571/2016

Helsingissä 29 päivänä kesäkuuta 2016

Laki hallinnon yhteisistä sähköisen asioinnin tukipalveluista

Eduskunnan päätöksen mukaisesti säädetään:

1 luku

Yleiset säännökset

1 §
Lain tarkoitus ja soveltamisala

Tämän lain tarkoituksena on parantaa julkisten palvelujen saatavuutta, laatua, tietoturvallisuutta, yhteentoimivuutta ja ohjausta sekä edistää julkisen hallinnon toiminnan tehokkuutta ja tuottavuutta.

Tässä laissa säädetään julkisen hallinnon yhteisistä sähköisen asioinnin tukipalveluista, niitä koskevista vaatimuksista, niiden tuottamiseen liittyvistä tehtävistä sekä tuottamiseen liittyvästä henkilötietojen ja muiden tietojen käsittelystä. Lisäksi tässä laissa säädetään oikeudesta ja velvollisuudesta käyttää yhteisiä sähköisen asioinnin tukipalveluja sekä palvelujen käytön edellytyksistä.

Jollei tässä tai muussa laissa toisin säädetä, yhteisten sähköisen asioinnin tukipalvelujen tuottamisen edellyttämään henkilö- ja muiden tietojen käsittelyyn sovelletaan henkilötietolakia (523/1999) ja viranomaisten toiminnan julkisuudesta annettua lakia (621/1999) sekä viestinnän välittämiseen ja viestien ja välitystietojen käsittelyyn tietoyhteiskuntakaarta (917/2014).

Julkisen hallinnon tietohallinnon ohjauksesta ja tietojärjestelmien yhteentoimivuuden edistämisestä ja varmistamisesta säädetään julkisen hallinnon tietohallinnon ohjauksesta annetussa laissa (634/2011).

2 §
Määritelmät

Tässä laissa tarkoitetaan:

1) tukipalvelulla yhteistä sähköisen asioinnin tukipalvelua, jota käyttäjäorganisaatio käyttää asiointipalvelunsa tai muun sille kuuluvan tehtävän taikka sen tarjoaman palvelun tukena;

2) palvelutuottajalla tukipalvelun tuottajaa;

3) käyttäjäorganisaatiolla viranomaista, muuta julkista tehtävää hoitavaa tai yksityistä, joka käyttää tukipalvelua;

4) asiointipalvelulla käyttäjäorganisaation vastuulla olevaa sähköisen asioinnin palvelua;

5) käyttäjällä henkilöä, joka käyttää tukipalvelua hallinnon asiakkaan ominaisuudessa.

2 luku

Tukipalvelujen tuotanto ja käyttö

3 §
Tukipalvelut

Yhteisiä sähköisen asioinnin tukipalveluja ovat:

1) tiedonvälityskanava, jonka avulla käyttäjäorganisaatiot voivat siirtää ja luovuttaa tietovarantoihinsa sisältyviä tietoja ja tarjota asiointipalveluja (kansallinen palveluväylä);

2) palvelu, joka kokoaa käyttäjäorganisaatioiden palveluja koskevia yhdenmukaisesti kuvattuja tietoja ja tarjoaa ne keskitetysti julkisesti saataville ja hyödynnettäväksi (palvelutietovaranto);

3) palvelu, jossa käyttäjä voi tarkastella palvelutietovarannon tietoja sekä tietoja, jotka hänestä taikka hänen edustamastaan luonnollisesta henkilöstä tai organisaatiosta on merkitty käyttäjäorganisaatioiden rekistereihin (palvelunäkymä);

4) luonnollisen henkilön tunnistuspalvelu, joka tunnistaa julkisen hallinnon sähköisiä palveluja käyttävän luonnollisen henkilön vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (533/2016) tarkoitetun tunnistuspalvelun tarjoajan palvelua käyttäen, hallinnoi tunnistustapahtumaa sekä luovuttaa väestötietojärjestelmästä henkilön yksilöintiä koskevat tiedot käyttäjäorganisaatiolle;

5) sellaiset tunnistuspalvelut ja tunnistamisen kokoamis- ja hallinnointipalvelut, joissa voidaan käyttää muutakin tunnistusmenetelmää kuin vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa tarkoitettua vahvaa sähköistä tunnistamista;

6) asiointivaltuuspalvelu, joka tarjoaa käyttäjäorganisaatiolle henkilön toimintakelpoisuutta ja toimivaltaa tai muuta tahdonilmaisua koskevan tiedon;

7) viestinvälityspalvelu, jonka avulla käyttäjäorganisaatio ja käyttäjä voivat lähettää toisilleen sähköisiä viestejä ja jota hyödyntäen asiakirja voidaan antaa tiedoksi sähköisesti tai postitse;

8) verkkomaksamisen kokoamis- ja hallinnointipalvelu, joka mahdollistaa maksujen maksamisen käyttäjäorganisaatiolle sen asiointipalvelussa;

9) hallinnon karttapalvelu, joka tarjoaa käyttäjäorganisaatiolle mahdollisuuden käyttää ja yhdistää sähköisissä palveluissaan tietoaineistojaan ja paikkatietoinfrastruktuurista annetun lain (421/2009) mukaisessa kansallisessa paikkatietoinfrastruktuurissa tarjottavaa tietoa.

Valtiovarainministeriön asetuksella voidaan antaa sen hallinnonalalla toimivan viranomaisen tehtäväksi tuottaa ja kehittää myös muuta kuin 1 momentissa tarkoitettua tukipalvelua edellyttäen, että palvelu on luonteeltaan tekninen, hallinnossa asiointia tai julkisten tietojen saatavilla pitämistä palveleva tukipalvelu eikä sen tuottamisessa käytetä julkista valtaa.

4 §
Palvelutuottajat

Väestörekisterikeskus tuottaa ja kehittää 3 §:n 1 momentin 1—7 kohdissa tarkoitettuja tukipalveluja.

Valtiokonttori tuottaa ja kehittää 3 §:n 1 momentin 8 kohdassa tarkoitettua tukipalvelua.

Maanmittauslaitos tuottaa ja kehittää 3 §:n 1 momentin 9 kohdassa tarkoitettua tukipalvelua.

Valtion yhteisten tieto- ja viestintäteknisten palvelujen tuotannosta ja käytöstä säädetään valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä annetussa laissa (1226/2013).

5 §
Tukipalvelujen käyttö julkisessa tehtävässä

Seuraavat julkisen hallinnon viranomaiset ovat velvollisia käyttämään 3 §:n 1 momentin 1—4, 7 ja 8 kohdassa tarkoitettuja tukipalveluja kun tukipalvelu on käytettävissä ja kyseistä tukipalvelua vastaavan itsenäisesti hankitun palvelun palvelusopimus on päättynyt, jollei viranomaisen ole teknisistä tai toiminnallisista tai kustannustehokkuuteen taikka tietoturvallisuuteen liittyvistä syistä välttämätöntä käyttää toiminnassaan tai sen osassa muuta palvelua:

1) valtion hallintoviranomaiset, virastot, laitokset ja liikelaitokset;

2) kunnalliset viranomaiset niiden hoitaessa laissa niille säädettyjä tehtäviä;

3) tuomioistuimet ja muut lainkäyttöelimet.

Julkisen hallinnon viranomaiset, itsenäiset julkisoikeudelliset laitokset, eduskunta virastoineen ja valtion talousarvion ulkopuoliset rahastot sekä lailla tai lain nojalla annetulla asetuksella tai lain nojalla annetulla valtion hallintoviranomaisen päätöksellä julkista hallintotehtävää itsenäisesti hoitamaan asetetut saavat käyttää kaikkia tukipalveluja laissa säädetyn julkisen hallintotehtävän hoitamiseksi. Kunnalliset viranomaiset saavat käyttää kaikkia tukipalveluja myös muissa tehtävissään.

Lakiin perustuvan sopimuksen nojalla tai muulla kuin 2 momentissa tarkoitetulla perusteella julkista tehtävää hoitavat saavat käyttää tässä tehtävässään muita tukipalveluja paitsi tunnistuspalveluja ja verkkomaksamisen kokoamis- ja hallinnointipalvelua sekä viestinvälityspalvelua. Näiden tarjoamisesta tässä momentissa tarkoitetuille organisaatioille päättää kyseistä tukipalvelua tuottava palvelutuottaja, joka tarvittaessa päättää myös siitä, onko käyttäjäorganisaatio tässä momentissa tai 2 momentissa tarkoitettu organisaatio.

6 §
Palvelutietovarannon ja palvelunäkymän käyttö

Tukipalvelujen käyttöön velvoitetun käyttäjäorganisaation on tarjottava tuottamiaan palveluja sekä sen järjestämisvastuulla olevia palveluja koskevat julkiset tiedot palvelutietovarantoon saataville. Sama koskee käyttäjäorganisaatiota, jolla on oikeus käyttää palvelutietovarantoa, jos se päättää käyttää oikeuttaan.

Tukipalvelujen käyttöön velvoitetun käyttäjäorganisaation on tarjottava rekistereihinsä merkittyjä luonnollista henkilöä tai organisaatiota koskevia tietoja tietojen kohteen tai tämän toimivaltaisen edustajan saataville palvelunäkymässä. Velvollisuus koskee tietoja, joita käyttäjäorganisaatio muutoinkin tarjoaa tietoverkon avulla tietojen kohteille nähtäväksi sekä tietoja, jotka ovat tietojen kohteelle yleisesti hyödyllisiä tämän hoitaessa asioitaan sähköisesti. Sama koskee käyttäjäorganisaatiota, jolla on oikeus käyttää palvelunäkymää, jos se päättää käyttää oikeuttaan.

Käyttäjäorganisaatio päättää Väestörekisterikeskusta kuultuaan 2 momentissa tarkoitetuista tiedoista. Väestörekisterikeskuksella on päätöksellään oikeus rajoittaa 1 ja 2 momentissa tarkoitettujen tietojen tarjoamista, jos rajoittaminen käytetyn tukipalvelun luonne huomioon ottaen on tarpeen. Tukipalvelun käytön kieltämisestä tai estämisestä muutoin säädetään 8 §:n 4 momentissa.

7 §
Tukipalvelujen käyttövelvollisuudesta päättäminen

Tukipalvelun käyttöön velvoitetun on käyttövelvollisuudesta poiketakseen haettava velvollisuudesta poikkeamista kyseistä tukipalvelua tuottavalta palvelutuottajalta. Palvelutuottajan on ennen kielteisen päätöksen antamista annettava hakijalle mahdollisuus saattaa asia valtiovarainministeriön ratkaistavaksi. Valtiovarainministeriö voi myös omasta aloitteestaan tai palvelutuottajan pyynnöstä ottaa asian ratkaistavakseen, jos kyse on tässä laissa tarkoitetun yleisen ohjauksen tai julkisen hallinnon tietohallinnon ohjauksen kannalta merkittävästä asiasta.

8 §
Yksityisten käyttöoikeus ja käytön kieltäminen

Yksityiset yhteisöt, säätiöt ja elinkeinonharjoittajat saavat käyttää kansallista palveluväylää tietojen siirtoon.

Yksityiset yhteisöt, säätiöt ja elinkeinonharjoittajat saavat tarjotessaan palvelujaan yleisölle käyttää:

1) palvelutietovarantoa palvelujaan koskevien tietojen tarjoamiseen;

2) palvelunäkymiä ja asiointivaltuuspalvelua, jos niillä on oikeus käsitellä asiakkaidensa henkilötunnusta tai muuta tietojen pyytämisessä tai näyttämisessä tarvittavaa yksilöivää tunnusta palvelujensa tarjoamisessa.

Valtiovarainministeriön asetuksella voidaan säätää yksityisten yhteisöjen ja elinkeinonharjoittajien oikeudesta käyttää 3 §:n 2 momentissa tarkoitettuja tukipalveluja.

Väestörekisterikeskus voi päätöksellään kieltää tukipalvelun käytön tai estää sen kokonaan tai osittain sellaiselta yksityiseltä yhteisöltä, säätiöltä tai elinkeinonharjoittajalta:

1) jonka tietojärjestelmää ei voida tietoturvallisuuden vaarantumisesta johtuvista syistä liittää tukipalveluun;

2) joka ei huolehdi palvelutietovarantoon tai palvelunäkymään tarjoamansa tiedon oikeellisuudesta;

3) jonka tukipalvelun käytön poliisi- tai syyttäjäviranomainen on pyytänyt estämään sen vuoksi, että on todennäköisiä syitä epäillä tukipalvelua käytettävän rikoksen tekemiseen;

4) jonka tietojen tarjoamisen palvelutietovarantoon tai palvelunäkymään saataville voidaan todennäköisin syin katsoa loukkaavan jonkun oikeutta korvausvastuun muodostavalla tavalla ja se, jonka oikeutta voidaan katsota loukatun pyytää käytön kieltämistä, eikä kiellon kohteena oleva kahden viikon määräajassa esitä hyväksyttävää perustetta tietojen saatavilla pitämiselle;

5) jonka tietojen saatavilla pitämisen tai tukipalvelun käyttämisen muutoin tuomioistuin on lainvoimaisella päätöksellään kieltänyt.

3 luku

Henkilö- ja muiden tietojen käsittely palvelutuotannossa

9 §
Palvelutuotannossa säännönmukaisesti hyödynnettävät tietolähteet

Väestörekisterikeskuksella on oikeus sille tässä laissa säädettyjen tehtävien hoitamiseksi käsitellä teknisen käyttöyhteyden avulla seuraaviin tietojärjestelmiin tallennettuja tässä pykälässä tarkoitettuja tietoja noudattaen tätä lukua:

1) väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetussa laissa (661/2009) tarkoitetusta väestötietojärjestelmästä henkilön nimeä, henkilötunnusta, sähköistä asiointitunnusta, kansalaisuutta, asiointikieltä, äidinkieltä, kuolinpäivää, edunvalvontaa, toimintakelpoisuuden rajoittamista, edunvalvontavaltuutusta ja lapsen huoltoa koskevia tietoja sekä yhteystietoja ja tietoa turvakiellosta;

2) holhoustoimesta annetussa laissa (442/1999) tarkoitetusta holhousasioiden rekisteristä henkilön edunvalvontaa, toimintakelpoisuuden rajoittamista ja edunvalvontavaltuutusta koskevia tietoja;

3) yhdistyslaissa (503/1989) tarkoitetusta yhdistysrekisteristä yhdistystoimintaa ja yhdistysten vastuuhenkilöitä koskevia tietoja;

4) kaupparekisterilaissa (129/1979) tarkoitetusta kaupparekisteristä ja yritys- ja yhteisötietolaissa (244/2001) tarkoitetusta yhteisötietojärjestelmästä elinkeinotoimintaa harjoittavia ja niiden vastuuhenkilöitä koskevia tietoja;

5) säätiölaissa (487/2015) tarkoitetusta säätiörekisteristä säätiöitä ja niiden vastuuhenkilöitä koskevia tietoja.

10 §
Valtuutusten ja muiden tahdonilmaisujen rekisteröinti

Väestörekisterikeskus pitää asiointivaltuuspalvelun tarjoamiseksi rekisteriä luonnollisten henkilöiden antamista ja yhteisöjen puolesta annetuista asiointia koskevista valtuutuksista ja muista tahdonilmaisuista. Väestörekisterikeskus voi asiointivaltuuspalvelun tarjoamisessa välittää myös muiden viranomaisten tallentamia valtuutusta ja muita tahdonilmaisuja koskevia tietoja, jos näitä tietoja tallentava viranomainen on antanut Väestörekisterikeskukselle luvan tietojen välittämiseen eikä toiminta vaaranna asiointivaltuuspalvelussa välitettävien tietojen luotettavuutta.

Edellä 1 momentissa tarkoitetun tahdonilmaisun rekisteröiminen edellyttää, että tahdonilmaisun antaja tunnistetaan luotettavasti luonnollisen henkilön tunnistuspalvelua käyttäen tai muulla sellaisella tunnistusmenetelmällä, joka on tietoturvallinen ja todisteellinen. Lisäksi tahdonilmaisun rekisteröimisen edellytyksenä on, että Väestörekisterikeskus pystyy varmistamaan henkilön toimintakelpoisuuden ja tarvittaessa toimivallan 1 momentissa tai 9 §:ssä tarkoitetuista rekistereistä.

Väestörekisterikeskus hyväksyy valtiovarainministeriötä sekä Viestintävirastoa kuultuaan 2 momentissa tarkoitetut muut tunnistusmenetelmät kuin luonnollisen henkilön tunnistuspalvelun. Väestörekisterikeskuksen on huolehdittava siitä, että hyväksyttyjen menetelmien käyttöä koskevat tiedot ovat maksutta saatavissa yleisen tietoverkon kautta.

Väestörekisterikeskuksen on huolehdittava tallennetun tahdonilmaisun sisällön eheydestä ja että tahdonilmaisun hyväksymistä ja sitä edeltävää henkilön tunnistamista koskeva tieto pystytään yhdistämään tahdonilmaisun sisältöön.

11 §
Sähköistä tiedoksiantomenettelyä koskevan suostumuksen rekisteröinti ja rekisterimerkinnän luotettavuus

Viestinvälityspalvelun palvelutuottaja pitää viranomaistoimintaan liittyvän sähköisen tiedoksiannon toteuttamista varten rekisteriä käyttäjien antamista sähköistä tiedoksiantomenettelyä koskevista yleisistä suostumuksista.

Suostumusten rekisteröimisessä noudatetaan mitä 10 §:n 2—4 momentissa säädetään tahdonilmaisujen rekisteröimisessä noudatettavasta menettelystä. Suostumusten rekisteröimisessä voidaan myös teknisesti hyödyntää 10 §:ssä tarkoitettua rekisteriä.

Viranomainen voi tiedoksiantoa suorittaessaan luottaa 1 momentissa tarkoitettuun rekisteriin merkittyyn tietoon. Tiedoksiantamisen tavoista säädetään erikseen.

12 §
Tietojen käsittely palvelutuotannossa

Väestörekisterikeskuksella on oikeus käsitellä 9 §:ssä tarkoitettuja henkilö- ja muita tietoja sen vastuulle kuuluvien tukipalvelujen tuottamiseksi ja kehittämiseksi.

Palvelutuottajalla on rekisterinpitäjänä oikeus käsitellä sen vastuulle kuuluvan tukipalvelun käytöstä tallennettuja tietoja tukipalvelussa tapahtuneen tietojenkäsittelyn oikeellisuuden osoittamiseksi taikka muutoin sen vastuulle kuuluvan tukipalvelun tuottamiseksi ja kehittämiseksi sekä toimivuudesta ja tietoturvallisuudesta huolehtimiseksi. Tiedot on poistettava rekisteristä välittömästi sen jälkeen, kun käsittelylle ei ole enää tässä momentissa tarkoitettua perustetta. Perustetta ja käsittelyn tarvetta on arvioitava vähintään viiden vuoden välein, jollei laista muuta johdu.

Väestörekisterikeskuksella on oikeus luonnollisen henkilön tunnistuspalvelua tarjotessaan luovuttaa henkilön käyttämää asiointipalvelua ylläpitävälle käyttäjäorganisaatiolle henkilön nimeä, henkilötunnusta ja sähköistä asiointitunnusta koskeva tieto, jos käyttäjäorganisaatiolla on lain perusteella oikeus käsitellä mainittuja tietoja.

Väestörekisterikeskuksella on asiointivaltuuspalvelua tarjotessaan oikeus 9 §:ssä tarkoitetuista julkisen hallinnon tietojärjestelmistä haettujen henkilön toimintakelpoisuutta ja toimivaltaa koskevien tietojen sekä 10 §:n 1 momentin nojalla ylläpitämänsä valtuutuksia ja tahdonilmaisuja koskevan rekisterin perusteella koostaa ja luovuttaa käyttäjäorganisaatiolle välttämättömät tiedot toimintakelpoisuuden rajoituksen tai toimivaltuuden taikka muun tahdonilmaisun olemassaolon toteamiseksi.

Palvelutuottajalla on oikeus viestinvälityspalvelua tarjotessaan luovuttaa käyttäjäorganisaatiolle 11 §:n 1 momentissa tarkoitetusta rekisteristä tiedoksiantamisen suorittamiseksi välttämättömät tiedot sekä viestinvälityspalvelun avulla tapahtuneen tiedoksiantamisen todentamiseksi tarpeelliset tiedot.

Edellä 3—5 momentissa tarkoitetut tiedot voidaan luovuttaa teknisen käyttöyhteyden avulla.

13 §
Palvelutuotannossa käsiteltävien tietojen säilyttäminen

Väestörekisterikeskuksen on luonnollisen henkilön tunnistuspalvelussa käsiteltävien tietojen rekisterinpitäjänä säilytettävä tunnistustapahtuman todentamiseksi tarpeelliset tiedot viisi vuotta tunnistustapahtumaa seuraavan kalenterivuoden alusta lukien.

Väestörekisterikeskuksen on säilytettävä 10 §:n 1 momentin nojalla ylläpitämänsä rekisterin tiedot, rekisterin tietojenkäsittelyn oikeellisuuden osoittamiseksi tarpeelliset tiedot sekä asiointivaltuuspalveluun tehtyjä kyselyjä ja niihin annettuja vastauksia koskevat tiedot, jollei käyttäjäorganisaation säilytysvelvollisuudesta muuta johdu.

Palvelutuottajan on säilytettävä 11 §:n 1 momentin mukaisen rekisterin tiedot sekä rekisterin tietojenkäsittelyn ja tiedoksiantamisen todentamiseksi tarpeelliset tiedot, ellei käyttäjäorganisaation säilytysvelvollisuudesta muuta johdu. Palvelutuottajan on säilytettävä viestinvälityspalvelun avulla välitetyt viestit kaksi vuotta, jollei käyttäjä ole niitä sitä ennen poistanut.

Edellä 2 ja 3 momentissa tarkoitetut tiedot on poistettava rekisteristä välittömästi sen jälkeen, kun käsittelylle ei ole enää laillista perustetta. Rekisterinpitäjän on arvioitava mainittujen tietojen säilyttämisen tarve vähintään viiden vuoden välein, jollei laista muuta johdu.

Tietojen säilyttämisestä säädetään lisäksi arkistolaissa (831/1994).

14 §
Palvelutuotannossa käsiteltävien tietojen luovuttaminen

Sen lisäksi mitä 12 §:n 3—5 momentissa säädetään palvelutuottaja voi salassapitosäännösten estämättä luovuttaa tukipalvelun käytöstä tallennettuja tietoja sille käyttäjäorganisaatiolle, jonka asiointipalvelun käytön tai muun asioinnin yhteydessä tiedot on tallennettu tai joka on ollut viestinvälityspalvelun avulla välitetyn viestinnän osapuolena, jos käyttäjäorganisaatio tarvitsee tietoja:

1) asiointipalvelunsa toimivuuden varmistamista tai parantamista varten;

2) asiointipalvelunsa tietoturvallisuudesta huolehtimista tai tietoturvallisuuteen kohdistuvien häiriöiden selvittämistä varten;

3) asioinnin yhteydessä tapahtuneen tietojen käsittelyn oikeellisuuden osoittamiseksi tai muutoin asiointia koskevien ongelmien selvittämistä varten.

Palvelutuottaja voi, jollei viranomaisten toiminnan julkisuudesta annetun lain 11 tai 12 §:stä muuta johdu, luovuttaa tukipalvelun käytöstä tallennettuja tietoja:

1) henkilölle, jonka tukipalvelun käytöstä tai muusta asioinnista tiedot on tallennettu;

2) muuta yksilöityä tarkoitusta varten, jos henkilö, jonka tukipalvelun käytöstä tai muusta asioinnista tiedot on tallennettu, on antanut luovuttamiseen nimenomaisen suostumuksensa.

Edellä 1 ja 2 momentissa tarkoitetut tiedot voidaan luovuttaa teknisen käyttöyhteyden avulla.

15 §
Tietojen käsittely käyttäjäorganisaatiossa

Käyttäjäorganisaatiolla on rekisterinpitäjänä oikeus:

1) tämän lain säännösten rajoittamatta käsitellä palvelutuottajalta saamiaan tietoja;

2) tarjota palvelunäkymään tunnistautuneelle henkilölle häntä tai hänen edustamansa luonnollisen henkilön tai organisaation asiointia koskevia henkilö- ja muita tietoja palvelunäkymää käyttäen, jollei laissa toisin säädetä.

Palvelunäkymässä näytettävät tiedot haetaan käyttäjäorganisaation rekisteristä palvelunäkymään henkilötunnuksella tai muulla yksilöivällä tunnuksella teknistä käyttöyhteyttä hyödyntäen. Käyttäjäorganisaation on välittömästi hävitettävä palvelunäkymästä sen tietojärjestelmään tullut henkilötunnusta tai muuta yksilöivää tunnusta koskeva tieto, jos sillä ei ole oikeutta käsitellä kyseistä tietoa.

Käyttäjäorganisaatio vastaa rekisterinpitäjänä palvelutietovarantoon ja palvelunäkymään saataville tuomiensa tietojen oikeellisuudesta. Palvelutuottajan vastuusta säädetään 16 §:ssä.

4 luku

Tukipalveluja ja niiden käyttöä koskevat vaatimukset

16 §
Tukipalvelujen laatu- ja tietoturvallisuusvaatimukset

Palvelutuottaja vastaa tuottamansa tukipalvelun laadusta ja kustannustehokkuudesta sekä siitä, että palvelu on käyttötarkoitukseensa yleisesti soveltuva, suorituskykyinen, toimintavarma sekä mahdollisimman käyttäjäystävällinen ja esteetön. Palvelutuottajan on tukipalvelun toteuttamisessa noudatettava julkisen hallinnon kokonaisarkkitehtuuria ja yhteentoimivuuden kuvauksia ja määrityksiä.

Sen lisäksi mitä henkilötietolain 32 §:ssä säädetään, palvelutuottaja vastaa tukipalvelun tuottamisen edellyttämän tietojen yhdistämisen oikeellisuudesta sekä tukipalveluissa käsiteltävien tietojen tietoturvallisuudesta.

Palvelutuottaja vastaa siitä, että sen tuottama tukipalvelu on suunniteltu, rakennettu ja ylläpidetty siten, että:

1) tuotettu palvelu on tekniseltä laadultaan hyvää ja tietoturvallista;

2) se kestää normaalit odotettavissa olevat ulkoiset häiriöt ja tietoturvauhat;

3) sen suorituskykyä, käytettävyyttä, laatua ja toimintavarmuutta seurataan;

4) siihen kohdistuvat merkittävät tietoturvaloukkaukset ja -uhat sekä sen toimivuutta merkittävästi häiritsevät viat ja häiriöt voidaan havaita;

5) siihen tehtävistä muutoksista ei aiheudu ennakoimatonta häiriötä käyttäjäorganisaation tukipalvelua hyödyntävälle asiointipalvelulle tai muulle tehtävälle, jonka toteuttamisen tukena tukipalvelua hyödynnetään.

Palvelutuottajan on laadittava tarjoamastaan tukipalvelusta palvelukuvaus ja ylläpidettävä sitä. Palvelukuvauksesta tulee palvelun toiminnallisuuksien lisäksi riittävällä tarkkuudella käydä ilmi, miten 1—3 momentissa säädetyt vaatimukset sekä 17 §:n 1 ja 2 momentissa säädetyt tietoturvallisuusvaatimukset on tukipalvelussa toteutettu sekä tukipalveluun liittymisen vaatimukset sekä rajapintavaatimukset.

Valtioneuvoston asetuksella voidaan antaa tarkempia säännöksiä tässä pykälässä tarkoitetuista tukipalvelujen laatua ja tietoturvallisuutta koskevista vaatimuksista.

17 §
Tietojärjestelmiä koskevat vaatimukset

Palvelutuottajan on tarkoituksenmukaisin keinoin varmistuttava, että sen tukipalvelun tuottamiseen käytettävä tietojärjestelmä on suunniteltu, valmistettu ja toimii tietoturvallisuutta ja tietosuojaa koskevien lakien ja niiden nojalla annettujen säännösten sekä yhteentoimivuutta koskevien kansallisten määritysten mukaisesti.

Tukipalvelu on tuotettava ja kehitettävä siten, että perustason tai korotetun tason tietoturvallisuusvaatimukset täyttävien tietojen käsittely-ympäristöjen muodostaminen on tarvittaessa mahdollista. Tietoturvallisuusvaatimusten tarve ja toteutustapa tulee arvioida riskienhallintamenetelmien avulla.

Ennen käyttäjäorganisaation tietojärjestelmän liittämistä tukipalveluun palvelutuottaja voi edellyttää käyttäjäorganisaatiolta tukipalvelun tietoturvallisuuden ja laadun varmistamiseksi tarpeellisten vaatimusten täyttämistä. Palvelutuottajan ja käyttäjäorganisaation on tarpeen mukaisilla ja ennalta sovituilla tietoturvallisuustoimenpiteillä sekä testauksilla varmistuttava siitä, ettei liittämisellä vaaranneta käyttäjäorganisaation asiointipalvelun tai henkilötietojen taikka tukipalvelun tai niiden tuottamiseen käytetyn tietojärjestelmän tietoturvallisuutta.

Valtioneuvoston asetuksella voidaan antaa tarkempia säännöksiä 1 momentissa tarkoitettujen tietojärjestelmien tietoturvallisuutta koskevista vaatimuksista ja niiden täyttymisen toteamisesta, 2 momentissa tarkoitetusta tietojenkäsittely-ympäristöjen muodostamisesta sekä 3 momentissa tarkoitetusta käyttäjäorganisaation tietojärjestelmän liittämistä koskevista tietoturvallisuustoimenpiteistä.

18 §
Häiriöt ja häiriöilmoitukset

Jos palvelutuottajan tukipalvelun tuottamiseen käytetty tietojärjestelmä tai käyttäjäorganisaation tukipalveluun liitetty tietojärjestelmä aiheuttaa haittaa tukipalveluun käytetyn tai siihen liitetyn tietojärjestelmän toiminnalle tai tietoturvallisuudelle, haittaa aiheuttavasta tietojärjestelmästä vastaavan tahon on välittömästi ryhdyttävä toimenpiteisiin tilanteen korjaamiseksi. Tarvittaessa palvelutuottaja tai käyttäjäorganisaatio voi kytkeä tietojärjestelmänsä irti toisen ylläpitämästä järjestelmästä.

Palvelutuottajan on viipymättä ilmoitettava sen tukipalveluja käyttäville käyttäjäorganisaatioille sekä tukipalvelujen käyttäjille, jos sen tukipalveluun kohdistuu tai sitä uhkaa merkittävä tietoturvaloukkaus taikka muu tapahtuma, joka estää tukipalvelun toimivuuden tai häiritsee sitä olennaisesti taikka vaarantaa tietoturvallisuuden toteutumisen. Ilmoituksessa on kerrottava häiriön tai sen uhkan arvioitu kesto sekä mahdollisuuksien mukaan käyttäjäorganisaation ja tukipalvelun käyttäjän käytettävissä olevista suojaustoimenpiteistä. Lisäksi palvelutuottajan on ilmoitettava käyttäjäorganisaatioille ja tukipalvelun käyttäjille häiriön tai uhkan päättymisestä.

Käyttäjäorganisaation on viipymättä ilmoitettava palvelutuottajalle, jos kyseisen palvelutuottajan tukipalveluun liitettyyn käyttäjäorganisaation tietojärjestelmään kohdistuu tai sitä uhkaa merkittävä tietoturvaloukkaus taikka muu tapahtuma, joka voi vaarantaa tukipalvelun tietoturvallisuuden tai toimivuuden tai häiritä sitä olennaisesti. Ilmoituksessa on kerrottava häiriön tai uhkan sisältö, arvioitu kesto ja mahdollisuuksien mukaan suojaustoimenpiteet. Lisäksi käyttäjäorganisaation on ilmoitettava palvelutuottajalle häiriön tai uhkan päättymisestä.

Palvelutuottajan on raportoitava tukipalvelujensa toimivuudesta ja tietoturvallisuudesta säännöllisesti sekä ilmoitettava niihin liittyvistä merkittävistä poikkeamista viivytyksettä valtiovarainministeriölle tai sen osoittamalle viranomaiselle.

19 §
Varautuminen ja palvelutuotannon häiriötilanteet

Palvelutuottajien on valmiussuunnitelmin ja normaaliolojen häiriötilanteissa tai poikkeusoloissa tapahtuvan toiminnan etukäteisvalmisteluin sekä muilla toimenpiteillä huolehdittava siitä, että toiminta ja palvelujen tuotanto jatkuvat mahdollisimman häiriöttömästi normaaliolojen häiriötilanteissa sekä poikkeusoloissa.

Ellei muussa laissa toisin säädetä, normaalioloissa ja niiden häiriötilanteissa noudatetaan tässä laissa tarkoitettujen palvelujen tuotannon ja käytön ensisijaisuus- ja kiireellisyysmäärittelyssä sekä muussa tärkeysmäärittelyssä valtiovarainministeriön ennalta määrittelemiä periaatteita. Valtiovarainministeriön on ennen periaatteiden vahvistamista kuultava asianomaisia palvelutuottajia, niiden asiakkaita ja ministeriöitä. Valtioneuvosto päättää merkitykseltään laajakantoisista ja yhteiskunnallisesti merkittävistä periaatteista.

Palvelutuottajan varautumisvelvollisuudesta ja valtion tietohallinnon ohjauksesta sekä sähköisten palvelujen järjestämisestä poikkeusoloissa säädetään valmiuslaissa (1552/2011).

20 §
Lokirekisteri

Väestörekisterikeskuksen on tietojen käsittelyn laillisuuden varmistamiseksi pidettävä lokirekisteriä 3 §:n 1 momentin 1—7 kohdassa tarkoitettujen tukipalvelujen käytöstä tallennettujen tietojen käsittelystä. Lokirekisteriin on tallennettava tieto tietojen käsittelijästä, käsittelyn ajankohdasta sekä käsittelyn kohteena olleista järjestelmän tiedoista tai tietoryhmistä. Lisäksi tulee tallentaa tiedot tahosta, jolle tiedot on luovutettu 14 §:n nojalla.

Väestörekisterikeskuksen on säilytettävä lokirekisteriin tallennetut tiedot vähintään kaksi vuotta niiden tallentamisajankohtaa seuraavan kalenterivuoden alusta lukien.

21 §
Lokirekisterin tietojen käyttö ja luovuttaminen

Väestörekisterikeskus saa käyttää lokirekisteriin tallennettuja tietoja tukipalvelujen käytöstä tallennettujen tietojen käsittelyn seurantaa ja valvontaa sekä tietoturvallisuuden ylläpitoa varten.

Väestörekisterikeskus voi luovuttaa lokirekisteriin tallennettuja tietoja poliisi- ja esitutkintaviranomaiselle tukipalvelun käytöstä tallennettujen tietojen lain vastaista käsittelyä koskevan rikoksen selvittämistä varten, jollei yksittäisten tietojen luovuttamisesta poliisille ole toisin säädetty.

Lisäksi Väestörekisterikeskus voi, jollei viranomaisten toiminnan julkisuudesta annetun lain 11 tai 12 §:stä muuta johdu, luovuttaa lokirekisteriin tallennettuja tietoja:

1) henkilölle, jota koskevat tiedot ovat olleet käsittelyn kohteena;

2) muuta yksilöityä tarkoitusta varten, jos henkilö, jota koskevat tiedot ovat olleet käsittelyn kohteena sekä tietojen käsittelijä, ovat antaneet luovuttamiseen nimenomaisen suostumuksensa.

5 luku

Ohjaus

22 §
Yleinen ohjaus

Valtiovarainministeriön tehtävänä on ohjata tässä laissa tarkoitettujen tukipalvelujen järjestämistä, palvelujen laatua sekä näiden palvelujen yhteentoimivuutta ja kokonaisarkkitehtuurin mukaisuutta noudattaen julkisen hallinnon tietohallinnon ohjauksesta annettua lakia. Valtiovarainministeriö vastaa tukipalvelujen palvelutuotannon yleishallinnollisesta, strategisesta sekä tieto- ja viestintäteknisen varautumisen, valmiuden ja turvallisuuden ohjauksesta.

Väestörekisterikeskuksen tuottaman palvelunäkymän yrityksen palvelunäkymää koskevan kokonaisuuden sisällön ja rakenteen strategisesta ohjauksesta vastaavat valtiovarainministeriö ja työ- ja elinkeinoministeriö yhdessä.

Maanmittauslaitoksen tuottaman, 3 §:n 1 momentin 9 kohdassa tarkoitetun hallinnon karttapalvelua koskevan kokonaisuuden sisällön ja rakenteen strategisesta ohjauksesta vastaavat valtiovarainministeriö ja maa- ja metsätalousministeriö yhdessä.

23 §
Tiedonsaantioikeus

Valtiovarainministeriöllä on oikeus saada tehtävänsä suorittamiseksi riittävät ja tarvittavat tiedot palvelutuottajilta koskien palvelutuotannon laatua ja kustannustehokkuutta sekä muita tässä laissa tarkoitettuja palvelutuotannolle asetettuja vaatimuksia.

6 luku

Erinäiset säännökset

24 §
Oikaisuvaatimus

Palvelutuottajan tämän lain nojalla tekemään päätökseen saa hakea oikaisua palvelutuottajalta.

Valtiovarainministeriön tämän lain 7 §:n nojalla tekemään päätökseen saa hakea oikaisua valtiovarainministeriöltä.

Oikaisuvaatimusmenettelystä säädetään hallintolain (434/2003) 7 a luvussa.

25 §
Tukipalvelujen kustannukset

Tukipalvelujen tuottamisesta aiheutuvat kustannukset katetaan valtion varoista ja tukipalvelun käyttö on käyttäjäorganisaatiolle maksutonta.

Käyttäjäorganisaatio vastaa itse sille tukipalvelujen käyttöön liittymisestä sekä palvelutietovarannon ja palvelunäkymän sisältämien tietojen ylläpidosta aiheutuvista kustannuksista.

Viestinvälityspalvelun käyttäjäorganisaation puolesta lähettämien kirjeiden kustannuksista vastaa käyttäjäorganisaatio.

Käyttäjäorganisaatio vastaa itse vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain mukaisten tunnistuspalveluntarjoajien kanssa solmimiinsa tunnistamispalvelun tarjoamista koskeviin sopimuksiin perustuvista maksuista.

7 luku

Voimaantulo

26 §
Voimaantulo

Tämä laki tulee voimaan 15 päivänä heinäkuuta 2016.

27 §
Tehtävien järjestämistä koskeva siirtymäsäännös

Valtion tieto- ja viestintätekniikkakeskus Valtori tuottaa ja kehittää 3 §:n 1 momentin 5 ja 8 kohdassa tarkoitettuihin palveluihin kuuluvaa tunnistamisen, allekirjoittamisen ja maksamisen kokoamis- ja hallinnointipalvelua enintään 31 päivään joulukuuta 2017, tämä päivä mukaan lukien.

Valtion tieto- ja viestintätekniikkakeskus Valtori tuottaa ja kehittää 3 §:n 1 momentin 7 kohdassa tarkoitettua palvelua sekä pitää 11 §:ssä tarkoitettua rekisteriä enintään 31 päivään joulukuuta 2017, tämä päivä mukaan lukien, jonka jälkeen palvelutuotanto ja rekisterinpito siirtyvät Väestörekisterikeskuksen tehtäväksi 4 §:n 1 momentin nojalla.

Valtiokonttori tuottaa ja kehittää 3 §:n 1 momentin 2 kohdassa tarkoitettuihin palveluihin kuuluvaa Suomi.fi –palvelua enintään 31 päivään joulukuuta 2017, tämä päivä mukaan lukien.

Verohallinto tuottaa ja kehittää 3 §:n 1 momentin 5 kohdassa tarkoitettuihin palveluihin kuuluvaa sähköistä tunnistuspalvelua, jonka avulla viranomainen tai muu julkista tehtävää hoitava voi julkista tehtävää hoitaessaan tunnistaa organisaation ja sitä edustavan henkilön, enintään 31 päivään joulukuuta 2016, tämä päivä mukaan lukien, jonka jälkeen palvelutuotanto siirtyy Väestörekisterikeskukselle.

Elinkeino-, liikenne- ja ympäristökeskusten sekä työ- ja elinkeinotoimistojen kehittämis- ja hallintokeskus tuottaa ja kehittää 3 §:n 1 momentin 2 ja 3 kohdassa tarkoitettuihin palveluihin kuuluvaa Yrityssuomi.fi -palvelua enintään 31 päivään joulukuuta 2017, tämä päivä mukaan lukien.

Valtiovarainministeriö päättää tarkemmin 2—4 momentissa säädettyjen määräaikojen puitteissa Väestörekisterikeskukselle siirrettävistä tehtävistä ja toiminnoista sekä aikatauluista.

Valtioneuvosto päättää tarkemmin 5 momentissa säädetyn määräajan puitteissa elinkeino-, liikenne- ja ympäristökeskusten sekä työ- ja elinkeinotoimistojen kehittämis- ja hallintokeskukselta Väestörekisterikeskukselle siirrettävistä tehtävistä ja toiminnoista sekä aikatauluista.

28 §
Henkilöstöä koskeva siirtymäsäännös

Valtion tieto- ja viestintätekniikkakeskus Valtorin tuottamaan tukipalveluun liittyvien tehtävien siirtyessä valtiovarainministeriön 27 §:n 6 momentissa tarkoitetun päätöksen tai 3 §:n 2 momentissa tarkoitetun asetuksen mukaisesti Väestörekisterikeskukseen, kyseisiä tehtäviä hoitava työsopimussuhteinen henkilöstö siirtyy Väestörekisterikeskukseen virkasuhteeseen. Määräaikaisessa työsuhteessa näissä tehtävissä oleva henkilöstö siirtyy palvelussuhteensa keston ajaksi Väestörekisterikeskukseen määräaikaiseen virkasuhteeseen. Työsopimussuhteessa oleva henkilö voidaan siirtää ilman hänen suostumustaan, jos hänet siirretään hänen työssäkäyntialueellaan tai työssäkäyntialueelleen. Työssäkäyntialueella tarkoitetaan työttömyysturvalain (1290/2002) 1 luvun 9 §:n mukaista aluetta.

Työntekijä saa työsuhteessa muutoin sovellettavaa irtisanomisaikaa noudattamatta tai sen kestoajasta riippumatta irtisanoa työsopimuksen päättymään siirtopäivästä, jos hän on saanut tiedon siirrosta Valtion tieto- ja viestintätekniikkakeskus Valtorilta tai Väestörekisterikeskukselta viimeistään kuukautta ennen siirtopäivää. Jos työntekijälle on annettu tieto siirrosta myöhemmin, hän saa irtisanoa työsopimuksensa päättymään siirtopäivästä tai tämän jälkeen, viimeistään kuitenkin kuukauden kuluessa saatuaan tiedon siirrosta. Siirtyvien henkilöiden palvelussuhteen katsotaan palvelussuhde-etuuksien määräytymisen kannalta jatkuneen valtiolla yhdenjaksoisena.

Edellä 27 §:n 3—5 momentissa tarkoitettuja siirrettäviä tehtäviä virkasuhteessa hoitavan henkilöstön asemasta säädetään valtion virkamieslain (750/1994) 2 luvussa.

29 §
Käyttövelvoitteen voimaantuloa koskeva siirtymäsäännös

Käyttöön velvoitetun käyttäjäorganisaation on:

1) kuvattava palvelujaan koskevat tiedot palvelutietovarantoon ja tuotava rekisteritietojaan palvelunäkymään viimeistään 1 päivänä heinäkuuta 2017;

2) otettava luonnollisen henkilön tunnistuspalvelu ja verkkomaksamisen kokoamis- ja hallinnointipalvelu käyttöön viimeistään 1 päivänä tammikuuta 2018;

3) otettava viestinvälityspalvelu käyttöön viimeistään 1 päivänä heinäkuuta 2017.

Yksityisten yhteisöjen, säätiöiden ja elinkeinonharjoittajien oikeus käyttää palvelutietovarantoa palvelujaan koskevien tietojen tarjoamiseen tulee voimaan, kun yksityisten yhteisöjen ja elinkeinonharjoittajien palvelutietovarannon käyttövaltuuksien hallintamallit ovat valmiit, viimeistään 1 päivänä heinäkuuta 2017.

30 §
Sopimuksia ja muita sitoumuksia sekä vireillä olevia asioita koskeva siirtymäsäännös

Tehtävien ja toimintojen siirtyessä Väestörekisterikeskukselle näihin tehtäviin ja toimintoihin liittyvät sopimukset ja sitoumukset ja niihin liittyvät oikeudet ja velvollisuudet sekä vireillä olevat asiat siirtyvät Väestörekisterikeskukselle.

HE 59/2016
HaVM 13/2016
EV 93/2016

Helsingissä 29 päivänä kesäkuuta 2016

Tasavallan Presidentti
Sauli Niinistö

Kunta- ja uudistusministeri
Anu Vehviläinen

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.