Hallituksen esitys eduskunnalle laiksi sisäasioiden rahastoista ohjelmakaudella 2021‒2027 annetun lain muuttamisesta
- Hallinnonala
- Sisäministeriö
- Antopäivä
- Esityksen teksti
- Suomi
- Käsittelyn tila
- Käsitelty
- Käsittelytiedot
- Eduskunta.fi 210/2022
ESITYKSEN PÄÄASIALLINEN SISÄLTÖ
Esityksessä ehdotetaan muutettavaksi sisäasioiden rahastoista ohjelmakaudella 2021—2027 annettua lakia. Esityksen mukaan rahastojen avustusasioiden käsittely voitaisiin hoitaa sähköisen tietojärjestelmän avulla.
Laissa säädettäisiin muun muassa tarvittavista muutoksista avustuksen ja maksamisen hakemisessa sekä varauduttaisiin siihen, että tietojärjestelmässä olevia tietoja voidaan siirtää ja luovuttaa teknisen rajapinnan avulla. Lisäksi laissa säädettäisiin hallintoviranomaisen oikeudesta luovuttaa tietoja tietojärjestelmästä tarkastusviranomaiselle sekä ohjelman arvioijille, tietojärjestelmässä käsiteltävistä tiedoista sekä sitä käyttävistä tahoista, rekisterinpitäjästä, ja siitä, mikä taho on vastuussa tietojärjestelmästä tiedonhallintalain mukaisesti. Tietojärjestelmää käytettäessä pitäisi käyttää vahvaa sähköistä tunnistautumista.
Euroopan unionin sisäasioiden rahastoja koskeva Euroopan parlamentin ja neuvoston niin sanottu yleisasetus edellyttää sähköisen tiedonvaihtojärjestelmän käyttöä avustuksen saajien ja rahastojen hallinnoinnista vastaavien viranomaisten välillä viimeistään 1.1.2023 lukien.
Ehdotettu laki on tarkoitettu tulemaan voimaan mahdollisimman pian sen jälkeen, kun eduskunta on sen hyväksynyt, ja viimeistään 1.1.2023.
PERUSTELUT
1Asian tausta ja valmistelu
1.1Tausta
Sisäasioiden alalle on perustettu Euroopan unionin ohjelmakaudella 2021—2027 kolme rahastoa: turvapaikka-, maahanmuutto- ja kotouttamisrahasto, sisäisen turvallisuuden rahasto sekä rajaturvallisuuden ja viisumipolitiikan rahoitustukiväline osana yhdennetyn rajaturvallisuuden rahastoa (jäljempänä sisäasioiden rahastot). Sisäministeriö toimii sisäasioiden rahastojen hallintoviranomaisena Suomessa ja vastaa mm. rahastojen ohjelmien täytäntöönpanosta ja hallinnoinnista.
Hallituksen esityksen pohjana on täydentävää sääntelyä edellyttävä Euroopan parlamentin ja neuvoston asetus Euroopan aluekehitysrahastoa, Euroopan sosiaalirahasto plussaa, koheesiorahastoa, oikeudenmukaisen siirtymän rahastoa ja Euroopan meri-, kalatalous- ja vesiviljelyrahastoa koskevista yhteisistä säännöksistä ja varainhoitosäännöistä sekä turvapaikka-, maahanmuutto- ja kotouttamisrahastoa, sisäisen turvallisuuden rahastoa ja rajaturvallisuuden ja viisumipolitiikan rahoitusvälinettä koskevista varainhoitosäännöistä (EU) 2021/1060 (jäljempänä yleisasetus). Sisäasioiden rahastoja koskevalla Euroopan unionin yleisasetuksella annetaan yleiset, kaikkia rahastoja koskevat varainhoitosäännöt. Yleisasetuksessa säädetään myös tuensaajien ja ohjelmasta vastaavien viranomaisten tiedonvaihdosta.
Esityksen lähtökohtana oleva Euroopan unionin yleisasetus on suoraan sovellettavaa oikeutta Euroopan unionin jäsenvaltioissa. Kansalliseen lakiin on kuitenkin tarpeen ottaa säännökset siitä, että avustusta ja maksamista haetaan tietojärjestelmässä ja vain erikseen hallintoviranomaisen salliessa hakeminen voidaan tehdä erillisellä lomakkeella. Lisäksi halutaan varautua siihen, että tietojen siirtoja voidaan tehdä eri järjestelmien välillä myös rajapintojen avulla. Kansallisessa laissa on tarpeen säätää tietojärjestelmässä käsiteltävistä tiedoista sekä järjestelmää käyttävistä viranomaisista, rekisterinpitäjästä ja siitä, että sisäministeriö vastaa tietojärjestelmästä lain julkisen hallinnon tiedonhallinnasta (906/2019, jäljempänä tiedonhallintalaki ) mukaisesti. Ehdotuksessa säädettäisiin myös vahvasta sähköisestä tunnistautumisesta tietojärjestelmää käytettäessä ja tarvittavista siirtymäsäännöksistä.
Hallituksen esitys ja sisäasioiden rahastot liittyvät pääministeri Marinin Osallistava ja osaava Suomi -hallitusohjelman Eurooppa-politiikkaa koskeviin kirjauksiin ja erityisesti kirjauksiin "Suomi kokoaan suurempi maailmalla" ja ”Turvallinen oikeusvaltio Suomi”. Sisäasioiden rahastojen avustusasioiden hallinnointi ja käsittely sähköisen tietojärjestelmän avulla tehostaa rahastojen toimeenpanoa.
1.2Valmistelu
EU-säädöksen valmistelu
Euroopan komissio antoi toukokuussa 2018 ehdotuksen monivuotisesta rahoituskehyksestä vuosiksi 2021—2027 sekä ehdotuksen yleisistä säännöksistä ja rahoitussäännöistä yhteistyössä hallinnoitaville rahastoille. Yleisasetusehdotusta koskien komissio antoi kaksi muutettua ehdotusta; tammikuussa 2020 annettiin muutettu ehdotus (COM (2020) 23 final) koskien yleisasetukseen lisättäviä oikeudenmukaisen siirtymän rahastoa koskevia yleisiä säännöksiä ja rahoitussääntöjä. Toukokuussa 2020 yleisasetuksesta annettiin muutettu ehdotus (COM (2020) 450 final) osana komission elvytyspakettia.
Yleisasetus hyväksyttiin kesäkuussa 2021 ja se tuli voimaan 1.7.2021.
Hallituksen esityksen valmistelu
Sisäministeriö asetti 10.1.2022 lainsäädäntöhankkeen valmistelemaan tarvittavat lainsäädäntömuutokset, joilla mahdollistetaan sähköisen asiointi- ja käsittelyjärjestelmän käyttöönotto Euroopan unionin sisäasioiden rahastojen ohjelmien toimien avustusten käsittelyssä.
Hankkeen tavoitteena oli valmistella tarvittavat muutokset kansalliseen lakiin sisäasioiden rahastoista ohjelmakaudella 2021—2027 (1125/2021) , jäljempänä rahastolaki . Lainsäädäntöön tehtävillä muutoksilla säädettäisiin tietojärjestelmään tallennettavista tiedoista, digitaalisesta avustusmenettelystä, vahvasta sähköisestä tunnistautumisesta, tietojärjestelmän tietojen saannista ja luovuttamisesta, tietojärjestelmään tallennettujen tietojen julkisuudesta ja julkaisemisesta sekä henkilötietojen tallentamisesta ja säilyttämisestä.
Tarvittavat lainsäädännön muutostarpeet ovat tarkentuneet työn kuluessa.
Valmistelu toteutettiin virkatyönä sisäministeriön kansainvälisten asioiden yksikössä. Työn lähtökohtana oli edellä mainittu Euroopan unionin yleisasetus.
Lakimuutos ehdotetaan tulemaan voimaan mahdollisimman pian sen jälkeen, kun eduskunta on sen hyväksynyt.
Hallituksen esityksen valmisteluasiakirjat ovat julkisessa palvelussa osoitteessa:
Perustuslain 14 §:n 4 momentin mukaan julkisen vallan tehtävänä on edistää yksilön mahdollisuuksia osallistua yhteiskunnalliseen toimintaan ja vaikuttaa häntä itseään koskevaan päätöksentekoon. Työn kuluessa tätä velvoitetta on toteutettu mm. järjestämällä syksyllä 2021 hanketoteuttajille mahdollisuus antaa palautetta ohjelmakaudella 2014—2020 käytössä olleesta tietojärjestelmästä ja esittää toiveita uudesta järjestelmästä. Lisäksi helmikuussa 2022 kutsuttiin tulevia järjestelmän käyttäjiä osallistumaan käyttäjäraatiin ja antamaan palautetta käyttöliittymän luonnoskuvista. Elokuussa 2022 käyttäjäraatiin ilmoittautuneille esiteltiin toteutettuja toimintoja sekä tiettyjä järjestelmän toiminnallisuuksia. Hallituksen esitysluonnoksesta järjestettiin lausuntokierros 8.6.—22.7.2022. Ahvenanmaan maakuntahallitukselle järjestettiin vielä erillinen lausuntokierros 26.7.—6.9.2022 hallituksen esitysluonnoksen ruotsinkielisen käännöksen valmistuttua. Sisäministeriö on tiedottanut hankkeesta sisäasioiden rahastojen nettisivuilla. Hankkeen valmistelun yhteydessä on kuultu asiantuntijoita.
Esityksen vaihtoehtojen ja vaikutusten arviointi tehtiin virkatyönä hallituksen esityksen valmistelun yhteydessä.
Ehdotettavalla lakimuutoksella ei ole vaikutuksia Ahvenanmaan maakuntaan.
2EU-säädöksen tavoitteet ja pääasiallinen sisältö
Yleisasetuksen 69 artiklassa säädetään, että jäsenvaltion on varmistettava, että tuensaajien ja ohjelmasta vastaavien viranomaisten välinen tiedonvaihto toteutetaan kokonaisuudessaan sähköisten tiedonvaihtojärjestelmien avulla yleisasetuksen liitteen XIV mukaisesti. Artiklan mukaan jäsenvaltioiden on edistettävä sähköisen tiedonvaihdon etuja ja annettava tuensaajille kaikki tarvittava tuki tältä osin. Liitteessä on annettu tarkemmat säännöt mm. sähköisten tiedonvaihtojärjestelmien ominaisuuksista sekä asiakirjojen ja tietojen toimittamista koskevista yksityiskohtaisista säännöistä kaikessa tiedonvaihdossa.
Liitteen XIV mukaan ohjelmasta vastaavien viranomaisten on varmistettava tietoturvan, tietojen koskemattomuuden ja luottamuksellisuuden sekä käyttäjien todentamisen varmistaminen EU:n yleisasetuksen mukaisesti. Ohjelmasta vastaavien viranomaisten on varmistettava tietojärjestelmän saatavuus ja toiminta tavanomaisen virka-ajan aikana ja sen ulkopuolella (teknisiä kunnossapitotoimia lukuun ottamatta). Lisäksi viranomaisten pitää varmistaa, että järjestelmän tavoitteena on hyödyntää loogisia, yksinkertaisia ja intuitiivisia toimintoja ja rajapintoja. Liitteessä annetaan myös tarkempia sääntöjä siitä, millaisia toimintoja tietojärjestelmän on sisällettävä ja millaisia teknisiä ominaisuuksia sillä on oltava. Ohjelmasta vastaavien viranomaisten on varmistettava tietojen järjestelmään tallentaminen ja järjestelmässä säilyttäminen siten, että tuensaajien 74 artiklan 2 kohdan mukaisesti toimittamien maksatushakemusten hallinnon varmennukset ja tarkastukset ovat mahdollisia. Viranomaisten on myös varmistettava yksilöiden yksityisyyden ja henkilötietojen suojan sekä oikeushenkilöiden kaupallisten tietojen luottamuksellisuus Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY ja asetuksen (EU) 2016/679 mukaisesti (EU:n yleinen tietosuoja-asetus).
Yleisasetuksessa säädetään, että hallintoviranomainen voi tuensaajan nimenomaisesta pyynnöstä poikkeuksellisesti hyväksyä tiedonvaihdon paperimuodossa, sanotun vaikuttamatta hallintoviranomaisen velvollisuuteen kirjata ja tallentaa tietoja 72 artiklan 1 kohdan e alakohdan mukaisesti. Mainitun artiklan kohdassa säädetään, että hallintoviranomaisen tehtävänä on kirjata ja tallentaa sähköisesti kustakin toimesta tiedot, joita tarvitaan seurantaa, arviointia, varainhoitoa, varmennuksia ja tarkastuksia varten liitteen XVII mukaisesti, ja varmistaa tietojen turvallisuus, eheys ja luottamuksellisuus ja tietojen käyttäjän todentaminen. Liitteessä avataan tarkemmin kirjattavat ja tallennettavat tiedot.
Yleisasetuksessa säädetään. että sisäasioiden rahastoista avustettavien ohjelmien osalta sähköistä tiedonvaihtojärjestelmää koskevaa vaatimusta sovelletaan 1.1.2023 lukien.
Yleisasetuksen liitteessä XI säädetään, että hallinto- ja valvontajärjestelmän keskeinen vaatimus on mm. se, että hallintoviranomainen varmistaa, että käytössä on luotettava sähköinen järjestelmä tietojen keräämiseksi, tallentamiseksi ja säilyttämiseksi seurantaa, arviointia, varainhoitoa, varmennuksia ja tarkastuksia varten, mukaan lukien asianmukaiset prosessit tietoturvan, tietojen koskemattomuuden ja luottamuksellisuuden varmistamiseksi ja käyttäjien todentamiseksi.
3Nykytila ja sen arviointi
3.1Käytössä ollut järjestelmä
Ohjelmakaudella 2014—2020 Euroopan unionin sisäasioiden rahastojen (EUSA-rahastot) käytössä on ollut ns. EUSA-järjestelmä. Se on ollut rahastojen tukemien hankkeiden ja toimien hallinnointiin tarkoitettu selainpohjainen tietojärjestelmä. EUSA-rahastojen haku- ja hallinnointiprosessien sähköistämisellä nopeutettiin ja tehostettiin merkittävästi hakemus- ja raportointiprosesseja ja parannettiin niiden laatua. Järjestelmässä on laadittu tukihakemukset, tukipäätökset ja niiden muutoshakemukset sekä maksatushakemukset ja -päätökset. Myös raportointi on hoidettu järjestelmän kautta. Järjestelmä on mahdollistanut kokonaan sähköisen asioinnin vahvaa sähköistä Suomi.fi-tunnistusta käyttäen. Suomi.fi-palvelun tietoturvasta vastaa Digi- ja väestövirasto. Järjestelmällä on virallinen sertifikaatti ja se käyttää 256-bittistä SSL-salausta.
EUSA-järjestelmän kehitys perustui Poliisin sähköisen asioinnin ratkaisuun. Käsittelyjärjestelmä rakennettiin sisäministeriön asianhallintaratkaisu Actan päälle. Järjestelmä on ollut hallinnon turvallisuusverkon sisällä (ns. TUVE-verkko), eli asioinnin ja käsittelyn välissä on ollut turvaväyläpalvelu, josta on vastannut Poliisin informaatioteknologiakeskus (POL IT-keskus) sekä Valtion tieto- ja viestintätekniikkakeskus (Valtori). Järjestelmäkokonaisuuden ylläpidosta on vastannut niin ikään POL IT-keskus ja Valtori.
EUSA-järjestelmä otettiin käyttöön kesäkuussa 2015 ja sen elinkaari päättyy viimeistään vuonna 2024, kun kaikki ohjelmakauden 2014—2020 hankkeiden viimeiset raportit on käsitelty. EUSA-järjestelmästä tehtiin käyttäjäkysely vuonna 2017, jonka pohjalta järjestelmää on kehitetty vuosien aikana.
Käytössä ollut järjestelmäkokonaisuus ei sovellu käytettäväksi ohjelmakaudella 2021—2027 mm. sen vuoksi, että asiointialustan taustatuote on teknisesti vanhentunut. Lisäksi sisäministeriö on siirtynyt käyttämään valtioneuvoston yhteistä asianhallintajärjestelmää.
3.2Tietojen käsittely, tietojen saanti ja luovuttaminen sekä salassapitovelvoitteet ohjelmakaudella 2021—2027
Ohjelmakauden 2021—2027 alussa hallintoviranomainen on järjestänyt rahastojen haut tietojärjestelmän ulkopuolella tehtävänä erillisenä sähköisenä lomakehakuna. Hakuun liittyvien tietojen käsittelyssä hallintoviranomainen on käyttänyt valtioneuvoston yhteistä asianhallintajärjestelmää. Ilman rahastojen tarpeisiin kehitettyä tietojärjestelmää tapahtuva hakemusten käsittely on aiheuttanut lisätyötä hallintoviranomaiselle ja avustuksen hakijoille.
Ohjelmakautta 2021—2027 koskevan rahastolain mukaisesti sisäasioiden rahastoja koskevat tiedot käsitellään sisäministeriön käyttämässä valtioneuvoston yhteisessä asianhallintajärjestelmässä. Asianhallintajärjestelmää käytetään Euroopan unionin lainsäädännössä ja rahastolaissa säädettyjen ohjelmaa ja toimeenpanosuunnitelmaa koskevien tehtävien hoitamiseen.
Hallintoviranomainen käsittelee asianhallintajärjestelmässä Euroopan unionin lainsäädännössä edellytetyt ohjelmaa, sen hallinnointia, seurantaa ja valvontaa koskevat tiedot sekä ohjelmaa koskevan toimeenpanosuunnitelman. Lisäksi asianhallintajärjestelmässä käsitellään avustuksen hakijaa ja saajaa, avustettavaa hanketta tai toimintaa, avustuspäätöstä, avustuksen maksamista ja raportointia, suoritettuja tarkastuksia ja takaisinperintää koskevat tiedot. Asianhallintajärjestelmään tallennetuista tiedoista muodostuu hallinto- ja tarkastusviranomaisen yhteinen tietovaranto ja hankehallinnoinnin sähköinen viranomaisarkisto.
Käytettäessä valtioneuvoston yhteistä asianhallintajärjestelmää, ei voimassa olevassa laissa ole ollut tarvetta säätää tiedonhallinnasta tai rekisterinpitäjästä. Asianhallintajärjestelmään tallennettavien tietojen julkisuudesta tai tietosuojasta ei myöskään säädetä erikseen voimassa olevassa laissa, koska niihin sovelletaan lakia viranomaisten toiminnan julkisuudesta (621/1999) sekä EU:n tietosuoja-asetusta ja tietosuojalakia (1050/2018) .
Valtioneuvostosta annetun lain 2 §:n 3 momentissa säädetään, että valtioneuvoston kanslia toimii valtioneuvoston ja sen ministeriöiden yhteiseen toimintaan ja toimintatapoihin sekä yhteisiin tietovarantoihin ja tietojärjestelmiin liittyvän tiedonhallinnan osalta julkisen hallinnon tiedonhallinnasta annetussa laissa (906/2019) tarkoitettuna tiedonhallintayksikkönä ja vastaa tältä osin tiedonhallinnasta ja mainitun lain 13 §:n 2—5 momentissa, 14—18 §:ssä ja 5 luvussa viranomaiselle säädetyistä tehtävistä. Valtioneuvoston kanslia ohjaa ja yhteensovittaa yhteisiin hallinto- ja palvelutehtäviin sekä yhteiseen tiedonhallintaan liittyviä toimintatapoja.
Tietojen säilyttämisestä on säädetty EU:n yleisasetuksessa sekä rahastolaissa. Näiden osalta ehdotuksessa ei esitetä muutoksia.
Tietojen saannista ja luovuttamisesta on säädetty voimassa olevan rahastolain 25 §:ssä. Tietojen salassapitoon ja tietojen julkisuuteen sovelletaan lakia viranomaisten toiminnan julkisuudesta.
3.3Henkilötietojen käsittely ja tietosuoja
Voimassa olevan rahastolain mukaisesti sisäasioiden rahastoja koskevat tiedot käsitellään valtioneuvoston yhteisessä asianhallintajärjestelmässä. Järjestelmässä saa käsitellä myös henkilötietoja. Sisäministeriö toimii rekisterinpitäjänä asianhallintajärjestelmässä tallentamiensa henkilötietojen osalta. Henkilötietojen käsittelyssä noudatetaan tietosuoja-asetusta ja tietosuojalakia sekä voimassa olevaa rahastolakia siltä osin kuin se sisältää säännöksiä henkilötietojen käsittelystä. Henkilötietojen käsittelyssä sovelletaan tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaisesti tietojen minimointiperiaatetta. Henkilötietojen käsittely on tarpeen yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c-alakohdan mukaisesti rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Euroopan unionin yleisasetuksen 4 artiklassa säädetään, että jäsenvaltiot saavat käsitellä henkilötietoja ainoastaan silloin, kun se on tarpeen yleisasetuksen mukaisten velvoitteidensa täyttämiseksi erityisesti seurantaa, raportointia, viestintää, julkaisemista, arviointia, varainhoitoa, varmennuksia ja tarkastuksia varten sekä tarvittaessa osallistujien tukikelpoisuuden määrittämistä varten.
Henkilötietoja ovat esimerkiksi avustuksen hakijan ja saajan ja sen yhteyshenkilön nimi, sähköpostiosoite ja puhelinnumero, avustuksen hakijan ja saajan tosiasiallisten omistajien nimet, syntymäaika ja henkilötunnukset mm. silloin, kun henkilön yksiselitteinen yksilöiminen on tärkeää, hankkeiden ohjausryhmien kokoonpanoa koskevat tiedot, hakemusten ja raporttien yhteydessä olevat palkkatiedot ja muut hakijan ja avustuksen saajan hakemukseen ja raporttiin sisällyttämät henkilötiedot. Käsiteltävät henkilötiedot eivät ole tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuja erityisiä henkilötietoja.
4Ehdotukset ja niiden vaikutukset
4.1Keskeiset ehdotukset
Esityksessä ehdotetaan muutettavaksi lakia sisäasioiden rahastoista ohjelmakaudella 2021—2027, jotta rahastojen ohjelmien avustusasioiden asiointi ja käsittely voidaan hoitaa sähköisen tietojärjestelmän avulla. Velvoite tietojärjestelmän käyttöön tulee Euroopan unionin yleisasetuksesta ja sisäasioiden rahastojen osalta yleisasetus edellyttää sähköisen tiedonvaihtojärjestelmän käyttöönottoa viimeistään 1.1.2023 lukien.
Tietojärjestelmän käyttöönotto edellyttää muutoksia niihin Euroopan unionin sisäasioiden rahastoja koskevan rahastolain pykäliin, jotka koskevat avustuksen hakemista, avustuksen myöntämistä ja päätöksen sisältöä, maksamisen hakemista ja raportointia, tietojen saantia ja luovuttamista sekä tietojen käsittelyä. Ehdotettavassa laissa olisi tarpeen säätää tietojärjestelmän rekisterinpitäjästä ja siitä, että sisäministeriö vastaa tietojärjestelmästä julkisen hallinnon tiedonhallinnasta annetun lain mukaisesti.
Lakiin ehdotetaan lisättäväksi hallintoviranomaiselle oikeus luovuttaa tarkastusviranomaiselle ja ohjelmaa arvioivalle taholle tietoja niiden lakisääteisten tehtävien hoitamiseksi.
Yleisasetuksen mukaisesti ehdotuksella varaudutaan siihen, että tietoja voidaan siirtää teknisen rajapinnan avulla. Ensivaiheessa rajapintoja olisi tarkoitus rakentaa Handi-palveluun ja mahdollistaa hallintoviranomaisen kirjautuminen järjestelmään Virtu-kirjautumisen avulla. Nämä integraatiot edellyttävät liittymistä valtion integraatioalusta VIA:aan. Suomi.fi-valtuuden käyttö pitää myös mahdollistaa heti tietojärjestelmän käyttöönoton yhteydessä. Myöhemmässä vaiheessa tarkoitus olisi integroida tietojärjestelmä valtionhallinnon yhteiseen asianhallintajärjestelmään, komission ylläpitämään SFC-järjestelmään sekä Valtionkonttorin tulevaisuudessa mahdollisesti ylläpitämiin Haeavustuksia.fi sekä Tutkiavustuksia.fi -palveluihin.
4.1.1Tiedonsaanti ja luovuttaminen sekä tietojärjestelmään kirjautuminen
Rahastolain 25 §:ssä säädetään hallinto- ja tarkastusviranomaisen oikeudesta saada ja luovuttaa tietoja. Tietojen saantia ja luovuttamista koskevaan pykälään ehdotetaan lisättäväksi hallintoviranomaisen oikeus salassapitosäännösten estämättä luovuttaa tarkastusviranomaiselle rahastolaissa ja Euroopan unionin lainsäädännössä tarkoitettujen tarkastustehtäviensä hoitamiseksi välttämättömät tiedot. Tarkastusviranomaisen vastuulla on tehdä järjestelmätarkastuksia, toimien tarkastuksia sekä tilintarkastuksia. Lisäksi ehdotetaan, että hallintoviranomaisella olisi oikeus salassapitosäännösten estämättä luovuttaa yleisasetuksen 44 artiklan mukaisesti ohjelmaa arvioiville tahoille ohjelmien arvioimiseksi välttämättömät tiedot. Yleisasetus edellyttää hallintoviranomaisen huolehtivan tarvittavista menettelyistä, joilla tuotetaan ja kerätään arvioinneissa tarvittavat tiedot. Tämän vuoksi myös arviointeja tekevien tiedonsaantioikeudesta olisi säädettävä laissa. Tarkastusviranomaisen ja ohjelmaa arvioivien tahojen tiedonsaantioikeudesta on tarpeen säätää rahastolaissa, jotta niiden lakisääteisten tehtävien hoitaminen on mahdollista.
Hallintoviranomainen, joka toimii järjestelmässä käsittelijänä, kirjautuisi siihen Virtu-tunnistautumisen avulla. Järjestelmän muut käyttäjät kirjautuisivat Suomi.fi-tunnistautumisen ja -valtuutuksen avulla, koska näin pystytään varmistumaan mm. siitä, että hakijaorganisaatio on valtuuttanut kyseisen henkilön asioimaan puolestaan tietojärjestelmässä. Tarkastusviranomainen ja ohjelman arvioija, joilla ei olisi muokkausoikeutta järjestelmään, kirjautuisivat siihen kaksivaiheisen tunnistaumisen avulla. Järjestelmän käyttöoikeuksia hallinnoisi tietojärjestelmän pääkäyttäjä.
4.1.2Henkilötietojen käsittely ja rekisterinpitäjyys
Henkilötietojen käsittelyyn sovelletaan EU:n yleistä tietosuoja-asetusta ja tietosuojalakia sekä rahastolakia siltä osin kuin siinä säädetään henkilötietojen käsittelystä. Tietosuoja-asetuksen 4 artiklan 1 kohdan mukaan henkilötiedoilla tarkoitetaan tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
Henkilötietojen käsittelyllä tarkoitetaan tietosuoja-asetuksen 4 artiklan 2 kohdan mukaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.
Uuden tietojärjestelmän käyttöönottamisen yhteydessä on tarpeen säätää järjestelmän rekisterinpitäjästä, koska tietojärjestelmässä käsitellään henkilötietoja. Rekisterinpitäjästä säätäminen on mahdollista tietosuoja-asetuksen 4 artiklan 7 kohdan salliman kansallisen liikkumavaran nojalla. Rekisterinpitäjä vastaa henkilötietojen käsittelyn lainmukaisuudesta koko käsittelyn elinkaaren ajan ja sillä on vastuu tietosuojasäännösten noudattamisesta. Sisäministeriö toimisi tietojärjestelmän rekisterinpitäjänä ja vastaisi tietojärjestelmästä julkisen hallinnon tiedonhallinnasta annetun lain mukaisesti. Sisäministeriö omistaisi tietojärjestelmän ja vastaisi siitä, että tietojärjestelmä täyttää jäsenvaltiolle yleisasetuksessa sekä rahastolaissa säädetyt lakisääteiset edellytykset. Sisäministeriön toimivallasta toimia ohjelman hallintoviranomaisena säädetään rahastolain 6 §:ssä. Yleisasetuksen 72 artiklassa säädetään, että hallintoviranomaisen tehtävänä on mm. hoitaa ohjelmien hallintoon liittyviä tehtäviä 74 artiklan mukaisesti sekä kirjata ja tallentaa sähköisesti kustakin toimesta tiedot, joita tarvitaan seurantaa, arviointia, varainhoitoa, varmennuksia ja tarkastuksia varten liitteen XVII mukaisesti, ja varmistaa tietojen turvallisuus, eheys ja luottamuksellisuus sekä tietojen käyttäjän todentaminen. Hallintoviranomaisen tehtäväksi on yleisasetuksessa annettu toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että käsittelyssä noudatetaan tietosuoja-asetusta. Selvyyden vuoksi olisi perusteltua, että sisäministeriön asema rekisterinpitäjänä todetaan yksiselitteisesti laissa.
Käsitellessään tietojärjestelmässä avustushakemuksia ja raportteja sekä raporttien yhteydessä olevia maksamista koskevia hakemuksia hallintoviranomainen käsittelisi nimitietoja, syntymäaikoja, henkilötunnuksia, kansalaisuustietoja ja palkkatietoja. Henkilötietoja voisivat olla esimerkiksi avustuksen hakijan, saajan ja niiden yhteyshenkilön nimi, sähköpostiosoite ja puhelinnumero, avustuksen hakijan ja saajan tosiasiallisten omistajien nimet ja henkilötunnukset, mm. silloin, kun henkilön yksiselitteinen yksilöiminen olisi tärkeää, hankkeiden ohjausryhmien kokoonpanoa koskevat tiedot sekä hakemusten ja raporttien yhteydessä olevat palkkatiedot ja muut hakijan ja avustuksen saajan hakemukseen ja raporttiin sisällyttämät henkilötiedot, kuten esimerkiksi sairauspoissaolon kestoa koskeva tieto sekä yleisasetuksen edellyttämät hankintojen yhteydessä tarvittavat tiedot. Tarkastusviranomaisella olisi oikeus tarkastaa järjestelmässä olevia tietoja. Tarkastusviranomaisena toimivan valtiovarainministeriön toimivallasta ja tehtävistä on säädetty rahastolain 7 §:ssä ja yleisasetuksessa. Yleisasetuksen 77 artiklassa säädetään mm., että tarkastusviranomaisen vastuulla on suorittaa järjestelmätarkastuksia, toimien tarkastuksia ja tilintarkastuksia, jotta se voi tarjota komissiolle riippumattoman varmuuden hallinto- ja valvontajärjestelmien tehokkaasta toiminnasta ja komissiolle toimitettuun tilitykseen sisältyvien menojen laillisuudesta ja sääntöjenmukaisuudesta. Ohjelman arvioijien oikeus saada tietoja perustuu yleisasetuksen 44 artiklaan.
Tietosuoja-asetuksen 5 artiklan mukaan henkilötietojen käsittelyn on tapahduttava lainmukaisesti, asianmukaisesti ja läpinäkyvästi. Henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten (käyttötarkoitussidonnaisuus), lisäksi tietojen käsittelyssä pitää noudattaa tietojen minimoinnin periaatetta. Tietojen pitää olla täsmällisiä ja henkilötietojen säilytystä on rajoitettava ajallisesti ja käsittelyn tulee turvata tietojen eheys ja luottamuksellisuus. Voimassa olevassa sisäasioiden rahastoja koskevassa rahastolaissa säädetään tarkasti käsiteltävistä tiedoista. Lakiehdotuksessa ei ehdoteta muutoksia käsiteltävien tietojen sisältöön. Ehdotus koskisi sitä, että kyseisiä tietoja käsiteltäisiin jatkossa uudessa tietojärjestelmässä.
Tietosuoja-asetuksen 6 artiklan 1 kohdassa säädetään henkilötietojen käsittelyperusteista. Henkilötietojen käsittelyn lainmukaisuus perustuisi Euroopan unionin yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c-alakohdan mukaisesti rekisterinpitäjän lakisääteisen velvoitteen noudattamiseen. Euroopan unionin yleisasetuksen 4 artiklassa säädetään, että jäsenvaltiot saavat käsitellä henkilötietoja ainoastaan silloin, kun se on tarpeen yleisasetuksen mukaisten velvoitteidensa täyttämiseksi erityisesti seurantaa, raportointia, viestintää, julkaisemista, arviointia, varainhoitoa, varmennuksia ja tarkastuksia varten sekä tarvittaessa osallistujien tukikelpoisuuden määrittämistä varten. Rekisteröidyn oikeuksista säädetään tarkemmin tietosuoja-asetuksen III luvussa. Rekisteröidyn oikeuksien toteuttaminen on rekisterinpitäjän vastuulla. Henkilötietojen suojasta säädetään Suomessa aina lain tasolla.
Tietosuoja-asetuksen 9 artiklassa säädetään erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä. Artiklan 1 kohdan mukaan on kiellettyä käsitellä sellaisia henkilötietoja, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys. Kiellettyä on myös geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely. EU:n sisäasioiden rahastojen yhteydessä käsiteltävät henkilötiedot eivät olisi tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia tietoja.
Jos avustuksen saajilla olisi tarve toimittaa hallintoviranomaiselle turvallisuusluokiteltua tietoaineistoa (TL I-III), järjestettäisiin tämän vastaanottamiselle poikkeusjärjestely sisäministeriön kirjaamoon ja sitä kautta Valtioneuvoston asianhallintajärjestelmään. Tietojen salassapitoon ja tietojen julkisuuteen sovelletaan lakia viranomaisten toiminnan julkisuudesta. Tältä osin esityksessä ei ehdoteta muutoksia.
4.1.3Tietojen ja asiakirjojen säilytys
Sisäasioiden rahastojen ohjelmaa, sen hallinnointia, seurantaa ja valvontaa koskevat tiedot ja ohjelmaa koskeva toimeenpanosuunnitelma säilytettäisiin myös jatkossa valtioneuvoston yhteisessä asianhallintajärjestelmässä. Valtioneuvoston yhteisessä asianhallintajärjestelmässä säilytettäisiin myös avustuksen hakijaa ja saajaa, avustettavaa hanketta tai toimintaa, avustuspäätöstä, raportointia, avustuksen maksamista, suoritettuja tarkastuksia ja takaisinperintää koskevat asiakirjat ja tiedot.
Asianhallintajärjestelmään tallennettavien tietojen julkisuudesta tai tietosuojasta ei säädettäisi erikseen, koska niihin sovellettaisiin lakia viranomaisten toiminnan julkisuudesta sekä EU:n tietosuoja-asetusta ja tietosuojalakia.
Uudistus ei aiheuta muutoksia viranomaisen asiakirjojen säilytystarpeisiin tai -tapoihin. EU:n sisäasioiden rahastojen asiakirjallisen tiedon säilytysajat on määritelty valtioneuvoston tiedonhallintasuunnitelmassa, joka on Kansallisarkiston hyväksymä. Järjestelmässä käsiteltävät asiakirjat ovat määräajan säilytettäviä ja tyypillinen säilytysaika on 20 vuotta. Asiakirjallisen tiedon säilymisen varmistamiseksi asiakirjat säilytetään valtioneuvoston yhteisessä asianhallintajärjestelmässä. Asiakirjallisen tiedon siirto automatisoidaan ohjelmistorobotiikan avulla.
4.1.4Rahoitus
Järjestelmän rakentamisen ja kehittämisen edellyttämät kustannukset on tarkoitus kattaa Euroopan unionin sisäasioiden rahastojen ohjelmien teknisestä avusta. Kustannuksia katetaan sekä ohjelmakauden 2014—2020 erillismäärärahojen teknisestä avusta, että ohjelmakauden 2021—2027 teknisestä avusta. Tekninen apu on valtion talousarviossa sisällytetty kehyksen ulkopuolisille momenteille 26.01.24 (EU:n osuus sisäisen turvallisuuden ja maahanmuuton hallintaan ohjelmakaudella 2014—2020) sekä 26.01.26 (EU:n osuus sisäisen turvallisuuden ja maahanmuuton hallintaan ohjelmakaudella 2021—2027).
Suunnitelluista rajapintaratkaisuista aiheutuvat kustannukset on tarkoitus kattaa kokonaisuudessaan teknisestä avusta. Suunnitellut rajapintaratkaisut eivät edellytä muilta viranomaisilta omien järjestelmiensä kehittämistä, vaan ainoastaan yhteyden avaamista uuteen tietojärjestelmään.
4.2Pääasialliset vaikutukset
Ehdotettavat lakimuutokset koskisivat pääasiallisesti EU:n sisäasioiden rahastojen ohjelmien täytäntöönpanosta, hallinnoinnista ja arvioinnista vastaavaa hallintoviranomaista, tarkastuksia tekevää tarkastusviranomaista sekä avustuksia hakevia tahoja. Luonnolliset henkilöt eivät voi hakea avustuksia sisäasioiden rahastoista.
Tietojärjestelmän käyttöönoton tarkoituksena on helpottaa EU:n sisäasioiden rahastoista myönnettävien avustusten hakua, hakemusten käsittelyä, hankkeiden ja toimien hallinnointia ja raportointia sekä raporttien käsittelyä ja helpottaa asiointia hallintoviranomaisen kanssa mahdollistamalla mm. vuorovaikutteiset ja järjestelmän esitäyttämät lomakkeet, automaattiset laskentatoiminnot sekä erilaiset automaattiset upotetut tarkistustoiminnot, joilla vähennetään asiakirjojen ja tietojen toistuvaa vaihtoa niin paljon kuin on mahdollista. Järjestelmä tuottaa myös ilmoituksia, joilla avustuksen saajalle ilmoitetaan, kun tietyt toiminnot voidaan suorittaa. Lisäksi järjestelmässä on seuranta, jonka avulla avustuksen saaja voi seurata hankkeen etenemistä. Järjestelmässä on myös kaikki aiemmin saatavilla olleet tiedot ja asiakirjat, jotka on käsitelty tietojärjestelmässä. Ennen lain voimaantuloa vireille tulleet asiat käsiteltäisiin loppuun uudessa tietojärjestelmässä. Tämä ei tarkoittaisi jo kertaalleen toimitettujen tietojen uudelleen toimitusta tai tallentamista tietojärjestelmään avustuksen saajien toimesta. Hallintoviranomainen vastaisi tietojen siirtämisestä uuteen järjestelmään.
Hallintoviranomainen käyttäisi tietojärjestelmää EU:n lainsäädännössä ja rahastolaissa säädettyjen ohjelmaa ja toimeenpanosuunnitelmaa koskevien tehtävien hoitamiseen. Ehdotetuilla muutoksilla ei ole vaikutusta EU:n sisäasioiden rahastoista myönnettävien avustusten määrään, käyttötarkoituksiin tai kohdentumiseen.
4.2.1Taloudelliset vaikutukset
Uuden tietojärjestelmän rakentaminen on lisännyt hallintoviranomaisen kustannuksia. Tietojärjestelmän hankintakustannukset ovat noin 900 000 euroa. Summa ei sisällä tietojärjestelmään tehtävien integraatioiden käyttökustannuksia, joiden määräksi on arvioitu noin 80 000—100 000 euroa niiden lopullisesta laajuudesta riippuen. Järjestelmän ylläpidosta aiheutuvat vuosittaiset kustannukset on arvioitu noin 90 000 euron suuruisiksi. Vuosittaisista ylläpitokustannuksista iso osa muodostuu lisenssikustannuksista, pilvipalvelualustasta ja tuotannon tukipalveluluista johtuvista kustannuksista. Vuosittaisista ylläpitokustannuksista integraatioista johtuvia kustannuksia on arvioitu syntyvän noin 15 000 euroa. Ylläpitokustannuksissa on pyritty arvioimaan hintojen nousu inflaation vuoksi.
Tietojärjestelmän rakentaminen on aloitettu keväällä 2022. Tietojärjestelmästä aiheutuneet hankintakustannukset tullaan kattamaan vuoden 2022 osalta ohjelmakauden 2014—2020 erillismäärärahojen teknisestä avusta. Kyseinen tekninen apu on jo sisäministeriön käytössä. Tietojärjestelmän ylläpitokustannusten rahoitukseen tullaan käyttämään ohjelmakauden 2021—2027 teknistä apua. Yleisasetuksen mukaan teknisestä avusta korvattava rahaston ohjelman prosenttiosuus on kunkin sisäasioiden rahaston osalta kuusi prosenttia. Teknisen avun maksaminen jäsenvaltiolle sidotaan ohjelmakaudella 2021—2027 ohjelman toimeenpanon edistymiseen siten, että teknistä apua maksetaan prosenttiosuutena komissiolta haetuista maksatuksista. Näin ollen teknisen avun kustannukset tulevat korvautumaan ainakin osin takautuvasti jäsenvaltioille. Riskinä on, että jos ohjelmasta avustetuista toimista ei syntyisi täysimääräisesti kustannuksia tai kustannuksia todettaisiin tukikelvottomiksi, vähentäisi tämä komissiolta haettavia maksatuksia ja samalla teknisen avun määrää. Aiempien ohjelmakausien kokemusten perusteella ohjelmat ovat kuitenkin toteutuneet miltei täysimääräisesti ja virhetasot ovat olleet matalia, joten riski olisi vähäinen. Suuri osa tietojärjestelmän kustannuksista on katettu ohjelmakauden 2014—2020 teknisestä avusta.
Ennen uuden tietojärjestelmän käyttöönottoa hallintoviranomainen on järjestänyt avustuksia ja raportointia sekä niihin sisältyvien maksamista koskevien hakemusten käsittelyn sähköisenä hallintoviranomaisen hyväksymillä lomakkeilla. Väliaikaisratkaisuna toimivan lomakejärjestelmän rakentamisen kustannukset olivat noin 25 000 euroa. Lomakejärjestelmän rakentamisesta aiheutuneet kustannukset on katettu ohjelmakauden 2014—2020 rahastojen teknisestä avusta.
Uuteen tietojärjestelmään on tarkoitus rakentaa integraatioita toisiin tietojärjestelmiin. Integraatioissa on tarkoitus käyttää valtion yhteisiä, jo olemassa olevia rajapintoja ja valtion yhteisiä palveluja. Ensivaiheessa olisi tarkoitus rakentaa yhteys Handi-palveluun, jotta avustusten maksaminen saadaan automatisoitua ja pystytään vähentämään avustuksen maksamiseen liittyviä mahdollisia virheitä. Handi-palvelua käytetään lisäksi palauttamaan tietoja mm. maksupäivästä. Myös hallintoviranomaisen Virtu-kirjautuminen, eli AD-integraatio, tulee toteuttaa ensivaiheessa. Nämä integraatiot edellyttävät liittymistä valtion integraatioalusta VIA:aan, joka mahdollistaa tietojen siirtymisen tietojärjestelmän ja Handin sekä Virtu-palvelun välillä. Suomi.fi -tunnistautumisen ja -valtuuden käyttö pitää mahdollistaa heti tietojärjestelmän käyttöönoton yhteydessä. Uudesta tietojärjestelmästä on tarkoitus rakentaa yhteys komission ylläpitämään SFC-järjestelmään, johon tullaan lähettämään mm. maksatushakemukset.
Tietojärjestelmän myöhemmässä vaiheessa siihen on tarkoitus rakentaa integraatio valtionhallinnon yhteiseen asianhallintajärjestelmä Vahvaan, johon arkistoidaan kaikki tarvittava aineisto tietojärjestelmästä hankekohtaisesti. Myös integraatioyhteys Valtionkonttorin ylläpitämään Haeavustuksia.fi sekä Tutkiavustuksia.fi palveluihin (eduskunnan käsittelyssä oleva hallituksen esitys 88/2022 vp) on tarkoitus rakentaa myöhemmin. Integraatioita ei tehtäisi työ- ja elinkeinoministeriön Yritysasiakastietovarantoon (Y-ATV) eikä Patentti- ja rekisterihallituksen kauppa-, yhdistys- ja säätiörekisteriin, koska näistä aiheutuvat kustannukset olisivat liian suuret verrattuna integraatioista saataviin hyötyihin. Lisäksi viimeksi mainittujen järjestelmien arvioitu käyttäjien määrä olisi varsin vähäinen, joten hyöty organisaatioiden saatavilla olevien tietojen automaattisesta keräämisestä jäisi vähäiseksi. Organisaatiotiedot tallennettaisiin järjestelmään omana tietokokonaisuutenaan, jolloin kerran täytetyt tiedot olisivat käytettävissä koko rahoituskauden ajan.
Järjestelmän elinkaaren aikana tehtävästä jatkokehityksestä syntyy kustannuksia. Lisäkustannusten tarkka arvioiminen ei ole tässä vaiheessa mahdollista. Tämän vuoksi hallituksen esityksessä lähdetään siitä, että muutokset toteutetaan valtiontalouden kehyspäätösten ja valtion talousarvioiden mukaisten määrärahojen ja henkilötyövuosimäärien puitteissa. Tietojärjestelmän kustannukset katetaan rahastojen teknisellä avulla.
Ehdotettavilla muutoksilla ei ole laajemmin vaikutuksia julkiseen talouteen.
4.2.2Vaikutukset viranomaisten toimintaan
Tietojärjestelmän on tarkoitus tehostaa rahastojen hallinnointia ja toimintaprosesseja. Ohjelmakauden alussa ennen uuden tietojärjestelmän käyttöönottoa hallintoviranomainen on järjestänyt rahastojen haut tietojärjestelmän ulkopuolella tehtävänä erillisenä sähköisenä lomakehakuna. Hakuun liittyvien tietojen käsittelyssä hallintoviranomainen on käyttänyt ministeriön asianhallintajärjestelmää. Ilman rahastojen tarpeisiin kehitettyä tietojärjestelmää tapahtuva hakemusten käsittely on aiheuttanut lisätyötä hallintoviranomaiselle ja avustuksen hakijoille.
Ohjelmakaudella 2021—2027 yleisasetuksesta johtuvien velvoitteiden täyttämiseksi ja tietojärjestelmän rakentamiseksi ja kehittämiseksi hallintoviranomainen on varautunut lisäresurssitarpeisiin. Järjestelmän määrittelytyö on aloitettu syksyllä 2021. Vuonna 2022 tietojärjestelmän kehittämiseen on varattu kaksi henkilötyövuotta. Tietojärjestelmän rakentaminen ja kehittäminen vaatii kaikkien hallintoviranomaisessa työskentelevien työpanosta.
Tietojärjestelmä ei vaikuta hallinto- ja tarkastusviranomaisten keskinäisiin tehtäviin tai toimivaltasuhteisiin. Tietojärjestelmän käyttöönotto edellyttää hallintoviranomaiselta resursseja avustuksen hakijoiden ja saajien kouluttamiseen tietojärjestelmän käytössä. Hallintoviranomainen on varautunut työmäärän lisääntymiseen työtehtävien uudelleenjärjestelyillä.
4.2.3Yhteiskunnalliset vaikutukset
EU:n yleisasetuksen 69 artiklan 8 kohdassa säädetään, että jäsenvaltioiden on edistettävä sähköisen tiedonvaihdon etuja ja annettava tuensaajille kaikki tarvittava tuki tältä osin. Uuden tietojärjestelmän käyttöönoton tarkoituksena on helpottaa asiointia ohjelman toimeenpanosta vastaavien viranomaisten ja avustuksen hakijoiden ja saajien välillä.
Uudistus parantaa avustuksen hakijoiden ja saajien mahdollisuuksia asioida sähköisesti, koska asiointipalvelu kattaa hankkeen koko elinkaaren ja mahdollistaa ajantasaisen tiedonvaihdon avustuksen hakijoiden ja saajien sekä viranomaisten kesken. Tavoitteena on käyttäjäystävällisen järjestelmän aikaansaaminen, joka toteuttaa myös saavutettavuuden asettamat edellytykset.
4.2.4Tiedonhallinnan muutosvaikutukset
Tiedonhallintalain 8 §:n mukaan valtion virastojen ja laitosten on arvioitava tiedonhallintaan vaikuttavien muutosten taloudelliset vaikutukset suunnitellessaan tiedonhallintamallin sisältöön vaikuttavia olennaisia hallinnollisia uudistuksia ja tietojärjestelmien käyttöönottoa. Uuden tietojärjestelmän käyttöönotto ei täytä valtioneuvoston asetuksen lausuntomenettelystä tiedonhallinnan muutosta koskevissa asioissa (1301/2019) 2 §:n mukaisia edellytyksiä. Sisäministeriössä on kuitenkin tehty tiedonhallinnan muutosvaikutusten arviointi uudesta tietojärjestelmästä. Tietojärjestelmällä ei ole tiedonhallintalain 2 luvun tarkoittamia vaikutuksia viranomaisten tehtäviin, toimintaprosesseihin tai tietovarantojen tietoihin tai palveluihin. Muutos ei myöskään kohdistu viranomaisten yhteisiin palveluihin tai tiedonhallinnan vastuisiin.
Kuten edellä on todettu, erilaisiin tietojärjestelmien integraatioihin on pyritty varautumaan. Järjestelmän käyttöönoton tiukan aikataulun vuoksi osa integraatioista on siirretty jatkokehitykseen.
Ehdotetuilla muutoksilla ei ole vaikutuksia asiakirjojen julkisuuteen ja salassapitoon.
4.2.5Vaikutukset perus- ja ihmisoikeuksiin
Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/2102 julkisen sektorin elinten verkkosivustojen ja mobiilisovellusten saavutettavuudesta tuli voimaan 22.12.2016. Saavutettavuusdirektiivissä säädetään julkisen hallinnon verkkopalveluiden saavutettavuuden minimitasosta sekä keinoista, joilla saavutettavuuden toteutumista valvotaan. Saavutettavuusdirektiivin tavoite on edistää kaikkien mahdollisuutta toimia täysivertaisesti digitaalisessa yhteiskunnassa, luoda Euroopan laajuiset yhdenmukaiset minimitason vaatimukset julkisen sektorin verkkosivustojen ja mobiilisovellusten saavutettavuudelle, parantaa digitaalisten palveluiden laatua ja parantaa Euroopan unionin saavutettavuuden toteuttamisen sisämarkkinoita. Järjestelmän toteutuksessa huomioidaan saavutettavuusdirektiivin vaatimukset asiointiportaalissa sekä lomakkeiden ja asiakirjojen muotoilussa.
Saavutettavuusnäkökohtien huomiointi parantaa yhdenvertaisuuden toteutumista avustuksia haettaessa ja hallinnoitaessa. Järjestelmässä asiointi toteutetaan sekä suomeksi että ruotsiksi.
5Muut toteuttamisvaihtoehdot
5.1Vaihtoehdot ja niiden vaikutukset
Euroopan unionin sisäasioiden rahastojen tietojärjestelmä ohjelmakaudella 2021—2027 oli alun perin tarkoitus toteuttaa yhteisen ja yhtenäisen valtionavustustoiminnan toimintamalliin liittyvän valtionavustustoiminnan tietovarannon ja siihen liittyvien palveluiden kautta. Valtiovarainministeriön johdolla on valmisteltu valtionhallinnon yhteistä avustus- ja käsittelyjärjestelmää ( HE 88/2022 vp ). Työn kuluessa kävi selväksi, että EU:n yleisasetuksen asettamat velvoitteet sähköiselle tietojärjestelmälle oli vaikea yhteensovittaa valtionhallinnon yhteisen tietojärjestelmän kanssa. Lisäksi valtionhallinnon yhteinen tietojärjestelmä viivästyi alkuperäisestä aikataulustaan, minkä vuoksi sisäministeriön oli aloitettava uuden oman tietojärjestelmän kehittäminen.
Uuden tietojärjestelmän toteutusprojekti käynnistyi keväällä 2021 projektisuunnitelman laadintana ja eri hankintamenettelyvaihtoehtojen kartoituksella. Vaihtoehtoina hankintamenettelylle olivat suunnitteluvaiheessa Hanselin IT-konsultointi 2021—2025 dynaamisen hankintajärjestelmän kautta tehtävä kilpailutus, markkinavuoropuhelun perusteella esiin noussut vaihtoehto kilpailutuksen rakentamisesta EU:n alue- ja rakennepolitiikan rahastojen digitaalisen hallintajärjestelmän (EURA2021) lähdekoodia hyödyntäen sekä liittyminen Valtorin Toimi-palveluun ja sitä kautta ServiceNow-ratkaisuun perustuvan järjestelmän hankinta.
EURA2021-järjestelmän avoimeen lähdekoodin hyödyntämiseen perustuvaa hankintaa selvitettiin työ- ja elinkeinoministeriön kanssa, mutta selvitystyön jälkeen todettiin, että tämäntyyppisellä toteutuksella ei välttämättä saavuteta toivotun kaltaista synergiaetua kiireisen aikataulun vuoksi. Lisäksi EURA2021-järjestelmän toteutus oli niin pitkällä, ettei uuden sisäasioiden rahastoja koskevan osion sisällyttäminen siihen ollut enää mahdollista.
Valtorin Toimi-palveluun liittyminen ja sitä kautta ServiceNow-ratkaisun hyödyntämisen selvittämiseen liittyvät kysymykset saatiin ratkaistua loppuvuodesta 2021, jonka jälkeen käynnistettiin esiselvitysvaihe. Sisäministeriössä tehtiin kilpailutuksen ja Valtorin palvelujen hyödyntämiseen liittyvien riskien ja hyötyjen analyysit. Euroopan unionin sisäasioiden rahastoja sääntelevä yleisasetus edellyttää, että tietojenvaihto rahaston viranomaisten ja avustuksen saajien kesken toteutetaan sähköisen tietojärjestelmän avulla viimeistään 1.1.2023 lukien, joten aikatauluriski olisi erittäin suuri.
Uuden tietojärjestelmän on oltava käytettävissä vuoden 2030 vuoden loppuun asti, joten järjestelmän elinkaareen liittyvät riskit oli huomioitava. Toimi-palvelu on käytössä jo useilla valtion virastoilla, esimerkiksi aluehallintovirastojen asiointipalveluissa 2022 alkaen, eikä Valtorilla ole aikeita lopettaa palvelua. Valtori kilpailuttaa Toimi-palvelun toimittajat säännöllisesti, seuraavan kerran vuoden 2022 aikana. Käynnissä olevat projektit tehdään kuitenkin loppuun nykyisen toimittajan kanssa.
Valtorin Toimi-palvelun hyödyt korostuivat myös sopimushallinnan ja tietoturvan sekä toimittajan auditointien näkökulmasta. Kilpailutettaessa järjestelmätoimittajia sisäministeriön ja sisäasioiden rahastojen hallintoviranomaisen oli huomioitava sopimushallintaan ja tietoturvaan liittyvät osaamis- ja resurssitarpeet. Nykyisellä ohjelmakaudella toimittajiin liittyvä sopimushallinta ja mm. tietoturva-asiat ovat olleet Poliisin informaatioteknologiakeskuksella ja näihin liittyvä hallinnollinen työ sekä vastuu on ollut ulkoistettuna sisäministeriön ulkopuolelle POL IT-keskukselle.
Valtorin ja järjestelmätoimittajan välillä on tehty tietojenkäsittelysopimukset, joissa sovitaan henkilötietojen käsittelyssä sovellettavista toimenpiteistä. Palvelun tietojenkäsittelysopimus noudattaa EU:n yleistä tietosuoja-asetusta sekä kansallista lainsäädäntöä. Järjestelmätoimittajan tapaan tuottaa palvelua on tehty viranomaisen hyväksymän arviointilaitoksen KPMG IT -sertifioinnin teettämä tietoturva-arviointi VAHTI-ohjeen perustason vaatimusten mukaan hallinnollisen ja teknisen tietoturvallisuuden osalta.
5.2Muiden jäsenvaltioiden suunnittelemat tai toteuttamat keinot
Valmistelun kuluessa on pyritty selvittämään muiden jäsenvaltioiden tilannetta sähköisen tietojärjestelmän kehittämisessä. Tarkempaa tietoa ei ole juurikaan ollut saatavissa.
Ruotsissa Euroopan unionin sisäasioiden rahoitusta haetaan Min Ansökan -nimisen sähköisen palvelun kautta, jossa yritykset ja julkiset toimijat voivat hakea erilaisia kansallisia ja Euroopan unionin tukimuotoja ja niistä saatavia maksuja.
Hollannin hallintoviranomainen ilmoitti, että uuden järjestelmän kehittäminen on aloitettu, mutta varsinaisia muutoksia aiempaan järjestelmään ei ole kuitenkaan tarkoitus toteuttaa.
Euroopan unionin yleisasetus asettaa tietyt vaatimukset käytettävälle tietojärjestelmälle. Tietosuoja-asetus asettaa tarkat rajat siitä, miten esimerkiksi henkilötietoja voidaan käsitellä. Kansalliselle tasolle jää järjestelmän varsinainen kehittäminen ja päätösten tekeminen järjestelmän teknisistä ominaisuuksista. Kansainvälisen vertailun tekeminen on käsiteltävänä olevan asian kannalta vähäinen.
6Lausuntopalaute
6.1Lausuntokierroksen lausuntopalaute
Sisäministeriö järjesti lausuntokierroksen sisäasioiden rahastoista ohjelmakaudella 2021—2027 annetun lain muuttamisesta aikavälillä 8.6.—22.7.2022. Lausuntoa pyydettiin yhteensä 43 viranomais- ja organisaatiotahoilta. Ahvenanmaan maakuntahallitukselle järjestettiin vielä erillinen lausuntokierros 26.7.—6.9.2022 hallituksen esitysluonnoksen ruotsinkielisen käännöksen valmistuttua. Sisäministeriö sai yhteensä 19 lausuntoa asiassa. Seitsemän lausunnonantajaa totesi, ettei niillä ollut erityistä lausuttavaa asiassa. Lausunnot löytyvät valtioneuvoston Hankeikkunasta, hankenumerolla SM002:00/2022 ja asianumerolla VN/230/2022. Hankeikkunasta löytyy myös lausunnoista laadittu lausuntoyhteenveto.
Lausunnon antoivat Ahvenanmaan maakuntahallitus, liikenne- ja viestintäministeriö, maa- ja metsätalousministeriö, oikeusministeriö, opetus- ja kulttuuriministeriö, puolustusministeriö, sisäministeriön kansallisen turvallisuuden yksikkö, maahanmuutto-osasto, poliisiosasto, pelastusosasto sekä rajavartio-osasto, valtiovarainministeriö, ympäristöministeriö, valtioneuvoston kanslia, Maahanmuuttovirasto, Poliisihallitus, Tulli, Valtiokonttori ja Helsingin kaupunginkanslia.
Lausunnoissa ehdotus nähtiin yleisesti ottaen kannatettavana ja perusteltuna.
Oikeusministeriö kiinnitti lausunnossaan huomiota kansallisen sääntelyliikkumavaran kuvaamiseen, rekisterinpitäjän määrittämiseen, tiedon saantia ja luovuttamista koskeviin kysymyksiin ja siihen, että perusteluissa ei ollut tehty riittävästi selkoa tarkastusviranomaisena toimivan valtiovarainministeriön tietosuojaoikeudellisesta roolista. Oikeusministeriö totesi, että jatkovalmistelussa on syytä vielä varmistaa, että ehdotettava rekisterinpito perustuu tosiasialliseen tilanteeseen.
Valtiovarainministeriö suositteli lausunnossaan, että sisäministeriö varmistaisi vielä, että tiedonhallintalain 8 §:n edellyttämä muutosvaikutusten arviointi on tehty riittävällä tarkkuudella ja siinä on otettu huomioon vähintään tiedonhallintalain 5 §:n mukaisen tiedonhallintamallin muutokset. Valtiovarainministeriö totesi myös, että mahdollisten järjestelmien välisten integraatioiden kustannuksia ei ollut arvioitu esityksessä ja niiden myötä kokonaiskustannukset voisivat nousta vielä merkittävästi.
Poliisihallituksen lausunnossa kiinnitettiin erityistä huomiota avustuksen hakijalta hakuvaiheessa kysyttäviin tietoihin erityisesti EU-kynnysarvon ylittävissä hankinnoissa. Samoja näkökohtia nostettiin esille myös Tullin ja Rajavartio-osaston lausunnoissa. Poliisihallitus totesi liitännäisjärjestelmistä, että ehdotuksesta ja sen perusteluista ei käy ilmi, mitä muutoksia esitys käytännössä tarkoittaisi tietojärjestelmille, mitä tietojärjestelmiä esitys koskisi ja voisiko tästä aiheutua mahdollisia kustannuksia liitännäisjärjestelmän omistajaorganisaatiolle muun muassa teknisen rajapinnan rakentamiskustannuksina. Näitä asioita tulisi Poliisihallituksen mukaan selkiyttää ja arvioida tarkemmin.
6.2Keskeiset lausuntopalautteen perusteella tehdyt muutokset
Sisäministeriö on pyrkinyt ottamaan jatkovalmistelussa lausunnoissa esille tuodut ehdotukset ja puutteet huomioon. Henkilötietoja koskevia säännöksiä on arvioitu edellä mainittujen lausuntojen pohjalta ja säännöksiä sekä perusteluita on tarkennettu ja täydennetty. Myös tiedonhallintalain mukaista arviointia on terävöitetty ja esityksen taloudellisia vaikutuksia on tarkennettu. Samoin rajapintaratkaisuja on pyritty avaamaan tarkemmin esityksessä ja arvioimaan niistä aiheutuvia kustannuksia. Poliisihallituksen, Tullin ja rajavartio-osaston huomioita, jotka liittyivät hakemuslomakkeessa kysyttyihin tietoihin, on poistettu kokonaan avustuksen hakemisen yhteydessä. Esitetyt huomiot olivat aiheellisia, eikä kyseisiä tietoja ole aiheellista tiedustella avustuksen hakemisen yhteydessä. Viimeksi mainitulla asialla ei ole varsinaisia vaikutuksia itse hallituksen esitykseen.
Lausuntokierroksen jälkeen lakiehdotukseen on lisätty 16 §:n 3 momenttiin avustuspäätöksen muuttamiseen liittyvä menettely. Tarkoitus on, että avustuspäätöksen muutosta haettaisiin hallintoviranomaiselta 26 §:ssä tarkoitetussa tietojärjestelmässä tai hallintoviranomaisen erikseen salliessa hallintoviranomaisen hyväksymällä lomakkeella sähköisesti. Lisäksi lakiehdotuksen 25 §:ään ehdotetaan lisättäväksi uudet 3 ja 4 momentit, joissa hallintoviranomaiselle annettaisiin oikeus salassapitosäännösten estämättä luovuttaa tarkastusviranomaiselle tarkastustehtävän hoitamista varten ja ohjelmaa arvioiville tahoille arviointien tekemiseksi välttämättömät tiedot. Lisäykset olisivat tarpeen, jotta voidaan varmistua siitä, että tarkastusviranomaisella ja ohjelman arvioijalla on oikeus tarkastaa ja tarkastella tietojärjestelmän tietoja tehtäviensä suorittamiseksi.
7Säännöskohtaiset perustelut
15 § . Avustuksen hakeminen . Lakiehdotuksen 15 §:n 1 momenttiin ehdotetaan lisättäväksi, että avustusta haetaan hallintoviranomaiselta 26 §:ssä tarkoitetussa tietojärjestelmässä tai hallintoviranomaisen erikseen salliessa hallintoviranomaisen hyväksymällä lomakkeella sähköisesti. Avustuksen hakeminen on voimassa olevan rahastolain mukaan ollut mahdollista vain hallintoviranomaisen hyväksymällä lomakkeella. Euroopan unionin yleisasetuksen mukaisesti tuensaajien ja ohjelmasta vastaavien viranomaisten välinen tiedonvaihto toteutetaan kokonaisuudessaan sähköisten tietojärjestelmien avulla. Euroopan unionin sisäasioiden rahastojen osalta velvoitetta sovelletaan 1.1.2023 lukien. Momentista 1 ehdotetaan poistettavaksi maininta siitä, että allekirjoitettu hakemus liitteineen on toimitettava hallintoviranomaiselle ja vastaavat vaatimukset ehdotetaan lisättäviksi 4 ja 5 momenttiin.
Pykälän 15 momenttiin 4 ehdotetaan tarkennusta siitä, että hakemus on allekirjoitettava, jos se on tehty hallintoviranomaisen hyväksymälle lomakkeelle. Allekirjoitus voidaan tehdä vahvan sähköisen tunnistautumisen kautta, pdf-muotoiseen asiakirjaan sähköisesti tai fyysisesti.
Pykälän 15 momenttiin 5 ehdotetaan lisättäväksi, että kun hakemus on tehty tietojärjestelmässä siten, että se on hallintoviranomaisen saatavilla annetussa määräajassa, on hakemus tullut vireille. Momentissa säädettäisiin edelleen myös siitä, että hakemus tulee vireille myös silloin, kun lomakkeella sähköisesti tehty hakemus on saapunut hallintoviranomaiselle annetussa määräajassa.
16 §.Avustuksen myöntäminen ja päätöksen sisältö . Lakiehdotuksen 16 §:n 3 momenttia ehdotetaan muutettavaksi siten, että hallintoviranomainen voisi hakemuksesta muuttaa hankkeen tai toiminnan avustuspäätöstä. Momenttiin ehdotetaan lisättäväksi, että muutosta haettaisiin hallintoviranomaiselta 26 §:ssä tarkoitetussa tietojärjestelmässä tai hallintoviranomaisen erikseen salliessa hallintoviranomaisen hyväksymällä lomakkeella sähköisesti. Avustuspäätöstä koskevan muutoksen hakemiseen on perusteltua noudattaa samaa menettelyä kuin avustuksen hakemisen yhteydessä ja sen vuoksi ehdotetaan lisäystä 3 momenttiin.
18 § . Maksamisen hakeminen ja raportointi . Lakiehdotuksen 18 §:n 1 momenttiin ehdotetaan lisättäväksi, että avustuksen maksamista haetaan hallintoviranomaiselta 26 §:ssä tarkoitetussa tietojärjestelmässä tai hallintoviranomaisen erikseen salliessa hallintoviranomaisen hyväksymällä lomakkeella sähköisesti. Maksamisen hakeminen ja raportointi siirretään myös Euroopan unionin yleisasetuksen mukaisesti uuden tietojärjestelmän piiriin.
25 § . Tietojen saanti ja luovuttaminen . Tietojen saannista ja luovuttamisesta säädetään rahastolain 25 §:ssä. Pykälään ehdotetaan lisättäväksi uusi 3 ja 4 momentti, joissa säädettäisiin hallintoviranomaisen oikeudesta luovuttaa tietoja tarkastusviranomaiselle ja ohjelman arvioijalle. Momentissa 3 säädettäisiin, että hallintoviranomaisella olisi oikeus salassapitosäännösten estämättä luovuttaa tarkastusviranomaiselle rahastolaissa ja Euroopan unionin lainsäädännössä tarkoitettujen tarkastustehtäviensä hoitamiseksi välttämättömät tiedot. Tarkastusviranomaisella olisi oikeus tarkastaa rahastojen ohjelmien tietoja moitteettoman varainhoidon periaatteiden toteutumisen varmistamiseksi sekä lakisääteisten tehtäviensä hoitamiseksi. Tarkastusviranomaisen tehtävistä ja oikeudesta käsitellä tietoja säädetään yleisasetuksen 77—79 artikloissa sekä rahastolain 7 ja 22 §:ssä. Yleisasetuksen 77 artiklassa säädetään mm., että tarkastusviranomaisen vastuulla on suorittaa järjestelmätarkastuksia, toimien tarkastuksia ja tilintarkastuksia, jotta se voi tarjota komissiolle riippumattoman varmuuden hallinto- ja valvontajärjestelmien tehokkaasta toiminnasta ja komissiolle toimitettuun tilitykseen sisältyvien menojen laillisuudesta ja sääntöjenmukaisuudesta.
Momentissa 4 ehdotettaisiin säädettäväksi, että hallintoviranomaisella olisi oikeus salassapitosäännösten estämättä luovuttaa yleisasetuksen 44 artiklan mukaisesti ohjelmaa arvioiville tahoille ohjelmien arvioimiseksi välttämättömiä tietoja. Yleisasetuksen 44 artiklassa säädetään, että hallintoviranomaisen on suoritettava ohjelmista arviointeja, jotka koskevat yhtä tai useampaa seuraavista kriteereistä: tuloksellisuus, tehokkuus, merkityksellisyys, johdonmukaisuus ja unionin tasolla saatava lisäarvo. Arviointien tarkoituksena on parantaa ohjelmien suunnittelun ja toteuttamisen laatua. Yleisasetuksen ja rahastolain mukaisesti arvioinnin tekeminen on hallintoviranomaisen vastuulla. Yleisasetuksen 44 artiklan 3 kohdassa säädetään, että arvioinnit on annettava toiminnallisesti riippumattomien sisäisten tai ulkopuolisten asiantuntijoiden tehtäväksi. Hallintoviranomaisen on varmistettava, että arvioinnin tekijällä on oikeus tarvittavaan tietojen saantiin, jotta se pystyy tekemään arvioinnin. Yleisasetuksen mukaisesti hallintoviranomaisen on huolehdittavaa tarvittavista menettelyistä, joilla tuotetaan ja kerätään arvioinneissa tarvittavat tiedot. Ehdotettava lisäys on tarpeellinen, jotta voidaan noudattaa rekisterinpitäjänä toimivan hallintoviranomaisen lakisääteinen velvoite. Kyse olisi tietosuoja-asetuksen 6 artiklan 3 kohdan mukaisen sääntelyliikkumavaran käyttämisestä ja sen turvaamisesta, että ohjelman arvioijalla on oikeus riittävään tietojen saantiin tehtävänsä suorittamiseksi.
Voimassa olevan 25 §:n 3 momentti ehdotetaan siirrettäväksi 5 momentiksi ja muutettavaksi sitä siten, että 1—4 momenttien perusteella saatuja tietoja ei saisi käyttää muuhun kuin siihen tarkoitukseen, johon niitä on pyydetty.
Lakiehdotuksella halutaan varautua siihen, että voimassa olevan rahastolain 25 §:n 1 ja 2 momentin mukaisia tietoja voitaisiin siirtää myös teknisen rajapinnan avulla uuteen tietojärjestelmään. Sen vuoksi ehdotetaan, että lain 25 §:ään lisättäisiin 6 momentti, jossa säädettäisiin, että jos 1 tai 2 momentissa tarkoitettuja tietoja siirrettäisiin teknisen rajapinnan avulla 26 §:n mukaiseen tietojärjestelmään muusta järjestelmästä, kyseisen järjestelmän (liitännäisjärjestelmä) omistajan on noudatettava Euroopan unionin varainhoitoa koskevia säännöksiä sähköisestä järjestelmästä ja sen sisältövaatimuksista hallintoviranomaisen edellyttämällä tavalla. Liitännäisjärjestelmän omistajan on avattava tekninen rajapinta hallintoviranomaiselle ja tarkastusviranomaiselle liitännäisjärjestelmän sellaisiin tietoihin, joihin mainituilla viranomaisilla on rahastolain tai yleisasetuksen nojalla oikeus lakisääteisten tehtäviensä hoitamiseksi. Integraatioratkaisuihin varautuminen ei tarkoita muutosta käsiteltävien tietojen sisältöön tai muutosta siihen, mitä tietoja voidaan siirtää hallinto- ja tarkastusviranomaisen ja muiden viranomaisten tai julkista tehtävää hoitavien välillä.
Edelleen 25 §:ään ehdotetaan lisättäväksi 7 momentti, jossa säädettäisiin, että tietojärjestelmästä saadaan luovuttaa tietoja teknisen rajapinnan avulla muulle kuin tässä laissa tarkoitetulle viranomaiselle ja Euroopan unionin toimielimelle, jos niillä on lakiin perustuva oikeus saada tiedot. Tietojärjestelmästä voidaan luovuttaa tietoja soveltaen, mitä yleisasetuksessa ja Euroopan unionin varainhoitoa koskevissa säännöksissä säädetään sähköisestä järjestelmästä ja sen sisältövaatimuksista. Tällä tarkoitettaisiin tietojen luovuttamista Euroopan komission ja jäsenvaltioiden käyttämään SFC-tietojärjestelmään (System for Fund Management in the European Union). Tietoja voitaisiin siirtää myös valtioneuvoston yhteiseen asianhallintajärjestelmään sekä valmisteilla olevaan valtionavustustoiminnan tietovarantoon, jos laissa mainitut edellytykset täyttyisivät. Tässäkään tapauksessa integraatioratkaisuihin varautuminen ei tarkoita muutosta käsiteltävien tietojen sisältöön tai muutos siihen, mitä tietoja voidaan luovuttaa hallinto- ja tarkastusviranomaisen ja muiden viranomaisten tai julkista tehtävää hoitavien välillä.
Rahastolain 25 §:ään ehdotetaan lisättäväksi 8 momentti, joka mukaan valtioneuvoston asetuksella voitaisiin antaa tarkempia säännöksiä liitännäisjärjestelmän sisältöä koskevista vaatimuksista.
26 § . Sisäasioiden rahastojen ohjelman asiointi- ja käsittelyjärjestelmä ja tietojen käsittely . Lakiehdotuksen 26 §:ään ehdotetaan tehtäväksi tarvittavat muutokset Euroopan unionin sisäasioiden rahastojen tietojen käsittelystä rahastojen ohjelman asiointi- ja käsittelyjärjestelmässä. Rahastolain 26 §:n 1 momenttia ehdotetaan muutettavaksi siten, että sisäasioiden rahastoja koskevat tiedot käsiteltäisiin sisäasioiden rahastojen ohjelman asiointi- ja käsittelyjärjestelmässä. Voimassa olevan lain mukaan sisäasioiden rahastoja koskevat tiedot on käsitelty sisäministeriön käyttämässä valtioneuvoston yhteisessä asianhallintajärjestelmässä. Momenttia tarkennettaisiin siten, hallintoviranomainen käyttäisi uutta tietojärjestelmää Euroopan unionin lainsäädännössä ja rahastolaissa säädettyjen ohjelmaa ja toimeenpanosuunnitelmaa koskevien tehtävien hoitamiseen. Lisäksi momentissa ehdotettaisiin säädettäväksi, että tietojärjestelmä olisi yleisasetuksen 69 artiklassa tarkoitettu sähköinen järjestelmä ja sisäministeriö olisi tietojärjestelmän rekisterinpitäjä ja se vastaisi tietojärjestelmästä julkisen hallinnon tiedonhallinnasta annetun lain (906/2019) mukaisesti.
Voimassa olevassa laissa ei aiemmin ollut tarvetta säätää rekisterinpitäjästä, koska hallintoviranomainen käytti tietojen käsittelyyn valtioneuvoston yhteistä asianhallintajärjestelmää. Rekisterinpitäjästä säätäminen on mahdollista tietosuoja-asetuksen 4 artiklan 7 kohdan salliman kansallisen liikkumavaran nojalla. Sisäministeriö omistaisi asiointi- ja käsittelyjärjestelmän ja vastaisi siitä, että tietojärjestelmä täyttää jäsenvaltiolle yleisasetuksessa sekä rahastolaissa säädetyt lakisääteiset edellytykset. Pykälässä tarkoitetussa tietojärjestelmässä käsiteltäisiin myös henkilötietoja. Selvyyden vuoksi on perusteltua, että sisäministeriön vastuuasema rekisterinpitäjänä todetaan laissa erikseen.
Lakiehdotuksen 2 momenttia ehdotetaan muutettavaksi siten, että hallintoviranomainen käsittelisi uudessa tietojärjestelmässä tarpeelliset momentissa mainitut tiedot. Voimassa olevassa laissa on säädetty, että hallintoviranomainen käsittelee momentissa mainitut asiakirjat asianhallintajärjestelmässä. Momentissa käsiteltävät tiedot sisältäisivät myös henkilötietoja. Euroopan unionin yleisasetuksen 4 artiklan mukaan jäsenvaltiot saavat käsitellä henkilötietoja ainoastaan silloin, kun se on tarpeen asetuksen mukaisten velvoitteidensa täyttämiseksi erityisesti seurantaa, raportointia, viestintää, julkaisemista, arviointia, varainhoitoa, varmennuksia ja tarkastuksia varten sekä tarvittaessa osallistujien tukikelpoisuuden määrittämistä varten. Ehdotuksella ei esitetä muutosta henkilötietojen käsittelijään, joka olisi myös jatkossa hallintoviranomainen. Hallintoviranomaisen oikeus käsitellä henkilötietoja perustuu EU:n yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c-alakohdan mukaisesti rekisterinpitäjän lakisääteisen velvoitteen noudattamiseen. Tietosuoja-asetuksen 6 artiklan 3 kohdan mukaan 1 kohdan c alakohdassa tarkoitetun käsittelyn perustasta on säädettävä joko Euroopan unionin oikeudessa tai rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä. Hallintoviranomaisen toimivallasta ja tehtävistä on säädetty tietosuoja-asetuksen mahdollistaman kansallisen liikkumavaran puitteissa rahastolain 6 §:ssä ja yleisasetuksessa, erityisesti 72—76 artiklassa.
Tietojärjestelmä ei toimisi avustuksen hakijoiden eikä saajien sähköisenä arkistona. Avustuksen saajien olisi säilytettävä avustettavaan hankkeeseen ja toimintaan liittyvä kirjanpitoaineisto ja muu aineisto siten kuin 17 §:n 3 momentissa säädetään. Avustuksen saajan velvollisuus aineiston säilyttämiseen perustuu tarpeeseen valvoa avustuksen käyttöä. Rahastoja velvoittavassa Euroopan unionin yleisasetuksessa säädetään, että aineisto on säilytettävä viiden vuoden ajan sen vuoden 31 päivästä joulukuuta, jona hankkeen tai toiminnan viimeinen maksuerä on maksettu avustuksen saajalle.
Pykälään 26 ehdotetaan lisättäväksi uusi 3 momentti, jonka mukaan tietojärjestelmän jokaisen käyttäjän on tunnistauduttava vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain 2 §:n 1 momentin 1 kohdassa tarkoitetun vahvan sähköisen tunnistamisen avulla. Suomen julkishallinnon organisaatioiden sähköiset asiointipalvelut edellyttävät pääsääntöisesti vahvaa tunnistamista, jotta käyttäjän henkilöllisyys voidaan varmistaa. Euroopan unionin sisäasioiden rahastojen ohjelman tietojärjestelmää käytettäessä henkilön tunnistaminen ei yksinään riittäisi vaan lisäksi on varmistettava henkilön yhteys organisaatioon ja henkilön oikeus edustaa organisaatiotaan kyseisessä asioinnissa. Vahvaa sähköistä tunnistautumista edellytettäisiin avustuksen hakijaorganisaatioiden ja avustuksen saajaorganisaatioiden edustajilta, järjestelmän viranomaiskäyttäjiltä ja esim. ohjelmaa arvioivilta tahoilta.
Tietojärjestelmään tallennettujen tietojen julkisuudesta säädetään viranomaisten toiminnan julkisuudesta annetussa laissa ja siihen tallennettujen henkilötietojen suojasta Euroopan unionin yleisessä tietosuoja-asetuksessa ja tietosuojalaissa.
31 § . Muutoksenhaku. Lakiehdotuksessa ehdotetaan lisättäväksi 31 §:ään 2 momentti, jonka mukaan oikaisuvaatimus hallintoviranomaisen tekemään päätökseen tehdään 26 §:ssä tarkoitetussa tietojärjestelmässä. Oikaisuvaatimuksen voisi toimittaa myös sisäministeriön kirjaamoon.
8Lakia alemman asteinen sääntely
Lakiehdotuksen 25 §:ään ehdotetaan lisättäväksi 6 momentti, joka mukaan valtioneuvoston asetuksella voitaisiin antaa säännöksiä liitännäisjärjestelmän sisältöä koskevista vaatimuksista.
9Voimaantulo
Ehdotetaan, että laki tulee voimaan mahdollisimman pian sen jälkeen, kun eduskunta on sen hyväksynyt. Euroopan unionin yleisasetus edellyttää sähköisen tiedonvaihtojärjestelmän käyttöönottoa viimeistään 1.1.2023 lukien.
10Toimeenpano ja seuranta
Euroopan unionin sisäasioiden rahastot toimivat ohjelmakausittain. Jäsenvaltiot käyvät jatkuvaa vuoropuhelua komission kanssa rahastojen toimivuudesta koko ohjelmakauden ajan. Komissio tarkastelee rahastoja ohjelmakauden kuluessa ja tekee omat arvionsa jälkiarviointien, sidosryhmien kuulemisten sekä tehtyjen vaikutustenarviointien perusteella. Jälkiarvioinnissa keskitytään rahastojen vaikutusten selvittämiseen. Valmistautuessaan uuden ohjelmakauden valmisteluun komissio tekee rahastoista väliarvioinnin.
Rahastoja koskevat Euroopan unionin säädökset edellyttävät rahastojen ohjelmien toimeenpanon seurantaa ohjelmakauden aikana etenkin tuloksellisuuden näkökulmasta. Samalla arvioidaan myös kansallisen hallinto- ja valvontajärjestelmän toimintaa. Yleisasetus velvoittaa jäsenvaltion laatimaan suoritusperusteisen kehyksen, jonka avulla ohjelman tuloksellisuutta sen täytäntöönpanon aikana voidaan valvoa, arvioida ja raportoida.
11Suhde muihin esityksiin
Hallituksen esitys ei liity muihin eduskunnan käsittelyssä oleviin hallituksen esityksiin. Hallituksen esityksen mukaisella sääntelyllä ei ole myöskään vaikutuksia valtion talousarvioesitykseen.
12Suhde perustuslakiin ja säätämisjärjestys
Henkilötietojen suoja
Luonnollisten henkilöiden henkilötietojen käsittelyä ja erityislainsäädännön tarpeellisuutta on tarkasteltu ja arvioitu riskiperusteisesti yleisasetuksen edellyttämän EU:n sisäasioiden rahaston ohjelman hallinto- ja valvontajärjestelmän toimivuuden sekä toiminnan tavoitteiden kannalta. Yleisasetuksen 69 artiklan 1 kohdan mukaan jäsenvaltiolla on oltava ohjelmaa varten hallinto- ja valvontajärjestelmä ja jäsenvaltion on varmistettava hallinto- ja valvontajärjestelmän toiminta moitteettoman varainhoidon periaatteen sekä yleisasetuksen liitteessä XI lueteltujen keskeisten vaatimusten mukaisesti.
Yleisasetuksen 69 artiklan 4 kohdan mukaisesti jäsenvaltioiden on huolehdittava seurantajärjestelmän ja indikaattoreita koskevien tietojen laadusta, oikeellisuudesta ja luotettavuudesta. Yleisasetuksen 69 artiklan 8 kohdan mukaan jäsenvaltioiden on varmistettava, että tuen saajien ja ohjelmasta vastaavien viranomaisten välinen tiedonvaihto toteutetaan kokonaisuudessaan sähköisten tiedonvaihtojärjestelmien avulla yleisasetuksen liitteen XIV mukaisesti. Yleisasetuksessa säädetään edelleen, että hallintoviranomainen voi tuensaajan nimenomaisesta pyynnöstä poikkeuksellisesti hyväksyä tiedonvaihdon paperimuodossa, mutta paperimuotoinen tiedonvaihto ei kuitenkaan vaikuta hallintoviranomaisen velvollisuuteen kirjata ja tallentaa tietoja 72 artiklan 1 kohdan e alakohdan mukaisesti. Euroopan unionin sisäasioiden rahastojen avustusmenettely hoidettaisiin jatkossa ehdotettavan tietojärjestelmän avulla. Laissa olisi säädetty jatkossakin siitä, että hallintoviranomaisen erikseen salliessa avustusta voitaisiin hakea ja raportointi ja sen yhteydessä tapahtuva maksamisen hakeminen voitaisiin tehdä hallintoviranomaisen hyväksymällä lomakkeella sähköisesti. Lomakehaun tapauksessakin hallintoviranomaisen tehtävänä olisi kirjata ja tallentaa sähköisesti kustakin toimesta tiedot, joita tarvitaan seurantaa, arviointia, varainhoitoa, varmennuksia ja tarkastuksia varten yleisasetuksen liitteen XVII mukaisesti, ja varmistaa tietojen turvallisuus, eheys ja luottamuksellisuus ja tietojen käyttäjän todentaminen. Ehdotettavaa sääntelyä on arvioitava perustuslaissa turvatun henkilötietojen suojaa koskevan säännöksen näkökulmasta.
Lakiehdotuksen 25 §:ään ehdotetaan lisättäväksi tietojen luovutusta koskevat säännökset. Hallintoviranomaisella olisi oikeus salassapitosäännösten estämättä luovuttaa tarkastusviranomaiselle rahastolaissa ja Euroopan unionin lainsäädännössä tarkoitettujen tarkastustehtäviensä hoitamiseksi välttämättömät tiedot. Rahastolain 7 ja 22 §:ssä sekä yleisasetuksen 77 artiklassa on säädetty tarkastusviranomaisen tehtävistä ja tarkastusoikeudesta. Tarkastusviranomaisella olisi oikeus tarkastaa tietoja moitteettoman varainhoidon periaatteiden toteutumisen varmistamiseksi sekä lakisääteisten tehtäviensä hoitamiseksi. Ehdotettavassa laissa ei ehdoteta muutosta tarkastusviranomaisen voimassa olevaan tietosuojaoikeudelliseen asemaan tai sen tehtäviin, mutta uuden tietojärjestelmän käyttöönoton myötä olisi laissa kuitenkin tarpeen säätää tarkastusviranomaisen riittävästä tiedonsaantioikeudesta.
Edelleen pykälässä ehdotetaan säädettäväksi, että hallintoviranomaisella olisi oikeus salassapitosäännösten estämättä luovuttaa yleisasetuksen 44 artiklan mukaisesti ohjelmaa arvioiville tahoille ohjelmien arvioimiseksi välttämättömät tiedot. Yleisasetuksen 44 artiklassa säädetään, että hallintoviranomaisen on suoritettava ohjelmista arviointeja, jotka koskevat yhtä tai useampaa seuraavista kriteereistä: tuloksellisuus, tehokkuus, merkityksellisyys, johdonmukaisuus ja unionin tasolla saatava lisäarvo. Arviointien tarkoituksena on parantaa ohjelmien suunnittelun ja toteuttamisen laatua. Arvioinnit voivat kattaa myös muita merkityksellisiä kriteereitä, kuten osallisuus, syrjimättömyys ja näkyvyys. Yleisasetuksen ja rahastolain mukaisesti arvioinnin tekeminen on hallintoviranomaisen vastuulla. Yleisasetuksen 44 artiklan 3 kohdassa säädetään, että arvioinnit on annettava toiminnallisesti riippumattomien sisäisten tai ulkopuolisten asiantuntijoiden tehtäväksi. Arvioinnin tekijänä voi olla siis muukin kuin viranomaistaho. Arviointi suoritetaan hallintoviranomaisen laatiman ja seurantakomitean hyväksymän arviointisuunnitelman pohjalta Hallintoviranomaisen on varmistettava, että arvioinnin tekijällä on oikeus tarkastella tietojärjestelmässä olevia tietoja, jotta se pystyy tekemään arvioinnin. Yleisasetuksen mukaisesti hallintoviranomaisen on huolehdittavaa tarvittavista menettelyistä, joilla tuotetaan ja kerätään arvioinneissa tarvittavat tiedot. Ehdotettava lisäys on tarpeellinen, jotta voidaan noudattaa rekisterinpitäjänä toimivan hallintoviranomaisen lakisääteinen velvoite. Kyse olisi tietosuoja-asetuksen 6 artiklan 3 kohdan mukaisen sääntelyliikkumavaran käyttämisestä ja sen turvaamisesta, että ohjelman arvioijalla on oikeus tarkastella tietojärjestelmän tietoja tehtävänsä suorittamiseksi.
Perustuslakivaliokunta on lausunnoissaan arvioinut viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä perustuslain 10 §:n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan kannalta ja kiinnittänyt huomiota muun muassa siihen, mihin ja ketä koskeviin tietoihin tiedonsaantioikeus ulottuu ja miten tiedonsaantioikeus sidotaan tietojen välttämättömyyteen. Tietojensaantioikeus ja tietojen luovuttamismahdollisuus ovat valiokunnan mukaan voineet liittyä jonkin tarkoituksen kannalta ”tarpeellisiin tietoihin”, jos tarkoitetut tietosisällöt on pyritty luettelemaan laissa tyhjentävästi. Jos taas tietosisältöjä ei ole samalla tavoin luetteloitu, sääntelyyn on pitänyt sisällyttää vaatimus ”tietojen välttämättömyydestä” jonkin tarkoituksen kannalta (ks. esim. PeVL 10/2014 vp, s. 6/II, PeVL 17/2016 vp, PeVL 73/2018 vp.). Valiokunta on antanut erityistä merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan täsmällisyyttä ja sisältöä. Pykälän mukaiset tiedot eivät sisältäisi erityisiin henkilötietoryhmiin kuuluvia henkilötietoa. Luovutuksen kohteena olevia tietosisältöjä ei ole kuitenkaan mahdollista luetella säännöksessä tyhjentävästi, minkä vuoksi pykälän mukaisia tietoja saadaan luovuttaa salassapitosäännösten estämättä ainoastaan silloin, kun tietojen saaminen on välttämätöntä (PeVL 17/2016 vp ja PeVL 38/2016 vp). Ehdotettava laki ei sisällä erityisiä riskejä henkilötietojen suojaamisen kannalta, mutta on tarpeen, jotta hallintoviranomainen voi luovuttaa myös mahdollisia salassapidettäviä tietoja tarkastusten ja arviointien tekemistä varten.
Perustuslakivaliokunta on katsonut myös, että salassapitosäännösten edelle menevässä tietojen-saantioikeudessa on viime kädessä kysymys siitä, että tietoihin oikeutettu taho omine tarpeineen syrjäyttää ne perusteet ja intressit, joita tiedot omaavaan viranomaiseen kohdistuvan salassapidon avulla suojataan. Mitä yleisluonteisempi tietojensaantiin oikeuttava sääntely on, sitä suurempi on vaara, että tällaiset intressit voivat syrjäytyä helposti. Mitä täydellisemmin tietojensaantioikeus kytketään säännöksissä asiallisiin edellytyksiin, sitä todennäköisemmin yksittäistä tietojensaantipyyntöä joudutaan käytännössä perustelemaan. Myös tietojen luovuttajan on tällöin mahdollista arvioida pyyntöä luovuttamisen laillisten edellytysten kannalta. Tietojen luovuttaja voi lisäksi kieltäytymällä tosiasiallisesti tietojen antamisesta saada aikaan tilanteen, jossa tietojen luovuttamisvelvollisuus eli säännösten tulkinta saattaa tulla ulkopuolisen viranomaisen tutkittavaksi. Tämä mahdollisuus on tärkeä tiedonsaannin ja salassapitointressin yhteensovittamiseksi (PeVL 62/2010 vp, s. 3/II-4/I ja niissä viitatut lausunnot).
Lakiehdotuksen 26 §:ään ehdotetaan lisättäväksi säännökset rahastojen ohjelman asiointi- ja käsittelyjärjestelmästä. Pykälässä säädettäisiin, että sisäasioiden rahastoja koskevat tiedot käsiteltäisiin sisäasioiden rahastojen ohjelman asiointi- ja käsittelyjärjestelmässä. Hallintoviranomainen käyttäisi tietojärjestelmää Euroopan unionin lainsäädännössä ja rahastolaissa säädettyjen ohjelmaa ja sen toimeenpanosuunnitelmaa koskevien tehtävien hoitamiseen. Hallintoviranomainen käsittelisi tietojärjestelmässä Euroopan unionin lainsäädännössä edellytetyt ohjelmaa, sen hallinnointia, seurantaa ja valvontaa koskevat tiedot sekä ohjelmaa koskevan toimeenpanosuunnitelman. EU:n sisäasioiden rahastojen ohjelman tietojärjestelmän sisältämät henkilötiedot liittyisivät saapuneisiin avustushakemuksiin ja raportteihin sekä näiden käsittelyyn. Tiedot olisivat rahastojen hallinnoinnista vastaavien viranomaisten käytettävissä hankkeiden hallinnointia ja valvontaa varten. Tietojärjestelmään tallennetut tiedot olisi suojattu asiattomalta katselulta, muuttamiselta ja hävittämiseltä. Suojaus perustuisi käyttöoikeushallintaan, tietokantojen ja palvelinten tekniseen suojaukseen, kulunvalvontaan, tietoliikenteen suojaukseen sekä tietojen varmuuskopiointiin. Pääsy tietojärjestelmään perustuisi julkishallinnon asiointipalveluiden yhteisen Suomi.fi-tunnistuspalvelun kautta tapahtuvaan vahvaan sähköiseen tunnistamiseen sekä Suomi.fi-valtuuksiin. Hallintoviranomainen käyttäisi Virtu-tunnistautumista tietojärjestelmään kirjautuessaan.
Henkilötietoja voisivat olla esimerkiksi avustuksen hakijan ja saajan yhteyshenkilön nimi, sähköpostiosoite ja puhelinnumero, avustuksen saajan tosiasiallisia omistajia ja edunsaajia koskevat nimi- ja syntymäaikatiedot sekä mahdollisesti henkilötunnukset, jos henkilön yksilöinti tätä edellyttäisi, hankkeiden ohjausryhmien kokoonpanoa koskevat tiedot, raportoinnin yhteydessä olevat palkkatiedot, hankintoihin liittyvät asiakirjat ja muut hakijan ja avustuksen saajan hakemukseen ja raporttiin sisällyttämät henkilötiedot kuten kansalaisuutta tai oleskelulupaa koskevat tiedot. Kansalaisuus- ja oleskelulupaa koskevien tietojen käsittely perustuu siihen, että osalla rahastojen hankkeista ja toimista avustetaan Euroopan unionissa laillisesti oleskelevien kolmansien maiden kansalaisten vastaanotto- ja kotouttamistoimia sekä vapaaehtoiseen paluuseen liittyviä toimia. Henkilötietojen merkitseminen on välttämätöntä rahastojen toimeenpanon ja valvonnan kannalta. Lisäksi tietojärjestelmään tallennettaisiin hankkeisiin osallistuvien muiden organisaatioiden yhteyshenkilöiden nimet ja yhteystiedot. Yhteyshenkilöiden henkilötietojen tallentaminen olisi perusteltua, koska niitä tarvitaan avustuksen hakijan ja saajan sekä rahastojen ohjelman hallinnoinnista vastaavien viranomaisten väliseen yhteydenpitoon vireillä olevan asian käsittelyyn liittyen. Tietojärjestelmässä käsiteltävät henkilötiedot eivät olisi tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia henkilötietoja. Henkilötunnuksen käsittely perustuisi tietosuojalain (1050/2018) 29 §:n yksilöintitarkoituksiin. Yksilöiminen on tärkeää rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi, jotta voidaan varmistua siitä, että Euroopan unionin lainsäädäntöä on noudatettu.
Perustuslakivaliokunnan mukaan on lähtökohtaisesti riittävää perustuslain 10 § 1 momentin kannalta, että sääntely täyttää EU:n yleisessä tietosuoja-asetuksessa asetetut vaatimukset. Valiokunnan mukaan henkilötietojen suoja tulee turvata ensisijaisesti EU:n yleisen tietosuoja-asetuksen ja kansallisen yleislainsäädännön nojalla. Kansallisen erityislainsäädännön säätämiseen tulee siten suhtautua pidättyvästi ja rajata sellainen vain välttämättömään tietosuoja-asetuksen salliman kansallisen liikkumavaran puitteissa (PeVL 14/2018 vp). Perustuslain 10 §:n 1 momentin mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Perustuslakivaliokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa tämän säännöksen lisäksi myös se, että henkilötietojen suoja osittain sisältyy samassa momentissa turvatun yksityiselämän suojan piiriin. Kysymys on kaiken kaikkiaan siitä, että lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on käytännössään pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa. Näiden seikkojen sääntelyn lain tasolla tulee lisäksi olla kattavaa ja yksityiskohtaista (PeVL 2/2018 vp, s. 5).
Perustuslakivaliokunta on kiinnittänyt erityistä huomiota siihen, että yksityiselämän suojaan kohdistuvia rajoituksia on arvioitava kulloisessakin sääntely-yhteydessä perusoikeuksien yleisten rajoitusedellytysten valossa (PeVL 14/2018 vp, s. 5 ja siinä viitatut lausunnot). Merkityksellistä on, että valiokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa henkilötietojen käsittelystä säädettäessä erityisesti se, että henkilötietojen suoja osittain sisältyy perustuslain 10 §:n samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on tämän vuoksi arvioinut erityisesti arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp, s. 2), minkä johdosta esimerkiksi tällaisia tietoja sisältävien rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta (PeVL 29/2016 vp, PeVL 21/2012 vp, PeVL 47/2010 vp sekä PeVL 14/2009 vp). Rahastolaissa käsiteltävät henkilötiedot eivät ole erityisiin henkilötietoryhmiin kuuluvia tietoja. Tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan mukaan henkilötietojen käsittely on lainmukaista, jos käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Tietosuoja-asetuksen 6 artiklan 3 kohdan mukaan 1 kohdan c alakohdassa tarkoitetun käsittelyn perustasta on säädettävä joko Euroopan unionin oikeudessa tai rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä. Käsittelyn oikeusperusteesta säädetään yleisasetuksessa. Kansallisesta oikeusperusteesta henkilötietojen käsittelyn osalta tietosuoja-asetuksen mahdollistaman kansallisen liikkumavaran puitteissa säädetään sisäasioiden rahastoista ohjelmakaudella 2021—2027 annetussa laissa, jota sovelletaan rekisterinpitäjään. Tietosuoja-asetuksen 6 artiklan 2 kohdan mukaan jäsenvaltiot voivat ottaa käyttöön yksityiskohtaisempia säännöksiä tietosuoja-asetuksessa vahvistettujen sääntöjen soveltamisen mukauttamiseksi sellaisessa käsittelyssä, joka tehdään 6 artiklan 1 kohdan c alakohdan noudattamiseksi määrittämällä täsmällisemmin tietojenkäsittely- ja muita toimenpiteitä koskevat erityiset vaatimukset, joilla varmistetaan laillinen ja asianmukainen tietojenkäsittely. Euroopan unionin sisäasioiden rahastoja koskevan lainsäädännön toimeenpano ja valvonta edellyttävät, että rahastojen toimeenpanosta vastaavat viranomaiset varmistuvat siitä, että avustus kohdentuu oikein ja että voidaan varmistua siitä, että rahastosta myönnetty avustus käytetään hyödyttämään sellaisten henkilöiden tilannetta esim. kotoutumista, joita rahaston tavoitteiden mukaisesti rahoituksella tulisi tukea.
Rekisterinpitäjä
Rekisterinpitäjästä säätäminen on mahdollista kansallisen liikkumavaran puitteissa yleisen tietosuoja-asetuksen nojalla. Asetuksen 4 artiklan 7 kohdan mukaan rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti, jos henkilötietojen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä. Rekisterinpitäjästä säätämistä voidaan pitää erityisen perusteltuna silloin, kun rekisterinpitäjä on viranomainen tai rekisterinpitäjästä voisi muutoin olla epäselvyyttä. Perustuslain 2 §:n 3 momentin mukaan julkisen vallan käytön tulee perustua lakiin. Lailla säätämiseen kohdistuu yleinen vaatimus lain täsmällisyydestä ja tarkkuudesta. Tätä on painotettu myös perustuslakivaliokunnan lausuntokäytännössä. Valiokunta on muun muassa edellyttänyt, että sääntelyn kohderyhmän tulee kyetä ilman vaikeuksia soveltamaan säännöksiä (esim. PeVL 60/2014 vp, s. 3/I). Lisäksi perustuslakivaliokunta on etenkin perusoikeuskytkentäisen sääntelyn yhteydessä pitänyt välttämättömänä, että toimivaltainen viranomainen ilmenee laista yksiselitteisesti (PeVL 21/2001 vp, s. 4/I) tai muuten täsmällisesti (PeVL 47/2001 vp, s. 3/II) tai että ainakin viranomaisten toimivaltasuhteiden lähtökohdat (PeVL 45/2001 vp, s. 5/I) samoin kuin toimivallan siirtämisen edellytykset ilmenevät laista riittävän täsmällisesti (esim. PeVL 7/2001 vp, PeVL 65/2002 vp, s. 4/II).
Vastuun henkilötietojen käsittelystä tulee kohdentua sille viranomaiselle, jolle vastuu tosiasiallisesti kuuluu. Viranomainen, joka käsittelee henkilötietoja ja tekee sen laissa sille määrättyjen tehtävien hoitamiseksi omiin itsenäisiin tarkoituksiinsa, toimii rekisterinpitäjänä. Rekisterinpitäjän yksilöinti lainsäädännössä on tärkeää, koska tietosuoja-asetuksesta seuraa useita rekisterinpitäjälle kuuluvia velvoitteita, minkä vuoksi henkilötietojen käsittelyä koskevien erityissäännösten osalta tulee olla selvää, mikä taho vastaa rekisterinpitäjän velvoitteista. Ehdotettava rekisterinpitoa koskeva sääntely olisi selvyyden vuoksi perusteltua. Sisäministeriö rekisterinpitäjänä vastaisi siitä, että tietojärjestelmä täyttää jäsenvaltiolle yleisasetuksessa sekä rahastolaissa säädetyt lakisääteiset edellytykset. Sisäministeriön toimivallasta toimia ohjelman hallintoviranomaisena säädetään rahastolain 6 §:n 1 momentissa. Yleisasetuksen 72 artiklassa säädetään, että hallintoviranomaisen tehtävänä on mm. hoitaa ohjelmien hallintoon liittyviä tehtäviä 74 artiklan mukaisesti sekä kirjata ja tallentaa sähköisesti kustakin toimesta tiedot, joita tarvitaan seurantaa, arviointia, varainhoitoa, varmennuksia ja tarkastuksia varten sekä varmistaa tietojen turvallisuus, eheys ja luottamuksellisuus ja tietojen käyttäjän todentaminen. Hallintoviranomaisen tehtäväksi on yleisasetuksessa annettu toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että käsittelyssä noudatetaan tietosuoja-asetusta.
Asetuksenantovaltuudet
Perustuslain 80 §:n 1 momentin mukaan lailla on säädettävä yksilön oikeuksien ja velvollisuuksien perusteista sekä asioista, jotka perustuslain mukaan muuten kuuluvat lain alaan. Jos asetuksen antajasta ei ole erikseen säädetty, asetuksen antaa valtioneuvosto. Lakiehdotukseen sisältyy yksi valtuutussäännös, jonka mukaan valtioneuvoston asetuksella voitaisiin antaa tarkempia säännöksiä liitännäisjärjestelmän sisältöä koskevista vaatimuksista. Perustuslakivaliokunta on korostanut, että perustuslain 80 §:n 1 momentin säännös rajoittaa suoraan valtuutussäännösten tulkintaa samoin kuin valtuutuksien nojalla annettavien säännösten ja määräysten sisältöä. Asetuksella ei siten voida antaa yleisiä oikeussääntöjä esimerkiksi yksilön oikeuksien tai velvollisuuksien perusteista eikä asioista, jotka muuten perustuslain mukaan kuuluvat lain alaan (PeVL 48/2001 vp, PeVL 16/2002 vp ja PeVL 40/2002 vp). Asetuksenantovallasta säädetään esityksessä mahdollisimman tarkkarajaisesti ja täsmällisesti. Koska kyse on tarkkaan rajatusta, lainsäädännön soveltamista koskevista määräyksistä, ei lakiehdotuksen asetuksenantovaltuus ole ristiriidassa perustuslain 80 §:n kanssa.
Edellä mainituilla perusteilla lakiehdotus voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä.
Ponsi
Edellä esitetyn perusteella annetaan eduskunnan hyväksyttäväksi seuraava lakiehdotus:
Lakiehdotus
1Eduskunnan päätöksen mukaisesti:
muutetaan sisäasioiden rahastoista ohjelmakaudella 2021‒2027 annetun lain (1125/2021) 15 §:n 1, 4 ja 5 momentti, 16 §:n 3 momentti, 18 §:n 1 momentti sekä 25 ja 26 §, sekä
lisätään 31 §:ään uusi 2 momentti seuraavasti:
15 §Avustuksen hakeminen
Avustusta haetaan hallintoviranomaiselta 26 §:ssä tarkoitetussa tietojärjestelmässä tai hallintoviranomaisen erikseen salliessa hallintoviranomaisen hyväksymällä lomakkeella sähköisesti. Avustuksen hakemiselle asetetaan hakuaika. Hakemuksesta on käytävä ilmi oikeat ja riittävät tiedot avustuksen hakijasta, hakemuksen kohteena olevasta hankkeesta tai toiminnasta, hankkeen tai toiminnan yhteydestä ohjelmaan ja toimeenpanosuunnitelmaan, haetun avustuksen määrästä, avustuksen käyttötarkoituksesta sekä muista seikoista, jotka hallintoviranomainen tarvitsee hakemuksen ratkaisemiseksi.
Hakemuksen allekirjoitukseen sovelletaan, mitä vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009) säädetään henkilön yksilöimisestä ja tunnistamisesta. Jos hakemus on tehty hallintoviranomaisen hyväksymälle lomakkeelle, hakemus on allekirjoitettava.
Hakemus tulee vireille, kun se on tehty 26 §:ssä tarkoitetussa tietojärjestelmässä siten, että se on hallintoviranomaisen saatavilla annetussa määräajassa, tai lomakkeella sähköisesti tehty hakemus on saapunut hallintoviranomaiselle annetussa määräajassa.
16 §Avustuksen myöntäminen ja päätöksen sisältö
Hallintoviranomainen voi hakemuksesta muuttaa hankkeen tai toiminnan avustuspäätöstä. Muutosta haetaan hallintoviranomaiselta 26 §:ssä tarkoitetussa tietojärjestelmässä tai hallintoviranomaisen erikseen salliessa hallintoviranomaisen hyväksymällä lomakkeella sähköisesti.
18 §Maksamisen hakeminen ja raportointi
Avustuksen maksamista haetaan hallintoviranomaiselta 26 §:ssä tarkoitetussa tietojärjestelmässä tai hallintoviranomaisen erikseen salliessa hallintoviranomaisen hyväksymällä lomakkeella sähköisesti. Hakemukseen on liitettävä avustuksen maksamisen edellytysten arvioinnin kannalta välttämättömät asiakirjat ja selvitykset. Maksamisen hakemisen yhteydessä toimitetaan raportti hankkeen tai toiminnan etenemisestä.
25 §Tietojen saanti ja luovuttaminen
Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) säädetään salassa pidettävien tietojen luovuttamisesta, hallintoviranomaisella ja tarkastusviranomaisella on salassapitosäännösten estämättä oikeus saada maksutta toiselta viranomaiselta tai julkista tehtävää hoitavalta avustuksen hakijaa, saajaa ja avustuksen saajan tosiasiallista omistajaa ja edunsaajaa, tämän taloudellista asemaa ja liike- tai ammattitoimintaa, julkisista varoista myönnettyä rahoitusta sekä muuta avustuksen myöntämisen, maksamisen tai avustuksen käytön valvomisen kannalta merkittävää olosuhdetta koskevia tässä laissa ja yleisasetuksessa tarkoitettujen tehtäviensä hoitamiseksi välttämättömiä tietoja. Hallintoviranomaisella ja tarkastusviranomaisella on oikeus saada edellä tarkoitettuja välttämättömiä tietoja avustuksen käytöstä myös avustuksen saajalta.
Edellä 1 momentissa tarkoitetuilla tiedon saantiin oikeutetuilla viranomaisilla on salassapitosäännösten estämättä oikeus luovuttaa toiselle viranomaiselle tai julkista tehtävää hoitavalle taikka Euroopan unionin toimielimelle sellaisia tässä laissa säädettyä tehtävää hoidettaessa saatuja avustuksen saajaa koskevia tietoja, jotka ovat välttämättömiä viranomaiselle tai julkista tehtävää hoitavalle tai toimielimelle säädetyn tarkastustehtävän hoitamiseksi tai sen valvomiseksi, että Euroopan unionin lainsäädäntöä on noudatettu.
Hallintoviranomaisella on oikeus salassapitosäännösten estämättä luovuttaa tarkastusviranomaiselle tässä laissa ja Euroopan unionin lainsäädännössä tarkoitettujen tarkastustehtäviensä hoitamiseksi välttämättömiä tietoja.
Hallintoviranomaisella on oikeus salassapitosäännösten estämättä luovuttaa yleisasetuksen 44 artiklan mukaisesti ohjelmaa arvioiville tahoille ohjelmien arvioimiseksi välttämättömiä tietoja.
Edellä 1—4 momentin perusteella saatuja tietoja ei saa käyttää muuhun kuin siihen tarkoitukseen, johon niitä on pyydetty.
Jos 1 tai 2 momentissa tarkoitettuja tietoja siirretään teknisen rajapinnan avulla 26 §:ssä tarkoitettuun tietojärjestelmään muusta järjestelmästä, kyseisen järjestelmän (liitännäisjärjestelmä) omistajan on noudatettava Euroopan unionin varainhoitoa koskevia säännöksiä sähköisestä järjestelmästä ja sen sisältövaatimuksista hallintoviranomaisen edellyttämällä tavalla. Liitännäisjärjestelmän omistajan on avattava tekninen rajapinta hallintoviranomaiselle ja tarkastusviranomaiselle liitännäisjärjestelmän sellaisiin tietoihin, joihin mainituilla viranomaisilla on tämän lain tai yleisasetuksen nojalla oikeus lakisääteisten tehtäviensä hoitamiseksi.
Jäljempänä 26 §:ssä tarkoitetusta tietojärjestelmästä saadaan luovuttaa tietoja teknisen rajapinnan avulla muulle kuin tässä laissa tarkoitetulle viranomaiselle ja Euroopan unionin toimielimelle, jos niillä on lakiin perustuva oikeus saada tiedot. Tietojärjestelmästä voidaan luovuttaa tietoja soveltaen, mitä yleisasetuksessa ja Euroopan unionin varainhoitoa koskevissa säännöksissä säädetään sähköisestä järjestelmästä ja sen sisältövaatimuksista.
Valtioneuvoston asetuksella voidaan antaa tarkempia säännöksiä liitännäisjärjestelmän sisältöä koskevista vaatimuksista.
26 §Sisäasioiden rahastojen ohjelman asiointi- ja käsittelyjärjestelmä ja tietojen käsittely
Sisäasioiden rahastoja koskevat tiedot käsitellään sisäasioiden rahastojen ohjelman asiointi- ja käsittelyjärjestelmässä, jäljempänä tietojärjestelmä . Hallintoviranomainen käyttää tietojärjestelmää Euroopan unionin lainsäädännössä ja tässä laissa säädettyjen ohjelmaa ja toimeenpanosuunnitelmaa koskevien tehtävien hoitamiseen. Tietojärjestelmä on yleisasetuksen 69 artiklassa tarkoitettu sähköinen järjestelmä. Sisäministeriö on tietojärjestelmän rekisterinpitäjä. Sisäministeriö vastaa tietojärjestelmästä julkisen hallinnon tiedonhallinnasta annetun lain (906/2019) mukaisesti.
Hallintoviranomainen käsittelee tietojärjestelmässä Euroopan unionin lainsäädännössä edellytetyt ohjelmaa, sen hallinnointia, seurantaa ja valvontaa koskevat tiedot sekä ohjelmaa koskevan toimeenpanosuunnitelman. Lisäksi hallintoviranomainen käsittelee tietojärjestelmässä avustuksen hakijaa ja saajaa, avustettavaa hanketta tai toimintaa, avustuspäätöstä, avustuksen maksamista, suoritettuja tarkastuksia ja takaisinperintää koskevat tässä laissa tarkoitettujen tehtävien hoitamiseksi tarpeelliset tiedot.
Tietojärjestelmän jokaisen käyttäjän on tunnistauduttava vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain 2 §:n 1 momentin 1 kohdassa tarkoitetun vahvan sähköisen tunnistamisen avulla.
31 §Muutoksenhaku
Oikaisuvaatimus hallintoviranomaisen tekemään päätökseen tehdään 26 §:ssä tarkoitetussa tietojärjestelmässä. Oikaisuvaatimuksen voi toimittaa myös sisäministeriön kirjaamoon.
Tämä laki tulee voimaan päivänä kuuta 20 .
Ennen tämän lain voimaantuloa vireille tulleet asiat käsitellään loppuun tämän lain 26 §:n mukaisessa tietojärjestelmässä.
Helsingissä
PääministeriSanna MarinSisäministeriKrista Mikkonen