TIEDONHALLINTALAKI

Tiedonhallintalaki astui voimaan 1.1.2020. Toiminnan digitalisointi, tietoturvallisuus ja tiedon jakaminen korostuvat uudessa tiedonhallintalaissa. Tiedonhallintaa koskeva lainsäädäntö on ollut aiemmin hajallaan useassa laissa ja osittain vanhentunutta. Tarvittiin siis yhtenäiset tiedonhallinnan menettelyt toiminnan tehostamiseen ja asiakaspalvelun parantamiseen. Tähän tarpeeseen säädettiin tiedonhallintalaki, joka määrittelee valtakunnalliset periaatteet tietojen käsittelyyn ja tiedonhallinnan kuvaamiseen.

Tavoitteena on, että julkiset palvelut ja toiminta on mahdollista toteuttaa entistä laadukkaammin, tuloksellisemmin ja tehokkaammin laadukkaan tiedonhallinnan tukemana sekä edistää tietosuojaa, tietoturvallisuutta ja tietoaineistojen vastuullista hyödyntämistä ja julkisuusperiaatteen toteutumista sekä edistää tietojärjestelmien ja tietovarantojen yhteen toimivuutta.

Tiedonhallintalain soveltamisalasta on säädetty lain 3 §:ssä, jonka mukaisesti tiedonhallintalakia sovelletaan kunnallisiin viranomaisiin ja kuntaan. Tiedonhallintalaissa viranomaisella tarkoitetaan mm. kunnallista viranomaista, joita ovat valtuusto, kunnanhallitus sekä muut kunnalliset toimielimet, kuten lautakunnat. Tiedonhallintalakia sovelletaan myös yksityisoikeudellisiin organisaatioihin, kuten kunnallisiin osakeyhtiöihin silloin, kun ne hoitavat julkisia hallintotehtäviä. Tiedonhallintalaki koskee tiettyjen vaatimusten osalta myös yksityisiä henkilöitä ja yhteisöjä, silloin kun ne toimivat viranomaisen toimeksiannosta tai lukuun tai jos niiden toimintaan muuten sovelletaan julkisuuslakia.

Kunnan omistama osakeyhtiö joutuu soveltamaan tiedonhallintalakia myös tilanteissa, joissa se toimii kunnan viranomaisen lukuun palveluja tuotettaessa, koska kunnan on huolehdittava, että sille säädetyt velvoitteet toteutetaan myös sen palvelujen tuottamisessa. Se, sovelletaanko tiedonhallintalakia kunnan omistaman yrityksen toimintaan, ratkaistaan yhtiön tehtävien kautta. Pelkkä kunnan omistus ei ole peruste tiedonhallintalain soveltamiselle, vaan se ratkaisee, mitä yhtiö tekee ja missä roolissa.

Kunnossa olevalla tietoturvallisuudella turvataan tietovarannoissa olevien tietojen lainmukainen ja asiallinen käsittely, suojataan asiakkaiden tietoja, mahdollistetaan tietojen saatavuus hyväksyttäviin käyttötarkoituksiin sekä turvataan viranomaisten edellytykset hoitaa lakisääteiset tehtävänsä.

Tietojärjestelmien kehittämistä ei pitäisi nähdä pelkkinä tietotekniikkahankkeina, vaan osana toiminnan ja palvelujen kehittämistä. Siksi uuden lain hengessä on vahva korostus tietojohtamiseen ja laajempaan näkökulmaan kehittämistyössä. Toimintaprosessien ja tiedonhallinnan kokonaisvaltaisen suunnittelun pitäisi olla osa viranomaisen toiminnan suunnittelua ja johtamista osana palvelujen kehittämistä.

Kokonaisarkkitehtuurisuosituksista tiedonhallintamallivelvoitteeseen

Tiedonhallintalaki ei enää suosittele organisaatioita kuvaamaan kokonaisarkkitehtuuria vaan se vaatii tiedonhallintayksiköitä, eli lain piirissä olevia julkishallinnon organisaatioita, joita ovat mm. kunnat, kuntayhtymät ja valtion virastot ja laitokset, toteuttamaan tietyt tiedonhallinnan kuvaukset tiedonhallintamallin muodossa. Tiedonhallintayksikön tehtäviin kuuluu muun muassa suunnitella miten lain vaatimukset toteutetaan, laatia tiedonhallinnan kokonaisuuteen liittyvät ohjeet ja järjestää tarvittavaa koulutusta sekä valvoa lain vaatimusten toteutumista ja ohjeiden noudattamista. Tiedonhallintayksikkö hahmottaa alkuun tiedonhallinnan kokonaiskuvan ja arvioi miltä osin nykytila vastaa näihin vaatimuksiin. Nykytilanarviossa tiedonhallintayksikkö tunnistaa, mistä kaikesta tiedonhallinta koostuu, mitä tietoja sillä on ja kuka niitä käsittelee.

Tiedonhallintalaki asettaa julkishallinnolle mm. tarkennettuja ja täsmennettyjä suunnittelu-, kuvaus- ja tietoturvavelvoitteita. Tiedonhallintayksiköiden on siirtymäajan jälkeen kyettävä tuottamaan julkaisukelpoisia arkkitehtuurikuvauksia ja arvioimaan muutosten vaikutuksia tiedonhallinnan kokonaisuuteen. Näistä jälkimmäinen voidaan toteuttaa tietotilinpäätöksen avulla.

Mitä tiedonhallintalaki tarkoittaa käytännössä julkishallinnon toimijoille? 

1.     Suunnittelu- ja kuvausvelvoitteet täsmentyvät ja tarkentuvat:

Tiedonhallintalaki korvaa kokonaisarkkitehtuurikuvauksia velvoittavan nykyisen lainsäädännön (tietohallintolaki), minkä seurauksena yleinen julkishallintoa koskeva kokonaisarkkitehtuurikuvausten velvoite kumoutuu. Termistä kokonaisarkkitehtuuri on luovuttu, mutta itse kokonaisarkkitehtuurin periaatteet ovat edelleen määriteltynä. Kuvaamisvelvoitteet ovat uudessa laissa konkreettisemmat.

Näiden kuvausten kuvausvastuu tulee kullekin tiedonhallintayksikölle. Velvoitteena on myös, että tietohallinnolle on tarjottava asianmukaiset työvälineet laissa määriteltyjen kuvausten laadintaan ja työvälineiden hankinnassa tulee huomioida se, että kuvaukset on pystyttävä julkaisemaan ja olemassa olevat kuvaukset on koottava yhtenäiseksi kokonaisuudeksi.

Laki edellyttää kuvaamaan seuraavat osa-alueet:

1) Toimintaprosessit

2) Tietovarannot

3) Tietoaineiston arkistointi

4) Tietojärjestelmät

5) Tietoturvallisuustoimenpiteet

Tiedonhallintamalli kuvaa esimerkiksi eri prosessit ja sidokset muihin prosesseihin, tietojärjestelmät ja tietovarannot sekä millä tavoin tietoturvallisuus on toteutettu.

Suunniteltaessa tiedonhallintamallin sisältöön vaikuttavia olennaisia hallinnollisia uudistuksia ja tietojärjestelmien käyttöönottoa tiedonhallintayksikössä on arvioitava näihin kohdistuvat muutokset ja niiden vaikutukset suhteessa tiedonhallinnan vastuisiin,

4 luvussa säädettyihin tietoturvallisuusvaatimuksiin ja -toimenpiteisiin;

5 luvussa säädettyihin tietoaineistojen muodostamista ja luovutustapaa koskeviin vaatimuksiin;

6 luvussa säädettyihin asianhallinnan ja palvelujen tiedonhallinnan vaatimuksiin sekä muualla laissa säädettyihin asiakirjojen julkisuuteen, salassapitoon, suojaan ja tiedonsaantioikeuksiin.

Tiedonhallintayksikön on tiedonhallinnan muutosten arvioinnissaan otettava huomioon tietovarantojen yhteen toimivuus sekä niiden hyödynnettävyys tietoaineistoja muodostettaessa ja käytettäessä.

Arvioinnin perusteella tiedonhallintayksikön on ryhdyttävä tarpeellisiin toimenpiteisiin tiedonhallintamallin muuttamiseksi ja muutosten toimeenpanemiseksi. Tietosuojaa koskevasta vaikutustenarvioinnista ja siihen liittyvästä ennakkokuulemisesta säädetään erikseen.

Edellä kuvatut kohdat 1-5 voidaan esittää tehokkaasti ja kattavasti tietotilinpäätöksellä.

2.     Tietoturvallisuus ja turvallisuusluokittelu:

Tietoaineistojen ja tietojärjestelmien tietoturvallisuuden varmistaminen kuuluu osaksi kaikkien viranomaisten tehtäväkenttää. Jokaisen tiedonhallintayksikön pitää jatkossa seurata oman toimintaympäristönsä tietoturvallisuuden tilaa ja varmistaa kaikkien tietoaineistojen ja -järjestelmien turvallisuus koko niiden elinkaaren ajalta. Salassa pidettävien aineistojen osalta laissa määritellään vaatimuksista salatun tiedonsiirtoyhteyden käyttämisestä ja vastaanottajan tunnistautumisesta.

3.     Tietoaineistojen säilyttäminen ja arkistointi:

Säilytysaikojen määrittelyn yhdenmukaistuu ja arkistoitavien tietoaineistojen tunnistamisen helpottuu. Kaikille tietoaineistoille ja asiakirjoille määritellään säilytysajat, jonka jälkeen ne pitää joko tuhota tai arkistoida tietoturvallisesti.

Siirtymäaika kannattaa käyttää täysimääräisesti hyödyksi ja aloittaa työ ajoissa, sillä tekemistä on paljon.