HE 59/2016

Hallituksen esitys eduskunnalle laeiksi hallinnon yhteisistä sähköisen asioinnin tukipalveluista sekä valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä annetun lain muuttamisesta

Esityksen pääasiallinen sisältö

Esityksessä ehdotetaan säädettäväksi laki hallinnon yhteisistä sähköisen asioinnin tukipalveluista. Lain tarkoituksena on parantaa julkisten palvelujen saatavuutta, laatua, tietoturvallisuutta, yhteentoimivuutta ja ohjausta sekä edistää julkisen hallinnon toiminnan tehokkuutta ja tuottavuutta.

Tarkoituksena on koota olemassa olevat ja uudet hallinnon yhteisiä sähköisen asioinnin tukipalveluja koskevat säännökset ehdotettuun lakiin, säätää tarkemmin palvelujen toiminnallisuuksista, palvelutuottajien vastuista ja tehtävistä sekä henkilötietojen ja muiden tietojen käsittelystä palvelujen tuottamiseksi. Lisäksi säädettäisiin velvollisuudesta ja oikeudesta käyttää yhteisiä palveluja.

Samalla muutettaisiin valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä annettua lakia siten, että mainitun lain sääntely koskien yhteisiä sähköisen asioinnin ja hallinnon tukipalveluja kumottaisiin.

Palvelutuotanto keskitettäisiin pääsääntöisesti Väestörekisterikeskukseen, minkä johdosta Väestörekisterikeskukseen palkattaisiin henkilöitä huolehtimaan palvelujen jatkuvasta tuotannosta. Esityksestä johtuu myös muita taloudellisia vaikutuksia erityisesti Väestörekisterikeskukselle sekä niille viranomaisille ja hallinnonaloille, joilta siirrettäisiin resursseja Väestörekisterikeskukseen.

Ehdotetut lait ovat tarkoitetut tulemaan voimaan 1 päivänä heinäkuuta 2016.

Yleisperustelut

1 Johdanto

Työ- ja elinkeinoministeriön asettama ICT 2015 työryhmä ehdotti raportissaan tammikuussa 2013 kansallisen palveluarkkitehtuurin rakentamista. Palveluarkkitehtuurin avulla voidaan luoda organisaatiorajoja ylittäviä palveluja nykyistä helpommin sekä välttää päällekkäistä työtä ja parantaa asiakaspalvelua.

Hallituksen rakennepoliittinen ohjelma 29.8.2013 taloudenkasvuedellytysten vahvistamiseksi ja julkisen talouden kestävyysvajeen umpeen kuromiseksi sisältää linjauksen (kohdassa 2.11), jonka mukaan ”Toteutetaan viipymättä kansallinen sähköinen palveluväylä ja sähköinen tunnistautuminen kustannustehokkaasti sekä Viron yhteistyömahdollisuudet täysmääräisesti hyödyntäen.”

Talouspoliittinen ministerivaliokunta puolsi päätöksessään 19.11.2013 kansallisen palveluarkkitehtuurin toteuttamisohjelman asettamista. Ministerivaliokunta puolsi lisäksi, että kansallisen palveluarkkitehtuurin kokonaisuuteen sisältyisivät kansallinen palveluväylä (tiedonvälityskerros), kansallinen sähköinen tunnistusmalli, kansalliset ratkaisut organisaatioiden ja luonnollisten henkilöiden roolien ja valtuutusten hallintaan, kansalaisten, yritysten ja viranomaisten tarvitsemat yhteiset palvelukanavat (palvelunäkymät) sekä ohjelman toimeenpanon edellyttämät ohjaus- ja hallintamallit.

Pääministeri Sipilän hallituksen hallitusohjelmassa asetetaan vaatimuksia ja päämääriä tuottavuusloikalle, jota tulee tavoitella muun muassa julkisissa palveluissa ja yksityisellä sektorilla tarttumalla digitalisaation mahdollisuuksiin. Hallitusohjelman mukaan julkiset palvelut rakennetaan käyttäjälähtöisiksi ja ensisijaisesti digitaalisiksi, jotta julkisen talouden kannalta välttämätön tuottavuusloikka onnistuu. Kehittämisessä priorisoidaan palvelut, joissa tuottavuushyöty on suurin. Digitalisaatio on hallituksen strategian läpileikkaava teema.

Valtiovarainministeriön 18.6.2014 asettamassa Kansallisen palveluarkkitehtuurin toteuttamisohjelmassa (KaPA-ohjelma) rakennetaan digitaalinen infrastruktuuri digitalisaation ja sähköisten palvelujen kehittämisen pohjaksi. Ohjelman hankkeet ovat palveluväylä, kansalaisen, yrittäjän ja viranomaisen palvelunäkymät, tunnistamisen malli sekä roolien ja valtuuksien hallinta. Ohjelma päättyy vuonna 2017. Ohjelman ja sen hankkeet omistaa valtiovarainministeriö. Operatiivinen toteutusvastuu on Väestörekisterikeskuksen (jäljempänä ”VRK”) KPA-yksiköllä.

Kansallinen palveluarkkitehtuuri luo pohjan Sipilän hallitusohjelman digitalisaatiokehityksen toteuttamiselle. Digitalisaatiota edistävät hankkeet, kuten kansallinen tulorekisteri, rakentuvat kansallisen palveluarkkitehtuurin päälle. Sote-aluehallintouudistuksen ICT-ratkaisut hyödyntävät kaikkia palveluarkkitehtuurissa kehitettäviä komponentteja. KaPA-ohjelma ja sen yhteiset sähköisen asioinnin tukipalvelut tukevat myös jaksossa 2.2. kuvattua EU:n digitaalisia sisämarkkinoita koskevaa strategiaa. KaPA-ohjelman palvelut avaavat mahdollisuuden suomalaisen kaupparekisterin liittämisen palveluväylän kautta EU -jäsenvaltioiden yritysten ja viranomaisten käyttöön. KaPA-ohjelman luonnollisen henkilön tunnistuspalveluun pohjautuvalla ratkaisulla voidaan tulevaisuudessa mahdollistaa myös rajat ylittävä toisen EU-jäsenvaltion kansalaisen tunnistaminen.

Hallituksen esityksen tarkoituksena on säätää hallinnon yhteisten sähköisen asioinnin tukipalvelujen järjestämisestä. Lain tarkoituksena on parantaa julkisten palvelujen saatavuutta, laatua, tietoturvallisuutta, yhteentoimivuutta ja ohjausta sekä edistää julkisen hallinnon toiminnan tehokkuutta ja tuottavuutta. Lailla säädettäisiin KaPA-ohjelman puitteissa kehitettyjen tukipalvelujen yhtenäisestä tuotannosta ja käytöstä.

Tukipalvelujen palvelutuotanto keskitettäisiin maksamisen kokoamis- ja hallinnointipalvelua ja hallinnon karttapalvelua lukuun ottamatta VRK:een. Samalla tukipalvelujen kuvauksia ja palvelutuottajan tehtäviä tarkennettaisiin lain tasolla sekä säädettäisiin uusista tukipalveluista. Laissa säädettäisiin myös palvelutuottajan vastuista ja tehtävistä sekä henkilö- ja muiden tietojen käsittelystä palvelujen tuottamiseksi.

Valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä annettua lakia (1226/2013, jäljempänä ”TORI –laki”) muutettaisiin siten, että mainitun lain sääntely koskien yhteisiä sähköisen asioinnin ja hallinnon tukipalveluja kumottaisiin. Valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä annettuun asetukseen (132/2014, jäljempänä ”TORI -asetus”) tehtäisiin erikseen vastaavat muutokset.

2 Nykytila
2.1 Lainsäädäntö ja käytäntö
2.1.1 Tiedonhallintaa koskeva sääntely

Julkisen hallinnon toiminnan rakenteista ja yleisistä perusteista on säädetty Suomen perustuslaissa (731/1999), hallintolaissa (434/2003), kuntalaissa (365/1995) sekä muissa hallinnon yleislaeissa. Julkisen hallinnon palveluarkkitehtuurin rakenteista on säädetty lainsäädännössä järjestämisvastuulähtöisesti, erikseen kunkin viranomaisen tehtävistä ja toimivallasta. Viranomaisten tiedonhallinta ja siihen liittyvät vastuut määräytyvät yleislainsäädännön tasolla viranomaisten toiminnan julkisuudesta annetun lain (621/1999, jäljempänä ”julkisuuslaki”), arkistolain (831/1999) ja henkilötietolain (523/1999) perusteella. Tiedonhallinnan lainsäädännön kohteina ovat asiakirjat, viranomaisten asiakirjat sekä niissä olevat henkilötiedot.

Julkisuuslaissa on omaksuttu viranomaisen erillisyysperiaate, jonka mukaan kukin viranomainen päättää hallussaan olevien asiakirjojensa ja rekistereissä olevien tietojensa antamisesta sekä vastaa muutenkin julkisuusperiaatteen toteuttamisesta. Julkisuuslain 21 §:ssä on säädetty viranomaisten tietopalvelun järjestämisestä. Viranomainen voi pyynnöstä tuottaa ja luovuttaa eri käyttötarkoituksia varten automaattisen tietojenkäsittelyn avulla ylläpitämäänsä yhteen tai useampaan tietojärjestelmään talletetuista merkeistä muodostetun tietoaineiston. Edellytyksenä on, että tietopalvelun tuottaminen ei ole vastoin sitä, mitä asiakirjan salassapidosta ja henkilötietojen suojasta säädetään. Asianomaisten viranomaisten luvalla ja tietopalvelua koskevien edellytysten täyttyessä tietoaineisto voidaan tuottaa myös eri viranomaisten ylläpitämistä tietojärjestelmistä. Säännöstä voidaan soveltaa yksittäisiin tietopyyntöihin, muttei laajemmin teknisten käyttöyhteyksien avaamiseen. Julkisuuslain 29 §:n 3 momentin mukaan viranomainen voi avata toiselle viranomaiselle teknisen käyttöyhteyden henkilörekisterinsä sellaisiin tietoihin, jotka toisen viranomaisen on laissa erikseen säädetyn velvollisuuden mukaan otettava päätöksenteossaan huomioon. Jos henkilötiedot on säädetty salassa pidettäväksi, käyttöyhteyden avulla saa hakea tietoja vain henkilöistä, jotka ovat antaneet siihen suostumuksensa, jollei salassa pidettävien tietojen luovuttamisesta erikseen nimenomaisesti säädetä toisin.

Tiedonhallinnan erityissääntely koostuu eri rekistereitä koskevista säädöksistä ja säännöksistä. Sääntelyn kohteina ovat pääasiassa rekisterinpidon vastuut, käyttötarkoitus, rekisterin tietosisältö sekä tietojen luovutuksiin kuten tiedonsaantioikeuteen, salassapitoon sekä teknisen käyttöyhteyden avaamiseen liittyvät kysymykset. Rekistereitä koskeva sääntely on hajautunut useisiin kymmeniin lakeihin. Useat viranomaisten rekisterit perustuvat myös yleislain sääntelyyn eli siihen, että rekisterinpito on sallittua henkilötietolain nojalla viranomaisen laissa säädetyn tai sen nojalla määrätyn tehtävän hoitamiseksi.

2.1.2 Tiedollisesta ja menettelyllisestä suostumuksesta

Suostumukset voidaan jakaa tiedollisiin ja menettelyllisiin suostumuksiin. Tiedollinen suostumus on lähtökohta henkilötietojen käsittelylle. Henkilötietolain 3 §:n 7 kohdassa on säädetty tiedollisen suostumuksen perusteista. Suostumuksella voidaan varmistaa rekisteröidyn tahto tietojenkäsittelyyn ja luoda rekisterinpitäjille oikeus käsitellä henkilötietoja. Suostumukselle on mainitussa säännöksessä asetettu kolme kriteeriä – sen tulee olla vapaaehtoinen, yksilöity sekä tietoinen tahdonilmaisu. Edellä kuvatut yleiset suostumuksen kriteerit on otettava huomioon suostumukseen perustuvassa tietojen käsittelyssä.

Henkilötietolain 12 §:n 1 momentin 1 kohdan mukaan arkaluonteisia tietoja voidaan käsitellä muun muassa rekisteröidyn nimenomaisen suostumuksen perusteella. Sähköisessä asioinnissa tarvitaan tiedollista suostumusta tilanteissa, joissa hallinnon asiakkaan tietoja haetaan eri viranomaisten henkilörekistereistä jonkin viranomaisen sähköiseen asiointipalveluun esitiedoksi esimerkiksi hakemus- tai ilmoituslomakkeelle. Ennen asian vireillepanoa on tilanteita, joissa tiedonsaanti toisen viranomaisen rekisteristä voi tapahtua vain rekisteröidyn suostumuksella erityisesti salassa pidettävien tietojen osalta. Asiakkaan suostumuksen antamiseen liittyviä säännöksiä on erityisesti sosiaali- ja terveydenhuoltoa sekä työvoimapalveluja koskevassa lainsäädännössä, esimerkiksi sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetussa laissa (159/2007).

Sähköisessä asioinnissa henkilön yksilöinti tapahtuu useimmiten henkilötunnuksen avulla erityisesti vahvoja tunnistusmenetelmiä hyödyntävissä asiointipalveluissa. Henkilötunnusta saa henkilötietolain 13 §:n mukaan käsitellä rekisteröidyn yksiselitteisesti antamalla suostumuksella tai, jos käsittelystä säädetään laissa. Lisäksi käsittely on sallittua, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää laissa säädetyn tehtävän suorittamiseksi taikka rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi

Menettelylliset suostumukset liittyvät esimerkiksi sähköisiin tiedoksiantoihin. Sähköisestä asioinnista viranomaistoiminnassa annetun lain (13/2003) 18 §:ssä tarkoitettu todisteellinen sähköinen tiedoksianto ja 19 §:ssä säädetty tavallinen sähköinen tiedoksianto on mahdollista tehdä asianosaisen suostumuksella.

2.1.3 Sähköistä asiointia ja tunnistamista koskeva sääntely

Sähköinen asiointi hallinnossa perustuu hallintolakiin, sähköisestä asioinnista viranomaistoiminnassa annettuun lakiin sekä erityislaeissa oleviin esimerkiksi tiedoksiantamista koskeviin säännöksiin.

Henkilön tunnistamisesta asiointitilanteessa ei ole yleislainsäädännön tasolla säädetty. Erityislakeihin, esimerkiksi maakaaren (540/1995) 9 a luvun 1 §:ään sisältyy tunnistamista koskevia säännöksiä. Hallintolain 16 §:n mukaan viranomaiselle toimitettavasta asiakirjasta on mainittava lähettäjän nimi sekä tarvittavat yhteystiedot asian hoitamiseksi. Sen sijaan erityisestä lähettäjän tunnistettavuusvaatimuksesta hallintolaissa ei ole säädetty. Sähköisestä asioinnista viranomaistoiminnassa annetun lain 9 §:n 2 momentin mukaan viranomaiselle saapunutta sähköistä asiakirjaa ei tarvitse täydentää allekirjoituksella, jos asiakirjassa on tiedot lähettäjästä eikä asiakirjan alkuperäisyyttä tai eheyttä ole syytä epäillä.

Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmän (VAHTI) ohjeessa ”Tunnistaminen julkishallinnon verkkopalvelussa” (Ohje 12/2006) on arvioitu tunnistamisen tarvetta erilaisissa julkishallinnon asiointipalveluissa. Ohjeen mukaan käyttäjän tunnistaminen on tarpeellista, kun käyttäjä pääsee käsiksi suojattaviin tietoihin (esim. salassa pidettävät henkilötiedot) tai käyttäjä voi laittaa vireille asioita, joilla on oikeudellista tai huomattavaa taloudellista merkitystä. Joskus myös erityislainsäädännössä on voitu edellyttää käyttäjän tunnistamista. Tieto- ja tiedottamispalvelut ovat oletusarvoisesti anonyymisti käytettäviä, joten niiden käyttäjiä ei pidä velvoittaa tunnistautumaan. VAHTI on 6.5.2015 asettanut sähköisen asioinnin tietoturvallisuus –työryhmän, jonka tehtävänä on muun muassa uudistaa ja yhdistää sähköistä asiointia ja palveluja koskevat, edellä mainittu VAHTI-ohje 12/2006 sekä VAHTI-ohje 4/2001, Sähköisten palveluiden ja asioinnin tietoturvallisuuden yleisohje.

Julkisen hallinnon henkilöasiakkaille tarkoitettuihin sähköisiin asiointipalveluihin kirjaudutaan pääosin tunnistuksenohjaus- ja hallintapalveluiden kautta. Tällaisia palveluita ovat Vetuma- ja Tunnistus.fi -palvelu. TORI -asetuksen 5 §:n 4 momentin 2 ja 3 kohdan mukaan Valtion tieto- ja viestintätekniikkakeskus Valtori (jäljempänä Valtori) tuottaa Vetuma-palvelua. Verohallinto tuottaa TORI-asetuksen 9 §:n ja verohallinnosta annetun lain 2 a §:n nojalla palvelua, jonka avulla viranomainen tai muu julkista tehtävää hoitava voi julkista tehtävää hoitaessaan tunnistaa organisaation ja sitä edustavan henkilön (KATSO-palvelu).

Tunnistusvälineiden tarjoamisesta ja sähköisistä allekirjoituksista on säädetty vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetussa laissa (617/2009, jäljempänä ”tunnistuslaki”). Laissa on säädetty vaatimuksista, jotka tunnistuspalvelun tarjoajien ja laatuvarmentajien pitää täyttää. Käytännössä tunnistusvälineitä hyödyntäen voidaan toteuttaa niiden ominaisuuksista riippuen myös tietyn tasoisia sähköisiä allekirjoituksia. Viestintävirasto valvoo tunnistuspalvelun tarjoajien toimintaa. Sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista annetun Euroopan parlamentin ja neuvoston asetuksen (N:o 910/2014, jäljempänä eIDAS-asetus) voimaantulon myötä tunnistuslakiin valmistellaan parhaillaan merkittäviä muutoksia. Vahva sähköinen tunnistaminen on tarkoitus määritellä niin, että se käsittää eIDAS-asetuksessa määritellyt korotetun ja korkean varmuustason tunnistusvälineet. Pääsääntöisesti asiointipalvelun tuottaja päättää, minkä tasoista tunnistamista sen palvelun käyttö edellyttää, ellei toisin ole säädetty.

2.1.4 Roolit ja valtuudet

Edustaminen on jaettavissa lakisääteiseen ja oikeustoimeen perustuvaan edustamiseen. Lakisääteisiä (tai ”laillisia”) edustajia ovat muun muassa edunvalvoja, huoltajat ja osakeyhtiön toimitusjohtaja. Valtuutuksista, jotka perustuvat oikeustoimeen, säädetään varallisuusoikeudellisista oikeustoimista annetussa laissa (228/1929, jäljempänä ”oikeustoimilaki”). Oikeustoimeen perustuvan valtuutuksen sisältö voi koskea esimerkiksi tiettyä asiaa, tietyssä viranomaisessa tapahtuvaa asiointia yleensä tai se voi olla yleinen asianajovaltuutus.

Lailliset sekä oikeustoimiperustaiset edustajat voivat tehdä päämiehen puolesta, kelpoisuudesta riippuen muun muassa eriasteisia sopimuksia tai käyttää puhevaltaa viranomaisissa. Oikeustoimilain 11 §:n 1 momentin mukaan jos valtuutettu tehdessään oikeustoimen on toiminut vastoin valtuuttajan hänelle antamia ohjeita, ei oikeustoimi sido valtuuttajaa, jos kolmas henkilö tiesi tai hänen olisi pitänyt tietää, että valtuutettu ylitti toimivaltansa. Toimivallan ylittänyt valtuutettu voi joutua korvausvastuuseen päämiestä kohtaan.

Henkilön oikeus toimia toisen puolesta voi määräytyä esimerkiksi hallintolain 14 §:n 1 momentin mukaisesti. Säännöksen mukaan vajaavaltaisen puolesta käyttää puhevaltaa hänen edunvalvojansa, huoltajansa tai muu laillinen edustajansa. Lapsen vanhemmat tai muu huoltaja edustajat ja käyttävät puhevaltaa viranomaisissa yleensä alaikäisen lapsen puolesta. Hallintolain 14 §:n 3 momentin mukaan 15 vuotta täyttäneellä alaikäisellä ja hänen huoltajallaan tai muulla laillisella edustajallaan on kummallakin kuitenkin oikeus erikseen käyttää puhevaltaa asiassa, joka koskee alaikäisen henkilöä taikka henkilökohtaista etua tai oikeutta. Lisäksi 14 §:n 1 momentin mukaan vajaavaltaisella on oikeus käyttää yksinään puhevaltaa asiassa, joka koskee hänen vallitsemaansa tuloa tai varallisuutta.

Henkilöä voi myös edustaa edunvalvoja, jonka asemasta on säädetty holhoustoimesta annetussa laissa (442/1999, jäljempänä ”holhoustoimilaki”), edunvalvontavaltuutuksesta annetussa laissa (648/2007, jäljempänä EVL) sekä hallintolain 15 §:ssä. Edunvalvojista ja EVL:ssa tarkoitetuista edunvalvontavaltuutuksista pidetään valtakunnallista holhousasioiden rekisteriä, jonka pitäjinä toimivat holhoustoimilain 64 §:n nojalla holhousviranomaiset ja aluehallintovirasto. Rekisteristä on mahdollista saada sähköisesti valtuutustietoja, joilla voidaan todentaa henkilön kelpoisuus edustaa ja käyttää puhevaltaa päämiehensä puolesta. Holhouslain 64 §:n 5 momentin ja toimivaltaisista viranomaisista eräissä maistraatin ja aluehallintoviraston tehtävissä annetun valtiovarainministeriön asetuksen (1430/2015) 12 §:n nojalla Hämeen maistraatti voi antaa luvan holhousasioiden rekisterin tietojen saamiseksi teknisen käyttöyhteyden välityksellä sellaiselle valtion tai kunnan viranomaiselle, yhteisölle tai elinkeinonharjoittajalle, joka toiminnassaan jatkuvasti tarvitsee rekisterin tietoja hyväksyttävää tarkoitusta varten. Tällainen tarkoitus on muun muassa sellaisen sähköisen asiointipalvelun tarjoaminen, jossa asioi usein määrättyjä edunvalvojia tai edunvalvontavaltuutuksen saajia.

Sähköisestä asioinnista viranomaistoiminnassa annetun lain 9 §:n 2 momentin mukaan asiamiehen ei pääsääntöisesti tarvitse toimittaa valtakirjaa, jos viranomaiselle toimitetussa sähköisessä asiakirjassa on selvitys asiamiehen toimivallasta. Viranomainen voi kuitenkin määrätä valtakirjan toimitettavaksi, jos sillä on aihetta epäillä asiamiehen toimivaltaa tai sen laajuutta.

Laillista edustamista koskevat tiedot ovat saatavissa väestötietojärjestelmästä ja maistraattien edunvalvontarekisteristä sekä organisaatioiden osalta eri organisaatiotyyppejä koskevista rekistereistä. Sen selvittäminen, kenellä missäkin tilanteessa on oikeus lain perusteella edustaa luonnollista tai oikeushenkilöä, edellyttää sekä edustamiseen että asiointiin liittyvän lainsäädännön selvittämistä. Joissain tilanteissa puhevalta saattaa myös olla jaettu esimerkiksi huoltajien kesken taikka päämiehen ja edunvalvojan välillä.

2.1.5 TORI-laki ja -asetus

TORI -laki on valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämistä sääntelevä erityislaki suhteessa julkisen hallinnon tietohallinnon ohjauksesta annettuun lakiin (634/2011, jäljempänä ”tietohallintolaki”). TORI -lailla on koottu hallinnollisesti yhteen valtion tieto- ja viestintäteknisiä toimintoja sekä luotu puitteet järjestää valtion yhteisten tieto- ja viestintäteknisten palvelujen yhtenäinen tuotanto ja käyttö. Valtion yhteisiin tieto- ja viestintäteknisiin palveluihin kuuluvat TORI -lain mukaan myös yhteiset sähköisen asioinnin ja hallinnon tukipalvelut.

TORI -lain 2 §:n 2 momentin 3 kohdan mukaan yhteisillä sähköisen asioinnin ja hallinnon tukipalveluilla tarkoitetaan sähköisen asioinnin toteuttamisen edellyttämiä tai sähköisiin asiointipalveluihin liittymistä tukevia tieto- ja viestintäteknisiä ratkaisuja.

TORI -laissa ja -asetuksessa säädetään myös velvollisuudesta ja oikeudesta käyttää yhteisiä palveluja. TORI-asetuksen 13 §:n 2 momentissa tarkennetaan valtion virastojen sähköisen asioinnin ja hallinnon tukipalvelujen käyttövelvollisuus koskemaan asetuksen 5 §:n 4 momentin 1, 2 ja 3 kohdassa tarkoitettuja, Valtorin tuottamia palveluja eli viestinvälityspalvelua (kansalaisen asiointitili) ja tunnistamisen, allekirjoittamisen ja maksamisen kokoamis- ja hallinnointipalvelua (Vetuma) sekä virkamiehen tunnistuspalvelua (VIRTU).

Lain 14 §:n mukaan yhteisten sähköisen asioinnin ja hallinnon tukipalvelujen tuottajan asiakkaina voivat valtion ja kunnan viranomaisten lisäksi olla muut julkisen hallinnon viranomaiset, julkisoikeudelliset laitokset, eduskunta, valtion talousarvion ulkopuoliset rahastot sekä julkista hallinto- tai palvelutehtävää hoitavat yritykset ja yhteisöt. Muut yksityiset yritykset tai yhteisöt eivät voi olla asiakkaana.

TORI -asetuksen 3 §:ssä säädetään yhteisistä sähköisen asioinnin ja hallinnon tukipalveluista. Pykälässä määritellään muun muassa palveluväylä, palvelutietovaranto ja palvelunäkymä sekä muita tukipalveluja, joista ehdotetaan säädettäväksi tarkemmin lain tasolla tässä hallituksen esityksessä.

Asetuksen 8 §:ssä säädetään Valtiokonttorin velvollisuudesta tuottaa ja kehittää tukipalveluihin kuuluvaa Suomi.fi -palvelua. Verohallinto tuottaa ja kehittää asetuksen 9 §:n mukaan KATSO-palvelua, jonka avulla viranomainen tai muu julkista tehtävää hoitava voi julkista tehtävää hoitaessaan tunnistaa organisaation ja sitä edustavan henkilön. VRK tuottaa ja kehittää asetuksen 10 §:n mukaan tukipalveluihin kuuluvia palvelunäkymiä sekä tiedonvälityskanavaa (palveluväylä), julkisen hallinnon tietovarantoihin sisältyvien tietojen tarkastuspalvelua sekä henkilöiden toimivaltuuksien ja valtuutusten hallinnointipalvelua. Lisäksi 11 §:ssä on säädetty Etelä-Savon ELY –keskuksen tehtäväksi tuottaa ja kehittää tukipalveluihin kuuluvaa yrityssuomi.fi –palvelua. Nyttemmin palvelua tuottaa Elinkeino-, liikenne- ja ympäristökeskusten sekä työ- ja elinkeinotoimistojen kehittämis- ja hallintokeskus (KEHA-keskus).

TORI-laissa ei ole lueteltu tai määritelty erikseen yhteisiä sähköisen asioinnin ja hallinnon tukipalveluja, vaan palvelut ja niiden tuottajat on määritelty lyhyesti asetuksessa. Lakiin tai asetukseen ei sisälly erityisiä palvelujen toiminnallisuuksia taikka palveluihin liittyvää henkilötietojen käsittelyä koskevaa sääntelyä. Asetuksessa viranomaisten tehtävät palvelutuotannossa on hajautettu siten, että yhteisiä sähköisen asioinnin ja hallinnon tukipalveluja tuottavat useat viranomaiset VRK:n lisäksi.

VRK:n tehtäviksi TORI-asetuksen 10 §:n mukaan kuuluvien palvelujen tuottaminen ei ole muutamia pilotteja lukuun ottamatta käynnistynyt – eikä TORI-asetuksen 13 §:n 2 momentissa täsmennetty käyttövelvoite ulotu VRK:n palveluihin. Tunnistuspalvelun osalta Valtori tuottaa Vetuma-palvelua, jonka avulla viranomaiset voivat helpommin teknisesti toteuttaa tunnistamisen sähköisen asioinnin palvelussa – jokaisen viranomaisen on kuitenkin sovittava tunnistamispalvelun käytöstä kunkin tunnistuspalvelun tarjoajan kanssa.

2.1.6 Hallinnon karttapalvelu

Hallinnon karttapalvelu on Maanmittauslaitoksen kehittämä palvelu paikkatietoinfrastruktuurin rajapintapalveluiden ja rekisteritietojen esittämiseen kartalla. Palvelu helpottaa kartan käyttöönottoa verkkosivuilla merkittävästi. Palvelua on tarjottu sopimusperusteisesti maksuttomana palveluna rajoitetulle joukolle valtionhallinnon organisaatioita.

2.2 Kansainvälinen kehitys sekä ulkomaiden ja EU:n lainsäädäntö
2.2.1 Johdanto

Kansainvälinen kehitys julkisen hallinnon sähköisten asiointipalvelujen järjestämisessä on moninainen. Useiden maiden julkisen hallinnon tietohallinnon strategioihin on kirjattu tavoitteeksi yhtenäistää tieto- ja viestinteknisiä perusratkaisuja eri alueilla muun muassa keskitetyillä ratkaisuilla.

2.2.2 Tanska

Tanskan vuoden 2007 kuntauudistuksen yhteydessä tehtiin poliittinen päätös digitaalisen kanavan ensisijaisuudesta julkisissa palveluissa. Tämä käynnisti sähköisten palvelujen laajemman kehittämisen. Tanskan viranomaisten mukaan 85 prosenttia Tanskan väestön yli 15 vuotiaista on käyttänyt hallinnon sähköisiä palveluja viimeisen 12 kuukauden kuluessa.

Vuonna 2009 perustettiin valtionhallinnon IT-keskus (Statens IT), Tanskan valtiovarainministeriön alainen virasto, jonne yhdistettiin eri ministeriöiden tietohallinnon tuotantotehtäviä. Virasto tarjoaa palveluja 10 ministeriölle ja näiden 11000 käyttäjälle.

Kansalaisille on luotu keskitetty sähköinen asiointipiste valtion, alueiden ja kuntien palveluille, Borger.dk –portaali. Yritysten palvelut ovat omassa portaalissaan. Borger.dk –portaali on julkishallinnon palvelujen keskeinen jakelukanava, johon kuuluu myös henkilökohtainen palvelu yksittäiselle kansalaiselle (Min Side) sekä kansallinen tunnistusratkaisu (NemID). Borger.dk:n omistavat yhteisesti valtio, kunnat ja alueet. Palvelukehitystä ohjaa Arkitekturguiden (vrt. GOV.UK:n GDS Design Principles). NemID:ssä kansalaiset saavat käyttöönsä ilmaisen verkkopankkitunnuksia muistuttavan tunnistusvälineen, joka katsotaan Tanskassa tarpeeksi turvalliseksi välineeksi suurimmassa osassa julkisia ja yksityisiä transaktioita

Tanskan yhteinen julkisen hallinnon digitalisaation strategia (2011-2015) sisältää vaiheittaisen siirtymisen sähköisten itsepalvelujen ja viestinvälityksen velvoittavuuteen. Kansalaiset velvoitettiin lain nojalla asteittain siirtymään sähköisten itsepalvelujen käyttäjiksi vuodesta 2012 lähtien. Tanskan julkista digitaalista postia koskevassa lainsäädännössä (Lov om offentlig digital post) velvoitetaan kansalaiset ja yritykset käyttämään sähköisiä palvelukanavia tietyin poikkeuksin. Lain 3 §:n mukaan 15 vuotta täyttäneiden luonnollisten henkilöiden, joilla on asuinpaikka tai jotka oleskelevat kiinteästi Tanskassa, on liityttävä julkiseen digitaaliseen postiin, jollei henkilöä ole vapautettu pakollisesta liittymisestä. Lain 4 §:n mukaan nämä vapautetut henkilöt voivat vapaaehtoisesti liittyä postiin, jolloin myös heitä koskevat laista seuraavat oikeusvaikutukset. Lain 5 §:n mukaan valtiovarainministeriö vahvistaa säännöt, joiden perusteella luonnolliset henkilöt voidaan vapauttaa pakollisesta liittymisestä postiin. Pykälä sisältää lisäksi vapauttamisen reunaehtoja ja menettelytapaa koskevia säännöksiä. Lain 10 §:ssä säädetään postin oikeusvaikutuksista. Sen mukaan viesti, joka on lähetetty postin kautta, katsotaan saapuneeksi perille sinä ajankohtana, jolloin viesti on vastaanottajan saatavilla postijärjestelmässä ja sen on lähettänyt ilmoituksessa mainittu lähettäjä.

Kansalaiset velvoitettiin sähköisen viranomaisviestinnän vastaanottoon vuonna 2014, yritykset velvoitettiin vuotta aiemmin. Vapautuksen saaneita on n. 10 % väestöstä ja he vastaanottavat viranomaisviestinnän edelleen paperipostina. Tilinomistajalla on mahdollisuus lisäksi antaa valtuutus toiselle henkilölle lukea oman tilin viestejä mutta ei kuitenkaan muutoin toimia toisen puolesta, kuten vastata viestiin toisen tililtä. Sähköisesti on muutoin mahdollista antaa valtuutus, joka valtuuttaa toimimaan toisen puolesta tietyissä sähköisissä palveluissa. Asiakaspalvelu ja opastus sähköisten palvelujen käyttöön hoidetaan kuntien toimesta pääasiassa kirjastoissa. Lisäksi kunnissa tarjotaan asiakaspalvelu henkilöille, jotka eivät käytä sähköisiä palveluja.

Vuonna 2015 päättyi perustietovarantojen laaja yhteentoimivuus- ja tiedonjakohanke, jonka tarkoituksena oli luoda edellytykset seuraavan sukupolven sähköisille palveluille. Tällä hetkellä yli 80 julkista palvelua on siirretty ensisijaisesti sähköiseen muotoon. Uusi digitaalistrategia ja sen täytäntöönpanosuunnitelma ovat valmisteilla. Painopistealueita ovat muun muassa käytettävyyden ja käyttökokemuksen parantaminen, digitaalisten hyvinvointipalvelujen kokonaisuus, asiankäsittelyn kattava digitointi ja automatisointi läpi hallinnon, läpinäkyvyyden parantaminen, tietoturva- ja infrastruktuuriuudistukset sekä muu digitaalisen yhteiskunnan jatkokehityksen edellytysten kehittäminen.

2.2.3 Viro

Viron elinkeino- ja viestintäministeriö ohjaa valtion tietopolitiikan kehittämistä mukaan lukien valtion tietojärjestelmien ja palvelujen hakemistoa (RIHA), X-roadia ja sähköistä tunnistamista. Lisäksi digitalisointia ja julkisen hallinnon sähköistämistä ohjaa vuonna 2014 perustettu hallituksen E-Viro valiokunta. Valiokuntaan kuuluu viisi asiantuntijajäsentä, kolme ministeriä ja puheenjohtajana pääministeri.

Elinkeino- ja viestintäministeriön alainen Viron tietojärjestelmävirasto (RIA, Riigi Infosüsteemi Amet) koordinoi valtion tietojärjestelmien kehitystä ja on vastuussa valtionhallinnon perustietojärjestelmien organisoinnista ja turvallisuudesta. RIA osallistuu lainsäädännön valmisteluun ja toimeenpanoon sekä koordinoi tärkeitä kehityshankkeita kuten kansalaisten käyttöön kehitettyjä sähköisiä palveluja. RIA vastaa myös hallinnon IT-infrastruktuurista, muun muassa erilaisista valtion organisaatioissa käytettävistä ohjelmistoista.

Viron Digitaalinen Agenda 2020 ja toimeenpanosuunnitelma vuosille 2014 - 2015 hyväksyttiin marraskuussa 2013. Vuosille 2014 - 2020 laaditun tietoyhteiskuntastrategian laajempi tavoite on tukea talouden kilpailukykyä ja ihmisten hyvinvointia ICT:n keinoin sekä valtion hallinnon tehokkuuden nostaminen. Strategiaan on kirjattu tarvittaviksi kehitysaskeleiksi muun muassa erityisen nopean internetverkon luominen ja se, että vuoteen 2020 mennessä 20 % väestöstä käyttää sähköistä allekirjoitusta. Lisäksi tavoitteena on sähköisten julkisten palvelujen modernisointi ja yhteisten laatuvaatimusten käyttöön ottaminen sekä vanhojen ratkaisujen uusimisen tukeminen.

Viro julkaisi ensimmäisen version X-roadista joulukuussa 2001. X-roadia käyttää yli tuhat organisaatiota ja se on ainoa julkishallinnon tiedonsiirtokanava. Suomen ja Viron pääministerit allekirjoittivat vuonna 2014 ensimmäisen sähköisesti allekirjoitetun hallitusten välisen yhteistyöpöytäkirjan, jonka yksi keskeinen tavoite on X-roadin kehittäminen yhdessä. Suomen julkinen palveluväylä on rakennettu Viron X-road –tekniikalla ja Viro on luovuttanut Suomelle ohjelmiston avoimen lähdekoodin EUPL-lisenssin mukaisilla ehdoilla. Lisenssi kattaa sekä ohjelmiston nykyiset että tulevat versiot.

Viro on perustanut X-roadiin tukeutuvan kansallisen eesti.ee -verkkoportaalin vuonna 2003. Sinne on keskitetty suuri määrä valtion virastojen sähköisiä palveluja, kuten terveyspalveluja, sosiaalipalveluja ja omien rekisteritietojen katselu. Kansalaiset, yrittäjät ja viranomaiset ohjataan portaalissa omiin osioihinsa. Portaali tarjoaa turvallisen kanavan valtion kanssa asioimiseen sekä luotettavaa tietoa. Tunnistuspalvelun avulla sekä luonnolliset että oikeushenkilöt voivat vierailla palvelusivustoilla sekä antaa valtuutuksia.

Viro aloitti sähköisten henkilökorttien käyttöönottamisen vuoden 2002 alussa. Korttia on tarkoitus käyttää kaikessa yritysten, hallinnon ja yksityisten välisessä kanssakäymisessä. Henkilökortti on pakollinen kaikille Viron kansalaisille ja maassa pysyvästi asuville yli 15-vuotiaille. Sähköinen henkilökortti on ensisijainen asiakirja henkilön tunnistamisessa. Marraskuussa 2014 Viro otti käyttöön sähköisen kotipaikkamahdollisuuden, jonka kuka tahansa voi saada ja päästä näin Viron sähköisten palvelujen käyttäjäksi. Sähköinen kotipaikka ei mahdollista automaattisesti oleskelulupaa tai kansalaisuutta tai maahantulo-oikeutta.

2.2.4 Iso-Britannia

Sähköinen hallinto kuuluu pääministerin kanslian (Cabinet Office) vastuulle. Iso-Britannian hallituksen digitaalisen sisällyttämisen strategiassa (Digital Inclusion Strategy) vuodelta 2014 esitetään, miten julkishallinto nostaa sähköisen asioinnin määrää – erityisesti, kuinka ihmisiä autetaan käyttämään ja hyödyntämään sähköisiä välineitä ja palveluja.

Hallituksen digitaalisessa strategiassa (Government Digital Strategy, 2013) esitetään toimenpiteet, kuinka julkisen hallinnon sähköiset palvelut tehdään yksinkertaisiksi ja miellyttäviksi käyttää ja kuinka julkinen hallinto siirtyy ensisijaisesti sähköisiin palveluihin. Kaikkien uusien palvelujen tulee huhtikuun 2014 jälkeen täyttää ensisijaisesti sähköisen palvelun kriteerit (Digital by Default Service Standard).

Suuri osa sähköisiä palveluja koskevasta ohjauksesta ja tarkemmasta informaatiosta löytyy hallituksen palvelusuunnittelun ohjesäännöstä (the Government´s Service Design Manual). Palvelukehitystä ohjaa GOV.UK GDS Design Principles, joissa periaatteina ovat muun muassa asiakaslähtöisyys ja avoin kaikkien käytössä oleva infrastruktuuri.

Pääministeriön kanslian alaisuuteen perustettiin vuonna 2011 Hallinnon Digitaalinen Palvelu (The Government Digital service, GDS) toteuttamaan digitalisaatiota. Sen toiminnan yksi ydinalue on 25 hallinnon erilaisen pääpalvelun muuttaminen digitaaliseksi. Toinen ydinalue on GOV-UK –verkkosivuston rakentaminen, ylläpito ja käyttöönotto. Vuoteen 2015 mennessä hallintoon oli syntynyt joukko sähköisiä palveluja, joita käyttää noin 1,5 miljoonaa ihmistä päivässä. Uusia sähköisiä palveluja ovat muun muassa Äänestysrekisteri (Register to vote), Patentin uusiminen (Renew a patent) ja Oma verotili (Your tax account). Kehitysvaiheessa ovat muun muassa Maanomistusrekisteri (Land Registry) ja Passipalvelu (Passports). GOV.UK:n Sähköiseltä Markkinapaikalta (The Digital Marketplace) julkinen sektori voi löytää ja hankkia teknologiaa ja asiantuntijoita digitaalisiin projekteihin. GOV.UK Verify on sähköinen tunnistuspalvelu, jonka avulla voi asioida turvallisesti julkisen hallinnon palveluissa. GOV.UK publishing platform on julkaisualusta, jonka avulla ministeriöt ja virastot voivat julkaista sisältöä GOV.UK –sivustolle. Lisäksi eri hallinnon aloilla kehitetään omia uusia sähköisiä palveluja.

GOV.UK on hallinnon oma sivusto, joka tuo hallinnon palvelut yhteen ja on muuttanut hallinnon tavan tarjota sähköisiä palveluja. Ministeriöiden sivustot siirrettiin GOV.UK -sivustolle vuoden 2013 aikana ja vuoden 2014 aikana siirrettiin lukuisia muita julkisen hallinnon virastojen sivustoja. GOV.UK –sivuston perustamisen jälkeen satoja erillisiä julkishallinnon sivustoja on suljettu.

Sähköisiä palveluja koskevaa kaiken kattavaa lainsäädäntöä ei ole. Tiedon saatavuudesta ja vapaudesta annetussa laissa (The Freedom of Information Act, 2000) säädetään muun muassa jokaisen oikeudesta saada itsestään julkisen hallinnon tallentamat tiedot. Tietosuojalaissa (Data Protection Act, 1998) säädetään henkilötietojen käsittelystä. Laissa sähköisestä viestinnästä (Electronic Communications Act, 2000) luodaan lainsäädäntökehys muun muassa sähköisen allekirjoituksen käytölle niin julkisella kuin yksityisellä sektorilla.

2.2.5 Alankomaat

Rutte II hallituskoalition tavoite on, että yritykset ja kansalaiset voivat asioida sähköisesti hallinnon kanssa vuoteen 2017 mennessä. Päämääränä on sähköisen hallinnon ja sen palvelujen kehittäminen sekä tehostaminen. Käytännössä tämä tarkoittaa sähköisen palvelun ensisijaisuutta. Lisäksi kansalaisen mahdollisuutta sähköisesti itse päättää, mitkä organisaatiot käyttävät hänen henkilökohtaisia tietojaan ja korjata itsestä tallennettuja tietoja halutaan vahvistaa.

Sähköisen hallinnon strategia on keskitetty sisäministeriön alaisuuteen. Logius on sisäministeriön alainen virasto ja on toteuttava taho monille sähköisen hallinnon palveluille, kuten sähköinen tunnistaminen. Laajemmin toteutusvastuu on kuitenkin jakautunut eri hallinnonaloille, mikä aiheuttaa vastuun hajanaisuutta. Yksi hallituksen tavoite onkin keskittää vastuuta enemmän. Muun muassa näiden haasteiden ratkaisemiseksi on perustettu digikomissaarin virka, jonka päätehtävä on koordinoida eri hallinnonalojen välistä yhteistyötä. Digikomissaari raportoi pääministerille ja hänen toimistoonsa valitaan virkamiehiä hallinnon eri osista.

Vastuun keskittämistä tuetaan muun muassa lainsäädäntöä kehittämällä. Sisäministeriö ja talousasioista vastaava ministeriö aloittivat vuoden 2014 loppupuolella sähköistä hallintoa koskevan kaiken kattavan lainsäädännön valmisteluprosessin. Tästä esimerkkeinä on uusi sähköisen tunnistamisen laki ja digitaalisen infrastruktuurin laki.

Hallinnon portaali Overheid.nl otettiin käyttöön vuonna 1999. Se tarjoaa keskitetysti tietoa julkisen hallinnon organisaatioista. Sivustolla on luonnollisille henkilöille ja yrityksille tietopalveluista teemoittain. Lisäksi sivustolta löytyy kansallista lainsäädäntöä, virallisia julkaisuja, alueellisia ja paikallisia alemman asteisia säädöksiä. Sivuston kautta pääsee omalle henkilökohtaiselle sivustolle mijn.overheid.nl.

Mijnoverheid.nl on portaali, johon pääsee tunnistautumisen (DigID) avulla käyttämään laajaa kirjoa sähköisiä palveluja. Käyttäjiä ovat kansalaisuudesta riippumatta kaikki Hollannissa asuvat. Mijnoverheid.nl koostuu omien tietojen näkymästä, viestinvaihtokanavasta sekä ajankohtaista –osiosta, joka käsittää käyttäjän sen hetkisten asioiden statuksen. Portaali yhdistelee eri viranomaisten järjestelmistä tietoja kevyellä integraatiolla. Tunnistautumisen avulla pääsee tarkastelemaan itsestä tallennettuja tietoja, kuten osoitetietoja, perhetietoja, työ- ja palkkatietoja sekä kiinteistö- ja ajoneuvotietoja. Tunnistamispalvelun käyttö ei ole pakollista, mutta 9,8 miljoonaa kansalaista on aktivoinut tilinsä ja enemmän kuin 600 hallinnon tai julkista hallintotehtävää hoitavaa organisaatiota on ottanut käyttöön DigID:n. DigID authorise on valtuutuspalvelu, jonka avulla voi valtuuttaa kolmannen henkilön hoitamaan omia asioita julkisen hallinnon sähköisissä palveluissa.

Viestinvaihtokanava tarjoaa turvallisen asiointitavan hallinnon kanssa. Kaikilla Hollannissa pysyvästi asuvilla on oma MijnOverheid email -osoite, mutta sen käyttäminen ainoana viestikanavana edellyttää hyväksyntää, jonka voi antaa yleisenä hyväksymisenä kaikille viranomaisille. Tästä poikkeuksena on verohallinto, joka ei enää lähetä paperimuotoista viestintää kansalaisille lainkaan.

2.2.6 EU

Euroopan komissio julkaisi 6.5.2015 strategian digitaalisista sisämarkkinoista (A Digital Single Market Strategy for Europe COM(2015) 192). Strategiassa on kuvattu keskeiset toimenpiteet digitaalisten sisämarkkinoiden loppuun saattamiseksi. Strategiaan liittyvät lainsäädäntö- ja muut ehdotukset annetaan erikseen vuosien 2015 ja 2016 aikana. Digitaalisten sisämarkkinoiden tarkoitus on purkaa sääntelystä johtuvat raja-aidat ja yhdistää kansalliset markkina-alueet yhtenäisiksi sisämarkkinoiksi. Toimivat digitaaliset sisämarkkinat voisivat komission mukaan kasvattaa EU:n taloutta jopa 415 miljardilla eurolla vuodessa ja luoda satoja tuhansia työpaikkoja. Strategialla halutaan tukea osallistavaa digitaaliyhteiskuntaa ja sitä, että kansalaisilla olisi riittävät taidot internetin tarjoamien mahdollisuuksien hyödyntämiseksi.

Digitaalisten sisämarkkinoiden strategiassa määritellään 16 toimenpidettä, jotka on jaoteltu kolmeen pilariin ja jotka komissio aikoo toteuttaa vuoden 2016 loppuun mennessä. Ensimmäisen pilarin toimenpiteiden tavoitteena on kuluttajien ja yritysten digitaalisten tuotteiden ja palvelujen saannin parantaminen koko Euroopassa muun muassa rajat ylittävän sähköistä kaupankäyntiä koskevien sääntöjen laatimisella. Strategian toisen pilarin toimenpiteillä on tavoitteena luoda suotuisat ja tasapuoliset olosuhteet digitaaliverkoille ja innovatiivisille palveluille. Kolmannen pilarin tavoitteena on maksimoida digitaalitalouden kasvupotentiaali. Komissio aikoo edistää tämän tavoitteen saavuttamista ehdottamalla eurooppalaista aloitetta tiedon vapaan liikkuvuuden edistämiseksi. Kolmannen pilarin toimenpiteitä ovat lisäksi standardien ja yhteentoimivuuden prioriteettien määrittely digitaalisten sisämarkkinoiden kannalta kriittisillä aloilla, kuten sähköiset terveyspalvelut, liikennesuunnittelu tai älykäs mittaus energia-alalla.

Stategiaan liittyen komissio aikoo esittää uuden sähköisen hallinnon toimintasuunnitelman vuosiksi 2016–2020. Siihen sisällytetään muun muassa yritysrekisterien yhteenliittäminen ja sen varmistaminen, että kansalliset järjestelmät kommunikoivat toistensa kanssa. Suunnitelmaan sisällytetään tietojen yhden kerran kysymisen periaatetta koskevan kokeilualoitteen käynnistäminen jäsenvaltioiden kanssa. Lisäksi laajennetaan ja yhtenäistetään Euroopan ja kansallisen tason portaaleja kohti yhteistä kansalaisille ja yrityksille käyttäjäystävällistä palveluväylää (Single Digital Gateway). Myös sähköisten allekirjoitusten käyttöönottoa nopeutetaan.

Rajat ylittävä tunnistamista ja luottamuspalveluja koskevassa eIDAS-asetuksessa säädetään ehdoista, joiden mukaan jäsenvaltioiden on tunnustettava toisen jäsenvaltion ilmoitetun sähköisen tunnistamisen järjestelmän piiriin kuuluvat luonnollisten ja oikeushenkilöiden sähköisen tunnistamisen menetelmät. Lisäksi asetuksessa säädetään luottamuspalveluja koskevista säännöistä ja vahvistetaan oikeudelliset puitteet sähköisille allekirjoituksille, asiakirjoille ja rekisteröidyille jakelupalveluille. Asetuksen täytäntöönpano edellyttää muutoksia tunnistuslakiin ja suomalaiseen sähköisen tunnistamisen infrastruktuuriin myös julkisella sektorilla. Nykyisen infrastruktuurin mukaisten tunnistuksen välityspalveluiden rinnalla tai liitännäispalveluna pitäisi vuonna 2018 olla mahdollisuus käyttää mitä tahansa vastaavan tasoista tai vahvempaa sähköistä tunnistusvälinettä, jonka joku jäsenvaltio on ilmoittanut julkaistavaksi komission luettelossa.

Euroopan parlamentin ja neuvoston asetus yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus) hyväksyttiin joulukuussa 2015. Säädöstä ryhdytään soveltamaan kahden vuoden kuluttua sen voimaantulosta, eli vuonna 2018.

Asetus koskee sekä julkista että yksityistä sektoria ja sisältää säännökset mm. henkilötietojen käsittelyä koskevista periaatteista, käsittelyn lainmukaisuudesta, rekisteröityjen suostumuksen edellytyksistä ja arkaluonteisten tietojen käsittelystä. Asetuksen tavoitteena on parantaa luottamusta online-palveluihin ja näin edistää EU:n digitaalista sisämarkkinoiden kehittämistä. Joissain kohdissa asetuksessa annetaan kansallista liikkumavaraa. Tämä koskee esimerkiksi henkilötietojen käsittelyä viranomaisissa. Sähköisten palvelujen osalta huomioon otettavia muutoksia henkilötietojen käsittelyyn on esimerkiksi se, että asetus tuo tarkempia sääntöjä henkilötietojen käsittelijöiden vastuusta, erityisesti rekisterinpitäjien, mutta myös rekisterinpidossa avustavien osalta. Asetuksen tullessa voimaan organisaatiolle ei riitä, että se noudattaa asetusta, vaan organisaation on pystyttävä osoittamaan, että tietosuojasäännökset huomioidaan rekisterinpitäjän toiminnassa. Asetus sisältää myös ilmoitusvelvollisuuden vähäistä suuremmista tietoturvaloukkauksista. Rekisteröidyllä olisi asetuksen mukaan oikeus siirtää omat tietonsa sähköisesti, koneluettavassa muodossa toiseen palveluun. Rekisteröidyllä olisi tämä oikeus silloin, kun hän itse on antanut henkilötiedot ja kun niiden käsittely perustuu suostumukseen tai sopimukseen. Kyseinen ns. my data -sääntely ei pääsääntöisesti kohdistu julkista tehtävää hoitavien rekistereihin eikä oikeudella omiin tietoihin tule olla epäsuotuisaa vaikutusta toisten oikeuksiin.

2.3 Nykytilan arviointi

Julkista hallintoa on jo jonkin aikaa pyritty kehittämään erityisesti asiakaslähtöisten palvelujen näkökulmasta. Julkisen hallinnon palvelujärjestelmä on kuitenkin pirstaloitunutta ja palvelujärjestelmä on varsin hajautunut viranomaiskohtaiseksi. Näistä lähtökohdista asiakaslähtöisten palvelujen kehittäminen on ollut haastavaa.

Pirstaloitumisen yksi syy on lainsäädäntö, jossa palvelutuotanto sekä tiedonhallinta hajautetaan viranomaisyksiköihin korostaen viranomaisten erillisyysperiaatetta. Toimialakohtaisuus on vaikuttanut osaltaan siihen, ettei yhteisiä palveluita ole voitu kehittää ilman valtioneuvostotasoista ohjausta ja lainsäädännön kehittämistä. Toimialaan ja toimivaltaan sidottua palvelujen järjestämisvastuuta voidaan muuttaa siten, että valtion viranomaiselle annetaan laissa mahdollisuus tuottaa palveluja yhteistyössä muiden viranomaisten kanssa tai välillisen julkisen hallinnon kanssa taikka käyttäen yksityistä sektoria avustavissa tehtävissä. Sääntelymahdollisuuksiin vaikuttavat julkista hallintotehtävää koskeva perustuslain sääntely, virkavastuukysymykset, toimivalta sekä tiedonhallintaa koskevassa lainsäädännössä omaksuttu viranomaiskohtaisen vastuun periaate.

Asiakaslähtöisten palvelukokonaisuuksien kehittäminen, viranomaisten yhteistyön lisääntyminen ja tiedonhallinnan tehostamistarpeet edellyttävät myös lainsäädännön kehittämistä.

3 Esityksen tavoitteet ja keskeiset ehdotukset
3.1 Tavoitteet

Ehdotetussa laissa tarkoitetut yhteiset sähköisen asioinnin tukipalvelut yksinkertaistavat ja helpottavat turvallista hallinnossa asiointia. Lisäksi palveluilla edistetään julkisen hallinnon avoimuutta sekä parannetaan julkisen hallinnon palvelujen laatua ja mahdollistetaan sähköisten palvelujen kustannustehokkuus niiden elinkaaren ajan. Palveluilla myös parannetaan tietojen yhteiskäyttöä ja tietojärjestelmien yhteentoimivuutta julkisessa hallinnossa sekä edistetään yritysten mahdollisuuksia hyödyntää julkisen hallinnon tietovarantoja ja palveluja. Yhteisiä sähköisen asioinnin tukipalveluja voidaan hyödyntää viranomaisen tai muun käyttäjäorganisaation asiointipalvelun toteuttamisen tukena. Lisäksi palveluja voidaan hyödyntää käyttäjäorganisaation muun tehtävän tai palvelun hoitamisen tukena.

3.2 Toteuttamisvaihtoehdot

Yhteisistä sähköisen asioinnin tukipalveluista on jo säädetty TORI -laissa ja –asetuksessa, joihin ei kuitenkaan sisälly erityisiä säännöksiä esimerkiksi hallinnon asiakkaan henkilötietojen käsittelystä taikka rekisterinpidon vastuista. Edellä kuvattu erityissääntely ei ole tarpeen sellaisten perustietotekniikka- ja tietojärjestelmäpalvelujen osalta, joita Valtori tuottaa mainitun lain nojalla. Myöskään TORI-lain yhteisen sähköisen asioinnin ja hallinnon tukipalvelun määritelmä (sähköisen asioinnin toteuttamisen edellyttämä tai sähköisiin asiointipalveluihin liittymistä tukeva tieto- ja viestintätekninen ratkaisu) ei välttämättä täysin vastaa KaPA-ohjelmassa kehitettävien palvelujen sisältöä. Nyt sääntelyn kohteena olevista palveluista valtaosa sisältää hallinnossa asioivan oikeusturvan kannalta merkittäviä ominaisuuksia sekä sellaista tietojen yhdistämistä, jotka eivät välttämättä ole katsottavissa pelkästään tieto- ja viestintätekniseksi ratkaisuksi.

Useissa nyt sääntelyn kohteena olevissa tukipalveluissa on tarve säännönmukaiselle kansalaisen eri rekistereissä sijaitsevien sekä yhteisten sähköisten asiointipalvelujen käytöstä tallennettujen henkilötietojen käsittelylle. Tästä tietojen käsittelystä sekä palvelutuottajan vastuista on syytä säätää erikseen tarkemmin. Yhteisillä sähköisen asioinnin palveluilla on myös TORI-laissa säädettyjä perustietotekniikka- ja tietojärjestelmäpalveluja merkittävämpi ja välittömämpi vaikutus hallinnossa asioivan oikeusturvaan ja asioinnin sujuvuuteen, koska tukipalveluja käytetään suoraan asiointipalvelujen tukena sähköisen asioinnin infrastruktuuripalveluina. Koska yhteisiin sähköisen asioinnin tukipalveluihin sisältyy itsenäistäkin henkilötietojen käsittelyä suhteessa asiointipalveluihin tai olemassa oleviin viranomaisten rekistereihin, on päädytty ehdottamaan, että nämä tukipalvelut erotetaan muista yhteisistä tieto- ja viestintäteknisistä palveluista omaan lakiinsa. Erillisellä lailla mahdollistetaan myös tukipalveluja koskevan kokonaisuuden parempi hahmottaminen ja mahdollisuus kehittää tukipalveluja lainsäädännönkin tasolla erillisenä kokonaisuutena suhteessa yhteisiin perustietotekniikka- ja tietojärjestelmäpalveluihin.

Palveluja joko velvoitetusti tai oikeutetusti käyttävien organisaatioiden kenttä halutaan säätää mahdollisimman laajaksi sekä käyttäjäkokemuksen kannalta että toisaalta kustannushyötyjen saamiseksi yhteiskunnalle. Vaihtoehtona olisi ollut rajata ehdotetussa laissa tarkoitettujen palvelujen asiakaskunta vain valtion virastoihin ja laitoksiin. Tässä yhteydessä on kuitenkin koko julkisen hallinnon sähköisen asioinnin palvelujen tuotannon järjestämisen kannalta tarkoituksenmukaista luoda lainsäädännölliset perusteet ja mahdollisuudet sille, että valtion järjestämisvastuulla olevia yhteisiä sähköisen asioinnin tukipalveluja tuotetaan ehdotetussa laissa säädettävissä rajoissa myös muille tahoille kuten kunnille, välilliselle julkishallinnolle sekä osin myös yksityiselle sektorille.

3.3 Keskeiset ehdotukset

Ehdotetulla lailla kootaan hallinnon yhteisten sähköisen asioinnin tukipalvelujen tuottamiseen liittyvä sääntely yhteen lakiin. Voimassa olevaa sääntelyä tarkennetaan muun muassa viranomaisten tehtävien sekä henkilö- ja muiden tietojen käsittelyn osalta. Tukipalvelujen tuotanto keskitetään VRK:een verkkomaksamisen kokoamis- ja hallinnointipalvelua ja hallinnon karttapalvelua lukuun ottamatta. Palvelut rahoitetaan pääsääntöisesti keskitetysti, jotta kynnys käyttää yhteisiä ratkaisuja on mahdollisimman matala ja kumuloituva hyöty saadaan mahdollisimman suureksi. Lisäksi keskitetyllä rahoitusmallilla saavutetaan etuja siinä, että tehtävät, joita tällä hetkellä kaikki organisaatiot tekevät tahoillaan (esimerkiksi tunnistamiseen liittyvät neuvottelut ja sopimukset tunnistamisvälineiden käytöstä) keskitetään yhden toimijan vastuulle. Samalla kevennetään hallintoa myös purkamalla hallintajärjestelmä, joka on kehitetty seuraamaan organisaatioille kohdistuvaa laskutusta esimerkiksi toteutuneiden tunnistamistapahtumien perusteella. Yhteiset sähköisen asioinnin tukipalvelut laajennetaan julkisen hallinnon organisaatioiden lisäksi mahdollisimman pitkälle myös yritysten käyttöön.

Esitykseen sisältyvien lakiehdotusten on tarkoitus tulla voimaan 1.7.2016. Lain siirtymäsäännöksillä määriteltäisiin tehtävien järjestämistä ja käyttövelvollisuutta koskevista siirtymäajoista. Siirtymäsäännöksillä määriteltäisiin myös, miten lain voimaantulon aiheuttamassa toiminnallisessa ja tehtävien järjestämiseen liittyvässä muutoksessa henkilöstön asema järjestetään sekä miten toiminta ja toimintaan liittyvät sopimukset, muut sitoumukset ja vireillä olevat asiat siirtyvät.

4 Esityksen vaikutukset
4.1 Taloudelliset vaikutukset

KaPA-ohjelmaan on myönnetty ja osoitettu ohjelmakaudelle 2014 – 2017 yhteensä 100 milj. euroa momentille 28.70.03 Kansallisen tietoalan ohjaus ja kehittäminen. Vuoden 2014 talousarviossa momentille myönnettiin 13 milj. euroa, vuoden 2015 talousarviossa 32 milj. euroa ja vuoden 2016 talousarviossa 27,5 miljoonaa euroa. Julkisen talouden suunnitelmassa vuosille 2017-2020 momentille on osoitettu 27,5 milj. euroa vuodelle 2017. Määrärahoilla maksetaan menot, jotka aiheutuvat yhteisten sähköisen asioinnin tukipalvelujen ylläpidosta, kehittämisestä ja tuottamisesta sekä käyttöönottojen tuesta vuosien 2014 – 2017 ajalta. Momentilta 28.70.03 myönnetään tukea julkisen hallinnon organisaatioille, jotka suunnittelevat tai toteuttavat KaPA-ohjelman palvelujen käyttöönottoa vuosien 2016 ja 2017 aikana. Tuki on kunnille valtionavustusta ja valtionhallinnon organisaatioille käyttöoikeus mainittuun momenttiin. Tuella pystytään tukemaan merkittävää osaa vuosina 2016 ja 2017 tapahtuvista tukipalvelujen käyttöönotoista.

Viestinvälityspalvelun ja yhteentoimivuuspalvelujen kehittämisestä aiheutuvat menot maksetaan momentilta 28.70.01 Valtion ICT:n ohjaus ja kehittäminen. Verohallinnon vuoden 2016 loppuun saakka tuottama KATSO –organisaation tunnistuspalvelun aiheuttamat menot maksetaan Verohallinnon toimintamenoista momentilta 28.10.01. Suomi.fi –palvelun aiheuttamat menot maksetaan Valtiokonttorin toimintamenoista momentilta 28.20.01 ja Yrityssuomi.fi -palvelun aiheuttamat menot momentilta 32.01.02 Elinkeino-, liikenne- ja ympäristökeskusten toimintamenot. Yhteentoimivuuspalvelujen, kansalaisen asiointitilin ja Vetuma-palvelun jatkuvan palvelutuotannon kustannukset maksetaan momentilta 28.20.06 Sähköisen asioinnin ja hallinnon yhteiset palvelut. Valtiovarainministeriö tukee julkisen hallinnon yhteisten tietojärjestelmien ja –palvelujen käyttöönottoa ja päällekkäisten ratkaisujen alasajoa momentilta 28.01.13 Julkisen hallinnon yhteisteisten tietojärjestelmien ja –palvelujen käyttöönoton tuki.

Ohjelmakausi päättyy vuoden 2017 loppuun, jonka jälkeen palvelut jatkuisivat lakisääteisinä, pääosin keskitetysti rahoitettuina palveluina. Jatkuvan palvelun aiheuttamat kustannukset maksettaisiin keskitetysti valtion talousarviosta, jotta kynnys käyttää yhteisiä ratkaisuja olisi mahdollisimman matala ja palvelujen laajasta käytöstä saatava hyöty saadaan mahdollisimman suureksi. Valtiokonttorille kuuluvaa maksamisen kokoamis- ja hallinnointipalvelua ja hallinnon karttapalvelua lukuun ottamatta tukipalveluja tuottava taho tulisi olemaan VRK. Tukipalvelujen ohjauksesta vastaisi valtiovarainministeriö. Työ- ja elinkeinoministeriöllä olisi yrityksen palvelunäkymän sisällön osalta jaettu ohjausvastuu valtiovarainministeriön kanssa – samoin maa- ja metsätalousministeriöllä hallinnon karttapalvelun osalta. Valtiokonttori tarjoaisi jatkuvan palvelun loppukäyttäjien tuen Kansalaisneuvontapalvelun kautta. Valtori vastaisi palvelujen käyttöpalveluista, eli niiden tarvitsemista teknisestä ympäristöistä siten kuin TORI-laissa ja –asetuksessa säädetään.

Olemassa olevien ja uusien palvelujen perustamisen, keskittämisen ja jatkuvan tuottamisen taloudellisten vaikutusten arviointi perustuu KaPA -ohjelman toteutushankkeessa tehtyihin taloudellisiin suunnitelmiin, kustannusarvioihin ja kustannus-hyötyarviointeihin.

VRK:n kustannuksiksi ensimmäisenä jatkuvan palvelutuotannon vuonna 2018 on arvioitu 14,3 milj. euroa. Kustannus koostuu seuraavien palveluiden tuotantokustannuksista: palveluväylä ja liityntäkatalogi, palvelunäkymät (kansalaisen, yrityksen ja viranomaisen), palvelutietovaranto, tunnistaminen, asiointivaltuuspalvelu, viestinvälityspalvelu, KATSO ja avoindata.fi. Kustannukset muodostuvat kunkin tuotetun tukipalvelun kustannuksista, tukipalvelujen yhteisistä kustannuksista sekä tunnistamisen tapahtumista tunnistuspalvelun tarjoajille maksettavista maksuista. Kustannukset kohdistuvat tukipalveluista vastaavaan organisaatioon, joka tuottaa uusia sekä olemassa olevia palveluja kehittyneempiä ratkaisuja. Keskitetty malli mahdollistaa tukipalveluille yhteisen osaamisen hyödyntämisen kaikissa palveluissa, jolloin palveluntuotannon tapa on kustannustehokkaampi kuin palvelujen tuottaminen erikseen useissa organisaatioissa.

Kokonaiskustannusten on arvioitu kasvavan noin 0,65 milj. eurolla vuonna 2019, mikä johtuu arvioidusta tunnistuspalvelujen tapahtumamaksuihin liittyvien kustannusten kasvusta. Lisäksi varaudutaan käyttöpalvelujen kustannusten kasvuun.

Pääosa resursseista olisi yhteisesti kaikkien VRK:n tuottamien tukipalvelujen käytössä. Näin varmistetaan resurssien optimaalinen käyttö tukipalvelujen tukena. Palveluille on nimetty tuoteomistajat, jotka vastaavat palvelun tuotannon toiminnasta ja seurannasta sekä kehittämistehtävien tunnistamisesta, priorisoinnista ja työjonosta. Tuoteomistaja vastaa palvelun tuottamisesta sekä kansallisen että EU-tason vaatimusten mukaisena.

Jatkuva palvelu tuotetaan tietoturvallisena, testattuna ja julkishallinnon kokonaisarkkitehtuurin mukaisena palveluna. Jatkuvan palvelun toiminnassa varmistetaan palvelukokonaisuuden tietoarkkitehtuurin kehittäminen ja ylläpito julkishallinnon tiedon yhteentoimivuuteen ja tietoturvallisuuteen liittyvien säädösten, suositusten ja ohjeiden mukaisesti mukaan lukien palvelujen operoinnissa syntyvien seuranta- ja lokitietojen kokonaisuuden järjestäminen. Seuranta- ja lokitietojen kokonaisuuden analysointi ja tietojen tuottaminen johtamisen ja palveluiden jatkokehittämisen tarpeisiin ovat myös VRK:n KPA-yksikön tehtäviä. Jatkuvan palvelun kokonaisuus perustuu avoimiin rajapintoihin, jotka suunnitellaan ja tuotteistetaan kehittäjäystävälliseksi. Avoimen lähdekoodin ratkaisujen päälle voidaan kehittää kehittäjäyhteisötoimintaa, josta saataisiin myös kontribuutiota palvelujen kehittämiseen. Kehittäjäyhteisön hallinta, koodimuutosten arviointi ja julkaisu kuuluvat myös yksikön tehtäviin. Yksikön palvelujen tuottaminen vaatii teknisen osaamisen lisäksi lainsäädännöllistä sekä markkinointiin ja laatutoimintaan liittyvää osaamista.

Valtiokonttorin kustannuksiksi verkkomaksamisen tukipalvelun tuottamisessa vuodesta 2018 lukien on arvioitu 500 000 euroa vuodessa.

Jatkuvan palvelun ohjaaminen kuuluisi valtiovarainministeriön tehtäviin. Palvelukokonaisuuden ohjaaminen edellyttää kahta uutta henkilöresurssia, joiden kustannuksiksi vuodesta 2018 lähtien on arvioitu 250 000 euroa vuodessa. Jatkuvan palvelun tehtävät tulevat korvaamaan ohjelma-aikaisen organisaation niin valtiovarainministeriössä kuin VRK:ssakin vuoden 2018 alussa.

Hallinnon karttapalvelun jatkuviksi kustannuksiksi on arvioitu 170 600 euroa vuodessa, mikä toteutetaan valtiontalouden kehysten puitteissa.

Asiointivaltuuspalvelu tarjoaisi maksutta muun muassa yhteisöjen laillista edustamista koskevia tietoja muun muassa kaupparekisteriä hyödyntäen. Asiointivaltuuspalvelun ei arvioida olennaisella tavalla korvaavan patentti- ja rekisterihallituksen maksullisia tietopalveluja. Tästä syystä asiointivaltuuspalvelulla ei tässä vaiheessa arvioida olevan sellaisia vaikutuksia, että Patentti- ja rekisterihallituksen talousarviorahoitusta tulisi lisätä. Meneillään on myös Kaupparekisterin uudistamista koskevan työryhmän selvitystyö, jossa arvioidaan esimerkiksi tietojen saatavuutta ja rekisteritoiminnan rahoitusta.

Jatkuvan palvelun kustannuksiin on tarkoitus vuosille 2017-2020 annetun julkisen talouden suunnitelman mukaan siirtää määrärahoja valtion talousarvion eri momenteilta. Valtorin tuottamat sähköisen asioinnin ja hallinnon yhteiset palvelut siirretään VRK:n ja Valtiokonttorin vastuulle, joten niiden keskitettyyn maksamiseen osoitetut määrärahat momentilta 28.20.06 Sähköisen asioinnin ja hallinnon yhteiset palvelut ehdotetaan siirrettäväksi valtiovarainministeriöltä VRK:n ja Valtiokonttorin toimintamenoihin asteittain vuodesta 2017 alkaen. Vuonna 2018 siirretään mainitulta momentilta 2,125 milj.euroa VRK:n toimintamenoihin momentille 28.30.03 ja vuosina 2019 ja 2020 siirretään 2,235 euroa. Siirrot tehdään viestinvälityspalvelun (nykyisin Kansalaisen asiointitili) ja yhteentoimivuuspalvelujen tuottamisen kustannusten kattamiseksi. Valtiokonttorin toimintamenoihin momentille 28.20.01 siirretään verkkomaksamisen palvelun tuottamista varten 500 000 euroa vuosina 2017-2020 momentilta 28.20.06.

Julkisen talouden suunnitelmassa vuosille 2017-2020 momentille 28.70.03 Kansallisen tietoalan ohjaus ja kehittäminen on vuodesta 2018 alkaen osoitettu 7,5 milj. euron määräraha KaPA-ohjelmassa kehitettyjen palveluiden ohjaamiseen, pienkehittämiseen ja ylläpitoon. Osoitetut määrärahat ehdotetaan siirrettäväksi erilliseltä momentilta VRK:n ja valtiovarainministeriön toimintamenoihin siten, että vuosina 2018-2020 VRK:n toimintamenoihin siirretään palvelujen ylläpitoa ja pienkehittämistä varten 7,25 milj. euroa vuodessa ja valtiovarainministeriölle uusia ohjaustehtäviä varten 250 000 euroa vuodessa momentille 28.01.01. KATSO-, Suomi.fi- ja yrityssuomi.fi – palvelut siirtyvät VRK:n vastuulle, joten niihin osoitetut määrärahat ehdotetaan siirrettäväksi VRK:lle vuosista 2017 ja 2018 alkaen momenteilta 28.10.01, 28.20.01 ja 32.01.02. Määrärahasiirrot ovat KATSO:n osalta 563 000 euroa vuonna 2017 ja 610 000 euroa vuodessa vuosina 2018-2020, Suomi.fi:n osalta siirrot ovat 1,075 milj.euroa vuodessa vuosina 2017-2020 ja Yrityssuomi.fi:n osalta 500 000 euroa vuodessa vuosina 2018-2020. Määrärahasiirrot on otettu huomioon julkisen talouden suunnitelmassa vuosille 2017-2020 ja otetaan huomioon kunkin vuoden talousarvioissa.

Tunnistuspalvelujen tarjoajille maksettavia maksuja ovat eniten maksaneet Kansaneläkelaitos, verohallinto ja työ- ja elinkeinoministeriön hallinnonala. Suurimmilta maksajilta ehdotetaan vuoden 2015 arvioituihin tunnistustapahtumien lukumäärään ja kustannuksiin perustuen siirrettäväksi määrärahoja VRK:n toimintamenoihin palvelun keskitettyyn ylläpitoon vuodesta 2017 alkaen. Kansaneläkelaitoksen momentilta 33.10.60 siirretään vuosina 2018-2020 VRK:lle 680 000 euroa vuodessa, verohallinnon momentilta 28.10.01 siirretään 300 000 euroa vuodessa vuosina 2017-2020 ja työ- ja elinkeinoministeriön hallinnonalalta momentilta 32.30.01 siirretään 228 000 euroa vuodessa vuosina 2017-2020. Tavoitteena on, että vuoden 2016 aikana siirretään verohallinnon ja työhallinnon sähköisen asioinnin palvelut uuden tunnistuspalvelun piiriin, jonka jälkeen siirretään Kansaneläkelaitoksen palvelut. Muiden Vetuma -palvelun piirissä olevien organisaatioiden siirrot aloitetaan vuoden 2016 aikana ja tavoitellaan päättyväksi vuoden 2017 loppuun mennessä.

Viestinvälityspalvelun tuottamat säästöt alkavat realisoitua välittömästi, kun viestien välittämisessä siirrytään paperipostista sähköiseen viestinvälittämiseen. Viestintävälityspalveluun siirtymisen myötä ehdotetaan suurimmilta käyttäjiltä, Kansaneläkelaitokselta ja verohallinnolta, määrärahasiirtoja VRK:nlle toimintamenoihin vuodesta 2018 alkaen. Kansaneläkelaitokselta momentilta 33.10.60 siirretään 1 milj. euroa vuonna 2018 ja 1,6 milj. euroa vuodessa vuosina 2019-2020. Verohallinnolta momentilta 28.10.01 siirretään 100 000 euroa vuonna 2018 ja 55 000 euroa vuodessa vuosina 2019-2020.

KaPA-ohjelman päätyttyä vuoden 2017 lopussa, vastaavat käyttäjäorganisaatiot käyttöönottojen, omissa järjestelmissään vaadittavien muutosten sekä omien järjestelmiensä jatkuvan palvelun kustannuksista nykyisten määrärahatasojensa puitteissa. Käyttäjäorganisaatiot vastaavat kustannuksista myös uusia, palveluarkkitehtuurin mukaisia tukipalveluja ja tietovarantoja kehitettäessä ja toteutettaessa. Jatkossa kaikissa ICT-hankkeissa on huomioitava, että osa niiden toteutusta on liittyminen KaPA-palveluihin.

Yhteisten sähköisen asioinnin tukipalvelujen on arvioitu jatkossa tuovan seuraavassa jaksossa (4.2.) kuvattuja, muun muassa tunnistamisen keskittämisestä ja viestinvälityspalvelun käytöstä aiheutuvia säästöjä, kun sähköisen asioinnin suhteellinen osuus kasvaa. Toisaalta nyt arvioidut sähköisen asioinnin tukipalvelujen tuottamisen kustannukset voivat kasvaa esimerkiksi tunnistuspalvelujen ja käyttöpalvelujen kustannusten kasvaessa. Jatkossa realisoituvia säästöjä sekä toisaalta menojen mahdollista kasvua ja niiden vaikutuksia tullaan arvioimaan myöhemmissä talousarvioesityksissä.

Osana KaPA-ohjelman toteutusta tehdään riippumaton arviointi, jolla seurataan palveluarkkitehtuurin vaikuttavuustavoitteiden toteutumista. Arvioinnissa seurataan, toteutuvatko ohjelman myötä tukipalvelujen kustannustehokkuus, palvelujen laadun paraneminen sekä uusien liiketoimintamahdollisuuksien luominen yksityiselle sektorille. Ohjelmalta tukea saavat organisaatiot sitoutuvat tuottamaan seurantatietoa ohjelman arvioinneille, jotta hyötyjen realisoitumista pystytään seuraamaan paitsi ohjelma-aikana, myös sen päätyttyä. Valtiovarainministeriö seuraa ohjelman vaikuttavuustavoitteiden toteutumista, ja VRK tuottaa seurannassa tarvittavat tilastolliset tiedot tukipalvelujen käytöstä.

4.2 Taloudelliset hyödyt ja vaikutus viranomaisten toimintaan

Pääministeri Juha Sipilän hallitusohjelman tavoitteiden mukaisesti pyritään siihen, että julkiset palvelut rakennetaan ensisijaisesti digitaalisesti. Tämän mahdollistamiseksi on syytä lähitulevaisuudessa selvittää erikseen mahdollisuudet tarvittaessa lainsäädännön tuella varmistaa, että viestinvälityspalvelu on ensisijainen viranomaisten asiointikanava. Kun sähköinen asiointi pystytään toteuttamaan ensisijaiseksi ja ainoaksi asiointimuodoksi julkisen hallinnon palveluissa, voidaan saavuttaa huomattavia säästöjä, kuten esimerkiksi Tanskassa on saavutettu digitaalisen postin käyttövelvoitteella.

Palveluväylä ja liityntäkatalogi ovat osa yhteistä digitaalista infrastruktuuria, joka on tarkoitettu koko yhteiskunnan käyttöön. Säästöt syntyvät rakennettavan infrastruktuurin käytöstä ja säästöjen suuruus riippuu siitä, kuinka laajasti organisaatiot ottavat palvelut käyttöön. Suurin säästöpotentiaali tulee integraatioiden rakentamisesta eri organisaatioiden ja palvelujen ja tietovarantojen välille, mikä mahdollistaa tietojen tehokkaan yhteiskäytön ja vähentää erityyppisten integraatioiden tarvetta ja säästää kustannuksia. Syntyvä infrastruktuuri poistaa päällekkäistä työtä ja tarjoaa pohjan entistä tehokkaammalle toiminnan kehittämiselle. Muun muassa tulorekisteri ja mahdollinen sähköinen asunto-osakerekisteri ja -kauppa hyödyntävät palveluväylää ja niistä saatavat säästöt yhteiskunnalle ovat hyvin merkittävät.

Liityntäkatalogi tarjoaa tiedon tarjolla olevista tiedoista ja niiden hyödyntämiseen tarvittavista rajapinnoista ja muista teknisistä ominaisuuksista, mikä osaltaan mahdollistaa palvelujen tehokkaampaa kehittämistä. Tiedot voidaan palveluväylän avulla nykyistä helpommin varmistaa suoraan ydintietolähteestä, mikä parantaa tietojen luotettavuutta.

Palvelunäkymien ja palvelutietovarannon osalta taloudellisia hyötyjä muodostuu yhteisen teknisen alustan käyttämisestä ja yhteisten käyttöliittymien hyödyntämisestä sekä yhteisestä tekniikan, toiminnallisuuksien ja sisältöjen kehittämisestä.

Palvelutietovaranto muodostaa Suomen julkisten hallinnon palvelujen tuotekatalogin. Se parantaa palvelutietojen ja -kuvausten yhdenmukaisuutta, oikeellisuutta, ymmärrettävyyttä ja ajantasaisuutta. Palvelutietovaranto edistää palvelujen välisten poikkihallinnollisten palvelupolkujen rakentamista, palvelutietojen yhdistelyä ja kokonaan uusien palvelukokonaisuuksien syntyä. Kun julkisilla tai yksityisillä palveluntuottajilla on käytössään palvelutiedot maksuttomana avoimena datana tarjoava tietokanta, ne voivat esimerkiksi luoda tietyn elämäntilanteen ympärille uudenlaisia saumattomia palvelupolkuja. Palvelutietovaranto vähentää julkisessa hallinnossa tehtävää palvelujen kuvailutyötä, kun kuvaukset, esimerkiksi palvelupisteiden osoitteet ja puhelinnumerot, kirjataan yhdenmukaisesti kertaalleen ja jaetaan palvelutietovarannosta eri käyttötarkoituksiin.

Kun palvelutietovarannossa on kattava ja ajantasainen tieto julkisista palveluista ja niiden tarjonnasta eri kanavilla, syntyy rakenteinen digitaalinen tilannekuva julkisen hallinnon palvelukentästä kokonaisuutena. Tietoja analysoimalla voidaan tarkastella, miten palvelut jakautuvat esimerkiksi alueellisesti, kanavittain ja kohderyhmittäin. Kun tähän tulevaisuudessa liitetään sähköisten palvelutapahtumien koneellinen raportointi ja palvelujen laadun arviointimahdollisuus, saadaan työvälineistö, jonka avulla palvelutietovaranto ja palvelunäkymä voivat toimia julkisen palvelutuotannon kehittämisen välineenä.

Palvelunäkymiin tuotettavat elämäntilannekohtaiset palveluoppaat ovat yhteiskäyttöisiä ja vähentävät palvelujen sisällön kuvailutyötä hallinnossa. Palvelunäkymässä asiakkaalle tarjotaan ensisijaisesti sähköistä palvelukanavaa. Tämä johtaa suoritekustannuksiltaan kalliimpien kanavien eli käynti- ja puhelinasioinnin vähenemiseen ja tarjoaa mahdollisuuksia resurssien vähentämiseen niissä. Asiakkaat voivat olla palvelunäkymän tarjoaman tiedon myötä myös paremmin valmistautuneita henkilökohtaisessa asiointi- tai neuvontatilanteessa, jolloin asiointi voidaan hoitaa tehokkaammin. Tunnistetun käyttäjän mahdollisuus kootusti tarkastella omia rekisteritietojaan todennäköisesti lisää rekisterilähteisiin kohdistuvia hakuja sekä tietoja koskevia palautteita ja kyselyjä, mutta samalla todennäköisesti myös parantaa rekisteritiedon oikeellisuutta ja vähentää hallinnon palveluprosessien virheitä.

Valtiovarainministeriössä on arvioitu, että julkisella hallinnolla on n. 1500 sopimusta sähköiseen tunnistamiseen liittyen. Näiden sopimusten tekemiseen, seurantaan ja ylläpitämiseen on arvioitu, että julkishallinnolla kuluu n. 2,7 milj. euroa vuodessa. Sopimusten hallinta ja sopimusten perusteella maksettavat maksut ovat yhteenlaskettuna noin 7 milj. euroa vuodessa. Keskittämällä sopimukset VRK:een säästetään huomattava määrä hallinnon työaikaa, joka liittyy mm. sopimusten ylläpitämiseen ja laskutukseen.

Toisen puolesta asiointi tapahtuu nykyisin henkilöresursseja vaativina käyntiasiointeina paperisten valtakirjojen avulla. Asiointivaltuuspalvelun hyödyntäminen mahdollistaa viranomaisten asiointipalvelujen ja käsittelytoimintojen siirtämisen sähköiseen kanavaan ja siten toimintojen kehittämisen ja kustannustehokkuuden. Toteuttamalla yhteinen kansallinen ratkaisu valtuuksien tarkastamiseen vältytään päällekkäisilta ratkaisuilta ja siten saavutetaan säästöjä kansallisella tasolla. Kattavaa tilastoa toisen puolesta asioinnin tarpeesta ei ole, koska asiointitapahtumat lasketaan osaksi käyntiasiointeja. Henkilöasiointien osalta Kansaneläkelaitoksen asiointitilastoiden mukaan toisen puolesta asiointeja sen palveluissa tapahtuu noin 28 000 kappaletta kuukaudessa. Kansaneläkelaitoksen havaintojen ja varovaisenkin arvion mukaan sähköistämisellä saavutettava säästö on vähintään 5 euroa jokaista sähköistettyä asiointitapahtumaa kohti. Pelkästään Kansaneläkelaitoksen osalta potentiaaliseksi vuosisäästöksi muodostuu täten 1,68 milj. euroa vuodessa.

Viestinvälityspalvelun edeltäjän asiointitilin jo nyt toimintaansa ottaneet viranomaiset saavat uuden palvelun saumattomasti käyttöönsä. Uusia asiakkaita liitetään myös mukaan heti palvelun valmistuttua.

Hallinnon karttapalvelu mahdollistaa palvelutietovarannon palvelupisteiden sijainnin ja tavoitettavuuden kuvaamisen palvelunäkymissä. Palveluja voidaan etsiä karttaa hyväksikäyttäen sijainnillisin kriteerein.

Hallinnon karttapalvelua käyttäen viranomainen voi luoda tarvitsemansa näköisen ja sisältöisen kartan ja julkaista sen omilla verkkosivuilla tai sähköisiin palveluihinsa liittyvänä komponenttina. Palvelu mahdollistaa muiden viranomaisten tuottamien aineistojen sujuvan käytön palvelujen yhteydessä paikkatietoinfrastruktuurista annetun lain (421/2009) mukaisesti. Hallinnon karttapalvelu parantaa ja tehostaa kommunikointia viranomaisten ja kansalaisten välillä. Yhtenäinen sijaintipohjainen visualisointi estää kommunikaatiossa tapahtuvia virhetulkintoja. Palveluprosessit sujuvoituvat, kun kansalaisella on paikkatiedot ja kartat käytössä kaikkien palvelujen yhteydessä, yhtenäisellä tavalla ja yhtenäisillä kansallisilla paikkatietoaineistoilla.

Yhteisten tukipalvelujen käyttöönotto aiheuttaa käyttäjäorganisaatioille jonkin verran kustannuksia tukipalvelujen yhteensovittamisesta käyttäjäorganisaation toimintaan ja muuhun tietohallintoon. Tarkoituksena on myös, että valtion virastot ja laitokset vastaisivat jatkossakin paperipostin osalta omista kustannuksistaan. Näitä kustannuksia ei ole valmistelussa erikseen arvioitu. Yhteensovittaminen ja tukipalvelujen käyttöönotto suunnitellaan käyttäjäorganisaatioiden kanssa yhdessä siten, että toiminnalliset tavoitteet saavutetaan ja muutos voidaan toteuttaa kustannustehokkaasti.

Käyttäjäorganisaation palveluväylään liittymisen kustannukset muodostuvat oman liityntäpalvelimen hankinnasta ja ylläpidosta sekä oman tietojärjestelmän sovittamisesta palveluväylän rajapinnan kanssa yhteensopivaksi. Viranomaisen julkisen palvelun tuominen palvelunäkymiin edellyttää palvelun vakioitujen metatietojen ja tekstimuotoisten kuvausten tuomista palvelutietovarantoon joko suoraan tai tuottamalla tiedot organisaation omiin järjestelmiin ja jakamalla ne palvelutietovarantoon. Tietojen ylläpito aiheuttaa palveluista vastaaville viranomaisille uudenlaisen työprosessin.

Uuden tunnistuspalvelun käyttäjäorganisaation kustannukset muodostuisivat sen omien järjestelmien kehittämis- ja integrointikustannuksista, muutoin palvelun käyttö sitä käyttäville julkishallinnon organisaatioille olisi maksutonta.

Kunnat on tunnistettu merkittäväksi hyödyntäjäryhmäksi yhteisille sähköisen asioinnin tukipalveluille. Loppukesästä 2015 käynnistyi Suomen Kuntaliitossa toimiva Kunta KaPA –hanketoimisto, joka on kontaktoinut kuntia ja kerännyt käyttötapauksia siitä, millaisiin käyttötarkoituksiin tukipalveluja kunnissa voitaisiin hyödyntää. Kunnat ovat voineet vaikuttaa siihen, millainen rajapintojen toteuttaminen edistäisi tukipalvelujen käyttöönottoa ja miten eri palvelut olisivat parhaiten sovellettavissa kuntien toimintaympäristössä. Palvelutietovarannon kuntakäyttöä pilotoidaan ja dokumentoidaan parhaillaan, jotta saadaan tuotettua kunnille osin valmiit palvelukuvaukset sekä testattu ja dokumentoitu malli palvelujen kuvaamisesta.

Kunnallisten viranomaisten osalta velvollisuus käyttää tukipalveluja voi aiheuttaa kustannuksia palvelujen yhteensovittamisesta lakisääteisten tehtävien hoitamiseen ja kunnallisten viranomaisten omiin tieto- ja viestintäteknisiin palveluihin ja tietojärjestelmiin. Näiden kustannusten määrä ei pitäisi kuitenkaan olla merkittävä lisäkustannus verrattuna siihen, että kunnallinen viranomainen järjestäisi nämä palvelut itse eikä yhteisen palvelujen käytön velvoittavuus tulisi pääsääntöisesti voimaan ennen kuin itsenäisesti hankitun palvelun palvelusopimus päättyy.

4.3 Henkilöstövaikutukset

Palvelujen keskittämisestä VRK:een on arvioitu seuraavan edellä taloudellisissa vaikutuksissa kuvatut määrärahojen ja toiminnan siirrot. Näistä seuraa myös henkilöstön siirtoja. Valtorista on tarkoitus siirtää siirtyvien palvelujen Asiointitilin ja Avoindata.fi:n tuotannossa siirtyvät työsopimussuhteiset henkilöt työskentelemään VRK:een virkasuhteeseen.

Kun varsinainen palvelunäkymien tuotantovaihe alkaa, lopetetaan vanha Suomi.fi –palvelu viimeistään vuoden 2017 lopussa. Palvelutuotannon lakkauttamisen yhteydessä Valtiokonttorista on tarkoitus siirtää palvelun tuotantoon liittyvät virat ja niihin nimitetyt virkamiehet VRK:een virkamieslain 2 luvun nojalla.

Vanhan Yrityssuomi.fi –palvelun lopettamisaikataulu ja resurssien siirtäminen VRK:lle tapahtuu vuonna 2016 tarkennettavan aikataulun mukaisesti – viimeistään vuoden 2017 lopussa. Yrityssisällön tuottamisen varmistaminen osana palvelunäkymää edellyttää myös henkilösiirtojen toteuttamista yrityssuomi.fi -palvelunpalvelutuotannosta KEHA-keskuksesta VRK:een.

KATSO-palvelun tuotantotehtävistä verohallinnosta siirtyvät myös tehtäviin liittyvät virat ja niitä hoitavat virkamiehet VRK:een.

Yhteensä siirtyviä henkilöitä on noin 15.

VRK:n toimipaikka on Helsingissä. Todennäköisesti Valtorissa siirrettäväksi suunniteltuja tehtäviä tekevät henkilöt työskentelevät Lappeenrannassa. Valtiokonttorista ja Verohal-linnosta siirtyvä henkilöstö on Helsingissä. Keha-keskuksen osalta siirtyvät henkilöt ovat muualta kuin Helsingin työssäkäyntialueelta. Henkilö voitaisiin siirtää ilman suostumusta, mikäli hänet siirretään hänen työssäkäyntialueellaan tai työssäkäyntialueelleen. Työssäkäyntialuetta koskeva edellytys tullaan ottamaan huomioon siirtoja tehtäessä.

Edellä kuvattujen henkilösiirtojen lisäksi VRK:lle muodostuu keskitetyn palvelutuotannon johdosta noin 25 uutta tehtävää. VRK:n tämän hetkisessä hankeorganisaatiossa työskentelee 18 henkilöä määräaikaisissa virkasuhteissa. Heidän tukenaan työskentelee 19 pitkäaikaista konsulttia, eli KPA-yksikön resursointi on tällä hetkellä 37 henkilöä. Jatkuvan palvelun organisaatiota ei ole mitoitettu yhtä laajamittaiseen kehittämistyöhön kuin ohjelma-ajan organisaatiota. Uusien tehtävien on tunnistettu tuovan vaikutusta myös muutoin VRK:n organisointiin.

Valtiovarainministeriössä työskentelee ohjelmaorganisaatiossa tällä hetkellä kahdeksan henkilöä määräaikaisissa virkasuhteissa. Jatkuvan palvelun ohjaukseen on arvioitu tarvittavan kaksi henkilöä vuoden 2018 alusta lukien.

Valtiokonttorin on arvioitu mahdollisesti tarvitsevan yhden henkilön työpanoksen verkkomaksamisen kokoamis- ja hallinnointipalvelun tuottamista varten.

4.4 Vaikutukset yritysten toimintaan

KaPA -ohjelman yhdeksi vaikuttavuustavoitteeksi on määritetty uusien liiketoimintamahdollisuuksien tuottaminen yrityksille. Tähän tähdätään kehittämällä kaikille avointa palvelualustaa, jonka komponentit tarjotaan maksutta (rajapintoina sekä avoimena lähdekoodina) sähköisiä palveluja tuottavien julkisten ja yksityisten organisaatioiden käyttöön. Tämä mahdollistaa myös yritystoiminnassa uusien palvelujen kehittämisen olemassa olevien palvelujen pohjalta.

Palvelualustan rakentamisella edesautetaan sektorirajat ylittävien toimialakohtaisten sähköisten palvelumarkkinoiden syntymistä osana EU:n sähköisiä sisämarkkinoita. KaPA-ohjelmassa kehitetään digitaalisten palvelujen kehittämisen pohjaksi infrastruktuurirakenteet eli yhteiset sähköisen asioinnin tukipalvelut julkisen hallinnon organisaatioiden ja mahdollisimman laajasti myös yritysten käyttöön.

Tarkoitus ei ole, että tukipalvelujen tuottajana toimiva viranomainen suorittaisi kaikki tekniseen palvelutuotantoon liittyvät toiminnot itse. Tukipalvelun tuottajan on mahdollista hankkia palvelun komponentteja yrityksiltä eikä palvelutuotannon säätämisellä viranomaisen tehtäväksi siten olisi yritysten liiketoimintamahdollisuuksia heikentäviä vaikutuksia.

Luonnollisen henkilön tunnistuspalvelun keskitetyllä tarjoamisella vähennetään tunnistuspalvelun tarjoajien kanssa tehtävien sopimusten määrää merkittävästi (n. 1 500 sopimusta korvataan n. 10:llä). Tämä vähentää myös tunnistuspalvelun tarjoajien hallinnollista työtä.

Ehdotetussa laissa säädettyjen tukipalvelujen avulla tuotettaisiin entistä monipuolisemmin hallinnon palveluja myös yrityksille. Palvelutietovarantoa, palvelunäkymiä ja asiointivaltuuspalvelua tarjottaisiin julkisena palveluna yksityisille yrityksille, mikä edistäisi yksityisen sektorin yritysten sähköisen asioinnin palvelujen käyttöä ja kehittämistä.

Yrityksen palvelunäkymässä tarjottavat palvelu- ja tietokokonaisuudet antavat oikeaa ja ajantasaista tietoa yritystoimintaan liittyvistä asioista ja tarjoavat suoraan niihin liittyviä palveluja, minkä seurauksena yritystoiminnan esteitä tai hidasteita voidaan vähentää. Viestinvälityspalvelun avulla yrityksiä voidaan tehokkaasti ja proaktiivisesti informoida niiden velvoitteista.

Yksityiset yhteisöt, säätiöt ja elinkeinonharjoittajat voisivat käyttää palveluväylää tietojen siirtoon tietojärjestelmästään tai asiointipalvelustaan erityisesti julkisen hallinnon tietojärjestelmiin. Julkishallinnon rekisterien ja palvelujen rajapinnan määritteleminen pääsääntöisesti yhdellä tavalla myös yksityisten suuntaan on perusteltua, koska se yksinkertaistaa ja helpottaa viranomaisten tietojen hyödynnettävyyttä sekä helpottaa kanssakäymistä viranomaisten kanssa. Viranomaisten tietojen helpompi hyödynnettävyys mahdollistaa yritysten palvelujen kehittämisen ja uusien palvelujen luomisen. Mahdollistamalla yksityisille palveluväylän käyttö myös muissa tilanteissa eivät yksityisen sektorin toimijat ole pakotettuja ainakaan palveluväylän käytön vuoksi rakentamaan useita erilaisia tiedon siirron rajapintoja. Palveluväylän käyttö yritystoiminnassa olisi ensisijassa yrityksen ja viranomaisen väliseen tiedon siirtoon tarkoitettu ja yritysten välisessä tiedon siirrossa palveluväylän käyttö olisi arvion mukaan vähäistä.

Palvelutietovarannon sisältämä rakenteinen, koneluettava tieto palveluista tarjotaan maksuttomana avoimena datana kaikille ja sitä voidaan käyttää toisissa järjestelmissä ja palveluissa. Palvelutietovarannossa olevia tietoja voidaan käyttää myös kaupallisissa sovelluksissa.

Yrityksen asiakasrekisteriin sisältyvien tietojen osittainen tuominen palvelunäkymässä tunnistetulle käyttäjälle toisi yritykselle yhden lisäkanavan tavoittaa ja palvella asiakkaitaan. Yksityisen palvelun tuominen palvelutietovarantoon edellyttäisi yritykseltä panostusta palvelun kuvaamiseen. Mikäli yritys kuvaa palvelujensa metatiedot palvelutietovarantoon, yrityksen vastuulla olisi tiedon toimittaminen ja ylläpito. Mikäli yksityinen yritys tuo asiakastietojaan palvelunäkymän kautta tunnistautuneen käyttäjän näkyviin, yrityksen vastuulla on tiedon toimittaminen palveluväylää hyödyntäen sekä tarvittavien muutosten toteuttaminen oman asiakastietojärjestelmänsä rajapintoihin.

Asiointivaltuuspalvelussa on kyse perusrekistereihin ja muihin viranomaisen vastuulla pidettyjen rekisterien tietoihin perustuvan edustamista koskevan tiedon rakenteellisesti selkeämmästä tarjoamisesta myös yksityisten käyttöön. Oikeustoimeen perustuvaa valtuutusta koskevia tietoja tarjottaisiin valtion toimesta keskitetysti ja luotettavasti.. Asiointivaltuuspalvelulla voidaan merkittävästi auttaa yrityksiä kehittämään omia sähköisiä asiointipalvelujaan. KATSO-palvelun hyödyntäminen yksityistoimijoiden sähköisissä palveluissa ei lainsäädännöllisesti ole nykyisin mahdollista.

4.4.1 Valtiontuki- ja kilpailuneutraliteettisääntely

Yhteisten sähköisen asioinnin tukipalvelujen tarjoamiseen liittyy EU-lainsäädännön valtiontukisääntelystä (Sopimus Euroopan Unionin toiminnasta 107 art.) ja kansallisesta kilpailuneutraliteettia koskevasta lainsäädännöstä (kilpailulain 4 a luku) johtuvia kysymyksiä. Valtiontukisääntöjen soveltaminen edellyttää, että kaikki seuraavat tukitoimenpiteen neljä tunnusmerkkiä täyttyvät. Ensinnäkin täytyy olla kyse julkisten varojen kanavoimisesta julkisiin tai yksityisiin yrityksiin. Toiseksi toimenpiteen tulee vääristää tai uhata vääristää kilpailua suosimalla tuensaajaa. Kolmanneksi edun on oltava valikoiva, eli se kohdistuu vain tiettyihin yrityksiin. Neljäntenä kriteerinä toimenpiteellä on lisäksi oltava vaikutusta jäsenvaltioiden väliseen kauppaan.

EU:n valtiontukisääntelyyn näkökulmasta valtion tuesta voi olla kyse kolmella tasolla: tukipalvelujen rakentamisessa, operoinnissa ja käytössä. Nämä näkökulmat vaihtelevat osin riippuen ehdotetussa laissa tarkoitetusta tukipalvelusta.

Rakentamisessa ja operoinnissa palvelutuottajana esityksen mukaan toimiva VRK on KaPA infrastruktuurin omistaja ja operoija ja potentiaalinen valtiontuen saaja. Mikäli KaPA –palvelujen ei voida katsoa olevaan pelkästään julkisen tehtävän hoitamista, vaan toimintaa, jota myös yksityiset voisivat harjoittaa ja harjoittavat, saattaa olla kysymys taloudellisesti toiminnasta eli ensimmäisestä tunnusmerkistä, että julkisia varoja kanavoidaan yritystoimintaan. Myös muut tunnusmerkit voisivat tällöin ennalta arvioiden täyttyä. Toimenpiteen todennäköisesti arvioitaisiin olevan valtiontukisääntelyn näkökulmasta valikoiva, koska taloudellinen etu annetaan yhdelle toimijalle, VRK:lle. On mahdollista, että toimenpiteen arvioitaisiin myös vääristävän kilpailua tai vähintään uhkaavan vääristää kilpailua suosimalle tuen saajaa. Toimenpide myös mahdollisesti vaikuttaa jäsenvaltioiden väliseen kauppaan, koska vastaavan tyylisiä verkossa tarjolla olevia palveluja voidaan tuottaa muista jäsenvaltioista käsin. Toimenpiteen mahdolliset vaikutukset kilpailua vääristävänä tai jäsenvaltioiden väliseen kauppaan vaikuttavana ovat kuitenkin arvioitavissa suhteellisen vähäisiksi. Tiedossa olevia vastaavia palveluja tai palvelukokonaisuuksia ei ole laajassa mittakaavassa markkinoilla tällä hetkellä tarjolla. On mahdollista, että jotkin markkinoilla toimivat palvelutarjoajat joutuvat jonkin verran sopeuttamaan palvelutarjontaansa esitetyssä laissa tarkoitettujen palvelujen käytön laajentuessa. Esitettyjen palvelujen mahdollisia markkinavaikutuksia kokonaisuudessaan lieventää myös se, että palvelut ovat saatavilla kaikille avoimena palvelualustana, jonka komponentit tarjotaan maksutta rajapintoina sekä avoimena lähdekoodina.

Käytön tasolla, loppukäyttäjät olisivat kansalaisia tai yrityksiä, jotka pääsevät sähköisesti eri palveluihin ja eri rekistereissä oleviin tietoihinsa. Kansalaisille tai yrityksille julkisten palvelujen käytössä ilmenevää etua ei katsota valtiontueksi.

Mahdolliset valtiontuen piiriin laskettavat edunsaajat olisivat käyttäjätasolla yksityiset yritykset ja muut yksityiset tahot tukipalvelujen käyttäjäorganisaatioina. Valtiontukisääntelyn näkökulmasta merkittävin kysymys on, saavatko käyttäjäyritykset taloudellista etua käytöstä. Tämä tarkoittaa arviointia, voivatko yritykset välttyä yksityisten vastaavia palveluja tuottavien maksuilta käyttäessään ilmaisia KaPA-tukipalveluja – eli saavatko ne taloudellista etua. Kyse on tavallaan samasta arvioinnista kuin rakentamisen ja operoinnin osalta – eli onko kyse taloudellisesta (taloudellisesti merkityksellisestä) toiminnasta vai ei-taloudellisesta julkisen tehtävän hoitamisesta. Tästä rajanvedosta on olemassa runsaasti EU-tuomioistuinkäytäntöä. Arvio riippuu toiminnan luonteesta ja kontekstista, missä sitä harjoitetaan. Riski taloudelliseksi toiminnaksi katsomisesta on olemassa, mutta käytön tasolla mahdollinen etu ei olisi valikoiva, koska palvelut ovat tasapuolisesti yksityisten yritysten saatavilla.

Palveluväylän osana tarjottavia vastaavia palvelinvarmenteita ja aikaleimapalveluja tarjoavat myös yksityiset. Palveluväylän käytöstä yksityisten välisessä viestinnässä voi siten olla kyse taloudellisesta toiminnasta. Käyttö tiedonvaihtoon julkista tehtävää hoitavan ja yksityisen välillä ei pitäisi olla taloudellista toimintaa, koska kyse on julkisen sektorin kanssa asioimisen teknisen tavan kansallisesta ratkaisusta.

Palvelutietovarantoon rinnastuvia internetissä saatavilla olevia luettelopalveluja tarjotaan taloudellisesti markkinoilla. Esityksen valmisteluvaiheessa käytyjen keskustelujen ja saadun lausuntopalautteen perusteella markkinatoimijat eivät ainakaan suoraan näe palvelutietovarantoa tarjoamista kilpailua vääristävänä toimenpiteenä. Toimijat näkevät sen toisaalta kilpailua ja laajempaa taloudellista toimintaa mahdollistavana tietovarantona.

Palvelunäkymää muistuttavia sähköisen asioinnin yleisiä portaaleja ei palvelunäkymän aiotussa laajuudessa tällä hetkellä ole tarjolla, mutta periaatteessa ei olisi estettä tarjota sellaista yksityisen sektorin toimesta. Palvelunäkymän osalta on myös kyse siitä, missä määrin näkymä nyt tai tulevaisuudessa voisi korvata yritysten omia asiointipalveluja.

Perusrekisteritietoon pohjautuvia roolipalveluja on KaPAn asiointivaltuuspalvelussa aiottua pienemmässä mittakaavassa tarjolla yksityisen sektorin toimesta yksityisille. Myös erilaisia allekirjoituspalveluja on tarjolla, joilla voidaan periaatteessa toteuttaa myös sähköistä valtuuttamista kuten KaPA:n asiointivaltuuspalvelulla. On mahdollista, että sähköisen valtakirjapalvelun tarjoaminen myös yksityisten välisissä suhteissa ehkäisee markkinan syntymistä tai kehittymistä yksityisten tarjoamien sähköisen valtuuttamisen mahdollistavien palvelujen osalta. Perusrekisteriin pohjautuvan roolitiedon tarjoaminen voidaan katsoa julkiseksi tehtäväksi, joka perustuu nykyisiin perusrekisteritietoihin. Valtakirjaan perustuvan valtuutustiedon tarjoamisessa valtio ottaa tehtäväkseen sähköisten valtakirjojen rekisterin eli tavallaan laajentaa tältä osin perusrekisterien tietosisältöä.

Esityksessä ehdotetaan, että myös yksityiset yhteisöt, säätiöt ja elinkeinonharjoittajat voisivat käyttää useita hallinnon yhteisiä sähköisen asioinnin tukipalveluja. Palvelunäkymien ja asiointivaltuuspalvelun käytön edellytyksenä olisi, että palvelun käyttäjäorganisaatiolla olisi palvelussa tunnistettuun käyttäjään sellainen asiakassuhde, jonka perusteella käyttäjäorganisaatio voi käsitellä henkilötunnusta tai muuta tietojen hakemisen tai tarjolle tuomisen edellyttämää yksilöivää tunnusta. Yrityksen palvelunäkymään voisi esimerkiksi tuoda tietoja Y-tunnuksella. Tämä rajoitus olisi objektiivinen ja kaikille yksityisille käyttäjäyhteisöille tasapuolinen.

Palvelut olisivat ehdotetun sääntelyn perusteella kaikille käyttäjäorganisaatiolle maksuttomia. Palvelujen käyttöön ottaminen edellyttäisi kuitenkin kaikilta käyttäjäorganisaatioilta jonkin verran investointeja palveluihin liittymiseksi. Näitä kustannuksia ei korvattaisi valtion varoista. Palveluilla ei voisi myöskään korvata esimerkiksi asiakasrekisterien pitämistä eikä omia asiointipalveluja.

Ehdotetussa laissa tarkoitettujen julkisen hallinnon ylläpitämät palvelut tuovat uusia liiketoimintamahdollisuuksia yrityksille. Nämä mahdollisuudet ovat avoimesti ja yhtäläisin perustein kaikkien yritysten ja yhteisöjen käytettävissä. Rakennettava kansallinen palvelualusta on avoin, sen komponentit tarjotaan maksutta sähköisiä palveluja tuottavien julkisten ja yksityisten organisaatioiden käyttöön. Palvelut on esimerkiksi rakennettu avoimella lähdekoodilla. Tämä mahdollistaa myös yritystoiminnassa uusien palvelujen kehittämisen olemassa olevien palvelujen pohjalta. Palvelualustan rakentamisella edesautetaan sektorirajat ylittävien toimialakohtaisten sähköisten palvelumarkkinoiden syntymistä osana EU:n sähköisiä sisämarkkinoita.

EU:n tuomioistuimen oikeuskäytännössä on tunnistettu vähäisen liitännäistoiminnan käsite, jolla tarkoitetaan sitä, että jos taloudellista toimintaa ei ole mahdollista erottaa julkisen tehtävän hoitamisesta, arvioidaan toimintaa kokonaisuudessaan julkisena tehtävänä eikä kyse ole valtiontuesta. Jotta kyse olisi liitännäistoiminnaksi luettavasta taloudellisesta käytöstä, on käytön liityttävä olennaisesti tai luontaisesti julkisen tehtävän hoitamiseen ja käytettävä samoja tuotannon tekijöitä. Lisäksi liitännäistoiminta saa muodostaa enintään 20 % koko toiminnasta. Liitännäistoiminta todennäköisesti kattaisi ainakin sellaisen tukipalvelujen hyödyntämisen, jossa yksityisellä toimijalla on sekä julkisia että yksityisiä tehtäviä. On mahdollista, että käsitteen voisi tukipalveluja kokonaisuutena arvioiden laajemminkin katsoa sallivan tukipalvelujen tarjoamisen yksityisille.

Yleisiin taloudellisiin tarkoituksiin liittyvillä palveluilla, eli SGEI-palveluilla (Services of General Economic Interest) tarkoitetaan taloudellisia palveluja, jotka ovat luonteeltaan yleishyödyllisiä ja joiden tuottamisen turvaamiseksi palvelutuottajalle on asetettu julkisen palvelun velvoite. SGEI-palveluilla tarkoitetaan mm. EU:n tuomioistuimen oikeuskäytännön ja Komission SGEI –päätöksen (Komission päätös 2012/21/ EU Euroopan unionin toiminnasta tehdyn sopimuksen 106 artiklan 2 kohdan määräysten soveltamisesta tietyille yleisiin taloudellisiin tarkoituksiin liittyviä palveluja tuottaville yrityksille korvauksena julkisista palveluista myönnettävään valtiontukeen) mukaan kansalaisen jokapäiväisten tarpeiden turvaamiseen liittyviä palveluja tai muuten yhteiskunnan toiminnan kannalta merkittäviä palveluja. On mahdollista, että tukipalvelujen katsottaisiin olevan SGEI-palveluja, joiden suorittamisesta taloudellista toimintaa harjoittavalle palvelutuottajalle maksettava korvaus on tukena hyväksyttävä.

Mikäli tukipalvelujen tarjoaminen yksityisille katsottaisiin joiltain osin taloudelliseksi toiminnaksi eikä sitä voitaisi pitää vähäisenä liitännäistoimintana taikka SGEI –palveluna, on lopulta EU:n komissiolla yksinomainen toimivalta päättää valtiontukien hyväksyttävyydestä sisämarkkinoilla. Euroopan unionin toiminnasta tehdyn sopimuksen 107 artiklan 3 c kohdan mukaan sisämarkkinoille soveltuvana voidaan pitää tukea tietyn taloudellisen toiminnan tai talousalueen kehityksen edistämiseen, jos tuki ei muuta kaupankäynnin edellytyksiä yhteisen edun kanssa ristiriitaisella tavalla. Yleislähtökohta on, että valtiontuella tulee pyrkiä EU:n yhteisen edun mukaiseen tavoitteeseen. Arvioinnissa voi olla merkitystä EU:n digitaalisella agendalla ja sen sisältämillä digitalisoitumistavoitteilla. Hyväksyttävyyden arvioinnissa kiinnitetään huomiota muun muassa toimenpiteen oikeasuhtaisuutta ja vaikutusten rajallisuutta kilpailuun.

Tukipalvelujen käytön mahdollistaminen yksityisille niiden liiketoiminnassa käytettäväksi voi olla katsottavissa taloudelliseksi toiminnaksi ainakin osittain. Toisaalta mahdollistamiselle on olemassa sähköisten palvelujen yhteentoimivuuden ja digitalisaation edistämisen ja tätä kautta yleisen edun kannalta puoltavia näkökulmia. Kysymys on oikeudellisessakin arviossa myös asian tosiasiallisten vaikutusten arviosta.

Kilpailulain 4 a luvun kilpailuneutraliteettisääntelyn tavoitteena on antaa kansalliselle viranomaiselle toimivaltaa kilpailuneutraliteettiin (esim. valtiontukeen) liittyvissä asioissa, jotka ovat usein johtaneet komissiolle tehtyihin kanteluihin ja näin luoda edellytyksiä tällaisten kilpailuongelmien ratkaisemiseen kansallisella tasolla. Kilpailulain 4 a luvun soveltamisala on kuitenkin hieman toisenlainen kuin valtiontuessa joskin lähtökohtana on kuitenkin sama kysymys kuin valtiontuessa: Onko kyse julkisesta ei-taloudellisesta toiminnasta vai taloudellisesta toiminnasta markkinoilla. Kilpailulain 4 a lukua ei lain 30 b §:n mukaa sovelleta, jos menettely tai toiminnan rakenne seuraa välittömästi lainsäädännöstä taikka jos soveltaminen estäisi merkittävän kansalaisten hyvinvointiin, turvallisuuteen tai muuhun sellaiseen yleiseen etuun liittyvän tehtävän hoitamisen.

Tukipalvelujen tarjoamiselle myös yksityisessä toiminnassa hyödynnettäväksi on olemassa vahva yleisen edun tavoite, mutta samalla on tunnistettu riski siitä, että osa tarjotuista tukipalveluista voi sisältää taloudellisen toiminnan tunnusmerkkejä. Mikäli ehdotetun lain mukaisten palvelujen tarjoaminen yksityiselle sektorille katsottaisiin joltain olevan taloudellista toimintaa ja muutoinkin kilpailuneutraliteettisääntelyn vastaista, olisi asiaa edellä mainituin perustein lähtökohtaisesti arvioitava kilpailulain 30 b §:n mukaisesti välittömästi lainsäädännöstä seuraavana menettelynä tai rakenteena sekä yleiseen etuun liittyvän tehtävän hoitamisena.

Yhteisten sähköisen asioinnin tukipalvelujen tarjoaminen ehdotetussa laissa tarkoitetulla tavalla voi edellä kuvatulla tavalla olla joltain osin EU-lainsäädännön valtiontukisääntelyn ja kansallisen kilpailuneutraliteettisääntelyn vastaista. Esitettyä palvelukokonaisuutta voidaan kuitenkin pitää markkinoille soveltuvana sähköisten palvelujen yhteentoimivuuden ja digitaalisen liiketoiminnan kehityksen tukena. Esitetyn palvelukokonaisuuden operoinnin valtion toimesta tai käytön rahoituksen valtion varoista ei arvioida muuttavan kaupankäynnin edellytyksiä yhteisen edun kanssa ristiriitaisella tavalla. Tätä ei voida kuitenkaan esitystä annettaessa yksiselitteisesti sulkea pois eikä yksiselitteisesti voida ennalta arvioida, että palvelujen tarjoaminen taloudellisena toimintana olisi julkisen tehtävän hoitamisen vähäistä liitännäistoimintaa, tai että ne olisivat SGEI-palveluja. Tästä syystä on tarkoituksenmukaista varautua arvioimaan menettelyjen ja toiminnan rakenteen vaikutuksia ja hyväksyttävyyttä toiminnan vakiinnuttua muutaman vuoden kuluttua lain voimaan tulosta.

4.5 Yhteiskunnalliset vaikutukset ja vaikutukset kansalaisiin

Sähköisen asioinnin lisääntyessä asiointiin käytetty aika vähenee merkittävästi. Tanskasta saatujen kokemusten mukaan kansalaiset pitävät sähköisiä palveluja parempina kuin perinteisillä tavoilla saavutettavia palveluja. Sähköisiä palveluja voidaan käyttää ajasta ja paikasta riippumattomasti. Tällä on vaikutuksia alue- ja yhdyskuntapolitiikkaan.

Palvelutietovaranto tuo palvelutuotannon läpinäkyvämmäksi kansalaisille ja lisää sitä kautta julkishallinnon legitimiteettiä kansalaisten ja yritysten silmissä.

Tavoitetilassaan vuoden 2017 lopussa palvelunäkymä tarjoaa tunnistetulle asiakkaalle uudenlaisen tavan löytää palveluja ja saada niistä tietoa. Palvelut esitetään yhdenmukaisella tavalla yhdessä paikassa. Lisäksi palvelunäkymä tuo esiin sähköiset asiointimahdollisuudet ja edistää sähköisten palvelukanavien käyttöä ja itsepalvelun lisääntymistä. Palvelunäkymässä hallinnon asiakkaalla on mahdollisuus nähdä julkisen hallinnon toimijoiden rekistereihin sisältyviä tietojaan tai edustamansa organisaation tietoja. Tulevaisuudessa saattaisi tulla mahdolliseksi antaa kansalaiselle tai yrityksille mahdollisuus käyttää ja jakaa edelleen näitä tietoja erilaisissa sähköisissä palvelukonteksteissa.

Viestinvälityspalvelun avulla kansalaiset voivat viestiä turvallisesti viranomaisten kanssa. Palvelu mahdollistaa kansalaisille ja yrityksille mahdollisuuden hallita viranomaisilta tulevien viestien vastaanottoa sähköisen ja paperisen toimituksen välillä sekä tarjoaa viranomaisille yhden sähköisen lähetyskanavan viesteille. Viestinvälityspalvelun avulla saadaan sähköinen palveluketju toimimaan kansalaiselle asti.

Toisen henkilön puolesta asiointiin ei ole tällä hetkellä yleistä digitaalista ratkaisua. Väestön ikääntyessä ja palvelujen digitalisoituessa mahdollisuus hoitaa asioita toisen henkilön puolesta luotettavasti, tietoturvallisesti ja yhdenmukaisella tavalla nousee yhä tärkeämmäksi. Asiointivaltuuspalvelu helpottaa toisen puolesta asiointia sähköisissä asiointipalveluissa.

Tukipalvelujen suunnittelussa on ollut mukana esteettömyyden arvioijia, jotta palveluista saataisiin mahdollisimman helppokäyttöisiä ja esteettömiä. Palvelutietovarantoon myös kerätään tietoa palvelupisteistä ja niiden esteettömyydestä.

Esityksellä ei ole suoraa vaikutusta tunnistusvälineiden kattavaan saatavuuteen. Voidaan tosin ajatella, että vahvaa heikomman tunnistuksen tukipalvelu jossain määrin edesauttaa niidenkin asiointimahdollisuuksia, joilla ei ole vahvaa tunnistusvälinettä – tosin ainoastaan niissä asiointipalveluissa, jossa voidaan asioida vahvaa heikommalla tunnistuksella. Asiointivaltuuspalvelulla voidaan myös arvioida olevan niiden asemaa parantava vaikutus, jotka eivät itse kykene sähköiseen asiointiin.

4.6 Ympäristövaikutukset

Yhteisten sähköisen asioinnin tukipalvelujen ympäristövaikutukset ovat oletettavasti samat kuin palvelujen digitalisoinnilla yleisesti. Tukipalvelut ohjaavat asiakkaat ensisijaisesti sähköisiin palvelukanaviin, jolloin paperilomakkeiden ja käyntiasioinnin määrä vähenee. Paperipostin ja sen kuljettamiseen liittyvän logistiikan kevenemisellä on olettavasti myönteisiä ympäristövaikutuksia. Käyntiasiointiin puolestaan liittyy usein moottoriajoneuvon käyttö, ja jos digitaaliset palvelut vähentävät myös tätä, myönteinen ympäristövaikutus vahvistuu.

Toisaalta sähköisten palvelujen lisääntyvä tarjonta kasvattaa sähkön kulutusta. Tämä on oletettavasti myönteisiä ympäristövaikutuksia vähäisempi kielteinen ympäristövaikutus.

5 Asian valmistelu
5.1 Valmisteluvaiheet ja –aineisto

KaPA -ohjelman alkuvaiheessa valtiovarainministeriö tilasi tutkimuksen, josta julkaistiin tutkimusraportti: Palveluarkkitehtuuria tukeva lainsäädäntö, Tomi Voutilainen, 22/2014. Tutkimusprojektissa selvitettiin, mitä keskeisiä esteitä Suomen lainsäädännöstä johtuu yhtenäisen kansallisen palveluarkkitehtuurin kehittämiselle ja miten lainsäädäntöä muuttamalla voidaan tukea palveluarkkitehtuurin kehittämistä.

Valtiovarainministeriön tukena hallituksen esityksen valmistelussa on ollut KaPA-ohjelman lainsäädäntötyöryhmä. Ehdotettuja muutoksia on käsitelty myös KaPA-ohjelman strategisessa johtoryhmässä, ohjelman sekä hankkeiden ohjausryhmissä. Lisäksi valmistelun aikana on erikseen kuultu muun muassa oikeusministeriötä ja tietosuojavaltuutettua sekä TORI-lain mukaisia palvelutuottajia.

Hallituksen esitystä käsiteltiin kunnallistalouden ja –hallinnon neuvottelukunnassa 17.3.2016.

5.2 Lausunnot ja niiden huomioon ottaminen
5.2.1 Lausuntopyyntö ja saadut lausunnot

Hallituksen esityksen luonnos oli lausuntokierroksella 25.11.2015 - 8.1.2016.

Lausuntopyynnön jakelussa olivat ministeriöt, Tasavallan presidentin kanslia, Eduskunta, Eduskunnan oikeusasiamies, Oikeuskanslerinvirasto, Ahvenanmaan maakuntahallitus, Ahvenanmaan valtionvirasto, Aluehallintovirastot, Elinkeino-, liikenne- ja ympäristökeskukset, Elinkeino-, liikenne- ja ympäristökeskusten sekä työ- ja elinkeinotoimistojen kehittämis- ja hallintokeskus, Finanssivalvonta, Hallinnon tietotekniikkakeskus, Huoltovarmuuskeskus, Kansaneläkelaitos, Kilpailuvirasto, Liikenteen turvallisuusvirasto, Maanmittauslaitos, Patentti- ja rekisterihallitus, Poliisihallitus, Suomen Kuntaliitto ry, Tietosuojavaltuutetun toimisto, Valtiokonttori, Valtion tieto- ja viestintätekniikkakeskus, verohallinto, Viestintävirasto, Hansel Oy, Suomen Erillisverkot Oy, CSC - Tieteen tietotekniikan keskus Oy, JHL ry, JUKO ry, Palvelualojen työnantajat ry, Pardia ry, Elinkeinoelämän keskusliitto, Finanssialan keskusliitto, Suomen ohjelmistoyrittäjät ry, Suomen yrittäjät ry, Teknologiateollisuus ry, Tietoliikenteen ja tietotekniikan keskusliitto - FiCom ry, Aalto yliopisto, Tampereen teknillinen yliopisto, Espoon kaupunki, Helsingin kaupunki, Lahden kaupunki, Lempäälän kunta, Mikkelin kaupunki, Oulun kaupunki, Tampereen kaupunki, Vantaan kaupunki, Abako Oy, Eniro Finland Oy, Fonecta Oy, Fujitsu Finland Oy, Gofore Oy, Posti Group Oyj, Reaktor Innovations Oy, Signicat Oy, SignWise, Solita Oy, Suomen Onlineallekirjoitus Oy ja Ubisecure Solution Oy.

Lausuntoja saatiin yhteensä 61 kappaletta. Useat tahot lähettivät lausuntonsa ilman erillistä pyyntöä. Lausuntonsa toimittivat seuraavat tahot: Ahvenanmaan maakuntahallitus, Aluehallintovirastot yhteisesti, Eduskunnan kanslia, Eduskunnan oikeusasiamies, Elinkeinoelämän keskusliitto, Espoon kaupunki, FiCom ry, Finanssialan keskusliitto, Finanssivalvonta, Fonecta Oy, Fujitsu Finland Oy, Gofore Oy, Hansel Oy, Helsingin kaupunki, Itä-Suomen aluehallintoviraston maistraattien ohjaus- ja kehittämisyksikkö, JHL ry, JUKO ry, Kansallisarkisto, Kansaneläkelaitos, Kilpailu- ja kuluttajavirasto, liikenne- ja viestintäministeriö, Liikenteen turvallisuusvirasto, maa- ja metsätalousministeriö, Maanmittauslaitos, Mikkelin kaupunki, Museovirasto, Ohjelmistoyrittäjät ry, Oikeuskanslerinvirasto, oikeusministeriö, Open Knowledge Finland ry, Opetushallitus, opetus- ja kulttuuriministeriö, Oulun kaupunki, Palvelualojen työnantajat ry, Pardia ry, Poliisihallitus, Posti Oy, puolustusministeriö, sisäministeriö, sosiaali- ja terveysministeriö, Suomen Kuntaliitto ry, Suomen ympäristökeskus, Suomen yrittäjät ry, Tampereen kaupunki, Teknologiateollisuus ry, TeliaSonera Finland Oyj, Terveyden ja hyvinvoinnin laitos, Tieto Finland Oy, Tilastokeskus, Tulli, työ- ja elinkeinoministeriö (liitteenä Patentti- ja rekisterihallituksen lausunto), Valtiokonttori, Valtioneuvoston kanslia, Valtion tieto- ja viestintätekniikkakeskus Valtori, Vantaan kaupunki, verohallinto, Viestinnän keskusliitto, Viestintävirasto, Väestörekisterikeskus, yksityishenkilö ja ympäristöministeriö.

5.2.2 Lausuntojen keskeisin sisältö

Laki nähtiin pääsääntöisesti tarpeellisena ja myös keskitettyä rahoitusta sekä tukipalvelutuotannon keskittämistä VRK:een kannatettiin. Samalla kuitenkin korostettiin, että tukipalvelujen toiminnallisuuksia, laatua, tietoturvallisuutta, palvelujen käyttöä sekä käyttövelvoitteesta poikkeamista koskevaa sääntelyä tulisi täsmentää ja tarkentaa. Tehtävien siirtämisessä muilta viranomaisilta VRK:een tulisi kiinnittää huomiota aikatauluihin ja siirtyvän henkilöstön osalta esitettiin muutamia täsmennysehdotuksia lakiin ja perusteluihin.

Käytön osalta kommentoitiin erityisesti sitä, että palvelutietovarannon ja palvelunäkymän käyttövelvoitteen sisältöä tulisi täsmentää – muitakin yksityiskohtaisempia tukipalvelukohtaisia kommentteja esitettiin. Useassa lausunnossa todettiin, että tukipalvelujen hyötyjen laajempi realisoituminen viestinvälityspalvelun ja asiointivaltuuspalvelun osalta todennäköisesti edellyttäisi tiedoksiantoa ja puolesta asiointia koskevan lainsäädännön sujuvoittamista tai ainakin yhtenäisiä tulkintasuosituksia.

Maa- ja metsätalousministeriö ja maanmittauslaitos ehdottivat hallinnon karttapalvelun lisäämistä tukipalveluksi.

Osassa lausuntoja käytöstä poikkeamisen perusteiden nähtiin olevan liian suppeita ja osassa niitä pidettiin liian laajoina tai yleisinä. Erityisesti kiinnitettiin huomiota käyttövelvoitteen suhteeseen toimialakohtaiseen tai yleisempään erityissääntelyyn ja siinä asetettuihin vaatimuksiin, kuten suhteeseen sosiaali- ja terveydenhuollon tietojärjestelmiä ja turvallisuusverkkotoimintaa koskeva erityissääntely.

Kuntien osalta kommentoitiin muutamassa lausunnossa, että olisi syytä säätää käyttövelvoitteesta vasta itsehallintoalueiden perustamisen yhteydessä – siihen asti kunnilla tulisi olla käyttöoikeus. Muutamissa julkisen hallinnon lausunnoissa korostettiin, että keskeneräisiä palveluja ei pitäisi velvoittaa käyttämään ja että käyttövelvoitteen siirtymäaikoihin tulisi kiinnittää huomiota.

Useissa elinkeinoelämän lausunnoissa todettiin, että viranomaisen palvelutuotantoa parempi ratkaisu olisi ns. järjestämisvastuusta säätäminen, mikä paremmin toisi ilmi yksityisen sektorin mahdollisuuden olla mukana tukipalvelutuotannossa. Muutamassa lausunnossa ehdotettiin myös lain säätämistä määräaikaisena, jotta voitaisiin tarvittaessa ketterämmin muuttaa palvelutuotannon rakenteita.

Tukipalvelujen laajaa tarjoamista yksityisille sekä kritisoitiin että kannatettiin. Elinkeinoelämän lausunnoissa ohjelmistoteollisuuden puolelta tarjoamista pääsääntöisesti kannatettiin kun taas muutamat yleisemmin yksityisiä palvelutuottajia edustavat tahot ja palveluntarjoaja sekä työ- ja elinkeinoministeriö lausuivat valtion palvelujen tarjonnan todennäköisesti olevan haitallista toimivan kilpailun kannalta. Erityisesti kiinnitettiin huomiota viestintävälityspalveluun ja tunnistamispalveluun ja asiointivaltuuspalveluun ja niiden osalta olemassa oleviin markkinoihin. Kilpailu- ja kuluttajavirasto ehdotti, että lain suhdetta kilpailuneutraliteettisääntelyyn täsmennettäisiin.

Henkilötietojen käsittelyä koskeviin säännöksiin esitettiin täsmennyksiä. Muutamissa lausunnoissa toivottiin myös yleisen tietosuoja-asetuksen mukaisen my data –ajatuksen tuomista vahvemmin sääntelyyn jo tässä vaiheessa.

Esityksen perustelujen kannalta lausunnoissa nähtiin tärkeänä, että erityisesti esityksen taloudellisten vaikutusten arviointiin liittyvää taloudellista analyysia muutoksen säästöpotentiaalista ja sen täyttymisen seurannasta tulisi täydentää. Lisäksi käyttäjäorganisaatioille aiheutuvia vaikutuksia tulisi täsmentää erityisesti kustannusten osalta.

5.2.3 Lausuntojen huomioon ottaminen ja muu jatkovalmistelu

Annettujen lausuntojen ja muun jatkovalmistelun perusteella esitykseen tehtiin muun muassa seuraavia täsmennyksiä, korjauksia ja lisäyksiä.

Tukipalvelujen toiminnallisuuksia, laatua, tietoturvallisuutta, palvelujen käyttöä sekä käyttövelvoitteesta poikkeamista koskevaa sääntelyä täsmennettiin ja tarkennettiin pykälissä ja perusteluissa. Myös käyttövelvoitteen suhdetta toimialakohtaiseen tai yleisempään erityissääntelyyn selvennettiin perusteluissa.

Tehtävien siirtämiseen muilta viranomaisilta VRK:een liittyvää sääntelyä täsmennettiin.

Hallinnon karttapalvelun lisättiin tukipalveluksi.

Lain perusteluihin lisättiin maininta yksityisen sektorin hyödyntämismahdollisuudesta tukipalvelutuotannossa,

Esityksen suhdetta valtiontuki- ja kilpailuneutraliteettisääntelyyn täsmennettiin.

Henkilötietojen käsittelyä koskevia säännöksiä täsmennettiin.

Esityksen taloudellisten vaikutusten arviointia täsmennettiin.

Mainittujen muutosten lisäksi esitykseen tehtiin lausuntojen ja muun jatkovalmistelun perusteella lukuisia teknisiä ja yksityiskohtiin liittyviä korjauksia, täydennyksiä ja muita muutoksia, joilla on parannettu esityksen ymmärrettävyyttä ja lakiteknistä rakennetta. Jatkovalmistelussa täydennettiin esityksestä puuttuneet osat: suhde perustuslakiin ja säätämisjärjestys, kansainvälinen kehitys ja ulkomainen lainsäädäntö sekä riippuvuus muista esityksistä. Lisäksi yleisperusteluja täydennettiin ja esityksen taloudellisten vaikutusten arviointia täydennettiin monelta osin ja se yhteensovitettiin vuosille 2017—2020 annetun julkisen talouden suunnitelman kanssa.

Kaikkia annetuissa lausunnoissa tehtyjä muutosehdotuksia ei esityksen jatkovalmistelussa tehtyjen oikeudellisten arviointien, muiden selvitysten ja hallituksen aiemmin tekemien linjausten perusteella katsottu mahdolliseksi toteuttaa.

Suomen- ja ruotsinkieliset lakitekstit on laintarkastettu oikeusministeriön laintarkastusyksikössä.

6 Riippuvuus muista esityksistä

Pääministeri Sipilän hallitusohjelmaan sisältyvien sosiaali- ja terveydenhuollon uudistamisen ja itsehallintoalueiden perustamisen ensimmäisen vaiheen toteuttamiseksi on tarkoitus antaa eduskunnalle hallituksen esitys, joka sisältää muun muassa on maakuntalakia, sosiaali- ja terveydenhuollon järjestämislakia ja näiden voimaanpanoa koskevat säädösehdotukset. Tavoitteena on, että edellä tarkoitettu uudistuskokonaisuus tulee voimaan vuoden 2019 alusta lukien. Tämän johdosta tässä hallituksen esityksessä ei ole mahdollista arvioida edellä tarkoitetusta uudistuksesta aiheutuvia vaikutuksia tähän hallituksen esitykseen. Alustavana arviona voidaan kuitenkin todeta, että edellä tarkoitetun uudistuksen johdosta joudutaan esimerkiksi tähän hallituksen esitykseen sisältyvään hallinnon yhteisiä sähköisen asioinnin tukipalveluja koskevaan lakiehdotukseen sisältyviä käyttöoikeutta ja velvollisuutta koskevia säännösehdotuksia tarkistamaan.

Liikenne- ja viestintäministeriössä on parhaillaan valmisteilla hallituksen esitys Eduskunnalle laiksi vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain sekä eräiden siihen liittyvien lakien muuttamisesta. Hallituksen esityksessä muun muassa ehdotetaan, että VRK:lle annetaan lakisääteiseksi tehtäväksi eIDAS-asetuksessa tarkoitetun kansallisen yhteyspisteen toteuttaminen ja ylläpito. Mainittu yhteyspiste olisi tarkoitus toteuttaa teknisesti tähän esitykseen sisältyvän luonnollisen henkilön tunnistuspalvelun yhteyteen. Myös lain nimikettä, johon tässä ehdotuksessa viitataan, ehdotetaan muutettavaksi. Esityksessä ehdotettavien lakien on tarkoitus tulla voimaan 1.7.2016.

Edellä esitetyn perusteella annetaan eduskunnan hyväksyttäviksi seuraavat lakiehdotukset:

Yksityiskohtaiset perustelut

1 Lakiehdotusten perustelut
1.1 Laki hallinnon yhteisistä sähköisen asioinnin tukipalveluista
1 luku Yleiset säännökset

1 §.Lain tarkoitus ja soveltamisala. Ehdotetun 1 §:n 1 momentin mukaan lain tarkoituksena olisi parantaa julkisten palvelujen saatavuutta, laatua, tietoturvallisuutta, yhteentoimivuutta ja ohjausta sekä edistää julkisen hallinnon toiminnan tehokkuutta ja tuottavuutta. Ehdotetun lain tavoitteet vastaisivat pääosin julkisen hallinnon tietohallinnon ohjauksesta annetun lain tavoitteita. Ehdotetun lain tarkoituksena olisi erityisesti vaikuttaa siihen, että hallinnon yhteisten sähköisen asioinnin tukipalvelujen avulla voitaisiin saavuttaa parempaa kustannustehokkuutta palvelujen tuotannossa sekä varmistaa palvelujen laatu ja yhteentoimivuus säätämällä tukipalvelujen yhtenäisestä tuotannosta ja käytöstä.

Ehdotetussa 2 momentissa säädettäisiin lain soveltamisalasta, jonka mukaan laissa säädettäisiin julkisen hallinnon yhteisistä sähköisen asioinnin tukipalveluista, niitä koskevista vaatimuksista, niiden tuottamiseen liittyvistä tehtävistä sekä tuottamiseen liittyvästä henkilötietojen ja muiden tietojen käsittelystä. Lisäksi laissa säädettäisiin oikeudesta ja velvollisuudesta käyttää tukipalveluja sekä tukipalvelujen käytön edellytyksistä.

Ehdotetun 3 momentin mukaan yhteisten sähköisen asioinnin tukipalvelujen tuottamisen edellyttämään henkilötietojen käsittelyyn sovellettaisiin henkilötietolakia, henkilötietojen salassa pitämiseen ja luovuttamiseen julkisuuslakia ja viestien sekä välitystietojen käsittelyyn tietoyhteiskuntakaarta, jollei ehdotetussa laissa tai muussa laissa toisin säädetä. Mainitut lait koskisivat yleislakeina henkilötietojen ja viestintää koskevien tietojen käsittelyä, ellei esimerkiksi ehdotetun lain 3 luvusta muuta johdu. Säännöksessä on viittaus myös muuhun lainsäädäntöön, jossa mahdollisesti säädetään henkilötietolakia täsmentävästi. Esimerkiksi väestötietojärjestelmän tietojen käsittelyyn sovelletaan erityislakina väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annettua lakia.

Ehdotettu 4 momentti sisältäisi informatiivisen viittauksen tietohallintolakiin, jossa säädetään myös yhteisten sähköisen asioinnin tukipalvelujen toteuttamisessa noudatettavista tietojärjestelmien yhteentoimivuuden edistämistä ja varmistamista koskevista vaatimuksista.

2 §. Määritelmät. Pykälän 1 kohdan mukaan tukipalvelulla tarkoitettaisiin yhteistä sähköisen asioinnin tukipalvelua, jota käyttäjäorganisaatio käyttää asiointipalvelunsa tai muun sille kuluvan tehtävän taikka sen tarjoaman palvelun tukena. Tukipalveluja olisivat 3 §:ssä tarkoitetut palvelut sekä siirtymäajalla lakkaavat tai siirtyvät 27 §:ssä tarkoitetut palvelut.

Palvelutuottajalla tarkoitettaisiin 2 kohdan mukaan tukipalvelun tuottajaa. Palvelutuottajia koskevat vaatimukset ulottuisivat pääsääntöisesti myös siirtymäsäännöksen nojalla palveluja tuottaviin tahoihin.

Käyttäjäorganisaatiolla tarkoitettaisiin ehdotetun 3 kohdan mukaan viranomaista, muuta julkista tehtävää hoitavaa tai yksityistä, joka käyttää tukipalvelua. Käyttäjäorganisaatio voisi olla joko tukipalvelun käyttöön velvoitettu taho, kuten valtion virasto taikka taho, jolla on oikeus käyttää palvelua, kuten muu julkista hallinto- tai palvelutehtävää hoitava yhteisö tai yksityinenkin siten kuin siitä erikseen lain 2 luvussa säädettäisiin.

Asiointipalvelulla tarkoitettaisiin 4 kohdan mukaan käyttäjäorganisaation vastuulla olevaa sähköisen asioinnin palvelua. Esimerkkeinä asiointipalvelusta voidaan mainita verohallinnon verokorttipalvelu sekä työ- ja elinkeinoministeriön tarjoama neuvonnan Oma Yrityssuomi -asiointiympäristö, joihin käyttäjä voisi jatkossa siirtyä palvelunäkymän kautta siten että hänen luonnollisen henkilön tunnistuspalvelun avulla todennettu henkilöllisyyttä koskeva tieto siirtyisi käyttäjän mukana asiointipalveluun, mikäli asiointipalvelun käyttö edellyttää tunnistautumista. Asiointipalvelun määritelmän on tarkoitus kattaa kaikki sellaiset palvelut, joissa henkilö asioi tai hoitaa sähköisesti hallinto- tai muuta asiaansa käyttäjäorganisaation suuntaan. Myös esimerkiksi sellaiset palvelut, joissa henkilö vain tarkastelee käyttäjäorganisaation hänestä rekisteröimiä tietoja, olisivat tässä laissa tarkoitettuja asiointipalveluja.

Pykälän 5 kohdan mukaan käyttäjällä tarkoitettaisiin henkilöä, joka käyttää tukipalvelua hallinnon asiakkaan ominaisuudessa. Käyttäjä olisi esimerkiksi palvelunäkymässä tietojaan katseleva tai sähköistä viestinvälityspalvelua käyttävä henkilö taikka henkilö, joka käyttää luonnollisen henkilön tunnistuspalvelua tunnistautuakseen julkiseen palveluun taikka asiointivaltuuspalvelua valtuutuksen tai muun tahdonilmaisun antamiseen. Käyttäjän määritelmää on käytetty esimerkiksi muutamien tukipalvelujen määritelmissä sekä häiriöilmoituksia koskevassa 18 §:ssä.

2 luku Tukipalvelujen tuotanto ja käyttö

3 §.Tukipalvelut. Pykälässä määriteltäisiin yhteiset sähköisen asioinnin tukipalvelut.

Ehdotetun 3 §:n 1 momentin 1 kohdassa määriteltäisiin kansallinen palveluväylä eli tiedonvälityskanava, jonka avulla käyttäjäorganisaatiot voivat siirtää ja luovuttaa tietovarantoihinsa sisältyviä tietoja sekä tarjota asiointipalveluja. Palveluväylä on vakioitu tiedonvälittämistä tukeva palvelu, johon ei itsessään sisälly integraatio-ominaisuuksia. Integraatiopalveluja tuottavat sekä yksityiset tahot että esimerkiksi Valtori TORI-lain ja –asetuksen nojalla. Palveluväylä perustuu Viron X-roadissa käytettyihin ohjelmistoihin. Suomessa on rakennettu palveluväylälle muun muassa suomalaisessa IT-ympäristössä käytetyn Red Hat -linuxin tuki ja kehitetty suomalaisia tietoturvavaatimuksia vastaava tietoliikenteen lokitus ja vikatilanteiden selvittämisen valvontatoiminnallisuus. Näiden tarkoituksena on vahvistaa palveluväylän tietoturvallisuutta ja teknistä luotettavuutta.

Palveluväylä sisältää keskuspalvelimen, sekä osapuolten tunnistamiseen ja tiedon salaamiseen käytettävät varmenneratkaisut sekä aikaleimapalvelun. Varmenneratkaisujen avulla keskuspalvelin ja liityntäpalvelimet tunnistavat toisensa. Palveluväylässä on keskitetty liityntäkatalogi, jonka kautta löytyvät kaikki palveluväylän liitynnät teknisine ja hallinnollisine kuvauksineen. Palveluväylään yhdistyisivät esimerkiksi viranomaiset ja yksityiset tietovarantojen tuottajina, hyödyntäjinä tai tietojen ilmoittajina. Lisäksi sen kautta olisivat saatavilla ehdotetussa laissa säädetyt tukipalvelut sekä viranomaisten asiointipalvelut. Palveluväylässä sanomat liikkuvat internetin yli eikä palveluväylä tästä johtuen vastaa alemman kerroksen verkkotason liikennöinnistä.

Palvelujen taikka rekisterien käyttöoikeus arvioitaisiin erikseen niitä koskevan lainsäädännön nojalla. Palveluväylää käytetään tiedon siirtoon edellyttäen että siirron molemmat osapuolet ovat hyväksyneet siirron. Henkilötietodirektiivi (95/46/EY) edellyttää henkilötietojen vapaata liikkuvuutta jäsenvaltioiden välillä. Käyttäjäorganisaatio voisi hyödyntää väylää tietojen siirtoon myös kansainvälisissä suhteissa, mikäli se on lainsäädännön tai esimerkiksi kansainvälisen sopimuksen perusteella sallittua.

Pykälän 1 momentin 2 kohdassa määriteltäisiin palvelutietovaranto eli palvelu, joka kokoaa käyttäjäorganisaatioiden palveluja koskevia yhdenmukaisesti kuvattuja tietoja ja tarjoaa ne keskitetysti julkisesti saataville ja hyödynnettäväksi.

Pykälän 1 momentin 3 kohdassa säädettäisiin palvelunäkymästä. Palvelunäkymä yhdistää julkishallinnon palvelut kansalaisille kokoavan Suomi.fi-palvelun ja yritysten palvelut kokoavan Yrityssuomi.fi -palvelun sivustot yhdeksi yhteiseksi palveluksi. Palvelunäkymässä käyttäjä voi tarkastella palvelutietovarannon tietoja sekä muuta julkista materiaalia. Tunnistettu käyttäjä voi lisäksi tarkastella tietoja, jotka hänestä taikka hänen edustamastaan luonnollisesta henkilöstä tai organisaatiosta on merkitty käyttäjäorganisaatioiden rekistereihin. Henkilön edustaman yrityksen tietojen tarkastelun kokonaisuutta kutsutaan yrityksen palvelunäkymäksi. Henkilön edustaman viranomaisen tietojen kokonaisuutta kutsutaan viranomaisen palvelunäkymäksi.

Palvelunäkymää voitaisiin personoida esimerkiksi käyttäjän asuinpaikkaa koskevan tiedon avulla siten, että käyttäjä näkee palvelussa olevan karttatoiminnallisuuden avulla oletusarvoisesti häntä lähinnä sijaitsevat palvelut – samalla kuitenkin mahdollistettaisiin muuallakin sijaitsevien palvelujen hakeminen. Palvelunäkymästä käyttäjän olisi myös mahdollista siirtyä eri käyttäjäorganisaatioiden asiointipalveluihin sekä käyttää sähköistä viestinvälityspalvelua.

Ehdotetussa 4 kohdassa säädettäisiin luonnollisen henkilön tunnistuspalvelusta, joka mahdollistaa henkilön vahvan sähköisen tunnistamisen tunnistuslaissa tarkoitettuja tunnistusvälineitä hyödyntäen. Tunnistuspalvelu hallinnoisi tunnistustapahtumaa ja välittäisi väestötietojärjestelmästä henkilön yksilöintiä koskevat tiedot käyttäjäorganisaatiolle. Yksilöintiä koskevien tietojen luovuttamisesta säädettäisiin12 §:n 3 momentissa.

Tunnistustapahtuman hallinnoimisella mahdollistetaan se, että käyttäjä voi yhden verkkoselailuistunnon aikana siirtyä julkishallinnon organisaation palvelusta toiseen esimerkiksi palvelunäkymästä asiointipalveluun ja takaisin ilman että hänen tarvitsee tunnistautua uudelleen. Kyse on niin sanotun kertakirjautumisratkaisun toteuttamisesta.

Suhteessa tunnistuslakiin sekä ehdotetussa 4 että 5 kohdassa olisi kyse tunnistuksen välityksen tarjoamisesta rajatulle käyttäjäpiirille. Tunnistuspalvelun käyttäjäorganisaatioista säädettäisiin ehdotetun lain 5 §:ssä. VRK olisi nyt ehdotettuja palveluja tarjotessaan tunnistuslain näkökulmasta yleisölle tarjottavia tunnistuspalveluja hyödyntävän organisaation roolissa eikä siten esimerkiksi mukana tunnistuslain mukaisessa luottamusverkostossa.

Ehdotetussa 5 kohdassa säädettäisiin sellaisista tunnistuspalveluista sekä tunnistamisen kokoamis- ja hallinnointipalveluista, joissa voitaisiin käyttää muutakin tunnistusmenetelmää kuin tunnistuslain mukaan ilmoituksen tehneen tunnistuspalvelun tarjoajan palvelua.

Säännöksessä tarkoitettuja palveluja olisivat esimerkiksi siirtymäajan kuluttua lakkautettava Vetuma.fi sekä siirtymäajan jälkeen VRK:n vastuulle siirtyvä KATSO-palvelu, jonka tuotannossa käytetään myös muita kuin tunnistuslain soveltamisalaan kuuluvia tunnistamisen välineitä - myös heikkoa tunnistusta. Tavoitteena on lopulta lakkauttaa KATSO-palvelu sen jälkeen kun oikeushenkilön puolesta asiointi voidaan toteuttaa ehdotetun pykälän 1 momentin 6 kohdassa tarkoitetun asiointivaltuuspalvelun avulla. Haasteena KATSO-palvelun kehittämisessä asiointivaltuuspalvelun suuntaan on, ettei toistaiseksi ole tunnistuslain luonnollisen henkilön tunnistamista vastaavasti säädetty organisaation tunnistamiseen liittyvistä tunnistamisvälineistä taikka niiden valvonnasta. Henkilö ei välttämättä halua käyttää henkilökohtaiseen käyttöön tarkoitettua vahvan sähköisen tunnistamisen välinettään organisaation puolesta asioidessaan. Odotettavissa kuitenkin on, että eIDAS-asetuksen myötä tulevaisuudessa myös organisaation tunnistamista koskeva sääntely ja palvelutuotanto kehittyvät ja syntyy edellytykset KATSO-palvelun sulauttamiselle tunnistuspalvelun ja asiointivaltuuspalvelun yhdistelmään. Toisin kuin 4 kohdassa tarkoitetussa tunnistuspalvelussa, tässä kohdassa tarkoitetussa heikkoon tunnistamiseen perustuvassa tunnistuspalvelussa ei saisi tehdä tarkistuksia väestötietojärjestelmän tietoihin eikä luovuttaa väestötietojärjestelmän tietoja käyttäjäorganisaatiolle.

VRK voisi tuottaa myös luonnollisen henkilön heikon tunnistamisen kokoamis- ja hallinnointipalvelua niihin palveluihin, joissa sitä olisi tarpeen hyödyntää. Heikolla tunnistamisella tarkoitetaan muuta kuin tunnistuslaissa tarkoitettua vahvaa sähköistä tunnistamista. Esimerkiksi koulumaailmassa alle 15 vuotiaan, joka ei vielä saa sirullista henkilökorttia eikä välttämättä muutakaan vahvaa sähköistä tunnistusvälinettä, tulee tunnistautua sähköiseen oppimisympäristöön, jotta hän voi tehdä koulutehtäviä.

Heikon tunnistamisen kokoamis- ja hallinnointipalvelu voisi esimerkiksi tarjota käyttäjäorganisaatiolle keskitetyn mahdollisuuden hyödyntää sosiaalisen median palvelujen tarjoamien heikon tunnistamisen palveluja, mikäli heikommalle tunnistamiselle olisi käyttöä sellaisissa viranomaisten palveluissa, joissa ei ole pääsyä henkilön luottamuksellisiin henkilökohtaisiin tietoihin. Valtorin tuottama virkamiehen ja muun julkista valtaa käyttävän henkilön tunnistamisen kokoamis- ja hallinnointipalvelu VIRTU olisi jatkossa TORI-asetuksen mukainen perustietotekniikan käyttövaltuuspalvelu.

Pykälän 1 momentin 6 kohdassa säädettäisiin asiointivaltuuspalvelusta, joka tarjoaisi käyttäjäorganisaatiolle henkilön toimintakelpoisuutta ja toimivaltaa tai muuta tahdonilmaisua koskevan tiedon. Tietojen luovuttamisesta säädettäisiin 12 §:n 4 momentissa. Asiointivaltuuspalvelu sisältäisi sekä henkilön lakisääteistä toimivaltaa ja toimintakelpoisuuden rajoitusta koskevan tiedon tarjoamisen että oikeustoimeen eli valtuutukseen tai muuhun tahdonilmaisuun perustuvaa toimivaltaa tai muuta tahdonilmaisua koskevan tiedon tarjoamisen.

Asiointivaltuuspalvelun laillista edustamista koskeva osa tarjoaisi ehdotetun lain 9 §:ssä tarkoitettuja rekistereitä hyödyntäen käyttäjäorganisaatiolle esimerkiksi tiedon siitä, onko luonnollisen henkilön toimintakelpoisuutta rajoitettu ja onko tietyllä henkilöllä oikeus edustaa häntä. Oikeushenkilöiden osalta tarjottaisiin vastuuhenkilöitä koskeva tieto, eli onko henkilöllä esimerkiksi hallituksen puheenjohtajan tai toimitusjohtajan rooli taikka oikeus yrityksen nimen kirjoittamiseen. Lakisääteistä edustamista koskevan tiedon tarjoavaa palvelua tarjottaisiin aluksi selkeisiin edustamista koskeviin tilanteisiin, kuten lapsen huolto ja oikeus yksin kirjoittaa oikeushenkilön nimi. Palvelua pyritään kehittämään siihen suuntaan, että myös yksityiskohtaisemmin määritellyt tai yhteistä edustamisoikeutta koskevat tilanteet voitaisiin selvittää palvelun avulla.

Tahdonilmaisuun eli ehdotetussa 10 §:ssä tarkoitetussa rekisterissä olevaan toimivaltuutta koskevaan tietoon perustuvan asiointivaltuuspalvelun osan on tarkoitus olla käytettävissä vuoden 2017 alusta. Jo tätä aiemmin VRK voisi tahdonilmaisuun perustuvaa valtuutusta koskevan sääntelyn nojalla tarjota myös KATSO-organisaation tunnistuspalveluun sisältyviä valtuuttamista ja rooleja koskevia tietoja. KATSO -palvelu sisältää nykytoteutuksessa toiminnot KATSO-tunnisteiden antamiseksi ulkomaisille henkilöille. Nämä toiminnallisuudet säilyvät KATSO-palvelussa kunnes sähköisen tunnistamisen menettelyt ulkomaisten henkilöiden osalta kehittyvät esimerkiksi eIDAS-asetuksen voimaansaattamisen myötä.

Pykälän 1 momentin 7 kohdassa säädettäisiin viestinvälityspalvelusta, jonka avulla käyttäjäorganisaatio ja käyttäjä voivat lähettää toisilleen sähköisiä viestejä ja jota hyödyntäen asiakirja voidaan antaa tiedoksi sähköisesti tai postitse. Kirjepostiominaisuudella tarkoitetaan sitä, että viestinvälityspalvelun kautta voidaan toteuttaa myös paperikirjeiden postitus keskitetysti.

Sähköistä tiedoksiantamista voidaan käyttää esimerkiksi hallintoasioissa ja tuomioistuinasioissa siten kuin sähköisestä asioinnista viranomaistoiminnassa annetussa laissa tai muualla säädetään.

Viestinvälityspalvelu tulisi käyttöön kaikille viranomaisviestejä vastaanottaville kansalaisille ilman erillistä palvelun käyttöönottoa, mutta sähköisen tiedoksiannon hyväksyminen edellyttäisi palvelussa annettavaa suostumusta. Kirjautuminen palveluun edellyttäisi luonnollisen henkilön tunnistamista henkilön tunnistuspalvelua - tai siirtymäajalla Vetuma –palvelua hyödyntäen. Yrityksen palvelunäkymässä sijaitsevaan yrityksen sähköiseen viestinvälityspalveluun tunnistauduttaisiin esimerkiksi KATSO-tunnistautumisen avulla ja jatkossa luonnollisen henkilön tunnistuspalvelun ja asiointivaltuuspalvelun avulla. Palvelun on tarkoitus täyttää korotetun tason tietoturvallisuusvaatimukset siten, että se soveltuisi myös arkaluontoisten henkilötietojen välittämiseen. Viestinvälityspalvelussa yhdistyisi sähköisen palvelun lisäksi uusi toiminnallisuus, jossa viesti voitaisiin toimittaa myös postitse hallinnon asiakkaalle.

Palvelua käyttävä henkilö voisi toimia joko omassa henkilökohtaisessa asiassaan tai yrityksen puolesta ns. yrityksen viestinvälityspalvelussa. Palvelua tarjoaisi 4 §:n mukaisesti VRK, jonne Valtorin nykyisin tuottama sähköinen asiointitilipalvelu siirrettäisiin viimeistään vuoden 2017 lopussa.

Viestinvälityspalvelu tarjoaisi käyttäjäorganisaatiolle mahdollisuuden lähettää niin sanottuja herätteitä kuten tietoa käyttäjän elämäntilanteeseen tarjolla olevista julkisista palveluista. Käyttäjä voisi myös lähettää sähköisen palvelun kautta viestejä käyttäjäorganisaatiolle ja saattaa asiansa vireille sellaisessa viranomaisessa, joka on liittänyt asiointiosoitteensa vastaanottamaan viestinvälityspalvelun kautta lähetettyjä sähköisiä viestejä.

Pykälän 1 momentin 8 kohdassa säädettäisiin verkkomaksamisen kokoamis- ja hallinnointipalvelusta, joka mahdollistaisi maksujen maksamisen käyttäjäorganisaatiolle sen asiointipalvelussa. Palvelu korvaisi Vetuma-palvelun maksamispalvelun vuoden 2017 loppuun mennessä.

Pykälän 1 momentin 9 kohdassa säädettäisiin hallinnon karttapalvelusta, joka tarjoaisi käyttäjäorganisaatiolle mahdollisuuden käyttää ja yhdistää sähköisissä palveluissaan tietoaineistojaan ja paikkainfrastruktuurista annetun lain (421/2009) mukaisessa kansallisessa paikkainfrastruktuurissa tarjottavaa tietoa. Palvelu mahdollistaa viranomaisten sijaintipohjaisen viestinnän kansalaisten ja yritysten välisessä tietojen vaihdossa. Paikkatietojen merkitys ja hyödyntämismahdollisuudet yhteiskunnan palveluissa ja palvelutuotannossa ovat merkittävästi kasvaneet. Yhteiseen sijaintireferenssiin perustuvassa paikkatietoinfrastruktuurissa tarkoitettu karttapalvelu mahdollistaa palvelutietovarannon palvelujen kuvaamisen ja etsimisen sijaintipohjaisesti.

Viranomaisten tietoaineistojen saattaminen kartalliseen esitysmuotoon ja eri viranomaisten aineistojen tarkastelu yhtä aikaa samassa karttanäkymässä antaa uusia mahdollisuuksia sähköisten palvelujen toteuttamiseksi. Paikkatietoinfrastruktuurista annetun lain mukainen palvelu varmistaa eri viranomaisten tuottamien tietojen ja palvelujen sijainnillisen yhteentoimivuuden ja helpottaa sähköisten palvelujen toteuttamista.

Ehdotetun 3 §:n 2 momentin mukaan valtiovarainministeriön asetuksella voitaisiin antaa sen hallinnonalalla toimivan viranomaisen tehtäväksi tuottaa ja kehittää myös muuta kuin 1 momentissa tarkoitettua tukipalvelua edellyttäen että palvelun tuottamisessa ei käytetä julkista valtaa. Näihin muihin tukipalveluihin ei edellä 1 momentissa kuvattuja palveluja vastaavassa määrin sisältyisi hallinnossa asioivan henkilötietojen käsittelyä tai muita oikeusturvan kannalta merkityksellisiä piirteitä. Tällaisia palveluja olisivat esimerkiksi Valtorin tällä hetkellä TORI-lain 5 §:n 4 momentin nojalla tuottama palvelu, jonka avulla viranomaiset voisivat tarjota sähköisiä lomakkeita asiointipalveluissaan sekä avoindata.fi –palvelu, joka kokoaa ja tarjoaa keskitetysti saataville yhteentoimivuuden ohjausta ja kehittämistä koskevia tietoja ja palveluja sekä avoimia tietoaineistoja. Lomakkeiden tukipalvelu on tullut elinkaarensa päähän ja sen tuottaminen on tarkoitus lopettaa lähivuosina. Avoin data.fi –palvelu on tarkoitus määrätä jatkossa VRK:n tehtäväksi.

Ehdotetun 3 §:n 2 momentin mukaisia tukipalveluja voisivat käyttää viranomaiset ja muut julkista tehtävää hoitavat siten kuin 5 §:ssä säädetään. Mainittujen tukipalvelujen tarjoamisesta yksityisille säädettäisiin ehdotetun 8 §:n 3 momentin mukaan valtiovarainministeriön asetuksella. Palvelut olisivat käyttäjäorganisaatiolle 25 §:n mukaisesti maksuttomia.

4 §.Palvelutuottajat. Ehdotetussa 4 §:ssä säädettäisiin palvelutuottajista, jotka tuottaisivat yhteisiä sähköisen asioinnin tukipalveluja. Ehdotetussa 27 §:ssä säädettäisiin niistä palvelutuottajista, joiden palvelutuotanto päättyisi siirtymäajan jälkeen. Palvelutuottajan tehtäviin kuuluu hyvän hallintotavankin mukaan myös käyttäjäorganisaatioiden tukeminen ja neuvonta käyttöönotoissa, vaikkei sitä erikseen ehdotetussa laissa mainita.

Ehdotetun 1 momentin mukaan VRK tuottaisi ja kehittäisi 3 §:n 1 momentin 1 – 7 kohdissa tarkoitettuja tukipalveluja eli kansallista palveluväylää, palvelutietovarantoa, palvelunäkymää, luonnollisen henkilön tunnistuspalvelua, muita tunnistuspalveluja, asiointivaltuuspalvelua sekä viestinvälityspalvelua.

Ehdotetun 2 momentin mukaan Valtiokonttori tuottaisi ja kehittäisi 3 §:n 8 kohdassa tarkoitettua verkkomaksamisen kokoamis- ja hallinnointipalvelua.

Pykälän 3 momentin nojalla Maanmittauslaitoksen tehtävänä olisi tuottaa ja kehittää 3 §:n 1 momentin 9 kohdassa tarkoitettua hallinnon karttapalvelua.

Pykälän 4 momentti sisältäisi informatiivisen viittauksen TORI-lakiin, jossa säädetään valtion yhteisten tieto- ja viestintäteknisten palvelujen yhtenäisestä tuotannosta ja käytöstä. Ehdotetussa laissa tarkoitettujen yhteisten sähköisen asioinnin tukipalvelujen tuotantoon liittyvistä käyttöpalveluista vastaisi Valtori siten kuin TORI-laissa ja –asetuksessa säädetään.

5 §.Tukipalvelujen käyttö julkisessa tehtävässä. Ehdotetun 5 §:n 1 momentissa säädettäisiin tiettyjen julkisen hallinnon viranomaisten velvollisuudesta käyttää määrättyjä tukipalveluja. Säännöksen mukaan valtion hallintoviranomaisten, virastojen, laitosten ja liikelaitosten olisi käytettävä 3 §:n 1 momentin 1 – 4, 7 ja 8 kohdassa tarkoitettuja tukipalveluja kun tukipalvelu on käytettävissä ja kyseistä tukipalvelua vastaavan itsenäisesti hankitun palvelun palvelusopimus on päättynyt, jollei viranomainen olisi teknisistä tai toiminnallisista tai kustannustehokkuuteen taikka tietoturvallisuuteen liittyvistä syistä välttämätöntä käyttää toiminnassaan tai sen osassa muuta palvelua. Käyttövelvollisuus koskisi sisällöllisesti velvollisuutta käyttää palveluväylää, palvelutietovarantoa, palvelunäkymää, luonnollisen henkilön tunnistuspalvelua, viestinvälityspalvelua sekä verkkomaksamisen kokoamis- ja hallinnointipalvelua. Käyttöön velvoitettuina lueteltaisiin edellä mainittujen valtion organisaatioiden lisäksi kunnalliset viranomaiset lakisääteisten tehtäviensä osalta sekä tuomioistuimet ja muut lainkäyttöelimet.

Valtion hallintoviranomaisia ovat ne valtion toimielimet, jotka on asetettu hoitamaan hallintotehtäviä. Niitä ovat valtion keskushallintoviranomaiset eli valtioneuvosto ja ministeriöt sekä muut valtioneuvoston alaisuuteen kuuluvat hallintoviranomaiset, joiden alueellinen toimivalta on yleinen. Keskushallintoviranomaisten alaisia valtion toimielimiä ovat lääninhallitukset ja piirihallintoviranomaiset, joita ovat esimerkiksi elinkeino-, liikenne- ja ympäristökeskukset. Valtion virastoista ja laitoksista voidaan esimerkkeinä mainita valtion tutkimuslaitokset ja -keskukset sekä asiantuntijalaitokset, kuten Ilmatieteen laitos ja virastoista Kilpailu- ja kuluttajavirasto. Valtion varsinaiseen hallinto-organisaatioon kuuluvat myös paikallishallintoviranomaiset.

Kunnallisilla viranomaisilla olisi käyttövelvollisuus niiden hoitaessa laissa niille säädettyjä tehtäviä. Ehdotetun 2 momentin mukaan kunnallisilla viranomaisilla olisi oikeus käyttää tukipalveluja myös muissa tehtävissään. Kunnan viranomaiset ovat useimmiten monijäsenisiä kunnan toimielimiä, kuten valtuusto ja kunnanhallitus sekä lautakunta, johtokunta ja toimikunta. Kunnallisia viranomaisia ja toimielimiä olisivat myös kuntayhtymien ja muiden kuntien yhteistoimintaelinten viranomaiset ja toimielimet. Kunnallisen viranomaisen määrittely on viime kädessä johdettavissa siitä, onko tällä orgaanilla oikeudelliseen normiin perustuvia tehtäviä ja toimivaltaa.

Ehdotetun 3 kohdan mukaan tuomioistuimet ja muut lainkäyttöelimet olisivat myös velvollisia käyttämään tukipalveluja.

Yhteisten tukipalvelujen käyttövelvollisuudesta poikkeamisen perusteita tulisi lain tarkoitus huomioon ottaen tulkita suppeasti – poikkeamisen on oltava säännöksessä tarkoitetuista syistä objektiivisesti arvioiden välttämätöntä. Tekniset ja toiminnalliset syyt voivat tarkoittaa esimerkiksi sitä, ettei tukipalvelu täytä sellaisia olennaisia palvelun laadun taikka muun toiminnallisuuden vaatimuksia, joita käyttäjäorganisaatio tehtävänsä suorittamiseksi tarvitsee. Luonnollisesti toiminnallinen syy olla käyttämättä tukipalvelua voi olla myös se, ettei organisaatiolla ole tarvetta kyseiselle tukipalvelulle toiminnassaan.

Tietoturvallisuuteen liittyvät syyt tarkoittavat esimerkiksi arkaluontoisten henkilötietojen erityistä suojaamistarvetta tai turvaluokitellun tietoaineiston käsittelyvaatimusten täyttämistä sekä sen arvioimista, voidaanko tukipalveluissa käsitellä tällaisia tietoja ja millaisilla mahdollisilla erityisjärjestelyillä. Esimerkiksi julkisen hallinnon turvallisuusverkkotoiminnasta annetun lain (10/2015) 2 ja 3 §:ssä määritellyn käyttövelvoitteen piiriin kuuluvassa toiminnassa käytettävien korkean varautumisen ja turvallisuuden tason täyttävien järjestelmien ja järjestelmäympäristöjen integroiminen alemman tietoturvatason ratkaisuihin ei välttämättä ole aina mahdollista tai tarkoituksenmukaista. Mainitussa toiminnassa ei pääsääntöisesti tulisi käyttää ainakaan yksinomaan tukipalveluja, esimerkiksi palveluväylää, silloin kun on kyse tiedonvaihdosta, joka edellyttää korotetun tason tietoturvallisuutta tai korkeaa varautumista. Korotetun tietoturvatason vaatimusten täyttymiseen voidaan päästä esimerkiksi palveluväylän osalta erityisin järjestelyin. Muussa toiminnassaan esim. asiointipalvelussa turvallisuusverkkolain mukaisetkin toimijat ovat velvoitettuja käyttämään tukipalveluja silloin kun käytöstä poikkeamiselle ei ole muuta perustetta ja liittäminen toteutetaan lain 17 §:n mukaisesti siten, ettei tukipalvelun tai asiointipalvelun tietoturvallisuus tai toiminnallisuus vaarannu.

Kustannustehokkuus voi yhdessä toiminnallisuusperusteen kanssa tulla kyseeseen käyttövelvollisuudesta poikkeamisen perusteena esimerkiksi kun arvioidaan käyttövelvollisuutta suhteessa jo tehtyjen valtakunnallisten ja alueellisten investointien hyödyntämiseen. Kustannustehokkuus- ja toiminnallisuussyyt voivat puoltaa järjestelmien yhteensovittamista aiempien ratkaisujen korvaamisen sijaan. Arvio tulee tehdä ottaen huomioon toisaalta asiointipalvelun ja toisaalta kunkin yhteisten sähköisen asioinnin palvelun erityispiirteet. Esimerkiksi luonnollisen henkilön tunnistuspalvelun käyttöönotosta koituvat kustannussäästöt käyttäjäorganisaatiolle ovat niin merkittävät, että sen käyttöönotosta koituvat kustannukset eivät voine perustellusti olla esteenä palvelun käyttöönotolle. On myös otettava huomioon että olemassa olevat tunnistuksen kokoamis- ja hallinnointipalvelut on tarkoitus lopettaa vuoden 2017 lopussa, jolloin kaikkien tunnistuspalveluja tarvitsevien on tullut siirtyä uuden palvelun piiriin.

Ehdotetun 2 momentin mukaan julkisen hallinnon viranomaiset, itsenäiset julkisoikeudelliset laitokset, eduskunta virastoineen ja valtion talousarvion ulkopuoliset rahastot sekä lailla tai lain nojalla annetulla asetuksella tai valtion hallintoviranomaisen päätöksellä julkista hallintotehtävää itsenäisesti hoitamaan asetetut saisivat käyttää kaikkia tukipalveluja laissa säädetyn julkisen hallintotehtävän hoitamiseksi. Kunnalliset viranomaiset ja kuntien yhteistyöelimet saisivat käyttää kaikkia tukipalveluja myös muissa tehtävissään. Tukipalvelut, joihin olisi käyttöoikeus, kuuluisivat myös valtiovarainministeriön 3 §:n 2 momentin nojalla antamalla asetuksella säädetyt tukipalvelut.

Säännöksessä tarkoitettaisiin julkisen hallinnon viranomaisilla paitsi 1 momentissa lueteltuja tahoja, myös muita julkisen hallinnon viranomaisia kuten esimerkiksi Ahvenanmaan maakunnan viranomaisia. Itsenäisillä julkisoikeudellisilla laitoksilla tarkoitettaisiin esimerkiksi Kansaneläkelaitosta, Suomen Pankkia, yliopistoja, Työterveyslaitosta ja Kevaa.

Lailla tai sen nojalla annetulla asetuksella tai lain nojalla annetulla valtion hallintoviranomaisen päätöksellä julkista hallintotehtävää hoitamaan asetetuilla tarkoitettaisiin muun muassa ammattikorkeakouluja, Eläketurvakeskusta sekä Maatalousyrittäjien eläkelaitosta. Nämä tahot voisivat käyttää kaikkia tukipalveluja niiden hoitaessa laissa säädettyä julkista hallintotehtävää. Käytöstä yksityisessä tehtävässä säädettäisiin 8 §:ssä.

Ehdotetun 3 momentin mukaan lakiin perustuvan sopimuksen nojalla tai muulla kuin 2 momentissa tarkoitetulla perusteella julkista tehtävää hoitavat saisivat käyttää tässä tehtävässään muita tukipalveluja paitsi tunnistuspalveluja ja verkkomaksamisen kokoamis- ja hallinnointipalvelua sekä viestinvälityspalvelua, joiden tarjoamisesta tässä momentissa tarkoitetuille päättäisi kyseistä tukipalvelua tuottava palvelutuottaja. Tarkoituksena olisi määritellä 1 ja 2 momenttia löyhemmin julkiseen hallintoon liittyville toimijoille oikeus pääsääntöisesti käyttää tukipalveluja tässä julkisessa tehtävässä. Joidenkin tukipalvelujen osalta on kuitenkin katsottu tarpeelliseksi esimerkiksi tukipalvelujen resurssien hyödyntämisen kustannustehokkuuden, tasapuolisen kohtelun ja kilpailunäkökulmien vuoksi rajata käyttöoikeutta. Momentissa tarkoitettuja toimijoita olisivat esimerkiksi niin sanotut laissa mahdollistetut ostopalvelut ja palvelusetelipalvelut, joilla julkisen tehtävän hoitamisen suorittaa yksityinen julkisen hallinnon viranomaisen kanssa tehdyn sopimuksen nojalla. Ehdotetun säännöksen mukaan tällaisten toimijoiden oikeudesta käyttää luonnollisen henkilön tunnistuspalvelua, verkkomaksamisen kokoamis- ja hallinnointipalvelua sekä viestinvälityspalvelua päättäisi kyseisen tukipalvelun palvelutuottaja.

Edellä 3 momentissa tarkoitetussa käyttöoikeutta koskevassa päätöksenteossa olisi otettava huomioon yleiset hallinto-oikeudelliset periaatteet, lain tarkoitus sekä esimerkiksi hakijan julkisen tehtävän luonne ja aiotun tukipalvelun käytön merkitys hakijan julkisen tehtävän hoitamisessa ja merkitys tukipalvelua mahdollisesti vastaavien yksityisten palvelujen tasapuolisten toimintaedellytysten kannalta. Lisäksi olisi otettava huomioon tukipalvelun tuottamiseen käytettävissä olevat resurssit, aiotun käytön merkitys julkisten palvelujen saatavuuden, laadun ja yhteentoimivuuden sekä julkisen hallinnon toiminnan ja tehokkuuden kannalta.

6 §.Palvelutietovarannon ja palvelunäkymän käyttö. Pykälässä säädettäisiin erityisesti tiedon tarjoamista koskevien tukipalvelujen käyttövelvollisuuden sisällöstä.

Pykälän 1 momentin mukaan tukipalvelujen käyttöön velvoitetun käyttäjäorganisaation olisi tarjottava tuottamiaan palveluja sekä sen järjestämisvastuulla olevia palveluja koskevat julkiset tiedot palvelutietovarantoon saataville. Sama koskisi säännöksen mukaan käyttäjäorganisaatiota, jolla on oikeus käyttää palvelutietovarantoa, jos se päättää käyttää oikeuttaan. Järjestämisvastuulla olevien tietojen kuvaamisella tarkoitettaisiin esimerkiksi sitä, että kunnan lakisääteisiä tehtäviään ostopalveluina tuottamien palvelujen kuvaamisesta vastaisi kunnallinen viranomainen, jonka vastuulle palvelun järjestäminen kuuluu.

Julkisen hallinnon tietohallinnon ohjauksesta annetun lain nojalla toimiva Julkisen hallinnon tietohallinnon neuvottelukunta (JUHTA) on antanut suosituksen JHS 183 Julkisen hallinnon palvelujen tietomalli ja ryhmittely verkkopalveluissa. Mainitun suosituksen pohjalta on laadittu palvelutietovarannon tietomalli, jota noudattaen tiedot tulee kuvata palvelutietovarantoon. Palvelutietovarantoon kuvattaisiin mm. palveluntuottajaorganisaatio, palvelujen julkiset tiedot kuten kohderyhmät, hinnat ja käytön edellytykset ja sekä palvelujen palvelukanavat, kuten sähköiset asiointipalvelut, palvelupisteet ja puhelinpalvelut aukioloaika- ja maksullisuustietoineen. Palvelutietovarannon tiedot olisivat julkisesti kaikkien saatavilla ja hyödynnettävissä avoimen rajapinnan kautta. Tietoja hyödynnettäisiin esimerkiksi palvelunäkymässä, jossa käyttäjä voi hakea palvelutietovarantoon sisältyviä palveluja koskevia tietoja.

Pykälän 2 momentin mukaan tukipalvelujen käyttöön velvoitetun käyttäjäorganisaation olisi tarjottava rekistereihinsä merkittyjä luonnollista henkilöä tai organisaatiota koskevia tietoja tietojen kohteen tai tämän toimivaltaisen edustajan saataville palvelunäkymässä. Velvollisuus koskisi tietoja, joita käyttäjäorganisaatio muutoinkin tarjoaa tietoverkon avulla tietojen kohteille nähtäväksi sekä tietoja, jotka ovat tietojen kohteelle yleisesti hyödyllisiä tämän hoitaessa asioitaan sähköisesti. Sama koskisi käyttäjäorganisaatiota, jolla on oikeus käyttää palvelunäkymää, jos se päättää käyttää oikeuttaan.

Kaikkia käyttäjäorganisaatioiden rekistereissä olevia tietoja ei olisi tarkoitus tuoda palvelunäkymään – ainoastaan tiettyjä ja käyttäjän kannalta merkityksellisimpiä tietoja. Tarkoituksena ei myöskään ole tuoda palvelunäkymiin henkilötietoja, joiden luovuttaminen tietojen kohteelle edellyttää lainsäädännön mukaan harkintaa.

Pykälän 3 momentin mukaan käyttäjäorganisaatio päättäisi VRK:ta kuultuaan palvelunäkymään tuotavista rekisteritiedoista. VRK:lla ei olisi oikeutta vaatia käyttäjäorganisaatiota rekisterinpitäjänä tuomaan tietojaan palvelunäkymään laajemmin kuin se itse tulkitsee säännöksessä asetettua velvoitetta. VRK:lla olisi kuitenkin oikeus päätöksellään rajoittaa 1 ja 2 momentissa tarkoitettujen tietojen tarjoamista, jos rajoittaminen olisi käytetyn tukipalvelun luonne huomioon ottaen tarpeen. Kyse voisi olla esimerkiksi siitä, että käyttäjäorganisaatio haluaisi tuoda palvelutietovarantoon tai palvelunäkymään tietoja liian laajasti tukipalvelun luonteeseen nähden. Tukipalvelun käytön kieltämisestä tai estämisestä muutoin säädettäisiin 8 §:n 4 momentissa.

7 §.Tukipalvelujen käyttövelvollisuudesta päättäminen. Pykälässä säädettäisiin menettelystä tukipalvelujen käyttöönotosta päätettäessä.

Pykälän mukaan tukipalvelujen käyttöön velvoitetun olisi käyttövelvoitteesta poiketakseen haettava velvollisuudesta poikkeamista kyseistä tukipalvelua tuottavalta palvelutuottajalta. Palvelutuottajan olisi ennen kielteisen päätöksen antamista annettava hakijalle mahdollisuus saattaa asia valtiovarainministeriön ratkaistavaksi. Valtiovarainministeriö voisi myös omasta aloitteestaan tai palvelutuottajan pyynnöstä ottaa asian ratkaistavakseen, jos kyse olisi tässä laissa tarkoitetun yleisen ohjauksen tai julkisen hallinnon tietohallinnon ohjauksen kannalta merkittävästä asiasta. Palvelutuottajan olisi käytännössä pidettävä valtiovarainministeriö tietoisena poikkeamista koskevista hakemuksista, jotta valtiovarainministeriö voisi tarvittaessa ottaa asian itselleen ratkaistavaksi.

Käyttövelvollisuudesta ja velvoitetuista käyttäjäorganisaatioista säädettäisiin ehdotetun lain 5 §:n 1 momentissa. Käyttövelvollisuus koskisi lain 3 §:n 1 momentin 1-4, 7 ja 8 kohdassa tarkoitettuja tukipalveluja eli palveluväylää, palvelutietovarantoa, palvelunäkymää, luonnollisen henkilön tunnistuspalvelua, viestinvälityspalvelua sekä verkkomaksamisen kokoamis- ja hallinnointipalvelua.

8 §.Yksityisten käyttöoikeus ja käytön kieltäminen. Pykälässä säädettäisiin yksityisten tahojen oikeudesta käyttää tukipalveluja sekä mahdollisuudesta kieltää tukipalvelun käyttö. Ehdotetun 5 §:n mukainen käyttöoikeus koskee ainoastaan käyttöä julkisen tehtävän hoitamiseksi. Organisaatiot, joilla olisi myös yksityistä elinkeinotoimintaa, voisivat tässä toiminnassaankin hyödyntää tukipalveluja 8 §:ssä säädetyn mukaisesti.

Pykälän 1 momentissa säädettäisiin yksityisille yhteisöille, säätiöille ja elinkeinonharjoittajille oikeus käyttää kansallista palveluväylää tietojen siirtoon. Ehdotetun 5 §:n käyttövelvoitteen vuoksi palveluväylä olisi käytännössä lähtökohtaisesti ainoa mahdollisuus yksityisen sektorin toimijalle huolehtia tiedon siirron rajapinnasta julkishallinnon kanssa. Julkishallinnon rekisterien ja palvelujen rajapinnan määritteleminen pääsääntöisesti yhdellä tavalla myös yksityisten suuntaan on perusteltua, koska se yksinkertaistaa ja helpottaa viranomaisten tietojen hyödynnettävyyttä sekä helpottaa kanssakäymistä viranomaisten kanssa. Ratkaisun avulla yksityisten pääsy eri viranomaisten tietolähteisiin voidaan yhtenäistää. Mahdollistamalla yksityisille palveluväylän käyttö myös muissa tilanteissa eivät yksityisen sektorin toimijat ole pakotettuja ainakaan palveluväylän käytön vuoksi rakentamaan useita erilaisia tiedon siirron rajapintoja.

Ehdotetun 2 momentin 1 kohdan mukaan muut yksityiset yhteisöt, säätiöt ja elinkeinonharjoittajat voisivat tarjotessaan palveluja yleisölle käyttää palvelutietovarantoa palvelujaan koskevien tietojen tarjoamiseen.

Ehdotetun 2 kohdan mukaan yksityiset voisivat myös käyttää palvelunäkymiä ja asiointivaltuuspalvelua, jos niillä on oikeus käsitellä asiakkaidensa henkilötunnusta tai muuta tietojen pyytämisessä tai näyttämisessä tarvittavaa yksilöivää tunnusta palvelujensa tarjoamisessa. Pääsääntöisesti tietoja haettaisiin 15 §:n mukaisesti henkilötunnuksella, mutta myös esimerkiksi yrityksen palvelunäkymään yritystunnuksella. Tulevaisuudessa on mahdollista myös uusien hakutapojen kehittyminen, minkä vuoksi on tarkoituksenmukaista jättää säännökseen liikkumavaraa.

Ehdotetussa 3 momentissa säädettäisiin valtiovarainministeriölle toimivalta antaa asetus pykälässä tarkoitettujen yksityisten oikeudesta käyttää 3 §:n 2 momentissa tarkoitettuja tukipalveluja – eli tukipalveluja, joiden tuottamistehtävästä säädettäisiin myös valtiovarainministeriön asetuksella 3 §:n 2 momentin mukaisesti.

Ehdotetussa 4 momentissa säädettäisiin VRK:lle mahdollisuus päätöksellään kieltää tukipalvelun käyttö tai estää sen kokonaan tai osittain sellaiselta yksityiseltä yhteisöltä, säätiöltä tai elinkeinonharjoittajalta tietyillä ennalta määritellyillä perusteilla.

Ehdotetun 4 momentin 1 kohdan mukaan tukipalvelun käyttö voitaisiin kieltää tai estää kokonaan tai osittain, jos yksityisen yhteisön tai elinkeinonharjoittajan tietojärjestelmää ei voida tietoturvallisuuden vaarantumisesta johtuvista syistä liittää tukipalveluun. Tukipalveluja ja niiden käyttöä koskevista muun muassa tietoturvallisuuteen liittyvistä vaatimuksista säädettäisiin ehdotetussa 4 luvussa.

Ehdotetun 4 momentin 2 kohdan mukaan tukipalvelun käyttö voitaisiin kieltää tai estää kokonaan tai osittain, jos yksityinen yhteisö tai elinkeinonharjoittaja ei huolehdi palvelutietovarantoon tai palvelunäkymään tarjoamansa tiedon oikeellisuudesta.

Ehdotetun 4 momentin 3 kohdan mukaan tukipalvelun käyttö voitaisiin kieltää tai estää kokonaan tai osittain, jos yksityisen yhteisön tai elinkeinonharjoittajan tukipalvelun käytön poliisi- tai syyttäjäviranomainen on pyytänyt estämään sen vuoksi, että on todennäköisiä syitä epäillä tukipalvelua käytettävän rikoksen tekemiseen. Kyse voisi olla esimerkiksi siitä, että elinkeinonharjoittaja käyttää palvelutietovarantoa petoksellista tai muuten rikollista koskevan palvelun tietojen tarjoamiseen.

Ehdotetun 4 momentin 4 kohdan mukaan tukipalvelun käyttö voitaisiin kieltää tai estää kokonaan tai osittain, jos yksityisen yhteisön tai elinkeinonharjoittajan tietojen tarjoamisen palvelutietovarantoon tai palvelunäkymään saataville voidaan todennäköisin syin katsoa loukkaavan jonkun oikeutta korvausvastuun muodostavalla tavalla ja se, jonka oikeutta voidaan katsota loukatun pyytää käytön kieltämistä, eikä kiellon kohteena oleva kahden viikon määräajassa esitä hyväksyttävää perustetta tietojen saatavilla pitämiselle. Kyse voisi olla esimerkiksi immateriaalioikeutta tai henkilötietojen suojaa koskevasta väitteestä. Mikäli kyse olisi riitaisesta asiasta tai rikollisesta menettelystä, tulisivat viime kädessä sovellettavaksi 3 ja 5 kohdassa esitetyt käytön kieltämisen perusteet.

Ehdotetun 4 momentin 5 kohdan mukaan tukipalvelun käyttö voitaisiin kieltää tai estää kokonaan tai osittain, jos yksityisen yhteisön tai elinkeinonharjoittajan tietojen saatavilla pitäminen tai tukipalvelun käyttäminen muutoin on kielletty tuomioistuimen lainvoimaisella päätöksellään.

3 luku Henkilötietojen ja muiden tietojen käsittely palvelutuotannossa

9 §.Palvelutuotannossa säännönmukaisesti hyödynnettävät tietolähteet. Pykälässä säädettäisiin yhteisten sähköisen asioinnin tukipalvelujen tuottamisessa hyödynnettävistä tietolähteistä. VRK:lla olisi oikeus sille ehdotetussa laissa säädettyjen tehtävien hoitamiseksi käsitellä teknisen käyttöyhteyden avulla säännöksessä mainittuihin tietojärjestelmiin sisältyviä tietojärjestelmäkohtaisesti täsmennettyjä tietoja siten kuin tietojen käsittelystä ehdotetussa 3 luvussa säädettäisiin. Tietojen siirtoon käytettäisiin palveluväylää, ellei teknisistä tai toiminnallisista tai kustannustehokkuuteen taikka tietoturvallisuuteen liittyvistä syistä olisi välttämätöntä käyttää muuta palvelua.

VRK:n olisi mahdollista hyödyntää tukipalvelujen tuotannossa myös muita rekistereitä niitä koskevan lainsäädännön mukaisesti. Mahdollisesti hyödynnettäviä rekistereitä asiointivaltuuspalvelussa olisivat esimerkiksi liiketoimintakieltorekisteri sekä konkurssi- ja yrityssaneerausrekisteri ainakin niin kauan kuin tiedot näistä rekistereistä eivät ole saatavilla viiveettä esimerkiksi kaupparekisteristä.

Perustietovarannon, perustietojärjestelmän tai perusrekisterin käsitettä ei ole määritelty lainsäädännössä. Perusrekisterit sisältävät tietoja yhteiskunnan keskeisistä perusyksiköistä ja näiden ominaisuuksista sekä yksilöivät nämä perusyksiköt, kuten henkilöt, yhteisöt, säätiöt ja kiinteistöt. Perusrekisterit tarjoavat yhteiskunnan toimintoihin liittyvää tiedon käyttöä ja hallintaa koskevia palveluita ja suoritteita. Perusrekistereille on ominaista, että niistä säädetään laissa tai asetuksessa. Niiden tietoihin liittyy myös niin sanottu julkinen luotettavuus tai muu vastaava tietojen luotettavuuden takaava ominaisuus. Perusrekisteritietojen pohjalta voidaan tehdä myös yksilön oikeuksiin ja velvollisuuksiin vaikuttavia hallinnollisia ratkaisuja. Pykälässä luetellut perusrekisterit olisivat tärkeässä asemassa tuotettaessa tukipalveluja.

Ehdotetun 1 kohdan mukaan palvelutuotannossa voitaisiin käsitellä väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetussa laissa tarkoitetusta väestötietojärjestelmästä henkilön nimeä, henkilötunnusta, sähköistä asiointitunnusta, kansalaisuutta, asiointikieltä, äidinkieltä, kuolinpäivää, edunvalvontaa, toimintakelpoisuuden rajoittamista, edunvalvontavaltuutusta ja lapsen huoltoa koskevia tietoja sekä yhteystietoja ja tietoa turvakiellosta. Käsiteltäviä yhteystietoja olisivat esimerkiksi kotikunta, asuinpaikka, asiointiosoite ja sähköpostiosoite. Nämä tiedot olisivat tarpeellisia esimerkiksi palvelunäkymän personoinnissa käyttäjän asuinpaikan mukaan sekä viestinvälityspalvelussa viestien välittämiseksi. Nimeä, henkilötunnusta ja elossa oloa koskevien tietojen käsittely olisi tarpeen kaikissa yhteisten sähköisen asioinnin palveluissa, joissa olisi tarpeen tarjota henkilölle tai käyttäjäorganisaatiolle henkilöä tai hänen edustamaansa henkilöä koskevia tietoja. Asiointivaltuuspalvelussa olisi tarpeen käsitellä lisäksi edunvalvontaa, toimintakelpoisuuden rajoittamista sekä lapsen huoltoa koskevia tietoja, jotka pitäisivät sisällään kaikki ne tiedot, joilla voi olla merkitystä mainittujen kelpoisuuksien toteamiseksi, kuten vanhempien ja lasten nimet ja henkilötunnukset, tiedot huostaanotosta sekä tiedot vajaavaltaisuudesta, edunvalvonnan laajuudesta sekä edunvalvojan yksilöimiseksi tarpeelliset tiedot, kuten nimi ja henkilötunnus.

Ehdotetun 2 kohdan mukaan palvelutuotannossa voitaisiin käsitellä holhoustoimesta annetussa laissa (442/1999) tarkoitetusta holhousasioiden rekisteristä henkilön edunvalvontaa, toimintakelpoisuuden rajoittamista, edunvalvontavaltuutusta koskevia tietoja. Asiointivaltuuspalvelussa olisi tarpeen käsitellä edunvalvontaa, toimintakelpoisuuden rajoittamista sekä edunvalvontavaltuutusta koskevia tietoja, jotka pitäisivät sisällään kaikki ne tiedot, joilla voi olla merkitystä mainittujen kelpoisuuksien toteamiseksi, kuten tiedot toimivallan rajoituksen sisällöstä, vajaavaltaisuudesta, edunvalvonnan laajuudesta, edunvalvojasta, edunvalvontavaltuutuksesta sekä -valtuutetusta.

Ehdotetuissa 3 – 5 kohdissa säädettäisiin oikeudesta käsitellä palvelutuotannossa yhdistysrekisteristä, kaupparekisteristä, yhteisötietojärjestelmästä ja säätiörekisteristä yhteisöjen vastuuhenkilöitä koskevia tietoja. Saatavilla olevia vastuuhenkilöitä koskevia tietoja voitaisiin käsitellä asiointivaltuuspalvelussa. Käsiteltäviin tietoihin kuuluisivat siltä osin kuin tietoja on saatavilla, nimi ja henkilötunnus henkilöistä joilla yksin tai yhdessä toisen henkilön kanssa on oikeus edustaa oikeushenkilöä sekä mahdollisesti saatavilla olevat tiedot edustusoikeuden ulottuvuudesta ja rajoituksista. Esimerkiksi yhdistyslain (503/1989) 48 §:n 2 momentin mukaan yhdistysrekisteriin on ilmoitettava yhdistyksen hallituksen puheenjohtajan ja yhdistyksen nimenkirjoittajan täydellinen nimi, osoite, kotikunta ja henkilötunnus. Yhdistyksen hallitus kokonaisuudessaan on kuitenkin vastuussa yhdistyksen hallinnosta. Tällä hetkellä yhdistysrekisteristä ei siten saa tietoa kaikista yhdistysten vastuuhenkilöistä. Asiointivaltuuspalvelu hyödyntäisi saatavilla olevia tietoja. Oikeusministeriössä on valmisteltavana yhdistyslain muutosehdotus ja yhtenä muutettavana seikkana on ollut esillä yhdistyslain muuttaminen niin, että yhdistyksen hallituksen kaikki jäsenet voitaisiin merkitä yhdistysrekisteriin. Muutokset on tarkoitus saada voimaan vuoden 2016 aikana.

10 §.Valtuutusten ja muiden tahdonilmaisujen rekisteröinti. Pykälässä säädettäisiin VRK:n asiointivaltuuspalvelun tuottamista varten pitämästä uudesta rekisteristä sekä menettelystä valtuutuksen ja muun tahdonilmaisun antamisessa rekisteriin sekä valtuutuksen tai muun tahdonilmaisun sisällön sekä sen antajaa koskevan tiedon yhdistämisestä ja tietokokonaisuuden eheyden varmistamisesta.

VRK pitäisi ehdotetun 1 momentin nojalla asiointivaltuuspalvelun tarjoamiseksi rekisteriä luonnollisten henkilöiden antamista ja yhteisöjen puolesta annetuista asiointia koskevista valtuutuksista ja muista tahdonilmaisuista. Tahdonilmaisut olisivat toimivallaltaan tarkkarajaisia tiettyyn toimintaan tai tapahtumaan liittyviä – avoimia asianajovaltakirjoja ei voisi palvelussa tehdä.

Ehdotetussa 1 momentissa säädettäisiin lisäksi, että asiointivaltuuspalvelu voi välittää myös muiden viranomaisten tallentamia valtuutusta ja muita tahdonilmaisuja koskevia tietoja, jos näitä tietoja tallentava viranomainen on antanut VRK:lle luvan tietojen välittämiseen eikä toiminta vaaranna asiointivaltuuspalvelussa välitettävien tietojen luotettavuutta. Muiden viranomaisten tahdonilmaisuja koskevien rekisterien osalta rekisterinpitovastuu perustuisi näiden viranomaisten toimintaa koskeviin säännöksiin ja vastuu rekisterinpidosta ja tahdonilmaisujen rekisteröinnistä säilyisi asianomaisella viranomaisella. VRK vastaisi vain asiointivaltuuspalveluun sisältyvän välityspalvelun toiminnasta. Sektorikohtaisten, esimerkiksi sosiaali- ja terveydenhuollon piirissä annettujen tahdonilmaisujen käyttömahdollisuudet rajautuvat usein mainitulla alalla toimiviin eikä tahdonilmaisujen hyödyntäminen yleisemmin ole mahdollista. Säännöksen kohdan tarkoituksena olisi mahdollistaa näiden tietojen saaminen keskitetysti käytettäväksi asiointivaltuuspalvelun kautta.

Pykälän 2 momentissa säädettäisiin 1 momentissa tarkoitettujen tahdonilmaisujen rekisteröimisen edellytyksistä ja rekisteröinnissä noudatettavasta menettelystä.

Ennen tahdonilmaisun antamista asiointivaltuuspalvelu tunnistaisi tahdonilmaisun antajan luotettavasti joko luonnollisen henkilön tunnistuspalvelua käyttäen tai muulla tunnistusmenetelmällä, joka on tietoturvallinen ja todisteellinen. Mahdollisuudella hyödyntää muitakin tunnistusmenetelmiä kuin luonnollisen henkilön tunnistuspalvelua, pyritään siihen, että järjestelmää rakennettaessa ja kehitettäessä voitaisiin mahdollisimman joustavasti valita sellaiset toimintamuodot, jotka yhtäältä edistävät sitä, että järjestelmällä on mahdollisimman laaja käyttäjäpiiri esimerkiksi organisaatioiden osalta, ja toisaalta takaavat luotettavan tunnistamisen sekä asianmukaisen tietoturvan ja todisteellisuuden. Sääntely vastaa maakaaren 9 a luvun 1 §:ssä omaksuttua ratkaisua koskien kiinteistön kaupan sähköiseen asiointijärjestelmään kirjautumisen edellytyksiä.

Lisäksi asiointivaltuuspalvelu tarkistaisi 9 §:ssä tarkoitetuista rekistereistä niihin merkityt tiedot valtuutuksen antajan toimivallasta sekä mahdollisesta toimintakelpoisuuden rajoituksesta. Tahdonilmaisun rekisteröimisessä voitaisiin hyödyntää myös VRK:n 1 momentin nojalla ylläpitämän tahdonilmaisuja koskevan rekisterin tietoja, mikäli rekisteriin sisältyvään valtuutukseen sisältyisi oikeus edelleen valtuuttaa taikka antaa muita tahdonilmaisuja päämiehen puolesta. Epäselvissä tapauksissa valtuuttaminen ei olisi mahdollista. Mikäli toimivallan käyttö on jaettu (esimerkiksi nimenkirjoitusoikeus yhdessä), edellyttäisi valtuutuksen rekisteröinti kummankin toimivaltaisen henkilön hyväksyntää.

Ehdotetun 3 momentin mukaan VRK hyväksyisi valtiovarainministeriötä sekä Viestintävirastoa kuultuaan 3 momentissa tarkoitetut muut tunnistusmenetelmät kuin luonnollisen henkilön tunnistuspalvelun. VRK:n olisi myös huolehdittava siitä, että hyväksyttyjen menetelmien käyttöä koskevat tiedot ovat maksutta saatavissa yleisen tietoverkon kautta. Säännös vastaisi maakaaren 9 a luvun 1 §:n sääntelyä, jonka mukaan Maanmittauslaitos hyväksyy kiinteistönkaupan verkkopalvelussa käytettävät ratkaisut maa- ja metsätalousministeriötä sekä Viestintävirastoa kuultuaan sekä pitää hyväksyttyjen menetelmien käyttöä koskevat tiedot maksutta saatavissa yleisen tietoverkon kautta.

Ehdotetun 4 momentin mukaan VRK:n olisi huolehdittava tallennetun tahdonilmaisun sisällön eheydestä ja että tahdonilmaisun hyväksyminen ja sitä edeltävä henkilön tunnistaminen pystytään yhdistämään tahdonilmaisun sisältöön. Kyse on eräänlaisesta suljetussa järjestelmässä toteutetusta sähköisen allekirjoittamisen ratkaisusta, jossa tahdonilmaisun antajan henkilöllisyyttä koskeva tieto yhdistetään tahdonilmaisuun ja tämän tietokokonaisuuden eheys varmistetaan ja tallennetaan sekä säilytetään 14 §:ssä kuvatulla tavalla.

11 §.Sähköistä tiedoksiantomenettelyä koskevan suostumuksen rekisteröinti ja rekisterimerkinnän luotettavuus. Pykälässä säädettäisiin tiedoksiantomenettelyä koskevan suostumuksen rekisteröimisestä sekä tämän rekisteröidyn tiedon hyödyntämisestä viranomaisissa. Sähköisestä asioinnista viranomaistoiminnassa annetun lain mukaan asiakirja voidaan antaa tiedoksi sähköisesti asianosaisen suostumuksella. Lain esitöiden mukaan suostumukselle ei aseteta muotovaatimuksia. Keskeistä on, että suostumuksen antaja ymmärtää, että tiedoksianto voidaan toimittaa hänelle sähköisesti. Suostumus voi olla yksittäistä asiaa koskeva tai yleisempi. Suostumuksen antaminen voidaan toteuttaa esimerkiksi siten, että sähköisessä lomakkeessa on erityinen kohta, jossa henkilö voi ilmoittaa halutun tiedoksiantotavan tai muuttaa aikaisemmin ilmoittamaansa tiedoksiantotapaa (HE 111/2010 vp). Pykälässä tarkoitettu suostumusrekisteri sisältäisi tiedot käyttäjien antamista yleisistä suostumuksista koskien viranomaisasian sähköistä tiedoksiantamista.

Ehdotetun 1 momentin mukaan viestinvälityspalvelun palvelutuottaja pitäisi viranomaistoimintaan liittyvän sähköisen tiedoksiannon toteuttamista varten rekisteriä käyttäjien antamista sähköistä tiedoksiantomenettelyä koskevista yleisistä suostumuksista. Rekisterinpitäjä olisi 27 §:n nojalla Valtori siihen asti kunnes viestinvälityspalvelun tuottaminen siirtyisi VRK:n tehtäväksi.

Sähköinen asiointitili on ollut käytössä vuodesta 2011. Asiointitilin kautta tapahtuvan tiedoksiantamisen edellyttämän suostumuksen hallinnoimisesta ei ole säädetty laissa. Asiointitilin käyttöehtojen mukaan käyttäjä antaa asiointitilin käyttöehdot hyväksyessään yleisen suostumuksen siihen, että asiointitiliin liitetyt viranomaiset saavat toimittaa hänelle tiedoksiantoja asiointitilille. Käyttäjän on hyväksyttävä asiointitilin käyttöehdot ennen kuin hän voi ottaa asiointitilin käyttöönsä. Asiointitiliä luotaessa on katsottu, että henkilön yleinen suostumus asiakirjan sähköiseen toimittamiseen on riittävä. Suostumus kattaa tiedoksiantojen vastaanottamisen myös viranomaisilta, jotka liittyvät asiointitiliin kansalaisen jo otettua asiointitilin käyttöönsä. Käytännössä kuitenkin ennen kuin viranomainen liittyy asiointitilin käyttäjäksi, sen pitää selvittää, tarvitaanko asiakirjojen lähettämiseen asiointitilin kautta lisäksi erityinen suostumus. Jos erityinen suostumus tarvitaan, viranomaisen tulee pystyä kysymään suostumus omassa sähköisessä palvelussaan ennen tiedoksiannon toimittamista asiointitilin kautta. Käytännössä tämä on johtanut erilaisiin tulkintoihin mahdollisuudesta hyödyntää sähköistä tiedoksiantoa asiointitilille.

Viestinvälityspalvelussa käyttäjä voisi antaa yleisen suostumuksen sähköisen tiedoksiannon käyttämiseen. Käyttäjän on ottaessaan sähköisen viestinvälityspalvelun käyttöönsä ilmoitettava esimerkiksi sähköpostiosoite, puhelinnumero tai molemmat, joihin käyttäjälle lähetetään heräteviesti, kun hänelle on tullut palveluun tiedoksianto. Heräteviesti voitaisiin toimittaa myös muulla tavalla. Järjestelmä kehottaa säännöllisesti käyttäjää tarkistamaan yhteystietojen ajantasaisuuden. Yhteystietojen ajan tasalla pitämisestä voidaan muistuttaa esimerkiksi palvelunäkymässä. Käyttäjä voi koska tahansa peruuttaa suostumuksensa sähköiseen tiedoksiantoon, jolloin hän saa tiedoksiannot postitse. Ennen sähköistä tiedoksiantoa koskevan suostumuksen antamista käyttäjää informoidaan suostumuksen merkityksestä sekä siitä, että on tärkeää pitää yhteystiedot herätettä varten ajan tasalla.

Ehdotetun 2 momentin mukaan suostumuksen rekisteröimisessä noudatettaisiin vastaavaa menettelyä kuin valtuutusten ja tahdonilmaisujen rekisteröinnissä. Suostumusten rekisteröinti voitaisiin myös toteuttaa samalla teknisellä ratkaisulla. Suostumusta koskevien tietojen käsittelystä ja luovuttamisesta säädettäisiin 12 - 14 §:issä.

Ehdotetun 3 momentin mukaan viranomainen voisi tiedoksiantoa suorittaessaan luottaa 1 momentissa tarkoitettuun rekisteriin merkittyyn tietoon. Tästä seuraisi, että viranomainen voisi antaa asiakirjan tiedoksi suostumuksen mukaisesti sähköisesti, ellei sen tietoon ole hallintolakiin tai sähköisestä asioinnista viranomaistoiminnassa annettuun lakiin taikka muuhun lakiin perustuen tullut, että tiedoksianto tulee toimittaa toisin. Jotta olisi selvää, ettei pelkkä suostumuksen olemassaolo luo oikeutta sähköiseen tiedoksiantoon, säännöksen lopussa todettaisiin, että tiedoksiantamisen tavoista säädettäisiin erikseen. Viranomaisen tulee olla selvillä siitä, miten sen asiakirjat lain mukaan voidaan tiedoksiantaa.

Asiakirjaa tiedoksiantava viranomainen päättäisi suostumusrekisterin ja itsellään olevien tietojen sekä tiedoksiantomenettelyä koskevien säännösten perusteella, haluaako tiedoksiannon toimitettavaksi sähköisesti luonnollisen henkilön tai yrityksen sähköiseen viestinvälityspalvelun avulla vai postitse viestinvälityspalvelun kautta. Postiosoite voi viranomaisen viestinvälityspalvelussa tekemän valinnan mukaan olla joko väestötietojärjestelmän mukainen kotikunta ja asuinpaikka, postin osoiterekisterin tieto taikka muu viranomaisen itse määrittelemä, esimerkiksi henkilön viranomaiselle antama asiointiosoite. Mikäli tietyn viranomaisen tiedoksiantamista koskevissa erityissäännöksissä olisi kielletty sähköinen tiedoksiantaminen tai asetettu sille tiukempia vaatimuksia, ei kyseinen viranomainen välttämättä voisi hyödyntää pykälässä tarkoitetun suostumusrekisterin tietoa ja sähköistä tiedoksiantamista.

Viestinvälityspalvelun avulla sähköisesti tiedoksiannettujen asiakirjojen katsottaisiin tulleen käyttäjän tietoon siten kuin sähköisestä asioinnista viranomaistoiminnassa annetun lain 18 ja 19 §:ssä säädetään tavallisesta ja todisteellisesta tiedoksiannosta. Mikäli yksittäiseen tiedoksiantoon soveltuvassa muussa laissa on mainitusta laista poikkeavia määräaikoja, noudattaisi tiedoksiantava viranomainen niitä.

Viestinvälityspalvelu toimittaisi viranomaiselle koneellisen kuittauksen siitä, milloin viesti on toimitettu käyttäjän tilille. Vastaava oikeus saada kuittaus olisi myös kansalaisella kansalaisen toimittaessa viestiä viranomaiselle. Mikäli viestinvälityspalvelua ylläpitävän palvelutuottajan tietoon tulee, että käyttäjä ei ilmeisesti ole saanut tiedoksiantoa, tulisi sen ilmoittaa käyttäjäorganisaatiolle olevan todennäköistä, ettei viesti ole mennyt perille. Näyttönä viestin perille menemättömyydestä voisi olla esimerkiksi, että asianosaisen asiointitilille antama puhelinnumero tai sähköpostiosoite ei olisi enää käytössä eikä ilmoitusta asiointitilille toimitetusta viestistä saada toimitettua perille.

Viranomaisen valitessa todisteellisen sähköisen tiedoksiantotavan, asianosaisen tulisi kuitata tiedoksianto vastaanotetuksi ennen avaamista. Viestinvälityspalvelu toimittaisi viranomaiselle koneellisen kuittauksen vastaanottajan kuittauksesta ja vastaanottoajasta. Asiakirjan katsottaisiin tulleen todisteellisesti tiedoksiannetuksi asianosaiselle, kun hän on kuitannut sen vastaanotetuksi. Jos asiakirjaa ei olisi noudettu viestinvälityspalvelusta sähköisestä asioinnista viranomaistoiminnassa annetun lain 18 §:n 3 momentin mukaisesti seitsemän päivän kuluessa, viestinvälityspalvelu tarjoaisi tämän tiedon viranomaiselle, jonka tulee toimittaa asiakirja tiedoksi muulla tavoin todisteellisesti. Tämän jälkeen voitaisiin esimerkiksi ryhtyä postitse tapahtuvaan tiedoksiantoon, jossa hyödynnettäisiin myös viestinvälityspalvelun keskitettyä kirjepostin lähettämistoimintoa. On mahdollista ennalta määritellä viranomais- ja/tai asiakohtaisesti, miten toimitaan, ellei sähköinen tiedoksianto ole mennyt perille.

12 §.Tietojen käsittely palvelutuotannossa. Pykälässä säädettäisiin palvelutuottajien oikeudesta käsitellä henkilötietoja ja muita tietoja niiden tarjoamien yhteisten sähköisen asioinnin palvelujen tuottamisessa. Pykälässä säädettäisiin tietojen käsittelystä palvelutuotannossa ja luovuttamisesta palvelun tuottamisen yhteydessä. Ehdotetussa 13 §:ssä säädettäisiin tiettyjen tietojen säilytysvelvollisuudesta ja 14 §:ssä palvelun käytöstä tallennettujen ja säilytettyjen tietojen luovuttamisesta palvelun tuottamisen eli varsinaisen tukipalvelun tarjoamisen jälkeen.

Pykälän 1 momentin mukaan VRK:lla olisi oikeus käsitellä 9 §:ssä tarkoitettuja henkilö- ja muita tietoja sen vastuulle kuuluvien tukipalvelujen tuottamiseksi ja kehittämiseksi. Muissa kuin VRK:n tuottamissa tukipalveluissa ei olisi lähtökohtaisesti tarvetta käsitellä 9 §:ssä tarkoitettuja tietoja. Mikäli tarve käsittelylle on, se voidaan arvioida ja sopia kutakin perusrekisteriä koskevan säädännön nojalla erikseen.

VRK:n 9 §:ssä tarkoitettujen tietojen käsittelyn laajuutta määrittelisivät osaltaan yleisellä tasolla 9 §, toisaalta tukipalvelun kuvaus 3 §:ssä sekä ehdotettuun pykälään sisältyvät palvelun tarjoamisen yhteydessä tapahtuvaa tietojen luovuttamista koskevat säännökset.

Ehdotetun 2 momentin mukaan kaikilla palvelutuottajilla, myös VRK:lla olisi oikeus käsitellä tukipalvelunsa käytöstä tallennettuja tietoja siinä määrin ja niin kauan kuin se on välttämätöntä tietojenkäsittelyn todentamiseksi taikka muutoin sen vastuulle kuuluvan palvelun tuottamiseksi, tarjoamiseksi, ylläpitämiseksi ja kehittämiseksi sekä toimivuudesta ja tietoturvallisuudesta huolehtimiseksi. Ehdotetussa 13 §:ssä säädettäisiin erityisesti tiettyjen tukipalvelujen käytöstä tallennettavien tietojen säilytysvelvollisuudesta.

Tukipalvelun käytöstä tallennettujen tietojen säilytysaikaa ei ole mahdollista ennalta määritellä. Tämän vuoksi säännöksessä on korostettu sitä, että säännöksessä tarkoitetut tiedot on poistettava rekisteristä välittömästi sen jälkeen, kun käsittelylle ei ole enää säännöksessä mainittua perustetta. Lisäksi perustetta ja käsittelyn tarvetta olisi arvioitava vähintään viiden vuoden välien, jollei laista muuta johdu. Säännöksen loppuosa vastaisi sitä, mitä arkaluontoisten henkilötietojen osalta on säädetty henkilötietolain 12 §:n 2 momentissa

Esimerkkinä tietojen käsittelystä palvelun tuottamiseksi on henkilön valintoja koskevien tietojen tallentaminen palvelunäkymässä. Henkilö voi hakea palvelunäkymään tunnistauduttuaan käyttäjäorganisaation rekisteristä häntä koskevia, palvelunäkymässä näytettäväksi määriteltyjä tietoja. Palvelunäkymä voi tallentaa henkilön valintoja koskevat tiedot siten, että seuraavalla kerralla henkilölle näytetään samojen organisaatioiden rekisterissä olevat tiedot sen mukaan, millaiset näytettäviä tietoja koskevat valinnat palvelunäkymissä on henkilön osalta tallennettu. Palvelunäkymä ei tallentaisi näytettäviä tietoja muutoin kuin kyseisen käyttäjän istunnon ajaksi, vaan ne haettaisiin käyttäjäorganisaation rekisteristä palveluun kirjautumisen yhteydessä. Sen sijaan tietoturvallisuudesta huolehtimiseksi ja tietojenkäsittelyn todentamisen vuoksi esimerkiksi asiointivaltuuspalvelun käytöstä tallennettuja tietoja on tarve säilyttää pidemmänkin aikaa – riippuen valtuutustiedon käyttötarkoituksesta. Palvelutuottaja määrittelisi lain säännökset huomioon ottaen säilytysajan tai arvioisi sitä vähintään viiden vuoden välein. Palvelutuottaja määrittelisi myös sen, mitkä tiedoista olisi käsittelyn oikeellisuuden selvittämiseksi mahdollisesti tarpeen arkistoida pysyvästi.

Ehdotetun 3 momentin mukaan VRK:lla olisi oikeus luonnollisen henkilön tunnistuspalvelun tarjoamisen yhteydessä luovuttaa henkilön käyttämää asiointipalvelua ylläpitävälle käyttäjäorganisaatiolle henkilön nimeä, henkilötunnusta ja sähköistä asiointitunnusta koskeva tieto mikäli käyttäjäorganisaatiolla on lain perusteella oikeus käsitellä mainittuja tietoja. Samassa yhteydessä VRK voisi luovuttaa muitakin henkilöstä väestötietojärjestelmään sisältyviä henkilötietoja, jotka käyttäjäorganisaatiolla on oikeus saada. Tietojen luovuttamisessa noudatettavasta menettelystä säädetään väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain 4 luvussa ja 50 §:ssä, ellei esimerkiksi EU- taikka kansainvälisestä tietojen luovutusvelvollisuudesta muuta johdu. Tietojen luovuttamisessa on otettava huomioon myös esimerkiksi turvakieltoa koskevat väestötietojärjestelmän merkinnät.

Henkilötunnuksen luovuttamisesta on säädetty pykälän 3 momenttia vastaavalla tavalla väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain 43 §:n 1 momentissa. Mainitun säännöksen 2 momentissa rajoitetaan sähköisen asiointitunnuksen luovuttaminen vain VRK:n myöntämän varmenteen käyttöön perustuvan palvelun tai suoritteen tuottamisen yhteydessä käytettäväksi varmenteen haltijan yksilöivänä tietona taikka muussa Suomeen sijoittautuneen varmentajan myöntämässä varmenteessa varmenteen haltijan yksilöivänä tietona.

Luonnollisen henkilön tunnistuspalvelun suorittaman henkilön tunnistamisen yhteydessä henkilölle kerrottaisiin, että henkilön tunnistus on voimassa myös hänen siirtyessä tunnistuspalvelua hyödyntävien käyttäjäorganisaatioiden palveluihin. Lisäksi henkilöä informoitaisiin tunnistautumisen yhteydessä erityisesti siitä, ettei niin sanottu anonyymi asiointi ole mahdollista tunnistamisen jälkeen samassa istunnossa ja että mikäli henkilöllä on tarve anonyymiin asiointiin, tulisi hänen lähestyä viranomaista muilla tavoin esimerkiksi aloittamalla uusi verkkoselailuistunto. Anonyymi asioinnin tarve henkilöllä voi olla esimerkiksi silloin kun hän pyytää yleistä neuvontaa tai haluaa pyytää viranomaisen julkisia asiakirjoja nähtäväkseen.

Pykälän 4 momentin mukaan VRK:lla olisi asiointivaltuuspalvelun tuottamisen yhteydessä oikeus 9 §:ssä tarkoitetuista julkisen hallinnon tietojärjestelmistä haettujen henkilön toimintakelpoisuutta ja toimivaltaa koskevien tietojen sekä 10 §:n 1 momentin nojalla ylläpitämänsä valtuutuksia ja tahdonilmaisuja koskevan rekisterin perusteella koostaa ja luovuttaa käyttäjäorganisaatiolle välttämättömät tiedot toimintakelpoisuuden rajoituksen tai toimivaltuuden toteamiseksi.

Myös muun viranomaisen tallentamien tahdonilmaisuja koskevien tietojen välittäminen käyttäjäorganisaatiolle edellyttäisi että tieto on asioinnin yhteydessä tarpeen toimintakelpoisuuden tai toimivaltuuden osoittamiseksi. Arvioinnin suorittaisi näiltä osin mainittujen tahdonilmaisujen rekisterinpitäjänä toimiva viranomainen.

Asiointivaltuuspalvelu ei määrittelisi käyttäjäorganisaation puolesta, kenellä on oikeus eri lakien perusteella asioida toisen puolesta eikä sitä, millainen valtuus ja keneltä tarvitaan tiettyyn asiointitapahtumaan. Käyttäjäorganisaation vastuulla olisi kysyä palvelusta tarvittava edustusoikeus tai valtuutus taikka muu tahdonilmaisu, kuten suostumus.

Ehdotetun 5 momentin mukaan palvelutuottajalla olisi oikeus viestinvälityspalvelun yhteydessä luovuttaa käyttäjäorganisaatiolle 11 §:n 1 momentissa tarkoitetusta rekisteristä tiedoksiantamisen suorittamiseksi välttämättömät tiedot sekä viestinvälityspalvelun avulla tapahtuneen tiedoksiantamisen todentamiseksi tarpeelliset tiedot.

Asiakirjaa tiedoksiantava viranomainen tarvitsisi tiedoksiantamisen suorittamiseksi tiedon siitä, onko käyttäjä antanut viestinvälityspalvelun käytön yhteydessä suostumuksen sähköiseen tiedoksiantoon. Lisäksi viranomainen tarvitsisi tavallisen tiedoksiannon osalta tiedon asiakirjan toimittamisesta viestinvälityspalveluun sekä todisteellisen tiedoksiannon osalta tiedon siitä, koska asianosainen on kuitannut asiakirjan vastaanotetuksi. Säännöksen nojalla viestinvälityspalvelusta voitaisiin luovuttaa viranomaiselle myös tietoja niistä seikoista, joiden voidaan katsoa osoittavan, ettei asiakirjaa ole saatu annettua tiedoksi, esimerkiksi tieto siitä, ettei asianosaisen viestinvälityspalveluun antama puhelinnumero tai sähköpostiosoite olisi enää käytössä eikä ilmoitusta asianosaiselle toimitetusta viestistä saada toimitettua perille.

Ehdotetun 6 momentin mukaan 3 – 5 momentissa tarkoitetut tiedot voitaisiin luovuttaa teknisen käyttöyhteyden avulla, mikä on luonnollinen luovutusmuoto digitaalisissa palveluissa.

13 §.Palvelutuotannossa käsiteltävien tietojen säilyttäminen Pykälän 1 momentissa säädettäisiin vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain 24 §:n 1 momenttia vastaavasti VRK:lle velvollisuus säilyttää luonnollisen henkilön tunnistuspalvelun rekisterinpitäjänä tunnistustapahtuman todentamiseksi tarpeelliset tiedot viisi vuotta tunnistustapahtumaa seuraavan kalenterivuoden alusta lukien. On perusteltu säätää keskitetysti ja hallitusti tunnistustapahtuman todentamiseksi tarpeellisten tietojen säilyttämisestä, koska asiointipalvelussa tapahtuneen mahdollisen henkilöllisyyden väärinkäytön ja siitä seuraavien vastuukysymysten selvittämistä varten tietoja voidaan tarvita pitkänkin ajan kuluttua itse tunnistustapahtumasta.

Ehdotettu viiden vuoden säilytysvelvollisuus ei koskisi 3 §:n 1 momentin 5 kohdassa tarkoitettuja muita tunnistuspalveluja tai tunnistamisen kokoamis- ja hallinnointipalveluja, koska niitä voitaisiin käyttää myös sellaisissa asiointitilanteissa, joiden osalta mahdolliset väärinkäytökset eivät olisi yhtä kriittisiä kuin luonnollisen henkilön tunnistuspalvelun osalta on mahdollista. VRK voisi tallentaa muiden tunnistuspalvelujen käytöstä tietoja 12 §:n 2 momentin nojalla mainitussa säännöksessä todetuin edellytyksin.

Pykälän 2 momentissa säädettäisiin VRK:lle velvollisuus säilyttää 10 §:n 1 momentin nojalla ylläpitämänsä valtuutus- ja tahdonilmaisurekisterin tiedot, rekisterin tietojenkäsittelyn oikeellisuuden osoittamiseksi tarpeelliset tiedot sekä asiointivaltuuspalveluun tehtyjä kyselyjä ja niihin annettuja vastauksia koskevat tiedot, jollei käyttäjäorganisaation säilytysvelvollisuudesta muuta johdu. Tietoihin kuuluisivat sekä voimassa olevat että vanhentuneet taikka poistetut tahdonilmaisut sekä 10 §:n 2 ja 4 momentissa tarkoitetut tahdonilmaisun antajan ja tahdonilmaisun eheyden todentamiseksi tarpeelliset tiedot. Tietojen säilyttäminen olisi tarpeen muun muassa asiointivaltuuspalvelua hyödyntävissä asiointipalveluissa taikka asiointitapahtumissa mahdollisesti ilmenneiden ongelmien selvittämiseksi. Asiointivaltuuspalvelussa voitaisiin tarvittaessa säilyttää palveluun tunnistautumisen tietoja pidempään kuin 1 momentissa tarkoitetun viisi vuotta.

Pykälän 3 momentin mukaan palvelutuottajan olisi säilytettävä 11 §:n 1 momentin mukaisen rekisterin tiedot sekä rekisterin tietojenkäsittelyn ja tiedoksiantamisen oikeellisuuden osoittamiseksi tarpeelliset tiedot, jollei käyttäjäorganisaation säilytysvelvollisuudesta muuta johdu. Tietoihin kuuluisivat sekä voimassa olevat suostumukset että poistetut suostumukset sekä 11 §:n 2 momentissa tarkoitetut suostumuksen antajan ja suostumuksen eheyden todentamiseksi tarpeelliset tiedot. Lisäksi 3 momentissa määriteltäisiin viestinvälityspalvelun avulla välitettyjen viestien säilytysajaksi kaksi vuotta.

Pykälän 4 momentin mukaan 2 ja 3 momentissa tarkoitetut tiedot olisi poistettava rekisteristä välittömästi sen jälkeen, kun käsittelylle ei ole enää laillista perustetta. Rekisterinpitäjän olisi myös arvioitava mainittujen tietojen säilyttämisen tarve vähintään viiden vuoden välein, jollei laista muuta johdu. Tietojen säilyttämisajan määrittelyssä tulisi ottaa huomioon myös, missä määrin palvelu pystyisi tuottamaan käyttäjäorganisaation arkistoitavaksi tietoja, joiden avulla käyttäjäorganisaatio voi todistaa mihin sen hyväksymä asiointi tai tiedoksianto on perustunut. Tiedoksiannon suorittaminen ja sen tapahtumisajankohdan osoittaminen muun muassa viestinvälityspalvelusta saatujen tietojen avulla olisi edelleen käyttäjäorganisaation vastuulla.

VRK määrittelisi ehdotetun lain, henkilötietolain ja arkistolain säännökset huomioon ottaen 2 ja 3 momentissa tarkoitettujen tietojen säilytysajan, jota tulisi arvioida vähintään viiden vuoden välein. Lisäksi VRK määrittelisi, mitkä tiedoista olisi tarpeen arkistoida pysyvästi.

Pykälän 5 momentti sisältäisi viittauksen tietojen säilyttämisen osalta arkistolakiin (831/1994).

14 §.Palvelutuotannossa käsiteltävien tietojen luovuttaminen. Pykälän 1 momentissa säädettäisiin palvelutuottajan oikeudesta luovuttaa palvelun käytöstä tallennettuja tietoja. Säännöksessä olisi, toisin kuin 12 §:n 3 – 5 momentissa, pääsääntöisesti kysymys tietojen luovuttamisesta palvelun tuottamisen eli varsinaisen tukipalvelun tarjoamisen jälkeen. Kyse ei siis olisi säännönmukaisesta palvelutuotannon yhteydessä tapahtuvasta tietojen luovuttamisesta.

Ehdotetun 1 momentin mukaan sen lisäksi mitä 12 §:n 3 – 5 momentissa säädetään, palvelutuottaja voisi luovuttaa palvelun käytöstä tallennettuja tietoja sille käyttäjäorganisaatiolle, jonka asiointipalvelun käytön yhteydessä tiedot on tallennettu tai joka on ollut viestinvälityspalvelun avulla välitetyn viestinnän toisena osapuolena. Luovuttamisen edellytyksenä olisi momentin 1 – 3 kohtien mukaan, että käyttäjäorganisaatio tarvitsee tietoja asiointipalvelunsa toimivuuden varmistamista tai parantamista varten taikka asiointipalvelunsa tietoturvallisuudesta huolehtimista tai tietoturvallisuuteen kohdistuvien häiriöiden selvittämistä varten. Lisäksi tietoja voitaisiin luovuttaa käyttäjäorganisaatiolle asiointia koskevien ongelmien selvittämistä varten tai asioinnin yhteydessä tapahtuneen tietojen käsittelyn oikeellisuuden osoittamiseksi. Tietojen luovuttaminen olisi perusteltua, koska käyttäjäorganisaatiolla, joka käyttää sähköisen asioinnin tukipalveluja, ei välttämättä olisi koko asiointitapahtuman hallinnoimiseksi tarpeellisia tietoja omissa tietojärjestelmissään. Kyse voisi olla esimerkiksi siitä, että viranomaisessa asioiva väittäisi, että hänen puolestaan on asioinut henkilö, jolla ei ole siihen oikeutta. Tällöin voitaisiin luonnollisen henkilön tunnistuspalvelun ja asiointivaltuuspalvelun käytöstä tallennettujen tietojen avulla selvittää asiointitapahtuman osapuolia sekä sitä, millaiseen tietoon esimerkiksi puolesta asiointi on perustunut. Käyttäjäorganisaation tiedonsaantioikeuteen voidaan lisäksi soveltaa, mitä tietoyhteiskuntakaaressa on säädetty viestinnän osapuolen oikeudesta omiin viesteihinsä ja niitä koskeviin välitystietoihin sekä henkilötietolain säännöksiä oikeudesta käsitellä henkilötietoja.

Ehdotetun 2 momentin mukaan palvelutuottaja voisi lisäksi julkisuuslain 11 ja 12 §:ssä säädetyin rajoituksin luovuttaa palvelun käytöstä tallennettuja tietoja henkilölle, jonka tukipalvelun käytöstä tai muusta asioinnista tiedot on tallennettu. Lisäksi tietoja voitaisiin luovuttaa mainitun henkilön suostumuksella yksilöityä tarkoitusta varten. Kyse olisi henkilötietolain rekisteröidyn tarkastusoikeutta sekä julkisuuslain itseään koskevaa asiakirjaa koskevaa tiedonsaantioikeutta mukailevasta säännöksestä.

Poliisin ja muiden esitutkintaviranomaisten tiedonsaantioikeudesta ei säädettäisi erikseen tässä laissa, vaan tiedonsaantioikeudet määräytyisivät poliisin toimintaa ja esitutkintaa koskevien tiedonsaantioikeuksien mukaisesti. Poliisin tiedonsaantioikeuksiin liittyy rajoituksia esimerkiksi viestinnän luottamuksellisuuden ja terveystietojen osalta. Näin ollen on perusteltua jättää tiedonsaantioikeus sitä koskevan erityissääntelyn varaan. Lisäksi voidaan todeta, että kun käyttäjäorganisaatio saa tukipalvelusta asiointiinsa liittyviä tietoja, sovelletaan näiden tietojen käsittelyyn 15 §:n mukaisesti käyttäjäorganisaatiota koskevaa säädäntöä – mukaan lukien säännökset mahdollisuudesta luovuttaa tietoja asioinnista esitutkintaviranomaisille. Käyttäjällä olisi myös mahdollisuus luovuttaa saamiaan tietoja, ellei sitä ole erikseen laissa kielletty.

15 §.Tietojen käsittely käyttäjäorganisaatiossa. Pykälän 1 momentin 1 kohdan mukaan käyttäjäorganisaatiolla olisi rekisterinpitäjänä oikeus ehdotetun lain säännösten rajoittamatta käsitellä palvelutuottajalta esimerkiksi 12 tai 14 §:n nojalla saamiaan tietoja. Koska käyttäjäorganisaatiolle luovutettaisiin tukipalvelusta tietoja käyttäjäorganisaation oman tehtävänsä hoitamiseksi, on perusteltua, että käyttäjäorganisaatiolle tukipalvelusta luovutettuja tietoja arvioidaan sen säädännön nojalla, mikä kyseistä käyttäjäorganisaation tehtävää ja rekisterinpitoa koskee. Koska kyse on tietojen luovuttamisesta, käyttäjäorganisaatiolle tukipalvelusta luovutetut tiedot siirtyvät yleisen tukipalvelun tuotannon rekisterinpitovastuulta viranomaisen tai muun tahon tehtävään liittyvään rekisterinpitovastuuseen käsiteltäviksi tätä tehtävää koskevien lakien mukaisesti.

Pykälän 1 momentin 2 kohdan mukaan käyttäjäorganisaatiolla olisi rekisterinpitäjänä oikeus tarjota palvelunäkymään tunnistautuneelle henkilölle häntä tai hänen edustamansa luonnollisen henkilön tai organisaation asiointia koskevia henkilö- ja muita tietoja palvelunäkymää käyttäen, jollei laissa toisin säädetä. Palvelunäkymässä näytettävien tietojen rekisterinpitovastuu ei siirtyisi palvelutuottajalle, vaan rekisterinpidosta ja tietojen oikeellisuudesta vastaisi pääsääntöisesti edelleen kukin rekisterinpitäjä, joka siirtää henkilötiedot palvelunäkymään rekisteröidyn saataville. Palvelunäkymä ei säilyttäisi eri käyttäjäorganisaation rekisterien tietoja, vaan tiedot haettaisiin asianomaisesta rekisteristä istuntokohtaisesti näkymää käyttävän henkilön palvelunäkymässä näytettäväksi, jolloin ne lyhytaikaisesti tallennettaisiin palvelunäkymän tietojärjestelmään. Palvelunäkymä toimisi näytettävien tietojen suhteen rekisterinpitäjän lukuun – ei itsenäisenä rekisterinpitäjänä. Palvelutuottajan ja käyttäjäorganisaation menettelyistä tukipalvelun toimivuuden ja tietoturvallisuuden ja toisaalta käyttäjäorganisaation asiointipalvelun ja henkilötietojen tietoturvallisuuden varmistamisessa säädettäisiin henkilötietolain 32 §:n lisäksi ehdotetun lain 4 luvussa.

Esimerkiksi ajoneuvoliikennerekisterin tietojen käsittelystä säädetään ajoneuvolaissa (1090/2002) ja sen nojalla annetuissa asetuksissa. Liikenteen turvallisuusvirasto vastaa ajoneuvojen rekisteröinnistä ja pitää yllä ajoneuvoliikennerekisteriä. Liikenteen turvallisuusvirasto olisi palvelunäkymän käyttäjäorganisaatio, joka voi tarjota palvelunäkymään tunnistautuneelle henkilölle häntä ja hänen asiointiaan koskevia henkilö- ja muita tietoja, kuten ajoneuvon omistusta koskevia tietoja.

Pykälän 2 momentin mukaan palvelunäkymässä näytettävät tiedot haettaisiin käyttäjäorganisaation rekisteristä palvelunäkymään henkilötunnuksella tai muulla yksilöivällä tunnuksella teknistä käyttöyhteyttä hyödyntäen. Pääsääntöisesti tietoja haettaisiin henkilötunnuksella, mutta myös esimerkiksi yrityksen palvelunäkymään yritystunnuksella. Tulevaisuudessa on mahdollista myös uusien hakutapojen kehittyminen, minkä vuoksi on tarkoituksenmukaista jättää säännökseen liikkumavaraa. Tietojen hakeminen muilla tunnuksilla ei saisi kuitenkaan vaarantaa henkilötietojen tai muiden tietojen suojaa taikka muita oikeuksia.

Käyttäjäorganisaation tulisi hävittää palvelunäkymästä sen tietojärjestelmään tullut henkilötunnusta tai muuta yksilöivää tunnusta koskeva tieto, mikäli sillä ei olisi oikeutta käsitellä kyseistä tietoa. Kyse olisi lähinnä tilanteesta, jossa tietyllä tunnuksella ei löydy tietoja sen henkilön osalta, joka pyytää tietojensa näyttämistä palvelunäkymässä. Varsinkaan henkilötunnuksella ei haettaisi tietoja sellaisista rekistereistä, joihin ei ole oikeutta tallentaa henkilötunnusta – eli henkilötunnusta ei välitettäisi muutoin kuin sellaiselle käyttäjäorganisaatiolle, jolla on toimintansa perusteella oikeus rekisterissään käsitellä henkilötunnuksia.

Pykälän 3 momentin mukaan käyttäjäorganisaatio vastaisi rekisterinpitäjänä palvelutietovarantoon ja palvelunäkymään saataville tuomiensa tietojen oikeellisuudesta. Tukipalveluina palvelutietovaranto ja -näkymä eivät käytännössä voi tarkistaa kaikkia palveluja tai niiden käyttöä koskevia tietoja erikseen, vaan vastuun näytettävien rekisteritietojen sisällöstä tulee olla käyttäjäorganisaatiolla.

Palvelutuottajan vastuusta säädettäisiin 16 §:ssä. Palvelutuottaja vastaisi esimerkiksi tukipalvelun tietojenkäsittelyn tietoturvallisuudesta ja tietojen yhdistämisen oikeellisuudesta. Tietoturvallisuuteen kuuluu muun muassa eheyden lisäksi myös se, että tiedot ovat vain niiden saatavilla, joilla on oikeus käsitellä niitä.

4 luku Tukipalveluja ja niiden käyttöä koskevat vaatimukset

16 §.Tukipalvelujen laatu- ja tietoturvallisuusvaatimukset. Pykälän 1 momentissa säädettäisiin palvelutuottajan vastuusta koskien sen tuottaman palvelun laatua ja kustannustehokkuutta sekä sitä, että palvelu on käyttötarkoitukseensa yleisesti soveltuva, suorituskykyinen, toimintavarma sekä mahdollisimman käyttäjäystävällinen ja esteetön. Lisäksi palvelutuottajan olisi palvelun toteuttamisessa noudatettava julkisen hallinnon kokonaisarkkitehtuuria ja yhteentoimivuuden kuvauksia ja määrityksiä.

Tarkoituksena on, että valtiovarainministeriö ohjaisi tukipalvelujen tuotantoa siten, että palvelujen laatu on varmistettu ja todennettu. Laadun varmistuksessa ja todentamisessa sekä palvelujen järjestämistavan arvioimisessa ja ohjaamisessa kiinnitettäisiin erityisesti huomiota siihen, että palvelut ja niiden tuotanto on laadukasta ja kustannustehokasta, palvelujen käyttöönottoprosessit ovat vakioituja, palvelujen toimivuus on testattu ja todennettu, palvelujen suorituskyky ja toimintavarmuus on varmistettu ja että palvelut ovat mahdollisimman käyttäjäystävällisiä ja esteettömiä.

Ehdotetun 2 momentin mukaan sen lisäksi mitä henkilötietolain 32 §:ssä säädetään esimerkiksi rekisterinpitäjän ja sen lukuun toimivan vastuusta, palvelutuottaja vastaisi tukipalvelun tuottamisen edellyttämän tietojen yhdistämisen oikeellisuudesta sekä esimerkiksi palvelutietovarannossa ja palvelunäkymässä rekisterinpitäjän lukuun käsiteltävien tietojen tietoturvallisuudesta. Henkilötietolain 32 §:ssä säädetään henkilötietojen suojaamisvelvollisuudesta. Mikäli palvelutuotannossa käsitellään joko käyttäjäorganisaation tai palvelutuottajan lukuun arkaluonteisia henkilötietoja, tulee niiden suojaamisesta huolehtia säädetyllä tavalla ja tietojen käsittelyn tietoturvallisuuteen liittyvät kysymykset on selvitettävä ja otettava huomioon käyttäjäorganisaation liittämisessä siten kuin 17 §:ssä säädetään.

Arkaluonteisia henkilötietoja voi tulla käsiteltäväksi esimerkiksi palveluväylässä tiedonsiirron yhteydessä sekä viestinvälityspalvelussa viestejä välitettäessä. Asiointivaltuuspalvelu käsittelisi väestötietojärjestelmästä ja holhousasioiden rekisteristä henkilön toimintakelpoisuutta koskevia tietoja. Myös tunnistuspalvelun, asiointivaltuuspalvelun ja viestinvälityspalvelun käytöstä tallennetut tiedot voisivat sisältää arkaluonteisia tietoja riippuen siitä, mihin palveluihin henkilön henkilöllisyyttä, toimintakelpoisuutta tai toimivaltaa koskevia tietoja taikka viestejä on välitetty. Tietoturvallisuudesta valtionhallinnossa annettuun asetukseen (681/2010, jäljempänä tietoturvallisuusasetus) sisältyy eräitä luokiteltujen arkaluonteisten henkilörekisteriin talletettujen henkilötietojen käsittelyä koskevia velvoitteita, jotka eivät ole riippuvaisia siitä, onko tiedot säädetty salassa pidettäviksi vai ei (tietoturvallisuusasetus 13 § 1 mom, 14 § 4 k, 16 § 3 mom 19 § 3 mom ja 20 § 1 mom).

Tietojen yhdistämisen oikeellisuudesta voidaan esimerkkinä mainita asiointivaltuuspalvelu, joka hakee eri rekistereistä henkilön toimintakelpoisuutta ja toimivaltaa koskevia tietoja. Palvelutuottaja ei roolissaan vastaisi esimerkiksi toisen viranomaisen rekisterin tietojen oikeellisuudesta, mutta vastaisi siitä, että oikeat tiedot on yhdistetty oikeaan henkilöön oikealla tavalla.

Ehdotetussa 3 momentissa säädettäisiin yksityiskohtaisemmin tukipalvelun laatu-, toimivuus ja tietoturvavaatimuksista. Sääntelyn tarkoituksena on varmistaa, että palvelutuottaja huolehtii tukipalvelun teknisestä toteutuksesta asianmukaisesti niin suunnitellessaan, rakentaessaan kuin ylläpitäessään palvelua.

Ehdotetun 3 momentin 1 kohdan mukaan tuotetun palvelun tulisi olla tekniseltä laadultaan hyvää ja tietoturvallista. Palvelutuotannossa tulisi koko sen elinkaaren ajan huomioiden yleiset teknisen laadun vaatimukset ja että palvelu mahdollistaa tietoturvallisen tietojen käsittelyn. Teknisellä laadulla tarkoitetaan yleisesti tunnettujen, hyväksyttyjen, kestävien ja luotettavien teknisten ratkaisujen ja käytäntöjen avulla toteutettua ja ylläpidettyä palvelua. Teknisellä laadulla turvataan palvelulta odotettuja ominaisuuksia ja toimivuutta. Tietoturvallisuudella taas tarkoitetaan tiedon luottamuksellisuuden, eheyden ja käytettävyyden suojaamista eli niin hallinnollisia kuin teknisiä toimia, joilla varmistetaan, että tukipalvelussa käsiteltävät tiedot ovat vain niiden käyttöön oikeutettujen saatavilla, että tietoja eivät voi muuttaa muut kuin siihen oikeutetut sekä että tiedot ja tietojärjestelmät ovat niiden käyttöön oikeutettujen hyödynnettävissä.

Ehdotetun 3 momentin 2 kohdan mukaan tukipalvelun tulisi kestää normaalit odotettavissa olevat ulkoiset häiriöt ja tietoturvauhat. Säännöksen tarkoituksena on varmistaa tukipalvelun kestävyys ulkoisia niin laatuun, toimivuuteen kuin tietoturvaan kohdistuvia häiriöitä ja uhkia vastaan. Oleellista kestävyysvaatimuksen kannalta on ulkoisen tapahtuman tai tietoturvauhan säännönmukaisuus ja ennalta arvattavuus. Tarkoitus on, että tukipalvelu kestää odotettavissa olevat ulkoiset häiriöt ja tietoturvauhat, jotka ovat normaalilla tukipalvelua suunnittelevan, rakentavan tai ylläpitävän asiantuntemuksella ja ammattitaidolla ennakoitavissa. Ulkoisia häiriöitä ovat esimerkiksi tavanomaiset laite- ja järjestelmärikot, luonnonilmiöt sekä ilkivalta, jotka eivät saisi vaikuttaa tukipalvelun toimintaan. Säännöksen mukaan myös tietoturvaloukkausten merkitys tukipalvelua vaarantavana tekijänä olisi huomioitava ja tukipalvelun tulisi kestää normaalit tietoturvaloukkaukset ja niiden uhat. Esimerkkeinä tyypillisistä tietoturvaloukkauksista, jotka eivät saisi vaikuttaa tukipalvelun toimintaan, ovat haittaohjelmatartunnat ja palvelunestohyökkäykset, jotka ovat asiantuntemuksella ja ammattitaidolla ennakoitavissa.

Ehdotetun 3 momentin 3 kohdan mukaan tukipalvelun suorituskykyä, käytettävyyttä, laatua ja toimintavarmuutta olisi seurattava. Seurannalla ennakoidaan esimerkiksi tukipalvelun kapasiteetin tarvetta ja käyttöä sekä muita palvelun luotettavuuteen vaikuttavia tekijöitä, millä varmistetaan tukipalvelun toimintaa ja ennakoidaan kehittämis- tai muutostarpeita. Suorituskyvyllä tarkoitetaan sitä, kuinka hyvin tukipalvelu toteuttaa sille asetetut vaatimukset. Käytettävyydellä tarkoitetaan sitä, että tukipalvelu ja siinä käsiteltävät tiedot ovat tarvittaessa niihin oikeutettujen saatavilla ja hyödynnettävissä. Laadulla arvioidaan sitä, kuinka hyvin tukipalvelu kokonaisuutena toteuttaa käyttötarkoituksensa. Toimintavarmuuden seurannalla taas tarkoitetaan sitä, että palvelutuottaja tarkkailee esimerkiksi palvelussa tapahtuvia häiriöitä tai virheitä.

Ehdotetun 3 momentin 4 kohdan mukaan tukipalveluun kohdistuvat merkittävät tietoturvaloukkaukset ja sellaisten uhat sekä tukipalvelun toimivuutta merkittävästi häiritsevät viat ja häiriöt olisi voitava havaita. Kohdan tarkoituksena on asettaa palvelutuottajalle velvollisuus seurata, valvoa ja havaita tukipalvelun toimivuutta ja tietoturvallisuutta haittaavia tai uhkaavia tekijöitä. Seuranta mahdollistaa ongelmiin puuttumisen ja siten tukipalvelun toiminnan ja luotettavuuden turvaamisen. Tapahtumien merkittävyyttä arvioitaessa on otettava huomioon loukkauksen tai sellaisen uhan sekä toimivuushäiriön vaikutukset tukipalvelun käyttöön ja luotettavuuteen. Merkittävä tietoturvaloukkaus voi olla esimerkiksi käyttäjien henkilötietojen päätyminen oikeudettoman tahon käyttöön tai tukipalvelun eheyden menetys. Tietoturvaloukkauksen uhka taas voi esimerkiksi olla tukipalvelun teknisessä toteutuksessa löydetty haavoittuvuus, joka hyväksikäytettynä johtaisi vaikkapa käyttäjien tietojen luottamuksellisuuden menettämiseen. Toimivuutta merkittävästi häiritseviä vikoja ja häiriöitä ovat tapahtumat, jotka estävät tukipalvelun käytön tai häiritsevät sitä niin, että useat käyttäjät eivät pysty sitä ongelmitta hyödyntämään.

Ehdotetun 3 momentin 5 kohdan mukaan tukipalveluun tehtävistä muutoksista ei saisi aiheutua ennakoimatonta häiriötä käyttäjäorganisaation tukipalvelua hyödyntävälle asiointipalvelulle tai muulle tehtävälle, jonka toteuttamisen tukena tukipalvelua hyödynnetään. Tarkoituksena on varmistaa, että tukipalveluun tehtävistä rakennus-, kunnossapito- ja muutostöistä – esimerkiksi uuden tekniikan tai teknisen ominaisuuden käyttöönotosta - ei aiheudu ennakoimatonta häiriötä esimerkiksi tukipalvelua hyödyntävälle asiointipalvelulle. Tukipalvelussa tehtävät muutokset voivat heijastua tukipalvelua hyödyntävien toimintojen toteuttamiseen sekä käytettävyyteen ja näin ollen tukipalvelun muutokset on tehtävä hallitusti ja huomioiden tukipalvelua käyttävät, jotta nämä voivat huolehtia tilapäisen häiriön tai pysyvän muutoksen aiheuttamista vaikutuksista omiin toimintoihinsa. Ehdotetun säännöksen tarkoituksena ei ole estää tekemästä muutoksia, vaan varmistaa tukipalvelun ja edelleen sitä käyttävien palvelujen toimivuus myös muutostilanteissa sekä käyttäjäorganisaatioiden mahdollisuus varautua palvelukatkokseen.

Ehdotetun 4 momentin mukaan palvelutuottajan olisi laadittava tarjoamastaan tukipalvelusta palvelukuvaus ja ylläpidettävä sitä. Palvelukuvauksesta tulisi palvelun toiminnallisuuksien lisäksi riittävällä tarkkuudella käydä ilmi, miten 1 - 3 momentissa säädetyt vaatimukset sekä 17 §:n 1 ja 2 momentin tietoturvallisuusvaatimukset on tukipalvelussa toteutettu sekä tukipalveluun liittymisen vaatimukset mukaan lukien rajapintavaatimukset. Tietoturvallisuusvaatimusten toteuttamisen kuvaamisessa tulee mahdollisuuksien mukaan pyrkiä avoimuuteen, mutta julkisiin asiakirjoihin ei tulisi kuvata sellaisia palvelun suojaamisen yksityiskohtia, jotka saattaisivat yleisön tietoon tullessaan vaarantaa palvelun tietoturvallisuuden.

Ehdotettu 5 momentti sisältäisi mahdollisuuden antaa valtioneuvoston asetuksella tarkempia säännöksiä tässä pykälässä tarkoitetuista palvelujen laatua ja tietoturvallisuutta koskevista vaatimuksista.

17 §.Tietojärjestelmiä koskevat vaatimukset. Pykälä sisältäisi erityisiä säännöksiä koskien palvelutuotantoon käytettävien tietojärjestelmien tietoturvallisuutta. Periaatteessa 16 §:ssä säädetty vastuu tukipalvelujen ja niissä käsiteltyjen tietojen turvallisuudesta käsittää myös palvelutuotantoon käytettävien tietojärjestelmien turvallisuuden. Ehdotetulla 17 §:llä on erityisesti haluttu korostaa tietojärjestelmiä koskevia vaatimuksia ja tietojärjestelmien liittämisen edellytyksiä, koska kyse on asioivien henkilöiden henkilötietojen – myös arkaluonteisten henkilötietojen käsittelyn kannalta merkityksellisistä palveluista. Myös käyttäjäorganisaatioiden tietojärjestelmien liittämisestä on syytä säätää erikseen, ettei liittämisellä vaaranneta tietojärjestelmien tai niissä käsiteltävien tietojen tietoturvallisuutta.

Pykälän 1 momentissa säädettäisiin palvelutuottajan velvollisuudesta tarkoituksenmukaisin keinoin varmistua, että sen palvelun tuottamiseen käytettävä tietojärjestelmä on suunniteltu, valmistettu ja toimii tietoturvallisuutta ja tietosuojaa koskevien lakien ja niiden nojalla annettujen säännösten sekä yhteentoimivuutta koskevien kansallisten määritysten mukaisesti. Varmistumisella tarkoitettaisiin sitä, että palveluntuottaja on joko itse tai ulkoisen arvioijan toimesta läpikäynyt tietoturvallisuudelta edellytettävät vaatimukset ja on sitoutunut täyttämään ne. Valtiovarainministeriö voisi ohjauksella vaatia palvelutuottajaa pyytämään tukipalvelulleen tai sen osalle viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen arvioinnista annetun lain (1406/2011) mukaisen arvioinnin.

Ehdotetussa 2 momentissa säädettäisiin, että tukipalvelu olisi tuotettava ja kehitettävä siten, että tukipalvelun käyttötarkoituksesta riippuen tarvittaessa mahdollistetaan perustason tai korotetun tason tietoturvallisuusvaatimukset täyttävien tietojenkäsittely-ympäristöjen muodostaminen.

Toteutettava tietoturvallisuustaso eri toimintaympäristöissä tulee määrittää toimintaprosessien ja niissä käsiteltävien tietojen sisällön ja merkityksen sekä niihin kohdistuvien uhkien ja riskien pohjalta. Tukipalvelun käytännön turvallisuusjärjestelyt ja niiden riittävyys tulee suhteuttaa riskiarvioinnin perusteella suojattavaan tietoon ja sen suojaustasovaatimukseen. Tietoturvallisuuden toteuttaminen edellyttää tukipalveluun liittyvien tietoturvariskien järjestelmällistä kartoittamista. Riskillä tarkoitetaan jonkinlaisen haitan tai vaurion todennäköisyyttä ja sen seurauksia. Tietoturvariskeillä tarkoitetaan sellaista tahatonta tai tahallista tekijää, joka vaarantaa tukipalvelun luottamuksellisuutta, eheyttä tai käytettävyyttä. Tietoturvariskin erottaa tietoturvauhasta sillä, että riskin todennäköisyyttä ja vaikutuksia on arvioitu. Tietoturvariskit voivat aiheutua esimerkiksi inhimillisistä virheistä, annettujen ohjeiden puutteista tai noudattamatta jättämisestä, varkauksista tai ilkivallasta, laitteiden, järjestelmien tai ohjelmistojen virheistä ja toimintahäiriöistä, haittaohjelmien leviämisestä, tietoaineistojen tuhoutumisesta taikka alihankkijan tai kumppanuusverkostoon kuuluvan toimijan virheistä tai laiminlyönneistä.

Riskien hallinta on prosessi, jonka tarkoitus on tunnistaa riskejä, vähentää niiden todennäköisyyttä ja/tai vaikutuksia hyväksyttävälle tasolle ja ylläpitää saavutettua tasoa. Tietoturvariskien hallinnalla on siis pyrittävä toteuttamaan tukipalveluun turvatoimien yhdistelmä, jolla varmistetaan käsiteltävän tiedon riittävä suojaustaso ja saadaan aikaan tyydyttävä tasapaino käyttäjien vaatimusten, kustannusten ja turvallisuuteen kohdistuvan jäännösriskin välillä.

Ehdotetun 3 momentin mukaan ennen käyttäjäorganisaation tietojärjestelmän liittämistä yhteisen sähköisen asioinnin tukipalveluun palvelutuottaja voisi edellyttää käyttäjäorganisaatiolta tukipalvelun tietoturvallisuuden ja laadun varmistamiseksi tarpeellisten vaatimusten täyttämistä. Palvelutuottajan ja käyttäjäorganisaation olisi tarpeen mukaisilla ja ennalta sovituilla tietoturvallisuustoimenpiteillä sekä testauksilla varmistuttava siitä, ettei liittämisellä vaaranneta käyttäjäorganisaation asiointipalvelun tai henkilötietojen taikka tukipalvelun tai sen tuottamiseen käytetyn tietojärjestelmän tietoturvallisuutta. Käytännössä tämä tarkoittaisi sitä, että palvelutuottaja ja käyttäjäorganisaatio sitoutuisivat täyttämään puolin ja toisin asianmukaiset tietoturvallisuutta koskevat vaatimukset. Vaatimusten arvioinnissa tulee ottaa huomioon esimerkiksi tukipalvelun tuottamiseen käytetyn tietojärjestelmän toiminnallisuutta ja tietoturvallisuutta koskevat vaatimukset sekä toisaalta esimerkiksi käyttäjäorganisaation asiointipalvelun ja henkilötietojen käsittelyn tarpeista johtuvat vastaavat vaatimukset.

Ehdotetun 4 momentin mukaan valtioneuvoston asetuksella voitaisiin antaa tarkempia säännöksiä 1 momentissa tarkoitettujen tietojärjestelmien tietoturvallisuutta koskevista vaatimuksista ja niiden täyttymisen toteamisesta, 2 momentissa tarkoitetusta tietojenkäsittely-ympäristöjen muodostamisesta sekä 3 momentissa tarkoitetusta käyttäjäorganisaation tietojärjestelmän liittämistä koskevista tietoturvallisuustoimenpiteistä.

18 §.Häiriöt ja häiriöilmoitukset. Pykälässä säädettäisiin tukipalvelujen tuottamiselle ja toisaalta asiointipalvelujen tuottamiselle ja muulle tukipalvelujen hyödyntämiselle tarpeellisista menettelyvaatimuksista sekä ilmoitusvelvollisuuksista vika- ja häiriötilanteissa. Pykälässä säädettäisiin sekä palvelutuottajan että käyttäjäorganisaation velvollisuuksista.

Ehdotetussa 1 momentissa säädettäisiin molemminpuolinen velvollisuus ryhtyä toimenpiteisiin asian korjaamiseksi, jos käyttäjäorganisaation tai palvelutuottajan tietojärjestelmä aiheuttaa haittaa toisen osapuolen tietojärjestelmälle, johon se on liitetty. Tarvittaessa palvelutuottaja voisi kytkeä käyttäjäorganisaation tietojärjestelmän irti tukipalvelusta ja toisin päin. Irtikytkemisellä tarkoitetaan sitä, että tiedonsiirto järjestelmien välillä lopetetaan kokonaan tai osittain riippuen häiriön vakavuudesta. Irtikytkeminen voisi tulla kyseeseen niissä vakavissa häiriötilanteissa, joissa vähäisemmät toimenpiteet ja jäljempänä kuvattu ilmoitusvelvollisuus eivät riitä turvaamaan tietojärjestelmien toimintaa tai tietoturvallisuutta. Häiriön poistuttua tiedonsiirto voitaisiin mahdollisten testausten jälkeen aloittaa uudelleen.

Ehdotetun 2 momentin mukaan palvelutuottajan olisi viipymättä ilmoitettava käyttäjäorganisaatioille ja tukipalvelujen käyttäjille, jos sen tukipalveluun kohdistuu tai sitä uhkaa merkittävä tietoturvaloukkaus taikka muu tapahtuma, joka estää tukipalvelun toimivuuden tai häiritsee sitä olennaisesti taikka vaarantaa tietoturvallisuuden toteutumisen. Tietoturvallisuuden toteutuminen käsittäisi myös tietosuojan - eli esimerkiksi palvelussa käsiteltävien henkilötietojen suojaamisen toteutumisen. Ilmoituksessa on kerrottava häiriön tai sen uhkan arvioitu kesto sekä mahdollisuuksien mukaan käyttäjäorganisaation ja käyttäjän käytettävissä olevista suojaustoimenpiteistä. Lisäksi palvelutuottajan on ilmoitettava käyttäjäorganisaatioille ja käyttäjille häiriön tai uhkan päättymisestä. Tukipalvelujen erityisen merkittävästä roolista sähköisessä asioinnissa johtuen säädettäisiin palvelutuottajalle lisäksi vastaava ilmoitusvelvollisuus myös sen tukipalvelujen käyttäjiä kohtaan. Säännös olisi tarpeen 1 momentissa tarkoitettuja tilanteita ja niiden uhkia varten, joissa on tärkeää tiedottaa käyttäjäorganisaatioita ja tukipalvelujen käyttäjiä.

Ehdotetussa 3 momentissa säädettäisiin 2 momenttia vastaavasti käyttäjäorganisaatiolle velvollisuus viipymättä ilmoittaa palvelutuottajalle, jos kyseisen palvelutuottajan tukipalveluun liitettyyn tietojärjestelmään kohdistuu tai sitä uhkaa merkittävä tietoturvaloukkaus taikka muu tapahtuma, joka voi vaarantaa tukipalvelun tietoturvallisuuden tai toimivuuden tai häiritä sitä olennaisesti. Ilmoituksessa olisi kerrottava häiriön tai uhkan sisältö, arvioitu kesto ja mahdollisuuksien mukaan suojaustoimenpiteet. Lisäksi käyttäjäorganisaation olisi ilmoitettava häiriön tai uhkan kohteena olevan tukipalvelun palvelutuottajalle häiriön tai uhkan päättymisestä. Säännöksessä ei 2 momentista eroavasti säädettäisi käyttäjäorganisaation velvollisuudesta tiedottaa oman asiointipalvelunsa käyttäjiä. Tämä velvollisuus jätettäisiin kunkin viranomaisen asiointipalvelua koskevan sääntelyn - tai erityissääntelyn puuttuessa – hallintolain (palveluperiaate) ja julkisuuslain (tiedottaminen) varaan.

Ehdotetun 4 momentin mukaan palvelutuottajan olisi raportoitava palvelujensa toimivuudesta ja tietoturvallisuudesta säännöllisesti sekä ilmoitettava niihin liittyvistä merkittävistä poikkeamista viivytyksettä valtiovarainministeriölle tai sen osoittamalle viranomaiselle.

19 §.Varautuminen ja palvelutuotannon häiriötilanteet. Pykälän 1 momentissa säädettäisiin palvelutuottajille velvollisuus valmiussuunnitelmin ja normaaliolojen häiriötilanteissa tai poikkeusoloissa tapahtuvan toiminnan etukäteisvalmisteluin sekä muilla toimenpiteillä huolehtia siitä, että toiminta ja palvelujen tuotanto jatkuvat mahdollisimman häiriöttömästi normaaliolojen häiriötilanteissa sekä poikkeusoloissa.

Ehdotetun 2 momentin mukaan, ellei muussa laissa toisin säädetä, normaalioloissa ja niiden häiriötilanteissa noudatettaisiin tässä laissa tarkoitettujen palvelujen tuotannon ja käytön ensisijaisuus- ja kiireellisyysmäärittelyssä sekä muussa tärkeysmäärittelyssä valtiovarainministeriön ennalta määrittelemiä periaatteita. Valtiovarainministeriön olisi ennen periaatteiden vahvistamista kuultava asianomaisia palvelujen tuottajia, asiakkaita ja ministeriöitä. Valtioneuvosto päättäisi merkitykseltään laajakantoisista ja yhteiskunnallisesti merkittävistä periaatteista.

Ehdotettu sääntely vastaisi TORI-lain 15 §:ssä säädettyä sekä osin julkisen hallinnon turvallisuusverkkotoiminnasta annetun lain (10/2015) 12 ja 14 §:ssä säädettyä.

Ehdotettu 3 momentti sisältäisi informatiivisen viittauksen valmiuslain poikkeusoloja koskevaan sääntelyyn. Ehdotetussa säännöksessä tarkoitettu valtiovarainministeriön ja valtioneuvoston toimivaltuus ja edellä mainittujen periaatteiden soveltaminen ulottuisi normaalioloihin ja niiden häiriötilanteisiin eikä sillä näin ollen muutettaisi valmiuslain (1552/2011) 105 §:n mukaisia toimivaltuuksia, joita sovelletaan valmiuslaissa tarkoitetuissa poikkeusoloissa.

20 §.Lokirekisteri. Pykälän 1 momentissa säädettäisiin VRK:lle velvollisuus pitää lokirekisteriä 3 §:n 1 momentin 1 – 7 kohdissa tarkoitettujen palvelujen käytöstä tallennettujen tietojen käsittelystä. Lokirekisterin pitäminen olisi tarpeen henkilötietojen käsittelyn tietoturvallisuudesta huolehtimiseksi, jotta voidaan jälkikäteen tarkistaa, ketkä ovat käsitelleet tukipalvelujen käytöstä tallennettuja tietoja. Lokirekisterin pito on tarpeen erityisesti esimerkiksi luonnollisen henkilön tunnistuspalvelun ja laillista edustamista koskevan tiedon tarjoavan palvelun osalta, koska palvelujen käytöstä kertyy tietoa henkilökohtaisesta asioinnista. Tietoihin voi sisältyä myös arkaluonteisia henkilötietoja. Lokirekisterin pitovelvollisuutta ei olisi tarpeen kirjata erityisenä velvoitteena lakiin 3 §:n 1 momentin 8 kohdassa tarkoitetun verkkomaksamisen kokoamis- ja hallinnointipalvelun, hallinnon karttapalvelun tai 3 §:n 2 momentissa tarkoitettujen muiden tukipalvelujen taikka siirtymäsäännöksessä mainittujen tukipalvelujen osalta, koska niiden tarjoaminen on joko päättymässä siirtymäajan kuluessa ja/tai ne ovat sellaisia palveluja, joiden käytöstä ei voi kertyä 3 §:n 1 momentin 1 – 7 kohdissa mainittuja palveluja vastaavalla tavalla hallinnossa asioivan yksityisyyden suojaan liittyvää tietoa. Näiden muiden palvelujen osalta tietojen käsittelyn valvonta voidaan jättää yleislain eli henkilötietolain - ja yksityisyyden suojasta työelämässä annetun lain - sääntelyn varaan.

Säännöksen mukaan lokirekisteriin olisi tallennettava tieto tietojen käsittelijästä, käsittelyn ajankohdasta sekä käsittelyn kohteena olleista järjestelmän tiedoista tai tietoryhmistä. Lisäksi tulisi tallentaa tiedot tahosta, jolle palvelujen käytöstä tallennettuja tietoja on 14 §:n nojalla luovutettu. Mikäli käsittelijää koskevan tiedon tallentaminen edellyttää erillisen tietojärjestelmän käyttäjärekisterin saatavilla oloa, on tämä käyttäjärekisterikin tallennettava. Mikäli tietoluovutuksia koskevat tiedot tallennetaan eri rekisteriin tai tietojärjestelmään (tai vaikka vain paperille), olisi nämä asiakirjat tallennettava myös. Tarkoitus ei ole, että kaikki käsitellyt tiedot tallennettaisiin uudelleen lokirekisteriin, vaan lokirekisteriin tulisi tallentaa käsittelijän tiedonhakua koskeva tieto sillä tarkkuudella, että siitä voidaan riittävässä määrin päätellä, mitä asioita ja/tai henkilöitä koskevia tietoja käsittelijä on käsitellyt.

Pykälän 2 momentin mukaan VRK:n olisi säilytettävä lokirekisteriin tallennetut tiedot vähintään kaksi vuotta niiden tallentamisajankohtaa seuraavan kalenterivuoden alusta lukien. Säilytysaika vastaa väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain 56 §:ssä säädetyn väestötietojärjestelmän käyttöä koskevan lokirekisterin sekä tietoyhteiskuntakaaren 145 §:ssä säädetyn välitystietojen käsittelyä koskevien tietojen säilytysaikaa.

21 §.Lokirekisterin tietojen käyttö ja luovuttaminen. Pykälässä säädettäisiin siitä, mihin VRK saisi käyttää lokirekisterin tietoja toiminnassaan sekä siitä, kenelle ja mihin tarkoituksiin se voisi luovuttaa tietoja.

Pykälän 1 momentin mukaan VRK saisi käyttää lokirekisteriin tallennettuja tietoja palvelujen käytöstä tallennettujen tietojen käsittelyn seurantaa ja valvontaa sekä tietoturvallisuuden ylläpitoa varten. Tällä tarkoitettaisiin järjestelmän tietojen käytön ja suojauksen yleistä seurantaa ja valvontaa, jonka kautta huolehdittaisiin henkilötietolain 32 §:ssä mainittujen tietojen suojaamista koskevien velvoitteiden toteuttamisesta. Kysymys olisi lokirekisterin käyttötarkoitukseen ja olemassaoloon liittyvästä keskeisestä perustarpeesta ja käyttöominaisuudesta.

Ehdotetun 2 momentin mukaan VRK voisi luovuttaa lokirekisterin tietoja poliisi- ja esitutkintaviranomaiselle palvelun käytöstä tallennettujen tietojen lain vastaista käsittelyä koskevan rikoksen selvittämistä varten, jollei yksittäisten tietojen luovuttamisesta poliisille ole toisin säädetty. Säännöksen loppuosan poikkeuksella on tarkoitettu esimerkiksi sitä, että mikäli lokirekisteriin sisältyvistä tiedoista, jotka koskevat käsittelyn kohteena olleita tietoja, paljastuisi jokin sellainen seikka henkilön asioinnista, jota koskevan tiedon luovuttamisesta poliisille säädetään erikseen, tulisi luovuttamisessa noudattaa erityissääntelyä ehdotetun lain sijaan.

Ehdotetun 3 momentin mukaan VRK voisi lisäksi julkisuuslain 11 ja 12 §:ssä säädetyin rajoituksin luovuttaa palvelun käytöstä tallennettuja tietoja henkilölle, jota koskevat tiedot ovat olleet käsittelyn kohteena. Lisäksi tietoja voitaisiin luovuttaa mainitun henkilön sekä lokirekisteristä ilmenevän tietojen käsittelijän suostumuksella yksilöityä tarkoitusta varten.

5 luku Ohjaus

22 §.Yleinen ohjaus. Pykälän 1 momentissa säädettäisiin valtiovarainministeriön tehtäväksi ohjata ehdotetussa laissa tarkoitettujen tukipalvelujen järjestämistä, palvelujen laatua sekä näiden palvelujen yhteentoimivuutta ja kokonaisarkkitehtuurin mukaisuutta noudattaen mitä julkisen hallinnon tietohallinnon ohjauksesta annetussa laissa säädetään. Valtiovarainministeriö vastaisi myös tukipalvelujen palvelutuotannon yleishallinnollisesta, strategisesta sekä tieto- ja viestintäteknisen varautumisen, valmiuden ja turvallisuuden ohjauksesta.

Palvelujen ohjausvastuu on tarkoitus jakaa integraatiokokonaisuuteen, tunnistamista ja asiointivaltuuksia koskevaan kokonaisuuteen sekä palvelunäkymiä (ml. palvelutietovaranto ja viestinvälityspalvelu) koskevaan kokonaisuuteen.

Palvelujen ohjaamiseen ei tultaisi kehittämään erillisiä rakenteita, kuten hallitusta tai vastaavia ryhmittymiä. Palvelujen kehittäminen lähtisi VRK:n kokoamista asiakastarpeista ja ohjaavien ministeriöiden näkemyksestä strategisen kehittämisen painopisteistä, kansainvälisen yhteistyön tavoitteista sekä yhteiskunnassa tapahtuvista muutoksista. Ohjauksen toteuttaminen edellyttäisi resursointia myös ministeriössä, jotta kansallisesti merkittävien sähköisen asioinnin tukipalveluiden ajanmukaisuus ja asiakaslähtöisyys pystytään takaamaan.

Ehdotetun 2 momentin mukaan VRK:n tuottaman, 3 §:n 1 momentin 3 kohdassa tarkoitetun palvelunäkymän yrityksen palvelunäkymää koskevan kokonaisuuden sisällön ja rakenteen strategisesta ohjauksesta vastaisivat valtiovarainministeriö ja työ- ja elinkeinoministeriö yhdessä.

Työ- ja elinkeinoministeriöstä annetun valtioneuvoston asetuksen (1024/2007) mukaan ministeriön tehtäviin kuuluvat yritystoiminnan ja yrittäjyyden edistäminen sekä julkiset yritystuet ja yrityspalvelut. Tämän vuoksi palvelun ohjauksessa on otettava huomioon toimialan oma erityisosaaminen. Palvelunäkymän yrityksen palvelunäkymää koskeva kokonaisuus rakennetaan myös nykyisen yrityssuomi.fi -palvelun sisällön pohjalta. KEHA-keskus tuottaa yrityssuomi.fi -palvelua enintään 31.12.2017 saakka. Jatkossa tuottaja olisi VRK. Palvelunäkymän yrityksen palvelunäkymää koskevan kokonaisuuden sisällön ja rakenteen ohjauksen jakaminen on perusteltua ottaen huomioon työ- ja elinkeinoministeriön toimiala ja vastuut yritystoiminnan osalta.

Ehdotetun 3 momentin mukaan Maanmittauslaitoksen tuottaman, 3 §:n 1 momentin 9 kohdassa tarkoitetun hallinnon karttapalvelua koskevan kokonaisuuden sisällön ja rakenteen strategisesta ohjauksesta vastaisivat valtiovarainministeriö ja maa- ja metsätalousministeriö yhdessä.

23 §.Tiedonsaantioikeus. Pykälän 1 momentissa säädettäisiin valtiovarainministeriölle oikeus saada tehtävänsä suorittamiseksi riittävät ja tarvittavat tiedot palvelutuottajilta koskien palvelutuotannon laatua ja kustannustehokkuutta sekä muita ehdotetussa laissa tarkoitettuja palvelutuotannolle asetettuja vaatimuksia.

Palvelutuottajilla olisi esimerkiksi velvollisuus tuottaa valtiovarainministeriölle tilastollista tietoa tukipalvelujen käytöstä. Tilastotiedot käytöstä olisivat ohjauksessa tarpeellisia esimerkiksi tukipalvelujen taloudellisten vaikutusten kuten tuottavuushyötyjen arvioimiseksi.

6 luku Erinäiset säännökset

24 §.Oikaisuvaatimus. Pykälän 1 momentissa säädettäisiin oikaisuvaatimuksen tekemisestä palvelutuottajan esimerkiksi lain 5 §:n 3 momentin tai 8 §:n 3 momentin nojalla antamista päätöksistä.

Pykälän 2 momentti sisältäisi informatiivisen viittauksen hallintolain oikaisuvaatimusmenettelyä koskeviin säännöksiin.

25 §.Tukipalvelujen kustannukset. Pykälän 1 momentissa säädettäisiin, että tukipalvelujen tuottamisesta aiheutuvat kustannukset katetaan valtion varoista ja palvelun käyttö on käyttäjäorganisaatiolle maksutonta. Jatkuva palvelu rahoitettaisiin keskitetysti valtion talousarviosta, jotta kynnys käyttää yhteisiä ratkaisuja on mahdollisimman matala ja palvelujen laajasta käytöstä saatava hyöty saadaan mahdollisimman suureksi.

Ehdotetun 2 momentin mukaan käyttäjäorganisaatio vastaisi kuitenkin itse sille tukipalvelujen käyttöön liittymisestä sekä palvelutietovarannon ja palvelunäkymän sisältämien tietojen ylläpidon kustannuksista.

Ehdotetun 3 momentin mukaan viestinvälityspalvelun kautta lähetettyjen kirjeiden kustannuksista vastaisi kirjeen lähettänyt käyttäjäorganisaatio. Tämä on perusteltua viranomaisten kannustamiseksi sähköiseen asiointiin sekä siksi, että kirjepostituksesta aiheutuvia kustannuksia on haasteellista talousarviovaikutusten vuoksi siirtyä kattamaan keskitetysti.

Ehdotetussa 4 momentissa säädettäisiin käyttäjäorganisaatioille velvollisuus maksaa itse tunnistuspalvelun tarjoajien kanssa solmimiinsa sopimuksiin perustuvat maksut. Säännöksellä selvennettäisiin, että esimerkiksi lopetettavan Vetuma-palvelun käytöstä siirtymäajalla tunnistuspalvelun tuottajille maksettavat maksut eivät kuuluisi uuden luonnollisen henkilön tunnistuspalvelun keskitetyn rahoituksen piiriin.

7 luku Voimaantulo

26 §.Voimaantulo. Esitykseen sisältyvien lakiehdotusten on tarkoitus tulla voimaan mahdollisimman pian, viimeistään 1 päivänä heinäkuuta 2016.

27 §.Tehtävien järjestämistä koskeva siirtymäsäännös. Pykälän 1 momentissa säädettäisiin Valtorin tehtäväksi tuottaa ja kehittää 3 §:n 1 momentin 5 ja 8 kohdassa tarkoitettuihin palveluihin kuuluvaa tunnistamisen, allekirjoittamisen ja maksamisen kokoamis- ja hallinnointipalvelua enintään 31 päivään joulukuuta 2017. Kyse on Vetuma-palvelusta, jonka tuotannon on tarkoitus päättyä vuoden 2017 lopussa, kun käyttäjäorganisaatiot on saatu siirrettyä uuden luonnollisen henkilön tunnistuspalvelun tai 3 §:n 1 momentin 5 kohdassa tarkoitetun tunnistuspalvelun käyttäjäorganisaatioiksi. Palvelu ei siis siirtyisi VRK:n tuotettavaksi, vaan VRK tuottaa Vetuma -palvelun kanssa ajallisesti päällekkäin uutta luonnollisen henkilön tunnistuspalvelua, jonka on tarkoitus korvata Vetuma -palvelu.

Ehdotetun 2 momentin mukaan Valtorin tehtävänä olisi tuottaa ja kehittää 3 §:n 1 momentin 7 kohdassa tarkoitettua palvelua sekä pitää 11 §:ssä tarkoitettua rekisteriä enintään 31 päivään joulukuuta 2017, jonka jälkeen palvelutuotanto ja rekisteripitovastuu siirtyisivät VRK:lle. Kyse on asiointitiliä eli jatkossa viestinvälityspalvelua ja sähköisen tiedoksiantomenettelyn suostumusrekisteriä koskevasta siirtymäsäännöksestä.

Pykälän 3 momentin mukaan Valtiokonttorin tehtävänä olisi tuottaa ja kehittää 3 §:n 1 momentin 2 kohdassa tarkoitettuihin palveluihin kuuluvaa Suomi.fi –palvelua enintään 31 päivään joulukuuta 2017.

Pykälän 4 momentin mukaan Verohallinnon tehtävänä olisi tuottaa ja kehittää 3 §:n 1 momentin 5 kohdassa tarkoitettuihin palveluihin kuuluvaa sähköistä tunnistuspalvelua, jonka avulla viranomainen tai muu julkista tehtävää hoitava voi julkista tehtävää hoitaessaan tunnistaa organisaation ja sitä edustavan henkilön, enintään 31 päivään joulukuuta 2016. Säännöksessä tarkoitetaan KATSO-palvelua, jonka tuotantovastuu siirtyisi VRK:lle viimeistään vuoden 2017 alussa.

Pykälän 5 momentin mukaan KEHA-keskuksen tehtävänä olisi tuottaa ja kehittää 3 §:n 1 momentin 2 ja 3 kohdassa tarkoitettuihin palveluihin kuuluvaa yrityssuomi.fi –palvelua enintään 31 päivään joulukuuta 2017.

Pykälän 6 momentin mukaan valtiovarainministeriö päättäisi tarkemmin 1-4 momentissa säädettyjen määräaikojen puitteissa hallinnonalansa sisällä tapahtuvista siirroista – eli Valtorilta, Valtiokonttorilta ja verohallinnolta VRK:lle siirrettävistä tehtävistä ja toiminnoista sekä aikatauluista.

Ehdotetun 7 momentin mukaan Valtioneuvosto päättäisi tarkemmin 5 momentissa säädetyn määräajan puitteissa KEHA-keskukselta VRK:lle siirrettävistä tehtävistä ja toiminnoista sekä aikatauluista.

28 §.Henkilöstöä koskeva siirtymäsäännös. Ehdotetun 1 momentin mukaan Valtorin tuottamaan tukipalveluun eli viestinvälityspalveluun ja avoindata.fi:hin liittyviä tehtäviä hoitava työsopimussuhteinen henkilöstö siirtyisi VRK:een virkaan valtiovarainministeriön 27 §:n 6 momentin päätöksen tai 3 §:n 2 momentissa tarkoitetun asetuksen mukaisesti. Määräaikaisessa työsuhteessa näissä tehtävissä oleva henkilöstö siirtyisi palvelussuhteensa keston ajaksi VRK:een määräaikaisen virkasuhteeseen. Säännöksessä on lisäksi virkamieslain 5 a §:ää vastaava kohta koskien työsopimussuhteessa olevan henkilön siirtämistä ilman suostumusta, mikäli hänet siirretään hänen työssäkäyntialueellaan tai työssäkäyntialueelleen. Työssäkäyntialuetta koskeva edellytys tullaan ottamaan huomioon siirtoja tehtäessä.

Ehdotetun 2 momentin mukaan työntekijä saisi työsuhteessa muutoin sovellettavaa irtisanomisaikaa noudattamatta tai sen kestoajasta riippumatta irtisanoa työsopimuksen päättymään siirtopäivästä, jos hän on saanut tiedon siirrosta Valtorilta tai VRK:lta viimeistään kuukautta ennen siirtopäivää. Jos työntekijälle on annettu tieto siirrosta myöhemmin, hän saisi irtisanoa työsopimuksensa päättymään siirtopäivästä tai tämän jälkeen, viimeistään kuitenkin kuukauden kuluessa saatuaan tiedon siirrosta.

Lisäksi pykälän 2 momentin mukaan Valtorista VRK:een siirtyvän henkilöstön palvelussuhteen katsottaisiin palvelussuhde-etuuksien määräytymisen kannalta jatkuneen valtiolla yhdenjaksoisena. Kysymys on esimerkiksi ennen ehdotetun lain voimaantuloa kertyneiden lomien siirtymisestä tai lomarahoista. Siirtyvien työsopimussuhteessa olevien henkilöiden palkkaukseen sovelletaan periaatteita, joita eri palkkausjärjestelmien yhteensovittamisesta on kirjattu valtion virka- ja työehtosopimuksen allekirjoittamispöytäkirjan kohtaan 2 ”Palkkaus henkilöstön siirtyessä organisaatiomuutoksessa suoraan lain nojalla”.

Ehdotettu 3 momentti sisältäisi informatiivisen säännöksen koskien virkamieslain (750/1994) soveltamista virkasuhteessa siirtyvään henkilöstön asemaan. Suomi.fi -palvelun lakkauttamisen yhteydessä Valtiokonttorista on tarkoitus siirtää palvelun tuotantoon liittyvät virat ja niihin nimitetyt virkamiehet VRK:een virkamieslain 2 luvun nojalla. Myös KEHA-keskuksesta, yrityssuomi.fi -palvelun palvelutuotannosta on tarkoitus siirtää vastaavalla tavalla virat ja niihin nimitetyt virkamiehet VRK:een. KATSO -palvelun tuotantotehtävistä verohallinnosta siirtyvät myös tehtäviin liittyvät virat ja niitä hoitavat virkamiehet VRK:een.”

Valtion virkamieslain 2 lukuun sisältyvän 5 a §:n 1 ja 2 momentin mukaan valtionhallinnon toimintojen uudelleenjärjestelyn yhteydessä virat ja niihin nimitetyt virkamiehet siirtyvät samaan virastoon tai samoihin virastoihin kuin tehtävät siirtyvät ja määräaikaiseen virkasuhteeseen nimitetty virkamies siirtyy viraston palvelukseen määräaikaisen virkasuhteensa keston ajaksi. Lain 5 a §:n 3 momentin säännöksen mukaan virka voidaan siirtää edellä tarkoitetuissa tilanteissa ilman virkamiehen suostumusta, jos virka siirretään virkamiehen työssäkäyntialueella tai työssäkäyntialueelle. Työssäkäyntialuetta koskeva edellytys tullaan ottamaan huomioon siirtoja tehtäessä.

Valtion virkamieslain 5 a §:n 4 momentin mukaan virkamiehen palvelussuhteen ehtoihin sovelletaan, mitä niistä virkaehtosopimuksissa sovitaan tai laissa säädetään. Esimerkiksi palkkauksen osalta suoraan lain nojalla siirtyvien palkkaukseen sovelletaan periaatteita, joita eri palkkausjärjestelmien yhteensovittamisesta on kirjattu valtion virka- ja työehtosopimuksen allekirjoittamispöytäkirjan kohtaan 2 ”Palkkaus henkilöstön siirtyessä organisaatiomuutoksessa suoraan lain nojalla”.

29 §.Käyttövelvoitteen voimaantuloa koskeva siirtymäsäännös. Pykälän 1 momentissa säädettäisiin käyttöön velvoitettujen tahojen velvollisuudesta ottaa eräät tukipalvelut käyttöön tiettyyn ajankohtaan mennessä. Niiden palvelujen osalta, joita siirtymäsäännöksessä ei ole mainittu (esimerkiksi palveluväylä), käyttövelvollisuus tulee voimaan lain voimaan tullessa, ellei 5 §:ssä säädetyistä poikkeamisperusteista muuta johdu.

Ehdotetussa pykälässä säädettäisiin, että käyttöön velvoitetun käyttäjäorganisaation on kuvattava palvelujaan koskevat tiedot palvelutietovarantoon ja tuotava rekisteritietojaan palvelunäkymään viimeistään 1 päivänä heinäkuuta 2017, otettava luonnollisen henkilön tunnistuspalvelu ja verkkomaksamisen kokoamis- ja hallinnointipalvelu käyttöön viimeistään 1 päivänä tammikuuta 2018 ja otettava viestinvälityspalvelu käyttöön viimeistään 1 päivänä heinäkuuta 2017.

Ehdotetussa 2 momentissa säädettäisiin yksityisten yhteisöjen, säätiöiden ja elinkeinonharjoittajien palvelutietovarannon käyttöoikeuden voimaantulosta. Käyttöoikeus tulisi voimaan, kun yksityisten yhteisöjen ja elinkeinonharjoittajien palvelutietovarannon käyttövaltuuksien hallintamallit ovat valmiit, viimeistään 1 päivänä heinäkuuta 2017.

30 §.Sopimuksia ja muita sitoumuksia sekä vireillä olevia asioita koskeva siirtymäsäännös. Pykälässä säädettäisiin tehtävien ja toimintojen siirtämisen yhteydessä näihin tehtäviin ja toimintoihin liittyvien sopimusten ja sitoumusten ja niihin liittyvien oikeuksien ja velvollisuuksien sekä vireillä olevien asioiden siirtymisestä VRK:lle.

1.2 Laki valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä

Koska hallinnon yhteisistä sähköisen asioinnin tukipalveluista ehdotetaan säädettäväksi erillinen laki, valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä annetun lain säännökset ehdotetaan kumottavaksi siltä osin kuin niissä säädetään yhteisistä sähköisen asioinnin ja hallinnon tukipalveluista. Myös valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä annettua asetusta tullaan muuttamaan vastaavasti.

3 §.Yhteiset palvelut. Pykälän muutoksella kumottaisiin sen 2 ja 3 momentti ja pykälän 4 momentti muutettaisiin siten, että siitä poistettaisiin sähköisen asioinnin ja hallinnon tukipalveluja koskeva osuus, koska mainittujen tukipalvelujen käytöstä säädettäisiin erillinen laki (1. lakiehdotus). Lisäksi tehtäisiin kieliopillinen korjaus suomenkielisen lain 1 ja 4 momenttiin.

13 §.Valtion yhteisten sähköisen asioinnin ja hallinnon tukipalvelujen tuottaja. Pykälä kumottaisiin, koska hallinnon yhteisten sähköisen asioinnin tukipalvelujen tuotannosta säädettäisiin jatkossa 1. lakiehdotuksessa.

14 §.Valtion yhteisten sähköisen asioinnin ja hallinnon tukipalvelujen tuottajan asiakkaat. Pykälä kumottaisiin, koska hallinnon yhteisten sähköisen asioinnin tukipalvelujen asiakkaista eli palvelujen käytöstä säädettäisiin jatkossa 1. lakiehdotuksessa.

20 §.Yhteisten palvelujen käytön velvollisuutta koskeva siirtymäsäännös. Pykälän muutoksella sen 2 momentti kumottaisiin, koska hallinnon yhteisten sähköisen asioinnin tukipalvelujen käyttövelvollisuudesta ja käyttövelvoitteen voimaantulosta säädettäisiin jatkossa 1. lakiehdotuksessa. Pykälän 1 momenttiin tehtäisiin säännösviittaukseen korjaus, koska lain 3 §:n 4 momentista tulee kahden momentin kumoamisen johdosta uusi 2 momentti.

2 Tarkemmat säännökset ja määräykset

Hallinnon yhteisiä sähköisen asioinnin palveluja koskevaan lakiehdotukseen sisältyvät säädöstasoa koskevassa jaksossa 4.4. kuvatut asetuksenantovaltuuksia koskevat säännökset.

3 Voimaantulo

Lait ehdotetaan tulemaan voimaan mahdollisimman pian hyväksymisen jälkeen, viimeistään 1 päivänä heinäkuuta 2016.

4 Suhde perustuslakiin ja säätämisjärjestys
4.1 Johdanto

Esitystä on tarkasteltu perustuslain 10 §:ssä tarkoitetun yksityiselämän suojan, 21 §:n suojaaman oikeudenmukaisen oikeudenkäynnin ja hyvän hallinnon takeiden, säädöstasoa koskevan 80 §:n, 120 §:ssä säädetyn Ahvenenmaan erityisaseman sekä 121 §:ssä tarkoitetun kunnallisen itsehallinnon kannalta.

4.2 Yksityiselämän suoja

Perustuslain 10 §:n 1 momentin mukaan jokaisen yksityiselämä, kunnia ja kotirauha on turvattu ja henkilötietojen suojasta säädetään tarkemmin lailla. Viestinnän luottamuksellisuus on perustuslain 10 §:n 2 momentin nojalla jokaiselle kansalaiselle kuuluva perusoikeus. Säännöksen mukaan kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton.

Perustuslakivaliokunnan käytännön mukaan (PeVL 51/2002 vp, s. 2/I, PeVL 6/2003 vp, s. 2/I) säädettäessä henkilötietojen käsittelystä lainsäätäjän liikkuma-alaa rajoittaa se, että henkilötietojen suoja osittain sisältyy perustuslain 10 §:n 1 momentissa turvattuun yksityiselämän piiriin. Lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuuden kannalta. Perustuslakivaliokunta on vakiintuneesti pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa samoin kuin näiden seikkojen sääntelemisen kattavuutta ja yksityiskohtaisuutta lain tasolla. Lailla säätämisen vaatimus ulottuu myös mahdollisuuteen luovuttaa henkilötietoja teknisen käyttöyhteyden avulla (PeVL 12/2002 vp). Lailla on säädettävä lisäksi mahdollisuudesta yhdistää rekisteritietoja (joukkotietoina). Tällöin lakiin on valiokunnan mukaan aiheellista ottaa säännökset myös yhdistettyjen tietojen säilytysajasta sekä kiellosta luovuttaa yhdistettyjä tietoja edelleen.

Ehdotetussa laissa säädettäisiin julkisen hallinnon yhteisistä sähköisen asioinnin tukipalveluista, niitä koskevista vaatimuksista niiden tuottamiseen liittyvistä tehtävistä sekä tuottamiseen liittyvästä henkilötietojen ja muiden tietojen – kuten viestinnän välitystietojen käsittelystä. Lailla pyritään varmistamaan, ettei yksityiselämän suojaa, luottamuksellisen viestin suojaa tai muita yksityisyyttä turvaavia perusoikeuksia rajoiteta tukipalvelujen tarjoamisessa tai toteuttamisessa ilman laissa täsmällisesti säädettyä perustetta. Lakiehdotuksella pyritään siten ensisijaisesti turvaamaan yksityisyyden suojan ja viestinnän luottamuksellisuuden toteutuminen tukipalvelujen käytössä.

Esityksessä on pyritty sovittamaan yhteen toisaalta tukipalveluja käyttävän henkilön yksityisyyden suojaa ja toisaalta tukipalvelun tuottajan sekä käyttäjäorganisaatioiden tarpeita sähköisen asioinnin palvelujen tuottajina. Ehdotettujen käsittelyoikeuksien ei voida katsoa olevan ristiriidassa yksityiselämän suojaa koskevien perustuslain säännösten tai edellä todetusta perustuslakivaliokunnan ratkaisukäytännöstä johdettavien oikeusohjeiden kanssa. On myös otettava huomioon tukipalvelujen ja niiden tuottamisessa käsiteltävien henkilö- ja välitystietojen käsittelyn olennainen merkitys asiointipalvelujen käyttäjien oikeusturvan toteutumisen kannalta - esimerkiksi tukipalvelujen tietoturvallisuudesta ja toimivuudesta huolehdittaessa sekä sähköisessä asioinnissa mahdollisesti ilmenevien epäselvyyksien selvittämisessä.

Ehdotettu laki sisältää täsmälliset säännökset rekisteröinnin tavoitteesta eli tukipalvelun tuottamisesta, tarjoamisesta, ylläpitämisestä ja kehittämisestä sekä palvelun toimivuudesta ja tietoturvallisuudesta huolehtimisesta. Palvelutuotannossa säännönmukaisesti hyödynnettäviin tietolähteisiin sisältyvien henkilötietojen sisällöstä säädettäisiin mahdollisimman yksityiskohtaisesti ehdotetussa laissa joko tieto- tai tietoryhmätasolla.

Tietojen säilytysajasta säädettäisiin lähtökohtaisesti lain tasolla. Joiltain osin tietojen täsmällinen säilytysaika on kuitenkin jätetty palvelutuottajan arvioitavaksi henkilötietolain ja tietoyhteiskuntakaaren sekä arkistointia koskevien säädösten nojalla. Tämä johtuu siitä, että käsittelyaika esimerkiksi palvelun käytöstä tallennettavien tietojen osalta riippuu palvelun luonteesta, käsiteltävien tietojen merkityksestä asiointitapahtuman tai tietojen käsittelyn todentamisessa sekä valtuutusrekisterin osalta myös valtiolle ehdotetusta tuottamuksesta riippumattomasta korvausvastuusta koskien rekisterin toimintaa. Käsittelyajan pituudella on merkitystä myös hallinnon asiakkaan oikeusturvan toteutumisen kannalta. Niiltä osin kuin säilytysaikaa ei ole pystytty ennalta määrittelemään, on palvelutuottajalle säädetty velvollisuudeksi arvioida säilyttämisen tarve vähintään viiden vuoden välein, ellei laista muuta johdu.

Tietojen luovuttamisesta on säädetty lain tasolla. Perustuslakisääntelyllä ei ole pyritty järjestämään viestinnän osapuolten keskinäisiä suhteita tai heidän käyttäytymistään (HE 309/1993 vp, s. 54). Viestinnän osapuolilla – kuten tukipalvelujen osalta viestinvälityspalvelua tai muuta tukipalvelua käyttävällä henkilöllä ja tietyn viestintätapahtuman toisena osapuolena olevalla käyttäjäorganisaatiolla – on pääsääntöisesti oikeus käsitellä omaa viestintäänsä. Näin ollen esimerkiksi tukipalvelun käytöstä tallennettujen tietojen luovuttaminen ehdotetun lain 12 §:ssä säädetyllä tavalla sille käyttäjäorganisaatiolle, jonka asiointipalvelun käytön tai muun asioinnin yhteydessä tiedot on tallennettu tai joka on ollut viestinvälityspalvelun avulla välitetyn viestinnän toisena osapuolena, ei olisi vastoin luottamuksellisen viestinnän suojaa.

Oikeusturvan osalta rekisteröidyn käytettävissä olisivat henkilötietolaissa ja tietoyhteiskuntakaaressa säädetyt menettelyt.

Asiointivaltuuspalvelun osalta tulee arvioida kysymystä tietojen yhdistämisestä ja yhdistettyjen tietojen edelleen luovuttamisesta. Perustuslakivaliokunta on käsitellyt asiaa lausunnoissaan PeVL 17/2007 vp, 30/2005 vp ja PeVL 14/2002 vp.

Vuoden 2007 lausunnossa oli kyse Työttömyysvakuutusrahaston oikeudesta sille säädettyjen tehtävien hoitamiseksi yhdistää ja käyttää mm. työttömyyskassojen, Kansaneläkelaitoksen ja Finanssivalvonnan sille toimittamia tietoja koskien työntekijää, työssäoloehdon täyttymistä ja työttömyyspäivärahaa. Vuoden 2005 lausunnossa oli kyse Eläketurvakeskuksen oikeudesta valvontatehtävänsä täytäntöönpanoa varten yhdistää ja käsitellä työnantajalta, lakisääteistä vakuutusta toimeenpanevalta vakuutus- ja eläkelaitokselta, viranomaiselta, veroviranomaiselta ja muulta taholta saatuja tietoja. Kummassakaan tapauksessa viranomaisen ennalta määritellyn tehtävän suorittamiseksi saatuja ja yhdistettyjä tietoja ei saanut laissa säädetyn käyttötarkoituksen puitteissa luovuttaa edelleen. Lausunnossa PeVL 14/2002 vp puolestaan oli kyse muun muassa Kansaneläkelaitoksen oikeudesta luovuttaa sille luovutettuja ja yhdistettyjä henkilötietoja, kunhan tietojen luovuttamisesta säädettiin riittävän yksityiskohtaisesti laissa ja luovutuksensaajalla oli oikeus lain perusteella saada tiedot.

Asiointivaltuuspalvelu hyödyntää väestötietojärjestelmään sekä holhousasioiden rekisteriin sisältyviä henkilön edunvalvontaa, toimintakelpoisuuden rajoittamista ja edunvalvontavaltuutusta koskevia tietoja sekä yhdistysrekisteriin, kaupparekisteriin ja säätiörekisteriin sisältyviä yhteisöjen toimintaa ja yhteisöjen vastuuhenkilöitä koskevia tietoja. Lisäksi palvelussa hyödynnetään uuden valtuutuksia ja tahdonilmaisuja koskevan rekisterin tietoja. Näiden tietojen käsittely on välttämätöntä laissa säädetyn tehtävän, asiointipalvelun tarjoamiseksi. Mahdollisuus luovuttaa edellä kuvattujen tietojen perusteella tehtyjä päätelmiä asiointikelpoisuudesta on asiointivaltuuspalvelun perustoiminnallisuus ja tietojen luovuttaminen tapahtuu asiointivaltuuspalvelun käyttötarkoituksen puitteissa. Asiointivaltuuspalvelun tarjoamisella puolestaan pyritään edistämään mahdollisuutta turvalliseen ja luotettavaan sähköiseen asiointiin toisen henkilön puolesta.

Väestötietojärjestelmän tietojen julkisuudesta ja luovuttamisesta säädetään väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain 4 luvussa. Tietojen luovuttamisen yleisiä edellytyksiä koskevan 28 §:n mukaan väestötietojärjestelmän tietoja voidaan luovuttaa vain, jos mainitussa laissa säädetyt edellytykset tietojen luovuttamiselle ovat olemassa eikä henkilön oikeudesta kieltää tietojensa luovuttaminen muuta johdu. Väestötietojärjestelmästä luovutettavan tiedon tulee olla tarpeellinen siihen käyttötarkoitukseen, johon se luovutetaan. Tietoja ei saa luovuttaa, jos luovuttamisen voidaan perustellusta syystä epäillä loukkaavan henkilön yksityiselämän tai henkilötietojen suojaa, hänen etujaan tai oikeuksiaan taikka vaarantavan valtion turvallisuutta.

Holhousasioiden rekisterin tietojen luovuttamisesta säädetään holhoustoimesta annetun lain 67 §:ssä, jonka mukaan jokaisella on oikeus saada holhousasioiden rekisteristä tieto siitä, onko tietty henkilö edunvalvonnassa, kuka on tietyn henkilön edunvalvoja, mikä on edunvalvojan tehtävä sekä onko ja millä tavoin henkilön toimintakelpoisuutta rajoitettu. Henkilötunnuksen saa kuitenkin luovuttaa vain sille, joka tarvitsee sitä etujensa, oikeuksiensa tai velvollisuuksiensa hoitamiseksi.

Yhdistyslain 47 §:n mukaan yhdistysrekisteri siihen kuuluvine asiakirjoineen on julkinen. Jokaisella on oikeus saada otteita ja todistuksia yhdistysrekisteristä ja siihen kuuluvista asiakirjoista siten kuin julkisuuslaissa säädetään. Kaupparekisterilain 1 a §:n mukaan jokaisella on oikeus saada kaupparekisterin merkinnöistä tietoja, otteita ja todistuksia. Säätiölain 13 luvun 1 §:n mukaan jokaisella on oikeus saada säätiörekisterin merkinnöistä tietoja, otteita ja todistuksia, jollei mainitussa laissa toisin säädetä. Kaupparekisteristä ja säätiörekisteristä voidaan julkisuuslain 16 §:n 3 momentin estämättä luovuttaa tietoja sähköisessä muodossa. Tieto kaupparekisteriin tai säätiörekisteriin merkitystä henkilötunnuksen tunnusosasta luovutetaan kuitenkin vain, jos luovuttaminen täyttää julkisuuslain 16 §:n 3 momentissa säädetyt edellytykset.

Asiointivaltuuspalvelussa käsiteltävät tiedot olisivat edellä kuvatulla tavalla joko julkisia tai niiden käsittelyn edellytyksenä olisivat edellä tarkoitetuissa laeissa säädetyt vaatimukset. Tietojen käsittely asiointivaltuuspalvelussa perustuisi henkilötunnukseen – eli asiointivaltuutta kysyvällä käyttäjäorganisaatiolla tulee itsellään olla oikeus käsitellä henkilötunnusta siitä henkilöstä, jonka asiointivaltuutta käyttäjäorganisaatio kysyy palvelusta. Lisäksi käyttäjäorganisaatiolla tulisi olla oikeus käsitellä niitä tietoja, joiden käsittely on edellä tarkoitettujen rajoitusten alaista.

Kyse ei olisi edellä kuvattujen rekisteritietojen yhdistelmän edelleen luovuttamisesta sellaisenaan, vaan siitä, että mainituista rekistereistä haettuja tietoja yhdistelemällä tehdään päätelmä henkilön oikeudesta edustaa toista henkilöä – eli muodostetaan uusi tieto ja luovutetaan tämä asiointitoimivallan olemassaoloa koskeva tieto edelleen käyttäjäorganisaatiolle siten kuin ehdotetun lain 10 §:ssä säädettäisiin. Ehdotetun lain mukaan VRK:lla on asiointivaltuuspalvelun tarjoamisen yhteydessä oikeus rekisterien perusteella koostaa ja luovuttaa käyttäjäorganisaatiolle välttämättömät tiedot toimintakelpoisuuden rajoituksen tai toimivaltuuden toteamiseksi. Näiden tietojen luovuttaminen edellyttäisi lisäksi, että tieto on asioinnin yhteydessä tarpeen toimintakelpoisuuden tai toimivaltuuden osoittamiseksi. Edellä kuvattua tietojen luovuttamista voidaan tietolähteinä olevien rekisterien julkisuusaste ja asiointivaltuuspalvelun tarkoitus huomioon ottaen pitää yksityisyyden suojan kannalta oikeasuhtaisena ja välttämättömänä.

4.3 Oikeudenmukainen oikeudenkäynti ja hyvän hallinnon takeet

Perustuslain 21 §:n 2 momentin mukaan hyvän hallinnon takeet turvataan lailla. Perustuslain tarkoittamista hyvän hallinnon takeista on koottu säännöksiä hallintolakiin, jonka 7 §:ssä on säädetty palveluperiaatteesta, jota myös nyt esitetty uudistus pyrkii toteuttamaan. Hallintolain 7 §:n mukaan asiointi ja asian käsittely viranomaisessa on pyrittävä järjestämään siten, että hallinnossa asioiva saa asianmukaisesti hallinnon palveluita ja viranomainen voi suorittaa tehtävänsä tuloksellisesti. Hallintolain säätämiseen johtaneessa hallituksen esityksessä (HE 72/2002 vp) palveluperiaatteen ja viranomaisen tehtävien tuloksellisen hoitamisen on todettu merkitsevän sitä, että asioinnin tulisi voida tapahtua sekä hallinnossa asioivan että viranomaisen kannalta mahdollisimman nopeasti, joustavasti, yksinkertaisesti sekä kustannuksia säästäen. Julkisia palveluja järjestettäessä tulisi erityisesti kiinnittää huomiota palvelujen riittävyyteen ja saatavuuteen sekä hallinnossa asioivien valinnanvapauteen. Palvelujen saatavuutta ei tulisi rajoittaa ilman asiallisesti hyväksyttäviä perusteita. Hallinnossa asioivien itsemääräämisoikeutta ja toimintaedellytyksiä viranomaisasioinnissa olisi mahdollisuuksien mukaan pyrittävä edistämään. Säännöksen perustelujen mukaan asioinnin järjestämisen keinoja ja laajuutta tulisi pyrkiä arvioimaan erityisesti palvelujen käyttäjinä olevien henkilöiden ja yhteisöjen tarpeiden kannalta. Kaikille palveluja tarvitseville olisi pyrittävä turvaamaan yhtäläinen mahdollisuus asiansa hoitamiseen palvelun laadusta riippumatta.

Esityksessä ehdotetaan säädettäväksi mahdollisuus viestinvälityspalvelussa antaa yleinen sähköisestä asioinnista viranomaistoiminnassa annetun lain 18 ja 19 §:ssä tarkoitettu suostumus siihen, että henkilölle voi lähettää viranomaisten tiedoksiannot sähköisessä muodossa viestinvälityspalvelun avulla. Ehdotetulla sääntelyllä tavoitellaan tiedoksiantamisen yksinkertaistamista, nopeuttamista sekä kustannussäästöjä hallinnossa asianosaisten oikeusturvaa vaarantamatta. Suostumuksen antamiseen ja sen merkitykseen liittyvää sääntelyä on syytä arvioida oikeudenmukaisen oikeudenkäynnin ja hyvän hallinnon kannalta.

Esityksessä ehdotetaan, että palvelutuottaja pitäisi viestinvälityspalvelun tarjoamiseksi rekisteriä hallinnossa asioivien palvelussa antamista hallintoasian tiedoksiantomenettelyä koskevista yleisistä suostumuksista. Viranomainen voisi ehdotetun 11 §:n mukaan antaa asiakirjan tiedoksi edellä kuvatun, viestinvälityspalvelussa annetun suostumuksen mukaisesti, ellei sen tietoon ole hallintolakiin tai sähköisestä asioinnista viranomaistoiminnassa annettuun lakiin taikka muuhun lakiin perustuen tullut, että tiedoksianto tulee toimittaa toisin.

Perustuslain 21 §:n 2 momentissa edellytetään oikeudenmukaisen oikeudenkäynnin ja hyvän hallinnon takeiden turvaamista lailla. Säännöksessä luetellaan näiden takeiden tärkeimmät osa-alueet eli käsittelyn julkisuus sekä oikeus tulla kuulluksi, saada perusteltu päätös ja hakea muutosta. Luetteloa ei ole tarkoitettu tyhjentäväksi. Oikeudenkäyntiin liittyvät tiedoksiannot ovat osa oikeudenmukaisen oikeudenkäynnin kokonaisuutta. Tiedoksianto on tehtävä siten, että vastaanottaja saa oikeuksiensa käyttämiseksi tarvitsemansa tiedot selkeästi, hänelle ymmärrettävinä ja riittävän ajoissa. Oikeudenmukaisen oikeudenkäynnin ja hyvän hallinnon takeiden yksityiskohtaiset järjestelyt samoin kuin niihin mahdollisesti tehtävät rajoitukset ja vähäiset poikkeukset ovat lailla säänneltävissä. Lainsäädännöllä ei toisaalta saa vaarantaa kenenkään oikeusturvaa.

Viestinvälityspalvelun käyttöönottamisen yhteydessä henkilö antaisi yleisen suostumuksensa sille, että viranomaiset tai muut tiedoksiantoja lähettävät voivat lähettää tiedoksiantoja viestinvälityspalveluun. Sähköisestä asioinnista viranomaistoiminnassa annetussa laissa on hyväksytty lähtökohta siitä, että suostumus asiakirjan toimittamiseen sähköisesti voi olla yleinen (HE 111/2010 vp). Tämän esityksen mukaan asiakirja voitaisiin toimittaa sähköisesti viestinvälityspalvelun avulla silloin, kun henkilö on ottanut viestinvälityspalvelun käyttöönsä ja antanut suostumuksensa sähköiseen tiedoksiantamiseen. Mikäli henkilö ei ole antanut mainittua suostumusta, toimitettaisiin tiedoksianto postitse tai muulla laissa säädetyllä tavalla.

Tiedoksiantojen vastaanottaminen sähköisesti viestinvälityspalvelussa ei kuitenkaan olisi missään tilanteessa pakollista. Henkilö, joka ei halua vastaanottaa tiedoksiantoja sähköisesti, voi olla antamatta yleistä suostumusta viestinvälityspalvelussa, peruuttaa antamansa suostumuksen tai poiketa antamastaan yleisestä suostumuksesta ilmoittamalla tiedoksiantavalle viranomaiselle muun yhteystiedon asian hoitamiseksi. Tällöin tiedoksiantoa ei toimiteta hänelle enää sähköisesti viestinvälityspalvelun avulla, vaan hänen tiedoksianto-osoitteeksi ilmoittamaansa osoitteeseen. Henkilö voi myös koska tahansa lopettaa sähköisen viestinvälityspalvelun käytön, jolloin asiakirjat toimitetaan postitse.

Viestinvälityspalveluun saapuneista sähköisistä viesteistä lähtee vastaanottajalle ilmoitus sähköpostitse tai tekstiviestillä taikka muulla tavalla riippuen siitä, minkälaisen heräteviestin hän on viestinvälityspalveluun määritellyt. Heräteviestin määrittely viestinvälityspalvelussa on pakollista. Viestinvälityspalveluun tulleen sähköisen viestin voidaan katsoa tulleen henkilön tietoon vähintään yhtä suurella varmuudella kuin postitse toimitetun asiakirjan. Viestinvälityspalvelun käyttäminen sähköiseen tiedoksiantoon esityksessä ehdotetulla tavalla ei siten vaaranna asiakirjan vastaanottajan oikeusturvaa.

4.4 Säädöstaso

Perustuslain 80 §:n mukaan valtioneuvosto ja ministeriö voivat antaa asetuksia perustuslaissa tai muussa laissa säädetyn valtuuden nojalla. Lailla on kuitenkin säädettävä yksilön oikeuksien ja velvollisuuksien perusteista sekä asioista, jotka perustuslain mukaan muuten kuuluvat lain alaan. Perustuslakivaliokunnan vakiintuneessa käytännössä on kohdistettu vaatimuksia sääntelyn täsmällisyydestä ja tarkkarajaisuudesta (esim. PeVL 1/2004 vp).

Ehdotettu laki sisältäisi kattavat säännökset kaikista tukipalvelujen tuottamiseen ja käyttöön liittyvästä tietojen käsittelystä sekä eri osapuolten vastuista, velvollisuuksista ja oikeuksista. Esitykseen sisältyy muutamia asetuksenantovaltuutta koskevia säännöksiä, joiden mukaan tietyistä asioista voitaisiin antaa tarkempia säännöksiä valtioneuvoston asetuksella.

Esityksen mukaan valtioneuvoston asetuksella voitaisiin antaa tarkempia säännöksiä tukipalvelujen laatua ja tietoturvallisuutta koskevista vaatimuksista (16 § 5 mom), tukipalvelujen tuottamiseen käytettävien tietojärjestelmien tietoturvallisuutta koskevista vaatimuksista ja niiden täyttymisen toteamisesta, tietojenkäsittely-ympäristöjen muodostamisesta sekä käyttäjäorganisaation tietojärjestelmän liittämistä koskevista tietoturvallisuustoimenpiteistä (17 § 4 mom).

Yhteisiin sähköisen asioinnin tukipalveluihin kuuluisivat laissa nimenomaisesti kuvattujen palvelujen lisäksi myös sellaiset ehdotetun lain 3 §:n 2 momentin mukaiset valtiovarainministeriön asetuksella sen hallinnonalalla toimivan viranomaisen tehtäväksi säädettävät muut hallinnon yleiseen käyttöön tarkoitetut palvelut, joiden tuottamisessa ei käytettäisi julkista valtaa. Näiden tukipalvelujen tarjoamisesta yksityisille säädettäisiin samoin valtiovarainministeriön asetuksella ehdotetun 8 §:n 3 momentin mukaisesti. Näihin muihin tukipalveluihin ei laissa kuvattuja palveluja vastaavassa määrin sisältyisi hallinnossa asioivan henkilötietojen käsittelyä tai muuta oikeusturvan kannalta merkityksellisiä piirteitä. Tällaisia palveluja olisivat esimerkiksi palvelu, jonka avulla viranomaiset voisivat tarjota sähköisiä lomakkeita asiointipalveluissaan sekä avoindata.fi –palvelu, joka kokoaa ja tarjoaa keskitetysti saataville yhteentoimivuuden ohjausta ja kehittämistä koskevia tietoja ja palveluja sekä avoimia tietoaineistoja. Näiden palvelujen käyttö olisi vapaaehtoista julkista tehtävää hoitaville ehdotetun 5 §:n mukaisesti. Lisäksi palvelut olisivat käyttäjäorganisaatiolle maksuttomia. Mainituista syistä johtuen ei näiden oikeusturvan kannalta vähämerkityksellisiä palveluja koskevan asetuksenantovaltuuden osoittamisen ministeriötasolle voida katsoa olevan vastoin perustuslain 80 §:ssä säädettyä.

4.5 Ahvenanmaan erityisasema

Perustuslain 120 §:n mukaan Ahvenanmaan maakunnalla on itsehallinto sen mukaan kuin Ahvenanmaan itsehallintolaissa erikseen säädetään. Ehdotetun lain 5 §:n 1 momentin mukaan valtion virastoilla olisi pääsääntöisesti velvollisuus käyttää tukipalveluja. Säännös koskee myös aluehallintovirastoista annetun lain (896/2009) 16 §:ssä tarkoitettua Ahvenanmaan valtionvirastoa. Sen sijaan Ahvenanmaan maakunnan viranomaisilla olisi oikeus käyttää tukipalveluja siten kuin 5 §:n 2 momentissa säädettäisiin. Näin ollen esityksen ei voida katsoa olevan ristiriidassa PL 120 §:ssä säädetyn Ahvenanmaan itsehallinnon kanssa.

4.6 Kunnallinen itsehallinto

Perustuslain 121 §:n 2 momentin mukaan kuntien hallinnon yleisistä perusteista ja kunnille annettavista tehtävistä tulee säätää lailla. Tavallisen lain tasoiset yleissäännökset kuntien tehtävistä sisältyvät kuntalain (410/2015) 7 §:ään, jonka 1 momentin mukaan kunta hoitaa itsehallinnon nojalla itselleen ottamansa tehtävät ja järjestää sille laissa erikseen säädetyt tehtävät. Kunnille ei saa antaa uusia tehtäviä tai velvollisuuksia taikka ottaa pois tehtäviä tai oikeuksia muuten kuin säätämällä siitä lailla. Lisäksi kunnallisen itsehallinnon keskeiseksi ominaispiirteeksi on katsottu niin sanottu rahoitusperiaate, jonka mukaan annettaessa kunnille uusia tehtäviä on samalla huolehdittava niiden riittävästä rahoituksesta (HE 309/1993 vp, PeVM 25/1994 vp, PeVM 25/1999 vp ja PeVL 12/2011 vp). Ehdotetulla lailla säädettäisiin kunnallisten viranomaisten velvollisuudesta käyttää tukipalveluja.

Perustuslakivaliokunta on lausunnossaan (PeVL 46/2010 vp) todennut, että perustuslain 121 §:n säännöksen vakiintuneen tulkintakäytännön mukaan perustuslainvoimaisesti suojattu kunnallinen itsehallinto merkitsee muun muassa kuntalaisille kuuluvaa oikeutta päättää kuntansa hallinnosta ja taloudesta. Tähän sisältyy myös kunnallisten palvelujen tuottamistapa, jota koskeva tavallisen lain tasoinen yleissäännös sisältyy kuntalain 9 §:ään. Valiokunnan tulkintakäytännön mukaan tavallisella lailla ei voida puuttua itsehallinnon keskeisiin ominaispiirteisiin tavalla, joka asiallisesti ottaen tekisi itsehallinnon merkityksettömäksi (esim. PeVL 37/2006 vp, PeVL 22/2006 vp ja PeVL 65/2002 vp). Vaikka kuntalain 7 ja 9 §:n säännösten peruslähtökohdat perustuvatkin kunnalliseen itsehallintoon, voidaan lailla perustellusta syystä antaa näissä pykälissä säädetyistä asioista myös poikkeavia tai niitä täydentäviä säännöksiä perustuslakivaliokunnan tulkintakäytännön puitteissa. Tällaisia erityissäännöksiä on kuntalain 2 §:n mukaan noudatettava kuntalain sijasta.

Ehdotetun lain 5 §:n 1 momentin mukaan kunnallisten viranomaisten olisi niiden hoitaessa laissa niille säädettyjä tehtäviä käytettävä tukipalveluja, ellei viranomaisen olisi teknisistä tai toiminnallisista tai kustannustehokkuuteen taikka tietoturvallisuuteen liittyvistä syistä välttämätöntä käyttää toiminnassaan tai sen osassa muuta palvelua. Kunnalliset viranomaiset voisivat käyttää palveluja myös muissa tehtävissään. Tukipalvelujen käyttö olisi sinänsä maksutonta. Kunnille voi kuitenkin aiheutua vähäisiä kustannuksia palveluihin liittymisestä sekä esimerkiksi tietojen päivittämisestä palvelutietovarantoon. Käyttövelvollisuus tulisi kuitenkin voimaan vasta itsenäisen palvelusopimuksen päätyttyä eikä käyttöönotosta arvioida koituvan uutta palvelusopimusta ja sen käyttöönoton edellyttämiä toimenpiteitä suurempia kustannuksia. Kunnallisille viranomaisille koituu kuitenkin varsinkin pitkällä tähtäimellä myös selviä säästöjä maksuttomien tukipalvelujen käytöstä – lyhyellä tähtäimellä syntyy välittömiä säästöjä esimerkiksi tunnistuspalvelujen palvelutuottajamaksujen osalta, sillä esityksen perusteella valtio vastaisi näistä maksuista tulevaisuudessa.

Lisäksi kuten esityksen taloudellisia vaikutuksia koskevassa kodassa on kuvattu, kunnille myönnetään valtionavustusta tukipalvelujen käyttöönottoihin vuosien 2016 ja 2017 aikana. Tuella pystytään tukemaan merkittävää osaa vuosina 2016-2017 tapahtuvista tukipalvelujen käyttöönotoista.

Näin ollen ehdotettua, laissa säädettyä käyttövelvollisuutta ei voida pitää kunnallisen itsehallinnon periaatteiden vastaisena.

4.7 Säätämisjärjestyksen arviointi

Edellä mainituilla perusteilla lakiehdotukset voidaan hallituksen käsityksen mukaan hyväksyä tavallisen lain säätämisjärjestyksessä.

Lakiehdotukset

1.

Laki hallinnon yhteisistä sähköisen asioinnin tukipalveluista

Eduskunnan päätöksen mukaisesti säädetään:

1 luku

Yleiset säännökset

1 §
Lain tarkoitus ja soveltamisala

Tämän lain tarkoituksena on parantaa julkisten palvelujen saatavuutta, laatua, tietoturvallisuutta, yhteentoimivuutta ja ohjausta sekä edistää julkisen hallinnon toiminnan tehokkuutta ja tuottavuutta.

Tässä laissa säädetään julkisen hallinnon yhteisistä sähköisen asioinnin tukipalveluista, niitä koskevista vaatimuksista, niiden tuottamiseen liittyvistä tehtävistä sekä tuottamiseen liittyvästä henkilötietojen ja muiden tietojen käsittelystä. Lisäksi tässä laissa säädetään oikeudesta ja velvollisuudesta käyttää yhteisiä sähköisen asioinnin tukipalveluja sekä palvelujen käytön edellytyksistä.

Jollei tässä tai muussa laissa toisin säädetä, yhteisten sähköisen asioinnin tukipalvelujen tuottamisen edellyttämään henkilö- ja muiden tietojen käsittelyyn sovelletaan henkilötietolakia (523/1999) ja viranomaisten toiminnan julkisuudesta annettua lakia (621/1999) sekä viestien ja välitystietojen käsittelyyn tietoyhteiskuntakaarta (917/2014).

Julkisen hallinnon tietohallinnon ohjauksesta ja tietojärjestelmien yhteentoimivuuden edistämisestä ja varmistamisesta säädetään julkisen hallinnon tietohallinnon ohjauksesta annetussa laissa (634/2011).

2 §
Määritelmät

Tässä laissa tarkoitetaan:

1) tukipalvelulla yhteistä sähköisen asioinnin tukipalvelua, jota käyttäjäorganisaatio käyttää asiointipalvelunsa tai muun sille kuuluvan tehtävän taikka sen tarjoaman palvelun tukena;

2) palvelutuottajalla tukipalvelun tuottajaa;

3) käyttäjäorganisaatiolla viranomaista, muuta julkista tehtävää hoitavaa tai yksityistä, joka käyttää tukipalvelua;

4) asiointipalvelulla käyttäjäorganisaation vastuulla olevaa sähköisen asioinnin palvelua;

5) käyttäjällä henkilöä, joka käyttää tukipalvelua hallinnon asiakkaan ominaisuudessa.

2 luku

Tukipalvelujen tuotanto ja käyttö

3 §
Tukipalvelut

Yhteisiä sähköisen asioinnin tukipalveluja ovat:

1) tiedonvälityskanava, jonka avulla käyttäjäorganisaatiot voivat siirtää ja luovuttaa tietovarantoihinsa sisältyviä tietoja ja tarjota asiointipalveluja (kansallinen palveluväylä);

2) palvelu, joka kokoaa käyttäjäorganisaatioiden palveluja koskevia yhdenmukaisesti kuvattuja tietoja ja tarjoaa ne keskitetysti julkisesti saataville ja hyödynnettäväksi (palvelutietovaranto);

3) palvelu, jossa käyttäjä voi tarkastella palvelutietovarannon tietoja sekä tietoja, jotka hänestä taikka hänen edustamastaan luonnollisesta henkilöstä tai organisaatiosta on merkitty käyttäjäorganisaatioiden rekistereihin (palvelunäkymä);

4) luonnollisen henkilön tunnistuspalvelu, joka tunnistaa julkisen hallinnon sähköisiä palveluja käyttävän luonnollisen henkilön vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetussa laissa (617/2009) tarkoitetun tunnistuspalvelun tarjoajan palvelua käyttäen, hallinnoi tunnistustapahtumaa sekä luovuttaa väestötietojärjestelmästä henkilön yksilöintiä koskevat tiedot käyttäjäorganisaatiolle;

5) sellaiset tunnistuspalvelut ja tunnistamisen kokoamis- ja hallinnointipalvelut, joissa voidaan käyttää muutakin tunnistusmenetelmää kuin vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetussa laissa tarkoitettua vahvaa sähköistä tunnistamista;

6) asiointivaltuuspalvelu, joka tarjoaa käyttäjäorganisaatiolle henkilön toimintakelpoisuutta ja toimivaltaa tai muuta tahdonilmaisua koskevan tiedon;

7) viestinvälityspalvelu, jonka avulla käyttäjäorganisaatio ja käyttäjä voivat lähettää toisilleen sähköisiä viestejä ja jota hyödyntäen asiakirja voidaan antaa tiedoksi sähköisesti tai postitse;

8) verkkomaksamisen kokoamis- ja hallinnointipalvelu, joka mahdollistaa maksujen maksamisen käyttäjäorganisaatiolle sen asiointipalvelussa;

9) hallinnon karttapalvelu, joka tarjoaa käyttäjäorganisaatiolle mahdollisuuden käyttää ja yhdistää sähköisissä palveluissaan tietoaineistojaan ja paikkatietoinfrastruktuurista annetun lain (421/2009) mukaisessa kansallisessa paikkatietoinfrastruktuurissa tarjottavaa tietoa.

Valtiovarainministeriön asetuksella voidaan antaa sen hallinnonalalla toimivan viranomaisen tehtäväksi tuottaa ja kehittää myös muuta kuin 1 momentissa tarkoitettua tukipalvelua edellyttäen että palvelun tuottamisessa ei käytetä julkista valtaa.

4 §
Palvelutuottajat

Väestörekisterikeskus tuottaa ja kehittää 3 §:n 1 momentin 1 – 7 kohdissa tarkoitettuja tukipalveluja.

Valtiokonttori tuottaa ja kehittää 3 §:n 1 momentin 8 kohdassa tarkoitettua tukipalvelua.

Maanmittauslaitos tuottaa ja kehittää 3 §:n 1 momentin 9 kohdassa tarkoitettua tukipalvelua.

Valtion yhteisten tieto- ja viestintäteknisten palvelujen tuotannosta ja käytöstä säädetään valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä annetussa laissa (1226/2013).

5 §
Tukipalvelujen käyttö julkisessa tehtävässä

Seuraavat julkisen hallinnon viranomaiset ovat velvollisia käyttämään 3 §:n 1 momentin 1—4, 7 ja 8 kohdassa tarkoitettuja tukipalveluja kun tukipalvelu on käytettävissä ja kyseistä tukipalvelua vastaavan itsenäisesti hankitun palvelun palvelusopimus on päättynyt, jollei viranomainen ole teknisistä tai toiminnallisista tai kustannustehokkuuteen taikka tietoturvallisuuteen liittyvistä syistä välttämätöntä käyttää toiminnassaan tai sen osassa muuta palvelua:

1) valtion hallintoviranomaiset, virastot, laitokset ja liikelaitokset;

2) kunnalliset viranomaiset niiden hoitaessa laissa niille säädettyjä tehtäviä;

3) tuomioistuimet ja muut lainkäyttöelimet.

Julkisen hallinnon viranomaiset, itsenäiset julkisoikeudelliset laitokset, eduskunta virastoineen ja valtion talousarvion ulkopuoliset rahastot sekä lailla tai lain nojalla annetulla asetuksella tai lain nojalla annetulla valtion hallintoviranomaisen päätöksellä julkista hallintotehtävää itsenäisesti hoitamaan asetetut saavat käyttää kaikkia tukipalveluja laissa säädetyn julkisen hallintotehtävän hoitamiseksi. Kunnalliset viranomaiset saavat käyttää kaikkia tukipalveluja myös muissa tehtävissään.

Lakiin perustuvan sopimuksen nojalla tai muulla kuin 2 momentissa tarkoitetulla perusteella julkista tehtävää hoitavat saavat käyttää tässä tehtävässään muita tukipalveluja paitsi tunnistuspalveluja ja verkkomaksamisen kokoamis- ja hallinnointipalvelua sekä viestinvälityspalvelua. Näiden tarjoamisesta tässä momentissa tarkoitetuille päättää kyseistä tukipalvelua tuottava palvelutuottaja.

6 §
Palvelutietovarannon ja palvelunäkymän käyttö

Tukipalvelujen käyttöön velvoitetun käyttäjäorganisaation on tarjottava tuottamiaan palveluja sekä sen järjestämisvastuulla olevia palveluja koskevat julkiset tiedot palvelutietovarantoon saataville. Sama koskee käyttäjäorganisaatiota, jolla on oikeus käyttää palvelutietovarantoa, jos se päättää käyttää oikeuttaan.

Tukipalvelujen käyttöön velvoitetun käyttäjäorganisaation on tarjottava rekistereihinsä merkittyjä luonnollista henkilöä tai organisaatiota koskevia tietoja tietojen kohteen tai tämän toimivaltaisen edustajan saataville palvelunäkymässä. Velvollisuus koskee tietoja, joita käyttäjäorganisaatio muutoinkin tarjoaa tietoverkon avulla tietojen kohteille nähtäväksi sekä tietoja, jotka ovat tietojen kohteelle yleisesti hyödyllisiä tämän hoitaessa asioitaan sähköisesti. Sama koskee käyttäjäorganisaatiota, jolla on oikeus käyttää palvelunäkymää, jos se päättää käyttää oikeuttaan.

Käyttäjäorganisaatio päättää Väestörekisterikeskusta kuultuaan 2 momentissa tarkoitetuista tiedoista. Väestörekisterikeskuksella on päätöksellään oikeus rajoittaa 1 ja 2 momentissa tarkoitettujen tietojen tarjoamista, jos rajoittaminen käytetyn tukipalvelun luonne huomioon ottaen on tarpeen. Tukipalvelun käytön kieltämisestä tai estämisestä muutoin säädetään 8 §:n 4 momentissa.

7 §
Tukipalvelujen käyttövelvollisuudesta päättäminen

Tukipalvelun käyttöön velvoitetun on käyttövelvollisuudesta poiketakseen haettava velvollisuudesta poikkeamista kyseistä tukipalvelua tuottavalta palvelutuottajalta. Palvelutuottajan on ennen kielteisen päätöksen antamista annettava hakijalle mahdollisuus saattaa asia valtiovarainministeriön ratkaistavaksi. Valtiovarainministeriö voi myös omasta aloitteestaan tai palvelutuottajan pyynnöstä ottaa asian ratkaistavakseen, jos kyse on tässä laissa tarkoitetun yleisen ohjauksen tai julkisen hallinnon tietohallinnon ohjauksen kannalta merkittävästä asiasta.

8 §
Yksityisten käyttöoikeus ja käytön kieltäminen

Yksityiset yhteisöt, säätiöt ja elinkeinonharjoittajat saavat käyttää kansallista palveluväylää tietojen siirtoon.

Yksityiset yhteisöt, säätiöt ja elinkeinonharjoittajat saavat tarjotessaan palvelujaan yleisölle käyttää:

1) palvelutietovarantoa palvelujaan koskevien tietojen tarjoamiseen;

2) palvelunäkymiä ja asiointivaltuuspalvelua, jos niillä on oikeus käsitellä asiakkaidensa henkilötunnusta tai muuta tietojen pyytämisessä tai näyttämisessä tarvittavaa yksilöivää tunnusta palvelujensa tarjoamisessa.

Valtiovarainministeriön asetuksella voidaan säätää yksityisten yhteisöjen ja elinkeinonharjoittajien oikeudesta käyttää 3 §:n 2 momentissa tarkoitettuja tukipalveluja.

Väestörekisterikeskus voi päätöksellään kieltää tukipalvelun käytön tai estää sen kokonaan tai osittain sellaiselta yksityiseltä yhteisöltä, säätiöltä tai elinkeinonharjoittajalta:

1) jonka tietojärjestelmää ei voida tietoturvallisuuden vaarantumisesta johtuvista syistä liittää tukipalveluun;

2) joka ei huolehdi palvelutietovarantoon tai palvelunäkymään tarjoamansa tiedon oikeellisuudesta;

3) jonka tukipalvelun käytön poliisi- tai syyttäjäviranomainen on pyytänyt estämään sen vuoksi, että on todennäköisiä syitä epäillä tukipalvelua käytettävän rikoksen tekemiseen;

4) jonka tietojen tarjoamisen palvelutietovarantoon tai palvelunäkymään saataville voidaan todennäköisin syin katsoa loukkaavan jonkun oikeutta korvausvastuun muodostavalla tavalla ja se, jonka oikeutta voidaan katsota loukatun pyytää käytön kieltämistä, eikä kiellon kohteena oleva kahden viikon määräajassa esitä hyväksyttävää perustetta tietojen saatavilla pitämiselle;

5) jonka tietojen saatavilla pitämisen tai tukipalvelun käyttämisen muutoin tuomioistuin on lainvoimaisella päätöksellään kieltänyt.

3 luku

Henkilö- ja muiden tietojen käsittely palvelutuotannossa

9 §
Palvelutuotannossa säännönmukaisesti hyödynnettävät tietolähteet

Väestörekisterikeskuksella on oikeus sille tässä laissa säädettyjen tehtävien hoitamiseksi käsitellä teknisen käyttöyhteyden avulla seuraaviin tietojärjestelmiin tallennettuja tässä pykälässä tarkoitettuja tietoja noudattaen tätä lukua:

1) väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetussa laissa (661/2009) tarkoitetusta väestötietojärjestelmästä henkilön nimeä, henkilötunnusta, sähköistä asiointitunnusta, kansalaisuutta, asiointikieltä, äidinkieltä, kuolinpäivää, edunvalvontaa, toimintakelpoisuuden rajoittamista, edunvalvontavaltuutusta ja lapsen huoltoa koskevia tietoja sekä yhteystietoja ja tietoa turvakiellosta;

2) holhoustoimesta annetussa laissa (442/1999) tarkoitetusta holhousasioiden rekisteristä henkilön edunvalvontaa, toimintakelpoisuuden rajoittamista ja edunvalvontavaltuutusta koskevia tietoja;

3) yhdistyslaissa (503/1989) tarkoitetusta yhdistysrekisteristä yhdistystoimintaa ja yhdistysten vastuuhenkilöitä koskevia tietoja;

4) kaupparekisterilaissa (129/1979) tarkoitetusta kaupparekisteristä ja yritys- ja yhteisötietolaissa (244/2001) tarkoitetusta yhteisötietojärjestelmästä elinkeinotoimintaa harjoittavia ja niiden vastuuhenkilöitä koskevia tietoja;

5) säätiölaissa (487/2015) tarkoitetusta säätiörekisteristä säätiöitä ja niiden vastuuhenkilöitä koskevia tietoja.

10 §
Valtuutusten ja muiden tahdonilmaisujen rekisteröinti

Väestörekisterikeskus pitää asiointivaltuuspalvelun tarjoamiseksi rekisteriä luonnollisten henkilöiden antamista ja yhteisöjen puolesta annetuista asiointia koskevista valtuutuksista ja muista tahdonilmaisuista. Väestörekisterikeskus voi asiointivaltuuspalvelun tarjoamisessa välittää myös muiden viranomaisten tallentamia valtuutusta ja muita tahdonilmaisuja koskevia tietoja, jos näitä tietoja tallentava viranomainen on antanut Väestörekisterikeskukselle luvan tietojen välittämiseen eikä toiminta vaaranna asiointivaltuuspalvelussa välitettävien tietojen luotettavuutta.

Edellä 1 momentissa tarkoitetun tahdonilmaisun rekisteröiminen edellyttää, että tahdonilmaisun antaja tunnistetaan luotettavasti luonnollisen henkilön tunnistuspalvelua käyttäen tai muulla sellaisella tunnistusmenetelmällä, joka on tietoturvallinen ja todisteellinen. Lisäksi tahdonilmaisun rekisteröimisen edellytyksenä on, että Väestörekisterikeskus pystyy varmistamaan henkilön toimintakelpoisuuden ja tarvittaessa toimivallan 1 momentissa tai 9 §:ssä tarkoitetuista rekistereistä.

Väestörekisterikeskus hyväksyy valtiovarainministeriötä sekä Viestintävirastoa kuultuaan 2 momentissa tarkoitetut muut tunnistusmenetelmät kuin luonnollisen henkilön tunnistuspalvelun. Väestörekisterikeskuksen on huolehdittava siitä, että hyväksyttyjen menetelmien käyttöä koskevat tiedot ovat maksutta saatavissa yleisen tietoverkon kautta.

Väestörekisterikeskuksen on huolehdittava tallennetun tahdonilmaisun sisällön eheydestä ja että tahdonilmaisun hyväksymistä ja sitä edeltävää henkilön tunnistamista koskeva tieto pystytään yhdistämään tahdonilmaisun sisältöön.

11 §
Sähköistä tiedoksiantomenettelyä koskevan suostumuksen rekisteröinti ja rekisterimerkinnän luotettavuus

Viestinvälityspalvelun palvelutuottaja pitää viranomaistoimintaan liittyvän sähköisen tiedoksiannon toteuttamista varten rekisteriä käyttäjien antamista sähköistä tiedoksiantomenettelyä koskevista yleisistä suostumuksista.

Suostumusten rekisteröimisessä noudatetaan mitä 10 §:n 2—4 momentissa säädetään tahdonilmaisujen rekisteröimisessä noudatettavasta menettelystä. Suostumusten rekisteröimisessä voidaan myös teknisesti hyödyntää 10 §:ssä tarkoitettua rekisteriä.

Viranomainen voi tiedoksiantoa suorittaessaan luottaa 1 momentissa tarkoitettuun rekisteriin merkittyyn tietoon. Tiedoksiantamisen tavoista säädetään erikseen.

12 §
Tietojen käsittely palvelutuotannossa

Väestörekisterikeskuksella on oikeus käsitellä 9 §:ssä tarkoitettuja henkilö- ja muita tietoja sen vastuulle kuuluvien tukipalvelujen tuottamiseksi ja kehittämiseksi.

Palvelutuottajalla on rekisterinpitäjänä oikeus käsitellä sen vastuulle kuuluvan tukipalvelun käytöstä tallennettuja tietoja tukipalvelussa tapahtuneen tietojenkäsittelyn oikeellisuuden osoittamiseksi taikka muutoin sen vastuulle kuuluvan tukipalvelun tuottamiseksi ja kehittämiseksi sekä toimivuudesta ja tietoturvallisuudesta huolehtimiseksi. Tiedot on poistettava rekisteristä välittömästi sen jälkeen, kun käsittelylle ei ole enää tässä momentissa tarkoitettua perustetta. Perustetta ja käsittelyn tarvetta on arvioitava vähintään viiden vuoden välein, jollei laista muuta johdu.

Väestörekisterikeskuksella on oikeus luonnollisen henkilön tunnistuspalvelua tarjotessaan luovuttaa henkilön käyttämää asiointipalvelua ylläpitävälle käyttäjäorganisaatiolle henkilön nimeä, henkilötunnusta ja sähköistä asiointitunnusta koskeva tieto, jos käyttäjäorganisaatiolla on lain perusteella oikeus käsitellä mainittuja tietoja.

Väestörekisterikeskuksella on asiointivaltuuspalvelua tarjotessaan oikeus 9 §:ssä tarkoitetuista julkisen hallinnon tietojärjestelmistä haettujen henkilön toimintakelpoisuutta ja toimivaltaa koskevien tietojen sekä 10 §:n 1 momentin nojalla ylläpitämänsä valtuutuksia ja tahdonilmaisuja koskevan rekisterin perusteella koostaa ja luovuttaa käyttäjäorganisaatiolle välttämättömät tiedot toimintakelpoisuuden rajoituksen tai toimivaltuuden taikka muun tahdonilmaisun olemassaolon toteamiseksi.

Palvelutuottajalla on oikeus viestinvälityspalvelua tarjotessaan luovuttaa käyttäjäorganisaatiolle 11 §:n 1 momentissa tarkoitetusta rekisteristä tiedoksiantamisen suorittamiseksi välttämättömät tiedot sekä viestinvälityspalvelun avulla tapahtuneen tiedoksiantamisen todentamiseksi tarpeelliset tiedot.

Edellä 3 – 5 momentissa tarkoitetut tiedot voidaan luovuttaa teknisen käyttöyhteyden avulla.

13 §
Palvelutuotannossa käsiteltävien tietojen säilyttäminen

Väestörekisterikeskuksen on luonnollisen henkilön tunnistuspalvelussa käsiteltävien tietojen rekisterinpitäjänä säilytettävä tunnistustapahtuman todentamiseksi tarpeelliset tiedot viisi vuotta tunnistustapahtumaa seuraavan kalenterivuoden alusta lukien.

Väestörekisterikeskuksen on säilytettävä 10 §:n 1 momentin nojalla ylläpitämänsä rekisterin tiedot, rekisterin tietojenkäsittelyn oikeellisuuden osoittamiseksi tarpeelliset tiedot sekä asiointivaltuuspalveluun tehtyjä kyselyjä ja niihin annettuja vastauksia koskevat tiedot, jollei käyttäjäorganisaation säilytysvelvollisuudesta muuta johdu.

Palvelutuottajan on säilytettävä 11 §:n 1 momentin mukaisen rekisterin tiedot sekä rekisterin tietojenkäsittelyn ja tiedoksiantamisen todentamiseksi tarpeelliset tiedot, ellei käyttäjäorganisaation säilytysvelvollisuudesta muuta johdu. Palvelutuottajan on säilytettävä viestinvälityspalvelun avulla välitetyt viestit kaksi vuotta, jollei käyttäjä ole niitä sitä ennen poistanut.

Edellä 2 ja 3 momentissa tarkoitetut tiedot on poistettava rekisteristä välittömästi sen jälkeen, kun käsittelylle ei ole enää laillista perustetta. Rekisterinpitäjän on arvioitava mainittujen tietojen säilyttämisen tarve vähintään viiden vuoden välein, jollei laista muuta johdu.

Tietojen säilyttämisestä säädetään lisäksi arkistolaissa (831/1994).

14 §
Palvelutuotannossa käsiteltävien tietojen luovuttaminen

Sen lisäksi mitä 12 §:n 3—5 momentissa säädetään palvelutuottaja voi salassapitosäännösten estämättä luovuttaa tukipalvelun käytöstä tallennettuja tietoja sille käyttäjäorganisaatiolle, jonka asiointipalvelun käytön tai muun asioinnin yhteydessä tiedot on tallennettu tai joka on ollut viestinvälityspalvelun avulla välitetyn viestinnän osapuolena, jos käyttäjäorganisaatio tarvitsee tietoja:

1) asiointipalvelunsa toimivuuden varmistamista tai parantamista varten;

2) asiointipalvelunsa tietoturvallisuudesta huolehtimista tai tietoturvallisuuteen kohdistuvien häiriöiden selvittämistä varten;

3) asioinnin yhteydessä tapahtuneen tietojen käsittelyn oikeellisuuden osoittamiseksi tai muutoin asiointia koskevien ongelmien selvittämistä varten.

Palvelutuottaja voi, jollei viranomaisten toiminnan julkisuudesta annetun lain 11 tai 12 §:stä muuta johdu, luovuttaa tukipalvelun käytöstä tallennettuja tietoja:

1) henkilölle, jonka tukipalvelun käytöstä tai muusta asioinnista tiedot on tallennettu;

2) muuta yksilöityä tarkoitusta varten, jos henkilö, jonka tukipalvelun käytöstä tai muusta asioinnista tiedot on tallennettu, on antanut luovuttamiseen nimenomaisen suostumuksensa.

Edellä 1 ja 2 momentissa tarkoitetut tiedot voidaan luovuttaa teknisen käyttöyhteyden avulla.

15 §
Tietojen käsittely käyttäjäorganisaatiossa

Käyttäjäorganisaatiolla on rekisterinpitäjänä oikeus:

1) tämän lain säännösten rajoittamatta käsitellä palvelutuottajalta saamiaan tietoja;

2) tarjota palvelunäkymään tunnistautuneelle henkilölle häntä tai hänen edustamansa luonnollisen henkilön tai organisaation asiointia koskevia henkilö- ja muita tietoja palvelunäkymää käyttäen, jollei laissa toisin säädetä.

Palvelunäkymässä näytettävät tiedot haetaan käyttäjäorganisaation rekisteristä palvelunäkymään henkilötunnuksella tai muulla yksilöivällä tunnuksella teknistä käyttöyhteyttä hyödyntäen. Käyttäjäorganisaation on välittömästi hävitettävä palvelunäkymästä sen tietojärjestelmään tullut henkilötunnusta tai muuta yksilöivää tunnusta koskeva tieto, jos sillä ei ole oikeutta käsitellä kyseistä tietoa.

Käyttäjäorganisaatio vastaa rekisterinpitäjänä palvelutietovarantoon ja palvelunäkymään saataville tuomiensa tietojen oikeellisuudesta. Palvelutuottajan vastuusta säädetään 16 §:ssä.

4 luku

Tukipalveluja ja niiden käyttöä koskevat vaatimukset

16 §
Tukipalvelujen laatu- ja tietoturvallisuusvaatimukset

Palvelutuottaja vastaa tuottamansa tukipalvelun laadusta ja kustannustehokkuudesta sekä siitä, että palvelu on käyttötarkoitukseensa yleisesti soveltuva, suorituskykyinen, toimintavarma sekä mahdollisimman käyttäjäystävällinen ja esteetön. Palvelutuottajan on tukipalvelun toteuttamisessa noudatettava julkisen hallinnon kokonaisarkkitehtuuria ja yhteentoimivuuden kuvauksia ja määrityksiä.

Sen lisäksi mitä henkilötietolain 32 §:ssä säädetään, palvelutuottaja vastaa tukipalvelun tuottamisen edellyttämän tietojen yhdistämisen oikeellisuudesta sekä tukipalveluissa käsiteltävien tietojen tietoturvallisuudesta.

Palvelutuottaja vastaa siitä, että sen tuottama tukipalvelu on suunniteltu, rakennettu ja ylläpidetty siten, että:

1) tuotettu palvelu on tekniseltä laadultaan hyvää ja tietoturvallista;

2) se kestää normaalit odotettavissa olevat ulkoiset häiriöt ja tietoturvauhat;

3) sen suorituskykyä, käytettävyyttä, laatua ja toimintavarmuutta seurataan;

4) siihen kohdistuvat merkittävät tietoturvaloukkaukset ja –uhat sekä sen toimivuutta merkittävästi häiritsevät viat ja häiriöt voidaan havaita;

5) siihen tehtävistä muutoksista ei aiheudu ennakoimatonta häiriötä käyttäjäorganisaation tukipalvelua hyödyntävälle asiointipalvelulle tai muulle tehtävälle, jonka toteuttamisen tukena tukipalvelua hyödynnetään.

Palvelutuottajan on laadittava tarjoamastaan tukipalvelusta palvelukuvaus ja ylläpidettävä sitä. Palvelukuvauksesta tulee palvelun toiminnallisuuksien lisäksi riittävällä tarkkuudella käydä ilmi, miten 1—3 momentissa säädetyt vaatimukset sekä 17 §:n 1 ja 2 momentissa säädetyt tietoturvallisuusvaatimukset on tukipalvelussa toteutettu sekä tukipalveluun liittymisen vaatimukset sekä rajapintavaatimukset.

Valtioneuvoston asetuksella voidaan antaa tarkempia säännöksiä tässä pykälässä tarkoitetuista tukipalvelujen laatua ja tietoturvallisuutta koskevista vaatimuksista.

17 §
Tietojärjestelmiä koskevat vaatimukset

Palvelutuottajan on tarkoituksenmukaisin keinoin varmistuttava, että sen tukipalvelun tuottamiseen käytettävä tietojärjestelmä on suunniteltu, valmistettu ja toimii tietoturvallisuutta ja tietosuojaa koskevien lakien ja niiden nojalla annettujen säännösten sekä yhteentoimivuutta koskevien kansallisten määritysten mukaisesti.

Tukipalvelu on tuotettava ja kehitettävä siten, että perustason tai korotetun tason tietoturvallisuusvaatimukset täyttävien tietojen käsittely-ympäristöjen muodostaminen on tarvittaessa mahdollista. Tietoturvallisuusvaatimusten tarve ja toteutustapa tulee arvioida riskienhallintamenetelmien avulla.

Ennen käyttäjäorganisaation tietojärjestelmän liittämistä tukipalveluun palvelutuottaja voi edellyttää käyttäjäorganisaatiolta tukipalvelun tietoturvallisuuden ja laadun varmistamiseksi tarpeellisten vaatimusten täyttämistä. Palvelutuottajan ja käyttäjäorganisaation on tarpeen mukaisilla ja ennalta sovituilla tietoturvallisuustoimenpiteillä sekä testauksilla varmistuttava siitä, ettei liittämisellä vaaranneta käyttäjäorganisaation asiointipalvelun tai henkilötietojen taikka tukipalvelun tai niiden tuottamiseen käytetyn tietojärjestelmän tietoturvallisuutta.

Valtioneuvoston asetuksella voidaan antaa tarkempia säännöksiä 1 momentissa tarkoitettujen tietojärjestelmien tietoturvallisuutta koskevista vaatimuksista ja niiden täyttymisen toteamisesta, 2 momentissa tarkoitetusta tietojenkäsittely-ympäristöjen muodostamisesta sekä 3 momentissa tarkoitetusta käyttäjäorganisaation tietojärjestelmän liittämistä koskevista tietoturvallisuustoimenpiteistä.

18 §
Häiriöt ja häiriöilmoitukset

Jos palvelutuottajan tukipalvelun tuottamiseen käytetty tietojärjestelmä tai käyttäjäorganisaation tukipalveluun liitetty tietojärjestelmä aiheuttaa haittaa tukipalveluun käytetyn tai siihen liitetyn tietojärjestelmän toiminnalle tai tietoturvallisuudelle, haittaa aiheuttavasta tietojärjestelmästä vastaavan tahon on välittömästi ryhdyttävä toimenpiteisiin tilanteen korjaamiseksi. Tarvittaessa palvelutuottaja tai käyttäjäorganisaatio voi kytkeä tietojärjestelmänsä irti toisen ylläpitämästä järjestelmästä.

Palvelutuottajan on viipymättä ilmoitettava sen tukipalveluja käyttäville käyttäjäorganisaatioille sekä tukipalvelujen käyttäjille, jos sen tukipalveluun kohdistuu tai sitä uhkaa merkittävä tietoturvaloukkaus taikka muu tapahtuma, joka estää tukipalvelun toimivuuden tai häiritsee sitä olennaisesti taikka vaarantaa tietoturvallisuuden toteutumisen. Ilmoituksessa on kerrottava häiriön tai sen uhkan arvioitu kesto sekä mahdollisuuksien mukaan käyttäjäorganisaation ja tukipalvelun käyttäjän käytettävissä olevista suojaustoimenpiteistä. Lisäksi palvelutuottajan on ilmoitettava käyttäjäorganisaatioille ja tukipalvelun käyttäjille häiriön tai uhkan päättymisestä.

Käyttäjäorganisaation on viipymättä ilmoitettava palvelutuottajalle, jos kyseisen palvelutuottajan tukipalveluun liitettyyn käyttäjäorganisaation tietojärjestelmään kohdistuu tai sitä uhkaa merkittävä tietoturvaloukkaus taikka muu tapahtuma, joka voi vaarantaa tukipalvelun tietoturvallisuuden tai toimivuuden tai häiritä sitä olennaisesti. Ilmoituksessa on kerrottava häiriön tai uhkan sisältö, arvioitu kesto ja mahdollisuuksien mukaan suojaustoimenpiteet. Lisäksi käyttäjäorganisaation on ilmoitettava palvelutuottajalle häiriön tai uhkan päättymisestä.

Palvelutuottajan on raportoitava tukipalvelujensa toimivuudesta ja tietoturvallisuudesta säännöllisesti sekä ilmoitettava niihin liittyvistä merkittävistä poikkeamista viivytyksettä valtiovarainministeriölle tai sen osoittamalle viranomaiselle.

19 §
Varautuminen ja palvelutuotannon häiriötilanteet

Palvelutuottajien on valmiussuunnitelmin ja normaaliolojen häiriötilanteissa tai poikkeusoloissa tapahtuvan toiminnan etukäteisvalmisteluin sekä muilla toimenpiteillä huolehdittava siitä, että toiminta ja palvelujen tuotanto jatkuvat mahdollisimman häiriöttömästi normaaliolojen häiriötilanteissa sekä poikkeusoloissa.

Ellei muussa laissa toisin säädetä, normaalioloissa ja niiden häiriötilanteissa noudatetaan tässä laissa tarkoitettujen palvelujen tuotannon ja käytön ensisijaisuus ja kiireellisyysmäärittelyssä sekä muussa tärkeysmäärittelyssä valtiovarainministeriön ennalta määrittelemiä periaatteita. Valtiovarainministeriön on ennen periaatteiden vahvistamista kuultava asianomaisia palvelutuottajia, niiden asiakkaita ja ministeriöitä. Valtioneuvosto päättää merkitykseltään laajakantoisista ja yhteiskunnallisesti merkittävistä periaatteista.

Palvelutuottajan varautumisvelvollisuudesta ja valtion tietohallinnon ohjauksesta sekä sähköisten palvelujen järjestämisestä poikkeusoloissa säädetään valmiuslaissa (1552/2011).

20 §
Lokirekisteri

Väestörekisterikeskuksen on tietojen käsittelyn laillisuuden varmistamiseksi pidettävä lokirekisteriä 3 §:n 1 momentin —7 kohdassa tarkoitettujen tukipalvelujen käytöstä tallennettujen tietojen käsittelystä. Lokirekisteriin on tallennettava tieto tietojen käsittelijästä, käsittelyn ajankohdasta sekä käsittelyn kohteena olleista järjestelmän tiedoista tai tietoryhmistä. Lisäksi tulee tallentaa tiedot tahosta, jolle tiedot on luovutettu 14 §:n nojalla.

Väestörekisterikeskuksen on säilytettävä lokirekisteriin tallennetut tiedot vähintään kaksi vuotta niiden tallentamisajankohtaa seuraavan kalenterivuoden alusta lukien.

21 §
Lokirekisterin tietojen käyttö ja luovuttaminen

Väestörekisterikeskus saa käyttää lokirekisteriin tallennettuja tietoja tukipalvelujen käytöstä tallennettujen tietojen käsittelyn seurantaa ja valvontaa sekä tietoturvallisuuden ylläpitoa varten.

Väestörekisterikeskus voi luovuttaa lokirekisteriin tallennettuja tietoja poliisi- ja esitutkintaviranomaiselle tukipalvelun käytöstä tallennettujen tietojen lain vastaista käsittelyä koskevan rikoksen selvittämistä varten, jollei yksittäisten tietojen luovuttamisesta poliisille ole toisin säädetty.

Lisäksi Väestörekisterikeskus voi, jollei viranomaisten toiminnan julkisuudesta annetun lain 11 tai 12 §:stä muuta johdu, luovuttaa lokirekisteriin tallennettuja tietoja:

1) henkilölle, jota koskevat tiedot ovat olleet käsittelyn kohteena;

2) muuta yksilöityä tarkoitusta varten, jos henkilö, jota koskevat tiedot ovat olleet käsittelyn kohteena sekä tietojen käsittelijä, ovat antaneet luovuttamiseen nimenomaisen suostumuksensa.

5 luku

Ohjaus

22 §
Yleinen ohjaus

Valtiovarainministeriön tehtävänä on ohjata tässä laissa tarkoitettujen tukipalvelujen järjestämistä, palvelujen laatua sekä näiden palvelujen yhteentoimivuutta ja kokonaisarkkitehtuurin mukaisuutta noudattaen julkisen hallinnon tietohallinnon ohjauksesta annettua lakia. Valtiovarainministeriö vastaa tukipalvelujen palvelutuotannon yleishallinnollisesta, strategisesta sekä tieto- ja viestintäteknisen varautumisen, valmiuden ja turvallisuuden ohjauksesta.

Väestörekisterikeskuksen tuottaman palvelunäkymän yrityksen palvelunäkymää koskevan kokonaisuuden sisällön ja rakenteen strategisesta ohjauksesta vastaavat valtiovarainministeriö ja työ- ja elinkeinoministeriö yhdessä.

Maanmittauslaitoksen tuottaman, 3 §:n 1 momentin 9 kohdassa tarkoitetun hallinnon karttapalvelua koskevan kokonaisuuden sisällön ja rakenteen strategisesta ohjauksesta vastaavat valtiovarainministeriö ja maa- ja metsätalousministeriö yhdessä.

23 §
Tiedonsaantioikeus

Valtiovarainministeriöllä on oikeus saada tehtävänsä suorittamiseksi riittävät ja tarvittavat tiedot palvelutuottajilta koskien palvelutuotannon laatua ja kustannustehokkuutta sekä muita tässä laissa tarkoitettuja palvelutuotannolle asetettuja vaatimuksia.

6 luku

Erinäiset säännökset

24 §
Oikaisuvaatimus

Palvelutuottajan tämän lain nojalla tekemään päätökseen saa hakea oikaisua palvelutuottajalta.

Oikaisuvaatimusmenettelystä säädetään hallintolain (434/2003) 7 a luvussa.

25 §
Tukipalvelujen kustannukset

Tukipalvelujen tuottamisesta aiheutuvat kustannukset katetaan valtion varoista ja tukipalvelun käyttö on käyttäjäorganisaatiolle maksutonta.

Käyttäjäorganisaatio vastaa itse sille tukipalvelujen käyttöön liittymisestä sekä palvelutietovarannon ja palvelunäkymän sisältämien tietojen ylläpidosta aiheutuvista kustannuksista.

Viestinvälityspalvelun käyttäjäorganisaation puolesta lähettämien kirjeiden kustannuksista vastaa käyttäjäorganisaatio.

Käyttäjäorganisaatio vastaa itse vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain mukaisten tunnistuspalveluntarjoajien kanssa solmimiinsa tunnistamispalvelun tarjoamista koskeviin sopimuksiin perustuvista maksuista.

7 luku

Voimaantulo

26 §
Voimaantulo

Tämä laki tulee voimaan päivänä kuuta 20 .

27 §
Tehtävien järjestämistä koskeva siirtymäsäännös

Valtion tieto- ja viestintätekniikkakeskus Valtori tuottaa ja kehittää 3 §:n 1 momentin 5 ja 8 kohdassa tarkoitettuihin palveluihin kuuluvaa tunnistamisen, allekirjoittamisen ja maksamisen kokoamis- ja hallinnointipalvelua enintään 31 päivään joulukuuta 2017, tämä päivä mukaan lukien.

Valtion tieto- ja viestintätekniikkakeskus Valtori tuottaa ja kehittää 3 §:n 1 momentin 7 kohdassa tarkoitettua palvelua sekä pitää 11 §:ssä tarkoitettua rekisteriä enintään 31 päivään joulukuuta 2017, tämä päivä mukaan lukien, jonka jälkeen palvelutuotanto ja rekisterinpito siirtyvät Väestörekisterikeskuksen tehtäväksi 4 §:n 1 momentin nojalla.

Valtiokonttori tuottaa ja kehittää 3 §:n 1 momentin 2 kohdassa tarkoitettuihin palveluihin kuuluvaa Suomi.fi –palvelua enintään 31 päivään joulukuuta 2017, tämä päivä mukaan lukien.

Verohallinto tuottaa ja kehittää 3 §:n 1 momentin 5 kohdassa tarkoitettuihin palveluihin kuuluvaa sähköistä tunnistuspalvelua, jonka avulla viranomainen tai muu julkista tehtävää hoitava voi julkista tehtävää hoitaessaan tunnistaa organisaation ja sitä edustavan henkilön, enintään 31 päivään joulukuuta 2016, tämä päivä mukaan lukien, jonka jälkeen palvelutuotanto siirtyy Väestörekisterikeskukselle.

Elinkeino-, liikenne- ja ympäristökeskusten sekä työ- ja elinkeinotoimistojen kehittämis- ja hallintokeskus tuottaa ja kehittää 3 §:n 1 momentin 2 ja 3 kohdassa tarkoitettuihin palveluihin kuuluvaa Yrityssuomi.fi -palvelua enintään 31 päivään joulukuuta 2017, tämä päivä mukaan lukien.

Valtiovarainministeriö päättää tarkemmin 2—4 momentissa säädettyjen määräaikojen puitteissa Väestörekisterikeskukselle siirrettävistä tehtävistä ja toiminnoista sekä aikatauluista.

Valtioneuvosto päättää tarkemmin 5 momentissa säädetyn määräajan puitteissa Elinkeino-, liikenne- ja ympäristökeskusten sekä työ- ja elinkeinotoimistojen kehittämis- ja hallintokeskukselta Väestörekisterikeskukselle siirrettävistä tehtävistä ja toiminnoista sekä aikatauluista.

28 §
Henkilöstöä koskeva siirtymäsäännös

Valtion tieto- ja viestintätekniikkakeskus Valtorin tuottamaan tukipalveluun liittyvien tehtävien siirtyessä valtiovarainministeriön 27 §:n 6 momentissa tarkoitetun päätöksen tai 3 §:n 2 momentissa tarkoitetun asetuksen mukaisesti Väestörekisterikeskukseen, kyseisiä tehtäviä hoitava työsopimussuhteinen henkilöstö siirtyy Väestörekisterikeskukseen virkasuhteeseen. Määräaikaisessa työsuhteessa näissä tehtävissä oleva henkilöstö siirtyy palvelussuhteensa keston ajaksi Väestörekisterikeskukseen määräaikaiseen virkasuhteeseen. Työsopimussuhteessa oleva henkilö voidaan siirtää ilman hänen suostumustaan, jos hänet siirretään hänen työssäkäyntialueellaan tai työssäkäyntialueelleen. Työssäkäyntialueella tarkoitetaan työttömyysturvalain (1290/2002) 1 luvun 9 §:n mukaista aluetta.

Työntekijä saa työsuhteessa muutoin sovellettavaa irtisanomisaikaa noudattamatta tai sen kestoajasta riippumatta irtisanoa työsopimuksen päättymään siirtopäivästä, jos hän on saanut tiedon siirrosta Valtion tieto- ja viestintätekniikkakeskus Valtorilta tai Väestörekisterikeskukselta viimeistään kuukautta ennen siirtopäivää. Jos työntekijälle on annettu tieto siirrosta myöhemmin, hän saa irtisanoa työsopimuksensa päättymään siirtopäivästä tai tämän jälkeen, viimeistään kuitenkin kuukauden kuluessa saatuaan tiedon siirrosta. Siirtyvien henkilöiden palvelussuhteen katsotaan palvelussuhde-etuuksien määräytymisen kannalta jatkuneen valtiolla yhdenjaksoisena.

Edellä 27 §:n 3—5 momentissa tarkoitettuja siirrettäviä tehtäviä virkasuhteessa hoitavan henkilöstön asemasta säädetään valtion virkamieslain (750/1994) 2 luvussa.

29 §
Käyttövelvoitteen voimaantuloa koskeva siirtymäsäännös

Käyttöön velvoitetun käyttäjäorganisaation on:

1) kuvattava palvelujaan koskevat tiedot palvelutietovarantoon ja tuotava rekisteritietojaan palvelunäkymään viimeistään 1 päivänä heinäkuuta 2017;

2) otettava luonnollisen henkilön tunnistuspalvelu ja verkkomaksamisen kokoamis- ja hallinnointipalvelu käyttöön viimeistään 1 päivänä tammikuuta 2018;

3) otettava viestinvälityspalvelu käyttöön viimeistään 1 päivänä heinäkuuta 2017.

Yksityisten yhteisöjen, säätiöiden ja elinkeinonharjoittajien oikeus käyttää palvelutietovarantoa palvelujaan koskevien tietojen tarjoamiseen tulee voimaan, kun yksityisten yhteisöjen ja elinkeinonharjoittajien palvelutietovarannon käyttövaltuuksien hallintamallit ovat valmiit, viimeistään 1 päivänä heinäkuuta 2017.

30 §
Sopimuksia ja muita sitoumuksia sekä vireillä olevia asioita koskeva siirtymäsäännös

Tehtävien ja toimintojen siirtyessä Väestörekisterikeskukselle näihin tehtäviin ja toimintoihin liittyvät sopimukset ja sitoumukset ja niihin liittyvät oikeudet ja velvollisuudet sekä vireillä olevat asiat siirtyvät Väestörekisterikeskukselle.


2.

Laki valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

kumotaan valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä annetun lain (1226/2013) 2 §:n 2 momentin 3 kohta sekä 13 ja 14 §, sekä

muutetaan 3 ja 20 § § seuraavasti:

3 §
Velvollisuus käyttää yhteisiä palveluja

Valtion virastojen ja laitosten on käytettävä yhteisiä perustietotekniikka- ja tietojärjestelmäpalveluja, jollei valtion kokonaisarkkitehtuurin, tietohallintoon liittyvien yhtenäisen toiminnan kannalta tarpeellisten toimenpiteiden tai tieto- ja viestintäteknisten palvelujen yhteentoimivuuden taikka 2 §:n 3 momentissa tarkoitettujen seikkojen vuoksi organisaation ole välttämätöntä käyttää toiminnassaan tai sen osassa muuta palvelua. Valtiovarainministeriö päättää kuultuaan asianomaista ministeriötä ja 11 §:ssä tarkoitettua asiakasneuvottelukuntaa asiakkaan oikeudesta käyttää muita kuin yhteisiä palveluja. Jos valtiovarainministeriö ja asianomainen ministeriö ovat eri mieltä asiasta, päätöksen asiassa tekee valtioneuvosto.

Valtioneuvoston asetuksella annetaan organisaatio-, toiminta- tai palvelukohtaisesti tarkempia säännöksiä yhteisten palvelujen käytön vähimmäislaajuudesta.

20 §
Yhteisten palvelujen käytön velvollisuutta koskeva siirtymäsäännös

Edellä 3 §:n 1 momentissa tarkoitetun viranomaisen on otettava 2 §:n 4 momentin nojalla säädetyssä asetuksessa tarkoitetut yhteiset perustietotekniikka- ja tietojärjestelmäpalvelut käyttöön siinä laajuudessa kuin 3 §:n 2 momentin nojalla annetussa asetuksessa säädetään siinä vaiheessa, kun kyseisen viraston tai laitoksen tehtävät siirtyvät palvelukeskukseen.


Tämä laki tulee voimaan päivänä kuuta 20 .


Helsingissä 14 päivänä huhtikuuta 2016

Pääministeri
Juha Sipilä

Kunta- ja uudistusministeri
Anu Vehviläinen

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.