HE 93/2024

1.2.1EU-säädöksen valmistelu

Euroopan komissio (jäljempänä komissio ) julkaisi 2.5.2017 yhteistä palveluväylää koskevan asetusehdotuksen ( COM(2017) 256 final ) sekä asiaa koskevan EU-tason vaikutusarvion ( SWD(2017) 213 final ).

Valtioneuvosto antoi 31.8.2017 eduskunnalle tiedon ehdotuksesta kirjelmällä ( U 45/2017 vp ). Valtioneuvosto esitti kannattavansa asetusehdotuksen tavoitetta ja katsoi aloitteen tukevan hallitusohjelman kärkihanketta julkisten palvelujen digitalisoimisesta. Valtioneuvosto piti kuitenkin tarpeellisena kartoittaa, kuinka paljon ehdotus oikeasti aiheuttaisi kustannuksia ja lisätyötä viranomaisille, sekä kriittisesti arvioida mitkä komission ehdotuksen kattamista palveluista ovat sisämarkkinoiden toiminnan tehostamisen kannalta keskeisiä. Eduskunta yhtyi valtioneuvoston kantaan, korostaen kuitenkin määrättyjä näkökohtia (TaVL 40/2017 vp, SuVEK 92/2017 vp, pöytäkirja SuVP 37/2017 vp 7 §).

Asetus annettiin 2.10.2018 ja se tuli voimaan 11.12.2018. Asetusta sovelletaan porrastetusti eri artiklojen osalta niin, että viimeinen täytäntöönpanopäivä määrätyille artikloille on asetuksen mukaan 12.12.2023. Ottaen huomioon, että asetuksen 14 artiklan 9 kohdan mukainen komission täytäntöönpanosäädös teknisestä järjestelmästä viivästyi yli vuodella asetuksessa säädetystä 12.6.2021 (komission täytäntöönpanoasetus (EU) 2022/1463 annettiin 5.8.2022), on myös teknisen järjestelmän käyttöönotto viivästynyt.

Komissio on tähän mennessä antanut seuraavat asetuksen mukaiset täytäntöönpanoasetukset:

täytäntöönpanoasetus yhteisen digitaalisen palveluväylän palveluja koskevien käyttäjätilastojen ja -palautteen keräämisestä ja jakamisesta ((EU) 2020/1121), annettu 29.7.2020 (jäljempänä täytäntöönpanoasetus palveluväylän käyttäjätilastojen ja -palautteen keräämisestä ja jakamisesta ), sekä

täytäntöönpanoasetus rajatylittävää automaattista todistusmateriaalin vaihtoa koskevan teknisen järjestelmän teknisistä ja toiminnallisista eritelmistä ja yhden kerran periaatteen soveltamisesta ((EU) 2022/1463), annettu 5.8.2022 (jäljempänä täytäntöönpanoasetus todistusmateriaalin vaihdosta ).

1.2.2Hallituksen esityksen valmistelu

Hallituksen esitys on valmisteltu virkatyönä työ- ja elinkeinoministeriössä. Hallituksen esityksen valmisteluasiakirjat ovat julkisessa palvelussa osoitteessa https://valtioneuvosto.fi/hankkeet tunnuksella TEM059:00/2023 . Valmistelussa on kuultu asian kannalta keskeisiä ministeriöitä (valtiovarinministeriö ja oikeusministeriö) ja viranomaisia.

Esityksestä järjestettiin lausuntokierros ajalla 28.2. – 9.4.2024. Lausuntoja pyydettiin antamaan lausuntopalvelu.fi:n kautta. Saadusta lausuntopalautteesta on koostettu yhteenveto, joka on luettavissa tämän esityksen jaksossa 6. Varsinainen lausuntoyhteenveto löytyy kokonaisuudessaan asian hankesivustolta, jonne on myös viety yksittäiset lausunnot.

Esitys on tarkoitus antaa eduskunnalle viikolla 37, jotta muutos voisi tulla voimaan 1.1.2025.

2.2.1Digitaalisen palveluväylän toiminnasta yleisesti

Asetuksen mukaan kansalaisille ja yrityksille suunnatut komission, EU:n virastojen ja jäsenmaiden tarjoamat sisämarkkinoiden verkkopalvelut kootaan digitaalisen palveluväylän ( Single Digital Gateway, SDG ) alle yhteen sähköiseen portaaliin eli verkkopalveluun, joka omien toimintojensa lisäksi tarjoaa pääsyn useisiin muihin verkkopalveluihin. Komission ja jäsenvaltioiden perustama yhteinen digitaalinen palveluväylä muodostuu komission hallinnoimasta yhteisestä käyttöliittymästä, joka integroidaan Your Europe -portaaliin ja josta on pääsy asianomaisille unionin ja kansallisille verkkosivuille. Yhteinen käyttöliittymä on käytettävissä kaikilla unionin virallisilla kielillä. Tarkoituksena on tällä tavoin lisätä, täydentää ja selkeyttää sisämarkkina-asioita koskevaa verkossa olevaa tietoa ja koota yhteen järjestelmään tiedot komission sekä jäsenmaiden sisämarkkina-asioihin liittyvistä menettelyistä ja neuvontapalveluista.

Yhteisen digitaalisen palveluväylän kautta tietyt komission ja jäsenmaiden sisämarkkinoiden toimintaan liittyvät kansalaisten ja yritysten oikeudet ja velvollisuudet, niitä koskevat menettelyt sekä neuvonta- ja ongelmanratkaisupalvelut ovat saatavilla kootusti yhdestä paikasta. Lisäksi kansalaisten ja yritysten tulisi pystyä hoitamaan sähköiset menettelyt yhden kerran -periaatteen mukaisesti. Kansalaisen tai yrityksen yhdelle jäsenmaalle toimittama tieto tulisi pyynnöstä toimittaa muiden jäsenmaiden viranomaisille ja sen tulisi kelvata myös muiden jäsenmaiden viranomaisten päätösten pohjaksi. Tästä palvelusta käytetään nimitystä ”Once Only Technical System” (suomeksi yhden kerran tekninen järjestelmä, jäljempänä OOTS-järjestelmä tai tekninen järjestelmä ).

2.2.2Asetuksen sisältämistä keskeisistä säännöistä

Asetus on jaoteltu lukuihin I Yleiset säännökset, II Palveluväylän palvelut, III Laatuvaatimukset, IV Tekniset ratkaisut, V Tunnettuuden edistäminen, VI Käyttäjäpalautteen ja -tilastojen keruu, VII Palveluväylän hallinto, ja VIII Loppusäännökset.

Asetus sisältää säännöksiä digitaalisen palveluväylän kautta jaettavasta informaatiosta, hallinnollisista menettelyistä sekä neuvonta- ja ongelmanratkaisupalveluista. Asetuksessa asetetaan myös näitä palveluja koskevia laatuvaatimuksia. Lisäksi säädetään siitä, miten verkkopalvelujen pitää ottaa huomioon rajat ylittävä toiminta ja miten digitaalisen palveluväylän kautta tapahtuvasta toiminnasta raportoidaan komissiolle. Asetus sisältää myös säännöksiä järjestelmän teknisestä toteutustavasta, järjestelmän markkinoinnista ja käyttäjäpalautteen keräämisestä. Lisäksi on säännöksiä komission ja jäsenvaltioiden välisestä yhteistyöstä, niiden välisestä työnjaosta sekä uuden järjestelmän aiheuttamien kustannusten jakamisesta komission ja jäsenvaltioiden välillä.

Asetuksen mukaan komissio ja jäsenvaltiot perustavat yhteisen digitaalisen palveluväylän. Komissiolle on säädetty lukuisia tehtäviä ja vastuita asetuksen mukaisen palveluväylän toimeenpanoon liittyen, muun muassa vastata EU:n toimielimien ja virastojen tarjoamien sisämarkkinoita koskevien tietojen, menettelyjen sekä neuvonta- ja ongelmanratkaisupalvelujen saatavuudesta ja laadusta. Komissio vastaa myös yleisistä järjestelmään kuuluvien linkkien toimivuudesta. Lisäksi komission vastuulla on yleisen hakutoiminnon luominen ja käyttäjäpalautetta koskevien työkalujen ylläpito. Jäsenmaiden toimivaltaiset viranomaiset puolestaan vastaavat yhteisen digitaalisen palveluväylän kautta tarjoamiensa tietojen, menettelyjen ja palvelujen kehittämisestä, saatavuudesta, ajantasaisuudesta, ylläpidosta ja turvallisuudesta.

Toimivaltainen viranomainen on 3 artiklan 4 kohdassa määritelty tarkoittavan jäsenvaltion kansallisen, alueellisen tai paikallisen tason viranomaista tai elintä, jolla on erityisiä vastuita, jotka liittyvät asetuksen soveltamisalaan kuuluviin tietoihin, menettelyihin tai neuvonta- ja ongelmanratkaisupalveluihin. Käytännössä toimivaltaiset viranomaiset määrittyvät liitteiden I–III nojalla.

Digitaalisen palveluväylän kautta löytyvät oikeudet ja velvollisuudet, niitä koskevat menettelyt sekä neuvonta- ja ongelmanratkaisupalvelut on listattu liitteissä I–III seuraavasti:

Liitteessä I on luettelo tietojen aloista, jotka ovat merkityksellisiä kansalaisille ja yrityksille, jotka käyttävät 2 artiklan 2 kohdan a alakohdassa tarkoitettuja sisämarkkinaoikeuksiaan, ja joita koskevista oikeuksista ja velvollisuuksista on oltava informaatiota palveluväylän kautta. Näitä aloja ovat esim. matkustaminen, työskentely ja eläkkeelle jääminen unionissa, koulutus tai harjoittelu toisessa jäsenvaltiossa, terveydenhuolto, kansalaisiin ja perheisiin sovellettavat oikeudet, kuluttajien oikeudet, sekä eräät liiketoiminnan harjoittamiseen liittyvät alat (mm. verot, tavarat, palvelut).

Liitteessä II on lueteltu 6 artiklan 1 kohdassa tarkoitetut menettelyt, eli menettelyt, jotka on tarjottava kokonaan sähköisesti. Kunkin jäsenvaltion on varmistettava, että käyttäjät voivat hoitaa minkä tahansa liitteessä II luetellun menettelyn täysin sähköisesti, edellyttäen että kyseessä oleva menettely on otettu käyttöön asianomaisessa jäsenvaltiossa. Myös rajatylittävien käyttäjien tulee tällöin voida hoitaa menettely sähköisesti syrjimättömällä tavalla samaa tai vaihtoehtoista teknistä ratkaisua käyttäen. Mainitut menettelyt liittyvät eri tapahtumiin kuten syntymään, opiskeluun, työskentelyyn, muuttoon ja liiketoimintaan. Täysin sähköisen hoidettavuuden sisältö on selostettu 6 artiklan 2 kohdassa, ja sallittuihin poikkeustapauksiin liittyvät menettelyt 6 artiklan 3 kohdassa.

Liitteessä III on luettelo 2 artiklan 2 kohdan c alakohdassa tarkoitetuista neuvonta- ja ongelmanratkaisupalveluista, joita on tarjottava digitaalisen palveluväylän kautta (eli oltava myös rajat ylittävien käyttäjien saatavilla sähköisesti), kuten keskitetyt asiointipisteet, tuoteyhteyspisteet, ammattipätevyyden tunnustamiseen liittyvät kansalliset tukikeskukset, rajatylittävän terveydenhuollon kansalliset yhteyspisteet sekä työnvälityspalvelujen eurooppalainen verkosto (Eures).

2.2.3Todistusmateriaalin vaihto

Jotta asetuksen liitteessä II lueteltuja sähköisiä menettelyjä ja erinäisissä muissa EU-säädöksissä säädettyjä menettelyjä varten voitaisiin vaihtaa todistusmateriaalia, artiklassa 14 on säädetty teknisen järjestelmän perustamisesta eri jäsenvaltioiden toimivaltaisten viranomaisten välistä todistusmateriaalin automaattista vaihtoa varten ja siinä noudatettavista vaatimuksista.

14 artiklassa on säädetty tekniseltä järjestelmältä edellytettävistä ominaisuuksista (3 kohdan a-i) alakohdat), muun muassa, että järjestelmän on annettava käyttäjälle mahdollisuus tarkastella todistusmateriaalia, jota todistusmateriaalia koskevan pyynnön tehneen toimivaltaisen viranomaisen on tarkoitus käyttää, ja päättää vaihdetaanko todistusmateriaalia vai ei (f), ja käsiteltävä todistusmateriaalia ainoastaan sen verran kuin on teknisesti tarpeen todistusmateriaalin vaihtamiseksi ja ainoastaan sen aikaa kuin on tarpeen kyseistä tarkoitusta varten (i).

14 artiklan 4 kohdan mukaan teknisen järjestelmän käyttö ei saa olla käyttäjille pakollista ja se on sallittava ainoastaan näiden nimenomaisesta pyynnöstä, ellei unionin oikeudessa tai kansallisessa lainsäädännössä muuta säädetä. Käyttäjien on sallittava toimittaa todistusmateriaali muuten kuin teknisen järjestelmän kautta ja suoraan todistusmateriaalia koskevan pyynnön tehneelle toimivaltaiselle viranomaiselle.

Asetuksen 14 artiklan 7 kohdassa on säädetty toisaalta toimivaltaisen viranomaisten velvollisuudesta pyytää todistusmateriaalia suoraan toisilta toimivaltaisilta viranomaisilta teknisen järjestelmän kautta, että toisaalta todistusmateriaalin antavien viranomaisten velvollisuudesta asettaa tällainen todistusmateriaali saataville saman järjestelmän kautta. Edelleen siinä edellytetään, että näin toimitaan ainoastaan käyttäjän nimenomaisesta, vapaaehtoisesta, yksilöidystä, tietoisesta ja yksiselitteisestä pyynnöstä.

Asetuksen 14 artiklan 8 kohdan mukaan todistusmateriaalia koskevan pyynnön tehneen toimivaltaisen viranomaisen saataville asetettu todistusmateriaali on rajoitettava siihen, mitä on pyydetty, ja tämä viranomainen saa käyttää sitä vain sitä menettelyä varten, jonka osana todistusmateriaali vaihdettiin. Teknisen järjestelmän kautta vaihdettu todistusmateriaali katsotaan aidoksi todistusmateriaalia koskevan pyynnön tehneen toimivaltaisen viranomaisen tarkoituksia varten.

Asetuksen nojalla perustettavalle palveluväylän koordinaatioryhmälle on 30 artiklassa (1 kohdan l-alakohta) asetettu tehtäväksi mm. keskustella sisäänrakennetun turvallisuuden (security by design) ja sisäänrakennetun yksityisyyden (privacy by design) periaatteiden soveltamisesta tämän asetuksen yhteydessä.

2.2.4Asetukseen liittyvä hallinto, tarkentavat säädökset ja täytäntöönpano

Jokaisen jäsenmaan on nimettävä kansallinen koordinaattori , joka vastaa yhteydenpidosta komissioon ja muista asetuksessa erikseen heille säädetyistä tehtävistä. Kansalliset koordinaattorit toimivat 28 artiklan nojalla mm. oman hallintonsa puolesta yhteyspisteenä kaikissa palveluväylään liittyvissä asioissa; edistävät omien toimivaltaisten viranomaistensa 9–16 artiklan yhdenmukaista soveltamista; sekä varmistavat 17 artiklan 2 kohdan c alakohdassa tarkoitettujen suositusten asianmukaisen täytäntöönpanon. 28 artiklassa on myös viitattu muihin asetuksessa säädettyihin velvoitteisiin kansallisille koordinaattoreille.

Jäsenvaltiot voivat mukauttaa kansallisten koordinaattoreidensa palveluväylään liittyviä toimintoja ja vastuualueita kansallisten hallintorakenteidensa mukaisesti, ja voivat harkintansa mukaan nimittää useampia kansallisia koordinaattoreita asetuksen mukaisia tehtäviä hoitamaan.

Palveluväylän koordinointiryhmästä säädetään 29 artiklassa, ja sen tehtävistä 30 artiklassa (1 kohdan a-r -alakohdat).

Asetuksen 32 artiklassa säädetään kustannuksista , ja mitkä kulut katetaan Euroopan unionin yleisestä talousarviosta ja mitkä jäsenvaltioiden talousarvioista. Artiklan 2 kohdan mukaan kansallisiin verkkoportaaleihin, tiedotusfoorumeihin, neuvontapalveluihin ja jäsenvaltion tasolla käyttöön otettuihin menettelyihin liittyvät kustannukset katetaan asianomaisten jäsenvaltioiden talousarviosta, ellei unionin lainsäädännössä toisin säädetä.

Asetuksen 36 artiklassa säädetään komission velvoitteesta uudelleentarkasteluun ja arviointikertomuksen laadintaan. Tarkastelussa on arvioitava erityisesti 14 artiklan soveltamisalaa ottaen huomioon teknologian, markkinoiden ja lainsäädännön kehitys siltä osin kuin on kyse todistusmateriaalin vaihtamisesta toimivaltaisten viranomaisten välillä.

Tällaisen teknisen järjestelmän eritelmiä koskevia täytäntöönpanosäädöksiä antaessaan komission on otettava asianmukaisesti huomioon standardisoimisjärjestön (ETSI), Kansainvälisen standardisoimisjärjestön (ISO) ja Kansainvälisen televiestintäliiton (ITU) standardit ja tekniset eritelmät, sekä asetuksen (EU) 2016/679 32 artiklassa ja asetuksen (EU) 2018/1725 22 artiklassa tarkoitetut turvallisuusstandardit (johdanto-osan 52 kohta).

yhteentoimivuuden edellytyksistä, jotta sääntöjä ja velvollisuuksia, menettelyjä ja neuvonta- ja ongelmanratkaisupalveluja koskevat tiedot on helpompi löytää yhteisen käyttöliittymän kautta (18 artiklan 5 kohta).

käyttäjätilastojen keräämis- ja vaihtomenetelmiä koskevista yhdenmukaisista säännöistä (24 artiklan 4 kohta).

Asetuksen 39 artiklassa säädetään voimaantulosta ja täytäntöönpanosta . Asetuksen mukaiset velvoitteet toimivaltaisille viranomaisille asettaa saataville tietoa ja yhteydet ongelmanratkaisupalveluihin on tullut panna täytäntöön jo joulukuussa 2020 ja kuntaviranomaisten osalta joulukuussa 2022. Muut velvoitteet tulee olla toimeenpantuina porrastetusti, ja viimeistään joulukuussa 2023. Ottaen huomioon todistusmateriaalin vaihtoa koskevan täytäntöönpanoasetuksen viivästyminen, on myös teknisen järjestelmän käyttöönotto viivästynyt.

3.2.1Viranomaistehtävät

SDG-asetuksessa säädetään uusista tehtävistä sekä EU- että kansallisille toimivaltaisille viranomaisille ja kansallisille koordinaattoreille. Asetuksessa ei nimetä eri jäsenvaltioiden kansallisia toimivaltaisia viranomaisia, mutta ne määrittyvät asetuksen 3 artiklan 4 kohdan nojalla asetuksessa mainittujen palvelujen ja toimintojen kautta. Uusi sääntely asettaa velvoitteita toimivaltaisille viranomaisille kansalaisten ja yritysten pääsystä tietoon, ongelmanratkaisupalveluihin ja menettelyihin sekä tiedonvaihdosta teknisessä järjestelmässä, sen mukaan mitä asetuksen eri artikloissa ja liitteissä säädetään. Asetus vaikuttaa käytännössä kymmeniin kansallisiin viranomaisiin eri ministeriöiden hallinnonalalta. KEHA-keskuksen ylläpitämän tiedon mukaan näitä olisivat tässä vaiheessa:

Aluehallintovirastot, Digi- ja väestötietovirasto, ELY-keskukset, Eläketurvakeskus, Energiavirasto, Fimea, Fine, Finnvera, Hätäkeskuslaitos, Kela, Kilpailu- ja kuluttajavirasto, kunnat, Liikennevakuutuskeskus, Maahanmuuttovirasto (Migri), Maanmittauslaitos, Opetushallitus, Poliisi, Patentti- ja rekisterihallitus, Ruokavirasto, Säteilyturvakeskus, TE-palvelut, Tietosuojavaltuutettu, Traficom, Tukes, Tulli, Valvira, Vero, Väylävirasto, liikenne- ja viestintäministeriö, oikeusministeriö, opetus- ja kulttuuriministeriö, sisäministeriö, sosiaali- ja terveysministeriö, ulkoministeriö, valtiovarainministeriö ja ympäristöministeriö. Vaikutuksia Business Finland Oy:n ja puolustusministeriön osalta selvitetään yhä.

Liitteen II velvoittamia tahoja eli toimivaltaisia viranomaisia, joita koskee velvollisuus sähköisten menettelyiden tarjoamiseen ja todistusmateriaalin vaihtoon, ovat mm. Digi- ja väestötietovirasto, Kela, Vero ja Opetushallitus. Ammattipätevyyksien ja yrityslupien myötä liite II voi asettaa velvoitteita myös esim. Tukesille ja Valviralle. On huomioitavaa, että SDG-asetuksen soveltamisalaa on jo laajennettu uuden EU-sääntelyn myötä asetuksen voimaantulon jälkeen ja sen on tarkoitus laajentua ja muuttua ajan myötä, jolloin asetuksen velvoittamia toimivaltaisia viranomaisia on mahdotonta luetella ns. staattisesti ja pysyvästi. KEHA-keskuksen sdgfinland.fi-verkkosivuilta löytyy luettelot viranomaisista ja palveluista, joiden on tunnistettu kuuluvan SDG-asetuksen liitteen II soveltamisalaan.

Tällä hetkellä OOTS-järjestelmässä vaihdettaviksi todistusmateriaaleiksi on tunnistettu muun muassa todistus vastaanotetusta opiskelupaikasta, todistus suoritetusta korkeakoulututkinnosta, ylioppilastodistus, tutkintotodistus aiemmasta tutkinnosta eri tutkintotasolla ja verotustiedot ulkomailla. Lisäksi yritystoiminnan aloittamiseen ja harjoittamiseen voi liittyä lukuisia erilaisia todistusmateriaaleja liittyen muun muassa erilaisiin yrityksen tai palveluntarjoajan pätevyys-, rekisteröinti- ja lupatietoihin. SDG-asetuksen soveltamisalan laajentuessa OOTS-järjestelmässä voidaan tulevaisuudessa vaihtaa myös muita todistusmateriaaleja. Ainakaan ensi vaiheessa OOTS-järjestelmässä ei vaihdeta salassa pidettäviä tai erityisiin henkilötietoryhmiin kuuluvia tietoja lukuun ottamatta mahdollisesti tulorekisteritietoja, jotka ovat viranomaisten toiminnan julkisuudesta annetun lain (621/1999) (jäljempänä julkisuuslaki ) 24 §:n 1 momentin 23 kohdan nojalla salassa pidettäviä, ja eräitä terveys- ja muita vastaavia tietoja, jotka ovat julkisuuslain 24 §:n 1 momentin 25 kohdan nojalla salassa pidettäviä ja lukeutuvat tietosuoja-asetuksen 9 artiklan mukaisiin erityisiin henkilötietoryhmiin. Tilanteisiin soveltuu kuitenkin mainittujen säädösten poikkeukset kieltoihin luovuttaa tai käsitellä tietoja, minkä johdosta julkisuuslaista tai tietosuojalainsäädännöstä ei muodostu estettä todistusmateriaalin vaihdolle suoraan sovellettavan asetuksen nojalla.

Kuntien vastuulla on SDG-asetuksen liitteen II menettelyistä vain elinkeinotoimintaan liittyviä lupia ja ilmoituksia. Niissä ei ole OOTS-järjestelmään liitettäviä asiointipalveluja, sillä tällä hetkellä kuntien yritysluvissa ei ole OOTS-järjestelmässä vaihdettavia todistusmateriaaleja.

Suomessa palveluväylään koottava tietosisältö (liite I) on ollut saatavilla viranomaisten verkkosivuilla ja liitettynä digitaaliseen palveluväylään asetuksen mukaisesti 12.12.2020. Edelleen moni liitteen II mukaisista menettelyistä on sähköisesti käytettävissä tai kehitteillä, mutta ei rajat ylittävästi käytettävissä. Tiedon on arvioitu liikkuvan yhden kerran periaatteen näkökulmasta rajoitetusti ja se on perustunut viranomaisten välisiin sopimuksiin. Rajat ylittävä, viranomaisten välinen tiedonvaihto on SDG-asetuksen soveltamisalalla ollut vähäistä. Asetuksen liitteen III mukaiset neuvonta- ja ongelmanratkaisupalvelut ovat olleet toiminnassa olevia palveluita ja pääsy niihin on mahdollistettu eri viranomaisten verkkopalveluiden kautta ja ne ovat liitettyinä digitaaliseen palveluväylään.

3.2.2Kansallinen koordinaattori

SDG-asetuksen 28 artiklan mukaan kunkin jäsenvaltion on nimitettävä kansallinen koordinaattori, jonka tehtävistä säädetään samaisessa artiklassa. Nimittämistapa jätetään kunkin jäsenvaltion päätettäväksi. Kyse on uusista viranomaistehtävistä. SDG-asetuksen kansalliselle koordinaattorille asettamat tehtävät eivät sisälly minkään viranomaisen nykyisiin lakisääteisiin tehtäviin. Koska jo perustuslain 2 §:n 3 momentista juontuu, että viranomaisten tehtävien tulee perustua lakiin, tehtävä on syytä säätää jollekin viranomaiselle siitä huolimatta, että asetus ei edellytä koordinaattorilta sanktioiden määräämistä tai muuta varsinaista julkisen vallan käyttöä suhteessa EU-kansalaisiin taikka yrityksiin. SDG-asetus asettaa kansalliselle koordinaattorille useita tehtäviä suhteessa toimivaltaisiin viranomaisiin ja asetuksen tehokkaan toimeenpanon varmistamiseksi, mikä puoltaa koordinaattorin nimittämistä lainsäädännöllä. Tarkoituksenmukaisin viranomainen olisi KEHA-keskus (ks. jakso 5.1.2), joka on jo käytännössä toiminut asetuksen tarkoittamana kansallisena koordinaattorina. Lisäksi KEHA-keskus toimii palveludirektiivin 2006/123/EY artiklan 6 mukaisena keskitetyn asiointipisteen kansallisena koordinaattorina. Keskitettynä asiointipisteenä käytetään Suomessa tällä hetkellä Suomi.fi-verkkopalvelua. Koordinaattori vastaa yhdessä Digi- ja väestötietoviraston kanssa muun muassa asiointipisteen tietosisällön ylläpidosta, kehittämisestä ja siitä, että asiointipiste täyttää palveludirektiivin vaatimukset. Koordinaattorin tehtävänä on myös osaltaan edistää erityisesti yritysten rajat ylittävän digitalisaation kehittymistä. KEHA-keskus toimii myös keskitetyn asiointipisteen neuvontapalvelun tarjoajana vuoden 2025 alusta lähtien.

KEHA-keskus on jo tehnyt suuren työn SDG-asetuksen käytännön implementoinnin edistämiseksi, ja on ottanut päävastuun teknisen järjestelmän rakentamisesta sekä laajan, kansallisen viranomaisverkoston koordinoinnista. Pääasiallisten täytäntöönpanotoimien jälkeen KEHA-keskukselle jää asetukseen perustuvat jatkuvat koordinaattorin tehtävät sekä teknisen järjestelmän ylläpitoon, kehittämiseen ja rekisterinpitäjyyteen liittyvät tehtävät. KEHA-keskus tulee käytännössä toimimaan todistusmateriaalin vaihtoa koskevan täytäntöönpanoasetuksen tarkoittamana välitysalustana toimivaltaisten viranomaisten välillä. Lisäksi sen tulee kansallisena koordinaattorina osallistua palveluväylän koordinointiryhmän työhön EU-tasolla. Kansallisena koordinaattorina KEHA-keskus vastaa keskitetysti myös asetuksen 24 artiklan mukaisten käyttäjätilastojen ja 25 artiklan mukaisen käyttäjäpalautteen keräämisestä palveluväylän palveluista Suomessa, jotka asetuksessa on osoitettu toimivaltaisille viranomaisille tehtäväksi. KEHA-keskus toimii myös todistusmateriaalin vaihtoa koskevan täytäntöönpanoasetuksen 21 artiklan mukaisena kansallisen teknisen tuen keskitettynä asiointipisteenä. Tämä tehtävä ei linkity tehtävään kansallisena koordinaattorina, vaan perustuu valittuun kansalliseen ratkaisuun SDG-asetuksen ja todistusmateriaalin vaihtoa koskevan täytäntöönpanoasetuksen täytäntöönpanossa.

3.2.3Tietojen vaihto ja henkilötietojen suoja

Yleistä tietojenvaihdosta OOTS-järjestelmässä

Yhteisen digitaalisen palveluväylän kautta tietyt komission ja jäsenmaiden sisämarkkinoiden toimintaan liittyvät kansalaisten ja yritysten oikeudet ja velvollisuudet, niitä koskevat menettelyt sekä neuvonta- ja ongelmanratkaisupalvelut ovat saatavilla kootusti yhdestä paikasta. Lisäksi kansalaisten ja yritysten tulisi pystyä hoitamaan sähköiset menettelyt yhden kerran -periaatteen mukaisesti. Kansalaisen tai yrityksen yhdelle jäsenmaalle toimittama tieto tulisi pyynnöstä toimittaa muiden jäsenmaiden viranomaisille ja sen tulisi kelvata myös muiden jäsenmaiden viranomaisten päätösten pohjaksi.

Todistusmateriaalin vaihtoa koskeva täytäntöönpanoasetus antaa jäsenmaille liikkumavaraa OOTS-järjestelmän järjestelmäosien toteutuksessa. Täytäntöönpanoasetuksen johdanto-osan 9 kappaleen mukaan jäsenvaltioiden olisi voitava päättää, haluavatko ne joko yhden tai useampia eDelivery-liityntäpisteitä osana OOTS-järjestelmää. Jäsenvaltion olisi näin ollen voitava ottaa käyttöön keskitetty liityntäpiste, joka hoitaa kaiken OOTS-järjestelmään liittyvän eDelivery-viestinnän todistusmateriaalin pyytäjille ja todistusmateriaalin antajille välitysalustan kautta, tapauksen mukaan, tai vaihtoehtoisesti ottaa käyttöön useita liityntäpisteitä millä tahansa hierarkian tasolla tai sen julkishallinnon tiettyjä osa-alueita tai sektoreita tai maantieteellisiä tasoja varten. Täytäntöönpanoasetuksen 1 artiklan 6 kohdan mukaan välitysalustalla tarkoitetaan teknistä ratkaisua, joka toimii omissa nimissään tai muiden yksikköjen kuten todistusmateriaalin antajien tai todistusmateriaalin pyytäjien puolesta, riippuen niiden jäsenvaltioiden hallinnollisesta organisaatiosta, joissa kyseinen välitysalusta toimii, ja jonka kautta todistusmateriaalin antajat tai todistusmateriaalin pyytäjät ottavat yhteyden 4 artiklan 1 kohdassa tarkoitettuihin yhteisiin palveluihin tai todistusmateriaalin antajiin tai todistusmateriaalin pyytäjiin muissa jäsenvaltioissa.

Suomessa suunnittelun lähtökohtina ovat olleet kustannustehokkuus, käyttäjälähtöisyys, käytettävyys ja tietoturvallisuus. KEHA-keskus on vastannut järjestelmän suunnittelusta ja toteutuksesta yhteistyössä kansallisen SDG-hankkeen ohjausryhmän kanssa. Sen sijaan, että jokaisella toimivaltaisella viranomaisella olisi oma eDelivery-liityntäpiste ja esikatselutila käytössä, toteutetaan todistusmateriaalin siirto keskitetyn järjestelmän avulla, josta KEHA-keskuksella on vastuu ja omistajuus, ja se vastaa todistusmateriaalin vaihtoa koskevan täytäntöönpanoasetuksen mukaisesta välitysalustasta. Järjestelmän, jonka on tarkoitus tulla toimintaan vuoden 2024 lopussa (todennäköisesti vasta vuoden 2025 aikana), on suunniteltu toimivan seuraavasti:

Tilanteessa, jossa toisen EU- tai ETA-jäsenmaan kansalainen tai yritys haluaa hyödyntää OOTS-järjestelmää asioidessaan suomalaisessa asiointipalvelussa, hän aloittaa asiointiprosessin suomalaisessa asiointipalvelussa ja tunnistautuu eIDAS-tunnistusvälineellä. Kun asiointiprosessissa pyydetään todistusmateriaaleja, käyttäjällä on mahdollisuus lisätä ne suoraan asiointiprosessiin, mikäli ne ovat jo hänen hallussaan, tai käyttäjä hyödyntää OOTS-järjestelmää. Käyttäjä valitsee kansallisen OOTS-järjestelmän ”todisteen pyyntö” -toiminnon avulla mistä jäsenmaasta ja minkä todistusmateriaalin käyttäjä haluaa hakea ja esikatsella. Tällä käyttäjän nimenomaisella pyynnöllä käynnistyy viranomaisen todistusmateriaalipyyntö toisen jäsenmaan perustietovaranannosta ja käyttäjä ohjataan toisen jäsenmaan OOTS-järjestelmän esikatselutilaan tarkastamaan todistusmateriaalin tiedot. Jos käyttäjä hyväksyy todistusmateriaalin käytön esikatselutilassa, todistusmateriaali toimitetaan sitä pyytävälle viranomaiselle Suomessa KEHA-keskuksen hallinnoiman järjestelmän kautta.

Tilanteessa, jossa vuorostaan Suomen kansalainen tai yritys haluaa asioida toisen jäsenvaltion asiointipalvelussa, hän tekee todistusmateriaalin pyyntöön liittyvät toimet toisen EU- tai ETA-jäsenmaan asiointipalvelussa, jolloin toisen jäsenmaan viranomaisen todistusmateriaalipyyntö saapuu Suomessa toteutettavaan esikatselutilaan. Käyttäjän tunnistauduttua uudelleen ja siten identiteetin varmistuttua, esikatselutila noutaa todistusmateriaalin suomalaisesta perustietovarannosta ja luo käyttäjälle esikatseltavan version todistusmateriaalista. Käyttäjän hyväksyttyä todistusmateriaalin käytön, se toimitetaan tiedonvaihtoväyliä pitkin pyytävään jäsenmaahan ja pyytävälle viranomaiselle. Käytännössä KEHA-keskus hallinnoi esikatselutilaa ja sen jälkeistä tiedonsiirtoa, kunnes todistusmateriaali on siirtynyt toisen jäsenvaltion järjestelmän piiriin.

Todistusmateriaalin vaihtoa koskevan täytäntöönpanoasetuksen 28 artiklan 5 kohdassa on todettu vaihdon turvallisuudesta muun muassa, että saman artiklan 4 kohdan mukaisesti todistusmateriaalin antajan jäsenvaltio on todistusmateriaalin vaihdossa vastuussa pyydetyn todistusmateriaalin laadusta, luottamuksellisuudesta, eheydestä ja käytettävyydestä, kunnes materiaali saapuu todistusmateriaalin pyytäjän eDelivery-liityntäpisteeseen tai tapauksen mukaan välitysalustalle. Todistusmateriaalin pyytäjän jäsenvaltio on todistusmateriaalin vaihdon yhteydessä vastuussa pyydetyn todistusmateriaalin luottamuksellisuudesta ja eheydestä siitä hetkestä alkaen, kun se saapuu eDelivery-liityntäpisteeseen.

Yllä mainituissa menettelyissä KEHA-keskuksen velvoitteet rekisterinpitäjänä rajoittuvat kansalliseen OOTS-järjestelmään ja tiedonsiirron vaiheeseen, jossa pyydetty todistusmateriaali liikkuu lähettävältä viranomaiselta (todistusmateriaalin antaja) vastaanottavalle viranomaiselle (todistusmateriaalin pyytäjä).

Rekisterinpitäjyyden velvoitteet todistusmateriaalin pyyntöprosessissa kohdistuvat hetkeen, jossa todistusmateriaali saapuu toisesta EU-maasta kansalliseen OOTS-järjestelmään. Todistusmateriaali säilytetään hetken ajan, kunnes pyytävä viranomainen noutaa todistusmateriaalin tai se toimitetaan pyytävälle viranomaiselle. Kun todistusmateriaali on toimitettu sitä pyytävälle viranomaiselle, KEHA-keskukselle ei jää siitä versiota vaan se tuhotaan/poistetaan järjestelmästä.

Niissä tapauksissa, joissa pyyntö saapuu toisesta EU-maasta, rekisterinpitäjyys kohdistuu hetkeen, jolloin kansallisen OOTS-järjestelmän esikatselutila noutaa todistusmateriaalin kansallisesta tietovarannosta ja tietoja pyytävä käyttäjä esikatselee todistusmateriaalin ja joko hyväksyy tai hylkää todistusmateriaalin käytön. Kun todistusmateriaali on toimitettu sitä pyytävälle viranomaiselle (tai käyttäjä on päättänyt olla käyttämättä todistusmateriaalia), KEHA-keskukselle ei jää siitä versiota vaan se tuhotaan/poistetaan järjestelmästä.

Käytännössä KEHA-keskuksella on todistusmateriaali hallussaan muutamasta minuutista enintään noin viikkoon. Sillä on pääsy todistusmateriaaliin välitysprosessin aikana, ja se voi tilanteen mukaan muuntaa materiaalia rakenteisesta muodosta ihmisluettavaan muotoon taikka poikkeuksellisesti suodattaa tietoja SDG-asetuksen vaatimuksia vastaavaksi. Toimivaltaisilla viranomaisilla olisi kuitenkin vastuu todistusmateriaalin materiaalisesta sisällöstä ja tietojen oikeellisuudesta. Lähinnä kyseeseen tulee mahdollisten turhien tietojen suodattaminen todistusmateriaalia toimitettaessa toisen jäsenvaltion toimivaltaiselle viranomaiselle ja ennen kuin käyttäjä on hyväksynyt sen käytön esikatselutilassa, ja todistusmateriaalin rakenteisen muodon muuntaminen ihmisluettavaan muotoon ennen ulkomaisen todistusmateriaalin toimittamista kansalliselle toimivaltaiselle viranomaiselle, jotta varmistetaan viranomaisen pääsy todistusmateriaaliin ja että se pystyy sitä käsittelemään. Rakenteisen muodon muuntaminen ihmisluettavaan muotoon voi tulla kyseeseen myös todistusmateriaalia toimitettaessa toisen jäsenvaltion toimivaltaiselle viranomaiselle, mutta muuntaminen tehdään ennen käyttäjän tarkistettua ja hyväksyttyä todistusmateriaalin käytön esikatselutilassa. Täytäntöönpanoasetuksen johdanto-osan 17 kappaleen mukaan jäsennellyn todistusmateriaalin tapauksessa, jos todistusmateriaalipyynnössä pyydetään ainoastaan tietojen osajoukkoa, todistusmateriaalin antaja tai tapauksen mukaan välitysalusta voisi mahdollistaa tietojen automaattisen suodatuksen.

Todistusmateriaalipyyntöjen tiedot lokitetaan kansalliseen lokituspalveluun todistusmateriaalin vaihtoa koskevan täytäntöönpanoasetuksen mukaisesti.

OOTS-järjestelmän käyttöön ja todistusmateriaalin vaihtoon EU:n eri jäsenvaltioiden toimivaltaisten viranomaisten kesken liittyy tietosuojaoikeudellisia kysymyksiä. OOTS-järjestelmässä siirretään mm. hallintoasian hakijan henkilötietoja. Tietojen vaihto tapahtuu teknisiä rajapintoja käyttäen, mutta se ei ole automaattista siinä mielessä, että se tapahtuisi täysin ilman hakijan myötävaikutusta. Käyttäjällä on oltava mahdollisuus tarkastella todistusmateriaalia etukäteen esikatselutilassa ja oikeus päättää olla vaihtamatta todistusmateriaalia tapauksissa, joissa käyttäjä vaihdettavaan todistusmateriaaliin tutustuttuaan toteaa tiedot virheellisiksi, vanhentuneiksi tai kyseisen menettelyn kannalta tarpeettomiksi.

KEHA-keskuksen tiedonhallintalain mukaisen vaikutusarvion mukaan salassa pidettäviä tai tietosuoja-asetuksen tarkoittamia erityisiin henkilötietoryhmiin kuuluvia tietoja ei käsitellä. Myöhemmin on selvinnyt, että julkisuuslain 24 §:n 1 momentin 23 kohdan nojalla salassa pidettäviä tulorekisteritietoja saattaa liikkua todistusmateriaalina, ja etuuksiin liittyen muut jäsenvaltiot voivat pyytää myös asiakirjoja, jotka sisältävät tietoja sosiaalihuollon asiakkaasta tai työhallinnon henkilöasiakkaasta sekä tämän saamasta etuudesta tai tukitoimesta taikka sosiaalihuollon palvelusta tai työhallinnon henkilöasiakkaan palvelusta taikka tietoja henkilön terveydentilasta tai vammaisuudesta taikka hänen saamastaan terveydenhuollon ja kuntoutuksen palvelusta (julkisuuslain 24 §:n 1 momentin 25 kohta ja tietosuoja-asetuksen 9 artiklan tarkoittama erityinen henkilötietoryhmä). Toimivaltaiset viranomaiset voivat käsitellä seuraavia henkilötietoja todistusmateriaalin vaihdossa: kirjautumistiedot; käyttäjän tunnistetiedot; käyttäjää koskevat todistusmateriaalit. Lapsiin ja vajaavaltaisiin henkilöihin tai muihin luonnollisiin henkilöihin liittyviä todistusmateriaaleja voidaan siirtää vain, jos käyttäjällä on kansallisen lainsäädännön mukaan oikeus esittää pyyntöjä näistä. Kukin toimivaltainen viranomainen päättää viime kädessä itse, mitä todistusmateriaaleja OOTS:ssa voidaan vaihtaa. Todistusmateriaalit siirretään OOTS:n kautta vain käyttäjän pyynnöstä ja hyväksynnällä erillisen esikatselutilan kautta. Tiedonvaihdon aikana muilla osapuolilla kuin OOTS:ssa oikeudellisesti toimivilla, kustakin menettelystä vastaavilla viranomaisilla, ei ole pääsyä käyttäjän henkilötietoihin. Tiedonsiirrossa välttämättömät eDelivery Access Pointit käsittelevät henkilötietoja vain todisteiden vaihdon mahdollistamiseksi.

Julkisuuslain 29 §:n mukaan viranomainen voi antaa toiselle viranomaiselle tiedon salassa pidettävästä asiakirjasta muun muassa silloin, kun tiedon antamisesta tai oikeudesta tiedon saamiseen on laissa erikseen nimenomaisesti säädetty. Julkisuuslain 30 §:ssä puolestaan säädetään salassa pidettävien tietojen antamisesta ulkomaan viranomaiselle ja kansainväliselle toimielimelle. Viimeksi mainitun lainkohdan mukaan sen lisäksi, mitä laissa erikseen säädetään, viranomainen voi antaa salassa pidettävästä asiakirjasta tiedon ulkomaan viranomaiselle tai kansainväliselle toimielimelle, jos ulkomaan ja Suomen viranomaisen välisestä yhteistyöstä määrätään Suomea sitovassa kansainvälisessä sopimuksessa tai säädetään Suomea velvoittavassa säädöksessä ja tieto asiakirjasta voitaisiin tämän lain mukaan antaa yhteistyötä Suomessa hoitavalle viranomaiselle. Merkitystä on myös sillä, että todistusmateriaalin vaihto edellyttää aina käyttäjän eli julkisuuslain näkökulmasta suojattavan tahon nimenomaista pyyntöä, mikä julkisuuslain nojalla tyypillisesti kumoaa salassapidon tarpeen. Julkisuuslaista ei siten muodostu estettä sille, että todistusmateriaaliin sisältyisi julkisuuslain nojalla lähtökohtaisesti salassa pidettäviä tietoja.

Mikäli todistusmateriaaliin sisältyisi tietosuoja-asetuksen 9 artiklan tarkoittamaa arkaluonteisiin henkilötietoryhmiin kuuluvaa tietoa, kuten yllä on esitetty mahdollisena määrättyihin etuuksiin liittyen tai mikäli sisältyisi muuta vastaavanlaista tulevaisuudessa, sen luovuttaminen olisi mahdollista tietosuojalain (5.12.2018/1050) 6 §:n 1 momentin 2 kohdan nojalla. Mainitun lainkohdan mukaan tietosuoja-asetuksen 9 artiklan 1 kohdan erityisiä henkilötietoryhmiä koskevaa käsittelykieltoa ei sovelleta tietojen käsittelyyn, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä. SDG-asetuksessa ei ole säädetty poikkeuksista salassa pidettävien tai muiden arkaluonteisten henkilötietojen osalta, vaan siinä säädetyt menettelyt on oltava mahdollisia sähköisesti, sisältäen mahdollisen merkityksellisen todistusmateriaalin vaihdon riippumatta tiedon luonteesta.

Näytössä voi mahdollisesti olla myös kolmansia henkilöitä koskevia tietoja ilman, että he myötävaikuttaisivat tietojen siirtymiseen tai olisivat välttämättä edes tietoisia siitä. Eri maiden lainsäädännön eroista johtuen samankaltaiseen asiakirjaan saatetaan eri maissa kirjata eri tietoja. Mikä yhdessä jäsenvaltiossa on tarpeellinen tieto esim. väestörekisteriotteessa, ei ole sitä välttämättä toisessa, ja näin ollen hakijan toimittamaan ulkomaiseen näyttöön saattaa sisältyä ns. turhia henkilötietoja kansallisessa menettelyssä. SDG-asetukseen ja sen täytäntöönpanoasetukseen todistusmateriaalin vaihdosta sisältyy kuitenkin säännökset tarpeellisten tietojen antamisesta järjestelmän käyttäjälle, OOTS-järjestelmän toiminnasta ja mahdollisuudesta esikatseluun. Niin ikään SDG-asetukseen sisältyy säännös siitä, että viranomainen saa käyttää näyttöä vain sitä menettelyä varten, jonka osana todistusmateriaali vaihdettiin (14 artiklan 8 kohta).

SDG-asetus yhdessä todistusmateriaalin vaihtoa koskevan täytäntöönpanoasetuksen kanssa sääntelee toimivaltaisten viranomaisten roolia todistusmateriaalin pyytäjinä tai antajina, sekä palvelun käyttäjän oikeuksia. Täytäntöönpanoasetuksessa on myös säännelty teknisen järjestelmän ominaisuuksista ja siihen liittyvistä vastuista, sekä toimivallanjaosta rajatylittävissä tilanteissa. Henkilötietojen käsittelyn osalta tulee noudattaa SDG-asetuksessa säädetyn ohella tietosuoja-asetusta sekä asetusta täydentävää ja täsmentävää kansallista tietosuojalakia. Kysymys koskee lähinnä sitä, ovatko edellä mainitun sääntelyn asettaman raamit riittävät henkilötietojen suojan kannalta, kun otetaan huomioon sekä perustuslain että tietosuojasääntelyn vaatimukset, ja erityisesti huomioiden kansallinen täytäntöönpanotapa, jossa KEHA-keskuksella on keskeinen rooli todistusmateriaalia vaihdettaessa OOTS-järjestelmässä.

Yleiset edellytykset henkilötietojen käsittelylle

EU:n yleinen tietosuoja-asetus edellyttää, että henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Henkilötietojen käsittely, mihin lukeutuu muun muassa henkilötietojen kerääminen, säilyttäminen ja luovuttaminen, on lainmukaista ainoastaan silloin, kun käsittelylle on jokin asetuksen 6 artiklan 1 kohdassa mainituista käsittelyperusteista (a–f alakohdat). Tietosuoja-asetuksen 6 artiklan 1 kohdan c (lakisääteinen velvoite) ja e (yleinen etu) alakohdassa tarkoitetun käsittelyn perustasta on säädettävä joko unionin oikeudessa tai rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä (6 artiklan 3 kohta). Alakohtien c ja e osalta jäsenvaltioille on annettu kansallista liikkumavaraa antaa asetusta täsmentävää, yksityiskohtaisempaa sääntelyä. Tällaisen sääntelyn tulee olla yleisen edun tavoitteen mukaista ja oikeasuhteista.

Henkilötietoja tulee käsitellä tietosuoja-asetuksen 5 artiklan 1 kohdan a–f alakohdissa säädettyjen yleisten käsittelyperiaatteiden (muun muassa käyttötarkoitussidonnaisuus, tietojen minimointi ja täsmällisyys) mukaisesti. Muun muassa käyttötarkoitussidonnaisuuden periaatteesta johtuu, että henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa lähtökohtaisesti käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Käyttötarkoitussidonnaisuuden periaatteesta on mahdollista poiketa joko rekisteröidyn suostumuksella tai tietosuoja-asetuksen 23 artiklassa säädetyin reunaehdoin. Keskeistä sääntelyn kannalta on tunnistaa taho, joka toimii tietojen rekisterinpitäjänä, eli tietosuoja-asetuksen 4 artiklan 7 kohdan nojalla tässä tapauksessa viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti. Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit, rekisterinpitäjän velvollisuutena on toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tietosuoja-asetusta (tietosuoja-asetuksen 24 artiklan 1 kohta).

Jos vähintään kaksi rekisterinpitäjää määrittää yhdessä edellä mainitut käsittelyn tarkoitukset ja keinot, kyse on tietosuoja-asetuksen tarkoittamista yhteisrekisterinpitäjistä, josta säädetään tarkemmin asetuksen 26 artiklassa.

SDG-asetuksen ja todistusmateriaalin vaihtoa koskevan täytäntöönpanoasetuksen mukainen tietosuojasääntely

SDG-asetuksen 33 artiklan mukaan toimivaltaisten viranomaisten asetuksen puitteissa suorittamassa henkilötietojen käsittelyssä on noudatettava tietosuoja-asetusta. Edelleen asetuksen johdanto-osassa (kohta 42) on selostettu, että jotta voidaan mahdollistaa todistusmateriaalin ja tietojen laillinen rajatylittävä vaihto soveltamalla unionin laajuisesti yhden kerran periaatetta, asetusta ja yhden kerran periaatetta olisi sovellettava kaikkien sovellettavien tietosuojaa koskevien sääntöjen mukaisesti, joita ovat muun muassa tietojen minimoinnin, paikkansapitävyyden, säilytyksen rajoittamisen, eheyden sekä luottamuksellisuuden, tarpeellisuuden, oikeasuhteisuuden ja käyttötarkoituksen rajaamisen periaatteet. Sen täytäntöönpanossa olisi myös noudatettava täysimääräisesti sisäänrakennetun turvallisuuden (security by design) ja sisäänrakennetun yksityisyyden (privacy by design) periaatteita ja kunnioitettava yksilön perusoikeuksia, myös oikeudenmukaisuuteen ja avoimuuteen liittyviä perusoikeuksia.

Suojatun teknisen järjestelmän, joka on perustettava tämän asetuksen mukaisen todistusmateriaalin vaihdon mahdollistamiseksi, on myös annettava pyytävälle toimivaltaiselle viranomaiselle varmuus siitä, että todistusmateriaalin on toimittanut oikea myöntävä viranomainen. Ennen kuin toimivaltainen viranomainen hyväksyy käyttäjän menettelyn yhteydessä toimittamat tiedot, sen on voitava todentaa tiedot epäselvissä tapauksissa ja todeta, että ne ovat paikkansapitäviä.

Todistusmateriaalin vaihtoa koskevan täytäntöönpanoasetuksen 33 artiklassa henkilötietojen käsittelystä todetaan, että kun on kyse sellaisten henkilötietojen käsittelystä, jotka sisältyvät OOTS-järjestelmän kautta vaihdettavaan todistusmateriaaliin ja jotka esiintyvät jäsenvaltion täytäntöönpanoasetuksen 25 artiklan mukaisesti omistamissa OOTS-järjestelmän komponenteissa, kyseisen jäsenvaltion toimivaltaisten viranomaisten on todistusmateriaalin pyytäjinä tai todistusmateriaalin antajina toimittava tietosuoja-asetuksen 4 artiklan 7 kohdassa määriteltyinä ja täytäntöönpanoasetuksen 34 ja 35 artiklassa täsmennettyinä rekisterinpitäjinä.

Täytäntöönpanoasetuksen 34 artiklassa on todettu todistusmateriaalin pyytäjän tehtävistä rekisterinpitäjänä , että kunkin OOTS-järjestelmän kautta tapahtuvan todistusmateriaalin vaihdon osalta kyseessä oleva todistusmateriaalin pyytäjä tai tapauksen mukaan välitysalusta on yksin vastuussa todistusmateriaalipyynnön täydellisyydestä ja laillisuudesta, ja edelleen todistusmateriaalin pyytäjän on erityisesti varmistettava, että kyseistä todistusmateriaalia edellytetään siinä menettelyssä, jota varten käyttäjä sitä pyytää (1 kohta). Kun OOTS-järjestelmän kautta vaihdettava todistusmateriaali tulee todistusmateriaalin pyytäjän tai tapauksen mukaan välitysalustan saataville joko käyttäjän päätettyä SDG-asetuksen 14 artiklan 3 kohdan f alakohdan mukaisesti todistusmateriaalin vaihdosta tai SDG-asetuksen 14 artiklan 5 kohdassa tarkoitettujen menettelyjen tapauksessa, todistusmateriaalin pyytäjän tai tapauksen mukaan välitysalustan on varmistettava samantasoinen tietosuoja-asetuksen mukainen henkilötietojen suoja kuin tilanteessa, jossa käyttäjä toimittaa tai lataa todistusmateriaalin käyttämättä OOTS-järjestelmää (2 kohta).

Todistusmateriaalin antajan tehtäviä rekisterinpitäjänä koskevan 35 artiklan 1 kohdan mukaan asiaankuuluva todistusmateriaalin antaja tai tapauksen mukaan välitysalusta vastaa yksin kunkin OOTS-järjestelmän kautta tapahtuvan todistusmateriaalin vaihdon osalta seuraavien seikkojen todentamisesta, sanotun kuitenkaan rajoittamatta niiden tietosuoja-asetuksessa säädettyjä velvollisuuksia:

a) sen hallussa olevan pyydetyn todistusmateriaalin ja käyttäjän vastaavuus voidaan verrata 16 artiklan mukaisesti;

b) käyttäjällä on oikeus käyttää pyydettyä todistusmateriaalia.

Käyttäjän oikeutta esikatsella vaihdettavaa todistusmateriaalia ja vastaavasti muiden toimijoiden velvollisuutta huolehtia sen järjestämisestä säännellään muun muassa täytäntöönpanoasetuksen 1 artiklan 14 kohdassa, 9 artiklan 1 kohdan b alakohdassa, 14 artiklan 1 kohdassa ja 15 artiklan 1 kohdan b alakohdan ii alakohdassa.

Tiedonvaihdon tietosuojaoikeudellinen oikeusperusta

Tiedon jakaminen tai siirtäminen palveluketjussa on henkilötietojen käsittelyä, joka kuuluu tietosuoja-asetuksen soveltamisalaan, ja edellyttää tietosuoja-asetuksen 6 artiklan 1 kohdan mukaista käsittelyn oikeusperustetta. SDG-asetuksessa ja todistusmateriaalin vaihtoa koskevassa täytäntöönpanoasetuksessa ei ole ratkaistu kysymystä tietojenkäsittelyn tietosuojaoikeudellisesta oikeusperustasta, mutta asiasta on päätetty komission johtaman koordinaatioryhmän alatyöryhmässä, jossa kaikki jäsenvaltiot ovat edustettuna. Alatyöryhmän mukaan käsittelyn perusteena toimii EU:n tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdassa tarkoitettu ” rekisterinpitäjän lakisääteinen velvoite”. Alatyöryhmän päätös ei ole oikeudellisesti sitova lainsäädännön tapaan, mutta koska oikeusperusta on mahdollista juontaa myös tulkinnallisesti, voidaan alatyöryhmän päätöstä pitää oikeustilaa selventävänä ja riittävänä. Todistusmateriaalin vaihto on luonteeltaan rajatylittävää, jolloin on keskeistä, että eri jäsenvaltiot soveltavat samaa oikeusperustaa. Voidaan katsoa, että kansallisesta sääntelystä on myös tästä syystä perusteltua pidättäytyä.

14 artiklan 7 kohdan mukaan sähköisistä menettelyistä vastaavien toimivaltaisten viranomaisten on kyseisen käyttäjän nimenomaisesta, vapaaehtoisesta, yksilöidystä, tietoisesta ja yksiselitteisestä pyynnöstä pyydettävä todistusmateriaali suoraan todistusmateriaalin antavilta muiden jäsenvaltioiden toimivaltaisilta viranomaisilta teknisen järjestelmän kautta. Todistusmateriaalin antavien toimivaltaisten viranomaisten on asetettava tällainen todistusmateriaali saataville saman järjestelmän kautta. 14 artiklan 3 kohdassa on asetettu erinäisiä kriteereitä teknisen järjestelmän ominaisuuksille, ja komissio on antanut todistusmateriaalin vaihtoa koskevan täytäntöönpanoasetuksen teknisen järjestelmän teknisten ja toiminnallisten eritelmien vahvistamiseksi. Ensi sijassa artiklasta 14 juontuu toimivaltaisten viranomaisten lakisääteinen velvoite todistusmateriaalin vaihtoon, ja tätä velvoitetta täydennetään ja täsmennetään muualla SDG-asetuksessa sekä todistusmateriaalin vaihtoa koskevassa täytäntöönpanoasetuksessa. Edellä mainituissa on myös säännelty järjestelmän käyttäjän oikeuksia todistusmateriaalin vaihdossa. Käyttäjän oikeuksia sääntelee myös tietosuoja-asetus.

Koska tietojen siirtäminen edellyttää hakijalta aktiivista toimenpidettä, eli asetuksessa käytetyin termein pyyntöä, voidaan sen tulkita tarkoittavan valtiosääntöoikeudellista suostumusta tietojen luovuttamiseen tai vastaanottamiseen, vaikka tietojen liikkuvuuden tietosuojaoikeudellinen käsittelyperuste onkin lakisääteinen velvoite. Suostumusta ei kuitenkaan asian valmistelun yhteydessä laadituissa selvityksissä ole pidetty tarkoituksenmukaisena käsittely- ja oikeusperusteena tietosuojaoikeudellisesti, sillä i) tietosuoja-asetuksen johdanto-osan mukaan viranomaisille annettavaa suostumusta ei lähtökohtaisesti voida pitää pätevänä, ii) siirrettävässä näytössä saattaa olla myös muita kuin hakijaa koskevia henkilötietoja, ja iii) vastaanottava viranomainen ei käsittelisi saamaansa näyttöä suostumuksen perusteella, ja käsittelyperusteen vaihtamiseen on yleensä suhtauduttu varauksellisesti tietosuojaviranomaisten toimesta.

Tietosuojaan liittyvä oikeustila suhteessa viranomaisiin ja palvelun käyttäjiin

Tietosuojaoikeudellisesti on myös oltava selvyys siitä, kuka on luovutettavien tietojen rekisterinpitäjä ja siten luovuttaja, ja kuka vastaanottaja. Rekisterinpitäjän määritelmä juontuu tietosuoja-asetuksen 4 artiklan 7 kohdasta, ja kyseessä on ennen kaikkea toiminnallinen käsite. Tietosuoja-asetus mahdollistaa, että rekisterinpitäjästä voidaan säätää erikseen kansallisessa erityislainsäädännössä, mutta se ei ole välttämätöntä. Säätämisen tarvetta puoltavat muun muassa, jos rekisterinpitäjästä voisi muutoin jäädä epäselvyys ja/tai rekisterinpitäjänä toimii viranomainen. Jos rekisterinpitäjyys perustuu oikeudelliseen sääntelyyn, rekisterinpitäjäksi katsotaan yleensä taho, joka on laissa nimetty tähän tarkoitukseen eli julkiseen tehtävään. Lakisääteinen velvoite kohdistuu tässä tapauksessa lähtökohtaisesti SDG-asetuksen tarkoittamaan toimivaltaiseen viranomaiseen, joita ei kuitenkaan nimetä erikseen asetuksessa vaan ne määrittyvät liitteissä I-III lueteltujen alojen ja toimintojen kautta. SDG-asetuksessa on tietoisesti valittu dynaaminen näkökulma toimivaltaisiin viranomaisiin, koska on haluttu, että soveltamisalan laajentuessa muuttuu myös vastaavasti toimivaltaisten viranomaisten joukko.

Laillisesti vastuullinen rekisterinpitäjä on yksilöitävissä suoraan tietosuoja-asetuksen nojalla, ja etenkin toimivaltaisten viranomaisten osalta SDG-asetus ja todistusmateriaalin vaihtoa koskeva täytäntöönpanoasetus luovat perustan rekisterinpitäjyydelle. KEHA-keskuksen rooli olisi kuitenkin tulkinnanvaraisempi ilman täydentävää kansallista sääntelyä, ja voisi myös luoda olettaman yhteisrekisterinpitäjyydestä KEHA-keskuksen ja toimivaltaisten viranomaisten välille, mikä vuorostaan edellyttäisi tarkkaa sopimista vastuunjaosta. Edellä mainitut seikat puoltavat KEHA-keskuksen tietosuojaa koskevan roolin selkeyttämistä lainsäädännöllä.

Rajatylittävä sähköinen tunnistautuminen

Jotta OOTS-järjestelmän käyttö olisi täysimääräisesti mahdollista Suomen kansalaisille ja yrityksille, tulisi Suomessa olla käytössä eIDAS-notifioitu tunnistusväline. Suomen kansalaisen tulisi pystyä tunnistautumaan eIDAS-tunnistautumisvälineellä toisen jäsenmaan asiointipalveluun. Lisäksi toisen EU- tai ETA-jäsenmaan kansalaisen tunnistautuminen eIDAS-tunnistautumisvälineellä suomalaisiin asiointipalveluihin edellyttäisi parannuksia henkilön identiteetin todentamiseksi. Suomella ei vielä ole käytössä asetuksen (EU) N:o 910/2014 sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta (jäljempänä eIDAS-asetus ) mukaista notifioitua tunnistusvälinettä. Digitaalisen henkilöllisyyden kehittämistyötä jatketaan Suomessa osana eurooppalaisen digitaalisen identiteetin kehyksen vahvistamisesta annetun asetuksen (EU) 2024/1183 kansallista täytäntöönpanoa, ja notifioidun tunnistusvälineen on tarkoitus olla käytössä keväällä 2025.

4.2.1Yleistä

Yhteisen digitaalisen palveluväylän on komission vaikutusarviossa arvioitu parantavan sisämarkkinoihin liittyvien kansalaisten ja yritysten oikeuksien ja velvollisuuksien, niitä koskevien hallinnollisten menettelyiden sekä neuvonta ja ongelmanratkaisupalvelujen saatavuutta, löydettävyyttä ja laatua. Asetus tarkoittaa kuitenkin uusia tehtäviä komissiolle, jäsenvaltioille, toimivaltaisille viranomaisille ja kansallisille koordinaattoreille, ja on edellyttänyt laajaa kehitystyötä ja yhteistyötä eri tahojen kesken erityisesti digitalisaation saralla.

Nyt esitetty muutos kohdistuu KEHA-keskukseen, mutta se selkeyttäisi samalla kansallisten viranomaisten vastuunjakoa ja rooleja SDG-asetuksen täytäntöönpanon ja digitaalisen palveluväylän käyttöönoton yhteydessä, ja voidaan siten katsoa parantavan sekä viranomaisten että palveluja käyttävien kansalaisten ja yritysten oikeusturvaa. Tosiasiallisesti esitetty muutos ei kaikilta osin tarkoittaisi muutosta nykytilaan, koska KEHA-keskus on jo toiminut kansallisen koordinaattorin roolissa ja rekisterinpitäjyys olisi ratkaistavissa myös tulkinnallisesti ja/tai keskinäisin sopimuksin. Lisäksi todistusmateriaalin vaihtoa koskevassa täytäntöönpanoasetuksessa on välitysalustaa koskevaa sääntelyä. Esitetyt lainsäädännölliset muutokset loisivat kuitenkin vahvemman oikeudellisen perustan KEHA-keskuksen tehtäville ja vastuille SDG-asetuksen täytäntöönpanossa.

4.2.2Yritykset ja kansalaiset

Asetus on omiaan edistämään rajat ylittävää liiketoimintaa sen helpottaessa yritysten tiedonsaantia ja asioiden hoitoa rajat ylittävästi. Mahdollisuus toimia yhteisen digitaalisen palveluväylän kautta vähentäisi kansalaisille ja yrityksille aiheutuvia kustannuksia silloin kun ne haluavat toimia toisessa EU:n jäsenmaassa. Komission vuoden 2017 arvion mukaan yrityksiltä säästyisi jopa yli 11 miljardia euroa vuodessa. Yhteisestä palveluväylästä katsotaan olevan erityisesti hyötyä pk-yrityksille.

EU:n kansalaisille arvioitiin aiheutuvan vuosittaista taakkaa 1,5 miljoonan tunnin edestä, heidän pyrkiessä löytämään tietoa oikeuksistaan ja velvollisuuksistaan koskien asumista, opiskelua tai eläköitymistä toisessa jäsenvaltiossa. Digitaalisen palveluväylän myötä säästöä arvioitiin saavutettavan 60 %, eli tunteja kuluisi vain vajaat 615 000 (KOM vaikutusarvio 2017, osa 3/3 s. 267–268).

Komission laatiman täytäntöönpanoraportin ((COM(2023) 534 lopullinen) mukaan ”Your Europe” -sivulla vierailtiin vuonna 2022 noin 43 miljoonaa kertaa, mikä tekee siitä kolmanneksi vieraillumman komission verkkosivuston. Kansalaisille suosituimpia sivuston aiheita ovat "Matkailu" ja "Työ ja eläke". Yritysten haetuimmat aiheet ovat "Liiketoiminnan harjoittaminen" ja "Verotus". ”Your Europe” -sivustoon linkitetyillä kansallisilla sivuilla käytiin vuoden 2022 aikana 63 miljoonaa kertaa. Tilastojen mukaan käyttäjät viettivät yli 120 000 tuntia vain ”Your Europe” yritysosion sivuilla. Komission mukaan jopa varovaisen arvion perusteella sivusto on säästänyt erityisesti pk-yritysten oikeudellisen neuvonnan kustannuksista noin 2,5 miljoonaa euroa vuodessa sekä paljon aikaa. Keskimääräinen ”Your Europe” -sivu on helposti luettavissa alle neljässä minuutissa, koska se on suunniteltu erittäin käyttäjäystävälliseksi. Sivulla tehdään yhteenveto monimutkaisista oikeudellisista teksteistä, joiden lukeminen kokonaisuudessaan kestäisi komission arvion mukaan yli 2,5 tuntia. ”Your Europe” -sivuston hakutoimintoa käytettiin vuoden 2022 aikana 1 784 566 kertaa. 92,5 % kansalaisvastaajista ja 90,3 % yrityksistä pitivät portaalia vähintäänkin tyydyttävänä tai parempana. 77 % yrityksistä ja 76 % kansalaisista kertoi löytäneensä sivustolta etsimänsä tiedon.

Esitetyllä kansallisella muutoksella ei olisi erityisiä taloudellisia tai muita vaikutuksia yrityksille taikka kansalaisille, mutta se olisi omiaan selkeyttämään tietosuojaan ja henkilötietoihin liittyvää oikeustilaa.

4.2.3Viranomaiset

Komission vuoden 2017 vaikutusarvion mukaan asetuksen kattamien palvelujen siirtyminen verkkoon tarkoittaisi jäsenvaltioille ja komissiolle yhteensä 167 miljoonan euron investointikuluja ja 8 miljoonan euron vuosittaisia juoksevia kuluja. Verkkopalvelujen tuomat hyödyt vuositasolla (112 miljoonaa euroa) kompensoisivat kuitenkin suuren osan investointikuluista.

SDG-asetuksen 32 artiklan 2 kohdan nojalla kansallisiin verkkoportaaleihin, tiedotusfoorumeihin, neuvontapalveluihin ja jäsenvaltion tasolla käyttöön otettuihin menettelyihin liittyvät kustannukset katetaan asianomaisten jäsenvaltioiden talousarviosta, ellei unionin lainsäädännössä toisin säädetä. EU-tason toimiin liittyvät kulut menevät EU:n yleisestä talousarviosta (1 kohta, alakohdat a-c).

EU-tasolla on tunnistettu, että hallinnollisten menettelyiden saaminen asetuksen edellyttämälle tasolle vaatii laaja-alaista kehittämistyötä. Tavoitteena on löytää yhteisiä ratkaisuja ja linjauksia, joista ei aiheudu kohtuutonta hallinnollista taakkaa tai kustannuksia jäsenmaille.

SDG-asetuksen johdanto-osan 30 kohdan mukaan asetuksella ei pidä vaikuttaa sosiaaliturvajärjestelmien yhteensovittamista koskeviin sääntöihin, jotka on vahvistettu Euroopan parlamentin ja neuvoston asetuksissa (EY) N:o 883/2004 ja (EY) N:o 987/2009, joissa määritellään vakuutettujen ja sosiaaliturvalaitosten oikeudet ja velvollisuudet sekä sosiaaliturvajärjestelmien yhteensovittamisen alalla sovellettavat menettelyt. On voimassa olevaa rajat ylittävää asiakirjojen luovuttamista koskevaa sääntelyä, johon SDG-asetuksella ei ole arvioitu olevan vaikutusta. Esim. sosiaali- ja terveysministeriön toimialueella on mm. sähköisten potilastietojen ja lääkemääräysten välitykseen käytetty järjestelmä sekä vakuutustietojen välitykseen käytetty järjestelmä. Kela toimii kansallisena yhteyspisteenä molempien järjestelmien osalta.

Lisäksi SDG-asetuksen 1 artiklan 3 kohdassa todetaan, ettei asetus vaikuta minkään unionin tai kansallisessa lainsäädännössä säädetyn menettelyn asiasisältöön tai tällaisen menettelyn kautta myönnettyihin oikeuksiin asetuksen soveltamisalaan kuuluvilla aloilla. SDG-asetuksesta tulee kuitenkin velvoite rajat ylittävälle todistusmateriaalien vaihdolle asetuksen soveltamisalalla.

Asetus tarkoittaa uusia velvoitteita lukuisille kansallisille viranomaisille, jotka ovat asetuksen tarkoittamia toimivaltaisia viranomaisia asetuksen liitteiden I–III nojalla. Kunkin viranomaisen on tullut tarvittaessa hakea oman budjettinsa toimintamenoissa rahoitusta asetuksen toimeenpanoon. Toimivaltaisille viranomaisille asetuksen täytäntöönpanosta aiheutuvat kustannukset ovat voineet ja voivat yhä vaihdella paljon riippuen muun muassa siitä, millaisia velvoitteita asetus viranomaiselle aiheuttaa sekä viranomaisen palveluiden lähtötasosta.

Uusiin viranomaistehtäviin kuuluu rekisterinpitotehtäviä. Rekisterinpidosta tulee jonkin verran kustannuksia, mutta sen ei ole arvioitu edellyttävän merkittäviä järjestelmäuudistuksia.

Suomessa asetuksen tähänastisten täytäntöönpanokustannusten toimivaltaisille viranomaisille on arvioitu olleen vähäiset. Tarvittavat tietosisällöt ovat olleet jo pitkälti saatavilla viranomaisten verkkosivuilla kuten neuvonta- ja ongelmaratkaisupalvelutkin. Näihin on voinut liittyä vähäisiä päivitystarpeita sisällön substanssin, kielen ja laadun osalta. Lisäksi viranomaisten on pitänyt ottaa käyttöön sisältöä ja käyttöä koskevat analytiikkapalvelut ja laatutyökalut, jotka KEHA-keskus on tarjonnut viranomaisille keskitettynä palveluna.

SDG-asetuksen liitteessä II määritellyt asiointipalvelut tulisi olla saatavilla digitaalisen palveluväylän kautta kaikille EU-käyttäjille. Digitaaliseen palveluväylään tulisi liittää myös muita asetuksen soveltamisalaan kuuluvia asiointipalveluita, jos ne ovat kansallisesti käytettävissä sähköisesti. Näin ollen asetuksen velvoitteet sähköiselle asioinnille ovat merkittäviä ja ne tulee huomioida valtionhallinnossa laajasti. Useimpien sähköisen asiointipalveluiden tulisi olla myös muiden kuin suomalaisten asiakkaiden käytettävissä. Digitaalisen palveluväylän toimeenpano edellyttääkin useilta viranomaisilta heidän sähköisten asiointipalveluidensa kehittämistä, niin että ne ovat asioitavissa myös rajat ylittävästi. Lisäksi Suomessa tulisi olla käytettävissä sellainen tunnistusratkaisu, jonka avulla asiakkaan sähköinen identiteetti voidaan tunnistaa vahvasti.

Nyt esitetyllä muutoksella ei olisi vaikutuksia kansallisiin toimivaltaisiin viranomaisiin muutoin kuin että selkeyttämällä KEHA-keskuksen tietosuojaan liittyvää roolia on samassa yhteydessä pyritty selkeyttämään myös toimivaltaisten viranomaisten tiedonluovutukseen liittyviä vastuita, jotka kuitenkin ensi sijassa juontuvat EU-lainsäädännöstä. KEHA-keskukselle aiheutuvat kustannukset johtuvat osin sen toimimisesta kansallisena koordinaattorina, mutta pääasiassa valitusta kansallisesta täytäntöönpanotavasta, jossa KEHA-keskus toimii teknisen järjestelmän perustajana ja omistajana.

KEHA-keskuksen tehtävä asetuksen tarkoittamana kansallisena koordinaattorina on jo aiheuttanut ja tulee jatkossa yhä edellyttämään merkittävää työpanosta asetuksen implementoinnissa. Artiklassa 28 säädetään, että asetuksen 7, 17, 19, 20, 23 ja 25 artiklan mukaisten velvollisuuksiensa lisäksi kansalliset koordinaattorit:

a) toimivat oman hallintonsa puolesta yhteyspisteenä kaikissa palveluväylään liittyvissä asioissa;

b) edistävät omien toimivaltaisten viranomaistensa 9–16 artiklan yhdenmukaista soveltamista;

c) varmistavat 17 artiklan 2 kohdan c alakohdassa tarkoitettujen suositusten asianmukaisen täytäntöönpanon.

Ennen erikseen lueteltuja tehtäviä (a–c) mainittuihin artikloihin liittyvät velvoitteet koskevat neuvonta- ja ongelmaratkaisupalvelujen käyttömahdollisuuksia, laadunvalvontaa, palveluväylän tunnettuuden edistämistä kansallisten toimivaltaisten viranomaisten keskuudessa sekä linkkirekisterin ja yhteisen neuvontapalveluhakuun liittyvien tietojen toimittamista komissiolle. Kunkin jäsenvaltion yksi kansallinen koordinaattori vastaa yhteydenpidosta komissioon kaikissa palveluväylään liittyvissä asioissa (28 artiklan 2 kohta).

KEHA-keskus on jo tehnyt suuren työn käytännön implementoinnin edistämiseksi, ja on ottanut päävastuun teknisen järjestelmän rakentamisesta sekä laajan, kansallisen viranomaisverkoston koordinoinnista. Pääasiallisten täytäntöönpanotoimien jälkeen KEHA-keskukselle jää edellä luetellut asetukseen perustuvat jatkuvat koordinaattorin tehtävät sekä teknisen järjestelmän ylläpitoon, kehittämiseen ja rekisterinpitäjyyteen liittyvät tehtävät. Lisäksi sen tulee kansallisena koordinaattorina osallistua palveluväylän koordinointiryhmän työhön, jonka tehtävänä on tukea asetuksen täytäntöönpanoa erikseen säädetyin tavoin (30 artikla, a–r alakohdat), eli muun muassa parhaiden käytäntöjen vaihtaminen, komission avustaminen vuosittaisen työohjelman toteuttamisessa, palveluille asetettujen laatuvaatimusten toteutumisen valvonta sekä yhteistyö niiden tahojen kanssa, jotka tarjoavat palveluja digitaalisen palveluväylän kautta. KEHA-keskus toimii myös todistusmateriaalin vaihtoa koskevan täytäntöönpanoasetuksen 21 artiklan mukaisena kansallisen teknisen tuen keskitettynä asiointipisteenä ja vastaa keskitetysti SDG-asetuksen 24 artiklan mukaisten käyttäjätilastojen ja 25 artiklan mukaisen käyttäjäpalautteen keräämisestä palveluväylän palveluista Suomessa. Jälkimmäiset tehtävät perustuvat valittuun kansalliseen täytäntöönpanotapaan ja vastuunjakoon.

KEHA-keskuksen tehtäviä todistusmateriaalin välittäjänä ja roolia rekisterinpitäjänä kansallisessa teknisessä järjestelmässä on selostettu esityksen jaksossa 3.2.3. Sen tietosuojaoikeudelliset tehtävät ja vastuut suhteessa siirtyviin henkilötietoihin juontuvat tältä osin tietosuoja-asetuksesta (mm. artikla 24 ”Rekisterinpitäjän vastuu” ja luku III ”Rekisteröidyn oikeudet”).

KEHA-keskuksella on toimintamenoissaan ollut pysyvä rahoitus kansallisen koordinaattorin tehtävien hoitamiseen vuodesta 2022 lähtien. Teknisen järjestelmän komponenttien rakentamista on rahoitettu erillisrahoituksella, kuten Pohjoismaisen ministerineuvoston Cross-Border Digital Services -ohjelman rahoituksella sekä KEHA-keskuksen toimintamenoilla. Teknisen järjestelmän kehittämiseen on myönnetty vuodelle 2024 työ- ja elinkeinoministeriön hallinnonalan digitalisaation kehittämisrahaa yhteensä 252 000 euroa. Lisäksi valtiovarainministeriö on päätöksellään 16.4.2024 myöntänyt KEHA-keskukselle tuottavuusrahaa siten, että OOTS-järjestelmän toteutuksen projektiin on osoitettu 1 548 000 euron käyttö- ja kirjausoikeutta vuoden 2023 talousarviossa momentille 28.70.20. Kokonaisrahoitustarve vuosille 2024–2025 on esitetty hakemuksessa olevan 2 519 000 euroa (2024: 1 548 000 euroa ja 2025: 971 500 euroa). Mainittu päätös kattaa vuoden 2024 rahoitustarpeen. Vuodelle 2025 on myönnetty määräraha ehdollisena edellyttäen, että eduskunta myöntää määrärahan talousarviossa eikä hankkeen toteuttamisessa tapahdu muita määrärahan myöntämiseen vaikuttavia muutoksia. Jotta järjestelmä saadaan kokonaisuudessaan valmiiksi, tarvitaan koko määräraha 2 771 500 euroa (TEM:n sekä VM:n kehittämis-/tuottavuusraha). Edelleen OOTS-järjestelmän ylläpito maksaa vuodesta 2025 alkaen 635 200 euroa/vuosi. Ylläpitorahoitusta ei ole osoitettu KEHA-keskukselle osana esitystä TAE2025.

SDG-asetuksen täytäntöönpanokuluihin on sisältänyt KEHA-keskuksen henkilöstökuluja sekä muita digitaalisen palveluväylän kansallisen portaalin perustamisen teknisiä kustannuksia. Budjetti ei ole sisältänyt toimivaltaisille viranomaisille asetuksen toimeenpanosta aiheutuvia kustannuksia, eikä myöskään esimerkiksi eIDAS-tunnistamisen ja muun sähköisen tunnistautumisen kansallista kehittämistä. Budjettiin sisältyneet tekniset kulut ovat olleet pääosin komission kehittämien teknisten ratkaisujen ja työkalujen käyttöönoton kuluja. Kansallisia teknisten ratkaisujen kehittämiskuluja ovat olleet lähinnä analytiikkatyökalujen kehittämiseen liittyviä kuluja.

Teknisen järjestelmän rahoituksen lähtökohtana on, että tekninen järjestelmä toteutetaan keskitettynä ratkaisuna, eli KEHA-keskus toteuttaa järjestelmän, jota kaikki Suomen viranomaiset voivat hyödyntää. Toinen vaihtoehto olisi, että kaikki viranomaiset toteuttaisivat rajat ylittävän tiedonvaihdon edellyttämät tekniset ratkaisut itsenäisesti osana omia asiointipalveluitaan ja rekistereitään. Keskitetyn teknisen ratkaisun lähtökohtia ovat olleet kustannustehokkuus, käyttäjälähtöisyys, käytettävyys ja tietoturvallisuus. Kustannustehokkuutta on haettu siitä, että jo tehtyjä investointeja pystyttäisiin hyödyntämään täysimääräisesti ja päällekkäisiä investointeja voitaisiin välttää mahdollisuuksien mukaan. Suunnittelun yhtenä lähtökohtana on ollut myös Suomi.fi -palveluiden täysimääräinen hyödyntäminen ja muiden tiedonvaihdon tuotteistettujen infrastruktuuripalveluiden hyödyntäminen.

Jotta kustannustehokkuuden vaatimus toteutuisi, tulisi viranomaisten asiointipalveluiden muutosten olla mahdollisimman pieniä. SDG-asetuksen vaikutukset ulottuvat useisiin kymmeniin asiointipalveluihin ja mikäli tekniset ratkaisut rakennettaisiin kaikkiin palveluihin, olisi investointi merkittävästi suurempi kuin keskitetyssä toteutuksessa. Keskitetyn ratkaisun kokonaiskustannusarvio on noin 9 miljoonaa euroa, kun taas hajautetun ratkaisun kustannusarvio on kokonaisuudessaan yhteensä 115 miljoona euroa.

Käytännössä SDG-asetus ja siihen perustuva palveluväylä todistusmateriaalin vaihtoineen tulee työllistämään myös tietosuojavaltuutetun toimistoa (jäljempänä TSVT ), jonka tehtävänä on valvoa tietosuojalainsäädännön noudattamista Suomessa. Nyt esitetyllä kansallisella täydennyksellä ei kuitenkaan ole taloudellisia tai muita vaikutuksia TSVT:lle. Lähinnä voidaan arvioida, että KEHA-keskusta koskeva täsmennys rekisterinpitäjyydestä on omiaan selkeyttämään todistusmateriaalin vaihtoa koskevaa tietosuojaoikeudellista oikeustilaa.

4.2.4Tietoyhteiskunta ja tietosuoja

Lainvalmistelussa on arvioitava tiedonhallinnan muutosvaikutukset tiedonhallintalain mukaisesti, kun valmisteltavat säännökset vaikuttavat tietoaineistoihin ja tietojärjestelmiin. Tiedonhallintalain 3 luvun 8 §:n 2 momentin mukaan toimialasta vastaavan ministeriön on laadittava 5 §:n 3 momentin mukainen arviointi, kun valmisteltavat säännökset vaikuttavat tietoaineistoihin ja tietojärjestelmiin. Lisäksi ministeriön on arvioitava suunniteltujen säännösten vaikutukset asiakirjojen julkisuuteen ja salassapitoon.

Suurimmat muutokset tiedonhallintaan (tietoaineistoihin ja tietojärjestelmiin) juontuvat SDG-asetuksesta, todistusmateriaalin vaihtoa koskevasta täytäntöönpanoasetuksesta ja kansallisesta teknisestä toteutustavasta. KEHA-keskuksen rooli todistusmateriaalin vaihtoa koskevan teknisen järjestelmän rekisterinpitäjänä olisi mahdollista ratkaista myös tulkinnallisesti, ottaen huomioon, että se vastaa järjestelmän perustamisesta ja toiminnasta, mutta lainsäädännön selkeyden vuoksi on haluttu tehdä täsmentävä kirjaus lakiin. KEHA-keskus on myös jo käytännössä toiminut kansallisena koordinaattorina. Kuten jaksossa 1.2.2 on todettu, KEHA-keskus on myös osaltaan laatinut tiedonhallintalain 5 §:n 3 momentin ja 8 §:n 1 momentin mukaisen arvion sekä huolehtinut 9 §:n mukaisesta lausuntomenettelystä. Tiedonhallintalain mukainen lausuntopyyntömenettely on hoidettu kevään 2023 aikana (lausuntopyyntö toimitettiin valtiovarainministeriölle 21.3. ja valtiovarainministeriö antoi vastauksensa 25.4.2023).

Esityksen yhteydessä on pyritty kartoittamaan tiedonhallintalain 5 §:n 3 momentin ja 8 §:n 2 momentin mukaista tiedonhallinnan muutosten arviointia lainvalmistelussa pääpiirteittäin. Vaikutuksia on selostettu erityisesti jaksoissa 3.2.1, 3.2.3 ja 4.2.3, joissa käsitellään mm. todistusmateriaalin vaihtoa OOTS-järjestelmässä, kansallista teknistä ratkaisua ja KEHA-keskuksen rekisterinpitoa.

Toimivaltaiset viranomaiset ovat omalta osaltaan velvollisia toimimaan, mikäli asetus aiheuttaisi heille sellaisia muutoksia, joista olisi tiedonhallintalain 5 §:n 3 momentin tai 8 §:n 1 momentin nojalla tehtävä vaikutusarvio taikka 9 §:n nojalla huolehdittava lausuntomenettelystä.

Kyse ei ole sellaisesta muutoksesta, joka edellyttäisi tietosuoja-asetuksen 35 artiklan mukaisen tietosuojaa koskevan vaikutustenarvioinnin tekemistä lainvalmistelussa. EU:n tietosuojavaltuutettu antoi lausunnon todistusmateriaalin vaihtoa koskevan täytäntöönpanoasetuksen valmistelun yhteydessä, ottaen kantaa lähinnä komission ja jäsenmaiden rooleihin OOTS-järjestelmässä ja todistusmateriaalin vaihdossa (ARES(2021)3127907 – 10/05/2021). EU:n tietosuojavaltuutettu piti sääntelyä pääosin asianmukaisena, mutta nosti esille joitakin täsmennettäviä seikkoja, kuten komission rajattua roolia OOTS-järjestelmän hallintojärjestelmässä. EU:n tietosuojavaltuutettu kiitti mm. sääntelyä esikatselutilasta. Komissio oli vuorostaan osana ”Staff working document” -asiakirjaa laatinut tietosuojaa koskevan vaikutusarvion ko. täytäntöönpanoasetuksesta.

KEHA-keskus ja toimivaltaiset viranomaiset ovat omalta osaltaan tarvittaessa velvollisia suorittamaan tietosuojaa koskevan vaikutusarvion. KEHA-keskus on toteuttanut selvityksen EU:n tietosuoja-asetuksen 35 artiklan mukaisesta tietosuojaa koskevasta vaikutusarvioinnista. Kansallisen täytäntöönpanon valmistelun yhteydessä on arvioitu, että OOTS-järjestelmään ja todistusmateriaalin vaihtoon liittyy riskejä jo puhtaasti siitä syystä, että järjestelmässä tullaan vaihtamaan monen eri alan todistusmateriaalia, joka sisältää henkilötietoja, ja volyymit tulevat olemaan isoja. SDG-asetuksen säännöksillä ja siihen perustuvan todistusmateriaalin vaihtoa koskevan täytäntöönpanoasetuksen vaatimuksilla on kuitenkin pyritty luomaan järjestelmä, joka itsessään huomioi teknisen turvallisuuden ja henkilötietojen käsittelyn lainmukaisuuden lainsäädännöltä edellytettävällä tarkkuudella.

5.1.1Yleistä

Pääasiallisena vaihtoehtona olisi jättää SDG-asetuksen täytäntöönpano yksinään asetuksen, sen täytäntöönpanosäädösten ja voimassa olevan sääntelyn muodostaman oikeustilan varaan. Viranomaisten keskinäistä vastuunjakoa ja rooleja voitaisiin tässä tapauksessa selkeyttää yhteistyöllä ja keskinäisin sopimuksin.

Voidaan kuitenkin pitää perusteltuna asettaa lainsäädäntötoimin asetuksen tarkoittama kansallinen koordinaattori, ottaen huomioon, että SDG-asetuksen mukaan kunkin jäsenvaltion on nimitettävä kansallinen koordinaattori, eikä niitä määritellä erikseen SDG-asetuksessa. Perustuslain 2 §:n 3 momentin nojalla viranomaisten tehtävien on perustuttava lakiin, ja lähtökohtana on pidetty, että kussakin asiassa toimivaltaisen viranomaisen tulee käydä ilmi laista. Tehtävä on siten perusteltua säätää jollekin viranomaiselle, vaikka KEHA-keskus on jo käytännössä toiminut kansallisen koordinaattorin roolissa. Kansallisen koordinaattorin SDG-asetuksen mukaiset tehtävät ilmenevät sen sijaan asetuksen 28 artiklassa, eikä niistä edellytetä säädettävän kansallisesti. Lisäksi, jotta KEHA-keskuksen ja kansallisten toimivaltaisten viranomaisten tietosuojaoikeudellisista vastuista ei muodostu epäselvyyttä, on tarkoituksenmukaista säätää KEHA-keskuksen roolista teknisen järjestelmän rekisterinpitäjänä, jonka on arvioitu vastaavan tosiasiallista tilannetta. Suomessa OOTS-järjestelmä on toteutettu niin, että KEHA-keskus toimii teknisen järjestelmän omistajana. Lisäksi on nähty perustelluksi mainita säännöksessä, että KEHA-keskuksella on oikeus vastaanottaa ja luovuttaa edelleen järjestelmässä liikkuvaa todistusmateriaalia toimivaltaisen viranomaisten välillä.

Kansallisen koordinaattorin nimittämistä lukuun ottamatta SDG-asetuksessa ei edellytetä täydentävää kansallista sääntelyä, ja sääntelyn välttämättömyys tältä osin juontuu puhtaasti kansallisista näkökohdista.

Todistusmateriaalin vaihtoa koskevan täytäntöönpanoasetuksen 21 artiklan mukaan jäsenvaltioiden on nimettävä kansallinen teknisen tuen keskitetty asiointipiste, jona KEHA-keskus tulee toimimaan. Tehtävän luonteesta johtuen tätä ei nähdä syytä mainita lain tasolla. 1.1.2025 voimaan tulevan lainkohdan nojalla (ELY-keskuksista annetun lain 3 a §:n 2 momentin 8 kohta, jota esitetään siirrettäväksi uudeksi 9 kohdaksi) KEHA-keskuksen tehtävänä on hoitaa myös muita työ- ja elinkeinoministeriön sille määräämiä tehtäviä.

5.1.2Kansallinen koordinaattori

SDG-asetuksen kansalliselle koordinaattorille asettamat tehtävät ovat uusia viranomaistehtäviä, joita ei ole ennestään säädetty millekään kansalliselle viranomaiselle. Esivalmistelussa arvioitiin, että KEHA-keskus soveltuu parhaiten hoitamaan kansallisen koordinaattorin tehtävää. Toisena vaihtoehtona huomioitiin Digi- ja väestötietovirasto, mutta KEHA-keskusta puolsi mm. SDG-asetuksen olevan vahvasti sisämarkkinasääntelyä. Komissio on pyytänyt jäsenmaita nimeämään kansalliset koordinaattorit lokakuussa 2018 ennen asetuksen voimaantuloa 11.12.2018, jolloin on perustettu asetuksen mukainen koordinaatioryhmä. Komissiolle toimitetussa nimeämiskirjeessä kansalliseksi koordinaattoriksi on siten ilmoitettu KEHA-keskus, joka on jo hoitanut mainittua tehtävää, ja jolla on pitkä kokemus olemassa olevien sisämarkkinapalveluiden ylläpito- ja kehitystyöstä (mukaan lukin Your Europe –palvelu, palveludirektiivin mukainen keskitetty asiointipiste ja EURES). Nämä verkkopalvelut ovat keskeinen osa digitaalista palveluväylää. KEHA-keskus on myös ollut aktiivisesti mukana asiantuntijaroolissa ehdotuksesta käydyissä neuvotteluissa. Kokonaisnäkemys kansallisista palveluista sekä niiden suhteesta ja liittymisestä EU-tason viitekehykseen on tehtävässä olennaisen tärkeää. SDG-asetuksen toimeenpanoon liittyy myös keskeisesti monia teknisiä elementtejä

Ottaen huomioon Suomen keskitetyn hallintorakenteen, ei ole arvioitu olevan tarvetta useamman kansallisen koordinaattorin nimittämiselle, vaikka asetus sen mahdollistaakin. On oletettavaa, että mahdollisuutta hyödynnetään jäsenvaltioissa, joissa maakunnilla tai osavaltioilla on kehittynyt itsehallinto-oikeus, tai joissa on muita olosuhteita, jotka puoltavat tehtävien jakamista. Suomen olosuhteissa on sen sijaan arvioitu olevan selkeämpää ja kustannustehokkaampaa, että tehtävä on lähtökohtaisesti yhdellä viranomaisella.

5.1.3Toimivaltaiset viranomaiset

SDG-asetuksessa ei mainita nimenomaisesti niitä viranomaisia, jotka ovat asetuksen tarkoittamia toimivaltaisia viranomaisia. Ne määrittyvät kussakin jäsenvaltiossa asetuksen 3 artiklan 4 kohdan nojalla, jonka mukaan toimivaltaisella viranomaisella tarkoitetaan jäsenvaltion kansallisen, alueellisen tai paikallisen tason viranomaista tai elintä, jolla on erityisiä vastuita, jotka liittyvät tämän asetuksen soveltamisalaan kuuluviin tietoihin, menettelyihin tai neuvonta- ja ongelmanratkaisupalveluihin. Toimivaltaisia viranomaisia on käytännössä lukuisia, ja osittain niiden tehtävät saattavat kohdistua samoihin tai osittain samoihin palveluihin.

Ottaen huomioon, että SDG-asetuksen soveltamisalaa on jo laajennettu uusien EU-säädösten myötä, ja liitteisiin saattaa tulevaisuudessa tulla lisää muutoksia, ja kansallisesti tehtävät saattavat allokoitua uudelleen viranomaisten kesken esim. hallintorakenteiden muutosten myötä, ei olisi toimiva ratkaisu ylläpitää staattista luetteloa, jossa kansalliset viranomaiset olisivat nimenomaisesti lueteltu laissa tai asetuksessa. Tämänkaltainen lainsäädäntöratkaisu on käytössä esim. sosiaaliturvan alalla (laki sosiaaliturvajärjestelmien yhteensovittamista koskevan Euroopan unionin lainsäädännön soveltamisesta (352/2010) ), jossa erona nyt esillä olevan kaltaiseen tilanteeseen kyseiset palvelut kohdistuvat keskitetymmälle hallinnon alalle ja sääntely vaikuttaa keskeisesti henkilöiden sosiaaliturva-alan oikeuksiin. SDG-asetuksen tarkoituksena on ennen kaikkea helpottaa EU-kansalaisten ja yritysten rajat ylittävää asiointia – se ei vaikuta menettelyiden asiasisältöön tai menettelyiden kautta myönnettyihin oikeuksiin asetuksen soveltamisalaan kuuluvilla aloilla (SDG-asetus, 1 artikla 3 kohta). Asetus luo velvoitteita jäsenmaille ja niiden toimivaltaisille viranomaisille edistää em. asiointia, ja toimii suhteessa niihin suoraan velvoittavana säädöspohjana.

Koska lainsäädännön muuttaminen tapahtuu aina viiveellä, ja SDG-asetus sisältää määritelmän toimivaltaisista viranomaisista, jonka mukaan ne määrittyvät liitteissä mainittujen tehtävien ja aiheiden mukaisesti (jolloin muutokset ja lisäykset liitteisiin automaattisesti vaikuttavat siihen, mitkä tahot ovat asetuksen velvoittamia toimivaltaisia viranomaisia), ei esitykseen sisälly ehdotusta toimivaltaisten viranomaisten nimenomaiseksi mainitsemiseksi. Kansalliset koordinaattorit huolehtivat käytännössä siitä, että komissiolle ilmoitetaan kansalliset toimivaltaiset viranomaiset ja muutokset näitä koskien, jotta varmistetaan toimiva tietojenvaihto luotavassa teknisessä järjestelmässä. Näin ollen toimivaltaisista viranomaisista on kuitenkin oltava selvyys kansallisesti. KEHA-keskus myös ylläpitää julkista luetteloa kansallisista toimivaltaisista viranomaisista KEHA-keskuksen sdgfinland.fi-verkkosivuilla.

5.1.4Tietosuoja

Ottaen huomioon joissakin naapurimaissa valitut ratkaisut täydentävän lainsäädännön osalta, ja myös kansalliset selvitykset täydentävän tietosuojasääntelyn tarpeesta, ei täydentävää lainsäädäntöä voida pitää täysin välttämättömänä. Oikeustilan selkeyden ja eri tahojen oikeusturvan kannalta etenkin KEHA-keskuksen roolia rekisterinpitäjänä on kuitenkin pidetty tarpeellisena selkeyttää. Vaihtoehtoina olisi katsoa toimivaltaisten viranomaisten ja KEHA-keskuksen tietosuojaoikeudellista roolitusta tietosuoja-asetuksen 26 artiklan mukaisena yhteisrekisterinpitäjyytenä siltä osin, kun tieto liikkuu kansallisessa teknisessä järjestelmässä, taikka KEHA-keskusta toimivaltaisten viranomaisten lukuun toimivana henkilötietojen käsittelijänä. Sekä valmistelun yhteydessä laaditussa oikeudellisessa selvityksessä että viranomaisten käymissä keskusteluissa KEHA-keskuksen roolin ja tehtävien on arvioitu vastaavan rekisterinpitäjää. Tämän on katsottu parhaiten kuvastavan tosiasiallista tehtävänjakoa, sillä KEHA-keskuksella on merkittävää harkintavaltaa sen osalta, miten ja mitä tietoa järjestelmässä liikkuu. Parhaimmaksi vaihtoehdoksi on myös nähty tehdä oikeustilaa selkeyttävät muutokset lainsäädäntöön, joskin vain siltä osin kuin voidaan pitää välttämättömänä. SDG-asetus täytäntöönpanosäädöksineen, nykyinen tietosuojasääntely sekä komission alatyöryhmissä tehdyt tulkintalinjaukset muodostavat pääasiallisen kehikon tietosuojalle.

5.2.1Ruotsi

Ruotsissa on annettu laki ja asetus SDG-asetuksen täydentämiseksi: Lag (2022:126) med kompletterande bestämmelser till EU:s förordning om en gemensam digital ingång; Förordning (2022:127) med kompletterande bestämmelser till EU:s förordning om en gemensam digital ingång. Laki tuli voimaan huhtikuussa 2022, pois lukien lain 4 §, joka tuli voimaan 12.12.2023. Laissa mainitaan tietosisältö, neuvonta- ja tukipalvelut sekä menettelyt, joihin toimivaltaisten viranomaisten on mahdollistettava pääsy yhteisen palveluväylän kautta, viittaamalla SDG-asetuksen eri artikloihin ja liitteisiin. Lisäksi laissa on ollut säännös hallituksen toimivallasta määrätä asetuksen tarkoittamat toimivaltaiset viranomaiset ja kansalliset koordinaattorit. Lain voimaantulon jälkeen on kuitenkin hyväksytty lakimuutos, joka poistaa hallituksen toimivallan määrätä kansalliset toimivaltaiset viranomaiset. Muutosta on perusteltu sillä, että on osoittautunut selkeämmäksi, että toimivaltaiset viranomaiset määräytyvät tehtäviensä ja siten suoraan SDG-asetuksen nojalla, ottaen huomioon mitä toimivaltaisten viranomaisten määräytymisestä on säädetty SDG-asetuksen 3 artiklan 4 kohdassa. Lakimuutos tuli voimaan 1.7.2024. Asetuksessa (2022:127) määrätään lain mukaisesti kansallisesta koordinaattorista sekä sen tehtävistä. Kansallisena koordinaattorina toimii Digg – Myndigheten för digital förvaltning. Tehtävien osalta on pääasiassa kyse SDG-asetuksessa mainittujen tehtävien kertaamisesta. Laissa asetetaan toimivaltaisille viranomaisille velvoite toimittaa tarvittavaa informaatiota kansalliselle koordinaattorille, jotta tämä voi hoitaa SDG-asetuksen mukaisia tehtäviään, ja asetustasolla täsmennetään, että kansallinen koordinaattori voi antaa velvoitteesta tarkempia määräyksiä. Informaatiovelvoitetta suhteessa kansalliseen koordinaattoriin ei pidetä lisävelvoitteena suhteessa SDG-asetukseen, vaan lähinnä tarpeellisena varmistamaan asetuksen sujuvaa täytäntöönpanoa. Asetuksen liitteessä mainittiin aluksi toimivaltaiset viranomaiset, mutta liite poistettiin osana edellä mainittua lakimuutosta. Sen sijaan asetukseen jäi voimaan säännös kansallisen koordinaattorin velvoitteesta pitää julkisesti saatavilla tietoa toimivaltaisten viranomaisten vastuualueista liitteiden I–III nojalla.

Kansalliselle koordinaattorille ei ole asetettu tehtävää rekisterinpitäjänä, eikä tietosuoja-kysymyksistä ole annettu täydentävää kansallista sääntelyä. On kuitenkin käynnissä selvitys siitä, onko tarvetta selkeyttää tietosuoja-kysymyksiä kansallisella lainsäädännöllä. Selvityksen aikataulusta ja lopputuloksesta ei ole vielä varmuutta.

5.2.2Tanska

Tanskassa kansalliseksi koordinaattoriksi on nimetty Digitaliseringsstyrelsen. Koordinaattori on nimitetty hallinnollisessa prosessissa perustuen siihen, että digitalisaatio- ja tasa-arvoministeriölle (”digitaliserings og ligestillingministeriet”) on delegoitu kansallinen vastuu SDG-asetuksesta. Tanskassa ei ole nähty tarvetta täydentävälle kansalliselle lainsäädännölle koskien tietojenvaihtoon liittyvää tietosuojasääntelyä. Lakisääteistä velvoitetta pidetään perusteltuna tietosuojaoikeudellisena oikeusperustana OOTS-järjestelmässä. Toimivaltaiset viranomaiset ovat rekisterinpitäjiä sellaisen tiedon osalta, jonka ne jakavat todistusmateriaalin antajina taikka vastaanottavat todistusmateriaalin pyytäjinä. SDG-asetusta ja todistusmateriaalin vaihtoa koskevaa täytäntöönpanoasetusta pidetään riittävänä oikeusperustana sille, että Digitaliseringsstyrelsen toimii rekisterinpitäjänä prosessissa, jossa viestejä vaihdetaan tanskalaisten toimivaltaisten viranomaisten sekä muiden jäsenvaltioiden OOTS-portaalien kautta. Rekisterinpitäjänä Digitaliseringsstyrelsen vastaa tietosuojasta tietosuoja-asetuksen mukaisesti, mutta tämä rooli määrittyy suoraan tietosuoja-asetuksesta.

Toimivaltaisia viranomaisia ei määritellä kansallisella sääntelyllä vaan ne määrittyvät suoraan SDG-asetuksen nojalla. Kansallinen koordinaattori on käynyt vuoropuhelua kansallisten viranomaisten kanssa ja avustanut heitä arvioimaan soveltuuko heihin SDG-asetus vaiko ei. On kuitenkin toimivaltaisten viranomaisten vastuulla arvioida, onko heillä implementoituna prosesseja tai rekistereitä, joissa on SDG-asetuksen soveltamisalaan kuuluvia OOTS-asiakirjoja.

5.2.3Viro

Virossa kansallisen koordinaattorin tehtävät määräytyvät SDG-asetuksen nojalla eikä niiden osalta ole tehty kansallisia täydennyksiä. Myöskään kansallisen koordinaattorin nimittämistä ei ole tehty lainsäädännön tasolla. Kansallisella koordinaattorilla ei tule olemaan roolia todistusmateriaalin vaihdossa eikä se tule toimimaan rekisterinpitäjänä. Eri viranomainen ( Information System Authority ) vastaa tiedonvälitysalustasta, joka toimii ns. välittäjänä eri viranomaisten välisessä todistusmateriaalin vaihdossa. Käynnissä on selvitys tarvittavien lakimuutosten tekemiseksi, jotta todistusmateriaalia voidaan vaihtaa rajat ylittävästi. Tarvittavat muutokset on tarkoitus tehdä julkisuuslakiin ( Public Information Act ). Lisäksi selvitetään mahdollisia tarvittavia lakimuutostarpeita eri toimijoiden tehtävien ja vastuiden selventämiseksi. Muutokset koskisivat tiedonvälitysalustaa ja toimivaltaisia viranomaisia, jotka tulevat toimimaan rekisterinpitäjinä.

Toimivaltaiset viranomaiset määräytyvät SDG-asetuksen 3 artiklan 4 kohdan nojalla.