Sisällysluettelo

Siirry

Laki julkisen hallinnon tiedonhallinnasta (voimassa 1.1.2020 alkaen) 9.8.2019/906

Eduskunnan päätöksen mukaisesti säädetään:

1 lukuYleiset säännökset

1 § Lain tarkoitus

1. mom.

Tämän lain tarkoituksena on:

1) varmistaa viranomaisten tietoaineistojen yhdenmukainen ja laadukas hallinta sekä tietoturvallinen käsittely julkisuusperiaatteen toteuttamiseksi;

2) mahdollistaa viranomaisten tietoaineistojen turvallinen ja tehokas hyödyntäminen, jotta viranomainen voi hoitaa tehtävänsä ja tarjota palvelunsa hallinnon asiakkaille hyvää hallintoa noudattaen tuloksellisesti ja laadukkaasti;

3) edistää tietojärjestelmien ja tietovarantojen yhteentoimivuutta.

2. mom.

Tällä lailla pannaan täytäntöön eräiltä osin julkisen sektorin hallussa olevien tietojen uudelleenkäytöstä annetun direktiivin 2003/98/EY muuttamisesta annettu Euroopan parlamentin ja neuvoston direktiivi 2013/37/EU.

2 § Määritelmät

1. mom.

Tässä laissa tarkoitetaan:

1) viranomaisella viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 4 §:n 1 momentissa tarkoitettuja viranomaisia;

2) tiedonhallintayksiköllä viranomaista, jonka tehtävänä on järjestää tiedonhallinta tämän lain vaatimusten mukaisesti;

3) tietojärjestelmällä tietojenkäsittelylaitteista, ohjelmistoista ja muusta tietojenkäsittelystä koostuvaa kokonaisjärjestelyä;

4) asiakirjalla viranomaisten toiminnan julkisuudesta annetun lain 5 §:n 2 momentissa tarkoitettua viranomaisen asiakirjaa;

5) tietoaineistolla asiakirjoista ja muista vastaavista tiedoista muodostuvaa tiettyyn viranomaisen tehtävään tai palveluun liittyvää tietokokonaisuutta;

6) tietovarannolla viranomaisen tehtävien hoidossa tai muussa toiminnassa käytettäviä tietoaineistoja sisältävää kokonaisuutta, jota käsitellään tietojärjestelmien avulla tai manuaalisesti;

7) yhteisellä tietovarannolla useiden toimijoiden käyttöön suunniteltua ja ylläpidettyä tietovarantoa, jonka tiedot ovat luovutettavissa ja hyödynnettävissä eri tarkoituksiin;

8) tietoturvallisuustoimenpiteillä tietoaineistojen saatavuuden, eheyden ja luottamuksellisuuden varmistamista hallinnollisilla, toiminnallisilla ja teknisillä toimenpiteillä;

9) tiedonhallinnalla viranomaisen tehtävien hoidossa tai sen muussa toiminnassa syntyviin tarpeisiin perustuvia toimia ja tietoturvallisuustoimenpiteitä viranomaisen tietoaineistojen, niiden käsittelyvaiheiden ja tietoaineistoihin sisältyvien tietojen hallinnoimiseksi riippumatta tietoaineistojen tallentamistavasta ja muista käsittelytavoista;

10) toimintaprosessilla viranomaisen asiankäsittely- tai palveluprosessia;

11) teknisellä rajapinnalla sähköisen tietojenvaihdon mahdollistavaa tiedonsiirtoratkaisua kahden tai useamman tietojärjestelmän välillä;

12) katseluyhteydellä tietojärjestelmään toteutettua tietoaineistojen katselun mahdollistavaa rajattua näkymää;

13) tietovarantojen  yhteentoimivuudella  tietojen  hyödyntämistä  ja  vaihtoa  eri  tietojärjestelmien välillä siten, että tietojen merkitys ja käytettävyys säilyvät;

14) koneluettavalla muodolla tiedostomuotoa, jonka rakenne mahdollistaa sen, että ohjelmistot pystyvät helposti yksilöimään, tunnistamaan ja poimimaan siitä tietoaineistoja, yksittäisiä tietoja sekä niiden rakenteita.

3 § Lain soveltamisala ja sen rajoitukset

1. mom.

Tätä lakia sovelletaan tiedonhallintaan ja tietojärjestelmien käyttöön, kun viranomaiset käsittelevät tietoaineistoja, jollei muualla laissa toisin säädetä. Mitä tässä laissa säädetään viranomaisesta, sovelletaan myös yliopistolaissa (588/2009) tarkoitettuihin yliopistoihin ja ammattikorkeakoululaissa (932/2014) tarkoitettuihin ammattikorkeakouluihin.

2. mom.

Asiankäsittelyssä ja palvelujen tuottamisessa noudatettavista menettelyistä, salassapidosta ja tiedonsaantioikeudesta viranomaisten asiakirjoihin sekä asiakirjojen arkistoinnista säädetään erikseen. Tiedonhallinnasta ja tietojärjestelmien käytöstä Suomen evankelis-luterilaisessa kirkossa säädetään kirkkolaissa (1054/1993).

3. mom.

Tämän lain 19, 20, 26 ja 27 §:ää ei sovelleta tuomioistuimien eikä valitusasioita käsittelemään perustettujen lautakuntien lainkäyttöön. Tämän lain 3 lukua ei sovelleta eduskunnan oikeusasiamiehen eikä valtioneuvoston oikeuskanslerin toimintaan, tuomioistuimien eikä valitusasioita käsittelemään perustettujen lautakuntien toimintaan, tasavallan presidentin kansliaan, eduskunnan virastoihin, Kansaneläkelaitokseen, Suomen Pankkiin, muihin itsenäisiin julkisoikeudellisiin laitoksiin, yliopistolaissa tarkoitettuihin yliopistoihin eikä ammattikorkeakoululaissa tarkoitettuihin ammattikorkeakouluihin. Tämän lain 3 lukua sovelletaan kuntiin ja kuntayhtymiin niiden hoitaessa laissa säädettyjä tehtäviä.

4. mom.

Tämän lain 4 lukua ja 22–27 §:ää sovelletaan yksityisiin henkilöihin tai yhteisöihin taikka muihin kuin viranomaisena toimiviin julkisoikeudellisiin yhteisöihin siltä osin kuin ne hoitavat julkista hallintotehtävää. Yksityisiin henkilöihin ja yhteisöihin sekä muihin kuin viranomaisena toimiviin julkisoikeudellisiin yhteisöihin sovelletaan lisäksi, mitä tämän lain 4 ja 28 §:ssä säädetään, niiden käyttäessä julkista valtaa viranomaisten toiminnan julkisuudesta annetun lain 4 §:n 2 momentissa tarkoitetulla tavalla tai kun mainittu laki on säädetty erikseen sovellettavaksi niiden toiminnassa.

5. mom.

Tätä lakia ei sovelleta Ahvenanmaan maakunnassa toimiviin maakunnan, valtion ja kunnallisiin viranomaisiin.

2 lukuTiedonhallinnan järjestäminen

4 § Tiedonhallinnan järjestäminen tiedonhallintayksikössä

1. mom.

Tässä laissa tarkoitettuja tiedonhallintayksikkojä ovat:

1) valtion virastot ja laitokset;

2) tuomioistuimet ja valitusasioita käsittelemään perustetut lautakunnat;

3) eduskunnan virastot;

4) valtion liikelaitokset;

5) kunnat;

6) kuntayhtymät;

7) itsenäiset julkisoikeudelliset laitokset;

8) yliopistolaissa tarkoitetut yliopistot sekä ammattikorkeakoululaissa tarkoitetut ammattikorkeakoulut.

2. mom.

Tiedonhallintayksikön johdon on huolehdittava siitä, että tiedonhallintayksikössä on:

1) määritelty tässä ja muussa laissa säädettyjen tiedonhallinnan toteuttamiseen liittyvien tehtävien vastuut;

2) ajantasaiset ohjeet tietoaineistojen käsittelystä, tietojärjestelmien käytöstä, tietojenkäsittelyoikeuksista, tiedonhallinnan vastuiden toteuttamisesta, tiedonsaantioikeuksien toteuttamisesta, tietoturvallisuustoimenpiteistä sekä poikkeusoloihin varautumisesta;

3) tarjolla koulutusta, jolla varmistetaan, että henkilöstöllä ja tiedonhallintayksikön lukuun toimivilla on riittävä tuntemus voimassa olevista tiedonhallintaa, tietojenkäsittelyä sekä asiakirjojen julkisuutta ja salassapitoa koskevista säädöksistä, määräyksistä ja tiedonhallintayksikön ohjeista;

4) asianmukaiset työvälineet tiedonhallintaa koskevien velvollisuuksien toteuttamiseksi;

5) järjestetty riittävä valvonta tiedonhallintaan liittyvien säädösten, määräysten ja ohjeiden noudattamisesta.

5 § Tiedonhallintamalli ja muutosvaikutuksen arviointi

1. mom.

Tiedonhallintayksikössä on ylläpidettävä sen toimintaympäristön tiedonhallintaa määrittelevää ja kuvaavaa tiedonhallintamallia. Tiedonhallintamallia ylläpidetään palvelujen, asiankäsittelyn ja tietoaineistojen hallinnan suunnittelemiseksi ja toteuttamiseksi, tiedonsaantia koskevien oikeuksien ja rajoitusten toteuttamiseksi, moninkertaisen tietojen keruun vähentämiseksi, tietojärjestelmien ja tietovarantojen yhteentoimivuuden toteuttamiseksi sekä tietoturvallisuuden ylläpitämiseksi.

2. mom.

Tiedonhallintamallin on sisällettävä vähintään tiedot:

1) toimintaprosesseja kuvaavista nimikkeistä, prosessista vastaavasta viranomaisesta, prosessin tarkoituksesta sekä prosessin sidoksista muihin prosesseihin;

2) tietovarantojen nimikkeistä, kuvaukset tietovarantojen sidoksista toimintaprosesseihin ja tietojärjestelmiin sekä luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679, jäljempänä tietosuoja-asetus, 30 artiklan 1 kohdassa tarkoitetun selosteen sisällöstä tai, jos selostetta ei tarvitse tietosuoja-asetuksen mukaan laatia, tietovarannosta vastaavasta viranomaisesta, tietovarannon käyttötarkoituksesta, keskeisistä tietoryhmistä tietoaineistoissa, tietojen luovutuskohteista ja tietojen säilytysajoista;

3) tietoaineiston arkistoon siirtämisestä, arkistointitavasta ja arkistopaikasta tai tuhoamisesta;

4) tietojärjestelmien nimikkeistä, tietojärjestelmästä vastaavasta viranomaisesta, tietojärjestelmän käyttötarkoituksesta, tietojärjestelmän liittymistä muihin tietojärjestelmiin ja liittymissä käytettävistä tiedonsiirtotavoista;

5) tietoturvallisuustoimenpiteistä.

3. mom.

Suunniteltaessa tiedonhallintamallin sisältöön vaikuttavia olennaisia hallinnollisia uudistuksia ja tietojärjestelmien käyttöönottoa tiedonhallintayksikössä on arvioitava näihin kohdistuvat muutokset ja niiden vaikutukset suhteessa tiedonhallinnan vastuisiin, 4 luvussa säädettyihin tietoturvallisuusvaatimuksiin ja -toimenpiteisiin, 5 luvussa säädettyihin tietoaineistojen muodostamista ja luovutustapaa koskeviin vaatimuksiin, 6 luvussa säädettyihin asianhallinnan ja palvelujen tiedonhallinnan vaatimuksiin sekä muualla laissa säädettyihin asiakirjojen julkisuuteen, salassapitoon, suojaan ja tiedonsaantioikeuksiin. Tiedonhallintayksikön on tiedonhallinnan muutosten arvioinnissaan otettava huomioon tietovarantojen yhteentoimivuus sekä niiden hyödynnettävyys tietoaineistoja muodostettaessa ja käytettäessä. Arvioinnin perusteella tiedonhallintayksikön on ryhdyttävä tarpeellisiin toimenpiteisiin tiedonhallintamallin muuttamiseksi ja muutosten toimeenpanemiseksi. Tietosuojaa koskevasta vaikutustenarvioinnista ja siihen liittyvästä ennakkokuulemisesta säädetään erikseen.

3 lukuJulkisen hallinnon tiedonhallinnan yleinen ohjaus

6 § Tietovarantojen yhteentoimivuuden yleinen ohjaus

1. mom.

Valtiovarainministeriön tehtävänä on julkisen hallinnon yhteisten tietovarantojen yhteentoimivuuden yleinen ohjaus. Tässä tarkoituksessa valtiovarainministeriö:

1) huolehtii julkisen hallinnon tiedonhallintakartan ylläpidosta;

2) ylläpitää julkisen hallinnon tiedonhallinnan kehittämisen yleisiä linjauksia yhteisten tietovarantojen ja tietojärjestelmien yhteentoimivuuden edistämiseksi.

2. mom.

Kunkin ministeriön on omalla toimialallaan huolehdittava julkisen hallinnon tiedonhallintakartan sisällön ajantasaisuudesta sekä ylläpidettävä yleisiä linjauksia yhteisten tietovarantojen ja tietojärjestelmien yhteentoimivuuden edistämiseksi. Valtioneuvoston asetuksella voidaan säätää tarkemmin julkisen hallinnon tiedonhallintakartan sisällöstä ja ylläpidon toteutuksesta.

7 § Julkisen hallinnon tiedonhallinnan sekä tieto- ja viestintäteknisten palvelujen tuottamisen yhteistyö 

1. mom.

Valtiovarainministeriön on huolehdittava, että julkisen hallinnon tiedonhallintaa sekä tieto- ja viestintäteknisten palvelujen tuottamista koskevan yhteistyön koordinointia varten on järjestetty valtion virastoissa ja laitoksissa toimivien viranomaisten sekä kuntien viranomaisten yhteistyötavat ja -menettelyt. Yhteistyön tarkoituksena on edistää tämän lain tarkoitusten toteuttamista sekä julkisen hallinnon toimintatapojen ja palvelujen tuotantotapojen kehittämistä tietovarantoja sekä tieto- ja viestintätekniikkaa hyödyntämällä. Yhteistyössä seurataan julkisen hallinnon tiedonhallinnan ja tieto- ja viestintäteknisten palvelujen kehittymistä, muutoksia ja vaikutuksia.

2. mom.

Valtioneuvosto voi asettaa 1 momentissa tarkoitettua yhteistyötä varten tarvittavia neuvottelukuntia tai muita yhteistyöelimiä.

8 § Tiedonhallinnan muutosten arviointi valtion virastoissa ja laitoksissa

1. mom.

Valtion virastojen ja laitosten on arvioitava tiedonhallintaan vaikuttavien muutosten taloudelliset vaikutukset tehdessään 5 §:n 3 momentin mukaista arviointia.

2. mom.

Toimialasta vastaavan ministeriön on laadittava 5 §:n 3 momentin mukainen arviointi, kun valmisteltavat säännökset vaikuttavat tietoaineistoihin ja tietojärjestelmiin. Lisäksi ministeriön on arvioitava suunniteltujen säännösten vaikutukset asiakirjojen julkisuuteen ja salassapitoon.

9 § Lausunto muutosten arvioinnista valtionhallinnossa

1. mom.

Valtion virastojen ja laitosten on toimitettava valtiovarainministeriölle 5 §:n 3 momentin ja 8 §:n 1 momentin perusteella tehty arviointi tietovarantojen ja tietojärjestelmien hyödyntämistä, yhteentoimivuutta ja tietoturvallisuutta koskevaa lausuntoa varten, kun arvioidulla muutoksella on merkittäviä taloudellisia tai toiminnallisia vaikutuksia tiedonhallintaan tai toimintaan taikka muutos koskee julkisen hallinnon yhteisten tietovarantojen rajapintojen tietorakenteiden olennaisia muutoksia. Valtiovarainministeriöllä on oikeus saada salassapitosäännösten estämättä välttämättömät tiedot valtion viranomaiselta lausunnon antamista varten.

2. mom.

Lausuntoa edellyttävistä tiedonhallinnan muutoksista, lausuntopyynnön sisällöstä ja lausuntoasiassa noudatettavasta menettelystä säädetään tarkemmin valtioneuvoston asetuksella.

10 § Julkisen hallinnon tiedonhallintalautakunta

1. mom.

Valtiovarainministeriön yhteydessä toimii julkisen hallinnon tiedonhallintalautakunta (tiedonhallintalautakunta), jonka tehtävänä on:

1) arvioida valtion virastojen ja laitosten sekä kuntien ja kuntayhtymien 4 §:n 2 momentin, 5, 19, 22–24 ja 28 §:n sekä 6 luvun säännösten toteuttamista ja noudattamista;

2) edistää tässä laissa säädettyjen tiedonhallinnan ja tietoturvallisuuden menettelytapojen ja tämän lain vaatimusten toteuttamista.

2. mom.

Valtioneuvosto nimittää tiedonhallintalautakunnan neljäksi vuodeksi kerrallaan. Tiedonhallintalautakunnassa on puheenjohtaja, varapuheenjohtaja sekä jäseniä, joilla on asiantuntemus julkisen hallinnon tietoturvallisuudesta, tietojärjestelmien ja tietovarantojen yhteentoimivuudesta, tilastoinnista tai tietoaineistojen tiedonhallinnasta. Tiedonhallintalautakunnan tarkemmasta kokoonpanosta, toiminnan järjestämisestä, päätöksentekomenettelystä ja jäsenten pätevyysvaatimuksista säädetään valtioneuvoston asetuksella.

3. mom.

Valtiovarainministeriö määrää virkamiehistään lautakunnan sivutoimiset sihteerit tehtäviinsä lautakunnan toimikaudeksi. Sihteerien tehtävistä säädetään tarkemmin valtioneuvoston asetuksella.

4. mom.

Lautakunnan jäseneen ja varajäseneen sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen hoitaessaan lautakunnalle säädettyjä tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974). Lautakunnan jäsenille ja varajäsenille maksetaan tehtävien hoitamisesta palkkio. Valtiovarainministeriö vahvistaa palkkioiden määrät.

5. mom.

Tiedonhallintalautakunta voi asettaa väliaikaisia jaostoja tiedonhallinnan menettelyjen kehittämiseksi. Jaostoihin voi kuulua tiedonhallintayksikköjen asiantuntijoita. Lautakunnan sihteerit toimivat jaostojen puheenjohtajina. Väestörekisterikeskuksen tehtävänä on tuottaa tiedonhallintalautakunnalle asiantuntijapalveluja tiedonhallinnan ja tietoturvallisuuden menettelyjen kehittämiseksi.

11 § Tiedonhallintalautakunnan arviointitehtävä

1. mom.

Tiedonhallintalautakunnan arviointitehtävän toteuttaminen perustuu tiedonhallintalautakunnan hyväksymään arviointisuunnitelmaan.

2. mom.

Tiedonhallintalautakunnalla on oikeus saada arviointitehtävän toteuttamiseksi arvioinnin kohteena olevilta viranomaisilta salassapitosäännösten estämättä maksutta arviointitehtävän hoitamiseksi välttämättömät selvitykset sekä tarpeelliset tiedot tiedonhallintamallista, tiedonhallinnan muutosten arvioinnista, 28 §:ssä tarkoitetusta kuvauksesta, käytettävistä asianhallinnan ja palvelujen tiedonhallinnan menettelyistä, asiakirjojen sähköiseen muotoon muuttamista koskevasta teknologiasta, katseluyhteyksien toteutuksesta ja teknisten rajapintojen kuvauksista, teknisten rajapintojen käytöstä ja hallinnoinnista sekä rajapintojen käytön menettelyistä lukuun ottamatta turvallisuusluokiteltavia asiakirjoja. Viranomaisen on toimitettava pyydetyt tiedot asetettuun määräaikaan mennessä tiedonhallintalautakunnalle.

3. mom.

Jos tiedonhallintalautakunta havaitsee 10 §:n 1 momentin 1 kohdassa tarkoitettujen arviointikohteena olevien säännösten noudattamisessa puutteita, voi lautakunta kiinnittää viranomaisen huomiota tiedonhallintaan liittyvien tämän lain mukaisten menettelyjen toteuttamiseen ja vaatimusten täyttämiseen.

4. mom.

Tiedonhallintalautakunnan on laadittava kertomus arvioinnin tuloksista joka toinen vuosi ja toimitettava se valtiovarainministeriölle.

4 lukuTietoturvallisuus

12 § Luotettavuutta edellyttävien tehtävien tunnistaminen ja luotettavuudesta varmistuminen

1. mom.

Tiedonhallintayksikön on tunnistettava ne tehtävät, joiden suorittaminen edellyttää sen palveluksessa olevilta tai sen lukuun toimivilta henkilöiltä erityistä luotettavuutta. Henkilöturvallisuusselvityksen laatimisen edellytyksistä säädetään turvallisuusselvityslaissa (726/2014). Työnantajan oikeudesta selvittää työntekijän luotettavuuden arvioimiseksi häntä koskevat luottotiedot ja käsitellä huumausainetestejä koskevia tietoja säädetään yksityisyyden suojasta työelämässä annetussa laissa (759/2004).

13 § Tietoaineistojen ja tietojärjestelmien tietoturvallisuus

1. mom.

Tiedonhallintayksikön on seurattava toimintaympäristönsä tietoturvallisuuden tilaa ja varmistettava tietoaineistojen ja tietojärjestelmien tietoturvallisuus koko niiden elinkaaren ajan. Tiedonhallintayksikön on selvitettävä olennaiset tietojenkäsittelyyn kohdistuvat riskit ja mitoitettava tietoturvallisuustoimenpiteet riskiarvioinnin mukaisesti.

2. mom.

Viranomaisen tehtävien hoitamisen kannalta olennaisten tietojärjestelmien vikasietoisuus ja toiminnallinen käytettävyys on varmistettava riittävällä testauksella säännöllisesti.

3. mom.

Viranomaisen on suunniteltava tietojärjestelmät, tietovarantojen tietorakenteet ja niihin liittyvä tietojenkäsittely siten, että asiakirjojen julkisuus voidaan vaivatta toteuttaa.

4. mom.

Viranomaisen on varmistettava hankinnoissaan, että hankittavaan tietojärjestelmään on toteutettu asianmukaiset tietoturvallisuustoimenpiteet.

5. mom.

Viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista säädetään erikseen.

14 § Tietojen siirtäminen tietoverkossa

1. mom.

Viranomaisen on toteutettava tietojensiirto yleisessä tietoverkossa salattua tai muuten suojattua tiedonsiirtoyhteyttä tai -tapaa käyttämällä, jos siirrettävät tiedot ovat salassa pidettäviä. Lisäksi tietojensiirto on järjestettävä siten, että vastaanottaja varmistetaan tai tunnistetaan riittävän tietoturvallisella tavalla ennen kuin vastaanottaja pääsee käsittelemään siirrettyjä salassa pidettäviä tietoja.

2. mom.

Käyttäjän tunnistamisesta yleisölle tarjottavissa digitaalisissa palveluissa säädetään digitaalisten palvelujen tarjoamisesta annetussa laissa (306/2019).

15 § Tietoaineistojen turvallisuuden varmistaminen

1. mom.

Viranomaisen on varmistettava tarpeellisin tietoturvallisuustoimenpitein, että sen:

1) tietoaineistojen muuttumattomuus on riittävästi varmistettu;

2) tietoaineistot on suojattu teknisiltä ja fyysisiltä vahingoilta;

3) tietoaineistojen alkuperäisyys, ajantasaisuus ja virheettömyys on varmistettu;

4) tietoaineistojen saatavuus ja käyttökelpoisuus on varmistettu;

5) tietoaineistojen saatavuutta rajoitetaan vain, jos tiedonsaantia tai käsittelyoikeuksia on laissa erikseen rajoitettu;

6) tietoaineistot voidaan tarvittavilta osin arkistoida.

2. mom.

Tietoaineistoja on käsiteltävä ja säilytettävä toimitiloissa, jotka ovat tietoaineiston luottamuksellisuuteen, eheyteen ja saatavuuteen liittyvien vaatimusten toteuttamiseksi riittävän turvallisia.

16 § Tietojärjestelmien käyttöoikeuksien hallinta

1. mom.

Tietojärjestelmästä vastuussa olevan viranomaisen on määriteltävä tietojärjestelmän käyttöoikeudet. Käyttöoikeudet on määriteltävä käyttäjän tehtäviin liittyvien käyttötarpeiden mukaan, ja ne on pidettävä ajantasaisina.

17 § Lokitietojen kerääminen

1. mom.

Viranomaisen on huolehdittava, että sen tietojärjestelmien käytöstä ja niistä tehtävistä tietojen luovutuksista kerätään tarpeelliset lokitiedot, jos tietojärjestelmän käyttö edellyttää tunnistautumista tai muuta kirjautumista. Lokitietojen käyttötarkoituksena on tietojärjestelmissä olevien tietojen käytön ja luovutuksen seuranta sekä tietojärjestelmän teknisten virheiden selvittäminen.

18 § Turvallisuusluokiteltavat asiakirjat valtionhallinnossa

1. mom.

Valtion virastoissa ja laitoksissa toimivien viranomaisten, tuomioistuimien ja valitusasioita käsittelemään perustettujen lautakuntien on turvallisuusluokiteltava asiakirjat ja tehtävä niihin turvallisuusluokkaa koskeva merkintä sen osoittamiseksi, minkälaisia tietoturvallisuustoimenpiteitä asiakirjaa käsiteltäessä noudatetaan. Turvallisuusluokkaa koskeva merkintä on tehtävä, jos asiakirja tai siihen sisältyvä tieto on salassa pidettävä viranomaisten toiminnan julkisuudesta annetun lain 24 §:n 1 momentin 2, 5 tai 7–11 kohdan perusteella ja asiakirjaan sisältyvän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa maanpuolustukselle, poikkeusoloihin varautumiselle, kansainvälisille suhteille, rikosten torjunnalle, yleiselle turvallisuudelle tai valtion- ja kansantalouden toimivuudelle taikka muulla niihin rinnastettavalla tavalla Suomen turvallisuudelle.

2. mom.

Turvallisuusluokkaa koskevaa merkintää ei saa käyttää muissa kuin 1 momentissa tarkoitetuissa tapauksissa, ellei merkinnän tekeminen ole tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi tai asiakirja muutoin liity kansainväliseen yhteistyöhön.

3. mom.

Kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa (588/2004) tarkoitettuihin asiakirjoihin on tehtävä turvallisuusluokituksesta merkintä siten kuin mainitussa laissa säädetään.

4. mom.

Turvallisuusluokittelusta, turvallisuusluokiteltaviin asiakirjoihin tehtävistä merkinnöistä ja turvallisuusluokiteltujen asiakirjojen käsittelyyn liittyvistä tietoturvallisuustoimenpiteistä säädetään tarkemmin valtioneuvoston asetuksella. Asiakirjoihin tehtävistä salassapitoa koskevista merkinnöistä säädetään viranomaisten toiminnan julkisuudesta annetun lain 25 §:ssä.

5 lukuTietoaineistojen muodostaminen ja sähköinen luovutustapa

19 § Tietoaineistojen sähköiseen muotoon muuttaminen ja saatavuus

1. mom.

Jos asiakirja saapuu viranomaiselle muussa kuin sähköisessä muodossa, on se muutettava sähköiseen muotoon, jos asiakirja on säädetty pysyvästi säilytettäväksi taikka lailla tai lain nojalla arkistoitavaksi. Viranomainen vastaa siitä, että sähköiseen muotoon muutetun asiakirjan luotettavuus ja eheys varmistetaan. Viranomaisen laatimat asiakirjat säilytetään sähköisesti. Sähköiseen muotoon muuttamisesta ja säilyttämisestä voidaan poiketa, jos se on välttämätöntä turvallisuusluokiteltavien asiakirjojen käsittelyä koskevien vaatimusten, muiden tietoturvallisuusvaatimusten tai muun asiakirjan luonteeseen liittyvän välttämättömän syyn vuoksi.

2. mom.

Ottaen huomioon, mitä tiedonsaannista ja henkilötietojen suojasta erikseen säädetään, viranomaisen on huolehdittava, että tietoaineisto on saatavilla ja hyödynnettävissä yleisesti käytettävässä koneluettavassa muodossa kuvailutietoineen, jos tietoaineisto voidaan saattaa alkuperäisestä muodosta suoraan koneluettavaan muotoon.

3. mom.

Viranomainen voi käyttää asiakirjojen sähköiseen muotoon muuttamisessa yksityistä toimijaa, jolla on riittävät tekniset edellytykset sekä riittävä osaaminen tällaisen tehtävän hoitamiseksi. Tätä tehtävää suorittavaan yksityiseen toimijaan sovelletaan rikosoikeudellista virkavastuuta. Vahingonkorvausvelvollisuudesta säädetään vahingonkorvauslaissa.

20 § Tietoaineistojen kerääminen viranomaisen tehtäviä varten

1. mom.

Viranomaisen on pyrittävä hyödyntämään toisen viranomaisen tietoaineistoja, jos viranomaisella on oikeus saada tarvittavat tiedot toiselta viranomaiselta teknisen rajapinnan tai katseluyhteyden avulla. Tietojen hyödyntämisessä on huolehdittava asianosaisen tai muun hallinnon asiakkaan oikeusturvasta.

2. mom.

Jos viranomaisella on oikeus saada toisen viranomaisen tietovarannosta tehtäviensä hoitamista varten tietoja luotettavasti ja ajantasaisesti teknisen rajapinnan tai katseluyhteyden avulla, se ei saa vaatia asiakastaan esittämään tai toimittamaan tällaista todistusta tai otetta, ellei se ole välttämätöntä asian selvittämiseksi.

21 § Tietoaineistojen säilytystarpeen määrittäminen

1. mom.

Jos tietoaineistojen tai asiakirjojen säilytysajasta ei ole säädetty laissa, säilytysaikoja määritettäessä on otettava huomioon:

1) tietoaineiston alkuperäisen käyttötarkoituksen mukainen tarpeellisuus viranomaisen toiminnassa;

2) luonnollisen henkilön tai oikeushenkilön etujen, oikeuksien, velvollisuuksien ja oikeusturvan toteuttaminen ja todentaminen;

3) sopimuksen tai muun yksityisoikeudellisen oikeustoimen oikeusvaikutus;

4) vahingonkorvausoikeudelliset vanhentumisajat; ja

5) rikosoikeudelliset vanhentumisajat.

2. mom.

Säilytysajan päättymisen jälkeen tietoaineistot on arkistoitava tai tuhottava viipymättä tietoturvallisella tavalla.

3. mom.

Säilytysaikojen määrittämisen vastuista, arkistoinnista ja arkistotoimen tehtävistä säädetään erikseen.

22 § Tietojen luovuttaminen teknisen rajapinnan avulla viranomaisten välillä

1. mom.

Viranomaisten on toteutettava säännöllisesti toistuva ja vakiosisältöinen sähköinen tietojen luovuttaminen tietojärjestelmien välillä teknisten rajapintojen avulla, jos vastaanottavalla viranomaisella on tietoihin laissa säädetty tiedonsaantioikeus. Säännöllisesti toistuva ja vakiosisältöinen tietojen sähköinen luovuttaminen voidaan toteuttaa muulla tavalla, jos teknisen rajapinnan toteuttaminen tai käyttö ei ole teknisesti tai taloudellisesti tarkoituksenmukaista. Viranomainen voi avata teknisen rajapinnan tiedonsaantiin oikeutetulle viranomaiselle myös muissa tilanteissa. Asiakirjojen ja tietojen antamisesta muulla tavalla säädetään erikseen.

2. mom.

Sen lisäksi, mitä 4 luvussa säädetään, tietojen luovuttaminen teknisten rajapintojen avulla on toteutettava tietojärjestelmien välillä siten, että teknisesti varmistetaan luovutettavien tietojen tapauskohtainen tarpeellisuus tai välttämättömyys tietoja saavan viranomaisen tehtävien hoitamiseksi, jos luovutettavat tiedot ovat henkilötietoja tai salassa pidettäviä tietoja.

3. mom.

Teknisen rajapinnan avulla luovutettavien tietojen tietorakenteen kuvauksen määrittelee ja sitä ylläpitää tiedot luovuttava viranomainen. Suunniteltaessa usean viranomaisen välistä tietojen luovuttamista teknisten rajapintojen avulla on tietorakenteen kuvaus määriteltävä ja ylläpidettävä toimialasta vastaavan ministeriön johdolla.

23 § Katseluyhteyden avaaminen viranomaiselle

1. mom.

Viranomainen voi avata katseluyhteyden toiselle viranomaiselle tietovarannon sellaisiin tietoihin, joihin katseluoikeuden saavalla viranomaisella on tiedonsaantioikeus. Sen lisäksi, mitä 4 luvussa säädetään, edellytyksenä katseluyhteyden avaamiselle on, että:

1) katselumahdollisuus on rajattu vain yksittäisiin hakuihin, jotka voivat kohdistua tiedonsaantioikeuden mukaisesti tarpeellisiin tai välttämättömiin tietoihin; sekä

2) tietojen hakemisen yhteydessä selvitetään tietojen käyttötarkoitus.

2. mom.

Viranomaisen on toteutettava katseluyhteys siten, että katseluyhteyden mahdollistava tietojärjestelmä tunnistaa automaattisesti poikkeavan tietojen hakemisen.

24 § Tietoaineistojen luovuttaminen teknisen rajapinnan avulla muille kuin viranomaisille

1. mom.

Viranomainen voi luovuttaa teknisten rajapintojen avulla tietoja muulle kuin toiselle viranomaiselle, jos tiedot saavalla toimijalla on erikseen laissa säädetty tiedonsaantioikeus ja oikeus käsitellä näitä tietoja. Tekninen rajapinta voidaan avata 22 §:ssä säädettyjen edellytysten täyttyessä siten kuin mainitussa pykälässä säädetään. Tiedot luovuttavan viranomaisen on tarvittaessa varmistettava, että tietoja saava toimija noudattaa tietojen käsittelyssä tässä laissa säädettyjä velvollisuuksia.

2. mom.

Tiedon antamisesta muussa sähköisessä muodossa ja yleisölle katseluyhteytenä toteutettuna tietopalveluna säädetään erikseen.

6 lukuAsianhallinta ja palvelujen tiedonhallinta

25 § Rekisteröinti asiarekisteriin

1. mom.

Tiedonhallintayksikön on ylläpidettävä viranomaisen käsittelyssä olevista ja olleista asioista asiarekisteriä, johon rekisteröidään asiaa, asiankäsittelyä ja asiakirjoja koskevat tiedot. Viranomaisen on rekisteröitävä viipymättä sille saapunut tai sen laatima asiakirja asiarekisteriin. Sen lisäksi, mitä 26 §:ssä säädetään, asiakirjan rekisteröinnistä on käytävä ilmi asiakirjan saapumisajankohta.

2. mom.

Tiedonhallintayksikön on huolehdittava siitä, että asiarekisterin tai sen osan julkisista merkinnöistä on mahdollista tuottaa tiedot tiedonsaantia koskevien pyyntöjen yksilöimiseksi.

26 § Asiarekisteriin rekisteröitävät tiedot

1. mom.

Tiedonhallintayksikön on muodostettava viranomaisen käsiteltäväksi otetun tai annetun asian yksilöivä asiatunnus, jonka avulla asiaan liittyvät tiedot yksilöidään.

2. mom.

Viranomaisen on rekisteröitävä asialle ainakin seuraavat yksilöintitiedot:

1) tiedonhallintayksikön yritys- ja yhteisötunnus;

2) viranomaisen yksilöivä tieto;

3) toimintaprosessin yksilöivä tieto;

4) asian vireilletuloajankohta.

3. mom.

Viranomaiselle saapuneesta asiakirjasta rekisteröidään ainakin:

1) asiakirjan yksilöivä tieto;

2) asiakirjan saapumistapa;

3) asiakirjan lähettäjä tai asiamies.

4. mom.

Viranomaisen laatimista asiakirjoista rekisteröidään ainakin:

1) asiakirjan yksilöivä tieto;

2) asiakirjan laatija;

3) laatimisajankohta.

5. mom.

Asiarekisteriin rekisteröidään lisäksi asiasta ainakin:

1) asian vireillepanija ja tarvittaessa muut asianosaiset;

2) asian käsittelyn tila;

3) viranomaisen toimenpiteet ja niissä käsitellyt asiakirjat käsittelyvaiheittain.

27 § Tietoaineistojen hallinta palveluja tuotettaessa

1. mom.

Tiedonhallintayksikön on järjestettävä muun kuin asiankäsittelyn yhteydessä muodostuvan tietoaineiston hallinta siten, että tietoaineistosta muodostettavat asiakirjat ovat haettavissa jollakin tietokokonaisuudet yksilöivällä tunnuksella, jotta tiedot voidaan antaa siihen oikeutetulle vaivattomasti. Viranomaisen on rekisteröitävä palveluja tuotettaessa muodostuvat asiakirjat ja muut tiedot viipymättä siten, että niiden muodostuminen palvelua tuotettaessa voidaan jälkikäteen todentaa.

28 § Kuvaus asiakirjajulkisuuden toteuttamiseksi

1. mom.

Tiedonhallintayksikön on julkisuusperiaatteen toteuttamista varten ylläpidettävä kuvausta sen hallinnoimista tietovarannoista ja asiarekisteristä. Kuvauksen on sisällettävä tiedot:

1) tietojärjestelmistä, jotka sisältävät asiarekisteriin kuuluvia tai palvelujen tiedonhallintaan kuuluvia tietoja;

2) asiarekisterin tai tietojärjestelmän sisältämien tietojen antamisesta päättävästä viranomaisesta ja sen yhteystiedoista tiedonsaantia koskevan pyynnön esittämiseksi;

3) tietojärjestelmien sisältämistä tietoaineistoista tietoryhmittäin;

4) hakutekijöistä, joilla asiakirjoja on mahdollista hakea teknisesti viranomaisen asiarekisteristä tai tietojärjestelmistä;

5) tietoaineistojen saatavuudesta avoimesti teknisen rajapinnan avulla.

2. mom.

Tiedonhallintayksikön on julkaistava 1 momentissa tarkoitettu kuvaus yleisessä tietoverkossa siltä osin kuin kuvauksen tiedot eivät ole salassa pidettäviä.

7 lukuErinäiset säännökset

29 § Voimaantulo

1. mom.

Tämä laki tulee voimaan 1 päivänä tammikuuta 2020.

2. mom.

Tällä lailla kumotaan julkisen hallinnon tietohallinnon ohjauksesta annettu laki (634/2011).

30 § Siirtymäsäännökset

1. mom.

Tiedonhallintayksikköjen on laadittava 5 §:n mukainen tiedonhallintamalli 12 kuukauden kuluessa tämän lain voimaantulosta.

2. mom.

Muiden  kuin  valtion  virastoissa  ja  laitoksissa  toimivien  viranomaisten on toteutettava 12–16 §:ssä säädetyt vaatimukset 36 kuukauden kuluessa tämän lain voimaantulosta.

3. mom.

Tämän lain 19 §:n 1 momenttia sovelletaan 24 kuukauden kuluttua tämän lain voimaantulosta viranomaiselle saapuviin ja viranomaisen laatimiin uusiin asiakirjoihin. Ennen lain voimaantuloa muodostuneita tietoaineistoja säilytetään siten kuin ne ovat muodostuneet ennen siirtymäajan päättymistä. Edellä 19 §:n 2 momentissa tarkoitettu tietoaineistojen saatavuus on toteutettava 24 kuukauden kuluessa tämän lain voimaantulosta. Tämän lain 20 §:ää sovelletaan 12 kuukauden kuluttua lain voimaantulosta.

4. mom.

Ministeriöiden on selvitettävä 12 kuukauden kuluessa tämän lain voimaantulosta 22 §:n 3 momentissa tarkoitetut rajapintojen määrittelyn ja ylläpidon hallinnointia edellyttävät tietojärjestelmät.

5. mom.

Tämän lain 17 ja 22–24 §:n säännöksiä sovelletaan lain voimaantulon jälkeen hankittaviin tietojärjestelmiin. Ennen tämän lain voimaantuloa hankittuihin tietojärjestelmiin sovelletaan 22–24 §:ssä säädettyjä tietojen sähköistä luovutustapaa koskevia vaatimuksia päivitettäessä tietojärjestelmien teknisiä rajapintoja tai katseluyhteyksiä, kuitenkin viimeistään 48 kuukauden kuluttua lain voimaantulosta, ja 17 §:ssä edellytettyjä lokitietojen keräämistä koskevia vaatimuksia 24 kuukauden kuluttua tämän lain voimaantulosta.

6. mom.

Asianhallinta ja palvelujen tiedonhallinta on järjestettävä 24 kuukauden kuluessa tämän lain voimaantulosta 26 ja 27 §:ssä säädettyjen vaatimusten mukaisesti. Tämän lain 28 §:ssä säädetyt kuvaukset on ajantasaistettava 12 kuukauden kuluessa lain voimaantulosta.

HE 284/2018, HaVM 38/2018, EV 320/2018, Euroopan parlamentin ja neuvoston direktiivi 2013/37/EU; EUVL L 175, 27.6.2013, s. 1