivat, ettei tiedonhallintalain sääntelyä tulisi ulottaa niihin. Tämän osalta muutoksia ei ole kuitenkaan tehty, koska hallinnon yleislakeja sovelletaan niiden sisältämien soveltamisalaa, viranomaisten määritelmää tai yksityisen kielellistä palveluvelvollisuutta koskevien säännösten nojalla myös yksityisiin niiden hoitaessa julkisia hallintotehtäviä (ks. esim. PeVL 73/2018 vp, PeVL 42/2005 vp).

Ahvenanmaan maakunnan hallitus tulkitsi, että tiedonhallintalain ehdotettu soveltamisala olisi ristiriidassa Ahvenanmaan itsehallintolain (1144/1991) kanssa. Tiedonhallintalain soveltamisalasäännöstä on täsmennetty siten, että siinä mainitaan nimenomaisesti Ahvenanmaalla toimivat valtion viranomaiset.

Monet lausunnonantajat tunnistivat automaattisen päätöksenteon positiiviset mahdollisuudet, mutta moni toi esiin, että ehdotettu sääntely vaatii lisätyötä ja kustannuksia. Monet lausunnonantajat toivoivatkin, että taloudellisia vaikutuksia täydennetään. Lisäksi virkavastuusääntelyn osalta toivottiin tarkempaa arvioimista. Osa lausunnonantajista on myös ollut epävarma siitä, mitkä niiden prosesseista olisivat uuden sääntelyn myötä automatisoitavissa.

Monet lausunnonantajat toivoivat lisäksi selkeytystä ja täsmennyksiä hallituksen esitykseen muun muassa soveltamisen tueksi. Epäselvyyttä on koettu olevan esimerkiksi ehdotetun lainsäädännön suhteesta erityislainsäädäntöön, lainsäädännön käyttöalaan tai virkavastuusääntelyyn liittyen. Lisäksi esimerkiksi käsittelysääntöjen määritelmään on toivottu selkeyttä. Tiedonhallintalakiin ehdotetun uuden 6 a luvun säännöksiä ja niiden perusteluja on pidetty vaikeaselkoisina ja monimutkaisina, vaikka ne sinänsä selkeyttäisivätkin nykyistä tilannetta. Tiedonhallintalakiin ehdotettua sääntelyä on myös pidetty päällekkäisenä esimerkiksi finanssialan toimialakohtaisen sääntelyn kanssa.

Joissakin lausunnoissa on nostettu esiin huoli, että ehdotettu sääntely asettaisi suomalaiset toimijat muiden maiden toimijoita heikompaan asemaan tietojärjestelmätoimittajien asiakkaina. Ehdotetun sääntelyn on katsottu sopivan huonosti yhteen sen kanssa, että julkista hallintotehtävää hoitavat yksityiset voivat toimia EU:n sisämarkkinoilla useassa eri maassa. Erityisesti Kansaneläkelaitos on pitänyt ongelmallisena sitä, että sääntelyä sovellettaisiin jo käytössä olevaan automaattiseen päätöksentekoon.

Tiedonhallintalakiin ehdotettua 13 a §:ää on pidetty pääosin kannatettavana ja useissa lausunnoissa on todettu, ettei se käytännössä tuo muutoksia nykyisiin toimintatapoihin ja järjestelyihin. Ehdotusta on tosin pidetty päällekkäisenä joidenkin toimialakohtaisten määräysten ja säännösten kanssa.

Osa lausunnonantajista on pitänyt ehdotettua digipalvelulain 6 a §:ää kannatettavana lisäyksenä, osa lausunnonantajista taas on kyseenalaistanut sen tarpeellisuuden sekä sen kytköksen automaattiseen päätöksentekoon ylipäätään. Ehdotettua velvollisuutta tallentaa käyty viestien vaihto niin, että se on yksilöitävissä, on pidetty ongelmallisena toteuttaa ilman, että hallinnon asiakkaan olisi tunnistauduttava sähköisesti, mikä rajaisi palveluautomaation käyttämistä tarpeettomasti.

Oikeusministeriö ja valtiovarainministeriö ovat pyrkineet ottamaan jatkovalmistelussa huomioon lausunnonantajien esiin nostamat ehdotukset ja kommentit. Hallituksen esitystä on monelta osin selkeytetty sekä joitain tulkinnanvaraisuuksia ja puutteita on pyritty täydentämään säännöstasolla, yksityiskohtaisissa perusteluissa ja vaikutusarvioinnissa.

Lausuntopalautteen perusteella esitystä on muutettu myös siten, että kielto rangaistusluonteisten hallinnollisten seuraamusten sekä hallintokantelun automaattisesta ratkaisemisesta on poistettu hallintolain 53 e §:stä, koska käyttöalasäännösten voidaan katsoa rajaavan jo tarpeeksi mahdollisuuksia hyödyntää automaattista päätöksentekoa näiden asioiden osalta. Perustuslakivaliokunta on lausunnossaan korostanut hallinnollisten seuraamusten yhteydessä oikeusturvasta huolehtimista (esim. PeVL 49/2017 vp). Monien oikeusturvaan liittyvien näkökulmien voidaan kuitenkin katsoa tulevan huomioiduksi jo silloin kun rangaistusluonteisten hallinnollisten seuraamusten perusteista säädetään, mikäli samalla huomioidaan asianmukaisesti hallinnollisten seuraamusten sääntelyperiaatteet. Hallinnollisiin seuraamuksiin voi myös liittyä erityistä oikeasuhteisuuden arvioimisen tarvetta, joka voidaan kuitenkin katsoa silloin sisältävän tapauskohtaista harkintaa ja täten esimerkiksi muut kuin kaavamaiset sanktiot jäisivät suoraan automaattisen ratkaisemisen käyttöalan ulkopuolelle jo ilman erillistä kieltoa. Hallintokanteluasioiden osalta katsotaan kiellon poiston olevan perusteltu jo sen takia, ettei hallintolain 53 d §:n mukaisesti hallintokanteluasiassa annettuun ratkaisuun saa hakea muutosta valittamalla, jolloin se ei täytä automaattisen ratkaisemisen oikeussuojaedellytyksiä.

Tiedonhallintalakiin ehdotettavista muutoksista 26 §:ään ehdotettu lisäys asiakirjojen lähettämistarkoituksen tallentamisesta on lausuntokierroksen jälkeen poistettu, koska sitä ei ole katsottu välttämättömäksi. Sen lisäksi 28 c §:n vaatimus automaattiseen ratkaisemiseen käytettyjen tietojen tallentamisesta on poistettu, koska hallintolain 53 g §:n 2 momentissa säädettäväksi ehdotettu vaatimus ratkaisun perusteena olevien tietojen antamisesta yhdistettynä hallintolain 45 §:ssä jo säädettyyn päätöksen perustelusta on katsottu riittäväksi oikeusturvan kannalta. Tietojen käyttöä ja tiedottamista koskevaa sääntelyä ja sen perusteluja on tarkennettu suhteessa yleiseen tietosuoja-asetukseen. Lisäksi digipalvelulain 6 a §:ssä ehdotettu vaatimus, että viranomaisen on tallennettava palveluautomaatiossa käyty viestienvaihto niin, että tietty keskustelu voidaan yksilöidä, on poistettu, koska lausuntopalautteen perusteella vaatimus rajoittaisi palveluautomaation käyttömahdollisuuksia tarpeettomasti.

Myös siirtymäsäännösten pituutta on arvioitu uudestaan lausuntopalautteen johdosta. Esitystä on muutettu siten, että hallintolain 53 f §:n siirtymäaikaa on pidennetty 18 kuukauteen 12 kuukauden sijasta. Tiedonhallintalain muutosten osalta siirtymäsääntelyä on tarkennettu merkittävästi.

Vaikutusten arviointia on täydennetty ja selkeytetty muun muassa lisäämällä erillinen arvio ehdotuksen vaikutuksista viranomaisten ja julkista hallintotehtävää hoitavien tietojärjestelmiin sekä laatimalla yhteenvetoja eri toimijoihin kohdistuvista kustannuksista. Lisäksi vaikutustenarviota on täydennetty muun muassa yhdenvertaisuuden, tasa-arvon, vammaisten henkilöiden ja lapsen aseman osalta.

Hallituksen esityksen toimeenpano- ja seurantaosiota on lisäksi täydennetty lausunnonantajien toiveesta. Tarkoituksena on seurata esityksen tavoitteiden toteutumista kun soveltamiskokemusta on kertynyt.

7.1 Hallintolaki

8 b luku Asian ratkaiseminen automaattisesti

Voimassa oleva hallintolaki on laadittu aikana, jolloin lähtökohtana oli, että virkamies valmistelee, käsittelee ja ratkaisee asian. Hallintolakia koskevan hallituksen esityksen perusteluista ilmenee, että lain on tarkoitettu soveltuvan myös niin sanottuun massahallintoon (HE 72/2002 vp, s. 40). Hallintolain menettelyä koskeva sääntely on pääosin luonteeltaan välineneutraalia, eikä se sisällä säännöksiä esimerkiksi asian vireillesaattamisesta tai asiakirjojen toimittamisesta tietyssä muodossa tai asian käsittelystä tietyssä muodossa. Tiedoksiantoa koskevissa säännöksissä säädetään esimerkiksi postitiedoksiannosta, kun taas sähköisestä tiedoksiannosta säädetään sähköisestä asioinnista viranomaistoiminnassa annetussa laissa (13/2003). Edellä mainittu laki rinnastaa sähköisen ja kirjallisen muodon. Uusi 8 b luku yhdessä tiedonhallintalakiin ehdotettujen säännösten kanssa muodostaisi nimenomaisen säännösperustan hallintoasioiden ratkaisemiselle automaattisesti. Kyseessä olisi mahdollistava lainsäädäntö. Viranomaisen harkintaan jäisi, ottaako se käyttöön automatisoidun toimintaprosessin asioissa, joissa se olisi mahdollista.

Ehdotettavalla sääntelyllä ei pääosin ole tarkoitettu poikettavan hallintomenettelyä koskevasta sääntelystä. Esimerkiksi asian selvittämistä, asianosaisen kuulemista sekä hallintopäätöksen sisältöä, hallintopäätöksen perustelemista, virheen korjaamista, valitusosoitusta, tiedoksiantoa ja oikaisuvaatimusta koskevat säännökset tulevat siten sovellettaviksi myös automaattisessa päätöksenteossa, ellei erityislaissa ole toisin säädetty. Myös hallintolain 2 luvussa säädettyjä hyvän hallinnon perusteita on noudatettava viranomaisen toiminnassa. Viranomaisen on siten otettava nämä velvoitteet ja erityislainsäädännön vastaavat velvoitteet huomioon automatisoitujen toimintaprosessien suunnittelussa. Ehdotetun 8 b luvun vaatimukset muodostaisivat asioiden käsittelyä koskevat menettelylliset lisäedellytykset, kun asia ratkaistaan automatisoidussa toimintaprosessissa.

Hallintolakiin ja tiedonhallintalakiin ehdotettavien säännösten on tarkoitus toimia yleissääntelynä, jonka perusteella viranomaiset voivat yleensä tehdä automaattisia ratkaisuja lain edellytysten täyttyessä ilman tarvetta säätää automaatiosta erikseen sektorilainsäädännössä. Automaatiota koskevan yleislainsäädännön lisäksi viranomaisen on otettava huomioon muu asiaa koskeva sääntely. Tällaista on muun muassa viranomaiselle toimivallan luova aineellinen lainsäädäntö (esimerkiksi etuuslait), hallintomenettelyä koskeva sääntely (esimerkiksi hallintolaki ja kielilaki), sektorikohtainen erityinen menettelylainsäädäntö, tietosuojalainsäädäntö ja muu perusoikeuksia turvaava sääntely (esimerkiksi yhdenvertaisuuslaki ja tasa-arvolaki).

Automaattinen ratkaiseminen tulisi lähtökohtaisesti perustaa yleislakiin. Välttämättömistä syistä erityislainsäädännössä voi kuitenkin olla perusteltua poiketa yleislaissa säädetyistä edellytyksistä. Tällainen poikkeus on aina rajattava välttämättömään ja arvioitava oikeusturvan ja henkilötietosuojan suojan kannalta.

Ehdotettu sääntely on rajattu koskemaan asioiden automaattista ratkaisemista. Asioiden muihin käsittelyvaiheisiin, esimerkiksi asian selvittämiseen tai asianosaisen kuulemiseen, sääntely ei kohdistuisi, vaan viranomainen voisi edelleen järjestää nämä toimet käyttäen soveltuvaksi harkitsemiaan toimintatapoja. Ehdotettu sääntely ei siten ole este esimerkiksi asian käsittelijää avustavan automaation käyttämiselle hallintoasian muiden käsittelyvaiheiden suorittamiseksi tai päätösluonnoksen laatimiseksi. Tällaisessakin automaatiossa viranomaisen on otettava huomioon muu hallintolakiin, erityislainsäädäntöön ja mahdollisesti tietosuojasääntelyyn sisältyvä sääntely.

Hallintolain 2 §:n 2 momentin mukaan lakia sovelletaan valtion viranomaisissa, hyvinvointialueiden ja hyvinvointiyhtymien viranomaisissa, kunnallisissa viranomaisissa, itsenäisissä julkisoikeudellisissa laitoksissa sekä eduskunnan virastoissa ja tasavallan presidentin kansliassa. Lain 2 §:n 3 momentin mukaan sitä sovelletaan myös valtion liikelaitoksissa, julkisoikeudellisissa yhdistyksissä sekä yksityisissä niiden hoitaessa julkisia hallintotehtäviä. Ehdotetussa 8 b luvussa viranomaisella tarkoitettaisiin hallintolaissa käytetyn käsitteistön mukaisesti sekä 2 momentissa tarkoitettuja viranomaisia että 3 momentissa tarkoitettuja tahoja.

53 e § . Asian automaattisen ratkaisemisen edellytykset. Pykälän tarkoituksena on luoda toimivaltaperuste hallintoasian ratkaisemiselle automaattisesti ja rajata automaattinen päätöksenteko sellaisiin asioihin, joihin se hallinnon lainalaisuusperiaate ja oikeusturva huomioon ottaen soveltuu. Tarkoituksena on säätää hallinnon automaattiselle päätöksenteolle selkeä oikeudellinen perusta yleislainsäädännössä.

Pykälässä säädettäisiin, milloin viranomainen voi ratkaista asioita automaattisesti. Asian ratkaisemisella viitataan hallintolain 7 lukuun (”Asian ratkaiseminen”) ja siinä tarkoitettuun hallintoasian käsittelyn päättävään ratkaisuun, jolla päätetään jonkun edusta, oikeudesta tai velvollisuudesta. Tällaisia ratkaisuja tehdään esimerkiksi asioissa, jotka koskevat etuuden hakemista (esimerkiksi sosiaaliturvaetuudet), velvoitetta (esimerkiksi verotus) tai lupaa (esimerkiksi ajokortti). Kuten hallintolain yleinen soveltamisala, ehdotettu sääntely koskisi lähtökohtaisesti niin luonnollisia henkilöitä kuin oikeushenkilöitäkin koskevia päätöksiä. Koska säännöksessä asian ratkaisemisella tarkoitetaan hallintoasian käsittelyn päättävää toimea, sääntely ei lähtökohtaisesti soveltuisi esimerkiksi tosiasialliseen hallintotoimintaan kuten julkisten palvelujen toteuttamiseen. Henkilötietojen suojaan liittyvistä syistä 53 f §:ssä säädettäisiin päätöksen kohteena olevaa luonnollista henkilöä koskevasta oikeussuojaedellytyksestä.

Ehdotettu sääntely soveltuisi myös virheen korjaamiseen, jos automaattiselle ratkaisemiselle asetetut edellytykset täyttyvät. Oikaisuvaatimusta tai siihen rinnastuvaa vaatimusta ei kuitenkaan voisi ehdotetun sääntelyn nojalla ratkaista automaattisesti.

Hallintoasian yhteydessä tapahtuvaan henkilötietojen käsittelyyn sovelletaan yleensä tietosuoja-asetusta. Tietosuoja-asetusta sovelletaan esimerkiksi opintotukilain (65/1994) 23 §:n mukaiseen opintotuen myöntämiseen, verotusmenettelystä annetun lain (1558/1995) 7, 10 ja 26 §:n mukaiseen henkilöasiakkaan säännönmukaiseen tuloverotukseen ja kotikuntalain (201/1994) 9 a §:n 3 momentin mukaiseen henkilön kunnan sisäisen muuton kirjaamiseen väestötietojärjestelmään. Käsittelyyn sovelletaan kuitenkin rikosasioiden tietosuojalakia, jos käsittelyssä on kyse lain 1 §:ssä tarkoitetusta toiminnasta. Rikosasioiden tietosuojalain alaan kuuluvia hallintoasioita ovat muun muassa eräät rikosoikeudellisen seuraamuksen täytäntöönpanoon liittyvät asiat, esimerkiksi sakon täytäntöönpanosta annetun lain (672/2002) 14 §:ssä tarkoitettu sakon maksuajan myöntäminen ja vankeuslain (767/2005) 9 luvun 6 §:ssä tarkoitetun käyttörahan, toimintarahan tai palkan maksaminen. Rikosasioiden tietosuojalain 13 §:n 2 momenttiin ehdotetaan säännöstä, joka mahdollistaa rikosasioiden tietosuojalain soveltamisalalla hallintoasian automaattisen ratkaisemisen.

Siltä osin kuin asioiden automaattinen ratkaiseminen kohdistuu luonnollisiin henkilöihin, tietosuojasääntelyyn sisältyvät automatisoituja yksittäispäätöksiä koskevat kiellot tulevat sovellettavaksi. Yleisen tietosuoja-asetuksen 22 artiklassa kielletään automatisoidut yksittäispäätökset ja niihin liittyvä profilointi. Artiklan 1 kohdan mukaan rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. Artiklan 2 kohdan b alakohdan mukaan 1 kohtaa ei sovelleta, jos päätös on hyväksytty rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi.

EU:n tietosuojatyöryhmä on suuntaviivoissaan (WP 29 Suuntaviivat automatisoiduista yksittäispäätöksistä, WP251rev.01s. 22) todennut pelkästään automaattiseen käsittelyyn perustuvan päätöksen käsitteestä seuraavaa: ”Jos ihminen tarkastelee ja ottaa huomioon muita tekijöitä lopullista päätöstä tehtäessä, tämä päätös ei ”perustu pelkästään” automaattiseen käsittelyyn.” Työryhmä on edelleen todennut, että ”Rekisterinpitäjä ei voi kiertää 22 artiklan säännöksiä tekaistulla ihmisen osallistumisella. Jos esimerkiksi joku soveltaa rutiininomaisesti automaattisesti tuotettuja profiileita henkilöihin vaikuttamatta tosiasiallisesti mitenkään lopputulokseen, kyse on yhä pelkästään automaattiseen käsittelyyn perustuvasta päätöksestä.”

Rikosasioiden tietosuojalain 13 §:n mukaan, jollei laissa toisin säädetä, päätöstä ei saa tehdä pelkästään automatisoidun henkilötietojen käsittelyn perusteella, jos päätöksellä on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai se on muutoin hänen kannaltaan merkittävä. Hallintolain ja rikosasioiden tietosuojalain 13 §:n toissijaisuutta osoittavien säännösten vuoksi rikosasioiden tietosuojalain 13 §:n 2 momenttiin lisättäisiin selkiyttävä säännös.

Hallintolain 53 e §:n tarkoituksena olisi käyttää tietosuoja-asetuksen mahdollistamaa liikkumavaraa ja mahdollistaa kansallisella lainsäädännöllä automatisoidut yksittäispäätökset. Yleinen tietosuoja-asetus jättää lainsäätäjälle kansallista liikkumavaraa, jonka puitteissa tällainen poikkeus on mahdollinen. Tällöin tulee kuitenkin huolehtia siitä, että sääntely on kokonaisuudessaan yhteensopivaa yleisen tietosuoja-asetuksen kanssa ja että siinä vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Asetuksen johdanto-osan 71 perustelukappaleen mukaan tällaiseen käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia suojatoimia, joihin olisi ainakin kuuluttava käsittelystä ilmoittaminen rekisteröidylle ja tämän oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen, oikeus esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös.

Pykälän 1 momentissa säädettäisiin uuden 8 b § luvun tarkoituksesta ja asian automaattisen ratkaisemisen määritelmästä.

Momentissa määriteltäisiin, mitä asian automaattisella ratkaisemisella tarkoitetaan. Samalla määritelmä rajaisi, millaisiin ratkaisuihin 8 b lukua sovelletaan. Lukua sovellettaisiin asioihin, joissa viranomainen tekee asiankäsittelyn päättävän ratkaisun automaattisella tietojenkäsittelyllä ilman, että ratkaisun tarkastaa ja hyväksyy luonnollinen henkilö. Ehdotettavaa 8 b lukua ei siten sovellettaisi mihin tahansa asiankäsittelyyn, jossa käytetään automaattista tietojenkäsittelyä. Luku tulisi sovellettavaksi, kun asiankäsittelyn päättävä ratkaisu tehdään yksinomaan automaattisen tietojenkäsittelyn avulla ilman luonnollisen henkilön myötävaikutusta. Tällaisessakin asiankäsittelyssä voisi olla vaiheita, joissa luonnollinen henkilö osallistuu asian valmisteluun tekemällä välitoimia, kuten tapauskohtaista harkintaa edellyttäviä vaiheita. Käytännössä ratkaisun tarkastaminen ja hyväksyminen tarkoittavat, että päätöksen hyväksyvä luonnollinen henkilö käy läpi ratkaisun asiasisällön ja oikeellisuuden sillä huolellisuudella ja tarkkuudella kuin perustuslain 21 § sekä hallintolain 6 § ja 31 §:n 1 momentti edellyttävät. Pelkästään muodollinen hyväksyntätoimi ilman ratkaisun sisällöllistä arviointia ei siten riittäisi asian rajautumiseen 8 b luvun ulkopuolelle.

Pykälän 2 momentissa säädettäisiin, että viranomainen voi ratkaista automaattisesti asian, johon ei sisälly seikkoja, jotka viranomaisen etukäteisen harkinnan mukaan edellyttäisivät tapauskohtaista harkintaa, tai johon sisältyvät tapauskohtaista harkintaa edellyttävät seikat virkamies tai muu asian käsittelijä on arvioinut. Ratkaisemisen on perustuttava sovellettavan lain perusteella laadittuihin tiedonhallintalain 2 §:n 16 kohdassa tarkoitettuihin käsittelysääntöihin.

Momentissa kuvataan edellytys, jonka mukaan viranomaisen on tehtävä etukäteinen harkinta siitä, mitkä asiat ovat luonteeltaan sellaisia, että ne voidaan ratkaista automaattisesti, ja laadittava käsittelysäännöt, joiden perusteella asiat valitaan ja ratkaistaan. Käytännössä viranomaisen on tunnistettava käsittelemiensä asioiden joukosta olennaisilta piirteiltään samanlaisina toistuvat asiat (tyyppitapaukset), jotka viranomaisen arvion mukaan tulee ratkaista aina saman säännön mukaisesti.

Yksinkertaisimmillaan tyyppitapaus voidaan tunnistaa suoraan sovellettavan aineellisen lainsäädännön perusteella, kun lainsäädäntö on riittävän yksiselitteistä. Tilanteissa, joissa aineellinen lainsäädäntö soveltuu siinä käytettyjen käsitteiden perusteella laajasti erilaisiin tapauksiin, viranomaisen on tyyppitapauksia tunnistaessaan otettava ennakolta kantaa myös sovellettavien säännösten tulkintaan. Myös asioissa, joissa päätösten perustana oleva lainsäädäntö sisältää runsaasti tulkinnanvaraisuutta (esimerkiksi liikennevakuutuslaki ja sen taustalla oleva vahingonkorvauslaki), voi olla mahdollista tunnistaa tyyppitapauksia, joissa viranomaisella (tai lakisääteisten vakuutusten osalta julkista hallintotehtävää hoitavalla yksityisellä) on jossakin asiaryhmässä vakiintunut ratkaisukäytäntö, jonka mukaan tiettyjen piirteiden mukaiset asiat ratkaistaan aina samalla tavalla. Tyyppitapaus voi myös perustua raja-arvojen tarkasteluun esimerkiksi siten, että tietyn euromääräisen rajan ylittävien tulojen katsotaan tietynlaisissa tilanteissa aina täyttävän laissa vaaditun edellytyksen.

Automaattinen ratkaiseminen olisi rajattua siten, että tapauskohtausta harkintaa edellyttävät asiat olisi suljettava automaation ulkopuolelle tai päätöksenteko olisi järjestettävä siten, että ratkaisun tekemiseen osallistuu virkamies tai muu asian käsittelijä siltä osin kuin asiaan liittyy tapauskohtaista harkintaa edellyttäviä seikkoja. Automaattinen ratkaiseminen koskisi yhtäältä asioita, joihin ei viranomaisen etukäteisen harkinnan mukaan sisälly yksittäistä asiaa koskevan harkinnan tarvetta. Tällaisia ovat erityisesti luonteeltaan yksinkertaiset asiat, joita koskeva lainsäädäntö on yksiselitteinen (esimerkiksi lupahakemus, joka ratkaistaan yksiselitteisten edellytysten perusteella ja johon ei sisälly kokonaisharkintaa). Yleensä tapauskohtaisen harkinnan tarvetta arvioidaan aineellisen lainsäädännön perusteella, mutta myös erityislakien menettelysäännökset voivat vaikuttaa harkintaan. Esimerkiksi verotusmenettelystä annetun lain 26 §:n 6 momenttiin sisältyvä niin sanottu valikointisäännös voi vaikuttaa kaventavasti veroviranomaisen tutkimisvelvollisuuteen ja sitä kautta vähentää tapauskohtaista harkintaa.

Toisaalta automaattisesti voitaisiin ratkaista myös asioita, joihin tapauskohtaista harkintaa liittyy, mutta joissa virkamies tai muu asian käsittelijä on arvioinut harkintaa edellyttävät seikat. Tällainen arvio voi kohdistua esimerkiksi veroilmoituksessa vaaditun vähennyksen edellytyksiin, jotka verovirkailija arvioi verovelvollisen esittämien perusteluiden perusteella. Tällöin asian lopullinen ratkaisu tehdään automaattisesti virkailijan tietojärjestelmään syöttämän arvion ja muiden asiaa koskevien tietojen perusteella. Jos asian käsittelijä tekee tässä yhteydessä kokonaisuudessaan lopullisen oikeudellisen päättelyn, jonka mukaisesti asia ratkaistaan, 1 momentin määritelmän mukaan kyseessä ei kuitenkaan olisi automaattinen ratkaisu.

Säännöksessä virkamiehellä tarkoitetaan hallintolain mukaisesti myös kunnan ja hyvinvointialueen viranhaltijaa. Asian muulla käsittelijällä tarkoitetaan sellaista virkailijaa, etuuskäsittelijää tai vastaavaa luonnollista henkilöä, jonka tehtäväksi asian ratkaiseminen viranomaisen tai julkista hallintotehtävää hoitavan yksityisen sisäisen työnjaon mukaisesti kuuluu.

Säännöksessä ei ole rajattu automaattisen ratkaisemisen alaa asioiden tai ratkaisun luonteen mukaan esimerkiksi etuus- tai verotuspäätöksiin, vaan viranomainen voisi ratkaista muunkin tyyppisen asian, esimerkiksi korjata päätöksessä olevan virheen hallintolain 8 luvun mukaisesti tai tehdä ratkaisun asian raukeamisesta, jos säädetyt edellytykset täyttyvät.

Sääntely soveltuisi myös hallintomenettelyssä määrättäviin rangaistusluonteisiin seuraamuksien määräämiseen automaattisesti silloin, kun ne eivät sisällä tapauskohtaista harkintaa tai jos virkamies tai muu asian käsittelijä on arvioinut harkintaa edellyttävät seikat. Rangaistusluonteisten seuraamusten määrääminen automaattisesti olisi siten mahdollista vain rajatuissa tapauksissa. Automaattisesti voitaisiin määrätä esimerkiksi sellainen kaavamainen seuraamus, jonka määräämisperusteet ja suuruus on täsmällisesti säädetty laissa ja jossa laiminlyönti tai laissa säädettyjen velvoitteiden rikkominen on yksinkertaisesti toteennäytettävissä.

Momentin toisen virkkeen perusteella ratkaisemisen olisi perustuttava sovellettavan lain perusteella laadittuihin käsittelysääntöihin. Ehdotetun tiedonhallintalain 2 §:n 1 momentin 16 kohdan mukaan käsittelysäännöllä tarkoitetaan luonnollisen henkilön ennalta laatimia automaattisen tietojenkäsittelyn ohjaamiseen tarkoitettuja sääntöjä. Käsittelysääntöjen perusteella ratkaistaisiin esimerkiksi, täyttääkö tehty etuushakemus ne edellytykset, jotka viranomaisen tulkinnan mukaan vaaditaan etuuden myöntämiseen, tai tulisiko etuusvalvonnassa tarkasteltava etuus lakkauttaa, koska etuuden saaja ei enää täytä edellytyksiä. Koska asian ratkaiseminen tulisi kuvata nimenomaan käsittelysääntönä, säännös sulkisi pois sellaiset tekniset toteutustavat, jotka perustuvat sääntöjen sijasta esimerkiksi todennäköisyysajatteluun (ns. oppivat tekoälytekniikat). Käsittelysäännöt ja niitä koskeva etukäteinen harkinta tulisi kuvata ehdotetun tiedonhallintalain 28 a §:n mukaan automatisoidun toimintaprosessin dokumentaatiossa.

Säännöksen mukaan käsittelysäännöt tulisi laatia sovellettavan lain perusteella. Tällä korostetaan viranomaisen velvoitetta toteuttaa perustuslain 2 §:n 3 momentissa säädettyä hallinnon lainalaisuusperiaatetta, jonka mukaan kaikessa julkisessa toiminnassa on noudatettava tarkoin lakia. Sovellettavalla lailla tarkoitetaan laajasti kaikkea asiassa sovellettavaa oikeutta mukaan lukien muun muassa eduskuntalaki, Euroopan unionin säädökset, lakia alemman tasoinen sääntely, viranomaismääräykset sekä oikeuskäytäntö. Sovellettava laki voi koskea asiassa sovellettavia aineellisia säännöksiä (esimerkiksi etuuksia koskeva sääntely) tai menettelysäännöksiä (esimerkiksi hallintolain ja erityislakien menettelysääntely).

Vaatimus käsittelysääntöjen perustumisesta sovellettavaan lakiin tarkoittaa myös, että viranomainen voisi käyttää asioiden automaatioon valikoimiseen ja käsittelyyn vain sellaisia sääntöjä, joille voidaan esittää hyväksyttävä oikeudellinen peruste. Viranomainen ei siten voisi käyttää esimerkiksi käsittelysääntöjä, jotka johtaisivat hallintolain 6 §:ssä turvattujen hallinnon oikeusperiaatteiden tai yhdenvertaisuuslain 8 §:ssä säädetyn syrjinnän kiellon vastaisiin hallintotoimiin, eikä esimerkiksi kuulemisesta olisi mahdollista poiketa ilman tämän mahdollistamaa lainsäädäntöä. Käsittelysääntöjen syrjimättömyyttä koskevan arvion dokumentointivelvoitteesta säädettäisiin tiedonhallintalain 28 a §:ssä.

Koska käsittelysääntöjen tulisi perustua sovellettavaan lakiin, viranomaisen on tehtävä sääntöjä laatiessaan huolellinen arviointi siitä, mitkä asiat voidaan ratkaista automaattisesti siten, että lopputuloksena on lain mukainen ratkaisu. Tämä tarkoittaa käytännössä sellaisten tyyppitapausten tunnistamista, joiden osalta viranomainen pitää selvänä, että käsittelysäännön mukainen lopputulos on lain mukainen. Toisaalta koska ehdotetulla sääntelyllä ei ole tarkoitettu poikettavan viranomaisen hallintomenettelyä koskevista velvoitteista, viranomaisen on suunniteltava automatisoidut toimintaprosessinsa siten, että muun muassa asian selvittämistä, kuulemista sekä päätöksen sisältöä ja perustelemista koskevat velvoitteet toteutuvat asianmukaisesti. Näitä seikkoja koskevan arvion dokumentointivelvoitteesta säädettäisiin tiedonhallintalain 28 a §:ssä.

Automaattinen ratkaiseminen ei ole mahdollista asioissa, jotka on ratkaistava esittelystä, koska esittelymenettely edellyttää virkavastuulla toimivaa esittelijää ja päätöksentekijää. Ehdotettu sääntely ei kuitenkaan rajoita esittelijää avustavan automaation käyttämistä.

Ennen automaattisen ratkaisemisen käyttöönottoa viranomaisen on tehtävä ehdotetun tiedonhallintalain 28 d §:ssä tarkoitettu käyttöönottopäätös.

Pykälän 3 momenttiin sisältyisi informatiivinen viittaus, jonka mukaan automaattisen ratkaisemisen käyttöönoton edellytyksistä ja käyttöönotossa noudatettavasta menettelystä säädetään tiedonhallintalaissa. Viittaussäännös on tarpeellinen, koska tiedonhallintalain 6 a lukuun ehdotettavat säännökset muodostavat lisäedellytyksiä sille, missä tilanteissa asioita voidaan ratkaista viranomaisessa automaattisesti. Tiedonhallintalaissa säädettyjen vaatimusten on täytyttävä, jotta hallintolain 8 b luvussa tarkoitettuja asioita voidaan ratkaista automaattisesti.

Pykälän 4 momentissa säädettäisiin kielto ratkaista automaattisesti oikaisuvaatimus tai siihen rinnastettava vaatimus.

Oikaisuvaatimuksesta säädetään hallintolain 7 a luvussa. Oikaisuvaatimukseen rinnastettavalla vaatimuksella tarkoitetaan sellaisia erityislainsäädännössä säädettyjä hallinnon sisäisiä muutoksenhakukeinoja, jotka tarkoituksensa puolesta rinnastuvat hallintolain 7 a luvussa tarkoitettuun oikaisuvaatimukseen. Tällaisia oikeussuojakeinoja ovat muun muassa kuntalain (410/2015) 137 §:ssä säädetty oikaisuvaatimus, verotuslainsäädäntöön sisältyvä oikaisuvaatimus (esimerkiksi verotusmenettelystä annetun lain 63 §) ja sosiaaliturvalainsäädännössä käytetty itseoikaisu (esimerkiksi sairausvakuutuslain (1224/2004) 17 luvun 3 §). Hallintolain 8 luvun mukaista virheen korjaamista ei ole pidettävä oikaisuvaatimukseen rinnastuvana oikeussuojakeinona.

Perustuslakivaliokunta on todennut, että oikaisuvaatimusmenettelyn tarkoituksena on ”osaltaan toteuttaa perustuslain 21 §:n 2 momentissa tarkoitettuja hyvän hallinnon takeita. Oikaisuvaatimussääntelyä on syytä tarkastella myös siitä näkökulmasta, että se voi muodostaa asiallisesti —joskaan ei muodollisesti — osan hallinto-oikeudellisen muutoksenhakujärjestelmän kokonaisuudesta. Valiokunta on aiemmin katsonut, että oikaisuvaatimusmenettelyä voidaan tältä kannalta pitää tavallaan muutoksenhaun ensimmäisenä vaiheena, vaikka kysymys ei olekaan tuomioistuimessa tapahtuvasta lainkäytöstä, minkä vuoksi se ei voi täyttää perustuslain 21 §:n 1 momentin vaatimusta siitä, että jokaisella on oikeus saada oikeuksiaan ja velvollisuuksiaan koskeva päätös tuomioistuimen tai muun riippumattoman lainkäyttöelimen käsiteltäväksi (PeVL 32/2012 vp, s. 3/II)” (PeVL 55/2014 vp).

Oikaisuvaatimuksen ja siihen rinnastuvan vaatimuksen ratkaiseminen automaattisesti kiellettäisiin, koska niiden oikeusturvaan liittyvä luonne yleensä edellyttää, että tällaisen vaatimuksen tutkii luonnollinen henkilö. Näiden asioiden ratkaiseminen edellyttää usein myös sellaista harkintaa, joka ei ole automatisoitavissa. Lisäksi oikaisuvaatimusta käsittelevä viranomainen voi hallintolain 49 f §:n mukaan kieltää tai keskeyttää päätöksen täytäntöönpanon.

Tietyillä hallinnonaloilla ja tietyissä asiaryhmissä saattaa kuitenkin olla tilanteita, joissa asianosaisen oikeusturvan ei voida katsoa vaarantuvan oikaisuvaatimuksen ratkaisemisesta automaattisesti. Muualla lainsäädännössä on lisäksi saatettu rajata oikaisuvaatimuksen perusteita, mitä hallintolain 7 a luvussa tarkoitetussa oikaisuvaatimusmenettelyssä ei ole tehty. Oikaisuvaatimuksen automatisointia koskevasta kiellosta on siten tietyissä erikseen arvioiduissa tilanteissa mahdollista säätää erityislaissa poikkeus hallintolain 5 §:n 1 momentin mukaisesti, jos perustuslaista, erityisesti hyvän hallinnon ja oikeusturvan vaarantumattomuudesta, tai tietosuojasääntelystä ei katsota seuraavan tälle estettä. Erityislain säätämisen yhteydessä tulee arvioida myös tietosuojaoikeudellisten suojatoimien riittävyys, kun huomioidaan se, että hallintolain 53 f §:ssä ehdotetaan säädettäväksi automaattisen ratkaisemisen edellytykseksi mahdollisuutta oikaisuvaatimukseen.

53 f § . Automaattisen ratkaisemisen oikeussuojaedellytys. Pykälän 1 momentissa säädettäisiin, että automaattisen ratkaisemisen edellytyksenä on muun 8 b luvussa säädetyn lisäksi, että luonnollinen henkilö, johon ratkaisu on kohdistettu voi kaikilta osin vaatia siihen oikaisua maksutta 7 a luvun mukaisella oikaisuvaatimuksella tai siihen rinnastuvalla vaatimuksella, joka käsitellään päätöksen tehneessä viranomaisessa tai sen kanssa samaan rekisterinpitäjään kuuluvassa viranomaisessa.

Säännöksellä toteutetaan tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdassa ja rikosasioiden tietosuojadirektiivin 11 artiklan 1 kohdassa säädettyjä suojatoimivaatimuksia. Tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohta edellyttää, että jäsenvaltion lainsäädännössä on vahvistettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Tietosuoja-asetuksen johdanto-osan 71 perustelukappaleen mukaan asianmukaisia suojatoimia olisivat ainakin oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen. Puolestaan rikosasioiden tietosuojadirektiivin 11 artiklan 1 kohdassa edellytetään jäsenvaltioiden vahvistavan lainsäädäntötoimenpitein asianmukaiset suojatoimet, vähintään oikeuden vaatia, että käsittelyyn osallistuu rekisterinpitäjän puolesta ihminen.

Koska yleisen tietosuoja-asetuksen edellytys oikeudesta vaatia ihmisen osallistumista todetaan ainoastaan asetuksen johdanto-osan perustelukappaleessa, mutta ei itse artiklatekstissä, on arvioitava kyseisen edellytyksen velvoittavuutta. Euroopan unionin tuomioistuin on antanut johdanto-osan perustelukappaleille huomattavaa painoarvoa ratkaisuissaan (esimerkiksi tuomioistuimen ratkaisu C-203/15, kohta 87 ja ratkaisu C-454/18, kohta 71). Ottaen huomioon, että ehdotettu sääntely tulisi yleislakina sovellettavaksi laajasti monenlaiseen hallinnolliseen päätöksentekoon, riittävien suojatoimien takaamisen vuoksi on perusteltua, että ehdotetussa säännöksessä toteutettaisiin oikeus vaatia ihmisen osallistumista asian käsittelyyn. Hallintolain 5 §:n 1 momentista seuraa, että 1 momentin vaatimuksesta on mahdollista säätää toisin erityislaissa. Tässä yhteydessä olisi huolehdittava, että erityislakiin sisältyvät riittävät tietosuojalainsäädännön edellyttämät suojatoimet. Säätämisen yhteydessä olisi arvioitava, miten ihmisen osallistumista koskevaa johdantokappaletta on kyseisessä asiayhteydessä tulkittava.

Tietosuojan yleislainsäädännössä säädetään siitä, että oikeuksien käyttämisen on oltava rekisteröidylle maksuton toimenpide. Tietosuoja-asetuksen 12 artiklan 5 kohdassa säädetään, että kaikki 22 artiklaan perustuvat tiedot ja toimenpiteet ovat maksuttomia. Rikosasioiden tietosuojadirektiivin 12 artiklan 4 kohdassa edellytetään jäsenvaltioilta lainsäädäntötoimenpiteitä, jotta kaikki 11 artiklan nojalla tehdyt ilmoitukset tai toteutetut toimet ovat maksuttomia. Tämän vuoksi oikaisuvaatimuksen tai siihen rinnastuvan vaatimuksen olisi oltava rekisteröidylle maksuton toimenpide.

Tietosuojalainsäädännön lähtökohta on, että rekisteröity voi käyttää oikeuksiaan rekisterinpitäjään, joka käsittelee häntä koskevia henkilötietoja. Koska pelkästään automaattiseen käsittelyyn perustuvaan päätöksentekoon voi liittyä tavanomaista henkilötietojen käsittelyä suurempia riskejä, on rekisteröidyllä oltava oikeus käyttää oikeuttaan päätöksen tehnyttä rekisterinpitäjää kohtaan, jotta oikeussuojakeinoa voitaisiin pitää tietosuojalainsäädännössä tarkoitettuna rekisteröidyn oikeutena. Tämän vuoksi oikaisuvaatimukseen tai siihen rinnastuvaan vaatimukseen liittyvän menettelyn olisi oltava sellainen, että vaatimuksen käsittelee se rekisterinpitäjä, joka on myös tehnyt pelkästään automaattiseen käsittelyyn perustuvan päätöksen. Esimerkiksi muutoksenhakua hallinto-oikeuteen ei voitaisi pitää soveltuvana, koska hallinto-oikeus ei olisi päätöksen tehnyt rekisterinpitäjä.

Euroopan unionin tietosuojatyöryhmän suuntaviivoissa (WP 29 Suuntaviivat automatisoiduista yksittäispäätöksistä, WP251rev.01, s. 22 ja 29) on täsmennetty tietosuoja-asetuksen johdanto-osan 71 perustelukappaleen sisältöä, erityisesti rekisteröidyn oikeutta vaatia ihmisen osallistumista ja siihen liittyviä menettelyjä. Työryhmän mukaan ihmisellä, joka osallistuu käsittelyyn, olisi oltava asianmukaiset valtuudet ja pätevyys muuttaa päätöstä. Lisäksi hänen olisi arvioitava perusteellisesti kaikkia merkityksellisiä tietoja, rekisteröidyn toimittamat lisätiedot mukaan luettuna. Hallintolain 7 a luvussa tarkoitetun oikaisuvaatimuksen voidaan katsoa soveltuvan erittäin hyvin tietosuojaoikeudelliseksi suojatoimeksi, joka täyttää tietosuojatyöryhmän suuntaviivoissa todetut vaatimukset.

Jos oikaisuvaatimuksesta ei ole säädetty, oikeusturvaedellytyksen täyttäisi myös oikaisuvaatimukseen rinnastuva laissa säädetty oikeussuojakeino. Rinnastuvia oikeussuojakeinoja on kuvattu edellä 53 e §:n 4 momentin yksityiskohtaisissa perusteluissa. Lisäksi oikeussuojakeinon rinnastuvuutta oikaisuvaatimukseen nähden tulisi arvioida 53 f §:n 1 momentissa kuvattujen piirteiden kuten maksuttomuuden perusteella. Kyseessä on oltava hallintomenettelyssä käsiteltävä oikeussuojakeino, joka käsitellään päätöksen tehneessä viranomaisessa.

Vaatimuksen käsittelijänä voisi olla myös toinen viranomainen, jos se on osa samaa rekisterinpitäjää kuin alkuperäisen ratkaisun tehnyt viranomainen. Esimerkiksi kunnan viranhaltijan päätökseen vaaditaan oikaisua kunnan lautakunnalta. Viranhaltija ja lautakunta voivat olla eri viranomaisia, mutta niiden tulkitaan olevan osa samaa rekisterinpitäjää. Rekisterinpitäjän käsite määritellään tietosuoja-asetuksen 4 artiklan 7 kohdassa ja rikosasioiden tietosuojalain 3 §:n 1 momentin 6 kohdassa, joiden mukaan rekisterinpitäjä on se, joka yksin tai yhdessä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Vaihtoehtoisesti rekisterinpitäjästä voidaan säätää lailla, kuten useiden viranomaisten kohdalla onkin tehty. Ellei rekisterinpitäjästä ole säädetty lailla, kukin viranomainen määrittelee yksin tai tarvittaessa yhdessä muiden viranomaisten kanssa, miten rekisterinpito eri käsittelytilanteissa järjestetään. Tietosuojasäännösten perusteella henkilötietojen käsittelyn yhteydessä rekisteröidylle on ilmoitettava, mikä viranomainen toimii rekisterinpitäjänä. Hallintolain 46 §:n mukaan jos päätökseen on ennen valituksen tekemistä vaadittava oikaisua erikseen säädetyssä oikaisuvaatimusmenettelyssä, ohjeet tällaisen oikaisukeinon käyttämisestä on annettava samanaikaisesti päätöksen kanssa. Ohjeissa on 47 §:n mukaisesti mainittava valitusviranomainen sekä viranomainen, jolle valituskirjelmä on toimitettava.

Jotta tietosuojasääntelystä seuraava edellytys käsittelyyn osallistuvan ihmisen mahdollisuudesta muuttaa päätöstä toteutuisi, asianosaisen on voitava vaatia muutosta ratkaisuun sen kaikilta osin. Sekä oikaisuvaatimuksen että siihen rinnastuvan vaatimuksen on oltava maksuton.

Edellä 53 e §:n 4 momentin yksityiskohtaisissa perusteluissa on selitetty, mitä tarkoitetaan oikaisuvaatimukseen rinnastuvalla vaatimuksella. Vastaava oikeussuojakeino toimisi myös rekisteröidyn oikeutena saada asia ihmisen käsiteltäväksi.

Oikeus hakea ratkaisuun muutosta hallintovalituksella ei täytä 1 momentin edellytyksiä hallintomenettelystä ja samasta viranomaisesta. Myöskään hallintolain 8 luvussa säädetty virheen korjaaminen ei ole tällainen oikeussuojakeino, koska lain 50 ja 51 §:ssä virheen korjaaminen on rajattu vain tietynlaisiin tilanteisiin, eikä se siten täytä vaatimusta, jonka mukaan ratkaisuun on voitava vaatia oikaisua kaikilta osin.

Tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohta ja rikosasioiden tietosuojadirektiivin 11 artiklan 2 kohta edellyttävät, että suojatoimista tulee säätää lainsäädännössä. Tietosuoja-asetuksen 12 artiklassa säädetään yksityiskohtaisesti rekisteröidyn oikeuksien käyttämistä koskevasta menettelystä ja rikosasioiden tietosuojadirektiivin 12 artiklassa edellytetään, että jäsenvaltion lainsäädännössä säädetään rekisteröidyn oikeuksien käytöstä, kun käsittely perustuu 11 artiklassa tarkoitettuun pelkästään automaattiseen käsittelyyn. Lisäksi perustuslakivaliokunta on korostanut korkean riskin aiheuttamia uhkia todeten, että mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely (PeVL 14/2018 vp, s. 5). Ottaen huomioon tietosuoja-asetuksesta, rikosasioiden tietosuojadirektiivistä ja perustuslakivaliokunnan lausuntokäytännöstä seuraavat vaatimukset, olisi oikaisuvaatimukseen rinnastuvasta vaatimuksesta ja sen käsittelystä säädettävä lailla.

Koska pykälän tarkoituksena on tietosuojasääntelystä seuraavan suojatoimen toteuttaminen, 1 momentin edellytys on rajattu vain asioihin, joissa on asianosaisena luonnollinen henkilö. Jos asiassa on asianosaisena sekä luonnollinen henkilö että oikeushenkilö, asianosaisena olevalla luonnollisella henkilöllä olisi oltava mahdollisuus 1 momentissa tarkoitettuun oikeussuojakeinoon.

Pykälän 2 momentissa säädettäisiin poikkeus 1 momentin edellytyksestä. Edellytystä ei sovellettaisi, jos automaattisella ratkaisulla hyväksytään asianosaisen vaatimus, joka ei koske toista asianosaista. Keskeinen tietosuoja-asetuksen 22 artiklan ja rikosasioiden tietosuojadirektiivin 11 artiklan taustalla oleva tavoite on ihmisen suojaaminen sellaiselta automaattiselta päätöksenteolta, jossa hänen ominaisuuksiaan arvioidaan virheellisillä perusteilla ilman ihmisen mahdollisuutta vaikuttaa tähän arvioon. Kun asianosaisen vaatimus hyväksytään vaaditulla tavalla, ei asianosaisella voida katsoa enää olevan tietosuojaoikeudellisen suojan tarvetta saada päätöstä ihmisen käsiteltäväksi.

Pykälän 1 momentin suojatoimea voidaan pitää tehokkaana vain, jos oikaisuvaatimusta tai siihen rinnastuvaa vaatimusta ei voida ratkaista automaattisesti. Tätä koskeva kielto sisältyisi 53 e §:n 4 momenttiin.

Pykälässä on tarkoitus säätää lisäedellytyksestä, jonka on täytyttävä, jotta automaattisia ratkaisuja voidaan tehdä. Pykälästä itsessään ei seuraa oikeutta oikaisuvaatimukseen eikä se muutenkaan vaikuta olemassa oleviin oikeussuojakeinoihin. Asianosaisen muutoksenhakuoikeus ja oikeus oikeusturvaan määräytyvät muun lainsäädännön perusteella. Oikaisuvaatimusmenettelystä on säädettävä erikseen (hallintolain 49 b §:n 1 momentti). Myöskään 2 momentin poikkeuksella ei ole tarkoitettu poikettavan oikeusturvakeinoista vaan ainoastaan asian automaattiselle ratkaisemiselle asetetusta edellytyksestä eräissä tilanteissa.

53 g § . Automaattisesta ratkaisemisesta ilmoittaminen. Pykälän 1 momentissa säädettäisiin, että viranomaisen antamasta hallintopäätöksestä olisi 44 §:n 1 momentissa tarkoitettujen tietojen lisäksi käytävä ilmi, jos asia on ratkaistu automaattisesti. Samalla olisi annettava tieto siitä, missä julkisen hallinnon tiedonhallinnasta annetun lain 28 d §:ssä tarkoitettu käyttöönottopäätös on saatavilla. Ehdotetun tiedonhallintalain 28 e §:n 1 momentin mukaan käyttöönottopäätös olisi julkaistava yleisessä tietoverkossa viranomaisen verkkosivustolla. Kirjallisessa hallintopäätöksessä voitaisiin kertoa yksilöity verkkosivun osoite tai tarpeen mukaan muu yksilöity tieto asian automaattiseen ratkaisuun liittyvästä käyttöönottopäätöksestä. Yhdenvertaisuusnäkökulmasta päätöksen olisi oltava saatavilla myös muutoin kuin viranomaisen verkkosivuilla. Koska automaattinen ratkaisun tekeminen ja automatisoidun toimintaprosessin käyttö perustuisi käyttöönottopäätökseen, olisi perusteltua, että automaattisessa ratkaisussa on tätä koskeva tieto. Lisäksi viranomaisen tulisi tiedonhallintalain 28 e §:n 2 momentin mukaan tiedottaa asioiden automaattisesta ratkaisemisesta toimialallaan ymmärrettävällä ja saavutettavalla tavalla. Hallintolain 6 §:n mukaan viranomaisen toimien on suojattava oikeusjärjestyksen perusteella oikeutettuja odotuksia. Viranomaisen on kerrottava avoimesti asiakkailleen, milloin heidän asiansa on ratkaistu automaattisesti. Asianosainen pystyisi arvioimaan saamaansa ratkaisua viranomaisen antamien tietojen nojalla ja voisi esimerkiksi käyttää mahdollisuuttaan vaatia päätökseen oikaisua. Automaattista ratkaisua koskisivat lisäksi hallintolain 44 §:n päätöksen sisältöä ja 45 §:n päätöksen perustelemista koskevat velvoitteet, kun asiassa annetaan kirjallinen perusteltu hallintopäätös.

Pykälän 2 momentissa säädettäisiin, että jos asiassa ei muun lain perusteella anneta kirjallista hallintopäätöstä, tulisi viranomaisen kuitenkin antaa 1 momentissa tarkoitetut tiedot asianosaiselle muulla tavoin viimeistään asian käsittelyn päättyessä. Säännöksellä on tarkoitus turvata asianosaisen tiedonsaantioikeus automaattisesta ratkaisemisesta myös niissä tapauksissa, joissa erityislainsäädännöstä seuraa, ettei kyseisessä asiassa anneta kirjallista hallintopäätöstä. Viranomainen voisi antaa tiedot esimerkiksi digitaalisessa palvelussa, kun asianosainen on pannut asian vireille tai kun viranomainen ilmoittaa asian tulleen vireille. Tällaisia tilanteita voisivat olla esimerkiksi myönteinen päätös ajokortin hakemisesta ja eräät asianosaiselle myönteiset ilmoitus- ja rekisteröintiasiat, joissa ei erityislain perusteella anneta asianosaiselle kirjallista päätöstä.

Pykälän 2 momentissasäädettäisiin myös siitä, että viranomaisen on annettava asianosaiselle tiedot siitä, mihin tietoihin asian automaattinen ratkaisu perustuu, jos asiassa ei anneta kirjallista hallintopäätöstä. Säännöksellä turvattaisiin asianosaisen oikeus saada ne konkreettiset tiedot, joihin automaattinen ratkaisu on hänen asiassaan perustunut. Ratkaisun perusteena olevien tietojen antamisvelvollisuudessa on kyse eri asiasta kuin julkisuuslaissa säädetystä oikeudesta saada pyynnöstä asianosaisaseman perusteella sellaiset viranomaisen asiakirjat, jotka ovat voineet vaikuttaa häntä koskevaan päätöksentekoon.

Velvollisuus koskisi kaikkia tietoja, joihin automaattinen ratkaisu perustuu riippumatta siitä, perustuuko automaattinen ratkaisu viranomaisen omiin tietovarantoihin vai ulkoisten tietovarantojen tietoihin. Säännöksen perusteella viranomaisella olisi lähtökohtaisesti harkintavaltaa sen suhteen, missä asiankäsittelyn vaiheessa tiedot annetaan. Viranomainen voisi ottaa huomioon käsittelyn ominaispiirteet ja antaa tiedot asianosaiselle siinä vaiheessa, kun tiedot ovat valmiina viranomaisessa tapahtuvaa asian ratkaisua varten. Tiedot voitaisiin antaa esimerkiksi asian vireillepanon yhteydessä, jos tiedot ovat viranomaisella valmiina asian ratkaisua varten. Viranomaisen tulisi ottaa tietojen antamisessa huomioon myös digitaalisten palvelujen tarjoamisesta annetun lain 5 §, jonka perustella viranomaisen on tarjottava jokaiselle mahdollisuus käyttää asiassaan viranomaisten sähköisten viestien ja asiakirjojen vastaanottamiseen hallinnon yhteisistä sähköisen asioinnin tukipalveluista annetussa laissa tarkoitettua viestinvälityspalvelua tai muuta riittävän tietoturvallista sähköistä tiedonsiirtomenetelmää, jos viranomainen voi toimittaa viestin tai asiakirjan sähköisessä muodossa. Siirryttäessä asioimaan yhä enemmän digitaalisten palvelujen avulla tulisi viranomaisen aktiivisesti tarjota annettavia tietoja digitaalisten palvelujen tai muiden riittävän tietoturvallisten sähköisten tiedonsiirtomenetelmien avulla.

Tietojen antamisvelvoitteen tarkoituksena olisi varmistaa asianosaisen oikeusturvan toteutumista asian automaattisessa ratkaisemisessa. Erityisesti sellaisissa tilanteissa, joissa sovelletaan hallintolain 34 §:n 2 momentin poikkeuksia kuulemisvelvoitteesta tai tehtäisiin sellaisia 53 f §:n 2 momentin mukaisia myönteisiä ratkaisuja, ettei niihin sovellettaisi oikaisuvaatimusmenettelyä koskevaa vaatimusta, muodostuu riski siitä, ettei asianosainen pysty arvioimaan, perustuuko automaattinen ratkaisu oikeaan tietopohjaan. Esimerkiksi väestötietojärjestelmään tehtävästä rekisterimerkinnästä ei tehdä kirjallista hallintopäätöstä, mikäli rekisterimerkintä tehdään ilmoituksen mukaisesti tai se vastaa rekisteröidyn pyyntöä. Annettaessa asianosaiselle automaattisessa ratkaisemisessa käytetyt tiedot asianosaisella itsellään on mahdollisuus varmistaa, että ratkaisu perustuu oikeisiin ja ajantasaisiin tietoihin. Ottaen huomioon automaattisen ratkaisemisen massaluonteisuuden ja viranomaisten tietovarantojen hyödyntämisen verkottuneen toiminnan, ehdotetulla sääntelyllä luotaisiin menettely, jolla asianosainen voi varmistua myös säännöksessä määritellyissä tilanteissa siitä, että automaattisessa ratkaisemisessa käytetty tietopohja on oikea ja ajantasainen.

Tietosuoja-asetuksen johdanto-osan 71 kohdassa pidetään automatisoituihin yksittäispäätöksiin liittyvänä suojatoimena henkilötietojen virheellisyyksiin liittyvien tekijöiden korjaamista ja virheriskien minimointia. Tietojen antamisvelvoitteesta säätämisellä kansallisella lailla on tarkoituksena yhtäältä varmistaa tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan mukaisia riittäviä suojatoimia automaattisessa ratkaisemisessa. Toisaalta sääntelyn kohteena oleva asioiden automaattinen ratkaiseminen kohdistuu myös muihin kuin luonnollisiin henkilöihin, joten tavoitteena on varmistaa, että myös näissä tapauksissa on olemassa riittävät suojatoimet, joilla varmistetaan tietojen oikeellisuus ja ajantasaisuus.

Viranomaisen on rekisterinpitäjän roolissa jo tietosuoja-asetuksen 12, 13 ja 14 artiklan perusteella informoitava rekisteröityä henkilötietojen käsittelystä. Informointivelvollisuus koskee myös käsittelyn kohteena olevia henkilötietoryhmiä sekä tietoa siitä, mistä tietolähteistä henkilötiedot on saatu. Tietosuoja-asetuksen informointivelvollisuus jää kuitenkin ehdotettua 2 momenttia yleisemmälle tasolle. Viranomaisella ei tietosuoja-asetuksen perusteella ole velvollisuutta toimittaa oma-aloitteisesti ja säännönmukaisesti asianosaisasemassa olevalle rekisteröidylle tietoja kaikista niistä tiedoista, joihin viranomaisen ratkaisu yksittäisessä asiassa perustuu.

Pykälän 3 momentissa säädettäisiin, että automaattisesti ratkaistuun asiaan ei sovellettaisi hallintolain 44 §:n 1 momentin 4 kohdan vaatimusta henkilön nimen ilmoittamisesta. Poikkeus tästä vaatimuksesta säädettäisiin, koska automaattisessa päätöksentekomenettelyssä ei ole aina etukäteen nimettävissä tiettyä henkilöä. Poikkeus koskee vain nimen ilmoittamista, eli kirjallisessa päätöksessä olisi kuitenkin 44 §:n 1 momentin 4 kohdan mukaisesti ilmoitettava yhteystiedot, joista asianosainen voi pyytää tarvittaessa lisätietoja päätöksestä. Hallintolain 7 §:ssä säädetystä palveluperiaatteesta ja 8 §:n neuvontaa koskevasta säännöksestä voidaan katsoa seuraavan, että viranomaisen on järjestettävä lisätietojen antaminen siten, että asiakkaan mahdollinen päätöstä koskeva yhteydenotto ohjautuu viranomaisessa henkilölle, jolla on riittävä asiantuntemus vastata asiakkaan aineellisiin ja menettelyllisiin kysymyksiin. Lisäksi tiedonhallintalain 28 d §:n 1 momentissa ehdotetaan säädettäväksi erikseen, että automatisoidun toimintaprosessin käyttöönottopäätökseen on sisällytettävä viranomaisen yhteystieto, josta saa lisätietoa automatisoidun toimintaprosessin käytöstä.

Voimaantulo- ja siirtymäsäännökset. Lainkohta sisältää voimaantulosäännöksen ja siirtymäsäännökset.

7.2 Laki julkisen hallinnon tiedonhallinnasta

2 §. Määritelmät. Lain 2 §:n 1 momenttiin ehdotetaan lisättäväksi kaksi uutta kohtaa asian automaattisen ratkaisemisen kannalta keskeisten käsitteiden määrittelemiseksi. Lisäämisen johdosta 14 kohtaan tehtäisiin tekninen muutos.

Pykälän 1 momentin uudessa 15 kohdassa määriteltäisiin automatisoitu toimintaprosessi. Tiedonhallintalaissa automaattisen asian ratkaisun tuottavasta prosessista käytettäisiin sääntelykohteena nimitystä automatisoitu toimintaprosessi. Tiedonhallintalaissa on jo entuudestaan määritelty toimintaprosessi, jolla tarkoitetaan viranomaisen asiankäsittely- tai palveluprosessia. Määritelmässä viitattaisiin hallintolain ehdotettuun uuteen 53 e §:ään, jossa olisi säädetty asian automaattisen ratkaisemisen edellytyksistä. Automatisoitu toimintaprosessi olisi siis viranomaisen asiankäsittely- tai palveluprosessi, jossa tuotetaan hallintolain 53 e §:ssä tarkoitettu automaattinen ratkaisu. Määritelmä vaikuttaa siis myös ehdotetun 6 a luvun soveltamisalaan, jota on perusteltu tarkemmin jäljempänä ehdotetun 3 §:n muutoksen yhteydessä.

Pykälän 1 momentin uudessa 16 kohdassa määriteltäisiin käsittelysäännöt. Käsittelysäännöillä tarkoitettaisiin luonnollisen henkilön ennalta laatimia sääntöjä, jotka on tarkoitettu automaattisen tietojenkäsittelyn ohjaamiseen. Niillä ohjattaisiin hallintoasian käsittelyä ja ratkaisemista automaattisessa tietojenkäsittelyssä, kuten mitkä muuttujat vaikuttavat toimintaprosessin etenemiseen sekä miten ja millä perusteilla asian käsittelyssä mahdolliset välitoimet tehdään, missä vaiheessa toimintaprosessiin osallistuu luonnollinen henkilö, ja miten asian ratkaisu muodostetaan toimintaprosessissa. Käsittelysääntöihin kuuluisivat myös säännöt, joiden perusteella asia otetaan automatisoituun toimintaprosessiin tai siirretään siitä pois luonnollisen henkilön käsiteltäväksi.

Käsittelysäännöllä ei tarkoitettaisi ohjelmointikielellä laadittua koodia, vaan luonnollisella kielellä laadittua asiantuntijan kuvausta siitä, miten lainsäädännöstä tulevat edellytykset muutetaan tietojenkäsittelyksi ja miten luonnollisen henkilön rooli toimintaprosessissa korvataan soveltuvin osin automaattisella tietojenkäsittelyllä. Käsittelysääntöjen laadinta edellyttää siis laatijaltaan automatisoitavan toimintaprosessin tuntemista, oikeudellista harkintaa sekä tietojenkäsittelyn toimintaperiaatteiden ymmärtämistä. Käsittelysääntöjä voitaisiin dokumentoida luonnollisen kielen lisäksi myös visuaalisin keinoin, kuten vuokaavioiden avulla. Käsittelysääntöjen luonteeseen ja ominaisuuksiin vaikuttaisi myös ehdotettu 28 a §, jonka mukaan käsittelysäännöt on dokumentoitava ja niiden lainmukaisuus on hyväksyttävä viranomaisessa automatisoidun toimintaprosessin valmistelun aikana, jolloin ne on laadittava sellaisessa muodossa, että niiden lainmukaisuutta on mahdollista arvioida.

Keskeistä käsittelysäännöissä olisi se, että niiden tulisi olla luonnollisen henkilön ennalta laatimia. Tämä olisi keskeinen ihmiskontrollin väline toimintaprosessin automatisoinnin suunnittelu- ja kehittämisvaiheessa. Käsittelysäännöt muuntuvat varsinaisiksi ohjelmistoa tai tietojärjestelmää koskeviksi vaatimuksiksi siten, että automatisoidulle toimintaprosessille asetetaan erilaisia vaatimuksia, joiden mukaisuuden varmistamisesta säädettäisiin 28 b §:ssä.

3 §. Lain soveltamisala ja sen rajoitukset. Lain 3 §:n 1 momenttia ehdotetaan muutettavaksi siten, että siinä säädettäisiin ehdotetun uuden 6 a luvun soveltamisalasta. Samalla korjattaisiin yliopistolakia koskevassa viittauksessa oleva kirjoitusvirhe. Momenttiin lisättäisiin uusi virke, jonka mukaan lain 6 a lukua sovelletaan automatisoidun toimintaprosessin, eli hallintolain 53 e §:ssä tarkoitetun asian automaattisen ratkaisun tuottavan toimintaprosessin kehittämiseen, käyttöönottoon ja ylläpitoon. Automatisoitu toimintaprosessi olisi tarkemmin määritelty 2 §:n 1 momentin uudessa 15 kohdassa. Uutta 6 a lukua ei sovellettaisi muuhun tiedonhallintaan tai toimintaprosesseihin kuin asian automaattisen ratkaisun sisältävään toimintaprosessiin. Tiedonhallintalain 6 a luvun säännöksiä automatisoidusta toimintaprosessista sovellettaisiin siten automaattiseen ratkaisutoimintaan, joka olisi mahdollistettu hallintolain 8 b luvussa. Soveltamisalan tulkinnassa merkityksellistä olisi se, että toimintaprosessi sisältää hallintolain 53 e §:ssä tarkoitetun automaattisen asian ratkaisun ja että automatisoitu ratkaiseminen täyttäisi 53 e ja 53 f §:ssä säädetyt edellytykset ja asia ratkaistaisiin automaattisesti. Viranomaisella voi olla myös muita automatisoituja toimintaprosesseja, mutta asiaa ei ratkaista automatisoidusti silloin, kun ratkaisun tarkastaa ja hyväksyy luonnollinen henkilö. Tällaisissa tilanteissa ei olisi kyse hallintolain 8 b luvussa tarkoitetusta asian automaattisesta ratkaisemisesta eikä tiedonhallintalain 6 a lukua sovellettaisi toimintaprosessiin. Tiedonhallintalain 6 a luku sisältäisi siten toimintaprosesseihin ja niiden käyttöönottoon kohdistuvia lisävaatimuksia silloin, kun toimintaprosessi kuuluu hallintolain 8 b luvun soveltamisalaan.

Pykälän 4 momenttia ehdotetaan muutettavaksi siten, että uutta 6 a lukua sovellettaisiin myös yksityisiin henkilöihin tai yhteisöihin taikka muihin kuin viranomaisena toimiviin julkisoikeudellisiin yhteisöihin siltä osin kuin ne hoitavat julkista hallintotehtävää. Koska hallintolain säännökset ja lain ehdotettu uusi 8 b luku koskevat myös muita kuin viranomaisena toimivia, jotka hoitavat julkista hallintotehtävää, on perusteltua ulottaa myös tiedonhallintalain automatisoitua toimintaprosessia koskeva sääntely näihin toimijoihin. Tämä on välttämätöntä myös muissa kuin viranomaisissa tapahtuvan automattisen ratkaisemisen lainmukaisuuden ja hallinnon asiakkaan oikeusturvan varmistamiseksi sekä virkavastuun kohdentamiseksi. Perustuslakivaliokunta on edellyttänyt hallinnon yleislakien soveltamista julkisia hallintotehtäviä hoidettaessa (esimerkiksi PeVL 46/2002 vp, s. 10). Edelleen perustuslakivaliokunnan kannanoton (PeVM 25/1994 vp) mukaan, jos perusoikeussäännösten vaikutukset ulottuvat muuhunkin julkiseen toimintaan kuin valtion nimissä tapahtuvaan, on viranomaistoimintaan rinnastettavan yksityisen oikeussubjektin toiminta katsottava perusoikeuksien kannalta julkiseksi toiminnaksi. Ehdotettavalla sääntelyllä on kiinteä perusoikeuksien turvaamiseen liittyvä sidoksensa.

Lisäksi 4 momenttiin ehdotetaan teknisiä korjauksia sen selventämiseksi, että sanamuodostaan huolimatta momentissa luetellut säännökset, jotka velvoittavat viranomaisia tai tiedonhallintayksikköjä, koskisivat myös julkista hallintotehtävää hoitavia yksityisiä taikka muuna kuin tiedonhallintayksikkönä tai viranomaisena toimivia julkisoikeudellisia yhteisöjä.

Pykälän 5 momenttiin tehtäisiin välttämättömät muutokset, jotta Ahvenanmaalla toimivien valtion viranomaisten olisi mahdollista tehdä asioiden automaattisia ratkaisuja niiden hoitaessa valtakunnan viranomaiselle kuuluvia tehtäviä.

Pykälän 5 momentin ensimmäistä virkettä selkiytettäisiin siten, että virkkeestä poistettaisiin maininta maakunnan ja kunnan viranomaisista. Ahvenanmaan maakuntaa koskeva lainsäädäntövalta jakautuu valtakunnan ja maakunnan kesken Ahvenanmaan itsehallintolain perusteella, mistä syystä 5 momentin säännös on maakunnan ja kunnan viranomaisten osalta tarpeeton. Tältä osin momentin muuttaminen ei muuttaisi nykytilaa, mutta sääntelyteknisesti toimivallanjaon perusteet selkiytyisivät. Jatkossakin tiedonhallintalain soveltaminen maakunnan ja kunnan toimintaan määräytyisi itsehallintolain perusteella.

Lisäksi momenttiin ehdotetaan lisättäväksi toinen virke, jonka mukaan lain 13 a §:ää ja 6 a lukua sovellettaisiin Ahvenanmaalla toimiviin valtion viranomaisiin niiden hoitaessa valtakunnan lainsäädäntövaltaan kuuluvia viranomaistehtäviä, joissa tehdään hallintolain 53 e §:ssä tarkoitettuja asian automaattisia ratkaisuja.

Voimassa olevan tiedonhallintalain 3 §:n 5 momentin mukaan tiedonhallintalakia ei sovelleta Ahvenanmaalla toimiviin valtion viranomaisiin. Koska hallintolaki tulee sovellettavaksi Ahvenanmaalla toimiviin valtion viranomaisiin niiden hoitaessa valtakunnan viranomaiselle kuuluvia tehtäviä, on välttämätöntä, että myös tiedonhallintalain 13 a §:ssä ja 6 a luvussa säädettyjä edellytyksiä sovellettaisiin Ahvenanmaalla toimiviin valtion viranomaisiin niiden tehdessä automaattisia ratkaisuja. Jos ehdotettua tiedonhallintalain 13 a §:ää ja 6 a lukua ei sovellettaisi Ahvenanmaalla toimiviin valtion viranomaisiin silloin, kun ne hoitavat valtakunnan viranomaiselle kuuluvia tehtäviä ja soveltavat valtakunnan hallintolakia, ajauduttaisiin tilanteeseen, jossa valtion viranomainen ei voisi tehdä hallintolaissa tarkoitettua asian automaattista ratkaisua Ahvenanmaalla. Tiedonhallintalain 6 a luvun soveltamiseen vaikuttaisivat kuitenkin erityislainsäädännössä säädetyt valtakunnan viranomaisen ja Ahvenanmaan viranomaisen tehtäväjakoa koskevat säännökset esimerkiksi tietojärjestelmään liittyvien vastuiden osalta. Otettaessa käyttöön automatisoitu toimintaprosessi, on arvioitava erikseen, miten toimivaltasuhteet tosiasiallisesti toteutetaan valtakunnan viranomaisen ja Ahvenanmaalla valtakunnan viranomaiselle kuuluvia tehtäviä hoitavan viranomaisen välillä. Tarvittaessa nämä toimivaltasuhteet tulisi ratkaista erityislainsäädännössä.

Tiedonhallintalain soveltamisessa Ahvenanmaan maakunnassa toimiviin valtion viranomaisiin ja valtakunnan viranomaiselle kuuluvien tehtäviä hoitaviin viranomaisiin on todettu kehittämistarpeita muun muassa asianhallinnan ja tietoturvallisuuden sääntelyn osalta. Tiedonhallintalain laajemman soveltamisen selvittäminen näissä tilanteissa vaatii erillisen perusteellisen valmistelun, joten soveltamisalaa ei ehdoteta tässä yhteydessä laajennettavaksi.

13 a §. Häiriötilanteista tiedottaminen ja varautuminen häiriötilanteisiin. Tiedonhallintalakiin ehdotetaan lisättäväksi uusi 13 a §, jossa säädettäisiin viranomaisen tiedottamisvelvollisuudesta tiedonhallinnan häiriötilanteissa sekä tiedonhallintayksikön varautumisvelvoitteista tietoaineistojen käsittelyssä ja tietojärjestelmien hyödyntämisessä. Automatisoidut prosessit tukeutuvat pitkälti tietoaineistojen käsittelyyn sekä tietojärjestelmien hyödyntämiseen, joskin viranomaisten toiminta muutoinkin on suuressa määrin riippuvaista näistä. Automatisoiduissa toimintaprosesseissa hyödynnettävät tietoaineistot ja tietojärjestelmät eivät aina ole pelkästään viranomaisen omia, mistä syystä säännöksen soveltamista ei rajattaisi vain automatisoituja toimintaprosesseja käyttäviin viranomaisiin.

Pykälän 1 momentin mukaan viranomaisen olisi viipymättä tiedotettava sen tietoaineistoja hyödyntäville, jos sen tiedonhallintaan kohdistuu häiriö, joka estää tai uhkaa estää viranomaisen tietoaineistojen saatavuuden. Viranomaisen on tiedotettava häiriön tai sen uhkan arvioidusta kestosta sekä mahdollisuuksien mukaan korvaavista tavoista hyödyntää viranomaisen tietoaineistoja. Myös häiriön tai uhkan päättymisestä olisi tiedotettava.

Tiedonhallintayksiköiden ja viranomaisten toiminta sekä varsinkin niiden automatisoidut toimintaprosessit ovat pitkälti riippuvaisia niiden omien sekä muiden viranomaisten tietojärjestelmien toiminnasta ja tiedon saatavuudesta. Monet muutkin yhteiskunnan sektorit sekä yksityiset henkilötkin tarvitsevat viranomaisen tietoaineistoja päivittäisissä toiminnoissaan. Tästä syystä on tärkeää, että tiedot mahdollisista häiriöistä ja niiden kestosta sekä vaihtoehtoisista tavoista hyödyntää tietoaineistoja saavuttavat tietoaineistoja hyödyntävät tahot. Säännöksen vaatimus korostuu entisestään, kun sähköisestä asioinnista muodostuu ensisijainen tapa asioida ja kun sähköiset palvelut ovat ajasta riippumatta saatavilla ja ne ovat riippuvaisia viranomaisten tietoaineistojen saatavuudesta.

Tapa, jolla käyttökatkoista ja palvelun saatavuudesta tiedotetaan, jää viranomaisen harkintaan. Tiedottaminen olisi mahdollista esimerkiksi viranomaisen yleisillä verkkosivuilla tai asiayhteyteen muuten olennaisesti liittyvällä muulla verkkosivulla. Tiedottamisen tapaan vaikuttaisi se, kenelle tiedotetaan. Vakiintuneille yhteistyötahoille ja viranomaisen tietoaineistoista keskeisesti riippuvaisille tiedottaminen voisi olla kohdennetumpaa kuin luonnollisille henkilöille suunnattu tiedottaminen.

Viranomaisen olisi myös tiedotettava mahdollisuuksien mukaan korvaavista tavoista hyödyntää viranomaisen tietoaineistoja. Lisäksi tulisi kertoa häiriön arvioitu kesto – eli tieto siitä, koska arvioidaan tietoaineistojen olevan saatavilla normaalisti.

Ehdotettuun 2 momenttiin sisältyisi informatiivinen viittaus digipalvelulain 4 §:n 2 momenttiin, jossa säädetään digitaalisten palvelujen ja muiden sähköisten tiedonsiirtomenetelmien käyttökatkoista tiedottamisesta yleisölle. Mainitun lain kohdan mukaan viranomaisen on tiedotettava digitaalisten palvelujensa ja muiden tiedonsiirtomenetelmien käyttökatkoista sopivalla tavalla ennalta yleisölle. Viranomaisen on myös julkaistava käyttökatkon ajaksi ohjeet, miten jokainen saa asiansa hoidetuksi vaihtoehtoisella tavalla.

Pykälän 3 momentissa säädettäisiin varautumisesta häiriötilanteisiin. Tiedonhallintayksikön olisi varauduttava toiminnassaan siihen, että tietojärjestelmät vikaantuvat tai niiden toiminta muusta syystä estyy. Tiedonhallintayksikön tulee pyrkiä turvaamaan tietojärjestelmien mahdollisimman häiriötön toiminta kaikissa tilanteissa, minkä lisäksi sen tulisi varautua turvaamaan tietojen käsittelyn ja sitä kautta toiminnan jatkuvuus myös tilanteissa, joissa tietojärjestelmää ei voida käyttää. Tämä edellyttää myös varautumista vaihtoehtoisten asiointimuotojen käyttöönottoon, mikäli automatisoitua toimintaprosessia ei voida hyödyntää viranomaisen oman tietojärjestelmän häiriön taikka prosessissa hyödynnettävien muiden viranomaisten tietovarantojen käytön häiriötilanteissa.

Pykälä sisältäisi osin vastaavaa sääntelyä kuin on jo valmiuslain 12 §:ssä. Varautumisvelvollisuudesta on säädetty myös toimialakohtaisessa erityislainsäädännössä. Säännöksessä velvoitettaisiin tiedonhallintayksiköitä ja muita julkista hallintotehtävää hoitavia kiinnittämään varautumisessa erityistä huomiota myös varautumiseen tiedonhallinnassa. Valmiuslain ja muiden lakien perusteella poikkeusoloihin varautumisen lisäksi ehdotettu varautumisvelvollisuus koskisi myös normaaliolojen häiriötilanteita. Pykälää sovellettaisiin 3 §:n 4 momentin johdosta myös yksityisiin henkilöihin tai yhteisöihin taikka muihin kuin viranomaisena toimiviin julkisoikeudellisiin yhteisöihin siltä osin kuin ne hoitavat julkista hallintotehtävää.

Säännös velvoittaa tiedonhallintayksiköitä, joiden tehtävänä olisi huolehtia myös normaaliolojen varautumisen suunnittelusta. Käytännössä tiedonhallintayksikön olisi varautumisessa tehtävä tarkoituksenmukaista yhteistyötä sen yhteydessä toimivan viranomaisen sekä muiden viranomaisten kanssa.

Tiedonhallintayksikön olisi selvitettävä olennaiset tietoaineistojen käsittelyn, tietojärjestelmien hyödyntämisen sekä niihin perustuvan toiminnan jatkuvuuteen kohdistuvat riskit. Riskejä ovat tietojärjestelmän vikaantumisen lisäksi esimerkiksi riippuvuudet muiden hallinnassa olevista tietoaineistoista ja –järjestelmistä, häiriöt sähkönsyötössä tai viestintäverkkojen ja -palvelujen toiminnassa, sekä toimitusketjujen kriittisyys ja niiden varautumisen taso. Tietojärjestelmätoimittajien ja muiden sopimuskumppaneiden kanssa tehtävissä sopimuksissa olisi myös huomioitava viranomaisen toiminnan jatkuvuuteen liittyvät näkökohdat riskiarvion perusteella.

Tiedonhallintayksikön olisi riskiarvioinnin perusteella huolehdittava valmiussuunnitelmin, häiriötilanteissa tapahtuvan toiminnan etukäteisvalmisteluin ja muilla toimenpiteillä, että sen tietoaineistojen käsittely, tietojärjestelmien hyödyntäminen ja toiminta jatkuvat mahdollisimman häiriöttömästi normaaliolojen häiriötilanteissa sekä valmiuslaissa tarkoitetuissa poikkeusoloissa.

Riskiarvioinnissa tulisi ottaa huomioon tietoaineistojen ja tietojärjestelmien kriittisyys, tunnistettujen riskien kriittisyys ja todennäköisyys sekä jatkuvuuden turvaamisen mahdollisuudet ja eritasoisten jatkuvuutta turvaavien toimenpiteiden kustannukset.

Häiriötilanteissa tai poikkeusoloissa toimimisen etukäteisvalmistelut ja muut toimenpiteet voisivat käsittää esimerkiksi teknisiä ja rakenteellisia etukäteisvalmisteluja sekä tilojen ja kriittisten resurssien varauksia. Esimerkiksi tarpeellisilla olosuhdehälytyksillä ja seurannalla varmistetaan, että viranomainen saa tiedon tietojärjestelmän häiriötilanteesta mahdollisimman varhain. Tarpeen mukaan olisi myös toteutettava esimerkiksi tehonsyötön varmistaminen sekä tietoliikenneyhteyksien reittivarmistukset. Etukäteisvalmisteluihin kuuluisivat myös osaamisen varmistaminen henkilöstön ohjeistamisella ja kouluttamisella sekä häiriötilanteissa ja poikkeusoloissa tapahtuvan toiminnan harjoittelulla ennalta. Viranomaisen päätöksenteon sekä muun toiminnan jatkuvuuden turvaaminen edellyttää myös tarpeenmukaisia ennalta suunniteltuja sijaisuusjärjestelyjä.

Myös häiriötilanteiden viestinnän suunnittelu on osa varautumista. Viranomaisen olisi suunniteltava, miten se tiedottaa muille viranomaisille 1 momentissa tarkoitetulla tavalla myös häiriötilanteissa. Viestinnän suunnittelu kuuluu häiriötilanteissa ja poikkeusoloissa tapahtuvan toiminnan etukäteisvalmisteluihin ja siinä tulisi erityisesti kiinnittää huomiota niille viranomaisille tiedottamiseen, joiden toiminta on riippuvaista viranomaisen tietojärjestelmän toiminnasta. Esimerkiksi automaattisen päätöksenteon tukeutuminen ulkoisiin tietovarantoihin edellyttää varmuutta tietojen saantiin, sekä sovittuja menettelyjä, joilla häiriötilanteissa tietojärjestelmät pystyvät toimimaan, tai vähintäänkin ilmoittamaan häiriöstä. Yleisölle tiedottamisenkin osalta on ehdotetun 3 momentin perusteella etukäteen suunniteltava häiriötilanteiden ja poikkeusolojen viestintä sekä digitaalisten palvelujen että muutoinkin tietoaineistojen saatavuuden osalta– suunnitelmassa on otettava huomioon myös tiedottaminen yleisölle tarjottavien palvelujen järjestelyistä.

Pykälän 4 momenttiin sisältyisi informatiivinen viittaus valmiuslakiin.

14 §. Tietojen siirtäminen tietoverkossa. Pykälän 2 momenttiin tehtäisiin tekninen muutos poistamalla digitaalisten palvelujen tarjoamisesta annetun lain säädöskokoelmanumero, koska jatkossa kyseessä oleva laki mainittaisiin ensimmäisen kerran lain 13 a §:ssä.

26 §. Asiarekisteriin rekisteröitävät tiedot. Pykälään ehdotetaan tehtäväksi muutoksia, jotka ovat tarpeellisia automatisoidun toimintaprosessin ja muutenkin sähköisen asiankäsittelyn asianhallinnan järjestämiseksi siten, että jälkikäteen voidaan todentaa asianhallinnasta asiankäsittelyyn liittyvät keskeiset seikat.

Pykälän 4 momenttia ehdotetaan muutettavaksi siten, että siihen lisättäisiin 4 kohta, jonka mukaan viranomaisen laatimasta asiakirjasta rekisteröitäisiin asiarekisteriin tiedot asiakirjan lähettämisajankohdasta ja lähettämistavasta. Tiedot tulisi rekisteröidä asiarekisteriin, jos asiakirja lähetetään viranomaisesta jollekin ulkopuoliselle toimijalle, kuten asianosaiselle tai toiselle viranomaiselle. Automatisoidussa toimintaprosessissa on kerättävä kontrollitietoa muun muassa lähtevästä ja saapuvasta asiakirjaliikenteestä. Tästä syystä, jos viranomaisen laatima asiakirja lähetetään viranomaisesta jollekin taholle, tulisi asiarekisteriin rekisteröidä lähettämisajankohta sen todentamiseksi, milloin lähetys on tapahtunut. Asiarekisteriin tulisi myös tehdä merkintä lähettämistavasta, jolla tarkoitetaan tapaa, jolla asiakirja on lähetetty, kuten postitse, sähköpostilla tai muulla vastaavalla tavalla. Lähettämisen ajankohta ja tapa ovat keskeisiä erilaisten hallinnon asiakkaan oikeusturvan liittyvien määräaikojen seurannan kannalta, kuten selvityspyyntöjen sisältämien määräaikojen tai tiedoksiantoon liittyvien lakisääteisten määräaikojen kannalta. Tästä syystä ehdotetut muutokset koskisivat kaikkia tiedonhallintalain soveltamisalassa olevia toimijoita eivätkä pelkästään automatisoitujen toimintaprosessin yhteydessä lähetettäviä asiakirjoja.

Pykälän 5 momenttia ehdotetaan muutettavaksi siten, että momenttiin lisättäisiin uudet 4–5 kohdat. Lisäykset ovat tarpeellisia automatisoidun asiaratkaisuun liittyvien toimien todentamiseksi asiarekisteristä, mutta koska lisäykset ovat keskeisiä yleensäkin hallinnon asiakkaiden oikeusturvan kannalta, ei niitä rajattaisi koskemaan pelkästään automaattisesti tuotettuja ratkaisuja. Uuden 4 kohdan mukaan asiarekisteriin tulisi rekisteröidä tieto viranomaisen tekemän asiankäsittelyn päättävän ratkaisun ajankohdasta. Säännöksellä tarkoitetaan tyypillisesti hallintopäätöstä, mutta asian ratkaisu voisi olla myös rekisterimerkinnän tekeminen, lausunnon antaminen tai muu hallintoasiaan liittyvä viranomaisen ratkaisu, joka päättää viranomaisessa varsinaisen hallintoasian käsittelyn. Asiankäsittelyn päättävän ajankohdan rekisteröinti on tärkeää sen varmistamiseksi, millainen sääntelytila on vallinnut ratkaisuhetkellä, mikä automatisoitu toimintaprosessin versio ratkaisuhetkellä on ollut käytössä, ja onko mahdollista lakisääteistä enimmäiskäsittelyaikaa noudatettu. Uuden 5 kohdan mukaan viranomaisen lähettämien asiakirjojen tiedoksiantotapa tulisi myös tarvittaessa ilmetä asiarekisteristä. Viranomainen voi antaa asiakirjat tiedoksi postitse, sähköisesti tai yleistiedoksiantona. Tiedoksiantotavasta on säädetty muualla lainsäädännössä kuten hallintolaissa ja sähköisestä asioinnista viranomaistoiminnassa annetussa laissa. Tiedoksiantotavalla on merkitystä muun muassa määräaikoja laskettaessa. Esimerkiksi postitse ja sähköisesti tapahtuvan tiedonannon johdosta tapahtuva määräaikojen laskeminen tapahtuu eri perusteilla. Tiedoksiantotapaa koskeva merkintä tulisi tehdä tarvittaessa, jos asiakirja lähetään hallintoasioissa tiedoksiantotarkoituksessa. Tiedoksiantotapaa koskeva merkintä olisi tarpeellinen automatisoidussa toimintaprosessissa, jotta asiarekisteristä voidaan todentaa, miten esimerkiksi hallintopäätös on annettu automaattisesti tiedoksi asianosaiselle. Koska momenttiin lisätään uusi 4 ja 5 kohta, 3 kohtaan tehdään tekninen muutos.

6 a luku Automatisoitujen toimintaprosessien kehittämisen ja käytön tiedonhallinta

Tiedonhallintalakiin ehdotetaan lisättäväksi uusi 6 a luku. Ehdotettujen säännösten sijoittaminen omaan lukuunsa on perusteltua siksi, että luvun säännökset koskisivat ainoastaan automatisoitua toimintaprosessia.

28 a §. Automatisoidun toimintaprosessin kehittämisen olennainen dokumentaatio. Pykälässä säädettäisiin automatisoidun toimintaprosessin kehittämiseen liittyvästä olennaisesta dokumentaatiosta. Käytännössä viranomaisen olisi dokumentoitava, millaista oikeudellista harkintaa viranomainen on tehnyt automatisoidun toimintaprosessin käyttöönottamiseksi. Varsinaiset dokumentoitavat vaatimukset perustuvat muualla lainsäädännössä säädettyyn ja siitä johtuviin velvollisuuksiin. Esimerkiksi asiankäsittelyssä noudatettavasta menettelystä ja kuulemisvelvollisuudesta sekä oikeudellisen harkinnan perusteista on säädetty erikseen yleislainsäädännössä sekä erityislainsäädännössä. Dokumentoinnin kohteena olisivat hyvän hallinnon ja oikeusturvan toteuttamisen kannalta keskeiset seikat sekä käsittelysäännöt, jotta voitaisiin selvittää, millä käsittelysäännöillä prosessi on suunniteltu toteutettavaksi ja minkälaisen etukäteisen oikeudellisen harkinnan lopputuloksena automatisoidun prosessin on suunniteltu toimivan. Hallintolaki sisältäisi puolestaan säännökset, joiden perusteella automatisoitua asian ratkaisemista voitaisiin käyttää hallintoasioissa, sekä keskeiset hallintoasian käsittelyä koskevat säännökset.

Pykälän 1 momentissa säädettäisiin viranomaiselle velvollisuus dokumentoida toimintaprosessin automatisoinnin kehittämisen, käytön ja valvonnan tehtävänjako. Säännöksen tarkoituksena olisi velvoittaa viranomaisia dokumentoimaan automatisoidun päätöksenteon valmisteluun, päätöksentekoon ja laadunvalvontaan osallistuvien henkilöiden tehtävänjako ja yksilöimään nämä henkilöt, jolloin myös olisi selvää, keneen 6 a luvussa säädetyt velvollisuudet kohdistuvat. Säännös on tarpeellinen virkamiesten ja muiden tehtävävastuussa olevien henkilöiden oikeusturvan kannalta, koska virkavastuuta määriteltäessä ei voi jäädä epäselväksi, kenelle laissa säädetyt velvollisuudet kuuluvat ja keneltä edellytetään laissa säädetystä johtuvia virkatoimia. Koska tiedonhallinnassa ja tietojärjestelmien kehittämisessä erilaiset vastuut eivät tyypillisesti ole selkeitä, on tarpeen säätää erikseen laissa, että tehtävät ja niihin liittyvät vastuut dokumentoidaan riittävästi. Tällaiset vastuut voidaan dokumentoida osittain virallisiin työjärjestyksiin, johtosääntöihin tai hallintosääntöihin, mutta käytännössä vastuita voi olla myös kirjattuna tiedonhallintalaissa säädettyyn tiedonhallintamalliin sekä erilaisiin hanke- ja projektisuunnitelmiin. Laissa ei siten säädettäisi, mihin asiakirjoihin nämä vastuut määritellään tai kuka ne määrittelisi, vaan tämä ratkaistaan viranomaisessa sisäisen tehtävä- ja toimivaltamääräysten mukaisesti. Näistä päättää siten viranomaisessa toimivaltainen toimielin, virkamies tai muu toimihenkilö.

Tiedonhallintalain 4 §:n 2 momentin 1 kohdassa on säädetty siitä, että tiedonhallintayksikön johdon on huolehdittava siitä, että tiedonhallintayksikössä on määritelty tässä ja muussa laissa säädettyjen tiedonhallinnan toteuttamiseen liittyvien tehtävien vastuut. Siten jo olemassa oleva sääntely edellyttää, että tiedonhallinnan yleiset vastuut on pitänyt määritellä viranomaisorganisaatiotasolla, jonka perusteella voidaan antaa esimerkiksi työnjohdollisia määräyksiä vastuista ja tehtävistä tiedonhallinnan toteuttamiseksi käytännössä. Säännöksen tarkoituksena olisi suhteessa 4 §:n 2 momenttiin tarkentaa, että vastuut tulee määritellä yksiselitteisesti, konkreettisesti ja henkilötasolla, kun automatisoitua toimintaprosessia kehitetään ja otetaan käyttöön. Tarkkarajainen ja täsmällinen vastuiden määrittely korostaisi velvollisuuksia toteuttaa niitä tehtäviä, joista 6 a luvussa olisi säädetty.

Pykälän 2 momentin ensimmäisessä virkkeessä säädettäisiin viranomaiselle velvollisuus varmistaa, että automatisoituun toimintaprosessiin liittyvät menettelytavat ja käsittelysäännöt sekä niitä koskeva etukäteinen harkinta on dokumentoitu selkeästi ja kattavasti. Etukäteisyydellä korostettaisiin sitä, että automatisoidun toimintaprosessin toteuttamisessa tapahtuva harkinta on tehtävä ennen sen käyttöönottoa eikä vasta sen jo ollessa käytössä, ja että viranomainen tekee tällaisen harkinnan.

Viranomaiselle muodostuisi velvollisuus varmistaa automatisoitujen toimintaprosessien kehittämisen dokumentoinnin selkeys ja kattavuus, jolloin muodostettavasta dokumentaatiosta tulisi ilmetä, miten automatisoidun toimintaprosessin on määritelty toimivan tuotantokäytössä ja minkälaiseen etukäteiseen harkintaan automatisoidut toimintaprosessit pohjautuvat. Lisäksi viranomaisen tulisi varmistaa, että dokumentaatio on ajantasaista ja siten vastaa toimintaprosessin toimintaa. Ajantasaisuudesta huolehtiminen olisi merkityksellistä muun muassa siitä syystä, että dokumentaatiosta pitää pystyä todentamaan tietyllä ajan hetkellä voimassa olevat käsittelysäännöt, johon automatisoidussa toimintaprosessissa tapahtuva asioiden ratkaisu perustuu.

Säännöksen perusteella viranomaiselle ei säädettäisi suoraa dokumentointivelvollisuutta, koska osa dokumentaatiosta voi olla hankittavan tietojärjestelmän dokumentaatiota, jolloin vain osa dokumentaatiosta olisi itse viranomaisen tuottamaa. Viranomaiselle kohdistettu vastuu on sen varmistaminen, että dokumentaatio on olemassa ja että se täyttää laissa säädetyt vaatimukset. Viranomaisella olisi velvollisuus tuottaa tai tilata dokumentaatiota siltä osin kuin sitä ei ole saatavissa esimerkiksi tietojärjestelmän valmiista dokumentaatiosta. Oikeudelliseen etukäteen tehtävään harkintaan liittyvä dokumentointi liittyy keskeisesti julkisen vallan käyttöön eikä viranomainen voi tällaisia tehtäviä antaa yksityiselle ilman nimenomaista lakitasoista säännöstä perustuslain 124 §:ssä säädetyt rajoitukset huomioiden. Tässä laissa ei ehdoteta yleisesti säädettäväksi, että viranomainen voisi siirtää yksityiselle tehtävän määritellä oikeudellisesti merkityksellisiä käsittelysääntöjä automatisoituun toimintaprosessiin tai että yksityinen voisi tehdä syrjimättömyyteen, perusoikeuksien toteutumiseen tai vastaavaan liittyvää oikeudellista harkintaa viranomaisen puolesta. Selvää on, että oikeudellista harkintaa sisältävä määrittely ja dokumentointi on tehtävä viranomaisessa, kuten myös menettelytapojen ja käsittelysääntöjen määrittely, ellei erikseen laissa ole säädetty mahdollisuudesta antaa näitä tehtäviä yksityiselle tai elleivät ne sisälly muuten sellaisen julkisen hallintotehtävän hoitamiseen, jonka antaminen yksityiselle on mahdollistettu laissa. Sen sijaan teknisluonteista määrittelyä ja siihen liittyvää dokumentointia, kuten valmisohjelmiston tekninen toimintalogiikka, tietojärjestelmän tekninen toteuttaminen tai tekninen arkkitehtuuri, yksityiset tekevät kehittäessään tuotteitaan, eivätkä tässä laissa säädetyt velvollisuudet kohdistu suoraan yksityisiin toimijoihin niiden tietojärjestelmien ja ohjelmistojen kehittämistyössä. Kuitenkin viranomaisen tulee varmistaa tällaisenkin dokumentaation lainmukaisuus sekä tarkastaa ja hyväksyä 3 momentissa säädetyllä tavalla tällainen dokumentaatio, jos se sisältää tässä tai muussa laissa säädettyjä dokumentoitavia tietoja toimintaprosessista.

Viranomainen määrittelee tietojärjestelmän keskeiset asiankäsittelyyn vaikuttavat käsittelysäännöt ja vastaa siitä, että automatisoitu toimintaprosessi täyttää laissa säädetyt edellytykset ja menettelyvaatimukset. Momentin ensimmäisessä virkkeessä menettelytavoilla tarkoitetaan niitä dokumentoituja kuvauksia, joista ilmenee, miten asia käsitellään automatisoidusti viranomaisen tietojärjestelmissä. Käytännössä nämä ovat niitä 1–9 kohdassa tarkoitettuja tietoja, jotka eivät liity käsittelysääntöihin, kuten perusteet kuulemisen toteuttamisesta automaattisesti tai laadunvalvontaa koskevat toiminnallisuudet.

Hallintolaissa ehdotetun perusteella automatisoidussa toimintaprosessissa voisi olla myös käsittelyvaiheita, joissa luonnollinen henkilö käsittelee asiaa, jonka jälkeen toimintaprosessi etenee automaattisesti tehtävään asian ratkaisemiseen. Käsittelysäännöt voisivat vaikuttaa myös siihen, missä vaiheissa työnkulkua luonnollinen henkilö osallistuisi asiankäsittelyyn toimintaprosessin sisällä. Asiankäsittelyn siirtäminen luonnolliselle henkilölle voisi perustua esimerkiksi viranomaisen tekemään riskiarvioon, tavallisesta poikkeaviin tietoihin kuten epätavallisen suuriin tai pieniin lukuarvoihin, tai siihen, että tietty käsittelyvaihe edellyttää luonnollisen henkilön tekemää harkintaa. Lisäksi automatisoidussa toimintaprosessissa oleva asia voitaisiin ohjata luonnolliselle henkilölle esimerkiksi sisäisen laillisuusvalvonnan tai laadunvalvonnan toteuttamiseksi satunnaisotannalla.

Pykälän 2 momentin toisessa virkkeessä olisi säädetty dokumentoinnin sisällön minimivaatimuksista. Momentin 1 kohdan mukaan viranomaisen olisi dokumentoitava toimintaprosessin kaikki vaiheet, joilla on vaikutusta asian ratkaisuun. Säännöksen tarkoituksena on varmistaa, että viranomaisen toimintaprosessin keskeinen sisältö on kehittämisvaiheessa kuvattava riittävästi siten, että siitä saa käsityksen, millaisella työnkululla automatisoitu ratkaisu on suunniteltu muodostuvaksi ja mihin sääntelyyn käsittelyvaiheet perustuvat.

Momentin 2 kohdassa säädettäisiin kuhunkin käsittelyvaiheeseen sisältyvien käsittelysääntöjen dokumentointivelvollisuudesta. Jotta asia voidaan käsitellä ja ratkaista viranomaisessa automaattisesti, on viranomaisen määriteltävä, millä käsittelysäännöillä asia käsitellään automaattisesti toimintaprosessissa sekä minkälaisia vaihtoehtoja ja muuttujia kuhunkin käsittelyvaiheeseen voi suunnitellusti sisältyä. Ehdotetun hallintolain 53 e §:n mukaisesti käsittelysäännöt tulee laatia soveltuvaan lakiin perustuen, ja ehdotetun tiedonhallintalain 2 §:n 1 momentin 16 kohdan mukaisesti käsittelysäännöt laatisi aina luonnollinen henkilö. Jos automaattiseen asian ratkaisemiseen liittyy asianosaiseen liittyviä valikointiin johtavia syitä, tulisi myös tällaiset valintasäännöt kuvata osana käsittelysääntöjä ja lisäksi dokumentoida perusteet tällaiselle valikoinnille.

Momentin 3 kohdassa säädettäisiin vielä erikseen siitä, että dokumentaatiossa tulisi esittää perusteet sille, miten viranomainen on varmistanut käytettävien käsittelysääntöjen syrjimättömyyden tilanteissa, joissa automaattisesti käsiteltävät asiat valikoituvat asianosaiseen liittyvien syiden vuoksi. Syrjimättömyyden arviointiin vaikuttavat hallintolain 6 §:ssä säädetyt hallinnon oikeusperiaatteet, perustuslain 6 ja 22 §, tasa-arvolain 5 §:ssä säädetty viranomaisen velvollisuus edistää yhdenvertaisuutta, yhdenvertaisuuslain 3 luvussa säädetyt syrjinnän ja vastatoimien kiellot sekä Suomea sitovat kansainväliset velvoitteet. Automatisoituun toimintaprosessiin valikointi ei saisi käytännössä muualla säädetyn perusteella kohdistua yksin johonkin asianosaisen syrjintäperusteeseen, kuten ikään, sukupuoleen, rotuun tai etniseen alkuperään, mutta valikointiin voisi vaikuttaa kuitenkin yhtenä perusteena hyväksyttävissä tilanteissa esimerkiksi asianosaisen ikä. Tämä olisi merkityksellistä erityisesti tilanteissa, joissa toimintaprosesseissa käsiteltäisiin alaikäisten asioita, jolloin viranomaisella saattaa olla hyväksyttävänä valikointiperusteena automaattisen asiankäsittelyn sijaan manuaalikäsittely alaikäisen oikeuksien turvaamisen tai varmistamisen vuoksi. Niin ikään erilaisten etuuksien myöntämisen yhteydessä valikointiin tai muihin käsittelysääntöihin voi vaikuttaa henkilön ikä. Käsittelysäännöt määriteltäisiin tai ne määräytyisivät muun lainsäädännön ja niihin liittyvän tulkinnan perusteella, joka tehdään viranomaisessa etukäteen siinä vaiheessa, kun viranomainen suunnittelee automatisoidun toimintaprosessin käyttöönottoa tai muutoksia käytössä olevaan automatisoituun toimintaprosessiin. Ehdotettu säännös tarkoittaisi näiden perusteiden dokumentointia osaksi toimintaprosessin dokumentaatiota. Syrjimättömyyden varmistaminen olisi kuitenkin kehittämistyöhön kohdistuva olennainen vaatimus, jota voidaan pitää perusoikeuksien kannalta merkityksellisenä dokumentoinnin kohteena, jolla voidaan myös varmistaa se, että viranomainen tekee kehittämisvaiheessa tosiasiallisesti harkintaa, millä asianosaiseen liittyvillä syillä toimintaprosesseissa voidaan tehdä valikointia.

Momentin 4 kohdan perusteella viranomaisen automatisoidun toimintaprosessin dokumentaatiosta tulisi ilmetä perusteet sille, miten perustuslain 21 §:ssä säädetty asianosaisen oikeus tulla kuulluksi toteutetaan tai millä perusteella viranomainen katsoo, ettei kuulemista ole tarve lailliseen perusteeseen vetoamalla toteuttaa. Säännöksen tarkoituksena on edellyttää viranomaisen tekevän tietoisen arvioinnin siitä, että asianosaisen oikeus tulla kuulluksi tosiasiallisesti toteutuu. Dokumentoinnista tulisi ilmetä kuulemisen toteuttamisen järjestelyt, kuten se, miten kuuleminen toteutetaan osana automatisoitua prosessia, millä kielellä kuuleminen milloinkin tapahtuu, miten kuulemisessa asianosaiselta saadut tiedot käsitellään, sekä se, miten vastine otetaan huomioon automatisoidussa käsittelyssä, vai ohjautuuko vastineen perusteella asia luonnollisen henkilön käsiteltäväksi viranomaisessa. Hallintolaissa ja muualla lainsäädännössä on säädetty perusteista, jolloin asianosaisen kuulemisesta voidaan poiketa. Jos muualla lainsäädännössä säädetyt edellytykset täyttyvät, tulisi dokumentaatiosta ilmetä viranomaisen perustelut sille, että se voi järjestelmällisesti poiketa määriteltyjen käsittelysääntöjen perusteella kuulemisvelvollisuudestaan. Käytännössä, jos viranomainen ei voi toteuttaa asianosaisen kuulemista automatisoidusti, on tällainen käsittelyvaihe toteutettava viranomaisessa luonnollisen henkilön myötävaikutuksella. Tämä ei olisi kuitenkaan sinänsä este sille, että viranomainen voi tehdä kuulemisessa ilmenneiden seikkojen jälkeen asiassa asiankäsittelyn päättävän ratkaisun automaattisesti. Kuulemisessa ilmenneet seikat olisi joka tapauksessa huomioitava asianmukaisesti ennen asian automaattista ratkaisemista. Yleinen menettelysääntely sekä hyvän hallinnon turvaaminen koskee viranomaista myös asian automaattisessa ratkaisemisessa.

Momentin 5 kohdassa säädettäisiin asian ratkaisemiseen liittyvän tietopohjan perusteiden dokumentoinnista. Voimassa olevan tiedonhallintalain 5 §:n 3 momentin nojalla tiedonhallintayksikön on tehtävä tiedonhallinnan muutosvaikutusten arviointi tiedonhallintamalliin olennaisesti vaikuttavista tietojärjestelmien käyttöönotoista. Tässä yhteydessä tiedonhallintayksikön on arvioitava käsiteltäviä tietoja ja niihin liittyviä muutoksia. Tiedonhallintalain 20 §:ssä on säädetty tietoaineistojen keräämisestä viranomaisen tehtäviä varten. Lainkohta käytännössä ohjaa viranomaisten tietojen keräämistä asiankäsittelyä varten. Ehdotettu 5 kohdan säännös täydentäisi tiedonhallintalaissa jo aiemmin säädettyä siten, että tietojen käsittelyyn ja hallintaan liittyvät suunnitelmat ja toteutus dokumentoidaan sekä samalla varmistetaan, että asiankäsittelyn asianmukaisuus varmistetaan käytettäessä automaattisia menettelyitä asian ratkaisemiseksi. Dokumentaatiosta pitäisi ilmetä tietolähteet, joilla tarkoitetaan viranomaisia ja muita toimijoita, joilta asiaa käsittelevä viranomainen saa tietoja automatisoituun toimintaprosessiinsa. Lisäksi tulisi ilmetä hankittavat tiedot kustakin tietolähteestä. Tietojen hankintaan liittyvät menettelyt tarkoittavat tiedonsaantiin oikeuttavan sääntelyn dokumentointia sekä tietojensaannin toteuttamistapaa, jollainen automatisoiduissa toimintaprosesseissa voi olla lähinnä tietojensaantitapana tietojensaanti teknisen rajapinnan avulla toiselta viranomaiselta. Jos teknisillä rajapinnoilla on tarvetta saada tietoja muilta kuin viranomaisilta, on tästä säädettävä erikseen laissa. Tiedonhallintalain teknisten rajapintojen käyttöä koskevat säännökset liittyvät tiedonsaantiin viranomaiselta, jolloin tietojen luovuttajana sääntelyn perusteella toimii viranomainen tai siihen rinnastuva muu toimija, kuten julkista hallintotehtävää hoitava yksityinen.

Momentin 6 kohdassa säädettäisiin velvollisuudesta dokumentoida kehittämisvaiheessa, miten asian ratkaisemisessa tarvittavien tietojen laatu on varmistettu. Asianosaisen oikeusturvan kannalta on erityisesti merkitystä sillä, että hänen asiansa käsitellään viranomaisessa sellaisten tietojen perusteella, jotka ovat ajantasaisia ja virheettömiä. Säännöksen tarkoituksena olisi varmistaa, että viranomainen tosiasiallisesti suunnittelee automatisoidun asian selvittämisen siten, että asianmukaiselle selvittämisvelvollisuudelle säädetyt vaatimukset täyttyvät myös täysin automatisoiduissa toimintaprosesseissa. Tiedonhallintalain 15 §:n 1 momentin mukaan viranomaisen on varmistettava tarpeellisin tietoturvallisuustoimenpitein, että sen tietoaineistojen alkuperäisyys, ajantasaisuus ja virheettömyys on varmistettu. Tietosuojasääntelyssä puolestaan edellytetään rekisterinpitäjän huolehtivan siitä, että käsiteltävät henkilötiedot ovat täsmällisiä, jolla tarkoitetaan muun muassa tietojen virheettömyyden ja ajantasaisuuden varmistamista. Lisäksi lakiehdotus sisältäisi uuden 28 h §:n, jossa säädettäisiin viranomaiselle velvollisuus varmistaa ratkaisemisessa hyödynnettävien tietojen ajantasaisuus ja virheettömyys. Hallintolain mukaisesti viranomaisen on huolehdittava asian riittävästä ja asianmukaisesta selvittämisestä. Ehdotetun 6 kohdan sisältö määrittyisi muun muassa edellä mainittujen säännösten perusteella.

Momentin 7 kohdassa säädettäisiin velvollisuudesta dokumentoida ne käsittelysäännöt, joilla päätöksen perustelut esitetään asianosaiselle viranomaisen ratkaisua osoittavassa asiakirjassa, kuten hallintopäätöksessä. Viranomaisen olisi suunniteltava ennalta, miten automatisoidussa toimintaprosessissa muodostuvan ratkaisun perustelut esitetään hyvää hallintoa noudattaen asianosaiselle ymmärrettävästi ja selkeästi ja siten, että asianosaiselle muodostuu käsitys siitä, mihin viranomaisen ratkaisu perustuu. Se, missä tilanteessa ja miten viranomaisen ratkaisun perustelut esitetään ja milloin niistä voidaan poiketa, ratkaistaan muun sääntelyn perusteella. Se, millä kielellä päätös annetaan, ratkaistaan kielilainsäädännön perusteella. Viranomaisen olisi kuitenkin dokumentoitava myös ne perusteet, joilla se katsoo, että automatisoidun päätöksen perustelut voidaan jättää esittämättä. Kohdan tarkoituksena olisi varmistaa se, että viranomainen suunnittelee automatisoinnin siten, että perusteluvelvollisuus toteutuu perustuslain 21 §:ssä ja muualla laissa, erityisesti hallintolaissa, säädetty huomioiden. Automaattisestikin muodostettujen perustelujen on täytettävä perusteluille muualla lainsäädännössä asetetut vaatimukset ja perusteluiden on oltava asianmukaisia, selkeitä, ymmärrettäviä, liityttävä kunkin asian ratkaisun muuttujiin ja täytettävä oikeusturvan toteutumiselle säädetyt vaatimukset.

Momentin 8 kohdassa säädettäisiin velvollisuudesta dokumentoida, miten toimintaprosessin laadunvalvonta on mahdollista toteuttaa tietojärjestelmään. Säännös täydentäisi 28 c §:ssä säädettyä velvollisuutta laadunvalvontaan automatisoidun toimintaprosessin tuotantokäytössä. Ehdotetun säännöksen tarkoituksena on korostaa viranomaisen velvollisuutta suunnitella, miten laadunvalvonta voidaan teknisesti toteuttaa automatisoidun toimintaprosessin sisältäviin tietojärjestelmiin.

Momentin 9 kohdassa säädettäisiin tietoturvallisuustoimenpiteiden dokumentointiin liittyvästä vaatimuksesta. Tietoturvallisuustoimenpiteiden dokumentointivaatimus sisältyy voimassa olevaan tiedonhallintalain 5 §:n 2 momentissa säädettyyn tiedonhallintamalliin. Ehdotetun lisäsääntelyn tarkoituksena on korostaa tietoturvallisuustoimenpiteiden merkitystä automatisoitujen toimintaprosessien toteuttamisessa, erityisesti koska automatisoiduissa toimintaprosesseissa käsitellään ja tuotetaan mahdollisesti suuriakin määriä erilaisia tietoja.

Pykälän 3 momentissa säädettäisiin dokumentointiin liittyvistä vaatimuksista ja vastuista. Momentin ensimmäisen virkkeen mukaan viranomaisen olisi merkittävä dokumentaation lopputuloksena muodostuneisiin asiakirjoihin versionumero, hyväksymispäivämäärä ja hyväksyjä. Virkkeessä säädettäisiin myös hyväksyjän velvollisuudesta tarkastaa asiakirjan sisällön lainmukaisuus. Pykälässä säädetyn dokumentointivaatimuksen täyttämiseksi viranomaisille muodostuu ja kertyy useita erilaisia asiakirjoja, joiden sisällön lainmukaisuuden tarkastamiseen tarvitaan erilaista asiantuntemusta. Tästä syystä asiakirjan hyväksyjällä on oltava paitsi viranomaisessa sellainen asema, että hän voi viranomaisen puolesta hyväksyä asiakirjan sisällön, mutta myös ymmärrys asiakirjan asiallisesta sisällöstä ja asian kannalta merkityksellisestä lainsäädännöstä, jotta ehdotettu velvollisuus voi käytännössä toteutua. Vaadittavan asiantuntemuksen vuoksi asiakirjan hyväksyy siis viranomaisessa se, jolla on tosiasiassa mahdollisuus toteuttaa laissa säädetty velvollisuus ja suorittaa virkatoimi asianmukaisesti. Pykälän 2 momentissa tarkoitettuun dokumentaatioon voi sisältyä laajakin joukko eri asiakirjoja ja joka asiakirjalla voi tarvittaessa olla oma erillinen hyväksyjänsä. Asiakirjojen tarkastamisessa ja hyväksymisessä olisi huomioitava tiedonhallintalaissa ja hallintolaissa säädetyn ohella sellainen muissa laeissa säädetty, mikä olisi huomioitava automatisoidussa toimintaprosessissa ja joka olisi myös dokumentoitava. Tällainen muu sääntely voisi olla esimerkiksi toimialakohtaista erityissääntelyä, perusoikeuksia edistävää ja turvaavaa sääntelyä tai kansainvälisiä velvoitteita koskevaa sääntelyä.

Asiakirjan hyväksyjä vastaa hyväksymiseen liittyvistä virkatoimista. Asiakirjojen hyväksyjänä ei voida käyttää viranomaisen ulkopuolista toimijaa, vaan sellaista, johon ulottuu virkavastuusääntely joko tässä tai muussa laissa säädetyn perusteella. Toisaalta laissa ei säädettäisi siitä, että hyväksyjän pitäisi olla yksittäinen henkilö, vaan hyväksyjänä voisi olla myös toimielin.

Hyväksyttyä asiakirjaa ei voisi muuttaa, vaan tarvittaessa viranomaisen olisi laadittava uusi versio asiakirjasta ja hyväksyttävä se. Aiemmat versiot ja ajantasaisin asiakirjaversio olisi säilytettävä vähintään viisi vuotta siitä, kun automatisoitu toimintaprosessi on poistettu käytöstä. Säilytysvelvollisuudella on tarkoitus varmistaa, että tehdyt kehittämistoimet voidaan tarvittaessa todentaa riittävän kauan mahdollisia virkavastuukysymyksiä koskevissa selvittelyissä. Säilytysaikasäännös olisi minimisäilytysaikaa koskeva vaatimus. Asiakirjoja voitaisiin säilyttää mainittua pidempi aika, jos siihen on jokin syy.

28 b §. Vaatimustenmukaisuuden ja hyvän kielenkäytön varmistaminen testaamalla. Pykälässä säädettäisiin automatisoitujen toimintaprosessien käyttöönottoon vaatimustenmukaisuuden varmistamisen perusteista, jotka ovat välttämättömiä sen varmistamiseksi, että prosessit toimivat ennalta määritellyllä tavalla ja että toimintaprosessia ei oteta käyttöön keskeneräisenä. Pykälän tarkoituksena on siis velvoittaa viranomainen varmistamaan, että kun automatisoidun toimintaprosessin dokumentaation sisältö on 28 a §:n mukaisesti hyväksytty lain mukaiseksi, toteutuksen jälkeen automatisoitu toimintaprosessi myös toimii niin kuin dokumentaatiossa on kuvattu. Vaikka tietojärjestelmien testaaminen on sinänsä vakiintunut käytäntö, säännös olisi tarpeen osana automatisoituun toimintaprosessiin liittyvien, virkatoimiin kuuluvien velvollisuuksien yksilöintiä sekä prosessin toiminnan ennakollista kontrollointia, jolla pyritään varmistamaan asianosaisen oikeusturvan toteutuminen hallintoasioita käsiteltäessä. Automatisoidut toimintaprosessit toteutetaan tietojärjestelmien avulla, ja tietojärjestelmän vaatimustenmukaisuus varmistetaan testaamalla. Se, että tietojärjestelmä ei ole ollut valmis tarkoitukseensa tai riittävän virheetön toiminnaltaan, on ollut useissa laillisuusvalvojien käsittelemissä tapauksissa syynä sille, että asianmukainen asiankäsittely on vaarantunut, muun muassa AOA 1137/4/04, AOA 645/4/04, EOA 2071/4/05 ja EOA 33/2/06. Tietojärjestelmän testaaminen ennen sen käyttöönottamista tai hyväksyntää on sinänsä vakiintunut ja yleinen käytäntö, mutta sitä koskevista velvollisuuksista on säädettävä lain tasolla tarkemmin hyvän hallinnon turvaamisen ja virkavastuun kohdentumisen vuoksi.

Pykälässä tarkoitettu vaatimustenmukaisuuden varmistaminen testaamalla tarkoittaa testausta, joka tehdään automatisoidun toimintaprosessin hyväksymiseksi käyttöönottoa varten ja tilanteissa, joissa toimintaprosessia on muutettu. Tyypillisesti tätä testausvaihetta kutsutaan hyväksymistestaukseksi. Pykälässä säädettäväksi ehdotettavia säännöksiä ei siten sovellettaisi muuhun testaamiseen, jota tehdään tietojärjestelmäkehittämisen eri vaiheissa. Viranomaisen ei voi edellyttää osallistuvan valmisohjelmiston sellaiseen testaamiseen, joka on tehty ennen kuin viranomainen on sen hankkinut, eikä myöskään hankinnan jälkeen teknisluonteiseen testaamiseen. Viranomaisen on kuitenkin väistämättä asetettava vaatimuksia testauksen suunnitelmalliselle tekemiselle ja dokumentoinnille silloin, kun viranomainen tekee julkisia hankintoja, joissa hankintakohteena on automatisoidun toimintaprosessin sisältävä tai toteuttava tietojärjestelmä. Tällainen testauksen kokonaisuuden varmistaminen on niitä hankintoihin liittyviä toimia, joita viranomainen on velvollinen tekemään muutenkin kaikkien tietojärjestelmiensä osalta riippumatta siitä, käsitelläänkö niissä asioita automatisoiduissa toimintaprosesseissa. Ehdotus koskee kuitenkin vain automatisoidun toimintaprosessin vaatimustenmukaisuuden varmistamista. Yleisistä tietojärjestelmien käyttöön liittyvistä vaatimuksista on säädetty tiedonhallintalain ohella myös muualla lainsäädännössä.

Vaatimuksilla tarkoitettaisiin pykälässä automatisoidulle toimintaprosessille viranomaisen asettamia erilaisia teknisiä ja toiminnallisia vaatimuksia, jotka perustuvat 28 a §:ssä mainittuihin menettelytapoihin ja käsittelysääntöihin. Nämä eivät olisi välttämättä sellaisenaan suoraan laista syntyviä vaatimuksia, vaan myös muita toimintaprosessin menettelytapoihin ja käsittelysääntöihin liittyviä vaatimuksia, joilla on vaikutusta automatisoidussa toimintaprosessissa tuotettaviin ratkaisuihin. Vaatimukset voivat ilmetä 28 a §:ssä mainitun dokumentaation lisäksi myös muista asiakirjoista, jotka koskevat esimerkiksi tietojärjestelmän hankintaa sekä muita automatisoituun prosessiin liittyviä teknisiä eritelmiä ja kuvauksia. Nämä vaatimukset voivat liittyä esimerkiksi viranomaisen työnkulkuun, toiminnan järjestämiseen tai käyttöliittymiin, joiden ominaisuudet eivät tule lainsäädännöstä mutta joiden oikea toiminta ja laatu ovat keskeisiä, jotta viranomainen voi asianmukaisesti toteuttaa automatisoitua toimintaprosessia. Ei myöskään olisi tarkoituksenmukaista säätää lainmukaisuuden varmistamisesta testaamalla, koska testausta suorittavalla ei voida tavanomaisesti edellyttää olevan siihen sopivaa asiantuntemusta. Menettelytapojen ja käsittelysääntöjen lainmukaisuuden tarkastaa 28 a §:n 3 momentissa tarkoitettu dokumentaation hyväksyjä. Lainsäädännön ja viranomaisen toiminnan ymmärtävät virkamiehet tyypillisesti laativat yhdessä teknisten asiantuntijoiden, jotka voivat olla yksityisen toimijan edustajia, kanssa toimintaprosessille (tai tietojärjestelmälle, jossa sitä toteutetaan) asetettavat vaatimukset, joita vasten kehityksen lopputulosta sitten testataan.

Pykälän 1 momentin perusteella viranomaisen olisi huolehdittava, että hyväksymis- tai muutostestaus on tehty suunnitelmallisesti siten, että testauksella voidaan varmistaa toimintaprosessin toimivan sille määriteltyjen vaatimusten mukaisesti. Pykälän 1 momentinensimmäisessä virkkeessä velvoitettaisiin viranomainen varmistamaan ennen toimintaprosessin käyttöönottoa ja kun toimintaprosessin käsittelysääntöjä on muutettu se, että automatisoidun toimintaprosessin menettelytavat ja käsittelysäännöt täyttävät niille asetetut vaatimukset ja että automatisoidussa toimintaprosessissa automaattisesti tuotettavat asianosaiselle annettavat asiakirjat täyttävät hyvän kielenkäytön vaatimuksen. Varmistaminen tulisi tehdä testaamalla. Käyttöönotolla ei tässä yhteydessä tarkoitettaisi tietojärjestelmän käyttöönottoa, vaan automatisoidun toimintaprosessin käyttöönottoa, joka ei välttämättä kytkeydy suoraan tietojärjestelmän käyttöönottoon tai tapahdu sen kanssa samanaikaisesti. Menettelytavat ja käsittelysäännöt olisivat samoja kuin ne, joihin viitataan 28 a §:ssä.

Toimintaprosessille asetettujen vaatimusten pohjalta viranomaisen tulee suunnitella testauksen suorittaminen valitsemalla asianmukaiset testausmenetelmät sekä muodostamalla asianmukainen testiaineisto vaatimustenmukaisuuden ja hyvän kielenkäytön todentamiseksi. Testaamista koskeva velvollisuus kohdentuisi nimenomaisesti ennen käyttöönottoa tehtävään viranomaisen tekemään testaamiseen sekä kun käytössä olevaan automatisoituun toimintaprosessiin sisältyviä käsittelysääntöjä on muutettu, jolloin velvollisuus kohdistuu käsittelysääntöjen muutosten testaamiseen. Siten testaamista koskevat vaatimukset eivät koskisi muuta testaamista, kuten valmisohjelmiston kehitystyön aikana yksityisen tekemää testaamista, yksittäisen virheen selvittämistä koskevaa tutkivaa testaamista tai testaajien kouluttamisen yhteydessä tehtävää testaamista.

Testauksen kohteena olisi menettelytapojen ja käsittelysääntöjen lisäksi asianosaiselle automatisoidussa toimintaprosessissa tuotettavien asiakirjojen, kuten selvityspyyntöjen ja toimituskirjojen hyvä kielenkäyttö. Hallintolain 9 §:ssä on säädetty viranomaistoiminnassa noudatettavasta hyvän kielenkäytön vaatimuksesta. Koska asiakirjoja voitaisiin tuottaa ja toimittaa ilman suoraa ihmiskontrollia automatisoidun toimintaprosessin yhteydessä, olisi tarpeen kohdistaa myös riittävä vastuu tällaisten asiakirjojen hyvän kielenkäytön varmistamisesta, jotta hallinnon asiakkaan oikeusturva ei suotta vaarannu virheellisten tai vaikeaselkoisten asiakirjojen vuoksi. Lisäksi viranomaisen olisi huomioitava kielilainsäädännöstä johtuvat vaatimukset asiakirjoissa käytettävästä kielestä. Tietojärjestelmien tuottamien asiakirjojen kieltä koskevista puutteista on annettu esimerkiksi eduskunnan oikeusasiamiehen ratkaisu EOA 2523/4/08, jossa oli kyse ruotsinkieliselle asianosaiselle annetusta osittain suomenkielisestä rikesakkomääräyksestä. Syyksi tälle poliisi kertoi keskeneräiseen tietojärjestelmään. Säännöksellä edistettäisiinkin siis kielellisten oikeuksien ja hyvän hallinnon vaatimusten toteuttamista. Digitaalisissa palveluissa noudatettavista saavutettavuusvaatimuksista, joihin kuuluu myös ymmärrettävyysvaatimus, on säädetty digipalvelulaissa.

Momentin toisessa virkkeessä korostettaisiin testauksen suunnitelmallisuutta ja sitä, että testauksessa olisi käytettävä asianmukaisia testausmenetelmiä ja testiaineistoja. Säännös jättää kuitenkin viranomaisen arvioitavaksi sen, mitkä testausmenetelmät ja millaiset testiaineistot ovat missäkin tapauksessa asianmukaisia, koska lähestymistapoja testaamiseen on useita ja myös uusia kehitetään jatkuvasti. Testausmenetelmien tulisi olla kuitenkin sellaisia, joilla kaikkien vaatimusten toteutuminen voidaan riittävästi varmistaa. Testauksen tavoitteena olisi saada kohtuullinen varmuus siitä, että automatisoitu toimintaprosessi toimii ennalta määriteltyjen vaatimusten mukaisesti ja että toimintaprosessi toimii lainmukaisesti ja asiankäsittelyn asianmukaisuusvaatimuksen täyttäen. Toimintaprosessin automatisoinnilta ja sen vaatimustenmukaisuuden testaamiselta ei voida odottaa täydellisyyttä, mistä syystä 28 c §:ssä säädettäisiin toimintaprosessin laadunvalvonnasta ja virheiden korjaamisesta.

Pykälän 1 momentin kolmannessa virkkeessä säädettäisiin testaukseen liittyvästä erityisestä dokumentointivaatimuksesta, jonka mukaan testitulokset sekä havaittujen virheiden ja puutteiden korjaavat toimet olisi dokumentoitava. Säännöksen tarkoituksena olisi velvoittaa testauksen suorittavat ja testauksen perusteella korjaavia toimia tekevät henkilöt dokumentoimaan testitulokset, niiden perusteella havaitut virhetoiminnallisuudet sekä tiedot toimenpiteistä, joilla havaitut virheet on korjattu. Dokumentaation tulisi olla riittävän täsmällistä ja selkeää, jotta jälkikäteen voidaan todentaa testaus suoritetuksi asianmukaisesti ja tarvittaessa selvittää vastuut, jos testauksesta huolimatta toimintaprosessi toimii vastoin sille asetettuja vaatimuksia. Ehdotettava säännös palvelee automatisoidun toimintaprosessin käyttöönoton asianmukaisuuden varmistamista ja virkavastuun kohdentumista.

Pykälän 2 momentissa säädettäisiin vaatimustenmukaisuuden varmistamista koskevasta velvollisuudesta nimetä vastuuhenkilö, jonka tehtävänä on varmistaa, että testaaminen on toteutettu 1 momentin mukaisesti ja että testaus dokumentoidaan asianmukaisesti. Vastuuhenkilöllä on työnjohdollinen vastuu automatisoidun toimintaprosessin ja automaattisesti tuotettavien asiakirjojen vaatimustenmukaisuuden varmistamisesta testauksessa. Vastuuhenkilö ei välttämättä osallistuisi varsinaiseen testaamiseen, vaan hän toimisi testauksen laadun ja asianmukaisen toteuttamisen valvojana. Vastuuhenkilön virkavastuu kohdistuu nimenomaisesti pykälässä tarkoitettuun hyväksymis- ja muutostestaukseen, joten vastuuhenkilön lakisääteisenä tehtävänä ei olisi valvoa kaikkea testaamista, joka liittyy automatisoidun toimintaprosessin toiminnalliseen ja tekniseen testaamiseen, eikä vastuuhenkilö olisi vastuussa esimerkiksi valmisohjelmiston kehittämisen yhteydessä tehdystä testaamisesta. Vastuuhenkilölle voisi kuulua myös muiden testausvaiheiden valvontaan liittyviä tehtäviä, jos viranomainen tällaisia tehtäviä antaa hänelle. Ne eivät kuitenkaan liittyisi tässä laissa säädettyjen tehtävien hoitamiseen tai testauksen valvontaan.

Pykälän 3 momentissa säädettäisiin 1 momentin mukaista testaamista suorittavan henkilön velvollisuuksista. Säännös ei siis koskisi testaajia, jotka tekevät muuta kuin 1 momentissa tarkoitettua viranomaisen vaatimustenmukaisuuden ja hyvän kielenkäytön varmistamisvelvollisuutta toteuttavaa testausta. Testausta suorittavan henkilön tulisi käyttää viranomaisen testaussuunnitelmassa määrittelemää testausmenetelmää sekä suorittaa testaus testaussuunnitelmassa määritellyllä testiaineistolla. Testaajan olisi siis suoritettava testaus toimintaprosessista vastaavan viranomaisen päättämällä tavalla niin, että 1 momentin vaatimukset voidaan täyttää. Testaamisella on keskeinen rooli toimintaprosessin automatisoinnin vaatimustenmukaisuuden varmistamisessa, ja puutteellinen testaus voi johtaa muun muassa hallinnon asiakkaan oikeusturvan vaarantumiseen, viranomaisen valvontaintressin vaarantumiseen tai viranomaisen toimintakyvyn ja palvelutason heikkenemiseen. Siltä osin kuin testaus tehdään automaattisesti, olisi testausautomaatio yksi testausmenetelmä muiden joukossa ja velvoite kohdistuisi henkilöön, joka toteuttaa automaattisen testauksen. Säännöksessä edellytettäisiin lisäksi, että testaamista suorittavan henkilön olisi dokumentoitava testitulokset huolellisesti. Momentin tarkoituksena on kohdentaa testausta suorittavaan henkilöön sellaisia yksilöityjä velvollisuuksia, jotka muodostavat testaamisessa virkatoimia, joiden noudattamista voidaan jälkikäteen arvioida. Laissa olisi erikseen säädetty siitä, että testauksessa avustavaa tehtävää hoitavaan sovellettaisiin rikosoikeudellista virkavastuuta koskevia säännöksiä riippumatta palvelussuhteesta tai toimeksiantosuhteesta, jos tällainen avustava tehtävä on annettu yksityisen hoidettavaksi.

Pykälän 4 momentissa säädettäisiin, että viranomaisen olisi testitulosten perusteella todettava toimintaprosessin menettelytapojen ja käsittelysääntöjen vaatimustenmukaisuus sekä hyvä kielenkäyttö asianosaiselle annettavissa asiakirjoissa. Viranomaiselle kohdistettaisiin testauksen päätyttyä velvoite perehtyä testituloksiin ja niiden perusteella todeta kirjallisesti, että automatisoitu toimintaprosessi täyttää sille asetetut vaatimukset ja toimii ennalta laadittujen määrittelyjen mukaisesti. Pelkkä testauksen toteuttaminen itsessään ei olisi riittävää, vaan viranomaisen on myös käsiteltävä testauksessa tehdyt havainnot ja arvioitava niiden mahdolliset vaikutukset toimintaprosessin vaatimustenmukaisuuteen ja käyttöönottokelpoisuuteen. Tällä tavoin kiinnitettäisiin virkavastuu viranomaisen velvoitteeseen varmistua siitä, että toimintaprosessi on valmis tarkoitukseensa eikä keskeneräinen. Keskeneräisten tietojärjestelmien käyttöönotto on useissa laillisuusvalvojien tutkimissa tapauksissa ollut syynä sille, että hyvän hallinnon vaatimukset eivät ole toteutuneet tai viranomaisen toimet ovat olleet virheellisiä, esimerkiksi AOA 1137/4/04, AOA 645/4/04, EOA 2071/4/05, EOA 33/2/06, EOA 206/4/11, EOA 2357/2/11 ja OKV/1453/1/2018.

Pykälässä korostuisivat testaamiseen kohdennettavat velvollisuudet niin suunnitteluun, testauksen toteuttamiseen, valvontaan kuin testauksen lopputulosten arviointiin. Vaatimustenmukaisuuden todentaminen on keskeinen osa asianmukaista toimintaprosessin käyttöönoton valmistelua ja siten siihen kohdennetaan ehdotetussa pykälässä erityisiä velvollisuuksia, jotka tulisi suorittaa virkatoimina, jolloin myös virkavastuu huomioidaan osana asianmukaista asiankäsittelyä varmistavia toimia.

28 c §. Laadunvalvonta ja virhetilanteiden käsittely. Pykälän tarkoituksena olisi varmistaa se, että viranomainen huolehtii automatisoidun toimintaprosessin asianmukaisuuden ja laadun varmistamisesta sen käyttöönoton jälkeen ja siten hyvän hallinnon ja oikeusturvan toteuttamisesta perustuslain 21 §:ssä säädetyt vaatimukset huomioiden. Pykälässä säädettäisiin viranomaiselle velvollisuus järjestää automatisoidun toimintaprosessin toiminnan valvonta sekä riittävät kontrollit, kun toimintaprosessi on otettu käyttöön. Velvoite on tarpeen edellä kuvatun vaatimustenmukaisuuden varmistamista koskevan 28 b §:n lisäksi, koska automatisoidun toimintaprosessin kehittäminen voi kokonaisuutena olla monimutkainen ja siihen voi osallistua lukuisia henkilöitä ja toimijoita, jolloin ei olisi kohtuullista edellyttää, että testaamisvaiheessa löydettäisiin ja korjattaisiin kaikki virheet. Tästä syystä virheiden löytämistä ja korjaamista koskeva viranomaisen toimintavelvoite olisi tarpeen hyvän hallinnon periaatteiden toteutumisen varmistamiseksi ja virkavastuun kohdentamiseksi. Perustuslakivaliokunta on katsonut (PeVL 7/2019 vp), että automatisoidun päätöksentekomenettelyn tulee olla perustuslain 118 §:stä johtuvista syistä tarkasti valvottua ja oikeudellisesti kontrolloitavissa. Testausta ja laadunvalvontaa koskevan ehdotetun sääntelyn tarkoituksena on täyttää perustuslakivaliokunnan esiin nostamat automatisoituun päätöksentekomenettelyyn liittyvät vaatimukset. Myös laadunvalvonta, kuten testaaminen, on yleinen ja vakiintunut käytäntö tietojärjestelmien kehittämisessä ja käytössä, mutta hyvän hallinnon ja virkavastuun kohdentumisen johdosta täsmällinen sääntely olisi tarpeen.

Pykälän 1 momentissa säädettäisiin viranomaisen velvollisuudesta valvoa automaattisesti ratkaistavien asioiden laatua, sisällöllistä virheettömyyttä ja hallita automatisointiin liittyviä riskejä käyttöönoton jälkeen. Laadunvalvonnan vastuut kytkettäisiin viranomaisen hyväksymään laadunvalvontasuunnitelmaan, jonka vähimmäissisältönä olisivat laadunvalvonnan kannalta keskeiset toimet. Suunnitelmaa edellyttämällä varmistettaisiin viranomaisen laadunvalvonnan olevan suunnitelmallista ja dokumentoitua. Laadunvalvontasuunnitelmasta olisi ilmettävä, miten automatisoidussa toimintaprosessissa ratkaistujen asioiden laatua ja sisällöllistä virheettömyyttä tarkkaillaan toimintaprosessin käyttöönoton jälkeen. Laadulla tarkoitettaisiin sitä, että toimintaprosessi toimii lainmukaisesti, ennalta määriteltyjen vaatimusten mukaisesti ja tuottaa asianmukaisen asiankäsittelyn vaatimukset täyttäviä ratkaisuja. Laadunvalvontasuunnitelmaa ei laadittaisi kertaluonteisesti, vaan suunnitelmaa olisi ylläpidettävä tarpeen mukaan tekemällä siihen muutoksia, korjauksia ja päivityksiä. Itse laadunvalvontasuunnitelman hyväksyminen on säädetty viranomaisen tehtäväksi, joten laadunvalvontasuunnitelman laadintaan voisi osallistua myös esimerkiksi tietojärjestelmän toimittavan yrityksen edustajia, koska suunnitelma voi olla osin teknisluonteinen, tietojärjestelmän ominaisuuksiin ja toiminnallisuuksiin liittyvä.

Ehdotuksen mukaan laadunvalvontasuunnitelmaan olisi sisällytettävä tiedot laadunvalvonnan vastuista sekä siitä, miten automatisoidusti ratkaisujen asioiden laatua ja erityisesti sisällöllistä virheettömyyttä tarkkaillaan käyttöönoton jälkeen ja miten toimintaprosessiin liittyviä riskejä hallitaan. Laadunvalvontasuunnitelma olisi viranomaisen toimintaa sitova siten, että laadunvalvontaa olisi tehtävä laadunvalvontasuunnitelman mukaisesti. Viranomaisen harkittavaksi jäisi, millä keinoilla laadunvalvontaa tehdään, mutta suunnitelman tulisi sisältää konkreettisia ja toistuvia toimia, joilla voidaan todeta, mitä päätöksiä ja muita ratkaisuja automatisoidussa toimintaprosessissa on tehty sekä vastaavatko muodostetut asiakirjat asiasisällöltään vaatimuksia. Laadunvalvonta voisi sisältää tapahtumalokien tarkkailua sekä toimintaprosessissa käsiteltävien tietojen laaduntarkkailua. Laadunvalvonnan tulisi sisältää erityisesti sellaista prosessitarkkailua, jossa voidaan havaita mahdolliset toimintaprosessia hyödyntävät väärinkäytökset tai muu haitanteko. Niin ikään laadunvalvontaan kuuluisi tuotettavien asiakirjojen sisällön laadun ja hyvän kielenkäytön tarkkailu otosperusteisesti.

Pykälän 2 momentissa säädettäisiinlaadunvalvonnan järjestämisestä. Ehdotuksen mukaan viranomaisen olisi nimettävä laadunvalvonnan vastuuhenkilö, jonka tehtävänä on varmistaa laadunvalvonnan toteutuminen viranomaisen hyväksymän laadunvalvontasuunnitelman mukaisesti. Vastuuhenkilö voisi osallistua itse myös laadunvalvontaan. Säännöksen tarkoituksena on osoittaa vastuu laadunvalvonnan toteuttamisesta viranomaisessa ja siten osoittaa ne henkilöt, jotka laadunvalvontaa tekevät. Viranomainen määrittelisi laadunvalvontaa tekevät henkilöt työnjohtomääräyksillään tai osana laadunvalvontasuunnitelmaa. Laadunvalvontaan osallistuvat henkilöt tulisi määritellä laadunvalvontasuunnitelmassa.

Ehdotetun 3 momentin mukaan viranomaisen olisi huolehdittava, että sen automatisoidusta toimintaprosessista tallennetaan tiedot sen osoittamiseksi, millä käsittelysäännöillä automatisoitu prosessi on edennyt kunkin asian käsittelyn osalta sekä missä määrin luonnollinen henkilö on osallistunut prosessiin. Ehdotettu säännös täsmentäisi tiedonhallintalain 17 §:ssä säädettyä lokitietojen keräämistä koskevaa sääntelyä ja sisältäisi kerättävien tietojen vähimmäisvaatimukset. Tiedonhallintalain 17 §:ssä säädetyn mukaisesti viranomainen voi kerätä myös muita lokitietoja automatisoiduista toimintaprosesseista. Momentin mukaiset tiedot voitaisiin kerätä lokitietoina, asiankäsittelyn metatietoina asiarekisteriin tai muulla tavalla. Säännös ei siten kiinnitä tapaa, jolla viranomainen dokumentoisi automatisoidun toimintaprosessin työnkulun kunkin yksittäisen asian käsittelyn osalta. Ehdotetun säännöksen tarkoituksena on mahdollistaa ja varmistaa asianmukaisen automatisoidun toimintaprosessin valvonta ja mahdollisten virheiden selvittäminen ja yksilöinti, sekä tarvittaessa vastuun virkatoimista kohdentuminen silloin, kun asiaa on käsitellyt myös luonnollinen henkilö.

Viranomaisen olisi säilytettävä automatisoitua toimintaprosessia suorittavien tietojärjestelmien toiminnasta tallennetut tiedot vähintään viisi vuotta tietojen tallentamista seuraavan kalenterivuoden alusta lukien. Vähimmäissäilytysaika perustuu virkavastuun todentamista koskeviin velvollisuuksiin. Säilytysaika voisi olla pidempi, jos viranomainen arvioi tiedonhallintalain 21 §:n perusteella tietojen säilyttämisen olevan tarpeellista.

Pykälän 4 momentissa säädettäisiin toimista, joihin viranomaisen olisi ryhdyttävä, jos automatisoidussa toimintaprosessissa havaitaan virheitä aiheuttavia toimintoja. Viranomaiselle säädettäisiin velvollisuus ryhtyä viivytyksettä korjaaviin toimenpiteisiin havaituista virhetilanteista, joilla on voinut olla vaikutuksia toimintaprosessissa ratkaistuihin asioihin. Viranomaisen olisi dokumentoitava toimintaprosessin käyttöönoton jälkeen havaittu virhe, virheen korjaamista koskevat toimenpiteet sekä virheen korjaamisen vaikutus toimintaprosessissa tehtyihin ratkaisuihin. Säännöksessä tarkoitetut toimet voisivat tarkoittaa esimerkiksi teknistä virheen korjaamista, toimintaprosessin käsittelysääntöjen muuttamista sekä toimintaprosessissa jo tehtyjen ratkaisujen, kuten hallintopäätösten sisällön tai virheellisen rekisterimerkinnän, korjaamista. Virheen luonteesta riippuen viranomaisen olisi poistettava automatisoitu toimintaprosessi tai sen virheellisesti toimiva osa käytöstä, kunnes virhe voidaan korjata. Viranomaisen ratkaisussa olevan virheen korjaamisesta säädetään erikseen. Virheen korjaamisesta hallintopäätöksessä noudatettavasta menettelystä on säädetty hallintolaissa. Rekisterimerkintöjen korjaamisesta on säädetty erityislainsäädännössä tai se voi perustua yleiseen tietosuojasääntelyyn. Momentti edistää hyvän hallinnon vaatimusten toteuttamista, erityisesti asianmukaiseen asiankäsittelyyn liittyvien vaatimusten täyttämistä.

28 d §. Päätös automatisoidun toimintaprosessin käyttöönotosta. Pykälässä säädettäisiin automatisoidun toimintaprosessin käyttöönotosta, eli päätöksestä joka olisi tehtävä, ennen kuin automatisoidulla toimintaprosessilla voidaan tuottaa automaattisia ratkaisuja. Käyttöönotolla ei tässä yhteydessä tarkoitettaisi tietojärjestelmän käyttöönottoa. Viranomaisen tulisi varmistaa ennen päätöksen tekemistä, että käyttöönotolle on olemassa ne edellytykset, joista on säädetty tiedonhallintalaissa, hallintolaissa sekä mahdollisesti erityislainsäädännössä. Säännöksen tarkoituksena olisi osoittaa viranomaiselle vastuu varmistua siitä, että käyttöönotolle säädetyt edellytykset täyttyvät kaikilta osin. Päätöksen tarkoituksena olisi osoittaa, että viranomaisessa on selvitetty automatisoidun toimintaprosessin edellytykset ja että käyttöönotolle on olemassa laissa säädetyt perusteet. Käyttöönottopäätös olisi luonnehdittavissa automatisoitua asiankäsittelyä valmistelevaksi päätökseksi ja sille olisi säädetty tiedonhallintalaissa erityiset muotovaatimukset. Käyttöönottopäätös ei olisi siten valmisteluvaihetta koskevana päätöksenä valituskelpoinen oikeudenkäynnistä hallintoasioissa annetun lain 6 §:n 2 momentin perusteella. Käyttöönottopäätöksellä ei välittömästi ratkaistaisi yksittäistapauksessa kenenkään etuun, velvollisuuteen tai oikeudellisesti määriteltyyn etuun liittyvää asiaa. Käyttöönottopäätöksen sekä sen menettelyn ja niiden asiakirjojen, joihin se perustuu, lainmukaisuudesta voisi valittaa osana kussakin tilanteessa annettua viranomaisen yksittäistä automatisoituna tehtyä ratkaisua siten kuin menettelyyn liittyvistä seikoista muutoinkin. Tästä syystä viranomaisen olisi annettava tieto yksittäisen automatisoidun ratkaisun tekemisen yhteydessä myös käyttöönottopäätöksestä, josta ilmenisivät perusteet automaattisen päätöksenteon käytöstä ratkaistussa asiassa.

Käyttöönottopäätös olisi edellytys sille, että viranomainen voisi ratkaista asian automaattisesti. Jos viranomainen ratkaisisi asian hallintolaissa tarkoitetuissa tilanteissa automaattisesti ilman, että viranomainen olisi tehnyt käyttöönottopäätöstä, kysymys olisi hallintoasian käsittelyssä tapahtuneesta menettelyvirheestä. Siten varsinainen asianosaisen asiassa tehty päätös voitaisiin korjata esimerkiksi hallintolain asiavirheen korjaamista koskevien säännösten perusteella. Menettelyvirhe voidaan korjata myös oikaisuvaatimusmenettelyssä. Hallintotuomioistuimessa menettelyvirheitä arvioidaan oikeudenkäynnistä hallintoasioissa annetun lain mukaisesti. Valitusperusteena olisi tällöin viranomaisen hallintoasiassa tekemä menettelyvirhe eikä varsinaisesti käyttöönottopäätös. Jos viranomaisen menettelyssä ilmenee virheitä, tulisi viranomaisen itse ryhtyä toimenpiteisiin mahdollisesti toimintaprosessissa olevan virheellisen menettelyn korjaamiseksi. Tällainen korjaaminen voi johtaa myös uuden käyttöönottopäätöksen tekemiseen.

Pykälän 1 momentin ensimmäisessä virkkeessä säädettäisiin toimintaprosessista vastaavalle viranomaiselle velvollisuus tehdä automatisoidun toimintaprosessin käyttöönotosta päätös. Lisäksi käyttöönottopäätös olisi pykälän 2 momentin mukaan tehtävä tilanteissa, joissa toimintaprosessia muutetaan siten, että viranomaisen on arvioitava uudelleen automatisoidun toimintaprosessin käytön edellytyksiä. Päätöksen tekisi se viranomainen, jonka tehtävien hoitamiseksi automatisoitua prosessia käytetään ja jolla on toimivalta ratkaista toimintaprosessissa käsiteltävä asia. Tällaisesta viranomaisesta käytettäisiin säännöksessä nimitystä toimintaprosessista vastaava viranomainen.

Pykälän 1 momentin toisessa virkkeessä edellytettäisiin käyttöönottopäätöksen tekemistä esittelystä. Käyttöönottopäätöksen tekeminen esittelystä olisi tarpeellista, sillä käyttöönottopäätöksen valmistelussa tarvitaan erityistä osaamista liittyen tehtävän päätöksen asianmukaisuuteen ja laillisuuteen. Edelleen automatisoidun toimintaprosessin luonteen, erityisesti automaattisen ratkaisemisen massaluonteisuuden ja siitä puuttuvan inhimillisen kontrollin takia on tarpeellista, että käyttöönottopäätös tehtäisiin esittelystä. Perustuslakivaliokunta on lisäksi pitänyt keinotekoisena ja näennäisenä mallia, jossa vastuun automatisoidusta päätöksenteosta kantaisi yksistään viraston johtaja (PeVL 7/2019 vp, s. 11), joskin tapauksessa kyse oli ennen kaikkea viraston johtajan vastuun sisällön epätäsmällisyydestä.

Päätöksen esittelijä vastaisi käyttöönottopäätöksestä esittelijän vastuulla niin kuin perustuslain 118 §:n 2 momentissa säädetään. Esittelijän tulisi valmistella päätös ja laatia perustelut käyttöönottopäätökselle ja siten varmistaa, että käyttöönotolle on laissa säädetyt edellytykset. Momentti sisältäisi luettelonniistä seikoista, joita viranomaisen tulisi sisällyttää käyttöönottopäätökseen. Luettelo ei olisi tyhjentävä, vaan sääntely pitäisi sisällään minimivaatimukset käyttöönottopäätöksen sisällöstä. Momentin 1 kohdan mukaanpäätöksestä tulisi ilmetä se toimintaprosessi, jota käyttöönottopäätös koskee. Mainittu toimintaprosessi tulisi ilmaista samassa muodossa kuin se on määritelty tiedonhallintamalliin, joten päätöksessä mainittaisiin toimintaprosessin nimike. Momentin 2 kohdan mukaan päätöksestä tulisi ilmetä toimintaprosessista vastaava päätöksen tehnyt viranomainen. Käyttöönottopäätöksen tekevä viranomainen ei välttämättä olisi kaikissa tilanteissa vastuussa tietojärjestelmistä, joissa asiaa käsitellään automatisoidussa toimintaprosessissa. Tällaisia tilanteita olisi muun muassa tietojärjestelmissä, joita tuottaa erilliseksi viranomaiseksi organisoitu palvelukeskus.

Momentin 3 kohdassa säädettäisiin viranomaiselle perusteluvelvollisuus. Viranomaisen tulisi arvioida ennen päätöksentekoa, täyttyvätkö automatisoidun toimintaprosessin käyttöönoton hallintolaissa, tiedonhallintalaissa, tietosuojasääntelyssä sekä mahdollisesti muualla lainsäädännössä säädetyt edellytykset. Hallintolaissa säädettäisiin asian automaattisen ratkaisemisen yleisistä edellytyksistä. Tiedonhallintalaissa puolestaan säädettäisiin käyttöönottomenettelystä ja siihen liittyvistä dokumentointivaatimuksista. Lisäksi erityislainsäädännöstä voi johtua erilaisia vaatimuksia toimintaprosessin käyttöönotolle, kuten tietosuoja-asetuksen perusteella laadittava tietosuojan vaikutustenarvioinnin tekeminen sekä rekisteröidyille annettavat tiedot automatisoidun yksittäispäätökseen liittyvästä henkilötietojen käsittelystä. Käyttöönottopäätös olisi viranomaisen ratkaisu, jossa viranomainen osoittaisi, että automatisoitu toimintaprosessi ja automaattisesti tuotettavat viranomaisen ratkaisut täyttävät oikeusturvalle ja hyvälle hallinnolle säädetyt vaatimukset sekä laissa säädetyt edellytykset. Perustelut muodostaisivat siten kokonaisuuden, josta ilmenisi, miten viranomainen katsoo toimintaprosessin täyttävän laissa säädetyt sisällölliset ja menettelylliset vaatimukset ja että ne on dokumentoitu sekä testattu huolellisesti.

Perustelujen tulisi olla kattavat, jotta niistä voidaan todentaa, että viranomaisella on olemassa edellytykset automatisoituun päätöksentekoon ilman, että ratkaisuja tarkastaa ja hyväksyy luonnollinen henkilö. Käyttöönottopäätöksen perustelut ovat merkityksellisiä arvioitaessa automatisoidun toimintaprosessin käytön laillisuutta. Kysymys on myös hyvään hallintoon ja oikeusturvaan liittyvien vaatimusten täyttymisestä. Vaikka käyttöönottopäätöksellä ei olisi suoria vaikutuksia asianosaisiin, voi käyttöönottopäätöksellä ja sen perusteluilla olla vaikutuksia yksittäistapauksessa asianosaiselle automatisoidun toimintaprosessin tuotoksena syntyvän asian ratkaisuun. Tällöin esimerkiksi muutoksenhaussa tai laillisuusvalvonnassa joudutaan arvioimaan sitä, täyttävätkö viranomaisen automatisoidulla toimintaprosessilla tuottaman ratkaisun menettelyt laissa säädetyt vaatimukset. Perustelut olisi laadittava niin, että hallintolain 9 §:ssä säädetyt hyvän kielenkäytön vaatimukset täyttyvät. Perustelujen tulisi olla yksittäisen ratkaisun saavalle asianosaiselle ymmärrettäviä. Koska käyttöönottopäätöksen tarkoituksena olisi myös toteuttaa viranomaistoimintaan ja julkisen vallan käyttöön liittyvää, julkisuusperiaatteeseen sisältyvää jokaisen oikeutta valvoa viranomaisen toimintaa, tulisi perusteluiden olla ymmärrettävät jokaiselle.

Momentin 4 kohdan mukaan päätöksen tulisi sisältää luettelo käyttöönottopäätöksen perusteena olevista asiakirjoista. Tällaisia asiakirjoja ovat 28 a §:ssä tarkoitettu menettelytapojen ja käsittelysääntöjä koskeva dokumentaatio, 28 b §:n 4 momentissa tarkoitettu toimintaprosessin vaatimustenmukaisuuden toteaminen, 28 c §:n 1 momentissa tarkoitettu laadunvalvontaa koskeva suunnitelma, sekä mahdolliset muut asiakirjat, joilla on mainittuja asiakirjoja vastaava merkitys käyttöönottoon liittyvän arvioinnin ja harkinnan kannalta. Asiakirjojen luettelointi käyttöönottopäätöksessä korostaisi viranomaisen selvittämisvelvollisuutta ennen käyttöönottopäätöksen tekemistä. Toisaalta kertynyt asiakirja-aineisto muodostaa perustan käyttöönottopäätökselle. Päätöksen perusteena olevat asiakirjat, kuten automaattisen toimintaprosessin kehittämisen olennainen dokumentaatio on hyväksyttävä viranomaisessa ennen käyttöönottopäätöksen tekemistä. Tämän dokumentaation lainmukaisuudesta vastaisi sen hyväksyjä riippuen siitä, miten tehtäväjako on viranomaisessa 28 a §:n 1 momentin mukaisesti määritelty ja miten muualla laissa vastuista on mahdollisesti säädetty. Olennainen dokumentaatio voi olla niin yksityiskohtaista ja erityisosaamista edellyttävää, ettei käyttöönottopäätöksen esittelijältä välttämättä voi edellyttää vastaavanlaista yksityiskohtaista perehtymistä kuin dokumentaation hyväksyjältä kaikkeen päätöksen perusteena olevissa asiakirjoissa todettuun. Käyttöönottopäätöksen esittelijän olisi kuitenkin todettava tarvittavan dokumentaation olemassaolo, huolehdittava siitä, että dokumentaatio ilmenee käyttöönottopäätöksestä sekä tarkistettava, ettei dokumentaatiosta ilmene esteitä käyttöönotolle. Esimerkiksi tulisi varmistua siitä, että käsittelyvaiheet ja käsittelysäännöt on dokumentoitu, että on olemassa hyväksytty laadunvalvontasuunnitelma, ja että testaustuloksista ei ilmene estettä automaattisen toimintaprosessin käyttöönotolle.

Käyttöönottopäätöksen perusteena olevien asiakirjojen luettelointi edistää myös asiakirjajulkisuutta ja hallinnon toiminnan läpinäkyvyyttä. Halutessaan asianosainen tiedonsaantioikeuksiensa puitteissa tai muu yleisö voisi saada tietoja asiakirjoista, joihin käyttöönottopäätös perustuu. Näiden asiakirjojen sisällön julkisuus kuitenkin ratkaistaisiin muualla laissa säädetyn perusteella.

Momentin 5 kohdassa säädettäisiin viranomaisen velvollisuudesta yksilöidä se päivämäärä, jolloin toimintaprosessi on suunniteltu otettavaksi käyttöön. Käyttöönottopäivämäärällä voisi olla merkitystä, kun arvioidaan jälkikäteen toimintaprosessin muutoksia ja niiden lainmukaisuutta. Päivämäärän avulla voitaisiin kiinnittää tiettynä ajankohtana tehty ratkaisu siihen käyttöönottopäätökseen, jonka puitteissa automatisoitu ratkaisu on tehty. Toimintaprosessia ei voitaisi ottaa käyttöön ennen mainittua päivämäärää. Päivämäärällä olisi myös informatiivinen merkitys valvontaviranomaisille. Lisäksi päätöksestä tulisi ilmetä sen tekemisen ajankohta.

Momentin 6 kohdassa säädettäisiin sen osoittamisesta, kenen virkatoimena käyttöönottopäätös tehdään. Päätöksen tekisi joko yksittäinen virkamies tai toimielin siten kuin viranomaisessa on päätöksentekoon määritelty toimivaltasuhteet esimerkiksi työjärjestyksessä, hallintosäännössä tai projektinhallinnassa. Perustuslain 118 §:ssä säädetty virkavastuu pitää pystyä kohdentamaan siihen virkamieheen, jolla on ollut kyseisessä tilanteessa velvollisuus toimia. Päätöksentekijän tiedolla on myös merkitystä selvitettäessä, onko päätöksen tehnyt viranomaisessa toimivaltainen henkilö tai toimielin. Päätös tehtäisiin esittelystä, jolloin esittelijänä olevalla henkilöllä täytyisi olla asiantuntemus valmistella päätösesitys.

Momentin 7 kohdassa säädettäisiin, että päätöksestä tulisi ilmetä viranomaisen yhteystieto, josta jokainen voisi saada lisätietoja automatisoidun toimintaprosessin käytön edellytyksistä, niiden soveltamisesta ja muista käyttöönottopäätökseen liittyvistä asioista sekä tarvittaessa esittää tietopyyntöjä liittyen niihin asiakirjoihin, jotka ovat toimineet käyttöönottopäätöksen perusteina. Yhteystiedon tulisi olla sellainen, josta voidaan vastata nimenomaan käyttöönottopäätöstä koskeviin tiedusteluihin, mutta siinä ei tarvitsisi yksilöidä henkilöä, joka lisätietoja antaa. Laissa säädettäisiin nimenomaisesti siitä, että yhteystiedon tulisi olla viranomaisen yhteystieto, joten se ei voisi olla esimerkiksi jonkin tietojärjestelmän toimittajan yhteystieto. Yhteystiedon ei tarvitsisi olla sama, joka ilmenee varsinaisesta hallintopäätöksestä, jossa on ratkaistu yksittäinen asia. Hallintolaissa on säädetty erikseen tuon päätöksen sisällöstä.

Pykälän 2 momentissa säädettäisiin tilanteesta, jolloin viranomaisen olisi tehtävä uusi käyttöönottopäätös. Ehdotetun 2 momentin mukaan käyttöönottopäätös olisi tehtävä lisäksi toimintaprosessin muutoksista, jotka edellyttävät hallintolain 53 e ja 53 f §:ssä säädettyjen edellytysten arviointia. Toimintaprosessiin voisi kohdistua eri syistä muutoksia, joilla ei olisi kuitenkaan vaikutuksia automatisoidun toimintaprosessin käytön edellytyksiin. Tällaisista muutoksista ei tarvitsisi tehdä uutta käyttöönottopäätöstä. Vähäiset muutokset olisivat esimerkiksi indeksimuutoksia, laskentakaavojen muutoksia sekä teknisistä virhetilanteista johtuvia muutoksia. Tällaisetkin muutokset tulisi dokumentoida ja muutokset versioida asiakirjoihin 28 a §:ssä säädetyllä tavalla. Niin ikään vähäisempienkin muutosten vaatimuksenmukaisuus tulisi varmistaa 28 b §:ssä säädetyllä tavalla, jos muutokset koskevat menettelytapoja, käsittelysääntöjä tai automaattisesti tuotettavien asiakirjojen hyvää kielenkäyttöä. Lainsäädännön tai oikeuskäytännön muuttuessa tai tietojärjestelmien kehittymisen myötä voi kuitenkin syntyä tilanteita, joissa automatisoituun toimintaprosessiin tehdään niin olennaisia muutoksia, että toimintaprosessin automatisoinnin edellytykset on arvioitava uudelleen. Esimerkiksi jos vaihe, jossa on aiemmin käytetty luonnollista henkilöä, muuttuisi automatisoiduksi vaiheeksi tai päinvastoin, tarkoittaisi tämä sellaista muutosta, jonka johdosta toimintaprosessin käytön edellytykset olisi arvioitava uudelleen ja käyttöönotosta on tehtävä uusi päätös. Samaten automatisoitua toimintaprosessia koskevan erityislainsäädännön muutokset todennäköisesti aiheuttaisivat tarpeen uudelle päätökselle. Uusi päätös ei vaikuttaisi ennen uudistetun automatisoidun toimintaprosessin käyttöönottoa toimintaprosessissa tehtyihin ratkaisuihin. Uuden päätöksen perusteena olisivat ne asiakirjat ja niiden versiot, jotka kuvaavat ajantasaisesti käyttöönottoprosessissa noudatettavaa menettelyä sekä käsittelysääntöjä. Uuden käyttöönottopäätöksen pohjana olevat asiakirjat voisivat siten olla versionumeroiltaan aiempaan päätökseen nähden muuttuneet muistakin syistä, joten käyttöönottopäätöksistä ilmenevät versionumerot päätöksen perusteena olevista asiakirjoista eivät välttämättä noudattaisi toisiaan seuraavia versionumeroita. Lähtökohtana voitaisiin pitää sitä, että versionumeroinnissa aloitetaan uusi numerosarja uuden käyttöönottopäätöksen myötä esimerkiksi siten, että aiemman käyttöönottopäätöksen puitteissa tehdyt muutokset ovat alkaneet versionumerolla 1 ja uuden käyttöönottopäätöksen perusteena olevat asiakirjat alkavat versionumerolla 2 ja niin edelleen kuitenkin siten, että kustakin käyttöönottopäätöksestä pystytään aukottomasti todentamaan ne asiakirjat, joihin uusi käyttöönottopäätös perustuu. Uuden käyttöönottopäätöksen tarkoituksena olisi asettaa viranomaiselle velvollisuus osoittaa, että olennaisia käyttöönoton edellytyksiä koskevia muutoksia on arvioitu ennen käyttöönottoa.

Pykälän 3 momentissa säädettäisiin käyttöönottopäätöksen vähimmäissäilytysajasta. Käyttöönottopäätös olisi säilytettävä vähintään viisi vuotta automatisoidun toimintaprosessin käytöstä poistamista seuraavan kalenterivuoden alusta alkaen. Säilytysvelvollisuudella on tarkoitus varmistaa, että tehdyt kehittämistoimet ja oikeudellinen harkinta voidaan tarvittaessa todentaa riittävän kauan mahdollisia virkavastuukysymyksiä koskevissa selvittelyissä. Säilytysaika vastaisi menettelytapoja ja käsittelysääntöjä koskevan dokumentaation 28 a §:ssä säädettyä vähimmäissäilytysaikaa.

28 e §. Automatisoidusta toimintaprosessista tiedottaminen. Pykälässä säädettäisiin käyttöönottopäätöksen julkaisuvelvollisuudesta sekä viranomaisen yleisemmästä tiedottamisvelvollisuudesta koskien asioiden automaattista ratkaisemista. Hallintolaissa ehdotetaan säädettäväksi, että viranomaisen olisi annettava tieto yksittäisen automatisoidun ratkaisun tekemisen yhteydessä myös käyttöönottopäätöksestä, josta ilmenisi perusteet automaattisen päätöksenteon käytöstä kussakin ratkaistussa asiassa. Lisäksi viranomaisen olisi kerrottava, mistä käyttöönottopäätös olisi saatavilla.

Pykälän 1 momentissa ehdotetun mukaisesti käyttöönottopäätös tulisi julkaista yleisessä tietoverkossa viranomaisen verkkosivustolla. Käyttöönottopäätöksen julkaiseminen toteuttaa laajempaa automatisoidun toimintaprosessin ja asian automaattisen ratkaisemisen läpinäkyvyyden edistämistä, kun kuka tahansa voisi tutustua automatisoidun toimintaprosessin käytön perusteisiin ja pyytää halutessaan tarkempaa dokumentaatiota tai lisätietoja automatisoidun toimintaprosessin käytön perusteista. Säännöksellä ei poiketa salassapitoa koskevista säännöksistä. Käyttöönottopäätös tulisi julkaista siltä osin kuin se ei sisällä salassa pidettäviä tietoa.

Verkkosivustolla tulisi julkaista voimassa oleva käyttöönottopäätös. Tämä tarkoittaa sitä, että jos viranomainen tekee toimintaprosessiinsa sellaisia muutoksia, jotka edellyttävät uuden käyttöönottopäätöksen tekemisetä, tulee viranomaisen julkaista uusi käyttöönottopäätös. Verkkosivustolla ei tarvitsisi pitää saatavilla vanhentuneita käyttöönottopäätöksiä, mutta tällaiseen päätökseen tulee kuitenkin olla pääsy sillä, jonka asian ratkaisu on tehty aiemman käyttöönottopäätöksen perusteella käytössä olleella automatisoidulla toimintaprosessilla. Viranomaisen verkkosivustolla olisi vähintään oltava selkeät ohjeet siitä, mistä ja miten aiemman käyttöönottopäätöksen voi saada. Käyttöönottopäätöksen julkaisuvelvollisuus ei vaikuta päätöksen säilytysaikaan, josta säädettäisiin 28 d §:n 3 momentissa. Siten julkaisuvelvollisuus ei poista viranomaisen velvollisuutta säilyttää käyttöönottopäätöksiä ja antaa niistä tietoja tiedonsaantioikeuksia koskevien säännösten, kuten julkisuuslain, perusteella.

Pykälän 2 momentissa säädettäisiin julkisuuslain 20 §:n 2 momenttia täydentävästi viranomaisen yleisemmästä velvollisuudesta jakaa tietoa asioiden automaattisesta ratkaisemisesta toimialallaan. Tiedottamisvelvollisuus kohdistuisi erityisesti sellaisiin seikkoihin, jotka ovat merkityksellisiä hallinnon asiakkaan oikeusaseman toteutumisen näkökulmasta. Viranomaisen tulisi tiedottaa automaattisesti ratkaistavasta asiasta sekä automatisoidun toimintaprosessin käytön perusteista. Lisäksi viranomaisella olisi harkintavaltaa sen suhteen, mistä muista asioista on tarkoituksenmukaista tiedottaa automatisoidun toimintaprosessin olennaisen dokumentaation ja käyttöönottopäätöksen perusteella. Tiedottamisen tulisi tapahtua tavalla, jossa asiakkaalle muodostuu automatisoidun toimintaprosessin käyttöön liittyen käsitys siitä, millä perusteella viranomainen ratkaisee asioita automaattisesti ja tullaanko hänen asiansa todennäköisesti käsittelemään automaattisesti. Tiedottamisessa on otettava huomioon hallintolain 9 §:ssä säädetty vaatimus hyvästä kielenkäytöstä. Tiedottamisen on oltava ymmärrettävää ja saavutettavaa. Siinä on huomioitava kielelliset oikeudet sekä erityisryhmien tarpeet. Riittävänä ei siten voida pitää ainoastaan verkkosivuilla tiedottamista, vaan tietojen on oltava saatavilla myös muilla tavoin.

Automaattisesta ratkaisemisesta tiedottaessaan viranomaisen tulisi kertoa, mitkä asiat viranomaisen ratkaisee automaattisesti. Tiedottamisvelvollisuus automatisoidun toimintaprosessin käytön perusteista tarkoittaisi käytännössä sitä, että viranomaisen tulisi avata verkkosivustolla erikseen käyttöönottopäätöksessä olevia käyttöönoton edellytyksiä. Muita asiakkaan oikeuksien kannalta keskeisiä tiedotettavia seikkoja käyttöönottoon liittyvien asiakirjojen perusteella voisivat olla esimerkiksi syrjimättömyyden varmistaminen sekä kuulemisen toteuttaminen tai toteuttamatta jättäminen sekä selvittämisvelvollisuuden toteuttaminen. Viranomaisen tuottaman tiedon tulisi perustua käyttöönottopäätökseen ja sen perusteena olevaan dokumentoitiin, koska oikeudellinen perusta asian automaattiselle ratkaisemiselle tulee olla kuvattuna muodostuneessa asiakirja-aineistossa. Tiedottaminen tulisi hoitaa siten, että se tehdään kunkin asiaryhmän osalta erikseen. Siten riittävää ei olisi yleiset kuvaukset, joissa informoidaan automaattisesti ratkaistavista asioista.

Pykälän 2 momentin toisessa virkkeessä säädettäisiin lisäksi viranomaisen velvollisuudesta julkaista tuottamansa tiedot verkkosivustolla. Säännöksellä velvoitettaisiin viranomainen jakamaan asian automaattisesta ratkaisemisesta tietoa verkkosivustollaan. Verkkosivustolla julkaistavat tiedot olisi pidettävä ajan tasalla. Pykälän 2 momentin ensimmäisen virkkeen yleinen tiedottamisvelvollisuus on välineneutraali, eikä siinä määritellä tiedon jakamisen keinoja. Viranomaisella olisikin tiedottamisvelvollisuuden toteuttamisen osalta harkintavaltaa sen suhteen, mitä muita tapoja se käyttää tietojen jakamiseen kuin verkkosivustoaan.

Julkisuuslain 20 §:ssä säädetään viranomaisen velvollisuudesta tuottaa ja jakaa tietoa. Käyttöönottopäätökseen liittyvistä asioista tiedottamisen tarkoituksena on täydentää tätä vaatimusta. Tiedottamisen tarkoituksena on edistää avointa hallintoa, turvata julkisuusperiaatteen toteutuminen sekä lisätä luottamusta asian automaattiseen ratkaisemiseen. Viranomainen edistäisi julkisuusperiaatteen toteutumista jakamalla tietoa hallinnon asiakkaan oikeusaseman kannalta merkityksellisistä seikoista koskien asian automaattista ratkaisemista. Tiedottaminen toteuttaisi myös automaattisen ratkaisemisen ennakoitavuutta, kun hallinnon asiakkaat voisivat jo ennen asian vireillepanoa saada tietoa siitä, voitaisiinko heidän asiansa ratkaista viranomaisessa automaattisesti.

Tiedottamisvelvollisuus ei poista niitä velvollisuuksia, joita rekisterinpitäjällä on tietosuoja-asetuksen 13 ja 14 artiklan perusteella koskien rekisteröidyn informoimista automaattisen yksittäispäätöksen tekemisestä. Viranomaisen tulee huolehtia erikseen siitä, että tietosuoja-asetuksessa säädetyt vaatimukset tietojen antamisesta rekisteröidylle täyttyvät ja että tiedot annetaan oikea-aikaisesti rekisteröidylle. Momentissa säädettävä tiedottamisvelvollisuus ei sisällä sääntelyä, jonka perusteella määriteltäisiin, missä tilanteessa tiedottamisvelvollisuuden piiriin kuuluvat tiedot esitettäisiin esimerkiksi osana vireillepanoa. Momentin tarkoituksena on edistää automatisoidun toimintaprosessin läpinäkyvyyttä paitsi hallinnon asiakkaille, myös yhteiskunnalle laajemmin. Toisaalta hallintolaissa ehdotetaan käyttöönottopäätöstä koskien säädettäväksi, että yksittäisen asian ratkaisun yhteydessä tulisi kertoa, mistä käyttöönottopäätös on saatavilla.

28 f §. Automatisoidun toimintaprosessin käsittelysääntöjen muuttaminen. Pykälässä säädettäisiin automatisoidun toimintaprosessin suojaamisesta oikeudettomalta muuttamiselta sekä menettelyistä, joita tulisi noudattaa, kun prosessia muutetaan. Viranomaisen olisi huolehdittava, että automatisoidussa toimintaprosessissa käytetyt käsittelysäännöt on suojattu oikeudettomalta muuttamiselta. Suojaamisella tarkoitetaan tavanomaisten tietoturvallisuustoimenpiteiden (esimerkiksi tiedon eheyden turvaaminen, pääsynhallinta ja käyttöoikeuksien ajan tasalla pitäminen) lisäksi, että viranomaisen tulisi erityisesti huolehtia, että muutoksia tietojärjestelmän käsittelysääntöihin voidaan tehdä vain ennalta suunnitellusti ja hallitusti.

Lisäksi pykälässä säädettäisiin velvollisuudesta tallentaa ja säilyttää tiedot käsittelysääntöjen muuttamisesta vähintään viisi vuotta tietojen tallentamista seuraavan kalenterivuoden alusta lukien. Toimintaprosessin muuttamisesta tallennettavat tiedot ovat pääosin henkilötietoja, joten niiden sääntelyssä on otettava huomioon tietosuojan yleissääntely. Tietojen tallentamisen ja säilyttämisen tarkoituksena on, että jälkikäteen voidaan osoittaa, millaisia muutoksia käsittelysääntöihin on tehty, milloin ja kenen toimesta. Näin tehdään mahdolliseksi tietojärjestelmän toiminnan virheiden havaitseminen ja selvittäminen sekä varmistetaan automatisoidun toimintaprosessin sekä asian käsittelyn päättävän ratkaisun lainmukaisuus, asianosaisen oikeusturva ja virkavastuun kohdentuminen.

Pykälässä ei säädettäisi lokitietojen tiedonsaannista, vaan se ratkaistaisiin julkisuuslain tai erityislakien perusteella. Säännöksessä ei myöskään olisi säädetty, mikä taho käytännössä suorittaisi tallentamisen tai säilyttämisen, koska siihen vaikuttaa tietojärjestelmien kehittämiseen ja käyttöön liittyvät järjestelyt olennaisesti. Joka tapauksessa viranomaisen on varmistettava, että dokumentointi käsittelysääntöihin tehtävistä muutoksista tehdään aukottomasti ja viranomainen olisi säilytettävien tietojen osalta rekisterinpitäjä. Tietojen tallentaminen muutoksista voisi olla automaattista eli lokitietojen keräämistä käsittelysääntöjen muutoksista ohjelmistokoodiin tai muutokset voitaisiin dokumentoida muuten aikajärjestyksessä ja täsmällisesti kuvattuna. Tehdyt muutokset tulisi dokumentoida ja testata siten kuin ehdotetuissa 28 a ja 28 b §:ssä säädettäisiin.

28 g §. Käyttöönottopäätöksen arviointi. Pykälässä säädettäisiin tiedonhallintalautakunnalle tehtäväksi arvioida 28 d §:ssä säädetyn käyttöönottopäätöksen ja sen perusteena olevien asiakirjojen tiedonhallintalaissa säädettyjen vaatimusten mukaisuutta. Lisäksi lautakunta arvioisi tässä luvussa säädettyjen menettelyjen noudattamista asiakirjoista ilmenevien tietojen perusteella sekä tarvittaessa tarkastuksin. Tiedonhallintalautakunnalle on säädetty tiedonhallintalain 10 ja 11 §:ssä arviointitehtävä, johon sisältyy valtion hallintoviranomaisten, kunnallisten viranomaisten ja hyvinvointialueiden viranomaisten toimintaan kohdistuvaa tiedonhallintalaissa säädettyjen vaatimusten täyttämiseen liittyvää laillisuusarviointia sekä muuten säännösten toteuttamisen arviointia. Ehdotettava uusi arviointitehtävä koskisi myös muita tiedonhallintalain soveltamisalan piiriin kuuluvia viranomaisia ja julkisia hallintotehtäviä hoitavia. Tiedonhallintalautakunta toimisi tiedonhallintalaissa säädettyjen automatisoidun toimintaprosessin dokumentointivaatimusten täyttämistä valvovana viranomaisena suorittamalla arviointia sille toimitettujen käyttöönottopäätösten perusteella. Arviointitehtävään sisältyy myös olennaisena osana viranomaisen neuvontavelvollisuus toimivaltaansa kuuluvista asioista sekä toimivalta antaa ohjeita käyttöönottopäätöksen tekemisestä sekä siihen liittyvien asiakirjojen laatimisesta. Lakiin ei kuitenkaan ehdoteta säädettäväksi erikseen tällaiseen arviointiin liittyvistä oheistehtävistä, koska viranomainen voi laissa säädetyn tehtävänsä alalla antaa ohjeita ilman erityistä valtuutustakin. Ohjeiden antamista koskevat valtuussäännökset ovat omiaan hämärtämään oikeudellisesti sitovien sääntöjen ja suositusluonteisten ohjeiden välistä eroa, jolloin tällaista sääntelyä ei ole pidetty tarpeellisena ja hyväksyttävä (ks. esim. PeVL 6/2003 vp, s. 4/I, PeVL 20/2004 vp, s. 4/I ja PeVL 30/2005 vp, s. 6/II). Ehdotettava uusi tehtävä ei muuttaisi tiedonhallintalautakunnan voimassa olevien tehtävien luonnetta.

Pykälän 1 momentissa säädettäisiin viranomaiselle velvollisuus toimittaa käyttöönottopäätös tiedonhallintalautakunnalle tiedoksi. Päätös tulisi toimittaa seitsemän päivän kuluessa käyttöönottopäätöksen tekemisestä. Säännöksen tarkoituksena olisi tiedonhallintalaissa säädettyjen automatisoituihin toimintaprosesseihin kohdistuvien vaatimusten täyttämisen valvonta ulkoisena valvontana tiedonhallinnan asiantuntijaviranomaisena toimivassa tiedonhallintalautakunnassa. Tiedonhallintalaissa säädetyt vaatimukset liittyvät käyttöönoton menettelyyn ja dokumentointiin sekä eräiltä osin myös automatisoidun toimintaprosessin käyttöön. Lisäksi sääntely sisältää jonkin verran suojasäännöksiä.

Momentissa säädettäisiin myös siitä, että tiedonhallintalautakunta päättäisi erikseen toimitettujen käyttöönottopäätösten perusteella arvioinnin suorittamisesta yksittäistapauksessa. Siten kaikkia toimitettuja käyttöönottopäätöksiä ei arvioitaisi lautakunnassa, vaan lautakunnan sihteeristö arvioisi, mitkä käyttöönottopäätökset olisi tarpeen arvioida osana lautakunnan arviointitehtävän toteuttamista. Ehdotetun momentin kolmannesta virkkeestä seuraa, että lautakunnan on tehtävä päätös siitä, otetaanko käyttöönottopäätös arvioitavaksi. Käsittelyn viivytyksettömyydestä ja päätöksen tiedoksiannosta säädetään hallintolaissa. Tiedonhallintalautakunta päättäisi esityksen pohjalta yksittäistapauksissa suoritettavasta arvioinnista. Siten arvioinnit perustuvat lautakunnan tekemiin päätöksiin eikä arviointia ole sidottu esimerkiksi lautakunnan vuosittaiseen arviointisuunnitelmaan. Ehdotettu sääntely ei olisi tarkoitettu ennakkohyväksyntämenettelyksi, vaan automatisoidun toimintaprosessin erityisten vaatimusten noudattamisen valvomiseksi ja kontrolloimiseksi arviointitehtävää suorittamalla tiedonhallintalautakunnan tekemän harkinnan perusteella. Arviointimenettely ei vaikuttaisi viranomaiseen kohdistuviin 6 a luvun muusta sääntelystä syntyviin vastuisiin.

Tiedonhallintalautakunta ei valvoisi automatisoidun toimintaprosessin sisällöllistä lainmukaisuutta tai muusta lainsäädännöstä, kuten hallintolaista, johtuvien käyttöönottoedellytysten täyttymistä. Tätä valvontaa tekevät tehtäväjakonsa mukaisesti ylimmät laillisuusvalvojat – valtioneuvoston oikeuskansleri ja eduskunnan oikeusasiamies Tietosuojavaltuutettu puolestaan valvoo tietosuoja-asetuksen 55–59 artiklassa ja muussa laissa säädettyjen tehtävä- ja toimivaltuuksien perusteella rekisterinpitäjän automatisoituun toimintaprosessiin liittyvää henkilötietojen käsittelyä. Asian asiamukainen käsittely voi tulla arvioitavaksi myös tuomioistuimessa. Tieto siitä, mitä prosesseja on automatisoitu missäkin viranomaisissa, olisi saatavissa muun laillisuusvalvonnan käyttöön tiedonhallintalautakunnasta. Käyttöönottopäätösten arviointitehtävä olisi tiedonhallintalautakunnan erillinen tehtävä ja se kohdistuisi laajempaan joukkoon tiedonhallintayksikköjä ja niissä toimivia viranomaisia kuin muut tiedonhallintalautakunnan tehtävät. Arviointitehtävä kohdentuisi kaikkiin lain soveltamisalaan kuuluviin viranomaisiin ja niihin rinnastettaviin toimijoihin, jos ne ottavat käyttöön automatisoidun toimintaprosessin hallintoasioissa ja jotka kuuluisivat ehdottavan lain 6 a luvun sääntelyn piiriin.

Arviointitehtävä ei ulottuisi esimerkiksi tuomioistuinten lainkäyttöön tai ylimpien laillisuusvalvojien laillisuusvalvontatoimintaan. Koska hallintolaissa ehdotetaan säädettäväksi automatisoidun asian ratkaisuun liittyvistä edellytyksistä nimenomaisesti hallintoasioissa, ei pykälään ehdoteta erillistä tuomioistuimiin kohdistuvaa rajaavaa säännöstä. Pykälässä olisi kuitenkin 5 momentissa selvyyden vuoksi rajattu ylimmät laillisuusvalvojat pykälän soveltamisen ulkopuolelle.

Pykälän 2 momentissa säädettäisiin tiedonhallintalautakunnalle toimivalta suorittaa arviointitehtäväänsä. Lautakunnalle säädettäisiin tiedonsaantioikeudet välttämättömiin käyttöönottopäätökseen liittyviin asiakirjoihin. Näiden asiakirjojen avulla lautakunta selvittäisi, onko käyttöönottopäätöksen perusteena olevien asiakirjojen dokumentaatio tehty tässä laissa säädetyn mukaisesti ja että onko käyttöönotossa noudatettu tässä laissa säädettyjä menettelyjä.

Pykälän 3 momentissa säädettäisiin lautakunnan tarkastusoikeudesta niissä tilanteissa, joissa arviointitehtävän toteuttaminen sitä välttämättä edellyttää. Tiedonhallintalautakunnalla olisi tällöin oikeus toimittaa tarkastus tiedonhallintayksikön ja sen yhteydessä toimivan viranomaisen toimitiloissa lukuun ottamatta pysyväisluonteiseen asumiseen käytettäviä tiloja. Tiedonhallintayksikön ja sen yhteydessä toimivan viranomaisen olisi avustettava tarkastuksen suorittamisessa esittämällä tarvittavat asiakirjat tarkastajalle. Tiedonhallintalautakunta määräisi sihteeristöstään ne henkilöt, jotka suorittavat tarkastuksen. Tarkastukseen määrätyt sihteerit käyttäisivät yksittäisissä tarkastuksissa lautakunnalle kuuluvia toimivaltuuksia, kuten laatisivat tarvittavat tietopyynnöt ja yhteydenotot, käsittelisivät saadut asiakirjat sekä suorittaisivat tarkastukset ja laatisivat tarkastuspöytäkirjat. Lisäksi ehdotetaan, että tiedonhallintalautakunta voisi päätöksellään valtuuttaa Digi- ja väestötietoviraston virkamiehen avustamaan tarkastuksen toimittamisessa. Digi- ja väestötietoviraston valtuutetulla virkamiehellä olisi samat toimivaltuudet kuin tiedonhallintalautakunnan tarkastajalla. Digi- ja väestötietoviraston virkamies ei voisi tehdä itsenäisesti tarkastuksia, vaan vain tiedonhallintalautakunnan määräämän tarkastajan apuna. Toisaalta Digi- ja väestötietoviraston resurssia voidaan hyödyntää vain siltä osin kuin siihen on käytettävissä riittävän asiantunteva henkilö, jolla on käytettävissä aikaa tarkastuksen avustavaan tehtävään. Ehdotettavalla lailla ei esitetä Digi- ja väestötietovirastolle lisäresursseja, koska säännös on mahdollistava, mutta ei edellytä, että virasto tuottaisi yli sen resurssin, joka virastolla on käytettävissä asiantuntijapalvelujen tuottamiseen tiedonhallintalautakunnalle.

Pykälän 4 momentissa säädettäisiin lautakunnalle toimivalta osana arviointitehtävän suorittamista kiinnittää viranomaisen huomiota havaittuihin olennaisiin puutteisiin dokumentaatiossa. Lautakunta ei antaisi hallinnollista ohjausta vähäisistä puutteista, mutta tilanteissa, joissa jokin asiakirja puuttuu kokonaan tai se on sisällöltään selvästi keskeneräinen tai puutteellinen, lautakunta voisi kiinnittää huomiota puutteisiin. Tämän lisäksi lautakunta voisi asettaa määräajan, jonka kuluessa viranomaisen olisi ilmoitettava, mihin toimenpiteisiin se on ryhtynyt huomion kiinnittämisen johdosta. Säännöksellä vastuutettaisiin viranomaisia reagoimaan lautakunnan huomion kiinnittämiseen sekä samalla tehostettaisiin kontrollointia siitä, että olennaisimmat puutteet korjattaisiin viranomaisessa. Sinällään lautakunnan antama hallinnollinen ohjaus ei ole viranomaista sitovaa. Olennaisten puutteiden korjaamatta jättäminen voisi kuitenkin tulla arvioitavaksi muissa valvontaviranomaisissa.

28 h §. Tietojen käyttö automatisoidussa toimintaprosessissa. Pykälässä säädettäisiin viranomaisen velvollisuudesta varmistaa, että automaattisessa ratkaisemisessa käytettävät tiedot ovat ajantasaisia ja virheettömiä. Viranomaisen olisi toteutettava asianmukaiset toimenpiteet, joilla teknisesti varmistetaan automaattisessa ratkaisemisessa käytettävien tietojen ajantasaisuus ja virheettömyys. Asianmukaiset toimenpiteet tulisi määritellä riskiarvioinnin perusteella. Riskiarvioinnissa olisi tunnistettava olennaiset riskit, jotka voivat vaikuttaa automaattisessa ratkaisemisessa käytettävien tietojen ajantasaisuuteen ja virheettömyyteen. Olennaisilla riskeillä tarkoitetaan riskejä, jotka voivat vaikuttaa hallinnon asiakkaan oikeusasemaan haittaavalla tai vahingoittavalla tavalla. Mikäli riskiarvioinnin perusteella automaattisessa päätöksenteossa käytettävien tietojen ajantasaisuuteen ja virheettömyyteen liittyy olennaisia riskejä, tulee viranomaisen toteuttaa sellaiset asianmukaiset kontrollit, joilla pystytään automatisoidussa toimintaprosessissa varmistamaan hyödynnettävien tietojen laatu. Velvollisuus koskee niin viranomaisen omia tietoaineistoja kuin toisen viranomaisen tai muun toimijan tietojen hyödyntämistä. Säännös myös korostaa sitä, että viranomaisen on selvitettävä ja varmistettava automaattisessa ratkaisemisessa hyödyntämänsä tietojen laatu jo aktiivisesti etukäteen. Käytettävien tietojen ajantasaisuus ja virheettömyys ovat keskeisiä tekijöitä asianosaisen oikeusturvan varmistamisessa siten, että toimintaprosessissa tuotettava päätös tai muu ratkaisu on tehty asiallisesti oikein laadukkaan tietopohjan perusteella. Viranomaisella on jo voimassaolevan hallintolain 31 §:n nojalla velvollisuus huolehtia asian riittävästä ja asianmukaisesta selvittämisestä hankkimalla asian ratkaisemiseksi tarpeelliset tiedot ja selvitykset. Säännös täydentäisi hallintolain selvitysvelvollisuuden sisältöä automatisoidun toimintaprosessin yhteydessä velvoittamalla kohdistamaan toimenpiteitä nimenomaisesti tiedon laadun varmistamiseen. Asianmukaisen asiankäsittelyn varmistamisessa tulisi huomioida myös voimassa oleva tiedonhallintalain 13 §:n 1 momentissa säädetty siitä, että tiedonhallintayksikön on selvitettävä olennaiset tietojenkäsittelyyn kohdistuvat riskit ja mitoitettava tietoturvallisuustoimenpiteet riskiarvioinnin mukaisesti. Ehdotettava pykälä täydentäisi tältä osin sääntelyä siten, että toimintavelvoitteita kohdistettaisiin tietoturvallisuustoimenpiteiden lisäksi tiedon oikeellisuuteen ja ajantasaisuuteen. Tietojen laatu ja tiedoissa olleet virheet ovat olleet keskeisessä roolissa useissa laillisuusvalvojien ratkaisuissa (mm. OKV/1242/1/2013, EOAK/5362/019 ja EOAK/5571/2020).

Tietosuoja-asetuksen johdanto-osan 71 kohdassa pidetään automatisoituihin yksittäispäätöksiin liittyvänä suojatoimena henkilötietojen virheellisyyksiin liittyvien tekijöiden korjaamista ja virheriskien minimointia. Tietosuoja-asetuksen 5 artiklan 1 kohdan d alakohdassa säädetään täsmällisyysperiaatteesta, jonka mukaan henkilötietojen tulisi olla täsmällisiä ja tarpeeksi päivitettyjä ja rekisterinpitäjän on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. Kansallisen tason sääntelyllä on tarkoituksena varmistaa tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan mukaiset riittävät suojatoimet automaattisessa ratkaisemisessa ja olla tietosuoja-asetuksen 5 artiklassa tarkoitettua täsmällisyysperiaatetta tarkempi ja täsmällisempi riittävän virkatoimiin liittyvän velvollisuuden osoittamiseksi. Ehdotetussa pykälässä painotettaisiin ennakolta tapahtuvaa virheiden minimointia ja riskiarvion pohjalta tehtäviä, myös tarvittaessa ennakollisia toimenpiteitä, koska julkista valtaa käytettäessä virheellisten tietojen vaikutukset voivat olla erityisen merkittäviä asianosaisen kannalta ja koska tällaiset vaikutukset voivat tulla toimeenpanokelpoisiksi heti ratkaisun tekemisen jälkeen.

Lisäksi asioiden automaattinen ratkaiseminen kohdistuu myös muihin kuin luonnollisiin henkilöihin, jolloin tavoitteena on varmistaa, että myös näissä tapauksissa on olemassa riittävät suojatoimet, joilla varmistetaan tietojen oikeellisuus ja ajantasaisuus.

Rekisteröidyn oikeudesta vaatia virheellisten tietojen poistamista tai oikaisemista säädetään erikseen tietosuoja-asetuksen 16 artiklassa ja päätöksessä olevan virheen korjaamisesta säädetään muualla lainsäädännössä.

28 i §. Julkisyhteisön työntekijän virkavastuu. Pykälässä ehdotetaan säädettäväksi julkisyhteisön työntekijän rikosoikeudellisesta virkavastuun laajentamisesta siten, että virkavastuun laajuus ei olisi riippuvaa siitä, minkälaisessa palvelussuhteessa henkilö suorittaa ehdotetussa 6 a luvussa säädettyjä tehtäviä. Pykälä olisi tarpeellinen, koska viranomaisissa tietojärjestelmien kehittämis- ja ylläpitotehtävissä toimii varsin laajasti sekä virkasuhteisia että työsuhteisia henkilöitä.

Rikoslain 40 luvun 12 §:n 2 momentissa on säädetty julkisyhteisön työntekijään sovellettavista virkarikossäännöksistä. Jos julkisyhteisyön työntekijä käyttää julkista valtaa, häneen sovelletaan pykälän 1 momentin nojalla samoja virkarikossäännöksiä kuin virkamieheen. Ehdotettavassa sääntelyssä osa tehtävistä liittyy vain välillisesti julkisen vallan käyttöön, kuten testauksen suorittaminen. Toisaalta vaikka virkamies tekisi tällaisia välillisesti julkisen vallan käyttöön liittyviä tehtäviä, tulee virkarikossääntely sovellettavaksi häneen virkatehtävistä riippumatta. Rikoslain 40 luvun 11 §:n 5 kohdan b alakohdan mukaan julkista valtaa käyttävällä henkilöllä tarkoitetaan sitä, jonka lain tai asetuksen nojalla taikka viranomaiselta lain tai asetuksen nojalla saadun toimeksiannon perusteella kuuluu osallistua a alakohdassa tarkoitetun päätöksen valmisteluun tekemällä päätösesitys tai -ehdotus, laatimalla selvitys tai suunnitelma, ottamalla näyte tai suorittamalla tarkastus taikka muulla vastaavalla tavalla. Rikoslaissa säädetty julkista valtaa käyttävän henkilön määritelmä ei välttämättä kata kaikkia niitä toimia, jotka tässä luvussa on ehdotettu säädettäväksi viranomaisissa työskentelevien tehtäviksi. Jotta virkavastuu rikosvastuuna toteutuisi automatisoidun toimintaprosessin kehittämisessä ja käyttöönotossa tosiasiallisesti ja vastuu olisi selkeästi ennakoitavissa, on perusteltua säätää erikseen siitä, että tiedonhallintalain 6 a luvussa ehdotettua sääntelyä toteuttavissa tehtävissä toimivat henkilöt kuuluvat kattavasti rikosoikeudellisen virkavastuun piiriin siten kuin sitä sovelletaan virkamiehiin. Tällä myös varmistetaan, että sääntelyyn ei jää aukkoisuutta virkavastuun tosiasiallisessa toteuttamisessa automatisoidun toimintaprosessin kehittämisessä ja käytössä.

Pykälässä ehdotetaan säädettäväksi, että viranomaisen palveluksessa olevat julkisyhteisön työntekijät toimisivat virkamiehen rikosoikeudellisella virkavastuulla suorittaessaan 6 a luvussa säädettyjä automatisoituun toimintaprosessiin liittyviä tehtäviä. Virkavastuun laajentaminen perustuisi siihen, että automatisoituun toimintaprosessiin liittyvät tehtävät voivat vaikuttaa automaattisesti ratkaistavan asian ratkaisun lopputulokseen ja siten julkisen vallan käyttöön.

Rikoslain 40 luvun 12 §:n 1 momentin mukaan 40 luvun virkamiestä koskevia säännöksiä sovelletaan myös julkista luottamustehtävää hoitavaan henkilöön ja julkista valtaa käyttävään henkilöön. Lain 40 luvun 12 §:n 2 momentin mukaan luvun 1–3, 5 ja 14 §:ää sovelletaan, viraltapanoseuraamusta lukuun ottamatta, myös julkisyhteisön työntekijään. Automatisoituun toimintaprosessiin liittyvissä tehtävissä ei välttämättä ole kyse ainakaan suorasta julkisen vallan käytöstä tai edes suorista valmistelevista tehtävistä, mutta toimintaprosessin laadulla on keskeinen merkitys automaattisen ratkaisemisen lopputuloksen oikeellisuudelle. Rikoslain edellä kuvatut soveltamisalarajaukset huomioon ottaen esimerkiksi virkavelvollisuuden rikkomista koskevat rikoslain 40 luvun 9 ja 10 § eivät välttämättä ulottuisi automatisoituun toimintaprosessiin liittyviin kehittämistä ja käyttöönottoa koskeviin tehtäviin, joita hoitavat muut kuin virkamiehet, mutta kuitenkin viranomaiseen palvelussuhteessa olevat henkilöt. Tästä syystä ehdotetaan säädettäväksi, että virkamiehen rikosoikeudellinen virkavastuu koskisi kaikkia automatisoituun toimintaprosessiin liittyviä tehtäviä. Selkeyden vuoksi säännöksessä todettaisiin, että rikosoikeudellisiin seuraamuksiin ei kuuluisi viraltapano.

28 j §. Tehtävien antaminen yksityiselle ja virkavastuu. Pykälässä säädettäisiin mahdollisuudesta antaa tässä laissa säädettäväksi ehdotettavia viranomaiselle kohdistettuja tehtäviä yksityisen hoidettavaksi. Sääntely olisi tarkoitettu sovellettavaksi ja tulkittavaksi vain ehdotetun 6 a luvun soveltamisen yhteydessä. Koska ehdotuksessa tehtävät on säädetty lähtökohtaisesti viranomaisen tehtäviksi, pitäisi tässä sääntely-yhteydessä mahdollistaa erikseen tiettyjen tehtävien antaminen perustuslain 124 §:ssä johtuvista syistä yksityiselle. Siten sääntelyehdotuksessa ei oteta kantaa siihen, miten julkisia hallintotehtäviä arvioidaan muussa tietojärjestelmien tai toimintaprosessien kehittämistyössä sovellettaessa muita tiedonhallintalain tai muun lain säännöksiä. Osittain tehtävät ovat luonteeltaan teknisiä ja avustavia, mutta ne liittyvät julkisen vallan käyttöön ja perusoikeuksien turvaamiseen. Näiden tehtävien siirtämisestä viranomaiskoneiston ulkopuolelle on säädettävä laissa, jos ne liittyvät julkisen vallan käyttöön ja ovat kohdennettuja viranomaiselle (PeVL 30/2012 vp).

Pykälän mukaan viranomainen voisi antaa 28 b §:ssä tarkoitettuun testaamiseen ja 28 c §:ssä tarkoitettuun teknisten virheiden korjaamiseen liittyviä avustavia tehtäviä hoidettavaksi yksityiselle toimijalle, jolla on siihen riittävät tekniset edellytykset sekä riittävä osaaminen. Kyse olisi teknisluonteisista ja myös teknistä osaamista edellyttävistä tehtävistä, jotka liittyisivät viranomaiselle säädetyksi ehdotettuun tehtäväkokonaisuuteen. Sääntely ei mahdollistaisi sellaisten tehtävien antamista yksityiselle, joissa viranomaisen olisi määriteltävä vastuuhenkilö. Siten testaamisesta vastuussa olevan henkilön tehtävää ei voitaisi antaa ehdotetun perusteella yksityiselle, koska se ei ole vaatimustenmukaisuuden varmistamiseen liittyvä avustava tehtävä. Niin ikään testauksen lopputuloksen todentaminen kuuluu viranomaisen palveluksessa toimivien henkilöiden tehtäviin. Käytännössä yksityinen voisi osallistua testausmenetelmien suunnitteluun, testiaineistojen muodostamiseen ja testaamiseen. Yksityiselle voitaisiin antaa tehtäväksi suorittaa viranomaisen edellä kuvatulla tavalla määrittelemä ja valvoma testaus.

Virheiden korjaamisen osalta viranomaisen laadunvarmistamissuunnitelmasta olisi 28 c §:n 1 momentin mukaan ilmettävä, miten automatisoidusti ratkaistujen asioiden laatua ja sisällöllistä virheettömyyttä tarkkaillaan, havaitut virheet korjataan ja toimintaprosessiin liittyvä riskejä hallitaan käyttöönoton jälkeen. Viranomaisen olisi myös nimettävä laadunvalvonnalle viranomaisen palveluksessa oleva vastuuhenkilö, jonka tehtävänä on varmistaa laadunvalvonnan toteutuminen suunnitelman mukaisesti. Yksityiselle voitaisiin antaa tehtäväksi virheiden korjaamiseen liittyviä avustavia teknisluonteisia tehtäviä sen perusteella, miten viranomainen on määritellyt virheet korjattaviksi.

Ehdotetussa pykälässä ehdotetaan myös säädettäväksi, että yksityisen palveluksessa olevat, näitä tehtäviä hoitavat henkilöt toimisivat tehtäviä hoitaessaan virkamiehen rikosoikeudellisella virkavastuulla. Lisäksi säännökseen sisältyisi informatiivinen viittaus vahingonkorvauslakiin. Siten tehtävien hoito yksityisen tuottamina palveluina ei vaikuttaisi virkavastuun arvioimiseen tai toteutumiseen. Selkeyden vuoksi säännöksessä todettaisiin, että rikosoikeudellisiin seuraamuksiin ei kuuluisi viraltapano.

Voimaantulo- ja siirtymäsäännökset. Lainkohta sisältää voimaantulosäännöksen ja siirtymäsäännökset.

7.3 Laki digitaalisten palvelujen tarjoamisesta

6 a §. Palveluautomaation käyttö neuvonnassa. Pykälässä säädettäisiin niistä edellytyksistä, joilla digitaalisessa palvelussa voitaisiin käyttää käyttäjän, eli hallinnon asiakkaan, ja automatisoidun toiminnon reaaliaikaisen viestien vaihdon välityksellä tapahtuvaa neuvontaa ja opastusta. Sääntely ei koskisi tilanteita, joissa palveluautomaatiota käytetään automaattisessa asian ratkaisemisessa, eikä sellaista neuvontaa, jonka antaminen ei perustu laissa säädettyyn tehtävään tai velvollisuuteen. Asian automaattisen ratkaisemisen digitaalisessa palvelussa tulisi perustua hallintolaissa ja tiedonhallintalaissa säädettäviin edellytyksiin.

Monet viranomaiset ovat ottaneet käyttöön erilaisia automatisoituja neuvonta- ja opastuspalveluja (kuten niin kutsuttuja keskustelurobotti- eli chatbot-palveluja), joissa käyttäjä kommunikoi reaaliaikaisesti luonnollisella kielellä digitaalisen palveluautomaation kanssa. Tämä on erona perinteisempiin digitaalisiin palveluihin, kuten tavanomaisiin verkkosivuihin ja –lomakkeisiin, joissa kommunikaatio ei ole kaksisuuntaista tai reaaliaikaista, tai sitä ei käydä luonnollisella kielellä. Säännöksen tarkoituksena olisi varmistaa hyvän hallinnon perusteiden ja hallinnossa asioivan oikeusturvan toteutuminen asettamalla palveluautomaation käyttämiselle eräitä vaatimuksia. Samalla selkeytettäisiin automatisoitujen neuvontapalveluiden sääntelytilaa ja madallettaisiin viranomaisten kynnystä hyödyntää palveluautomaatiota neuvonnassa. Sääntely koskisi vain sellaista neuvontaan tai ohjaukseen liittyvää palveluautomaatiota, jossa ei tuoteta viranomaisen ratkaisua. Asian ratkaisemiseen liittyvän automatisoidun prosessin käyttöönoton edellytyksistä, myös digitaalisissa palveluissa, säädettäisiin tiedonhallintalakiin lisättäväksi ehdotetussa 6 a luvussa.

Palveluautomaation käyttö on sidottu hallintolaissa säädettyyn neuvontavelvollisuuden toteuttamiseen, joka on perustuslain 124 §:ssä tarkoitettu julkinen hallintotehtävä. Tässä laissa ei ehdoteta säädettäväksi neuvontaan liittyvän julkisen hallintotehtävän antamismahdollisuudesta yksityiselle. Tästä syystä ehdotettavan sääntelyn perusteella viranomaisen on toteutettava myös digitaalisten palvelujen tarjoamisesta annetun lain velvollisuudet, ellei muualla lainsäädännössä ole mahdollistettu neuvontavelvollisuuden toteuttamista yksityisen toteuttamana tai ellei kysymys ole muuten muualla lainsäädännössä säädetyn perusteella julkisen hallintotehtävän hoitamiseen kuuluvasta neuvonnasta. Ehdotettu säännös ei kuitenkaan estäisi viranomaista hankkimasta palveluautomaatiota tai sellaisen tuottamiseen liittyviä teknisluonteisia palveluita yksityiseltä.

Pykälän 1 momentissa säädettäisiin tarkemmin edellytyksistä reaaliaikaiseen viestinvaihtoon perustuvan palveluautomaation käyttämiselle.

Momentin 1 kohdan mukaan neuvontaa tuottavaa palveluautomaatiota voitaisiin käyttää, jos palveluautomaatio ei tuota viestien vaihdon aikana viranomaisen ratkaisua. Selvää on, että kyse ei ole hallintolain 8 §:ssä tarkoitetusta neuvonnasta, mikäli neuvonnan aikana hallintoasia ratkaistaan. Kohdan tarkoituksena on selkeyttää säännöksen suhdetta varsinaiseen automaattista ratkaisemista koskevaan sääntelyyn. Jos palveluautomaatio tuottaa automaattisesti ratkaisuja, tulisi sen käyttöönoton edellytykset arvioida 6 a §:n sijaan hallintolakiin ehdotetun uuden 8 b luvun, tiedonhallintalakiin ehdotetun uuden 6 a luvun, tietosuojasääntelyn sekä muun mahdollisesti soveltuvan sääntelyn näkökulmasta.

Momentin 2 kohdan mukaan viranomaisen olisi ennalta varmistettava, että palveluautomaatiosta tuotettavan neuvonnan tietosisältö on asianmukaista. Säännös käytännössä tarkoittaisi sitä, että viranomaisen on luotava palveluautomaatioon tietosisällöt itse tai ainakin kontrolloitava ja valvottava sen tietosisältöjä. Siten sääntely ei mahdollistaisi sellaista palveluautomaatiota, joka toimisi ilman luonnollisen henkilön kontrollia ja valvontaa. Nykyisin viranomaisissa käytössä oleva palveluautomaatio toimii siten, että sen tietosisältöä kartutetaan ihmisen muodostamilla vastauksilla. Autonomisten palveluautomaatiotoiminnallisuuksien käyttöön liittyy myös Euroopan unionissa valmisteilla oleva tekoälysääntely. Lisäksi tällaiseen autonomiseen palveluautomaation käyttöön liittyy vielä ratkaisemattomia kysymyksiä virkavastuun toteuttamisesta, joten sääntelylle ei ole tässä vaiheessa riittäviä mahdollisuuksia. Sinällään nykyisin käytössä olevaan palveluautomaatioon liittyvät kysymykset ovat ratkaistavissa samalla tavalla kuin muuten kun viranomainen julkaisee neuvoja ja ohjeita verkkosivustollaan. Neuvojen ja ohjeiden laatija tai hyväksyjä vastaa virkatoimistaan neuvontatarkoituksia varten luotavia sisältöjä muodostaessaan. Sääntelyllä halutaan varmistaa, että hyvään hallintoon ja oikeusturvaan sekä virkavastuuseen liittyvät kysymykset tulee huomioiduksi palveluautomaation sisältöjä tuotettaessa. Sääntely ei koskisi palveluautomaation tietosisältöjen muuntamista tekniseen muotoon, tietosisältöjen syöttämiseen liittyvien teknisten toiminnallisuuksien kehittämistä tai tietosisältöjen sisällyttämistä palveluautomaatioon teknisluonteisena tehtävänä, vaan sen tarkoituksena on varmistaa, että viranomainen laatii neuvonnan sisällön ja tekee siihen mahdollisesti sisältyvän oikeudellisen harkinnan, ellei neuvontatehtävän antamista yksityiselle ole muualla laissa tehty mahdolliseksi.

Momentin 3 kohdan mukaan viranomaisen tulisi varmistaa, että viestien vaihdossa käytettävän palveluautomaation kieli täyttää hyvän kielenkäytön vaatimuksen. Se, mitä kieliä palveluautomaatiossa on käytettävä, ratkaistaan kielilainsäädännön perusteella. Hallintolain 9 §:ssä on säädetty hyvän kielenkäytön vaatimuksesta yleisesti viranomaisessa, mutta ehdotettavalla säännöksellä kohdennettaisiin viranomaiselle velvollisuus varmistua palveluautomaation käyttämän kielen laadusta. Säännöksen tarkoituksena on minimoida riskejä, jotka voisivat johtaa tilanteeseen, jossa viranomainen antaisi palveluautomaation avulla puutteellista, virheellistä tai väärin tulkittavaa tietoa neuvonnan tai ohjauksen yhteydessä. Varmistaminen voi tapahtua esimerkiksi testaamalla palveluautomaatiota riittävästi ennen sen käyttöä, täydentämällä palveluautomaation tietosisältöä tuotantokäytön aikana sekä huolehtimalla siitä, että palveluautomaation käyttämät, etukäteen laaditut tekstisisällöt on laadittu ymmärrettävällä kielellä. Säännöksessä tarkoitettu ymmärrettävyyden vaatimus olisi laajempi kuin saavutettavuusvaatimuksiin sisältyvä ymmärrettävyyden vaatimus, joka on sisällöllisesti teknisluonteinen. Siten ehdotetun säännöksen täytäntöön panemiseksi ei riittäisi, että palveluautomaation sisältö täyttää saavutettavuusvaatimuksena säädetyn teknisluonteisen ymmärrettävyyden vaatimukset.

Momentin 4 kohdan mukaan käyttäjälle olisi kerrottava siitä, että hän on vuorovaikutuksessa reaaliaikaisessa viestien vaihdossa palveluautomaation kanssa. Säännöksen tarkoituksena olisi varmistaa, että käyttäjä ymmärtää, että hän ei kommunikoi luonnollisen henkilön kanssa palvelutilanteessa eikä esimerkiksi keskustele neuvontatarpeestaan viranomaisessa neuvontatehtäviä hoitavan virkamiehen kanssa. Jos asioinnin aikana luonnollinen henkilö alkaa käydä keskustelua käyttäjän kanssa palveluautomaation sijaan esimerkiksi teknisen ongelman vuoksi tai koska palveluautomaatio ei pystykään antamaan sopivaa neuvontaa, olisi tästäkin kerrottava käyttäjälle.

Momentin 5 kohdassa säädettäisiin velvollisuudesta tarjota käyttäjälle mahdollisuus ottaa yhteyttä neuvontatilanteeseensa liittyvään, viranomaisessa toimivaan luonnolliseen henkilöön asioinnin jatkamiseksi. Säännöksen tarkoituksena olisi mahdollistaa käyttäjille katkeamaton palveluketju neuvontatilanteessa, jos käyttäjä ei saa riittävää neuvontaa palveluautomaatiolta. Se, miten viranomainen toteuttaisi tällaisen mahdollisuuden jatkaa palvelua luonnollisen henkilön kanssa, jäisi viranomaisen harkintaan. Olennaista olisi se, että käyttäjälle tarjotaan riittävä tieto siitä, miten ja missä asiointia voi jatkaa luonnollisen henkilön kanssa, kuten sähköpostitse tai puhelimitse yhteystietoineen. Viranomaisen palveluaikoina mahdollisuus voisi tarkoittaa myös sitä, että viestien vaihto jatkuisi katkeamatta luonnollisen henkilön kanssa, josta olisi luonnollisesti 4 kohdan mukaisesti kerrottava käyttäjälle. Katkeamattomuutta ei kuitenkaan arvioitaisi pelkästään ajallisesti, vaan niin, että hallinnon asiakkaan näkökulmasta asia tulee asianmukaisesti hoidetuksi ja että hallinnon asiakas tulee kohdelluksi yhdenvertaisesti muiden viranomaisessa asioivien kanssa. Palveluautomaatiota käyttäneelle asiakkaalle ei olisi esimerkiksi välttämätöntä ehdotetun nojalla tarjota välitöntä puhelinyhteyttä ohi muiden viranomaisen kanssa puhelimitse asioivien asiakkaiden. Palveluaikojen ulkopuolella yhteystiedon antamisen sijaan tai lisäksi viestien vaihto tai käyttäjän laatima kysymys tai viesti voitaisiin välittää suoraan viranomaiselle palveluaikana vastattavaksi esimerkiksi sähköpostitse. Palveluautomaatiossa käyttäjälle on lisäksi viestittävä, mikäli palveluautomaatio ei osaa vastata käyttäjän esittämiin kysymyksiin, ja ohjattava käyttäjä tällaisessa tilanteessa ottamaan yhteyttä luonnolliseen henkilöön. Jos kyse on neuvonnasta, joka ei kuulu viranomaisen toimivaltaan, olisi palveluautomaatiossa opastettava asiakas oikeaan viranomaiseen niin kuin hallintolain 8 §:n 2 momentissa edellytetään. Säännös ei estäisi tässä tapauksessa asiakkaan ohjaamista toimivaltaisen viranomaisen palveluautomaation käyttäjäksi, ja toimivaltaisen viranomaisen palveluautomaatio puolestaan tarvittaessa tarjoaisi mahdollisuutta ottaa yhteyttä toimivaltaisessa viranomaisessa toimivaan luonnolliseen henkilöön.

Momentin 6 kohdassa säädettäisiin viestienvaihdon tallentamisesta. Momentin 6 kohdan mukaan käyttäjällä tulisi olla mahdollisuus keskustelun tallentamiseen. Tallentaminen voisi tapahtua suoraan palveluautomaation käyttöliittymässä olevan valikon tai painikkeen kautta, jolloin viestit voitaisiin tallentaa tiedostoon, jonka käyttäjä lataa koneelleen, tai jonka viranomainen lähettää käyttäjän antamaan sähköpostiosoitteeseen. Tallentaminen voisi tapahtua myös muulla asianmukaisella tavalla, esimerkiksi niin, että käyttäjä voi halutessaan kopioida viestienvaihdon käyttöliittymästä ja liittää ja tallentaa sen omalla laitteellaan olevaan tiedostoon.

Momentin 6 kohta olisi tarpeellinen palvelun käyttäjän oikeusturvan takaamiseksi neuvontatilanteessa. Oikeuskäytännössä ja laillisuusvalvontakäytännössä on katsottu, että neuvontatilanteissa sekä verkkosivustojen sisällössä olevat virheelliset neuvot voivat muodostaa hallinnon asiakkaalle luottamuksen suojan (esimerkiksi korkeimman hallinto-oikeuden ratkaisu KHO:2006:90). Käyttäjän tallentaman viestienvaihdon perusteella viranomaisen olisi mahdollista tarvittaessa toistaa palveluautomaatiossa käyty viestienvaihto ja selvittää mahdollinen viestienvaihdossa ilmennyt virhe.

Pykälän 2 momentissa säädettäisiin palveluautomaation laaduntarkkailuun liittyvistä vaatimuksista. Ehdotuksen mukaan viranomaisen olisi seurattava automatisoitujen toimintojen laatua ja muuta asianmukaisuutta. Viranomaisen olisi nimettävä seurannasta vastaava henkilö, jonka tehtävänä olisi huolehtia myös laaduntarkkailun toteuttamisesta. Laadulla tarkoitettaisiin erityisesti sitä, että palveluautomaation viestinvaihto vastaa viranomaisen sille asettamia vaatimuksia tietosisällön osalta, että palveluautomaatio on sopiva tarkoitukseensa ja pystyy tarjoamaan hallinnon asiakkaille neuvontaa, ja että palveluautomaation kielenkäyttö on asiallista, selkeää ja ymmärrettävää. Säännös vahvistaisi palveluautomaation ihmiskontrollia. Palveluautomaation laaduntarkkailuun kiinnitettäisiin myös toimintavelvollisuus, jonka toteuttamiseen liittyisi myös virkavastuu. Vastuuhenkilön tulisi olla viranomaisessa työskentelevä, joten vastuuhenkilönä ei voisi toimia yksityinen. Säännös ei estäisi yksityisen tuottaman palveluautomaation hankkimista, tällaisen palveluautomaatiotuotteen räätälöintiä viranomaisen tarpeisiin tai yksityisten toimijoiden hyödyntämistä palveluautomaation teknisessä tuottamisessa. Säännöksen tarkoituksena on varmistaa, että viranomaisen käyttämä palveluautomaatio riippumatta sen toimitus- tai tuottamistavasta vastaisi viranomaisen sille asettamia vaatimuksia. Vaatimukset perustuisivat sovellettavaan lainsäädäntöön sekä viranomaisen omiin tarpeisiin ja menettelytapoihin, jotka ovat välttämättömiä palveluautomaation asianmukaiselle toiminnalle.

Pykälän 3 momentissa viitattaisiin tiedonhallintalain 28 b §:ään. Viranomaisen tulisi varmistaa palveluautomaation vaatimustenmukaisuus testaamalla ennen sen käyttöönottoa siten kuin tiedonhallintalain 28 b §:ssä olisi säädetty automatisoidun toimintaprosessin vaatimustenmukaisuuden varmistamisesta. Käytännössä 3 momentti edellyttäisi, että testaukselle on nimettävä vastuuhenkilö, testauksen on oltava suunnitelmallista ja siinä on käytettävä asianmukaisia testausmenetelmiä ja testiaineistoja, että testitulokset sekä havaittujen virheiden ja puutteiden korjaavat toimet on dokumentoitava, ja että testaamista suorittavan henkilön on käytettävä viranomaisen määrittelemää testausmenetelmää, suoritettava testaus määritellyllä testiaineistolla ja dokumentoitava testaustulokset huolellisesti. Säännöksen tarkoituksena on varmistaa, että viranomaisen palveluautomaatiota ei oteta käyttöön ennen kuin viranomainen on varmistanut testaamalla, että se vastaa viranomaisen sille asettamia vaatimuksia. Kyse olisi edellä 2 momentissa mainittua laaduntarkkailua vastaavasta velvoitteesta, joka kuitenkin tapahtuisi ennen palveluautomaation käyttöönottoa eikä vasta sen jo ollessa käytössä. Säännös on tarpeellinen, koska palveluautomaation käyttöön olisi tuotava ennakollinen ihmiskontrolli ja koska käyttöönottotoimiin liittyvä vaatimustenmukaisuuden varmistaminen olisi sidottava tiedonhallintalaissa säädettyihin toimintavelvollisuuksiin, joiden toteuttaminen tehdään virkavastuulla. Säännös ei koskisi muuta kuin viranomaisen ennen käyttöönottoa tekemää testaamista, eli se ei koskisi esimerkiksi palveluautomaation kehittämisen yhteydessä tehtävää muuta testaamista tai yksityisen tuottaman valmisohjelmiston laadunvalvontaa yksityisen toimesta.

Voimaantulo- ja siirtymäsäännökset. Lainkohta sisältää voimaantulosäännöksen ja siirtymäsäännöksen.

7.4 Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

13 §. Pykälään ehdotetaan lisättäväksi uusi 2 momentti, jossa säädettäisiin henkilötietojen käsittelystä rikosasioiden tietosuojalain soveltamisalaan kuuluvan käsittelyn osalta automaattisen päätöksenteon mahdollistamisesta, kun kyse on hallintoasioista.

Pykälän tarkoituksena olisi vastaavasti säätää poikkeus ja mahdollistaa rikosasioiden tietosuojalain soveltamisalalla hallintoasian automaattinen ratkaiseminen. Rikosasioiden tietosuojadirektiivin 11 artiklan 1 kohdan mukaan poikkeuksesta säädettäessä jäsenvaltion lainsäädännössä on otettava huomioon rekisteröidyn oikeuksia ja vapauksia koskevat asianmukaiset suojatoimet, vähintään oikeus vaatia, että käsittelyyn osallistuu rekisterinpitäjän puolesta ihminen. Direktiivin johdanto-osan 38 perustelukappaleen mukaan asianmukaisiin suojatoimiin kuuluisivat käsittelystä ilmoittaminen rekisteröidylle ja oikeus ihmisen suorittamaan interventioon, erityisesti jotta rekisteröity voisi esittää oman kantansa, saada selvityksen kyseisen arvioinnin jälkeen tehdystä päätöksestä tai riitauttaa päätöksen.

Voimassaolevan 13 §:n mukaan, jollei laissa toisin säädetä, päätöstä ei saa tehdä pelkästään automatisoidun henkilötietojen käsittelyn perusteella, jos päätöksellä on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai se on muutoin hänen kannaltaan merkittävä.

Ehdotetun uuden 2 momentin mukaan edellä 1 momentissa säädetystä poiketen toimivaltainen viranomainen voi ratkaista hallintoasian pelkästään automatisoidun henkilötietojen käsittelyn perusteella, jos asia ratkaistaan hallintolain 8 b luvussa tarkoitetulla tavalla automaattisesti. Hallintoasioilla tarkoitetaan hallintolain soveltamisalaan kuuluvia hallintoasioita. Näihin eivät hallintolain 4 §:n 1 momentin mukaan kuulu lainkäyttö, esitutkinta, poliisitutkinta eikä ulosotto.

Koska sekä voimassa oleva 13 § että hallintolain 5 §:n 1 momentti osoittavat sääntelyn toissijaisuutta, on 13 §:n 2 momentiksi lisättävä uusi säännös rikosasioiden tietosuojalain piiriin kuuluvia henkilötietoja sisältävien hallintoasioiden automaattisesta ratkaisemisesta. Kuten hallintolain 53 e §:n 1 momentissa säädettäisiin, hallintolain 8 b luvussa säädettäisiin niistä lisäedellytyksistä, joiden on muualla laissa säädetyn lisäksi täytyttävä, jotta viranomainen voi tehdä asiankäsittelyn päättävän ratkaisun automaattisella tietojenkäsittelyllä ennalta määriteltyjen käsittelysääntöjen perusteella ilman, että ratkaisun tarkastaa ja hyväksyy luonnollinen henkilö.

Momentissa tarkoitettuja hallintoasioita, jotka olisi mahdollista ratkaista automaattisesti, olisivat ainakin eräät rangaistuksen täytäntöönpanoon liittyvät hallintopäätökset. Näitä olisivat Oikeusrekisterikeskuksen sakon maksuajan myöntämistä koskevat päätökset ja Rikosseuraamuslaitoksen rangaistusaikapäätökset sekä vangin käyttörahaa ja ruokarahaa koskevat päätökset.

Voimaantulosäännös. Lainkohta sisältää voimaantulosäännöksen.

7.5 Maakaari

5 luku Kirjaamisasioita ja sähköisiä asiointijärjestelmiä koskevat yleiset säännökset

2 §. Kirjaamisviranomainen. Pykälän 2 momentista ehdotetaan poistettavaksi säännös kirjaamisasian ratkaisemisesta Maanmittauslaitoksen palveluksessa virkasuhteessa oleva kirjaamislakimiehen tai muun tehtävään määrätyn Maanmittauslaitoksen henkilökuntaan kuuluvan toimesta. Säännöksen poistaminen mahdollistaa sen, että Maanmittauslaitoksen nykyistä kirjaamiskäytäntöä vastaavaa automaattista päätöksentekoa voidaan jatkaa esitetyn hallintolain muutoksen tullessa voimaan.

Voimaantulosäännös. Lainkohta sisältää voimaantulosäännöksen.

Ehdotetaan, että lait tulevat voimaan 1.1.2023.

Ehdotetun hallintolain 8 b luvun ja tiedonhallintalain 6 a luvun vaatimukset ovat yhtenäinen kokonaisuus, jonka tarkoituksena on varmistaa hyvän hallinnon periaatteiden, virkavastuun, läpinäkyvyyden ja riittävän valvonnan toteutuminen silloin, kun viranomainen tuottaa ratkaisuja automatisoidussa toimintaprosessissa. On keskeistä, että hallintolain 8 b luvun voimaantulo ja siirtymäaika kytketään yhteen tiedonhallintalain 6 a luvun voimaantulon ja siirtymäajan kanssa.

Hallintolain 53 e §:n 1–3 momentit sisältäisivät säännökset automaattisen päätöksenteon määritelmästä ja mahdollisuudesta asian ratkaisemiseen automaattisesti. Hallintolain 8 b luku ja tiedonhallintalain 6 a luku muodostavat automaattista päätöksentekoa koskevan sääntelykokonaisuuden, jonka tarkoituksena on toimia automaattisen päätöksenteon yleissääntelynä. Automaattinen päätöksenteko ei siten olisi mahdollista ainoastaan hallintolain 53 e §:n 1–3 momentin nojalla, vaan hyvän hallinnon, oikeusturvan ja virkavastuun toteutuminen edellyttää myös tiedonhallintalain 6 a lukuun ehdotettavien säännösten noudattamista.

Ennen hallintolain voimaantuloa käytössä ollutta asian automaattista ratkaisemista voitaisiin 53 f §:n estämättä jatkaa 18 kuukauden ajan tämän lain voimaantulosta ja se olisi saatettava 53 g §:n mukaiseksi 12 kuukauden kuluessa tämän lain voimaantulosta. Siirtymäaika on pääosin tarkoituksenmukaista olla vastaava kuin tiedonhallintalain 6 a luvun mukainen siirtymäaika. Valmistelussa on arvioitu, että ehdotettu siirtymäaika olisi riittävä myös tiettyjä erityistilanteita koskevien lainsäädäntömuutosten tekemiseksi, kun otetaan huomioon, että nykytila ei ole lainmukainen.

Hallintolain 53 e §:n 4 momentissa säädettäisiin, että oikaisuvaatimusta tai siihen rinnastuvaa vaatimusta ei voida ratkaista automaattisesti. Säännöstä sovellettaisiin 12 kuukauden kuluttua tämän lain voimaantulosta. Mikäli viranomainen ennen tämän lain voimaantuloa käyttää automaattista ratkaisemista momentin mukaisissa asioissa, tulisi menettelystä luopua siirtymäajan kuluessa tai sallia muussa lainsäädännössä tällaisten automaattisten ratkaisujen tekeminen. Valmistelussa on arvioitu, että ehdotettu siirtymäaika olisi riittävä näitä tiettyjä erityistilanteita koskevien lainsäädäntömuutosten tekemiseksi, kun otetaan huomioon, että nykytila ei ole lainmukainen.

Tiedonhallintalakia koskevat muutokset sisältäisivät siirtymäsäännöksiä, koska lain voimaantullessa kaikilla viranomaisilla ei ole valmiuksia tai mahdollisuuksia välittömästi soveltaa uutta lakia ja noudattaa sen säännöksiä. Koska kyse on hallinnon asiakkaan oikeusturvan, virkavastuun toteutumisen ja hyvän hallinnon periaatteiden turvaamisen kannalta keskeisestä sääntelystä, ei 6 a lukua koskeva siirtymäaika voi olla erityisen pitkä. Tästä syystä ehdotetaan siirtymäajaksi jo käytössä olevien automatisoitujen toimintaprosessien osalta 12 kuukautta. Sellaiseen automatisoituun toimintaprosessiin, joka otetaan käyttöön lain voimaantulon jälkeen, sovellettaisiin välittömästi tiedonhallintalain 6 a luvun vaatimuksia.

Viranomaisen toiminta olisi järjestettävä tiedonhallintalain 13 a §:n mukaiseksi 12 kuukauden kuluessa lain voimaantulosta. Ehdotetussa 13 a §:ssä on pääasiassa kyse nykyisten varautumisvelvoitteiden tarkentamisesta, jolloin riittävien toimenpiteiden ja valmisteluiden toteuttamiseksi ja suunnitelmien laatimiseksi arvioidaan 12 kuukauden olevan riittävä siirtymäaika. Koska säännöksen tarkoituksena on muun ohella varmistaa, että viranomaiset varautuvat riittävällä häiriötilanteisiin toimintaympäristössä, jossa automaattinen päätöksenteko on entistä yleisempää ja siten aiheuttaa aiempaa enemmän erilaisia riskejä, olisi säännöksen siirtymäaika perusteltua asettaa saman pituiseksi kuin 6 a lukua koskeva siirtymäaika.

Asianhallinta olisi järjestettävä 26 §:n muutosten mukaiseksi 12 kuukauden kuluessa lain voimaantulosta. Muutos voi edellyttää vähäistä suurempia muutoksia asiarekistereitä toteuttaviin tietojärjestelmiin, jolloin 12 kuukautta olisi riittävä aika näiden muutosten tekemiseen. Ehdotettu 26 §:n muutos ei koskisi takautuvasti asianhallintaan aikaisemmin tallennettuja asiakirjoja, vaan uusien tietojen tallentaminen olisi aloitettava siinä kohtaa, kun asianhallinta on siirtymäajan kuluessa päivitetty uusia vaatimuksia vastaavaksi.

Jos viranomainen on tehnyt päätöksiä automaattisesti ennen lain voimaantuloa ja haluaa jatkaa tätä, on viranomaisen arvioitava, vastaavatko menettelytavat ja dokumentaatio lain vaatimuksia. Viranomaisen on huolehdittava siirtymäajan kuluessa siitä, että myös jo käytössä oleva automaattinen päätöksenteko vastaa laista tulevia uusia vaatimuksia. Viranomaisen olisi hyväksyttävä olemassa oleva dokumentaatio sekä laadittava uutta dokumentaatiota, jos sitä ei vielä ole olemassa. Viranomaisen olisi myös todettava automaattisen päätöksenteon vaatimustenmukaisuus sekä hyväksyttävä laadunvalvontasuunnitelma. Lisäksi viranomaisen olisi tehtävä käyttöönottopäätös ja nimettävä lain edellyttämällä tavalla vastuuhenkilöt.

Ennen lain voimaantuloa käyttöön otetusta automatisoidusta toimintaprosessista tulisi hyväksyä 28 a §:ssä tarkoitettu dokumentaatio 12 kuukauden kuluessa lain voimaantulosta. Viranomaisella todennäköisesti on jo olemassa erilaista dokumentaatiota sen käytössä olevasta automatisoidusta toimintaprosessista liittyen sen kehittämiseen ja käyttöönottamiseen. Tästä syystä säännöksessä edellytetään nimenomaan dokumentaation hyväksymistä siirtymäajan kuluessa.

Viranomaisen olisi todettava ennen lain voimaantuloa käyttöön otetun automatisoidun toimintaprosessin menettelytapojen ja käsittelysääntöjen vaatimustenmukaisuus sekä hyvä kielenkäyttö asianosaiselle annettavissa automatisoidussa toimintaprosessissa tuotettavissa asiakirjoissa lain 28 b §:n 4 momentissa tarkoitetulla tavalla 12 kuukauden kuluessa tämän lain voimaantulosta. Viranomainen on todennäköisesti testannut automatisoidun toimintaprosessin jo sen käyttöönoton yhteydessä, mistä syystä siirtymäsäännöksessä ei säädettäisi vaatimusta kokonaan uuden vaatimustenmukaisuuden varmistamisen tekemisestä. Sen sijaan viranomaisen olisi aiemmin tehdyn testauksen ja sen tulosten pohjalta kirjallisesti todettava, että automatisoitu toimintaprosessi vastaa vaatimuksiaan ja että siinä automaattisesti tuotettavat asiakirjat vastaavat hyvän kielenkäytön vaatimusta.

Viranomaisen olisi tehtävä ennen lain voimaantuloa käyttöön otetusta automatisoidusta toimintaprosessista 28 d §:ssä tarkoitettu käyttöönottopäätös 12 kuukauden kuluessa tämän lain voimaantulosta, jotta toimintaprosessin käyttöä voidaan jatkaa. Käyttöönottopäätös on 6 a luvun sääntelyssä keskeinen väline, jolla automaattisen päätöksenteon virkavastuuta kohdistetaan ja jolla varmistetaan hyvän hallinnon periaatteiden toteutuminen automaattisen päätöksenteon kehittämisessä ja käyttöönotossa. Tästä syystä jo käyttöön otetun automatisoidun toimintaprosessin käytön jatkamiseksi olisi tehtävä laissa tarkoitettu käyttöönottopäätös, joka olisi myös 28 g §:n 1 momentin mukaisesti toimitettava tiedonhallintalautakunnalle seitsemän päivän kuluessa.

Tiedonhallintalain 28 c §:ää, 28 e §:ää, 28 f §:ää ja 28 h §:ää sovellettaisiin ennen lain voimaantuloa käyttöön otettuun automatisoituun toimintaprosessiin 12 kuukauden kuluttua lain voimaantulosta. Siirtymäsäännös antaisi viranomaiselle riittävän ajan toteuttaa säännösten edellyttämät järjestelyt ja toiminnallisuudet. Lain 28 c §:n osalta viranomaisen olisi hyväksyttävä laadunvalvontasuunnitelma ennen käyttöönottopäätöksen tekemistä, koska sitä käytettäisiin yhtenä käyttöönottopäätöksen perusteena olevista asiakirjoista. Lain 28 c §:n 3 momentissa tarkoitettuihin tietoihin, millä käsittelysäännöillä asia on ratkaistu ja miltä osin luonnollinen henkilö on osallistunut asian ratkaisemiseen sekä 28 f §:ssä tarkoitettuihin tietoihin käsittelysääntöjen muuttamisesta ei kuitenkaan sovellettaisi vähimmäissäilytysaikaa koskevia vaatimuksia, jos tiedot on kerätty tai käsittelysääntöjen muuttaminen on tehty ennen lain voimaantuloa, koska näitä koskevia tietoja ei välttämättä ole säilytetty aiemmin tai ne on jo ehditty hävittää ennen lain voimaantuloa, varsinkin jos automatisoitu toimintaprosessi on ollut käytössä pitkään. Viranomaisen on kuitenkin joka tapauksessa tullut jo noudattaa mitä tiedonhallintalain 21 §:ssä säädetään asiakirjojen säilytystarpeen määrittämisestä.

Digipalvelulakia koskevan ehdotuksen mukaan ennen lain voimaantuloa käytössä ollut palveluautomaatio olisi saatettava lain mukaiseksi 12 kuukauden kuluessa lain voimaantulosta. Säännös edellyttäisi viranomaisilta, joilla on jo käytössä palveluautomaatiota, laaduntarkkailusta vastaavan henkilön nimeämistä sekä mahdollisia muutoksia palveluautomaatioon ja sitä toteuttavaan järjestelmään sekä mahdollisia hallinnollisia järjestelyjä. Palveluautomaation vaatimustenmukaisuus olisi varmistettava tiedonhallintalain 28 b §:ssä tarkoitetulla tavalla. Viranomaisen on myös käytävä läpi palveluautomaatiossa tuotettavan neuvonnan tietosisältö ja varmistettava sen asianmukaisuus, sekä tarkistettava hyvä kielenkäyttö. Tämä voi vaatia aikaa erityisesti sellaisen palveluautomaation kohdalla, jossa sisältöä on jo tuotettu huomattavia määriä. Lisäksi viranomainen voi joutua järjestämään asiakaspalvelunsa ja neuvontansa sekä sitä koskevan sisäisen ohjeistuksen uuden sääntelyn mukaiseksi. Sääntely voi edellyttää olemassa olevan palveluautomaation toteuttamistavasta riippuen myös muutoksia tietojärjestelmiin, joista osa voitaneen tehdä tavanomaisten päivitysten yhteydessä riittävän siirtymäajan puitteissa, mikä vähentäisi muutoksista aiheutuvia kustannuksia. Näin ollen 12 kuukauden siirtymäaikaa voidaan pitää tarkoituksenmukaisena. Lain voimaantulon jälkeen käyttöön otettavissa neuvontaa tarjoavissa palveluautomaatioissa sääntelyä olisi noudatettava heti sen tultua voimaan.

Oikeusministeriö ja valtiovarainministeriö seuraavat esityksen tavoitteiden toteutumista ja arvioivat lainsäädäntömuutosten tarvetta, kun kokemuksia lainsäädännön toimivuudesta on kertynyt.

Ehdotetun tiedonhallintalain 28 g:n 1 momentin mukaan automatisoidun toimintaprosessin käyttöön ottavan viranomaisen on toimitettava 28 d §:ssä tarkoitettu käyttöönottopäätös tiedonhallintalautakunnalle seitsemän päivän kuluessa sen tekemisestä. Tiedonhallintalautakunnan tehtävänä olisi ehdotetun tiedonhallintalain 28 g §:n mukaisesti arvioida käyttöönottopäätöksen ja sen perusteena olevien asiakirjojen tiedonhallintalain 6 a luvussa säädettyjen vaatimusten sekä niihin liittyvien menettelyjen täyttymistä. Tällä tavalla tiedonhallintalautakunnalla on mahdollisuus seurata automaattisen päätöksenteon kehittymistä hallinnossa, muodostaa automaattisesta päätöksenteosta kokonaiskuva sekä havaita tiedonhallintalain 6 a luvun soveltamisessa olevia ongelmia tai siihen kohdistuvia kehittämistarpeita. Tiedonhallintalautakunnan on tiedonhallintalain 11 §:n 4 momentin mukaisesti laadittava kertomus arviointinsa tuloksista joka toinen vuosi ja toimitettava se valtiovarainministeriölle. Lisäksi tiedonhallintalautakunta edistää tiedonhallintalaissa säädettyjen tiedonhallinnan ja tietoturvallisuuden menettelytapojen ja tiedonhallintalain vaatimusten toteuttamista tiedonhallintalain 10 §:n 1 momentin 2 kohdan nojalla. Tässä tehtävässä se voi antaa esimerkiksi suosituksia.

Hallituksen esityksen valmistelun aikana samanaikaisesti on valmisteltu Suomen digitaalinen kompassi -asiakirjaa. Digitaalinen kompassi perustuu Euroopan unionin digitaaliseen kompassiin ja sitä koskevaan ohjelmaehdotukseen, jossa määritellään vaatimukset kansallisille tiekartoille, jollainen Suomen digitaalinen kompassi osaltaan olisi. Sekä unionin että kansallinen digitaalinen kompassi koostuu neljästä osa-alueesta, joita ovat osaaminen, digitaalinen infrastruktuuri, yritysten digitalisaatio ja digitaaliset julkiset palvelut. Hallituksen esityksessä ehdotettu automaattista päätöksentekoa koskeva yleissääntely liittyy näistä viimeiseen. Näin ollen automaattista päätöksentekoa koskevan sääntelyn toimivuus ja jatkossa tarvittavat uudet lainsäädäntötoimet sekä niiden selvittäminen ja seuranta kytkeytyvät tiiviisti digitaalisen kompassin toimeenpanoon ja sen seurantaan. Digitaalisen kompassin tavoitteiden toteutumista ja Suomen digitalisaation, datatalouden ja julkisen hallinnon kokonaiskuvaa seuraa ja ohjaa sitä varten perustettu ministerityöryhmä. Seurantaa toteutetaan ja hallinnonalojen yhteistä toimeenpanoa edistetään digitoimistossa, joka on pysyvä, ministeriöiden välinen koordinaatiotoimisto.

10.1 Esityksen riippuvuus muista esityksistä

Esityksellä ei ole riippuvuutta muihin eduskunnan käsiteltävänä oleviin hallituksen esityksiin.

10.2 Suhde talousarvioesitykseen

Esitys liittyy valtion vuoden 2023 talousarvioesitykseen ja on tarkoitettu käsiteltäväksi sen yhteydessä.

11.1 Lähtökohdat

Perustuslakivaliokunta on todennut, että automaattiseen päätöksentekoon liittyy sellaisia perusoikeuksiin ja julkisen vallan käyttöön liittyviä erittäin laajakantoisia oikeudellisia erityiskysymyksiä, joita pitäisi arvioida yleislainsäädännön kehittämistarpeiden kautta (PeVL 7/2019 vp, PeVL 62/2018 vp, PeVL 70/2018 vp, PeVL 78/2018 vp). Perustuslakivaliokunta on katsonut, että valtioneuvoston tulee selvittää huolellisesti ja hyvää lainvalmistelumenettelyä noudattaen automatisoitua päätöksentekoa sääntelevän yleislainsäädännön muutostarpeet ja valmistella tarvittaessa automatisoitua päätöksentekoa koskeva yleinen lainsäädäntö, jota voidaan mahdollisesti täsmentää hallinnonalan erityispiirteet huomioonottavilla erityislaeilla (PeVL 7/2019 vp).

Esityksessä ehdotetaan säädettäväksi automatisoitua päätöksentekoa koskeva menettelyllinen yleislainsäädäntö. Esityksessä ehdotetaan lisättäväksi hallintolakiin uusi 8 b luku, jossa säädettäisiin asian automaattisen ratkaisemisen edellytyksistä. Lisäksi tiedonhallintalakiin ehdotetaan lisättäväksi uusi 6 a luku, jossa säädettäisiin niistä edellytyksistä, joiden perusteella automaattisen asian ratkaisemisen mahdollistava toimintaprosessi voitaisiin ottaa käyttöön. Uusi sääntely muodostaa kiinteän kokonaisuuden, jonka tarkoituksena on varmistaa perustuslaista johtuvien vaatimuksien toteutuminen ratkaistaessa hallintoasioita automaattisesti. Kyse on menettelylainsäädännöstä. Hallintolakiin ja tiedonhallintalakiin ehdotettava sääntely hallintoasian ratkaisemisesta automaattisesti on merkityksellinen perustuslain 2 §:n 3 momentissa säädetyn lakisidonnaisuuden ja lainalaisuuden kannalta, perustuslain 6 §:ssä säädetyn yhdenvertaisuutta koskevan sekä perustuslain 21 §:ssä säädetyn oikeusturvaa ja hyvää hallintoa koskevien perusoikeuksien kannalta. Ehdotus vaikuttaa myös perustuslain 118 §:ssä säädetyn virkavastuun tosiasialliseen toteuttamiseen. Tiedonhallintalakiin ehdotetaan lisäksi säännöstä, jota on arvioitava perustuslain 124 §:n kannalta (julkisen hallintotehtävän antaminen yksityiselle).

11.2 Lainalaisuusperiaate, julkisen toiminnan lakisidonnaisuus ja virkavastuu

Perustuslain 2 §:n 3 momentissa säädetään hallinnon lainalaisuusperiaatteesta, jonka mukaan julkisen vallan käytön tulee perustua lakiin. Perustuslain 80 §:n 1 momentin mukaan yksilön oikeuksien ja velvollisuuksien perusteista on säädettävä lailla. Lisäksi perustuslain 2 §:n 3 momentin mukaan kaikessa julkisessa toiminnassa on noudatettava tarkoin lakia. Julkisen vallan käyttöön liittyvän lainalaisuusperiaatteen toteuttamiseen vaikuttaa myös yksilötasolle kohdistettu virkavastuusääntely. Perustuslain 118 §:n 1 momentin mukaan virkamies vastaa virkatoimiensa lainmukaisuudesta. Virkamies on myös vastuussa sellaisesta monijäsenisen toimielimen päätöksestä, jota hän on toimielimen jäsenenä kannattanut.

Sääntely tarkoittaa, että julkisen vallan käyttäjällä on oltava viime kädessä toiminnalleen perusteena toimivaltasäännös. Yksilötasolla julkisen vallan käyttäjä vastaa siitä, että hänen tehtäviensä hoidossa noudatetaan tarkoin lakia.

Perustuslain 118 §:n 3 momentin ensimmäisen virkkeen mukaan jokaisella, joka on kärsinyt oikeudenloukkauksen tai vahinkoa virkamiehen tai muun julkista tehtävää hoitavan henkilön lainvastaisen toimenpiteen tai laiminlyönnin vuoksi, on oikeus vaatia tämän tuomitsemista rangaistukseen sekä vahingonkorvausta julkisyhteisöltä taikka virkamieheltä tai muulta julkista tehtävää hoitavalta sen mukaan kuin lailla säädetään. Perustuslain 8 §:ssä säädetty rikosoikeudellinen laillisuusperiaate sisältää lain täsmällisyyteen kohdistuvan erityisen vaatimuksen. Sen mukaan kunkin rikoksen tunnusmerkistö on ilmaistava laissa riittävällä täsmällisyydellä siten, että lain sanamuodon perusteella on ennakoitavissa, onko jokin teko tai laiminlyönti rangaistavaa (PeVL 7/2019 vp, s. 11).

Perustuslakivaliokunnan mukaan perustuslain säännökset hallinnon lainalaisuusperiaatteesta sekä virkamiehen vastuusta ilmentävät virkamieshallinnon periaatetta (PeVL 19/1985 vp, s. 3/II, PeVL 70/2018 vp, s. 4). Valiokunnan käytännössä on lisäksi vakiintuneesti katsottu esimerkiksi, että annettaessa julkinen hallintotehtävä muun kuin viranomaisen tehtäväksi oikeusturvan ja hyvän hallinnon vaatimusten toteutumisen varmistaminen edellyttää muun muassa, että asian käsittelyssä noudatetaan hallinnon yleislakeja ja että asioita käsittelevät toimivat virkavastuulla (PeVL 26/2017 vp, s. 49, PeVL 33/2004 vp, s. 7/II, PeVL 46/2002 vp, s. 10). Perustuslakivaliokunta on arvioidessaan automaattista päätöksentekoa kiinnittänyt huomiota hallinnon lainalaisuuteen ja virkavastuuseen (esimerkiksi PeVL 62/2018 vp, s. 8—9 ja PeVL 7/2019 vp, s. 11).

Hallituksen esityksessä ehdotetaan säädettäväksi niistä perusteista, joilla lainalaisuusperiaatteesta johtuvat vaatimukset tulevat täytetyksi viranomaisessa ratkaistaessa asioita automaattisesti. Esityksessä säädettäisiin myös siitä, miten automaattisesti ratkaistavien asioiden toimintaprosessin kehittämisessä, käyttöönotossa ja käytössä virkavastuu kohdentuu virkamieheen tai muuhun julkista hallintotehtävää hoitavaan henkilöön. Ehdotus sisältää tiedonhallintalain 6 a luvussa täsmälliset velvollisuudet, joita olisi noudatettava, jotta automatisoidun asian ratkaisun mahdollistava toimintaprosessi voitaisiin ottaa käyttöön. Siten sääntely muodostaisi kokonaisuuden, jossa säädettäisiin automatisoituun toimintaprosessiin ja sillä tehtäviin automatisoituihin ratkaisuihin liittyvistä erityisistä toimintavelvollisuuksista, jotka olisi kohdennettava viranomaisessa tiettyihin nimettyihin henkilöihin, joiden vastuut ja velvollisuuksien täyttäminen voidaan jälkikäteen todentaa. Virkavastuun kohdentaminen perustuisi yhtäältä laissa säädettyihin vaatimuksiin ja toisaalta viranomaisessa tehtävään automatisoidun toimintaprosessin kehittämiseen, käyttöönottoon ja käyttöön liittyvien vastuiden määrittelyyn. Ehdotetun sääntelyn perusteella määräytyisivät ne tehtävät ja niihin sisältyvät velvollisuudet, joiden toteuttamisesta nimetty henkilö olisi virkavastuussa.

Perustuslakivaliokunta on pitänyt selvänä, ettei päätöksenteon siirtäminen automaattiseen käsittelyyn saa johtaa siihen, että virkavastuuta koskevat perustuslain säännökset menettävät merkityksensä. Hyväksyttävänä ei ole voitu pitää sitä, että virkavastuun toteutuminen olisi näennäistä tai keinotekoista (PeVL 7/2019 vp, s. 11).

Kun päätös ratkaistaan automaattisesti, päätöksen muodostaminen ei tapahdu virkamiehen myötävaikutuksella. Päätös voidaan muodostaa ja antaa automaattisesti toimintaprosessin tuloksena. Automatisoidut toimintaprosessit muodostavat asiaan ratkaisun ennalta määriteltyjen käsittelysääntöjen perusteella. Nämä käsittelysäännöt on laadittava viranomaisessa ennakkoon, ennen yksittäisen asian käsittelyä, virkavalmisteluna. Tätä lakiin ja sen tulkintaan perustuvien käsittelysääntöjen määrittelyä ja laatimista voidaan luonnehtia julkisen vallan käyttöön liittyväksi valmistelevaksi tehtäväksi, jonka perusteella teknisesti käsittelysäännöt koodataan automatisoiduksi toimintaprosessiksi. Tällöin automatisoidussa toimintaprosessissa tuotettu ratkaisu perustuu viranomaisessa määriteltyihin käsittelysääntöihin eikä automatisoitu toimintaprosessi toimi itsenäisesti ratkaisuja tuottaessaan. Tällaisessa tilanteessa lainalaisuusperiaatteen mukaisesti julkisen vallan käyttö perustuu lakiin ja sen tulkintaan perustuviin käsittelysääntöihin ja automatisoidun toimintaprosessin käyttö hallintolaissa, tiedonhallintalaissa ja muissa erityislaeissa säädettyihin edellytyksiin. Käsittelysäännöt ja niitä koskeva harkinta viranomaisen olisi dokumentoitava tiedonhallintalain 28 a §:n mukaisesti ja automatisoidun toimintaprosessin käyttöönoton edellytykset olisi arvioitava ja dokumentoitava tiedonhallintalain 28 d §:n mukaisesti käyttöönottopäätöksessä.

Ehdotettu sääntely sisältäisi yksityiskohtaisia velvollisuuksia dokumentoinnin laativille henkilöille, jotka lähtökohtaisesti olisivat virkamiehiä. Viranomaisen tulisi määritellä tiedonhallintalain 28 a §:n 1 momentin nojalla ne henkilöt, jotka hoitavat ehdotetun lain 6 a luvussa tarkoitettuja tehtäviä. Säännöksen perusteella on siten kohdistettavissa viranomaisen tekemän sisäisen määräyksen perusteella ne virkamiehet tai muut julkista tehtävää hoitavat henkilöt, jotka olisivat velvollisia noudattamaan tiedonhallintalain 6 a luvun säännöksiä sekä samalla ottamaan huomioon myös muualla laissa säädetyt vaatimukset asiankäsittelystä viranomaisessa. Tiedonhallintalaissa säädettäisiin myös velvollisuuksia kohdennetusti tiettyihin tehtäviin. Esimerkiksi tiedonhallintalain 28 a §:n mukaan käsittelysäännöt olisi hyväksyttävä erikseen viranomaisessa. Hyväksyjän tulisi tarkastaa, että käsittelysääntöjä sisältävien asiakirjojen sisältö täyttää tiedonhallintalaissa tai muussa laissa säädetyt vaatimukset. Muulla lainsäädännöllä tarkoitettaisiin asian ratkaisemiseen vaikuttavaa menettelysääntelyä sekä aineellista sääntelyä. Puolestaan käyttöönottopäätöksen valmistelu olisi kohdistettu esittelijälle, jonka virkavastuun perusteista on säädetty perustuslain 118 §:n 2 momentissa ja johon sisältyisi mahdollisuus esittää eriävä mielipide. Käyttöönottopäätöksen esittelijän tehtävänä olisi varmistaa, että käyttöönotolle on laissa säädetyt perustelut ja että käyttöönottopäätös täyttää sille 28 d §:ssä säädetyt vaatimukset. Esittelijä vastaa myös muusta käyttöönottopäätöksen asianmukaisesta valmistelusta, kuten sen varmistamisesta että viranomainen on todennut automatisoidun toimintaprosessin vaatimusten mukaiseksi testitulosten perusteella 28 b §:n 4 momentin mukaisesti ja että laadunvalvonnasta on laadittu tiedonhallintalain 28 c §:ssä tarkoitettu suunnitelma.

Kokonaisvastuu automatisoidun toimintaprosessin käyttöönotosta kohdistuisikin käyttöönottopäätöksen esittelijään ja ratkaisijaan, mutta tiedonhallintalain 6 a luku sisältäisi myös kohdennettuja velvollisuuksia vaatimustenmukaisuuden varmistamisesta, laadunvalvonnasta ja virheiden korjaamisesta. Näihin tehtäviin olisi ehdotetun lain mukaan nimettävä vastuuhenkilöt sekä henkilöt, jotka toteuttaisivat säädettyjä velvollisuuksia. Ehdotetun sääntelyn perusteella virkavastuu voitaisiinkin kohdentaa tiedonhallintalain 6 a luvun mukaisia tehtäviä hoitaviin henkilöihin, joille säädettäisiin täsmällisiä toimintavelvollisuuksia tehtäviä hoitaessaan. Siten ehdotetun sääntelyn perusteella virkavastuun toteutuminen ei jäisi näennäiseksi, vaan perustuslain 118 §:ssä säädetyt virkavastuuseen liittyvät perusteet ja muualla laissa säädetyt virkatoimia ja virkavastuuta määrittävät säännökset tulisivat sovellettavaksi ratkaistaessa automaattisesti hallintoasioita.

Virkavastuun tosiasiallisen toteutumisen varmistamiseksi tiedonhallintalain 28 i §:ssä ehdotetaan säädettäväksi rikosoikeudellisen virkavastuun ulottamisesta samassa laajuudessa julkisyhteisön työntekijöihin kuin virkamiehiin. Rikoslaissa on säädetty perusteista, joiden mukaisesti julkisyhteisön työntekijään sovelletaan julkisen vallan käyttäjänä rikosoikeudellista virkavastuusta määritteleviä rikoslain 40 luvun säännöksiä siten kuin virkamieheen. Rikoslain 40 luvun 11 §:n 5 kohdan b alakohdan mukaan julkista valtaa käyttäväksi henkilöksi katsotaan se, jonka lain tai asetuksen nojalla taikka viranomaiselta lain tai asetuksen nojalla saadun toimeksiannon perusteella kuuluu osallistua a kohdassa tarkoitetun päätöksen valmisteluun tekemällä päätösesitys tai -ehdotus, laatimalla selvitys tai suunnitelma, ottamalla näyte tai suorittamalla tarkastus taikka muulla vastaavalla tavalla. Tiedonhallintalain 6 a luku sisältää tehtäviä ja niihin liittyviä velvollisuuksia, joissa valmistellaan sinällään julkisen vallan käyttöä tarkoittavia päätöksiä ja muita ratkaisuja, jotka on tehty automatisoidussa toimintaprosessissa. Ehdotettu sääntely ei kaikilta osin luo suoraa sidosta yksittäisen päätöksen valmistelutoimiin ja sitä kautta julkisen vallan käyttöön. Julkisen vallan käyttöä ei ole mahdollista tyhjentävästi kytkeä tiettyyn päätökseen ja sen valmisteluun osallistuneeseen yksilöön automaattisessa päätöksenteossa samalla tavalla kuin virkamiehen tekemässä päätöksenteossa. Automaattisen päätöksenteon luonteen vuoksi julkisen vallan käyttö kohdistuisi yksittäisen päätöksen sijaan suureen joukkoon automaattisesti tuotettuja päätöksiä, jotka perustuisivat viranomaisen tunnistamiin käsittelemiensä asioiden joukosta olennaisilta piirteiltään samanlaisina toistuviin asioihin (tyyppitapauksiin), jotka viranomaisen arvion mukaan tulee ratkaista aina saman säännön mukaisesti.

Julkisen vallan käyttöä sisältäviä tehtäviä ja sellaisia valmistelutehtäviä, joihin ei välttämättä sisälly julkisen vallan käyttöä, ei myöskään ole mahdollista automaattisen päätöksenteon asiayhteydessä aina erotella toisistaan rikosoikeudellisen laillisuusperiaatteen edellyttämällä täsmällisyydellä ilman niitä täsmentävää sääntelyä. Esimerkiksi tiedonhallintalaissa tarkoitettua automatisoitua toimintaprosessia toteuttavan tietojärjestelmän hyväksymistestauksessa voi olla kyse sekä viranomaisen tietojärjestelmän testaamisesta, jossa ei olisi kyse julkisen vallan käytöstä, että automatisoidun toimintaprosessin vaatimustenmukaisuuden varmistamisesta tiedonhallintalain 28 b §:n mukaisesti, jossa taas olisi kyse automaattisen päätöksenteon valmistelevasta toimesta, johon voi sisältyä julkisen vallan käyttöä. Testausta suorittavan henkilön näkökulmasta olisi kuitenkin oltava tarpeeksi selvää, mikä osa tällaisesta testaustehtävästä on rikosoikeudellisen virkavastuun piirissä. Lisäksi esimerkiksi tiedonhallintalain 28 a §:ssä tarkoitetun dokumentaation tuottamiseen voi liittyä monia erilaisia tehtäviä ja työvaiheita, kuten dokumentaation kirjoittamista, katselmointia, muuntamista muodosta toiseen tai kääntämistä kieleltä toiselle, minkä lisäksi dokumentaatio voi perustua myös viranomaiskoneiston ulkopuolella tuotettuihin asiakirjoihin (esimerkiksi valmisohjelmisto, jonka viranomainen hankkii). Näissä tilanteissa rajanveto julkisen vallan käytön osalta ei aina ole selvää ja täsmällistä, minkä vuoksi dokumentaation sisällön lainmukaisuuteen liittyvä vastuu kytkettäisiin selkeästi säännöstasolla virkavastuulla toimivaan dokumentaation hyväksyjään.

Jotta rikosoikeudellinen virkavastuu olisi riittävästi ennakoitavissa rikosoikeudellisen laillisuusperiaatteen mukaisesti ja perustuslakivaliokunnan edellyttämällä tavalla tosiasiallisesti, on välttämätöntä, että julkisyhteisön työntekijöiden vastuuasemasta säädetään selkeästi ja täsmällisesti erikseen 28 i §:ssä. Viranomaisissa työskentelee työsuhteisia henkilöitä asiantuntijoina tietojärjestelmien kehittämistehtävissä suhteellisen runsaasti. Ei ole pidetty tarkoituksenmukaisena, että viranomaiset joutuisivat virkavastuun tosiasialliseen toteutumiseen liittyvistä syistä muuttamaan palvelussuhteita teknisluonteisissa, mutta julkisen vallan käyttöön vaikuttavissa tehtävissä työsuhteisista virkasuhteisiksi esimerkiksi testausta suorittavien henkilöiden osalta. Ehdotetulla sääntelyllä on myös vaikutuksensa julkisyhteisön työntekijän oikeusturvaan. Perustuslain 8 §:ssä säädetyn rikosoikeudellisen laillisuusperiaatteen kannalta katsottuna sääntelyn tulee olla täsmällistä ja ennakoitavaa (PeVL 7/2019 vp, s. 11).

Hallituksen esityksen 28 j §:ssä ehdotetaan säädettäväksi, että viranomainen voisi siirtää eräitä tiedonhallintalain 6 a lukuun ehdotettavia tehtäviä viranomaiskoneiston ulkopuolelle. Perustuslain 124 §:n soveltamista koskevassa perustuslakivaliokunnan lausuntokäytännössä on vakiintuneesti vaadittu, että oikeusturvan ja hyvän hallinnon vaatimusten toteutumisen varmistaminen perustuslain 124 §:n tarkoittamassa merkityksessä edellyttää muun muassa asioita käsittelevien henkilöiden toimivan rikosoikeudellisella virkavastuulla (esim. PeVL 26/2017 vp). Perustuslakivaliokunnan lausuntokäytännössä virkavastuusääntelyn täsmälliselle muotoilulle ei ole esitetty tarkempia edellytyksiä (ks. PeVL 17/2021 vp). Tavanomaisesti virkavastuusta on tämänkaltaisissa sääntely-yhteyksissä säädetty laajemmin kuin pelkästään julkisen vallan käyttöön rajoittuen. Valiokunta on kuitenkin kiinnittänyt huomiota virkavastuusääntelyn johdonmukaisuuteen ja tarpeeseen vastaisuudessa arvioida julkista hallintotehtävää hoitavan virkavastuun laajuutta. Valiokunnan käsityksen mukaan tällaisen arvioinnin on syytä ulottua laajemmalle kuin yksittäiseen lainsäädäntöhankkeeseen, ja se on sopivimmin tehtävissä valtioneuvoston piirissä (PeVL 17/2021 vp, kappale 82). Tällaisen yleisarvioinnin vielä puuttuessa virkavastuusäännös on päädytty muotoilemaan sosiaali- ja terveydenhuollon järjestämisestä annetun lain 20 §:ää mukaillen: lain 28 j §:ssä ehdotetaan säädettäväksi siitä, että rikosoikeudellista virkavastuuta koskevia säännöksiä sovellettaisiin yksityiseen julkista hallintotehtävää hoitavaan henkilöön sekä viitattavaksi vahingonkorvauslakiin.

Perustuslain 2 §:n 3 momentti sekä 21 § edellyttävät, että toimivaltainen viranomainen ilmenee laista. Perustuslakivaliokunta on käytännössään suhtautunut pidättyvästi mahdollisuuteen poiketa toimivaltaista viranomaista koskevista lain säännöksistä. Valiokunta on etenkin perusoikeuskytkentäisen sääntelyn yhteydessä pitänyt välttämättömänä, että toimivaltainen viranomainen ilmenee laista yksiselitteisesti tai muuten täsmällisesti tai että ainakin viranomaisten toimivaltasuhteiden lähtökohdat samoin kuin toimivallan siirtämisen edellytykset ilmenevät laista riittävän täsmällisesti (PeVL 49/2014 vp, s. 4/II, PeVL 9/2014 vp, s. 3/II, PeVL 3/2014 vp, s. 4/I, PeVL 32/2012 vp, s. 6 ja PeVL 2/2012 vp, s. 3). Tiedonhallintalain 6 a luvun tehtäviä hoidettaessa toimivaltainen viranomainen on toimintaprosessista vastaava viranomainen eli viranomainen, jonka tehtävien hoitamiseksi automatisoitua prosessia käytetään ja jolla on toimivalta ratkaista toimintaprosessissa käsiteltävä asia. Toimivaltainen viranomainen määräytyisi kussakin laissa säädetyn tietyn hallintoasian ratkaisemiseen toimivallan luovan sääntelyn perusteella. Ehdotetussa sääntelyssä ei ole myöskään kyse siitä, että viranomainen antaisi toimivaltaansa tietojärjestelmälle, vaan tietojärjestelmillä automatisoidussa toimintaprosessissa ratkaistavat asiat perustuisivat viranomaisen määrittelemiin käsittelysääntöihin, joiden mukaisesti asiasta muodostetaan määriteltyjen käsittelyvaiheiden, käsittelysääntöjen ja käsiteltyjen tietojen perusteella ratkaisu.

Perustuslakivaliokunta on katsonut, että automatisoidun päätöksentekomenettelyn tulee olla perustuslain 118 §:stä johtuvista syistä tarkasti valvottua ja oikeudellisesti kontrolloitavissa. Siihen on voitava liittää viime kädessä myös virkamiehiin kohdistuva vastuu virkatoimista (PeVL 7/2019 vp, s. 11). Ehdotettu tiedonhallintalain 6 a luvun lähestymistapa perustuu eräänlaiseen audit trail -periaatetta myötäilevään aukottomaan dokumentointiketjuun, johon automatisoitu asian ratkaisu perustuu. Ehdotetun sääntelyn perusteella automatisoidun toimintaprosessin kehittämisestä, käyttöönotosta ja käytöstä kertyisi vaiheittain dokumentaatio. Tämän perusteella automatisoituun asian ratkaisemiseen johtaneet perusteet ja niihin liittyvät vastuut pystyttäisiin todentamaan jälkikäteen. Samalla sääntely toisi läpinäkyvyyttä automatisoidun päätöksenteon perusteisiin ja vastuiden jakautumiseen. Dokumentointi mahdollistaisi jälkikäteisen vastuiden selvittämisen ja laillisuusvalvonnan sekä toteuttaisi hallinnon avoimuutta ja edistäisi julkisuusperiaatteen toteutumista. Lisäksi ehdotetun 28 c §:n nojalla viranomaisen tulisi järjestää automatisoidussa toimintaprosessissa tapahtuvan käsittelyn laadunvalvonta, jota olisi toteutettava laadunvalvontasuunnitelman mukaisesti. Ehdotettu sääntely muodostaisi kokonaisuuden, jossa automatisoitu asian ratkaiseminen olisi kontrolloitua ja valvottua.

11.3 Oikeusturva ja hyvä hallinto

Perustuslain 21 §:n 2 momentin mukaan hyvän hallinnon takeista säädetään tarkemmin lailla. Hallintolaki on keskeinen hyvän hallinnon takeita turvaava laki. Hallintolaissa säädetään muun muassa hallinnon oikeusperiaatteista, asian vireilletulosta, asian selvittämisestä ja asianosaisen kuulemisesta, asian ratkaisemisesta ja hallintopäätöksen perustelemisesta sekä tiedoksiannosta. Hallintolakiin sisältyy sääntelyä myös päätöksessä olevan virheen korjaamisesta ja oikaisuvaatimuksesta. Muutoksenhausta hallintoasiassa säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa. Hyvää hallintoa turvaavat lisäksi muut hallinnon yleislait kuten julkisuuslaki, kielilaki ja tiedonhallintalaki. Erityislainsäädännössä on hallintolakia täydentävää tai siitä poikkeavaa sääntelyä.

Perustuslakivaliokunta on kiinnittänyt perustuslain 21 §:n ja julkisen vallan käytön lakiperustaisuuden näkökulmasta huomiota siihen, ettei automaattisessa päätöksenteossa massaluonteisessakaan toiminnassa saa vaarantaa hyvän hallinnon vaatimuksia tai asianosaisen oikeusturvaa (PeVL 49/2017 vp, s. 5, PeVL 35/2005 vp, s. 2/I, PeVL 7/2019 vp). Valiokunta on todennut, että myös hallintolain 1 §:n tarkoitussäännöksessä painotetaan hyvän hallinnon perusteiden ja oikeusturvan ensisijaisuutta suhteessa hallinnon tuloksellisuuteen (PeVL 7/2019 vp). Hallintolakia koskevassa ehdotuksessa on lähtökohtana, että muualla hallintolaissa ja muussa lainsäädännössä säädetyt hallintomenettelyä koskevat säännökset tulevat sovellettavaksi myös silloin, kun asia ratkaistaan automaattisesti. Viranomaisen on toteutettava automatisoitu toimintaprosessinsa siten, että muun muassa asianosaisen kuulemista koskeva velvoite sekä muut asianmukaisen käsittelyn ja hyvän hallinnon periaatteet toteutuvat. Ehdotetun tiedonhallintalain 28 a §:n mukaan viranomaisen olisi varmistettava, että automatisoituun toimintaprosessiin sisältyvät menettelytavat ja käsittelysäännöt sekä niitä koskeva etukäteinen harkinta on dokumentoitu. Dokumentaatiosta on ilmettävä muun muassa perusteet asianosaisen kuulemisen toteuttamisesta automaattisesti tai kuulematta jättämisestä ja asian ratkaisuun liittyvien perustelujen muodostaminen tai perusteluvelvollisuudesta poikkeaminen. Ehdotetun tiedonhallintalain 28 d §:n mukaan automatisoidun toimintaprosessin käyttöönottoa koskevaan päätökseen on sisällyttävä muun muassa perustelut käyttöönoton edellytyksistä. Perusteluissa tulisi osoittaa, että automatisoidun toimintaprosessin on arvioitu täyttävän lainsäädännössä säädetyt vaatimukset siten, että toimintaprosessista tuotettavat viranomaisen ratkaisut täyttävät oikeusturvalle ja hyvälle hallinnolle säädetyt vaatimukset. Tiedonhallintalaissa säädettäväksi ehdotettu dokumentointivelvollisuus sekä testaamista ja laadunvalvontaa koskevat säännökset muodostaisivat oikeusturvan ja hyvän hallinnon kannalta kontrolleja siten, että viranomaisten toiminnassa varmistettaisiin perustuslain 21 §:stä johtuvien vaatimusten toteutuminen niin automatisoitua toimintaprosessia kehitettäessä, käyttöönotettaessa kuin käytettäessä.

Toisin kuin lausuntojen PeVL 51/2016 vp ja PeVL 29/2018 vp taustalla olevissa hallituksen esityksissä, käsillä olevassa esityksessä on kysymys hallintoasian ratkaisemisesta automaattisesti. Automaattisesti ratkaistaviin asioihin soveltuisivat hallintolain normaalit menettelyvelvoitteet kuten asianosaisen kuuleminen ja päätöksen perusteleminen. Perustuslain 21 §:ssä turvattua oikeutta hyvään hallintoon konkretisoi erityisesti hallintolaki, joka tulee sovellettavaksi myös hallintoasian automaattisessa käsittelyssä ja ratkaisemisessa. Ehdotetulla automaattista päätöksentekoa koskevalla sääntelyllä ei myöskään muutettaisi kussakin asiassa olevaa mahdollisuutta jälkikäteisen oikeusturvan keinoihin. Muutoksenhakuoikeus päätökseen määrittyisi voimassaolevan, muun kuin ehdotetun hallintolain 8 b luvun perusteella.

Tiedonhallintalain 28 b §:ssä säädettäisiin viranomaisen velvollisuudesta testata automatisoitu toimintaprosessi ja 28 c §:ssä säädettäisiin viranomaisen velvollisuudesta tarkkailla automatisoidun toimintaprosessin laatua ja sisällöllistä virheettömyyttä. Viranomaisen olisi ryhdyttävä viipymättä korjaaviin toimenpiteisiin, jos automatisoidussa toimintaprosessissa havaitaan virhe, jolla voi olla vaikutus toimintaprosessissa ratkaistuihin asioihin.

Perustuslain 21 §:stä johtuvista syistä 2. lakiehdotuksen 28 d §:ssä säädettäisiin, että käyttöönottopäätöksen on sisällettävä tiedot päätöksentekijästä ja esittelijästä. Ehdotus palvelisi myös virkavastuun yksilöintiin liittyvää vaatimusta.

11.4 Automaattisen päätöksenteon sallittu käyttöala

Ehdotettu sääntely ei vaikuttaisi viranomaisen aineelliseen toimivaltaan esimerkiksi sen suhteen, millaisia asioita viranomainen voi ratkaista tai millä perusteilla asiat on ratkaistava. Hallinnon lainalaisuuteen, hyvään hallintoon ja virkavastuun toteutumiseen liittyvistä syistä sääntelyllä asetettaisiin edellytyksiä sille, millä tavoin ja millaisissa asioissa viranomainen voi ratkaista toimivaltaansa kuuluvan asian automaattisesti.

Perustuslakivaliokunta totesi potilasvakuutuslakiin ehdotettua automaattista päätöksentekoa koskevaa säännöstä arvioidessaan, että automaattista päätöksentekoa koskevassa sääntelyssä tuli täsmällisemmin säätää, millaisin perustein asioita voidaan valikoida automaattisen päätöksenteon piiriin (PeVL 70/2018 vp, s. 3). Ehdotus toteuttaisi täsmällisyys- ja tarkkarajaisuusedellytystä erityisesti tapauskohtaista harkintaa edellyttävien asioiden poissulun ja käsittelysääntöjä koskevan edellytyksen kautta.

Ehdotuksen mukaan automaattisesti ratkaistavista asioista säädettäisiin hallintolain 53 e §:ssä, jonka mukaan viranomainen voisi ratkaista automaattisesti asian, johon ei sisälly seikkoja, jotka viranomaisen etukäteisen harkinnan mukaan edellyttäisivät tapauskohtaista harkintaa, tai johon sisältyvät tapauskohtaista harkintaa edellyttävät seikat virkamies tai muu asian käsittelijä on arvioinut. Ratkaisemisen olisi perustuttava sovellettavan lain perusteella laadittuihin käsittelysääntöihin. Käsittelysäännön käsite määriteltäisiin tiedonhallintalain 2 §:n 1 momentin 16 kohdassa, jonka mukaan käsittelysäännöllä tarkoitetaan luonnollisen henkilön ennalta laatimia automaattisen tietojenkäsittelyn ohjaamiseen tarkoitettuja sääntöjä.

Ehdotuksessa on otettu huomioon perustuslakivaliokunnan toteamus siitä, että automatisoitu päätöksenteko ei sovellu sellaiseen hallinnolliseen päätöksentekoon, joka edellyttää päätöksentekijän käyttävän laajaa harkintavaltaa (PeVL 7/2019 vp, s. 9). Ehdotuksen mukaan tapauskohtaista harkintaa edellyttävää asiaa ei voitaisi ratkaista automaattisesti tai vaihtoehtoisesti virkamiehen olisi arvioitava asiassa tapauskohtaista harkintaa edellyttävät seikat. Ehdotetusta pykälästä ilmenee periaate, jonka mukaan viranomaisen on tehtävä etukäteinen harkinta siitä, mitkä asiat ovat luonteeltaan sellaisia, että ne voidaan ratkaista automaattisesti, ja laadittava käsittelysäännöt, joiden perusteella asiat valitaan ja ratkaistaan. Käytännössä viranomaisen olisi tunnistettava käsittelemiensä asioiden joukosta olennaisilta piirteiltään samanlaisina toistuvat asiat (tyyppitapaukset), jotka viranomaisen arvion mukaan tulee ratkaista aina samojen käsittelysääntöjen mukaisesti. Lähtökohta on yhtenevä hallintolain 6 §:ssä säädetyn tasapuolisen kohtelun periaatteen kanssa. Periaate edellyttää, että viranomaisen ratkaisutoiminta on johdonmukaista siten, että harkinnan kohteena olevia tosiseikkoja arvioidaan samankaltaisissa tapauksissa samoin perustein (HE 72/2002 vp, s. 59). Yhdenvertainen kohtelu lain edessä on turvattu myös perustuslain 6 §:n 1 momentissa.

Tapauskohtaista harkintaa edellyttävien asioiden poissulku ja käsittelysääntöjä koskeva edellytys yhdessä rajaavat automaattisesti ratkaistavat asiat sellaisiin, jotka ovat siinä määrin kaavamaisia ja yksiselitteisiä, että ne ovat kuvattavissa käsittelysääntöinä. Asian ratkaisemisen edellyttämää tapauskohtaista harkintaa ei voisi automatisoida esimerkiksi autonomista tekoälyjärjestelmää käyttämällä.

Koska ehdotuksessa on kysymys hallinnon yleislainsäädännöstä, jonka on tarkoitus soveltua laajasti eri hallinnonaloilla, laissa ei ole mahdollista määritellä asiakohtaisesti, milloin automaattista ratkaisemista voidaan käyttää. Sen sijaan sääntely velvoittaisi automaattisia ratkaisuja tekevän viranomaisen määrittelemään ja dokumentoimaan ratkaistavat asiat etukäteen, mikä tekisi automaattisesta ratkaisemisesta ennakoitavaa ja valvottavissa olevaa.

Tiedonhallintalain 28 a §:n mukaan viranomaisen tulisi dokumentoida käytetyt menettelytavat ja käsittelysäännöt sekä niitä koskeva etukäteinen harkinta. Siten viranomaisen tulisi osoittaa osana dokumentointivaatimuksen täyttymistä, että ratkaistaessa asioita automatisoidusti käsittely tapahtuu suunnitelmallisesti noudattaen kulloinkin asiankäsittelyyn sovellettavaa lainsäädäntöä yhdenvertainen kohtelu huomioiden. Tiedonhallintalain 28 e §:n mukaan viranomaisen olisi julkaistava voimassa oleva käyttöönottopäätös yleisessä tietoverkossa verkkosivustollaan ja tiedotettava asioiden automaattisesta ratkaisemisesta toimialallaan, automatisoidun toimintaprosessin käytön perusteista ja muista asiakkaan oikeuksien kannalta keskeisistä tiedoista toimintaprosessin dokumentaatioon ja käyttöönottopäätökseen perustuen. Lisäksi hallintolain 53 g §:n mukaan asianosaiselle tulisi ilmoittaa, jos asia on ratkaistu automaattisesti sekä antaa tieto siitä, missä julkisen hallinnon tiedonhallinnasta annetun lain 28 d §:ssä tarkoitettu käyttöönottopäätös on saatavilla. Ehdotetut dokumentointi- ja informointivelvoitteet tekisivät automaattisesta ratkaisemisesta läpinäkyvää ja ennakoitavaa. Velvollisuus käsittelysääntöjen dokumentoimiseen mahdollistaisi tehokkaan laillisuusvalvonnan. Lokakuussa 2022 voimaan tulevan valtioneuvoston oikeuskanslerin ja eduskunnan oikeusasiamiehen tehtävien jaosta annetun lain (330/2022) 2 §:n mukaan hallinnon automaattisten järjestelmien kehittämistä ja ylläpidon yleisiä perusteita koskeva valvonta on keskitetty valtioneuvoston oikeuskanslerille.

Hallintolain 53 e §:n 4 momentin mukaan oikaisuvaatimusta tai siihen rinnastuvaa vaatimusta ei voisi ratkaista automaattisesti. Perustuslakivaliokunta on todennut, että oikaisuvaatimusmenettelyn tarkoituksena on ”osaltaan toteuttaa perustuslain 21 §:n 2 momentissa tarkoitettuja hyvän hallinnon takeita. Oikaisuvaatimussääntelyä on syytä tarkastella myös siitä näkökulmasta, että se voi muodostaa asiallisesti – joskaan ei muodollisesti – osan hallinto-oikeudellisen muutoksenhakujärjestelmän kokonaisuudesta. Valiokunta on aiemmin katsonut, että oikaisuvaatimusmenettelyä voidaan tältä kannalta pitää tavallaan muutoksenhaun ensimmäisenä vaiheena, vaikka kysymys ei olekaan tuomioistuimessa tapahtuvasta lainkäytöstä, minkä vuoksi se ei voi täyttää perustuslain 21 §:n 1 momentin vaatimusta siitä, että jokaisella on oikeus saada oikeuksiaan ja velvollisuuksiaan koskeva päätös tuomioistuimen tai muun riippumattoman lainkäyttöelimen käsiteltäväksi (PeVL 32/2012 vp, s. 3/II).” (PeVL 55/2014 vp). Oikaisuvaatimuksen, siihen rinnastuvan vaatimuksen ja hallintokantelun oikeusturvaan liittyvä luonne edellyttää, että tällaisen asian tutkii luonnollinen henkilö. Näiden asioiden ratkaiseminen usein myös edellyttää sellaista harkintaa, joka ei ole automatisoitavissa.

Oikaisuvaatimuksen automatisointia koskevasta kiellosta on tietyissä erikseen arvioiduissa tilanteissa mahdollista säätää erityislaissa poikkeus hallintolain 5 §:n 1 momentin mukaisesti, jos perustuslaista, erityisesti hyvän hallinnon ja oikeusturvan vaarantumattomuudesta, tai tietosuojasääntelystä ei katsota seuraavan tälle estettä. Erityislain säätämisen yhteydessä tulee arvioida tietosuojaoikeudellisten suojatoimien riittävyys, kun huomioidaan se, että hallintolain 53 f §:ssä ehdotetaan säädettäväksi asian automatisoinnin edellytykseksi oikaisuvaatimusmenettely, jonka käsittelee luonnollinen henkilö, ellei kyse ole 53 f §:n 2 momentissa tarkoitetusta tilanteesta.

Ehdotetun hallintolain 53 e §:n 2 momentin automaattisen ratkaisemisen käyttöalaan voitaisiin katsoa soveltuvan myös joidenkin rangaistusluontoisten hallinnollisten seuraamusten määräämisen. Hallinnollisiin seuraamuksiin voi kuitenkin liittyä esimerkiksi erityistä oikeasuhteisuuden arvioimisen tarvetta, joka tällöin sisältäisi tapauskohtaista harkintaa ja siten esimerkiksi muut kuin kaavamaiset sanktiot jäisivät suoraan automaattisen ratkaisemisen käyttöalan ulkopuolelle.

Perustuslakivaliokunta on todennut, että hallinnollista seuraamusmaksua koskevan asian käsittelyssä on otettava soveltuvin osin otettava huomioon mahdolliset rinnasteisuudet rikosoikeudelliseen rangaistukseen. Esimerkiksi perustuslain 8 §:ssä säädetty rikosoikeudellinen laillisuusperiaate ja Euroopan ihmisoikeussopimuksen 6 artiklan 2 kohdan mukainen syyttömyysolettama on otettava huomioon rangaistusluonteista seuraamusta määrättäessä (PeVL 32/2005 vp, s. 3/II). Lisäksi soveltuvin osin on huomioitava myös Euroopan ihmisoikeussopimuksen 7. lisäpöytäkirjan 4 artiklan mukainen kaksoisrangaistavuuden kielto (ks. esim. PeVL 17/2013 vp) sekä perustuslain 21 §:ssä turvattu oikeudenmukaisen oikeudenkäynnin ja hyvän hallinnon takeisiin kuuluva henkilön oikeus olla todistamatta itseään vastaan eli itsekriminointisuoja (ks. esim. PeVL 34/2012 vp, PeVL 46/2001 vp). Hallinnollisia sanktioita määrättäessä on annettava lisäksi erityistä painoarvoa asianosaisen oikeudelle tulla kuulluksi ja saada perusteltu päätös (ks. PeVL 35/2005 vp, s. 2). Edellä mainitut erityiset oikeusturvaedellytykset on pitänyt ottaa kuitenkin huomioon jo hallinnollisista seuraamuksista säädettäessä.

11.5 Yhdenvertaisuus

Perustuslain 6 §:n 1 momentin mukaan ihmiset ovat yhdenvertaisia lain edessä. Säännös ilmaisee paitsi vaatimuksen oikeudellisesta yhdenvertaisuudesta myös ajatuksen tosiasiallisesta tasa-arvosta. Yhdenvertaisuussäännös kohdistuu myös lainsäätäjään. Lailla ei voida mielivaltaisesti asettaa kansalaisia tai kansalaisryhmiä toisia edullisempaan tai epäedullisempaan asemaan. Toisaalta lainsäädännölle on ominaista, että se kohtelee tietyn hyväksyttävän yhteiskunnallisen intressin vuoksi ihmisiä eri tavoin edistääkseen muun muassa tosiasiallista tasa-arvoa (ks. HE 309/1993 vp, s. 42—43 ja esim. PeVL 55/2016 vp, s. 2).

Automaattisen päätöksenteon olisi ehdotuksen mukaan perustuttava viranomaisen ennalta määrittelemiin käsittelysääntöihin, joiden muodostamisessa viranomaisen on huomioitava muun muassa yhdenvertaisuutta koskevat säännökset ja syrjinnän kielto.

Tietojärjestelmä käsittelee samanlaiset tapaukset aina samalla tavalla, kun päätös tehdään automaattisesti ja päätös perustuu tiettyihin etukäteen määriteltyihin käsittelysääntöihin. Tämä pienentää inhimillisen virheen todennäköisyyttä ja mahdollisuutta tehdä päätös syrjivin perustein. Automaattisessa päätöksenteossa painottuu päätöksentekoperusteiden etukäteinen arviointi. Hallituksen esityksen 2. lakiehdotus sisältää automaattisten prosessien suunnitteluun ja valvontaan kohdistuvia vaatimuksia, joiden tarkoituksena on varmistaa järjestelmän huolellinen ja lain mukainen toteuttaminen. Viranomaisen tulisi dokumentoida erikseen, miten se on varmistanut määriteltyjen käsittelysääntöjen syrjimättömyyden. Viranomaisen tulisi siten arvioida erikseen, miten syrjimättömyys on varmistettu automatisoidussa toimintaprosessissa. Siten sääntely muodostaisi erään suojakeinon torjua syrjintää, joka mahdollisesti voisi tapahtua käsittelysääntöjä määriteltäessä. Viranomaisen olisi dokumentoinnillaan varmistettava ja siten kontrolloitava käsittelysääntöjen lainmukaisuus erityisesti syrjimättömyyden osalta.

Yleistä yhdenvertaisuussäännöstä täydentää perustuslain 6 §:n 2 momentin sisältämä syrjintäkielto, jonka mukaan ketään ei saa ilman hyväksyttävää perustetta asettaa eri asemaan sukupuolen, iän, alkuperän, kielen, uskonnon, vakaumuksen, mielipiteen, terveydentilan, vammaisuuden tai muun henkilöön liittyvän syyn perusteella. Säännöksessä luetellut erotteluperusteet ovat syrjintäkiellon ydinaluetta. Luettelo ei ole kuitenkaan tyhjentävä, vaan eri asemaan asettaminen on kielletty myös muun henkilöön liittyvän syyn perusteella.

Automaattisessa päätöksenteossa on potentiaalisesti tunnistettavissa riski syrjivistä päätöksistä esimerkiksi käytettäessä harkinnanvaraisen seikan arvioinnin perustana tilastotietoja, joiden nojalla tehdään yksilöä koskevia olettamuksia sukupuolen tai muun kielletyn syrjintäperusteen nojalla ilman, että yksilöllisiä olosuhteita otetaan huomioon (esim. yhdenvertaisuus- ja tasa-arvolautakunnan ratkaisu 216/2017). Ehdotettu lainsäädäntö ei kuitenkaan sallisi päätöksenteon perustumista tällaiseen tilastolliseen päättelymekanismiin, minkä vuoksi automaatiosta ehdotuksen mukaisesti toteutettuna ei seuraa mainitun kaltaista syrjintäriskiä. Puolestaan ikään tai muuhun tekijään liittyvä valikointi voi tapahtua ainoastaan laissa säädetyn perusteella. Perustuslakivaliokunnan lausuntokäytännössä on todettu, etteivät henkilöihin kohdistuvat erottelut saa olla mielivaltaisia eivätkä erot saa muodostua kohtuuttomiksi. Tällaisen sääntelyn on oltava tarkkarajaista ja täsmällistä (ks. PeVL 57/2016 vp, s. 3 ja siinä viitatut). Hallituksen esityksen lakiehdotuksissa ei säädettäisi perusteita sille, miten automatisoiduissa toimintaprosesseissa tehdään valikointia erilaisiin käsittelyvaiheisiin. Tällainen valikointi tapahtuisi erikseen säädetyn perusteella.

11.6 Yksityiselämän ja henkilötietojen suoja

Perustuslain 10 §:n mukaan jokaisen yksityiselämä on turvattu. Yksityiselämän käsite voidaan ymmärtää henkilön yksityistä piiriä koskevaksi yleiskäsitteeksi. Yksityiselämän suojan lähtökohtana on, että yksilöllä on oikeus elää omaa elämäänsä ilman viranomaisten tai muiden ulkopuolisten tahojen mielivaltaista tai aiheetonta puuttumista hänen yksityiselämäänsä (HE 309/1993 vp).

Henkilötietojen suoja kuuluu osana perustuslain 10 §:n 1 momentilla turvattuun yksityiselämän suojaan. Henkilötietojen suojasta on mainitun perustuslain säännöksen mukaan säädettävä lailla. Perustuslakivaliokunnan käytännön mukaan lainsäätäjän liikkuma-alaa rajoittaa tämän säännöksen lisäksi myös se, että henkilötietojen suoja osittain sisältyy samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuuden kannalta (ks. esim. PeVL 1/2018 vp, s. 3).

Perustuslakivaliokunta on aiemmin pitänyt henkilötietojen suojan kannalta tärkeinä sääntely-kohteina muun ohella rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa ja rekisteröidyn oikeusturvaa (PeVL 51/2006 vp, PeVL 20/2006 vp, PeVL 11/2005 vp). Valio-kunta on kuitenkin tarkistanut kantaansa yleisen tietosuoja-asetuksen johdosta, ja sen mukaan lähtökohtaisesti on riittävää, että henkilötietojen suojaa ja käsittelyä koskeva sääntely on yh-teensopivaa tietosuoja-asetuksen kanssa (PeVL 14/2018 vp, s. 4). Henkilötietojen suojan toteuttaminen tulisi ensisijaisesti taata yleisen tietosuoja-asetuksen ja sitä täydentävän kansallisen yleislain nojalla (PeVL 14/2018 vp). Lisäksi valiokunnan mukaan kansallisen erityislainsäädännön säätämistä tulisi välttää sekä varata sellaisen säätäminen vain tilanteisiin, joissa se on yh-täältä sallittua tietosuoja-asetuksen kannalta ja toisaalta välttämätöntä henkilötietojen suojan toteuttamiseksi (PeVL 2/2018 vp, s. 5). Perustuslakivaliokunnan mukaan myös sääntelyn selkeyden vuoksi kansallisen erityislainsäädännön säätämiseen tulee jatkossa suhtautua pidättyvästi ja rajata säätäminen vain välttämättömään (PeVL 14/ 2018 vp, s. 3—5). Erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksen edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely (PeVL 14/2018 vp, s. 5, PeVL 13/2017 vp, s. 5 ja PeVL 3/2017 vp, s. 5).

Perustuslakivaliokunta on niin ikään lausunnossaan (PeVL 7/2019 vp) katsonut tarpeelliseksi muun ohella tarkoin varmistua ehdotetun automatisoitua päätöksentekoa koskevan sääntelyn yhteensopivuudesta yleisessä tietosuoja-asetuksessa edellytetyn kanssa.

Tietosuoja-asetuksen 22 artiklan 1 kohdan mukaan rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. Artiklan 2 kohdan b alakohdan mukaan edellä olevaa 1 kohtaa ei sovelleta, jos päätös on hyväksytty rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Rikosasioiden tietosuojadirektiivin 11 artiklan 1 kohdan mukaan jäsenvaltioiden on säädettävä siitä, että päätös, joka perustuu pelkästään automatisoituun käsittelyyn, kuten profilointiin, ja jolla on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai joka vaikuttaa häneen merkittävästi, on kielletty, jollei sitä ole sallittu rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa on otettu huomioon rekisteröidyn oikeuksia ja vapauksia koskevat asianmukaiset suojatoimet, vähintään oikeus vaatia, että käsittelyyn osallistuu rekisterinpitäjän puolesta ihminen.

Ehdotettu sääntely olisi mahdollista tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan liikkumavaran puitteissa. Kansallista sääntelyä olisi pidettävä myös välttämättömänä edellytyksenä sille, että automatisoituja yksittäispäätöksiä voitaisiin tehdä, ja tietosuoja-asetuksessa säädetystä kiellosta voitaisiin poiketa.

Rikosasioiden tietosuojalain 13 §:llä on pantu täytäntöön rikosasioiden tietosuojadirektiivin 11 artikla. Pykälän mukaan, jollei laissa toisin säädetä, päätöstä ei saa tehdä pelkästään automatisoidun henkilötietojen käsittelyn perusteella, jos päätöksellä on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai se on muutoin hänen kannaltaan merkittävä. Pykälän säännöskohtaisissa perusteluissa (HE 31/2018 vp, s. 43) todetaan, että automatisoidun yksittäispäätöksen tekeminen olisi ehdotetun säännöksen mukaan sallittua ainoastaan, jos muualla laissa niin säädetään. Käytännössä tällaisesta automatisoidusta päätöksenteosta tulisi siten säätää aina erityislainsäädännössä. Tällaisen lainsäädännön tulee täyttää direktiivin 11 artiklassa säädetyt vaatimukset muun muassa rekisteröidyn oikeudesta vaatia, että käsittelyyn osallistuu rekisterinpitäjän toimesta luonnollinen henkilö. Sääntelyn olisi myös oltava yhteensopivaa direktiivin 11 artiklan 1 kohdan sääntelyn kanssa, jotta automatisoituja yksittäispäätöksiä voitaisiin tehdä direktiivin soveltamisalalla suoritettavassa henkilötietojen käsittelyssä.

Ehdotetun sääntelyn arvioidaan olevan yhteensopivaa rikosasioiden tietosuojadirektiivin 11 artiklan 1 kohdan kanssa. Sääntely mahdollistaisi automatisoidut yksittäispäätökset hallintoasioissa, kun henkilötietojen käsittelyä suoritetaan rikosasioiden tietosuojalain soveltamisalalla.

11.7 Arkaluonteiset tiedot

Perustuslakivaliokunta on arvioinut arkaluonteisten tietojen käsittelyä pitäen lähtökohtana, että yksityiselämän suojaan kohdistuvia rajoituksia on arvioitava kulloisessakin sääntely-yhteydessä perusoikeuksien yleisten rajoitusedellytysten valossa (ks. PeVL 42/2016 vp, s. 2—3 ja siinä viitatut lausunnot). Merkityksellistä on ollut, että valiokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa henkilötietojen käsittelystä säädettäessä erityisesti se, että henkilötietojen suoja osittain sisältyy perustuslain 10 §:n 1 momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on tämän vuoksi arvioinut erityisesti arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp, s. 2/I), minkä johdosta esimerkiksi tällaisia tietoja sisältävien rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta (PeVL 29/2016 vp, s. 4—5 ja esimerkiksi PeVL 21/2012 vp, PeVL 47/2010 vp sekä PeVL 14/2009 vp). Valiokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevan sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (ks. esim. PeVL 38/2016 vp, s. 3).

Perustuslakivaliokunta on painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia. Valiokunnan mielestä arkaluonteisia tietoja sisältäviin laajoihin tietokantoihin liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (PeVL 13/2016 vp, s. 4, PeVL 14/2009 vp, s. 3/I). Myös EU:n yleisen tietosuoja-asetuksen mukaan erityisiä henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Valiokunta on tämän johdosta kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (ks. esim. PeVL 3/2017 vp, s. 5). Tällaista rajausta on valiokunnan uudemmassa käytännössä pidetty säätämisjärjestyskysymyksenä (ks. esim. PeVL 15/2018 vp, s. 40).

Perustuslakivaliokunnan mukaan arkaluonteisten tietojen käsittelyä koskevaa sääntelyä on tietosuoja-asetuksen mahdollistamissa puitteissa edelleen syytä arvioida myös aiemman sääntelyn lakitasoisuutta koskevan käytännön pohjalta. Yleistä tietosuoja-asetusta yksityiskohtaisemman lakitasoisen sääntelyn tarve tulee kuitenkin perustella myös tietosuoja-asetuksen puitteissa tapauskohtaisesti. Sääntelyn tarpeen osalta on syytä kiinnittää huomiota myös asetuksessa omaksuttuun riskiperusteiseen lähestymistapaan. Valiokunta painottaa, että myös arkaluonteisten henkilötietojen käsittelyä koskevan sääntelyn kohdalla on syytä pyrkiä selkeään ja ymmärrettävään lainsäädäntöön (PeVL 14/2018 vp, s. 5–6).

Perustuslakivaliokunnan lausuntokäytännössä arkaluonteisiin tietoihin kuuluviksi luetaan sekä erityisiin henkilötietoryhmiin kuuluvien tiedot, että perustuslakivaliokunnan lausuntokäytännössä omaksumat ns. valtiosääntöisesti arkaluonteiset tiedot. Valtiosääntöisesti arkaluonteisina tietoina perustuslakivaliokunta on pitänyt ainakin sosiaalihuollon asiakastietoja (PeVL 15/2018 vp, s. 38), luonnollisen henkilön yksityiskohtaisia tilitietoja (PeVL 48/2018 vp) ja maksukorttitietoja (PeVL 36/2020 vp, s. 3–4). Rikostuomioihin ja rikoksiin liittyvät henkilötiedot voidaan myös lukea valtiosääntöisesti arkaluonteisiksi (PeVL 15/2018 vp, s. 38). Niiden käsittelystä säädetään erikseen tietosuoja-asetuksen 10 artiklassa, jossa edellytetään asianmukaisten suojatoimien säätämistä.

Hallintolakiin, tiedonhallintalakiin, digitaalisten palvelujen tarjoamisesta annettuun lakiin tai rikosasioiden tietosuojalakiin ehdotetut muutokset eivät itsessään mahdollistaisi erityisiin henkilötietoryhmiin kuuluvien tietojen ja valtiosääntöisesti arkaluonteisten tietojen käsittelyä, vaan näiden tietojen käsittelystä tulee säätää muualla, kuten eri hallinnonalojen osalta erityislainsäädännössä tyypillisesti tehdäänkin. Mikäli arkaluonteisten tietojen käsittely olisi erityislainsäädännössä sallittua, voitaisiin niitä käsitellä myös automaattisessa päätöksenteossa, jos ehdotetun lain automaattiselta käsittelyltä edellytettävät vaatimukset täyttyisivät. Kuitenkin näissä yhteyksissä rekisteröidyn oikeuksia arvioidaan erikseen tietosuojalainsäädännössä säädetyn tietosuojan vaikutustenarvioinnin yhteydessä, jolloin myös tarve riittävistä suojatoimista tulee arvioida osana automaattisen päätöksenteon käyttöönottoa. Koska automaattisessa päätöksenteossa olisi lähtökohtaisesti kyse korkeariskisestä käsittelystä, olisi rekisterinpitäjän kiinnitettävä arvioinnissaan huomiota suunniteltujen suojatoimien riittävyyteen erityisesti silloin, kun käsittely kohdistuisi arkaluonteisiin tietoihin.

11.8 Käsittelyn suojatoimet automaattisessa päätöksenteossa

Kuten edellä on todettu, perustuslakivaliokunta on edellyttänyt, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksen edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely (PeVL 14/2018 vp, s. 5, PeVL 13/2017 vp, s. 5 ja PeVL 3/2017 vp, s. 5).

Yleisen tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan mukaan unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa käsittely hyväksytään, on vahvistettava myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Tietosuoja-asetuksen johdanto-osan 71 perustelukappaleen mukaan tällaiseen käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia suojatoimia, joihin olisi ainakin kuuluttava käsittelystä ilmoittaminen rekisteröidylle ja tämän oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen, oikeus esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös.

Rikosasioiden tietosuojadirektiivin 11 artiklan 1 kohdan mukaan jäsenvaltioiden on säädettävä siitä, että päätös, joka perustuu pelkästään automatisoituun käsittelyyn, kuten profilointiin, ja jolla on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai joka vaikuttaa häneen merkittävästi, on kielletty, jollei sitä ole sallittu rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa on otettu huomioon rekisteröidyn oikeuksia ja vapauksia koskevat asianmukaiset suojatoimet, vähintään oikeus vaatia, että käsittelyyn osallistuu rekisterinpitäjän puolesta ihminen. Direktiivin johdanto-osan 38 perustelukappaleen mukaan tällaiseen käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia suojatoimia, joihin kuuluisivat tällaisesta käsittelystä ilmoittaminen rekisteröidylle ja oikeus ihmisen suorittamaan interventioon, erityisesti jotta rekisteröity voisi esittää oman kantansa, saada selvityksen kyseisen arvioinnin jälkeen tehdystä päätöksestä tai riitauttaa päätöksen.

Euroopan unionin tuomioistuin on antanut johdanto-osan perustelukappaleille painoarvoa ratkaisuissaan (esimerkiksi tuomioistuimen ratkaisu C-203/15, kohta 87 ja ratkaisu C-454/18, kohta 71). Ehdotetun ja voimassa olevan sääntelyn on siten oltava tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin johdanto-osien perustelukappaleissa mainittujen suojatoimien kanssa yhteensopivaa, jotta korkean riskin käsittelyn sallivaa sääntelyä on kansallisen liikkumavaran puitteissa mahdollista antaa.

Hallintolakia koskevan lakiehdotuksen 53 f §:n 1 momentissa ehdotetaan, että automaattisen ratkaisemisen edellytyksenä olisi, että luonnollinen henkilö, johon päätös on kohdistettu voi kaikilta osin vaatia ratkaisuun oikaisua maksutta 7 a luvun mukaisella oikaisuvaatimuksella tai siihen rinnastuvalla vaatimuksella, joka käsitellään päätöksen tehneessä viranomaisessa tai sen kanssa samaan rekisterinpitäjään kuuluvassa viranomaisessa. Mahdollisuutta vaatia oikaisua ei kuitenkaan edellytettäisi, jos automaattisella ratkaisulla hyväksyttäisiin asianosaisen vaatimus, joka ei koskisi toista asianosaista.

Koska pykälän tarkoituksena on tietosuojasääntelystä seuraavan suojatoimen toteuttaminen, 1 momentin edellytys on rajattu vain asioihin, joissa on asianosaisena luonnollinen henkilö. Jos asiassa on asianosaisena sekä luonnollinen henkilö että oikeushenkilö, asianosaisena olevalla luonnollisella henkilöllä olisi oltava mahdollisuus 1 momentissa tarkoitettuun oikeussuojakeinoon. Pykälässä on tarkoitus säätää lisäedellytyksestä, jonka on täytyttävä, jotta automaattisia ratkaisuja voidaan tehdä. Pykälästä itsessään ei seuraa oikeutta oikaisuvaatimukseen eikä se muutenkaan vaikuta olemassa oleviin oikeussuojakeinoihin. Asianosaisen muutoksenhakuoikeus ja oikeus oikeusturvaan määräytyvät muun lainsäädännön perusteella.

Oikaisuvaatimus toimisi tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin edellyttämänä suojatoimena, joka toteuttaisi rekisteröidyn oikeuden vaatia ihmisen osallistumista tietojen käsittelyyn. EU:n tietosuojatyöryhmä on suuntaviivoissaan (WP 29 Suuntaviivat automatisoiduista yksittäispäätöksistä, WP251rev.01s. 29) katsonut, että ”uudelleentarkastelun suorittavalla henkilöllä on oltava asianmukaiset valtuudet ja valmiudet muuttaa päätöstä. Hänen olisi arvioitava perusteellisesti kaikkia merkityksellisiä tietoja, rekisteröidyn toimittamat lisätiedot mukaan luettuna.”

Tietosuoja-asetuksen 12 artiklan 5 kohdassa säädetään, että kaikki 22 artiklaan perustuvat tiedot ja toimenpiteet ovat maksuttomia. Puolestaan rikosasioiden tietosuojadirektiivin 12 artiklan 4 kohdassa edellytetään jäsenvaltioiden säätävän siitä, että kaikki 11 artiklan nojalla tehdyt ilmoitukset tai toteutetut toimet ovat maksuttomia. Edellä selostetun vuoksi oikaisuvaatimuksen tai siihen rinnastuvan vaatimuksen olisi oltava rekisteröidylle maksuton toimenpide.

Tietosuoja-asetuksen 3 luvussa säädetään rekisteröidyn oikeuksista. Rekisterinpitäjällä on velvollisuus huolehtia rekisteröidyn oikeuksien toteuttamisesta. Rekisteröity voi käyttää oikeuksiaan olemalla yhteydessä rekisterinpitäjään. Tietosuoja-asetuksen 22 artiklan 1 kohdassa ja rikosasioiden tietosuojadirektiivin 11 artiklan 1 kohdassa säädetään kiellosta tehdä pelkästään automatisoituun käsittelyyn perustuvia yksittäispäätöksiä, josta voidaan poiketa rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä.

Rekisteröidyllä olisi ehdotetun lain mukaan mahdollisuus saada automaattisesti ratkaistu asia rekisterinpitäjän käsiteltäväksi uudelleen hakemalla asiaan oikaisua tai käyttämällä muuta vastaavaa maksutonta oikeussuojakeinoa. Koska rekisteröidyn oikeuksien käyttämistä koskeva pyyntö tulee osoittaa sille rekisterinpitäjälle, joka on käsitellyt henkilötietoja pelkästään automaattisesti, toimisi oikaisuvaatimus tai muu vastaava oikeussuojakeino rekisteröidyn oikeutena saada asia ihmisen käsiteltäväksi. Tämän vuoksi esimerkiksi muutoksenhakua tuomioistuimeen ei voitaisi pitää soveltuvana, koska muutoksenhaku olisi erillinen prosessi, jossa asia käsiteltäisiin kokonaan uudelleen eri rekisterinpitäjän toimesta.

Oikaisuvaatimuksen arvioidaan täyttävän EU:n tietosuojatyöryhmän suuntaviivoissa asetetut edellytykset sekä soveltuvan erityisen hyvin tietosuojaoikeudelliseksi rekisteröidyn oikeudeksi saada asia ihmisen käsiteltäväksi, koska mahdollinen uudelleentarkastelu suoritettaisiin maksutta päätöksen tehneen rekisterinpitäjän toimesta. Ehdotettu 53 f §:n 1 momentti toteuttaisi myös perustuslain 21 §:ssä turvattua oikeutta oikeusturvaan ja hyvään hallintoon. Pykälän 1 momentin suojatoimea voidaan pitää tehokkaana vain, jos oikaisuvaatimusta tai siihen rinnastuvaa vaatimusta ei voida ratkaista automaattisesti. Tätä koskeva kielto sisältyisi 53 e §:n 4 momenttiin.

Pykälän 2 momentissa säädettäisiin poikkeus 1 momentin edellytyksestä. Edellytystä ei sovellettaisi, kun automaattisella ratkaisulla hyväksytään asianosaisen vaatimus, joka ei koske toista asianosaista. Keskeinen tietosuoja-asetuksen 22 artiklan ja rikosasioiden tietosuojadirektiivin 11 artiklan taustalla oleva tavoite on ihmisen suojaaminen sellaiselta automaattiselta päätöksenteolta, jossa hänen ominaisuuksiaan arvioidaan virheellisillä perusteilla ilman ihmisen mahdollisuutta vaikuttaa tähän arvioon. Kun asianosaisen vaatimus hyväksytään vaaditulla tavalla, ei asianosaisella voida katsoa enää olevan tietosuojaoikeudellisen suojan tarvetta saada päätöstä ihmisen käsiteltäväksi. Muutoksenhakuoikeus päätökseen määrittyy muun kuin hallintolain 8 b luvun perusteella.

11.9 Käsittelystä ilmoittaminen rekisteröidylle

Tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin johdanto-osassa edellytetään, että automaattisen käsittelyn yhteydessä käsittelystä olisi ilmoitettava rekisteröidylle. EU:n tietosuojatyöryhmä on suuntaviivoissaan (WP 29 Suuntaviivat automatisoiduista yksittäispäätöksistä, WP251rev.01 s. 29) katsonut, että rekisteröity pystyy riitauttamaan päätöksen tai esittämään siitä kantansa vain, jos hän ymmärtää täysin, miten se on tehty ja millä perustein.

Ehdotetun hallintolain 53 g §:n 1 momentissa säädettäisiin viranomaiselle velvoite merkitä automaattisesti ratkaistuun hallintopäätökseen tieto siitä, että asia on ratkaistu automaattisesti. Puolestaan pykälän 2 momentti velvoittaisi antamaan tiedon automaattisesta käsittelystä asianosaiselle käsittelyn aikana, jos asiassa ei anneta kirjallista hallintopäätöstä. Pykälän säännöskohtaisissa perusteluissa on arvioitu, että säännös olisi tietosuoja-asetuksen ja rikosasioiden direktiivin johdanto-osan perustelukappaleissa tarkoitettu suojatoimi, jolla toteutettaisiin käsittelyn ilmoittaminen rekisteröidylle.

Lisäksi tietosuoja-asetuksen 13 artiklassa säädetään rekisteröidylle toimitettavista tiedoista, kun henkilötietoja kerätään rekisteröidyltä. Tietosuoja-asetuksen 14 artiklassa säädetään rekisteröidylle toimitettavista tiedoista, kun tietoja ei ole saatu rekisteröidyltä. Tietosuoja-asetuksen 13 artiklan 2 kohdan f alakohdassa ja 14 artiklan 2 kohdan g alakohdassa säädetään velvollisuudesta toimittaa rekisteröidylle lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi automaattisen päätöksenteon, muun muassa 22 artiklan 1 ja 4 kohdassa tarkoitetun profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle. Mainitut voimassa olevat säännökset vahvistavat rekisteröidyn informoiduksi tulemista automaattisesta käsittelystä, kun pelkästään automaattiseen käsittelyyn perustuvaa päätöksentekoa tehdään tietosuoja-asetuksen soveltamisalalla.

11.10 Rekisteröidyn oikeus esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös

Tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin johdanto-osien perustelukappaleissa edellytetään, että rekisteröidyllä tulee olla automaattiseen käsittelyyn perustuvan päätöksen jälkeen oikeus esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös. EU:n tietosuojatyöryhmä on suuntaviivoissaan (WP 29 Suuntaviivat automatisoiduista yksittäispäätöksistä, WP251rev.01, s. 26) katsonut, että rekisterinpitäjän on tarjottava rekisteröidylle yksinkertainen tapa käyttää näitä oikeuksia. Hallintolain säännökset asianosaisen kuulemisesta, päätöksen perustelemisesta ja oikaisuvaatimuksesta toteuttavat nämä suojatoimet. Lisäksi julkisuuslain 11 §:ssä on säädetty asianosaisen tiedonsaantioikeudesta ja 12 §:ssä jokaisen oikeudesta saada tieto itseään koskevasta asiakirjasta. Julkisuuslain sääntely edistää myös tietosuojalainsäädännössä mainittujen suojatoimien toteuttamista.

11.11 Julkisuusperiaate

Perustuslain 12 §:n 2 momentin mukaan viranomaisen hallussa olevat asiakirjat ja muut tallenteet ovat julkisia, jollei niiden julkisuutta ole välttämättömien syiden vuoksi lailla erikseen rajoitettu. Jokaisella on oikeus saada tieto julkisesta asiakirjasta ja tallenteesta. Perustuslain 21 §:n 2 momentissa turvataan käsittelyn julkisuus ja oikeus saada perusteltu päätös.

Perustuslakivaliokunta kiinnitti ns. perustulokokeilun yhteydessä huomiota lailla säätämisen vaatimuksen johdosta tuolloin ehdotettuun otantamenettelyyn ja sen läpinäkyvyyteen. Kyseessä oli niin sanottu kokeilulaki, johon liittyi kysymys perustulokokeilun kohdejoukon tasapuolisesta kohtelusta. Hallituksen esityksen säätämisjärjestysperusteluissa viitattiin siihen, että valinta kokeilun piiriin kuulumisesta tehtäisiin satunnaisotannalla ja satunnaistamisen ohjelmakoodi julkaistaisiin ennen poiminnan suorittamista. Ohjelmakoodin julkaisemisesta ei ollut otettu säännöstä ehdotettuun lakiin. Valiokunnan mukaan sekä lailla säätämisen vaatimus että tarkkarajaisuuden ja täsmällisyyden vaatimukset edellyttivät, että otannan perusteista säädetään laissa. Lisäksi laissa oli syytä säätää otantamenettelyyn liittyvän ohjelmistokoodin julkaisemisesta ja julkisuudesta (PeVL 51/2016 vp, s. 5).

Lentoliikenteen matkustajarekisteritietojen profilointikäyttöä koskeneen lakiehdotuksen arvioinnin yhteydessä perustuslakivaliokunta katsoi, että hallintovaliokunnan oli perustuslain 12 §:n 2 momentista ja 21 §:stä johtuvista syistä tarkasteltava huolellisesti ehdotettujen kriteerien ja niitä mahdollisesti soveltavien automatisoitujen menettelyjen algoritmien suhdetta julkisuuslakiin ja tarvittaessa selkeytettävä sääntelyä (PeVL 29/2018 vp, s. 5).

Maahanmuuttohallinnon henkilötietolakia koskevassa lausunnossaan perustuslakivaliokunta arvioi lakiehdotukseen sisältynyttä vaatimusta siitä, että viranomaisen on julkistettava automatisoidussa päätöksentekomenettelyssä lopulliseen päätökseen johtanut algoritmi. Ehdotukseen ei sisältynyt algoritmin määritelmää. Perustuslakivaliokunta painotti, että algoritmin julkisuuden asianmukainen toteutuminen yksityiselle ymmärrettävässä muodossa edellyttää, että laissa on tarkkarajaisesti ja täsmällisesti määritelty, mitä algoritmilla automatisoidussa päätöksenteossa tarkoitetaan (PeVL 7/2019 vp, s. 10). Algoritmin julkistamisella ja siitä erillisen selvityksen antamisella tavoiteltiin yleisestä tietosuoja-asetuksesta seuraavien velvoitteiden täyttämistä (HE 18/2019 vp, s. 101).

Edellä kuvatuissa perustuslakivaliokunnan lausunnoissa PeVL 51/2016 vp ja PeVL 29/2018 vp oli kysymys erityislakiin liittyvistä tilanteista, joissa ohjelmakoodin tai algoritmin julkistamisella oli yhdenvertaisuusperiaatteeseen kytkeytyvä erityinen merkitys. Lausunnossa PeVL 7/2019 vp oli kysymys lain tarkkarajaisuudesta ja täsmällisyydestä silloin, kun algoritmin julkaisemisesta oli nimenomaisesti ehdotettu säädettävän (tämä peruste liittyy myös lausuntoon PeVL 51/2016 vp).

Tiedonhallintalakia koskevan ehdotuksen 28 a §:n mukaan viranomaisen olisi laadittava automatisoidun toimintaprosessin kehittämisen olennainen dokumentaatio, johon sisältyisi muun muassa tieto toimintaprosessin kunkin vaiheen käsittelysäännöistä. Tiedonhallintalain 28 d §:n mukaan viranomaisen olisi tehtävä automatisoidun toimintaprosessin käyttöönotosta nimenomainen päätös, johon sisältyisi tieto muun muassa käyttöönottopäätöksen perusteena olevista asiakirjoista ja perustelut käyttöönoton edellytyksistä. Tiedonhallintalain 28 a ja 28 d §:ssä tarkoitettujen asiakirjojen julkisuus ratkaistaisiin julkisuuslain tai mahdollisen erityislain perusteella. Tyypillisesti kysymys olisi julkisista asiakirjoista. Joissain tapauksissa asiakirjoihin voisi sisältyä esimerkiksi tietojärjestelmän tietoturvallisuutta koskevia tietoja, jotka olisivat salassa pidettäviä julkisuuslain 24 §:n 1 momentin 7 kohdan perusteella tai julkisuuslain 24 §:n 1 momentin 15 kohdassa tarkoitetun valvontasalaisuuden perusteella.

Tiedonhallintalain 28 e §:n mukaan viranomaisen on julkaistava voimassa oleva käyttöönottopäätös yleisessä tietoverkossa verkkosivustollaan. Viranomaisen on tiedotettava asioiden automaattisesta ratkaisemisesta, automatisoidun toimintaprosessin käytön perusteista ja muista asiakkaan oikeuksien kannalta keskeisistä tiedoista toimintaprosessin dokumentaatioon ja käyttöönottopäätökseen perustuen. Tiedot on julkaistava yleisessä tietoverkossa viranomaisen verkkosivustolla. Esityksen valmistelussa on arvioitu, että ohjelmistokoodin julkaisuun sisältyy merkittäviä väärinkäyttöriskejä ja tietojenkäsittelyn turvallisuuteen liittyviä riskejä. Toisaalta ohjelmistokoodi ei ole itsessään helposti ymmärrettävää kuin tietyille alan asiantuntijoille, joten ohjelmistokoodin julkaisu ei palvele myöskään yleisön tiedonsaantia automatisoidun päätöksenteon perusteista eikä edistä muutenkaan hallinnon toimintaan kohdistuvaa yleisön valvontaa. Ohjelmistokoodin julkisuus määräytyy julkisuuslain perusteella.

Hallintolakiin ja tiedonhallintalakiin ehdotetulla sääntelyllä turvataan automaattisen päätöksenteon julkisuus yleislakiin soveltuvalla tavalla.

11.12 Julkisen hallintotehtävän antaminen yksityiselle ja virkamieshallinnon periaate

Perustuslain 124 §:n mukaan julkinen hallintotehtävä voidaan antaa muulle kuin viranomaiselle vain lailla tai lain nojalla, jos se on tarpeen tehtävän tarkoituksenmukaiseksi hoitamiseksi eikä vaaranna perusoikeuksia, oikeusturvaa tai muita hyvän hallinnon vaatimuksia. Merkittävää julkisen vallan käyttöä sisältäviä tehtäviä voidaan kuitenkin antaa vain viranomaiselle.

Perustuslakivaliokunta on todennut, että julkinen hallintotehtävä voidaan antaa muulle kuin viranomaiselle myös lain nojalla tehtävällä sopimuksella (PeVL 50/2017 vp, PeVL 26/2017 vp, s. 48, PeVL 11/2004 vp, s. 2, PeVL 11/2002 vp, s. 5). Perustuslakivaliokunnan käytännössä on katsottu, että oikeusturvan ja hyvän hallinnon vaatimusten toteutumisen varmistaminen perustuslain 124 §:n tarkoittamassa merkityksessä edellyttää, että asian käsittelyssä noudatetaan hallinnon yleislakeja ja että asioita käsittelevät toimivat virkavastuulla (PeVL 33/2004 vp, s. 7, PeVL 46/2002 vp, s. 10). Perustuslakivaliokunnan mukaan lakiin ei ole perustuslain 124 §:n takia välttämätöntä yleensä sisällyttää viittausta hallinnon yleislakeihin, sillä hallinnon yleislakeja sovelletaan niiden sisältämien soveltamisalaa, viranomaisten määritelmää tai yksityisen kielellistä palveluvelvollisuutta koskevien säännösten nojalla myös yksityisiin niiden hoitaessa julkisia hallintotehtäviä (PeVL 42/2005 vp, s. 3). Jos sellaista sääntelyn selkeyden vuoksi kuitenkin pidetään tarpeellisena, on viittauksen oltava vastakohtaispäätelmän vuoksi kattava (PeVL 11/2006 vp, s. 3, PeVL 42/2005 vp, s. 3). Perustuslakivaliokunta on kuitenkin edellyttänyt säädettäväksi julkisen hallintotehtävän hoitoon liittyen virkavastuusta laissa (PeVL 50/2017 vp, 3, PeVL 26/2017 vp, s. 49—50, PeVL 16/2016 vp, s. 2—3, PeVL 8/2014 vp, s. 5). Perustuslain 124 §:n mukaan merkittävä julkisen vallan käyttöön liittyvä julkinen hallintotehtävä voidaan antaa vain viranomaiselle. Merkittävänä julkisen vallan käyttämisenä on pidettävä esimerkiksi itsenäiseen harkintaan perustuvaa oikeutta käyttää voimakeinoja tai puuttua muuten merkittävällä tavalla yksilön perusoikeuksiin (HE 1/1998 vp, s. 179 ja PeVL 28/2001 vp, s. 5—6).

Julkisen hallintotehtävän antamisen yksityiselle tulee täyttää myös tarkoituksenmukaisuusvaatimus, joka on oikeudellinen edellytys, jonka täyttymistä tulee arvioida tapauskohtaisesti kunkin viranomaisorganisaation ulkopuolelle annettavaksi ehdotetun julkisen hallintotehtävän kohdalla erikseen. Tällöin on otettava huomioon muun muassa hallintotehtävän luonne (PeVL 5/2014 vp, s. 3). Tarkoituksenmukaisuusarvioinnissa tulee perustuslain esitöiden mukaan kiinnittää huomiota hallinnon tehokkuuden ja muiden hallinnon sisäisiksi luonnehdittavien tarpeiden ohella myös yksityisten henkilöiden ja yhteisöjen tarpeisiin (HE 1/1998 vp, s. 179). Valiokunta on käytännössään katsonut, että tarkastus voi esimerkiksi valvonnan kohteina oleviin seikkoihin liittyvien ammatillisten ja teknisten erityispiirteiden vuoksi olla joissakin tilanteissa tarkoituksenmukaista suorittaa viranomaisen siihen valtuuttaman asiantuntijan toimesta (PeVL 40/2002 vp, s. 3). Valiokunnan mukaan tarpeellisuusvaatimus voi täyttyä myös esimerkiksi silloin, kun tarkastuksen tekeminen edellyttää osaamista tai resursseja, joita viranomaisella ei ole (PeVL 29/2013 vp, s. 2).

Hallituksen esityksen 2. lakiehdotuksessa ehdotetaan säädettäväksi viranomaiselle erilaisia tehtäviä. Koska kyse olisi viranomaisen lakisääteisistä tehtävistä, olisivat tehtävät lähtökohdiltaan julkisia hallintotehtäviä tiedonhallintalakia sovellettaessa. Lisäksi säädettäväksi ehdotetut tehtävät olisivat osin myös julkisen vallan käyttöön liittyviä avustavia tehtäviä, jotka on katsottu julkisiksi hallintotehtäviksi (PeVL 30/2012 vp, s. 4). Hallituksen esityksen 2. lakiehdotuksen 28 j §:ssä ehdotetaan säädettäväksi mahdollisuudesta antaa yksityiselle eräitä ehdotettavaan lakiin sisältyviä viranomaiselle kuuluvia tehtäviä. Viranomainen voisi antaa yksityisen hoidettavaksi ehdotetun 28 b §:ssä tarkoitettuja testaamiseen liittyviä tehtäviä, muttei kuitenkaan testauksesta vastuussa olevan henkilön tehtävää. Käytännössä testaaminen voi vaatia erilaista teknisluonteista asiantuntemusta, jollaista viranomainen voisi hankkia tarkoituksenmukaisuusharkintansa pohjalta yksityisiltä. Lisäksi viranomainen voisi hankkia 28 c §:ssä tarkoitettujen teknisten virheiden korjaamiseen asiantuntemusta yksityisiltä silloin, kun se on tarkoituksenmukaisuusharkinnan perusteella tarpeellista. Ehdotetut tehtävät eivät sisällä merkittävän julkisen vallan käyttöä ja kysymys on resursoinnista, jollaista viranomainen ei tarvitse jatkuvasti siten, että tällaisten resurssien hankkiminen viranomaiseen palvelussuhteeseen olisi tarkoituksenmukaista. Ehdotus sisältää myös täsmällisen säännöksen siitä, että näiden tehtävien hoitamisen yhteydessä rikosoikeudellinen virkavastuu tulee kattavasti sovellettavaksi esimerkiksi tilanteissa, joissa testauksessa on laiminlyöty testaamiseen liittyviä velvollisuuksia.

Perustuslakivaliokunnan mukaan perustuslain säännökset hallinnon lainalaisuusperiaatteesta sekä valtion ja virkamiehen vastuusta ilmentävät virkamieshallinnon periaatetta (PeVL 19/1985 vp, s. 3/II). Automaattisessa ratkaisemissa on kyse hallintomenettelyn toteuttamisesta ja lainsäädännön soveltamisesta, eli virkamieshallinnon ytimessä olevasta toiminnasta, automaattisen tietojenkäsittelyn avulla. Kun julkisessa hallinnossa otetaan käyttöön digitalisaation myötä uusia välineitä, on olemassa mahdollisuus, että näiden välineiden ja niitä toimittavien osapuolten rooli korostuu julkisen vallan käytössä ja julkisen hallintotehtävän hoitamisessa. Tästä syystä on katsottu tarpeelliseksi turvata virkamieshallinnon periaatteen toteutuminen myös automaattisessa ratkaisemisessa säätämällä riittävällä tarkkuudella ja täsmällisyydellä siitä, mitä dokumentaatiota viranomaisen on hyväksyttävä ja mitä vastuita ja velvollisuuksia sille kohdistuu, kun automaattista ratkaisemista kehitetään, otetaan käyttöön ja valvotaan.

Automatisoituja ratkaisuja tuotetaan pääsääntöisesti tietojärjestelmillä. Tietojärjestelmien kehittäminen julkisen hallinnon käyttöön voi olla monimutkainen ja monivaiheinen prosessi, jossa tietojärjestelmää kehittävän yksityisen toimijan ja tietojärjestelmän hankkineen viranomaisen vastuunjako ei välttämättä ole selvää. Viranomaisella ei välttämättä ole tietojärjestelmien toimintaperiaatteiden ja kehittämismenetelmien syvää asiantuntemusta, minkä vuoksi sen ja tietojärjestelmää toimittavan yksityisen välille voi syntyä joissakin kysymyksissä epätasapaino.

Valmistelussa ei kuitenkaan ole katsottu tarkoituksenmukaiseksi säätää tarkkoja vaatimuksia itse tietojärjestelmän kehittämiselle, koska tietojärjestelmiä on erilaisia hyvin erilaisiin käyttötarkoituksiin. Lisäksi olemassa olevien tietojärjestelmien kohdalla on tehty jo mittavia investointeja ja tehty tiettyjä valintoja esimerkiksi kehittämismenetelmien osalta. Tietoteknologia itsessään on myös nopeasti kehittyvää, jolloin siihen kohdistuva sääntely voi vanheta nopeasti. Samoista syistä ei ole myöskään katsottu tarkoituksenmukaiseksi velvoittaa viranomaisia kehittämään automaattiseen ratkaisemiseen käytettävää tietojärjestelmää kokonaan itse. Tietojärjestelmien kehittäminen alusta loppuun ei myöskään ole viranomaisen ydintoimintaa, jolloin tietojärjestelmien kehittämisen elinkaareen kohdistuvat tarkat vaatimukset aiheuttaisivat huomattavia kustannuksia.

Edellä mainituista syistä ehdotuksessa onkin pyritty varmistamaan virkamieshallinnon periaatteen toteutuminen ja julkisen vallan käytön pysyminen sen sisällä ratkaisulla, jossa viranomaiselle asetettavat tehtävät eivät kytkeydy suoraan tietojärjestelmän tuottamiseen, vaan siihen, miten viranomainen hyödyntää tietojärjestelmiä automaattisessa ratkaisemisessa ja miten tämä hyödyntäminen on dokumentoitava. Ehdotetun myötä automaattiseen ratkaisemiseen käytettävän tietojärjestelmän kehittäminen ja tuottaminen itsessään ei olisi julkinen hallintotehtävä. Viranomaisen olisi edelleen mahdollista hankkia tietojärjestelmä yksityiseltä toimijalta omiin tarpeisiinsa, mutta viranomaisen olisi aina tehtävä automaattiseen päätöksentekoon liittyvä oikeudellinen harkinta. Lisäksi viranomaisen olisi tarkistettava ja hyväksyttävä tietojärjestelmän avulla toteutettu automaattinen ratkaiseminen, valvottava sen toimintaa ja tiedotettava siitä. Viranomaisen olisi näihin velvoitteisiin liittyen mahdollista antaa yksityiselle vain laissa säädettyjä avustavia tehtäviä, joiden luonne olisi tekninen.

11.13 Tiedonhallintalautakunnan tarkastusoikeus

Hallituksen esityksen 2. lakiehdotuksessa ehdotetaan säädettäväksi julkisen hallinnon tiedonhallintalautakunnalle oikeus tehdä tarkastuksia käyttöönottopäätökseen liittyvään asiakirja-aineistoon osana 28 g §:ssä säädetyn arviointitehtävän toteuttamista. Ehdotus on merkityksellinen perustuslain 10 §:ssä säädetyn yksityiselämän suojaan liittyvän kotirauhan kannalta katsottuna.

Perustuslakivaliokunta on käytännössään katsonut, että kotirauhan piiriin kohdistuvat tarkastusvaltuudet merkitsevät oikeutta puuttua merkittävällä tavalla perustuslaissa jokaiselle turvattuun kotirauhan suojaan eikä tällaista valtuutta voida näin ollen antaa yksityiselle tavallisella lailla. Valiokunta on tarkastuksen mahdollistavan lainsäädännön yhteydessä vakiintuneesti edellyttänyt erikseen säädettäväksi siitä, että pysyväisluonteiseen asumiseen käytettävään tilaan kohdistuvan tarkastuksen voi toimittaa vain viranomainen (ks. esim. PeVL 62/2010 vp, s. 6 ja PeVL 46/2001 vp, s. 4—5). Tiedonhallintalautakunnan tarkastustehtäviin ei liittyisi kotirauhan piiriin kohdistuvaa tarkastusta, vaan tarkastukset toimitettaisiin viranomaisen toimitiloissa. Selvyyden vuoksi lakiin ehdotetaan kuitenkin säädettäväksi, ettei tarkastusta voida suorittaa pysyväisluonteiseen asumiseen tarkoitetuissa tiloissa. Tiedonhallintalautakunnalle ei myöskään esitetä mahdollisuutta antaa tarkastustehtävää yksityiselle, vaan tarkastukset toimittaisi lautakunnan sihteeristöstä nimetty henkilö tai henkilöt, joita voisi avustaa Digi- ja väestötietoviraston virkamiehistö.

Edellä mainituilla perusteilla lakiehdotukset voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä.

Hallitus pitää kuitenkin suotavana, että perustuslakivaliokunta antaisi asiasta lausunnon.