Kuva -

Tiedonhallintalaista on annettu hallituksen esitys

Hallitus on 5.12.2018 antanut eduskunnalle esityksen laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi. (HE 284/2018 vp)

Osa ehdotetuista säännöksistä koskisi myös työtapaturma- ja ammattitautivakuutusta. Näitä ovat lain 4 §, 4 luku, 22—25 § ja 28 §.  

Laki esitetään tulevaksi voimaan 1.9.2019. Laki sisältäisi siirtymäsäännöksiä.

Yleistä ehdotuksesta

Esityksessä ehdotetaan uutta lakia julkisen hallinnon tiedonhallinnasta. Laki olisi tiedonhallintaa koskeva yleislaki. Julkisen hallinnon tiedonhallinnasta ehdotetulla lailla pantaisiin kansallisesti täytäntöön eräiltä osin Euroopan parlamentin ja neuvoston direktiivi julkisen sektorin hallussa olevien tietojen uudelleenkäytöstä (ns.PSI-direktiivi).

Tiedonhallinnalla tarkoitettaisiin yleisesti tietojen käsittelyyn ja käyttöön sekä tiedon esittämiseen yleisellä tasolla liittyvää tapaa kerätä ja ylläpitää tietoja niiden laadun ja käytettävyyden varmistamiseksi.

Laki koskisi laajasti viranomaistoiminnassa tapahtuvaa tiedonhallintaa. Lailla varmistettaisiin viranomaisten tietoaineistojen yhdenmukainen hallinta ja tietoturvallinen käsittely julkisuusperiaatteen toteuttamiseksi. Lisäksi laissa säädettäisiin viranomaisten tietojärjestelmien välillä tapahtuvasta tietojen luovuttamisesta sähköisesti.

Sääntelyllä tehostettaisiin viranomaisten tiedonhallintaa, jotta viranomaiset voivat tarjota hallinnon asiakkaalle palveluitaan hyvää hallintoa noudattaen laadukkaasti ja hoitaa tehtävänsä tuloksellisesti. Lain tarkoituksena olisi edistää myös tietojärjestelmien ja tietovarantojen yhteentoimivuutta.

Ehdotettu laki korvaisi viranomaisten toiminnan julkisuudesta annetun lain hyvää tiedonhallintatapaa koskevat säännökset.

Ehdotettavassa laissa säädettäisiin julkisen hallinnon yleisistä velvoitteista tiedonhallinnassa ja tietojärjestelmien käytössä: mm. tiedonhallinnan suunnittelusta ja kuvaamisesta, tietoturvallisuudesta sekä asian tiedonhallinnasta.

TyTAL-toimeenpanoa koskevat keskeiset säännökset olisivat seuraavat:

Soveltamisala (3 § 4 mom. 2 virke)

Tiedonhallintalakia sovellettaisiin tietyiltä osin yksityisiin yhteisöihin, kun niiden toimintaan sovelletaan viranomaisten toiminnan julkisuudesta annettua lakia.

TyTAL 248 §:n mukaan viranomaisten toiminnan julkisuudesta annettua lakia (621/1999) sovelletaan vakuutusyhtiöihin ja Tapaturmavakuutuskeskukseen siltä osin kuin ne käyttävät julkisuuslain 4 §:n 2 momentissa tarkoitettua julkista valtaa, jollei tässä tai muussa laissa toisin säädetä.

Ehdotetun lain 4 §, 4 luku, 22—25 § ja 28 § tulisivat sovellettavaksi laissa ilmenevin rajoituksin lakisääteisiä vakuutuksia tarjoavien vakuutusyhtiöiden toiminnassa.

Tiedonhallinnan järjestäminen (4 §)

Työtapaturma- ja ammattitautivakuuttajan olisi huolehdittava siitä, että sen TyTA-toimeenpanossa on

  • Määritelty tiedonhallinnan toteuttamiseen liittyvien tehtävien vastuut.
  • Ajantasaiset ohjeet tietoaineistojen käsittelystä, tietojärjestelmien käytöstä, tietojenkäsittelyoikeuksista, tiedonhallinnan vastuiden toteuttamisesta, tiedonsaantioikeuksien toteuttamisesta, tietoturvallisuustoimenpiteistä sekä poikkeusoloihin varautumisesta.
  • Tarjolla koulutusta, jolla varmistetaan, että henkilöstöllä ja sen lukuun toimivilla on riittävä tuntemus voimassa olevista tiedonhallintaa, tietojenkäsittelyä sekä asiakirjojen julkisuutta ja salassapitoa koskevista säädöksistä, määräyksistä ja tiedonhallintayksikön ohjeista.
  • Asianmukaiset työvälineet tiedonhallintaa koskevien velvollisuuksien toteuttamiseksi.
  • Järjestetty riittävä valvonta tiedonhallintaan liittyvien säädösten, määräysten ja ohjeiden noudattamisesta.

Ehdotettu sääntely vastaa voimassa olevaa oikeutta. Ehdotettu säännös tulisi voimaan ilman siirtymäaikaa.

Tietoturvallisuus (4 luku)

Luotettavuutta edellyttävien tehtävien tunnistaminen ja luotettavuudesta varmistuminen (12 §)

  • Tulisi tunnistaa tehtävät, joissa olisi tarpeellista erikseen varmistaa henkilön luotettavuus.
  • Säännös ei loisi uusia velvollisuuksia tehdä henkilöarviointeja.

Tietoaineistojen ja tietojärjestelmien tietoturvallisuus (13 §)

  • Säännöllinen ja jatkuva riskimonitorointi.

Tietojen siirtäminen tietoverkossa (14 §)

  • Salassa pidettävien tietojen siirto tietoverkossa tulisi toteuttaa salattua tai muuta suojattua tiedonsiirtoyhteyttä tai -tapaa käyttäen.
  • Lisäksi vastaanottaja tulisi varmistaa tai tunnistaa riittävän tietoturvallisella tavalla ennen kuin vastaanottaja pääsee käsittelemään siirrettyjä salassa pidettäviä tietoja.
  • Säännös koskisi niin viranomaisten välistä tietojen siirtämistä kuin viranomaiselta luonnolliselle henkilölle tai yhteisölle tapahtuvaa tiedon siirtämistä.
  • Tietojen siirtämisellä tarkoitettaisiin myös sähköpostiviestintää.

Tietoaineistojen turvallisuuden varmistaminen (15 §)

Tietojärjestelmien käyttöoikeuksien hallinta (16 §)

Lokitietojen kerääminen tilanteissa, joissa tietojärjestelmän käyttö edellyttää kirjautumista tai muuta tunnistautumista (17 §)

  • Tietojärjestelmien käytöstä (käyttölokitiedot) ja tietojen luovutuksista (luovutuslokitiedot)

Ehdotuksen tietoturvallisuutta koskevat säännökset vastaavat pitkälti voimassa olevaa lainsäädäntöä. Ehdotettu säännös tietojen siirtämisestä tietoverkossa (14 §) sisältää kuitenkin uusia vaatimuksia suhteessa nykytilaan. Tämän säännöksen lopullista sisältöä ja velvoittavuutta seurataan lain käsittelyn edetessä. 

Tietojen luovuttaminen teknisen rajapinnan avulla viranomaisten välillä ja katseluyhteyden avaaminen viranomaiselle (22, 23 §)

  • Säännöllisesti toistuvan ja vakiosisältöisen tiedon luovuttaminen aina teknisen rajapinnan avulla.
    • Säännöllisyydellä tarkoitettaisiin päivittäin tai viikoittain tapahtuvaa luovutusta.
    • Vakiosisältöisellä tarkoitettaisiin sitä, että tietotarve voidaan vakioida eikä tietotarve vaihtele tai tietopyynnöt ole yksilöityjä.
  • Katseluyhteydellä tarkoitettaisiin esim. verkkosivulla olevaa palvelua, jonka kautta tietoja olisi nähtävillä ja haettavissa yksittäisinä hakuina käyttötarkoituksen mukaisesti.  

Tietoaineistojen luovuttaminen teknisen rajapinnan avulla muille kuin viranomaisille (24 §)

  • Tiedot saavalla toimijalla tulisi olla laissa säädetty tiedonsaantioikeus ja oikeus käsitellä luovutettavia henkilötietoja.
  • Tiedot saavan toimijan tulisi tarvittaessa antaa selvitys tietoturvallisuuden järjestämisestä tai raportti tietoturva-auditoinnista.

Rekisteröinti asiarekisteriin ja kuvaus asiakirjajulkisuuden toteuttamiseksi (25, 28 §)

  • Käsittelyssä olevista ja olleista asioista olisi ylläpidettävä asiarekisteriä, johon rekisteröidään asiaa, asiankäsittelyä ja asiakirjoja koskevat tiedot.
  • Saapunut tai laadittu asiakirja olisi rekisteröitävä viipymättä asiarekisteriin.
  • Asiarekisterin tai sen osan julkisista merkinnöistä olisi voitava tuottaa tiedot tiedonsaantia koskevien pyyntöjen yksilöimiseksi.
  • Asiarekisteri edistäisi julkisuusperiaatteen toteuttamista ja hyvään hallintoon kuuluvan asianmukaisen ja joutuisan asiankäsittelyn seuraamista ja todentamista. 

Asiarekisteriä koskeva säännös tulisi voimaan heti lain voimaantulosta 1.9.2019 ilman siirtymäaikaa. 

  • Julkisuusperiaatteen toteuttamista varten olisi ylläpidettävä kuvausta hallinnoiduista tietovarannoista ja asiarekisteristä.
    • Kuvauksesta tulisi ilmetä riittävät tiedot tietopyynnön tekemiseksi ja kuvauksen avulla jokaisen olisi mahdollista saada tietoa siitä missä laajuudessa ja miten viranomainen käsittelee tietoja asiankäsittelyn yhteydessä.

    • Kuvaukseen olisi sisällettävä seuraavat tiedot:
  1. tietojärjestelmistä, jotka sisältävät asiarekisteriin kuuluvia tietoja;
  2. asiarekisterin tai tietojärjestelmän sisältämien tietojen antamisesta päättävästä viranomaisesta ja sen yhteystiedoista tiedonsaantia koskevan pyynnön esittämiseksi;
  3. tietojärjestelmien sisältämistä tietoaineistoista tietoryhmittäin;
  4. hakuperusteista, joilla julkisia asiakirjoja tai muita tietoja voidaan hakea asiarekisteristä tai tietojärjestelmästä;
  5. tietoaineistojen saatavuudesta avoimesti teknisen rajapinnan avulla.
  • Kuvaus olisi julkaistava yleisessä tietoverkossa siltä osin kuin kuvauksen tiedot eivät ole salassa pidettäviä.

Asian tiedonhallintaa koskevaa sääntelyä on supistettu aiemmasta ehdotuksesta ja TyTA-toimeenpanoa koskisi vain vaatimus asiarekisterin ja sitä koskevan kuvauksen ylläpidosta. Tarkemmat säännökset rekisteröitävistä tiedoista ja tietoaineistojen hallinnasta eivät koskisi TyTA-toimeenpanoa.

Ehdotettava sääntely vastaisi pääosin nykytilaa.

Voimaantulo

Lakien on tarkoitus tulla voimaan 1 päivänä syyskuuta 2019.

Siirtymäaika

  • Tietoturvallisuusvaatimukset (4 luku 12 -  16 §:t) olisi toteutettava 36 kuukauden kuluessa lain voimaantulosta.
  • Lokitietojen keräämistä (17 §) sekä tietojen luovuttamista teknisen rajapinnan avulla sekä katseluyhteyden avaamista viranomaisille ja muille (22—24 §) koskevia säännöksiä sovellettaisiin lain voimaantulon jälkeen hankittaviin tietojärjestelmiin. Ennen tämän lain voimaantuloa hankittuihin tietojärjestelmiin sovellettaisiin 22—24 §:ssä säädettyjä tietojen sähköistä luovutustapaa koskevia vaatimuksia päivitettäessä tietojärjestelmien teknisiä rajapintoja tai katseluyhteyksiä, kuitenkin viimeistään 48 kuukauden kuluttua lain voimaantulosta, ja lokitietojen keräämistä koskevia vaatimuksia 24 kuukauden kuluttua lain voimaantulosta.
  • Kuvaus tietovarannoista ja asiarekisteristä (28 §) olisi oltava 12 kuukauden kuluessa lain voimaantulosta.

Lisätietoja: Elina Holmas, TVK, puhelin 0409 225541

14.12.2018

Työtapaturma- ja ammattitautivakuutus
Tietopalvelu ja julkaisut
Tapaturmavakuutuskeskus

Jaa

;