Usein kysytyt kysymykset tiedonhallintalaista

Olemme koonneet vastauksia yleisimpiin tiedonhallintalakia ja tiedonhallintalautakuntaa koskeviin kysymyksiin.

Tiedonhallintalaissa (3 § Lain soveltamisala ja sen rajoitukset) säädetään, että tiedonhallintalakia ei sovelleta Ahvenanmaan maakunnassa toimiviin maakunnan, valtion ja kunnallisiin viranomaisiin. Ahvenanmaan viranomaisten rajaaminen soveltamisalan ulkopuolelle 3 §:n 5 momentissa vastaa aiemmassa tietohallintolaissa (634/2011) tehtyä soveltamisalan rajausta.

I informationshanteringslagen (3 § Lagens tillämpningsområde och begränsningar i det) föreskrivs att lagen inte tillämpas på landskapsmyndigheterna eller de statliga eller kommunala myndigheterna i landskapet Åland. Avgränsningsbestämmelsen i 3 § 5 mom. motsvarar bestämmelserna om myndigheterna på Åland i den tidigare informationsförvaltningslagen (634/2011).


Tiedonhallintalaki on yleislaki ja sitä sovelletaan organisatorisen ja asiallisen soveltamisalan perusteella laajasti viranomaisten toimintaan ja viranomaisten asiakirjoihin, ellei muualla ole toisin säädetty. Lakia sovelletaan potilasasiakirjoja ja asiakasasiakirjoja käsitteleviin julkisuuslaissa (621/1999) tarkoitettuihin viranomaisiin tai niiden lukuun toimiviin, ellei potilasasiakirjan tai asiakasasiakirjan käsittelystä ole säädetty erityislaissa tosin. Sääntelyä ei ole rajattu tiettyihin asiakirjaryhmiin.

Terveydenhuollon puolella tiedonhallintalakia sovellettaessa on syytä kiinnittää huomiota siihen, että potilasasiakirjojen käsittelystä on olemassa huomattava määrä täsmällistä sääntelyä erityislainsäädännössä. Samoin on syytä kiinnittää huomiota pääsääntöisesti palvelujen tuottamisen yhteydessä muodostuviin potilasasiakirjoihin, joiden osalta sovellettavaksi tulevat ainoastaan palvelujen tiedonhallintaa koskevat vaatimukset sekä erityislainsäädännössä säädetyt vaatimukset tiedonhallintalaissa säädettyjen asianhallintaa koskevien säännösten sijaan.

Sosiaalihuollon asiakasasiakirjojen tilanne on palvelujen tuottamisen osalta potilasasiakirjoja vastaava, mutta sosiaalihuollossa on myös asiankäsittelyprosesseja enemmän. Sovellettavaksi tulevat siis sekä palveluiden tiedonhallintaa että asianhallintaa koskevat vaatimukset. Sosiaalihuollossa on asiakasasiakirjalain lisäksi otettava huomioon, mitä asianhallinnan metatietojen rekisteröinnistä on säädetty tiedonhallintalaissa. Asiakasasiakirjalakia sovelletaan kuitenkin ensisijaisesti sosiaalihuollossa.

Vakiintuneen oikeuskäytännön ja laillisuusvalvojien ratkaisukäytännönkin perusteella julkisuuslaki tulee toissijaisesti sovellettavaksi potilas-ja asiakasasiakirjojen käsittelyssä, jos viranomaisen asiakirjan määritelmä täyttyy. Vastaavalla tavalla soveltaminen tapahtuu tiedonhallintalain osalta.


Tiedonhallintalain soveltamisalasta on säädetty lain 3 §:ssä, jonka mukaisesti lakia sovelletaan yliopistoihin organisaatioina ja siten myös yliopistojen kirjastoihin. Yliopisto on tiedonhallintayksikkö ja kirjasto osa yliopistoa.

Yliopiston ja yliopiston kirjaston käsittelemät asiat vaikuttavat lain asiallisen soveltamisalan määräytymiseen: Tiedonhallintalaki tulee sovellettavaksi, kun kirjasto käsittelee julkisuuslain (621/1999) mukaisia viranomaisen asiakirjoja. Kun kirjasto käsittelee muuta aineistoa ja asiakirjoja, ei tiedonhallintalaki tule sovellettavaksi. Esimerkiksi kirjaston asiakastietojärjestelmässä olevat tiedot ovat yliopiston hallussa olevia tallenteita ja niiden käsittelyyn sovelletaan tiedonhallintalakia.


Tiedonhallintalain 3 §:n mukaisesti tiedonhallintalakia sovelletaan kunnallisiin viranomaisiin ja kuntaan. Tiedonhallintalaissa viranomaisella tarkoitetaan kunnallista viranomaista, joita ovat valtuusto, kunnanhallitus sekä muut kunnalliset toimielimet, kuten lautakunnat.


Tiedonhallintalakia sovelletaan myös yksityisoikeudellisiin organisaatioihin, kuten kunnallisiin osakeyhtiöihin silloin, kun ne hoitavat julkisia hallintotehtäviä. Tällöin sovellettavaksi tulevat tiedonhallintalain 4 luvun tietoturvallisuussäännökset sekä 22-27 §:n rajapintojen ja katseluyhteyksien käytöstä sekä asian ja palvelujen tiedonhallinnan toteuttamisesta. Jos kunnan omistamaan osakeyhtiöön sovelletaan julkisuuslakia muussa laissa erikseen säädetyn perusteella, tulee tiedonhallintalaista sovellettavaksi myös 4 § ja 28 §.


Kunnan omistama osakeyhtiö joutuu soveltamaan tiedonhallintalakia myös tilanteissa, joissa se toimii kunnan viranomaisen lukuun palveluja tuotettaessa, koska kunnan on huolehdittava, että sille säädetyt velvoitteet toteutetaan myös sen palvelujen tuottamisessa. Se, sovelletaanko tiedonhallintalakia kunnan omistaman yrityksen toimintaan, ratkaistaan yhtiön tehtävien kautta. Pelkkä kunnan omistus ei ole peruste tiedonhallintalain soveltamiselle, vaan se ratkaisee, mitä yhtiö tekee ja missä roolissa.

 


Ammatillisesta koulutuksesta annetun lain (531/2017) 108 §:n mukaan julkisuuslaki tulee sovellettavaksi laissa tarkoitettuun toimintaan. Siten myös tiedonhallintalaki tulee sovellettavaksi tiedonhallintalain 3.4 §:n perusteella, jolloin tiedonhallintalaista tulee ammatillisen koulutuksen yhteydessä sovellettavaksi 4 §, 4 luku 22-28 §:t.


Valtion liikelaitokset eivät ole valtion virastoja tai laitoksia, joten niitä ei koske tiedonhallinnan muutosten arvioinnin lausuntomenettely. Muuten tiedonhallintalaki tulee kyllä sovellettavaksi ja muutosvaikutusarviointi on tehtävä laissa tarkoitetuissa tilanteissa.


Tietosuojavastaavan valvontatehtävästä on säädetty tietosuoja-asetuksen (EU) 2016/679 39 (1) artiklan b alakohdassa ja rikosasioiden tietosuojalain (1054/2018) 40.1 §:n 2 kohdassa. Tietosuojavastaavat valvovat suoraan näissä säädöksissä säädetyn nojalla myös tiedonhallintalaissa säädettyjen vaatimusten toteuttamista, siltä osin kuin käsittelyn kohteena ovat henkilötiedot.


Valtion talousarvioasetuksessa (1243/1992) säädetään sisäisestä valvonnasta, johon sääntelyyn sisältyy myös ja sisäisen tarkastuksen tehtävät niissä organisaatioissa, joita asetus koskee. Tiedonhallintalain soveltamisalan piirissä olevien organisaatioiden joukko on tätä huomattavasti laajempi. Tiedonhallintalain soveltamisalan piiriin kuuluvia itsenäisiä julkisoikeudellisia laitoksia, yliopistoja, ammattikorkeakouluja, kuntia tai kuntayhtymiä koskevia sisäisen tarkastuksen tehtäviä määrittäviä säännöksiä ei ole olemassa. 


Sisäisen tarkastuksen rooliin voi esimerkiksi kuulua tarkastuksin varmistaa, että sisäisen valvonnan kontrollit toimivat. Sisäinen tarkastus toimii organisaation johdon toimeksiantojen pohjalta ja tuottaa tietoa johdolle sen järjestämän sisäisen valvonnan toimivuudesta, jonka perusteella johto voi käytännössä arvioida valvonnan tehokkuutta sekä toteuttaa omalta osaltaan valvontavastuutaan. Vastaavalla tavalla tietosuojavastaavat raportoivat tiedonhallintayksikössä tekemistään valvontamenettelyihin liittyvistä havainnoista.

 


Tiedonhallintakartan sisältöä ja ylläpitomenettelyä on määritelty valtiovarainministeriön asettamassa julkisen hallinnon tietovarantojen yleisen ohjauksen valmisteluryhmässä. Karttaan liittyvän valmistelun tuotokset ovat valmiita kevään 2020 aikana ja niiden käyttöönotto suunnitellaan edellä mainitussa valmisteluryhmässä.


Tiedonhallintamallin sisältö on säädetty tiedonhallintalaissa. Tiedonhallintamallille ei ole määriteltävissä yhteisiä periaatteita, vaan se on kuvaus kunkin tiedonhallintayksikön nykytilasta. Tiedonhallintalautakunta on antanut tiedonhallintamalliin liittyvän suosituksen: Suositus tiedonhallintamallista, Valtiovarainministeriön julkaisuja 2020:29, http://urn.fi/URN:ISBN:978-952-367-328-1.

 


Tiedonhallintalaissa ei ole säädetty tietojärjestelmäsalkun kuvaamisesta. Tietokone ja matkapuhelin ovat päätelaitteita, joilla muun muassa voidaan käyttää tietojärjestelmää. Päätelaitteiden kuvaamisesta ei tiedonhallintalaissa ole säädetty mitään.


Tiedonhallintalautakunnan turvallisuusluokiteltavien asiakirjojen jaosto huhtikuussa 2020 aloittanut turvallisuusluokittelua koskevien suositusten valmistelun. Tähän liittyen jaosto valmistelee suosituksia myös turvallisuusluokiteltujen asiakirjojen käsittelystä (luovuttaminen ja vastaanotto) turvallisuusluokitusasetuksen velvoitteiden ulkopuolisten tahojen kanssa.


Tiedonhallintalautakunta ei arvioi tietoturvallisuustoimenpiteiden toteutumista tiedonhallintayksiköissä. Lautakunnalle ei siis tule ilmoittaa havaittuja puutteita tietoturvallisuusmenettelyissä. Tietosuojavaltuutettu on toimivaltainen viranomainen valvomaan ja arvioimaan henkilötietojen käsittelyä koskevien tietoturvallisuustoimenpiteiden riittävyyttä.


Tiedonhallintalautakunta on antanut aiheeseen liittyen suosituksen: Suositus turvallisuusluokiteltavien asiakirjojen käsittelystä, Valtiovarainministeriön julkaisuja 2020:19, http://urn.fi/URN:ISBN:978-952-367-292-5,  ruotsiksi Rekommendation om behandling av säkerhetsklassificerade handlingar, Finansministeriets publikationer 2020:34, http://urn.fi/URN:ISBN:978-952-367-293-2. Suositus sisältää ohjeet turvallisuusluokan merkitsemisestä. 


Asiakirjojen salassapitomerkinnät, myös harkinnanvaraisesti annettava merkintä, kuuluvat julkisuuslain (621/1999) soveltamisen piiriin. Oikeusministeriö antaa tarkempaa ohjausta ja ohjeistusta asiasta. 


Tiedonhallintalautakunta voi antaa informaatio-ohjausta ainoastaan turvallisuusluokittelumerkinnöistä.


Tiedonhallintalaissa on otettu huomioon tietosuoja-asetuksen (EU) 2016/679 terminologia sekä perustuslakivaliokunnan vakiintunut lausuntokäytäntö pysyvästä säilyttämisestä. Arkistolaki (831/1994) on säädöksenä vanha eikä vastaa myöhemmin kehittynyttä ja tietosuoja-asetuksessakin omaksuttua terminologiaa. Uuden lainsäädännön laatimisessa on otettava huomioon kehittynyt muu sääntely ja siinä omaksuttu terminologia eikä vanhentunutta ja ilmeisen ristiriitaista terminologiaa.


Arkistolain (831/1994) 8 §:ssä on säädetty Kansallisarkiston toimivallasta päättää määräämällä, mitkä asiakirjat tai asiakirjoihin sisältyvät tiedot säilytetään pysyvästi. Säännös ei sisällä tiedon arkistointimuotoon liittyvää toimivaltaa. 


Arkistolain 11 §:n mukaan pysyvään säilytykseen määrätyt asiakirjat on laadittava ja tiedot tallennettava pitkäaikaista säilytystä kestäviä materiaaleja ja säilyvyyden turvaavia menetelmiä käyttäen siten kuin arkistolaitos erikseen määrää. Kansallisarkistolla on toimivalta antaa määräyksiä tältä osin arkistoitavien asiakirjojen sähköisen muodon muuttamista koskevista menetelmistä. Kansallisarkisto on myös antanut ohjausta asiakirjojen muuttamisesta sähköiseen muotoon.


Tiedonhallintalaissa ei ole säädetty tästä asiasta.


Tiedonhallintalain 19 §:n mukaisesti siirtymäajan jälkeen viranomaisen laatimat asiakirjat säilytetään sähköisesti säilytysajasta riippumatta. 


SÄHKE2-määräys ei koske ammattikorkeakouluja. SÄHKE2-määräys on osittain sisällöllisesti vanhentunut muun muassa määräyksenantovaltuuksia koskevien säännösmuutosten vuoksi.

 


Tiedonohjaussuunnitelman (TOS) sisällöstä ei ole säädetty laissa. Vuoden 2019 loppuun asti tiedonohjaussuunnitelmat perustuivat Julkisen hallinnon tietohallinnon neuvottelukunnan hyväksymään suositukseen JHS 191 Tiedonohjaussuunnitelman rakenne. Julkisen hallinnon suositusjärjestelmä JHS lakkautettiin Julkisen hallinnon tietohallinnon neuvottelukunnan toimikauden päättyessä 31.12.2019.

 
Tiedonohjaussuunnitelma on asianhallintajärjestelmään sisällytettävä prosessiohjauksen kuvaus tai määritys, jota voidaan edelleen käyttää ja hyödyntää, vaikka siihen liittyvä suositus ei enää olekaan suosituksena voimassa. Jos käytössänne on asianhallintajärjestelmä, jonka toiminta riippuu tiedonohjaussuunnitelmasta, on TOS edelleen laadittava ja ylläpidettävä toiminnan mahdollistamiseksi. Lainsäädännössä tällaista ei kuitenkaan edellytetä.

 


Tiedonhallintalaissa ei ole säädetty teknisistä yksityiskohdista tai niistä poikkeuksista, joita voidaan tehdä koneluettavaan muotoon saattamisessa. Toimivaltainen viranomainen antamaan asiassa ohjausta tarvittaessa on tiedonhallintalautakunta.


Asianhallinnasta ja sen perusmetatietovaatimuksista on säädetty tiedonhallintalaissa. Tiedonhallintalautakunnan tehtäviin kuuluu tiedonhallintalaissa säädettyjen asianhallintaan ja palvelujen tiedonhallintaan liittyvien vaatimusten ja menettelyjen edistäminen, mukaan luettuna informaatio-ohjaus, sekä osana arviointitehtävää asianhallintaa ja palvelujen tiedonhallintaa koskevien säännösten noudattamisen valvonta.


Asiakirjojen rekisteröintiä koskeva tiedonhallintalain 25 §:n 1. momentin säännös ei ole itsenäinen, vaan sillä on kiinteä sidoksensa hallintolaissa (434/2003) säädettyihin menettelyihin sekä määräaikalaissa (150/1930) säädettyihin määräaikojen laskemiseen. 


Tiedonhallintalautakunnalla ei ole toimivaltaa ohjata hallintomenettelyyn tai lainkäyttöön liittyviä menettelyjä, esimerkiksi määräaikojen laskemiseksi.

 


Tiedonhallintalaissa on säädetty asiarekisteristä, jolla ei tarkoiteta pelkästään asianhallintajärjestelmässä olevia asioiden, asiankäsittelyjen ja asiakirjojen tiedonhallinnan tietoja (metatiedot). Asiarekisteriin voi sisältyä asianhallintajärjestelmässä olevien tietojen lisäksi myös operatiivisissa järjestelmissä hallinnoitavana olevat asioihin, asiankäsittelyihin ja asiakirjoihin sisältyvät tiedot. Asiarekisteri muodostaa siten loogisen kokonaisuuden tiedonhallintayksikössä eikä se siten ole tiettyyn järjestelmään sidottu. Tästä syystä tiedonhallintayksiköissä on oltava tiedot siitä, missä järjestelmissä asiarekisteriin kuuluvia tietoja hallinnoidaan.

Operatiivisissa järjestelmissä voi olla ja monesti myös on hallinnoitavana sekä asiankäsittelyyn liittyviä tietoja että palvelujen tuottamisen yhteydessä muodostuvia tietoja. Järjestelmät on toteutettava siten, että laissa säädetyt asioihin, asiakirjoihin ja asiankäsittelyihin liittyvät tiedot on rekisteröitävä sen mukaisesti, miten tiedonhallintayksikkö on määritellyt kunkin toimintaprosessin: onko kysymys varsinaisesta asiankäsittelystä vai muodostuvatko tietoaineistot palvelujen tuottamisen yhteydessä.

Tiedonhallintalaissa ei säädetä asiarekisterin arkkitehtuurista eli siitä, miten se tulisi toteuttaa kussakin tiedonhallintayksikössä. Jossakin tiedonhallintayksikössä asiarekisteriin sisältyvät tiedot voi olla keskitetty asianhallintajärjestelmään, kun taas jossakin toisessa tiedonhallintayksikössä asiarekisterin tietosisältö on ainakin osittain hajautettu operatiivisiin järjestelmiin.


Kuntien tehtävien järjestämisestä ja palvelujen tuottamisesta on säädetty kuntalaissa (410/2015). Kunnat voivat tehdä yhteistyötä kuntalaissa säädetyllä tavalla. Valtion viranomaisissa palvelujen tuottajien asemasta on säädetty tyypillisesti laissa tai lain nojalla asetuksessa. Tiedonhallintalaki ei muuttanut näitä erityislainsäädäntöön perustuvia järjestelyjä, joissa on säädetty muun muassa palvelujen tuottamisen vastuista.


Tiedonhallintalain hallituksen esityksen (HE 284/2018 vp) perusteluissa on selvitetty kansallisen liikkumavaran käyttö suhteessa tietosuoja-asetukseen. Tiedonhallintalakia sovelletaan myös henkilötietojen käsittelyyn silloin, kun käsittelykohteena on viranomaisen asiakirja tai sitä vastaava muu tieto. Henkilötietojen suojaan liittyy erityisesti lain 4.2 §, 5.2 §, 4 luku sekä 20-24 §:t.


Valtion virastoissa ja laitoksissa toimivien viranomaisten, tuomioistuimien ja valitusasioita käsittelemään perustettujen lautakuntien on turvallisuusluokiteltava asiakirjat ja tehtävä niihin turvallisuusluokkaa koskeva merkintä sen osoittamiseksi, minkälaisia tietoturvallisuustoimenpiteitä asiakirjaa käsiteltäessä noudatetaan. Turvallisuusluokkaa koskeva merkintä on tehtävä,
 
1) jos asiakirja tai siihen sisältyvä tieto on salassa pidettävä viranomaisten toiminnan julkisuudesta annetun lain 24 §:n 1 momentin 2, 5 tai 7–11 kohdan perusteella ja 
 
2) asiakirjaan sisältyvän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa maanpuolustukselle, poikkeusoloihin varautumiselle, kansainvälisille suhteille, rikosten torjunnalle, yleiselle turvallisuudelle tai valtion- ja kansantalouden toimivuudelle taikka muulla niihin rinnastettavalla tavalla Suomen turvallisuudelle.
 
Jos vain 1 kohta täyttyy, on asiakirja salassa pidettävä. Tämän merkinnän tekemisestä säädetään julkisuuslain 25 §:ssä https://www.finlex.fi/fi/laki/ajantasa/1999/19990621#L6P25.
 
Esimerkki:
Onko perusteita turvallisuusluokitella valtion ICT-ympäristökuvauksia? Ympäristökuvauksilla tarkoitetaan tässä tapauksessa esim. ICT-palvelutuottajan palvelutuotantoon käyttämää konfigurointitietoa ja järjestelmätietoa, joka voi aiheuttaa merkittävää vaaraa asiakkaille joutuessaan oikeudettomasti muiden käsiin.
 
Vastaus:
Ensin pitää arvioida, onko kuvaus sisällöltään salassa pidettävää esimerkiksi julkisuuslain 24.1 §:n 7 kohdan perusteella ottaen huomioon vahinkoedellytyslauseke ” jollei ole ilmeistä, että tiedon antaminen niistä ei vaaranna turvajärjestelyjen tarkoituksen toteutumista”. Tämän jälkeen on arvioitava peruste turvallisuusluokittelulle suhteessa sen vahinkoedellytyslausekkeeseen ”asiakirjaan sisältyvän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa maanpuolustukselle, poikkeusoloihin varautumiselle, kansainvälisille suhteille, rikosten torjunnalle, yleiselle turvallisuudelle tai valtion- ja kansantalouden toimivuudelle taikka muulla niihin rinnastettavalla tavalla Suomen turvallisuudelle.”

Lisätietoja:

Tomi Voutilainen, neuvotteleva virkamies 
valtiovarainministeriö, Julkisen hallinnon tieto- ja viestintätekninen osasto / Julk ICT, Tietopolitiikka 0295530453