906/2019

Syftet med denna lag är att

Genom denna lag genomförs till vissa delar Europaparlamentets och rådets direktiv 2013/37/EU om ändring av direktiv 2003/98/EG om vidareutnyttjande av information från den offentliga sektorn.

I denna lag avses med

Denna lag ska tillämpas på informationshantering och på användning av informationssystem, då myndigheter behandlar informationsmaterial, om inte något annat föreskrivs någon annanstans i lag. Vad som i denna lag föreskrivs om myndigheter ska också tillämpas på universitet som avses i universitetslagen (588/2009) och på yrkeshögskolor som avses i yrkeshögskolelagen (932/2014).

Det föreskrivs särskilt om förfaranden som ska iakttas vid ärendehantering och tjänsteproduktion, om sekretessbeläggning och om rätten till information om myndighetshandlingar samt om arkivering av handlingar. I kyrkolagen (1054/1993) föreskrivs om informationshantering och användning av informationssystem inom Finlands evangelisk-lutherska kyrka.

Bestämmelserna i 19, 20, 26 och 27 § ska inte tillämpas på rättskipningen vid domstolar eller nämnder som har inrättats för att behandla besvärsärenden. Bestämmelserna i 3 kap. ska inte tillämpas på riksdagens justitieombudsmans, justitiekanslerns i statsrådet eller domstolarnas verksamhet eller verksamheten vid nämnder som har inrättats för att behandla besvärsärenden och inte heller på presidentens kansli, riksdagens ämbetsverk, Folkpensionsanstalten, Finlands Bank, övriga självständiga offentligrättsliga inrättningar, universitet som avses i universitetslagen eller på yrkeshögskolor som avses i yrkeshögskolelagen. Bestämmelserna i 3 kap. ska tillämpas på kommuner och samkommuner då de sköter lagstadgade uppgifter.

Bestämmelserna i 4 kap. och 22–27 § ska tillämpas på privatpersoner, sammanslutningar och offentligrättsliga samfund som inte är myndigheter till den del som de sköter offentliga förvaltningsuppgifter. På privatpersoner, sammanslutningar och offentligrättsliga samfund som inte är myndigheter tillämpas dessutom det som föreskrivs i 4 och 28 § när de utövar offentlig makt på det sätt som avses i 4 § 2 mom. i lagen om offentlighet i myndigheternas verksamhet eller när det särskilt föreskrivs att den lagen ska tillämpas på deras verksamhet.

Denna lag ska inte tillämpas på landskapsmyndigheter och inte heller på statliga och kommunala myndigheter i landskapet Åland.

Informationshanteringsenheter enligt denna lag är

En informationshanteringsenhets ledning ska ombesörja att det vid enheten

En informationshanteringsenhet ska upprätthålla en informationshanteringsmodell som definierar och beskriver informationshanteringen i dess verksamhetsmiljö. Informationshanteringsmodellen ska upprätthållas för planering och genomförande av tjänster, ärendebehandling och hantering av informationsmaterial, för genomförande av rättigheter och begränsningar i fråga om tillgången till information, för att minska överlappande insamling av information, för genomförande av interoperabilitet mellan informationssystem och informationslager samt för upprätthållande av informationssäkerhet.

Av informationshanteringsmodellen ska framgå åtminstone uppgifter om

Vid planeringen av väsentliga administrativa reformer som har konsekvenser för innehållet i informationshanteringsmodellen och i samband med att informationssystem tas i bruk ska informationshanteringsenheten bedöma de förändringar som hänför sig till åtgärderna och deras konsekvenser i förhållande till ansvaren för informationshanteringen, informationssäkerhetskraven och informationssäkerhetsåtgärderna enligt 4 kap., kraven på skapande och sättet för utlämnande av informationsmaterial enligt 5 kap., kraven på ärendehantering och informationshantering i samband med tjänsteproduktion enligt 6 kap. och, enligt vad som föreskrivs någon annanstans i lag om handlingsoffentlighet, sekretessbeläggning, skyddande av information samt informationsrättigheter. Informationshanteringsenheten ska i sin bedömning av förändringar som avser informationshantering beakta interoperabiliteten mellan informationslager samt möjligheterna att utnyttja informationslager för skapande och utnyttjande av informationsmaterial. På basis av bedömningen ska informationshanteringsenheten vidta de åtgärder som behövs för att ändra informationshanteringsmodellen och genomföra ändringarna. Det föreskrivs särskilt om konsekvensbedömning i fråga om dataskydd och om förhandssamråd i samband därmed.

Finansministeriet svarar för den allmänna styrningen av interoperabiliteten mellan den offentliga förvaltningens gemensamma informationslager. I detta syfte ska finansministeriet

Varje ministerium ska inom sitt eget ansvarsområde sköta uppdateringen av innehållet i den offentliga förvaltningens informationshanteringskarta och upprätthålla de allmänna riktlinjerna i syfte att främja interoperabiliteten mellan ansvarsområdets gemensamma informationslager och informationssystem. Genom förordning av statsrådet kan det föreskrivas närmare om innehållet i och upprätthållandet av den offentliga förvaltningens informationshanteringskarta.

Finansministeriet ska ombesörja att det för koordineringen av samarbetet mellan den offentliga förvaltningens informationshantering och produktionen av informations- och kommunikationstekniska tjänster har ordnats samarbetsmetoder och samarbetsförfaranden för myndigheter vid statliga ämbetsverk och inrättningar samt för kommunala myndigheter. Syftet med samarbetet är att främja genomförandet av de syften som avses i denna lag samt att utveckla den offentliga förvaltningens förfaranden och metoder för tjänsteproduktion genom utnyttjande av informationslager samt informations- och kommunikationsteknik. Inom samarbetet ska utvecklingen, förändringarna i och konsekvenserna av den offentliga förvaltningens informationshantering samt de informations- och kommunikationstekniska tjänsterna följas upp.

För samarbetet enligt 1 mom. kan statsrådet tillsätta delegationer eller andra samarbetsorgan.

De statliga ämbetsverken och inrättningarna ska i sin bedömning enligt 5 § 3 mom. utvärdera de ekonomiska konsekvenserna av förändringar som är relevanta för informationshanteringen.

Det ministerium som ansvarar för verksamhetsområdet ska göra en bedömning enligt 5 § 3 mom. då bestämmelser som är under beredning återverkar på informationsmaterial och informationssystem. Dessutom ska ministeriet bedöma planerade bestämmelsers konsekvenser för handlingsoffentligheten och handlingssekretessen.

De statliga ämbetsverken och inrättningarna ska tillställa finansministeriet en på basis av 5 § 3 mom. och 8 § 1 mom. gjord bedömning för utlåtande om utnyttjandet av informationslager och informationssystem samt om interoperabiliteten och informationssäkerheten, då en förändring bedöms få betydande ekonomiska eller funktionella konsekvenser för informationshanteringen eller verksamheten eller då det är fråga om väsentliga förändringar i strukturella gränssnitt för gemensamma informationslager inom den offentliga förvaltningen. Finansministeriet har för avgivande av utlåtande rätt att trots sekretessbestämmelserna få nödvändig information från statliga myndigheter.

Närmare bestämmelser om förändringar i informationshanteringen som förutsätter utlåtande, om innehållet i begäran om utlåtande och om förfarandet i ett ärende som gäller utlåtande utfärdas genom förordning av statsrådet.

I anslutning till finansministeriet finns en informationshanteringsnämnd för den offentliga förvaltningen ( informationshanteringsnämnden ) med uppgift att

Statsrådet utser informationshanteringsnämnden för fyra år i sänder. Nämnden har en ordförande, en vice ordförande samt ledamöter med sakkunskap när det gäller informationssäkerhet inom den offentliga förvaltningen, interoperabilitet mellan informationssystem och informationslager, statistik eller hantering av informationsmaterial. Genom förordning av statsrådet föreskrivs det närmare om informationshanteringsnämndens sammansättning, organiseringen av dess verksamhet och beslutsförfarande samt behörighetskraven för ledamöterna.

Finansministeriet utser bland sina tjänstemän sekreterare i bisyssla för nämndens mandatperiod. Genom förordning av statsrådet föreskrivs närmare om sekreterarnas uppgifter.

På ledamöterna och ersättarna tillämpas bestämmelserna om straffrättsligt tjänsteansvar när de sköter uppgifter som hör till nämnden. I skadeståndslagen (412/1974) föreskrivs om skadeståndsansvar. Till ledamöterna och ersättarna betalas ersättning för skötsel av uppgifterna. Finansministeriet fastställer ersättningsbeloppen.

Informationshanteringsnämnden kan tillsätta tillfälliga sektioner för utveckling av informationshanteringsförfarandena. Till sektionerna kan höra sakkunniga vid informationshanteringsenheter. Nämndens sekreterare är ordförande för sektionerna. Befolkningsregistercentralen har i uppgift att för informationshanteringsnämnden producera sakkunnigtjänster i syfte att utveckla förfarandena för informationshantering och informationssäkerhet.

Genomförandet av informationshanteringsnämndens bedömningsuppgift baserar sig på en bedömningsplan som nämnden godkänt.

Informationshanteringsnämnden har trots sekretessbestämmelserna rätt att för skötseln av en bedömningsuppgift, från de myndigheter som är föremål för bedömning kostnadsfritt få sådana utredningar som är nödvändiga för skötseln av bedömningsuppgiften samt behövliga uppgifter om informationshanteringsmodellen, om bedömningen av förändringar i informationshanteringen, om den beskrivning som avses i 28 §, om de förfaranden som används för ärendehanteringen och informationshanteringen i samband med tjänsteproduktion, om teknologin för omvandling av handlingar till elektroniskt format, om upprättande av elektroniska förbindelser och om beskrivningar av tekniska gränssnitt, om användning och administrering av tekniska gränssnitt samt om förfarandena för användning av gränssnitt, med undantag för säkerhetsklassificerade handlingar. Myndigheten ska inom utsatt tid tillställa informationshanteringsnämnden begärd information.

Om informationshanteringsnämnden konstaterar brister i fråga om iakttagandet av de bestämmelser som i enlighet med 10 § 1 mom. 1 punkten är föremål för bedömning, kan nämnden uppmärksamgöra myndigheten på genomförandet av de till informationshanteringen anslutna förfarandena enligt denna lag och uppfyllandet av kraven.

Informationshanteringsnämnden ska vartannat år utarbeta en berättelse över bedömningsresultaten och överlämna den till finansministeriet.

En informationshanteringsenhet ska identifiera uppgifter som förutsätter särskild tillförlitlighet hos anställda eller personer som handlar för enhetens räkning. I säkerhetsutredningslagen (726/2014) föreskrivs om förutsättningar för säkerhetsutredning av person. I lagen om integritetsskydd i arbetslivet (759/2004) föreskrivs om arbetsgivarens rätt att för utredning av arbetstagarens tillförlitlighet utreda kreditupplysningar om denne och behandla uppgifter om narkotikatest.

En informationshanteringsenhet ska följa upp informationssäkerhetens tillstånd i sin verksamhetsmiljö och säkerställa informationsmaterialens och informationssystemens informationssäkerhet under hela deras livscykel. Informationshanteringsenheten ska identifiera relevanta risker som är förenade med informationsbehandlingen och dimensionera informationssäkerhetsåtgärderna utifrån riskbedömningen.

De med tanke på skötseln av en myndighets uppgifter relevanta informationssystemens feltolerans och funktionella användbarhet ska regelbundet säkerställas genom tillräcklig testning.

Myndigheten ska planera informationssystemen, informationslagrens strukturer och informationsbehandlingen i samband med dem på ett sådant sätt att handlingsoffentligheten utan svårighet kan genomföras.

Myndigheten ska vid sina upphandlingar säkerställa att de aktuella informationssystemen har lämpliga säkerhetsåtgärder.

Angående bedömning av informationssäkerheten i myndigheters informationssystem och datakommunikation föreskrivs särskilt.

Om en myndighet överför sekretessbelagd information i det allmänna datanätet ska informationen överföras i ett krypterat eller på annat sätt skyddat format. Dessutom ska överföringen ordnas så att mottagaren verifieras eller identifieras på ett tillräckligt informationssäkert sätt, innan mottagaren kommer åt att behandla den överförda sekretessbelagda informationen.

I lagen om tillhandahållande av digitala tjänster (306/2019) föreskrivs om identifiering av användaren i samband med digitala tjänster som tillhandahålls allmänheten.

Myndigheterna ska genom adekvata säkerhetsåtgärder i fråga om sina informationsmaterial säkerställa att

Informationsmaterial ska behandlas och förvaras i verksamhetslokaler som är tillräckligt säkra enligt kraven på tillförlitlighet, integritet och tillgänglighet.

Den systemansvariga myndigheten ska definiera användarrättigheterna för informationssystem. Användarrättigheterna ska definieras och uppdateras utifrån användarens uppgiftsrelaterade användningsbehov.

En myndighet ska ombesörja att logginformation insamlas om användning av dess informationssystem och om utlämnande av information från dem, om användningen förutsätter identifiering eller annan registrering. Syftet med logginformationen är uppföljning av användningen och utlämnandet av information från informationssystem samt utredning av tekniska systemfel.

Myndigheter vid statliga ämbetsverk och inrättningar, domstolar och nämnder som har inrättats för att behandla besvärsärenden ska säkerhetsklassificera handlingar och förse dem med anteckning om säkerhetsklass som visar vilket slag av informationssäkerhetsåtgärder som ska vidtas vid behandlingen av dem. Anteckning om säkerhetsklass ska göras, om en handling eller informationen i den är sekretessbelagd enligt 24 § 1 mom. 2, 5 eller 7–11 punkten i lagen om offentlighet i myndigheternas verksamhet och om obehörigt avslöjande eller obehörig användning av handlingen kan orsaka skada för försvaret, för förberedelser inför undantagsförhållanden, för internationella relationer, för brottsbekämpningen, för den allmänna säkerheten eller för stats- och samhällsekonomins funktion, eller på något annat jämförbart sätt för Finlands säkerhet.

En handling får inte förses med en anteckning om säkerhetsklass i andra fall än sådana som avses i 1 mom., om anteckningen inte behövs för att fullgöra en internationell förpliktelse som gäller informationssäkerhet eller om handlingen annars har samband med internationellt samarbete.

Sådana handlingar som avses i lagen om internationella förpliktelser som gäller informationssäkerhet (588/2004) ska förses med anteckning om säkerhetsklass så som föreskrivs i den lagen.

Genom förordning av statsrådet föreskrivs närmare om säkerhetsklassificering, anteckningar i säkerhetsklassificerade handlingar och informationssäkerhetsåtgärder som anknyter till behandlingen av säkerhetsklassificerade handlingar. I 25 § i lagen om offentlighet i myndigheternas verksamhet föreskrivs om anteckning om sekretess.

Om en handling inkommer till en myndighet i annat än elektroniskt format ska den omvandlas till elektroniskt format, om det i eller med stöd av lag föreskrivs att handlingen ska förvaras varaktigt eller arkiveras. Myndigheten ansvarar för att en till elektroniskt format omvandlad handlings tillförlitlighet och integritet säkerställs. Handlingar som utarbetats av en myndighet ska förvaras elektroniskt. Undantag får göras från kravet på omvandling till elektroniskt format och elektronisk förvaring om det är nödvändigt på grund av behandlingskraven för säkerhetsklassificerade handlingar, övriga informationssäkerhetskrav eller av någon annan nödvändig orsak som har samband med handlingens karaktär.

Med beaktande av vad som särskilt föreskrivs om rätten till information och om skydd för personuppgifter, ska myndigheten ombesörja att informationsmaterialet är tillgängligt och att materialet inklusive beskrivningsuppgifter kan utnyttjas i ett allmänt maskinläsbart format, om materialet direkt från originalformatet kan omvandlas till maskinläsbart format.

Myndigheten får för omvandlingen till elektroniskt format anlita en privat aktör med tillräckliga tekniska förutsättningar och kunskaper för att sköta en sådan uppgift. På den aktör som utför uppgiften ska tillämpas bestämmelserna om straffrättsligt tjänsteansvar. I skadeståndslagen föreskrivs om skadeståndsskyldighet.

En myndighet ska sträva efter att utnyttja en annan myndighets informationsmaterial, om den första myndigheten har rätt att via ett tekniskt gränssnitt eller en elektronisk förbindelse få den behövliga informationen från den andra myndigheten. Vid utnyttjandet av informationen ska parters och andra förvaltningskunders rättssäkerhet tillgodoses.

Om en myndighet har rätt att från en annan myndighets informationslager via ett tekniskt gränssnitt eller en elektronisk förbindelse få tillförlitlig och uppdaterad information för skötseln av sina uppgifter, får den inte kräva att dess kunder visar upp eller lämnar in intyg eller utdrag, om det inte är nödvändigt för utredning av ärendet.

Om det inte i lag föreskrivs om förvaringstiderna för informationsmaterial eller handlingar ska förvaringstiderna bestämmas med beaktande av

Efter det att förvaringstiden gått ut ska informationsmaterialen utan dröjsmål arkiveras eller förstöras på ett informationssäkert sätt.

Det föreskrivs särskilt om ansvaren för bestämmande av förvaringstiderna, om arkivering och om arkivverkets uppgifter.

Myndigheterna ska genomföra regelbundet återkommande och standardiserad elektronisk överföring av information mellan informationssystem via tekniska gränssnitt, om den mottagande myndigheten enligt lag har rätt till informationen. Regelbundet återkommande och standardiserad elektronisk överföring av information kan genomföras på något annat sätt, om det inte är tekniskt eller ekonomiskt ändamålsenligt att genomföra eller använda ett tekniskt gränssnitt. En myndighet kan också i andra situationer öppna ett tekniskt gränssnitt för en myndighet som har rätt till information. Det föreskrivs särskilt om överföring av handlingar och information på annat sätt.

Utöver vad som föreskrivs i 4 kap. ska överföring av information mellan informationssystem via tekniska gränssnitt genomföras så att det tekniskt säkerställs att den information som ska överföras behövs i det enskilda fallet eller är nödvändig för att den mottagande myndigheten ska kunna sköta sina uppgifter, ifall överföringen avser personuppgifter eller sekretessbelagd information.

Beskrivningen av strukturen för information som överförs via ett tekniskt gränssnitt ska definieras och uppdateras av den myndighet som lämnar ut informationen. Vid planeringen av informationsöverföring mellan flera myndigheter via tekniska gränssnitt ska beskrivningen av informationsstrukturen definieras och uppdateras under ledning av det ministerium som ansvarar för verksamhetsområdet.

En myndighet kan öppna en elektronisk förbindelse till en annan myndighet till sådan information i ett informationslager som den mottagande myndigheten har rätt att få tillgång till. Utöver vad som föreskrivs i 4 kap. är en förutsättning för öppnande av en elektronisk förbindelse att

Myndigheten ska upprätta en elektronisk förbindelse så att det informationssystem som möjliggör förbindelsen automatiskt identifierar avvikande informationssökningar.

En myndighet kan via ett tekniskt gränssnitt överföra information till en aktör som inte är en annan myndighet, om mottagaren uttryckligen enligt lag har rätt att få informationen och behandla den. Ett tekniskt gränssnitt kan under de förutsättningar som anges i 22 § öppnas så som föreskrivs i den paragrafen. Den utlämnande myndigheten ska vid behov säkerställa att mottagaren vid hanteringen av informationen iakttar de skyldigheter som föreskrivs i denna lag.

Det föreskrivs särskilt om utlämnande av information i annat elektroniskt format och som informationstjänst till allmänheten via en elektronisk förbindelse.

En informationshanteringsenhet ska över ärenden som behandlas eller har behandlats hos en myndighet upprätthålla ett ärenderegister för information om ärenden, ärendebehandling och handlingar. Myndigheten ska utan dröjsmål i ärenderegistret registrera handlingar som har inkommit till myndigheten eller som den upprättat. Utöver vad som föreskrivs i 26 § ska också handlingens ankomsttidpunkt framgå av registreringen.

Informationshanteringsenheten ska ombesörja att offentliga anteckningar i ett ärenderegister eller i en del av det kan användas för att producera information som gör det möjligt att specificera informationsbegäranden.

En informationshanteringsenhet ska förse de ärenden som myndigheten ska behandla eller som tilldelats myndigheten med en ärendekod som gör det möjligt att identifiera de uppgifter som rör ärendet.

Myndigheten ska för varje ärende registrera åtminstone följande identifieringsuppgifter:

I fråga om en handling som inkommit till en myndighet ska registreras åtminstone

I fråga om en handling som upprättats av en myndighet ska registreras åtminstone

I ärenderegistret ska om ett ärende dessutom registreras åtminstone

En informationshanteringsenhet ska ordna hanteringen av informationsmaterial som uppkommer i andra sammanhang än ärendebehandling så att handlingar som har samband med informationsmaterialet kan sökas med hjälp av en kod som anger informationsmängden, så att informationen utan svårighet kan ges till behöriga personer. Myndigheten ska utan dröjsmål registrera handlingar och övrig information som uppkommer i samband med tjänsteproduktion så att det i efterhand är möjligt att konstatera att de uppkommit i samband med produktion av tjänster.

En informationshanteringsenhet ska för genomförande av offentlighetsprincipen upprätthålla en beskrivning av de informationslager och ärenderegister som den förvaltar. Av beskrivningen ska framgå

Informationshanteringsenheten ska i ett allmänt datanät offentliggöra en sådan beskrivning som avses i 1 mom. till den del uppgifterna i beskrivningen inte är sekretessbelagda.

Denna lag träder i kraft den 1 januari 2020.

Genom denna lag upphävs lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen (634/2011).

Informationshanteringsenheterna ska inom 12 månader efter det att denna lag trätt i kraft utarbeta en sådan informationshanteringsmodell som avses i 5 §.

Myndigheter som inte verkar i samband med statliga ämbetsverk och inrättningar ska uppfylla de krav som föreskrivs i 12–16 § inom 36 månader efter det att denna lag trätt i kraft.

Denna lags 19 § 1 mom. ska 24 månader efter det att lagen trätt i kraft tillämpas på sådana nya handlingar som inkommer till en myndighet och som myndigheten upprättar. Informationsmaterial som uppkommit innan lagen har trätt i kraft ska förvaras så som de uppkommit före övergångstidens utgång. Informationsmaterialens tillgänglighet enligt 19 § 2 mom. ska genomföras inom 24 månader efter det att denna lag trätt i kraft. Denna lags 20 § ska börja tillämpas 12 månader efter det att lagen trätt i kraft.

Ministerierna ska inom 12 månader efter det att denna lag trätt i kraft utreda vilka informationssystem som förutsätts för definition och upprätthållande av de gränssnitt som avses i 22 § 3 mom.

Bestämmelserna i 17 och 22–24 § ska tillämpas på informationssystem som anskaffas efter det att lagen trätt i kraft. På informationssystem som anskaffats innan denna lag trätt i kraft ska tillämpas de krav på elektroniskt utlämnande av information som föreskrivs i 22–24 § vid uppdatering av informationssystemens tekniska gränssnitt och elektroniska förbindelser, dock senast 48 månader efter det att lagen trätt i kraft, och de krav på insamling av logginformation som förutsätts i 17 § ska tillämpas 24 månader efter det att lagen trätt i kraft.

Ärendehantering samt informationshantering i samband med tjänsteproduktion ska i enlighet med de krav som föreskrivs i 26 och 27 § ordnas inom 24 månader efter det att denna lag trätt i kraft. De beskrivningar som avses i 28 § ska uppdateras inom 12 månader efter det att denna lag trätt i kraft.