EDUSKUNNAN TIETOTURVA- JA SÄHKÖPOSTIOHJE EDUSKUNNAN KANSLIAN JULKAISU [10/2004

EDUSKUNNAN TIETOTURVA- JA SÄHKÖPOSTIOHJE EDUSKUNNAN KANSLIAN JULKAISU [10/2004

EDUSKUNNAN TIETOTURVA- JA SÄHKÖPOSTIOHJE EDUSKUNNAN KANSLIAN JULKAISU 10/2004

ISBN 951-53-2676-1 (nid) ISBN 951-53-2677-X (pdf) ISSN 1239-1638

LUKIJALLE Tietoturvaohjeen alussa todetaan, että eduskunnan toiminta on pääasiassa tiedon käsittelyä ja että eduskunta on hyvin riippuvainen tiedoista ja tietotekniikasta. Tämä riippuvuus lisääntyy tulevaisuudessa ja tietotekniikka nivoutuu yhä syvemmälle eduskunnan työprosesseihin. Tietoturvallisuus liittyy jokaisen päivittäiseen työhön. Tiedot on turvattava. Tietoturvaohje antaa ohjeita tietojen, järjestelmien, palveluiden ja tietoliikenteen suojaamiseen. Ohje sisältää periaatteellisten ja lainsäädännöllisten kysymysten lisäksi myös tietojen käsittelyyn liittyviä menettelytapaohjeita. Vastaavasti on laadittu ohje sähköpostin käyttöön. Sähköposti on tänä päivänä merkittävä viestintäväline, mutta kuitenkaan sen käytöstä ei ole annettu riittävän tarkkoja yhteisiä pelisääntöjä. Sähköpostin käyttöön liittyvän lainsäädännön lisäksi ohje sisältää päivittäiseen työhön liittyviä, hyvinkin konkreettisia neuvoja ja määräyksiä. Jokaisen eduskunnassa toimivan kannattaa jo oman etunsakin tähden tutustua näihin molempiin ohjeisiin. Tietohallintopäällikkö Olli Mustajärvi

SISÄLLYSLUETTELO EDUSKUNNAN TIETOTURVAOHJE...7 TIIVISTELMÄ...8 ESIPUHE...9 JOHDANTO...10 1 TIETOTURVALLISUUS...11 1.1 Tietoturvallisuuden käsite...11 1.2 Tiedon omistaja...12 1.3 Tietoturvallisuuden uhat...12 2 TIEDON JULKISUUS JA SALASSAPITO...14 2.1 Lainsäädäntötyö...14 2.1.1 Täysistunto...14 2.1.2 Valiokuntien kokousten ja niissä käsiteltävien asioiden julkisuus...14 2.1.3 Asiakirjojen julkisuus ja salassapito...14 2.2 Hallintotoiminta...16 2.2.1 Julkisuuden ala...16 2.2.2 Salassapito...17 3 TIETOAINEISTOJEN KÄSITTELY...20 3.1 Käsittelyä koskeva normipohja...20 3.2 Eduskunnassa sovellettava asiakirjojen käsittelyluokitus...20 3.3 Tietoaineistoja koskevien pyyntöjen käsittely...23 3.4 Vastuu tietoturvallisuudesta...24 4 TIETOTEKNIIKAN KÄYTTÖÖN LIITTYVÄT TURVALLISUUSKYSYMYKSET...25 4.1 Tietotekniikan käyttöön liittyvät turvallisuuden perusasiat...25 4.2 Internetin käyttö...25 4.3 Etäkäyttö...26 4.4 Eduskunnassa toimivat ulkopuoliset...26 4.5 Seuraamukset tietoturvarikkomuksista...27 5 TIETOTURVA-ASIOIDEN HOITAMINEN...28 LIITTEET 1-6...29 Liite 1 Esimerkkejä tietojen sijoittamisesta käsittelyluokkiin...29 Liite 2 Luokituksen merkitseminen...30 Liite 3 Suullinen viestintä...30 Liite 4 Tiedon käsittely elektronisissa viestintäjärjestelmissä...31 Liite 5 Paperiasiakirjojen, piirustusten, mikrofilmien yms. käsittely...31 Liite 6 Tiedon käsittely elektronisessa muodossa...33

EDUSKUNNAN SÄHKÖPOSTIOHJE...35 TIIVISTELMÄ...36 ESIPUHE...37 JOHDANTO...38 Tausta...38 Lähtökohdat sähköpostin käytölle...38 Terminologia...38 1 EDUSKUNNAN SISÄINEN VIESTINTÄ...39 2 ULKOINEN VIESTINTÄ...39 2.1 Virallinen asiointi ministeriöiden kanssa...39 2.2 Kansalaisen sähköpostiasiointi eduskunnan kanssa...40 3 SÄHKÖPOSTIN KÄSITTELYN PERIAATTEET...41 3.1 Sähköpostiosoitteet ja niiden julkaiseminen...41 3.2 Käyttäjätunnukset ja salasanat...41 3.3 Virallisen sähköpostin käsittely...41 3.4 Yksityisen sähköpostin käsittely...42 3.5 Väärään osoitteeseen saapunut sähköposti...42 3.6 Menettely sähköpostin käyttäjän väliaikaisen/ määräaikaisen poissaolon aikana...43 3.7 Menettely henkilön kuoltua...43 3.8 Sähköpostin edelleenlähetys...43 3.9 Sähköpostilaatikkojen siivous...44 3.10 Jakelulistojen käyttäminen...44 3.11 Sähköpostin allekirjoitus...44 4 SÄHKÖPOSTI JA TIETOTURVALLISUUS...45 5 YLLÄPIDON VAATIMUKSET JA KEINOT...46 5.1 Sähköpostiviestien ja niiden liitetiedostojen rajoittaminen...46 5.2 Roskaposti...46 5.3 Sähköpostin ja tietoverkon käytön valvonta...47 5.4 Sähköpostin ja tietoverkon käytöstä muodostuvien lokitietojen kerääminen ja säilyttäminen...47 5.5 Ylläpitohenkilökunnan vastuu...47 6 LAINSÄÄDÄNTÖ...49 7 INTERNETIN KÄYTÖSTAVAT ELI NETIKETTI...49 8 LÄHTEET...51 LIITE...52 Sähköpostin käyttöön liittyvä lainsäädäntö...52

Eduskunnan tietoturvaohje EDUSKUNNAN TIETOTURVAOHJE Kansliatoimikunnan hyväksymä 11.11.2004 EDUSKUNNAN KANSLIAN JULKAISU 10/2004 7 (59)

Eduskunnan tietoturvaohje TIIVISTELMÄ Hyvä tietää ja muistaa! Jokainen tiedon käyttäjä on vastuussa tietoturvallisuudesta Tietoturvallisuudella varmistetaan myös julkisen tiedon oikeellisuus, ajantasaisuus ja käytettävyys Älä luovuta käyttäjätunnustasi ja salasanaasi muiden käyttöön Älä kirjoita salasanaasi muistiin Älä käytä helposti arvattavaa salasanaa, kuten puolison tai lapsen nimeä Tallenna tärkeät tiedot kotihakemistoosi H:-asemalle Vältä tarpeettomia paperikopioita Internetissä oleva tieto ei aina ole oikeata varmistu tiedon oikeellisuudesta Internetissä oleva tieto on tekijänoikeuksilla suojattua varmistu että tietoa saa käyttää Internetiä käyttävästä jää aina tieto käytettyjen sivustojen lokitiedostoihin Sähköpostin käsittelystä on annettu oma ohje, minkä lisäksi tietoa käsiteltäessä on otettava huomioon muut mahdolliset erityisohjeet 8 (59)

Eduskunnan tietoturvaohje ESIPUHE Eduskunnan hallintojohtaja asetti 22 päivänä huhtikuuta 2004 työryhmän laatimaan ehdotuksen eduskunnan tietoturvallisuusohjeeksi. Työryhmän puheenjohtajaksi kutsuttiin eduskunnan apulaispääsihteeri Jarmo Vuorinen ja jäseniksi valiokuntaneuvos Kaisa Vuorisalo, valiokuntaneuvos Risto Eerola, tietohallintopäällikkö Juha Suomalainen ja atk-päällikkö Kari T. Sipilä. Sipilä on ollut eduskunnan palveluksessa toukokuun loppuun 2003 mutta on tämän jälkeenkin osallistunut työryhmän työhön. Eerola ja Sipilä ovat toimineet työryhmän sihteereinä. Työryhmän tuli tehdä ehdotuksensa 30 päivään kesäkuuta 2004 mennessä. Toimeksiantonsa toteuttamiseksi työryhmä on tarkastellut tietoturvallisuuteen liittyviä kysymyksiä sekä lainsäädäntötyön että eduskunnan hallintotoiminnan näkökulmasta. Tässä tarkastelussa on otettu huomioon sekä tietohallinnon tarpeet että voimassa olevasta lainsäädännöstä johtuvat vaatimukset. Työryhmä on työnsä aikana kiinnittänyt huomiota siihen, että julkisuuslainsäädännön soveltaminen eduskunnan kansliatoimikunnan toimintaan ei nykyisellään perustu lain nimenomaiseen säännökseen vaan on perustuslain säätämiseen johtaneen hallituksen esityksen perustelumaininnan varassa. Oikeudellista tilaa ei tältä osin voi työryhmän mielestä pitää tyydyttävänä. Tämän lisäksi työryhmä esittää harkittavaksi, olisiko eduskunnan tiedotustoimintaa varten tarpeen laatia ohjeistus, joka osaltaan täydentäisi nyt annettavaksi ehdotettua ohjetta. Eduskunnan tietoturvaohjeen laatimistyöryhmä luovutti ehdotuksensa eduskunnan tietoturvaohjeeksi hallintojohtajalle 29 päivänä kesäkuuta 2004. Tämän jälkeen työryhmä on käsitellyt ehdotuksesta saamansa lausunnot ja kommentit sekä niiden perusteella tarpeellisissa kohdin muuttanut ehdotustaan. Kaikkia esitettyjä näkökohtia ei kuitenkaan ole voitu ottaa huomioon. Tämä johtuu siitä, että eduskunnan toimintojen ja asiakirjojen julkisuutta koskeva normipohja jossain määrin poikkeaa siitä, jota sovelletaan valtioneuvostoon ja sen alaiseen valtionhallintoon. Työryhmä on todennut, että eduskunnassa tulisi harkita erillisen, hyvää tiedonhallintatapaa koskevan ohjeen laatimista. Helsingissä 5.11.2004 Työryhmän puolesta Jarmo Vuorinen puheenjohtaja 9 (59)

Eduskunnan tietoturvaohje JOHDANTO Eduskunnan toiminta on pääasiassa tiedon käsittelyä. Eduskunta on siten hyvin riippuvainen tiedoista ja tietotekniikasta. On arvioitavissa, että tulevaisuudessa tämä riippuvuus vain lisääntyy. Tietoyhteiskunnan kehittyminen lisää käsiteltävän tiedon määrää. Tietoturvallisuuden keskeinen tavoite on varmistaa tiedon käsittelyn toimivuus ja tiedon hallinnointi sekä toiminnan jatkuminen kaikissa oloissa. Eduskunnassa käsiteltävä tieto on valtaosaltaan julkista. Myös julkinen tieto on kuitenkin turvattava. On oleellista taata tiedon oikeellisuus, ajantasaisuus ja saatavuus. Tietoturvallisuudella taataan tiedon hyvä laatu ja käytettävyys. Asioiden käsittelyn ja asiakirjojen julkisuuden osalta eduskuntaa koskee osittain eri sääntely kuin valtioneuvostoa ja sen alaista valtionhallintoa. Tämän vuoksi myöskään valtionhallintoa koskeva ohjeistus ei ole sellaisenaan sovellettavissa eduskuntaan, vaan eduskunnan toimintaa varten on ollut tarpeen laatia erillinen ohje. Tällä ohjeella, erityisesti sen 3. ja 4. jaksossa, vahvistetaan menettelytavat, joita noudatetaan tehtävien hoidon yhteydessä saatujen tietojen sekä asiakirjojen ja muiden tallenteiden käsittelyssä niiden teknisestä esittämistavasta riippumatta. Ohje koskee kansanedustajia ja heidän avustajiaan, eduskunnan virkamiehiä ja työntekijöitä sekä kaikkia muitakin eduskunnassa työskenteleviä eduskunnan tietojärjestelmiä käyttäviä henkilöitä. Ohjeeseen sisältyy kuusi liitettä. Sähköpostin käsittelystä eduskunnassa on erillinen ohje. 10 (59)

Eduskunnan tietoturvaohje 1 TIETOTURVALLISUUS 1.1 Tietoturvallisuuden käsite Tietoturvallisuudella tarkoitetaan tietojen, järjestelmien, palveluiden ja tietoliikenteen suojaamista hallinnollisilla, teknisillä ja kunkin käyttäjän omilla toimenpiteillä. Tietoa turvataan tahallisesta, tuottamuksellisesta ja tuottamuksesta riippumattomasta toiminnasta aiheutuvilta uhilta. Tässä ohjeessa tiedolla tarkoitetaan eri muodoissa käsiteltävää, tallennettavaa tai siirrettävää tietoa. Tieto on tyypillisesti asiakirjan muodossa, mutta myös ääni- ja kuvatallenteet, tietokannat ja muut vastaavat kuuluvat ohjeen piiriin. Tietoturvallisuudesta on huolehdittava kaikissa tiedon käsittelyvaiheissa, joita ovat mm. tiedon luominen, käyttäminen, muuttaminen, tallentaminen, siirtäminen, jakelu, kopioiminen, arkistointi ja tuhoaminen. Tietoturvallisuus koskee sekä julkista että salaista tietoa. Tietoturvallisuuden tavoitteena on taata tiedon oikeellisuus ja käytettävyys. Eduskunnan kannalta juuri tiedon oikeellisuus ja käytettävyys ovat oleellisia asioita, koska suuri osa eduskunnassa käsiteltävästä tiedosta liittyy lainsäädäntöön. Oikeellisuuden ja käytettävyyden ohella asianmukaisen tietoturvallisuuden soveltaminen takaa myös salassapidon toteutumisen silloin, kun sitä tarvitaan. Tässä ohjeessa tietoturvallisuuden katsotaan sisältävän seuraavat perusasiat: Käytettävyys Eheys Todentaminen Kiistämättömyys Luottamuksellisuus Käytettävyys Käytettävyydellä tarkoitetaan sitä, että tieto on sitä tarvitsevan ja siihen oikeutetun käytettävissä aina, tarvittaessa myös poikkeusoloissa. Lisäksi on taattava, ettei tieto tuhoudu minkään ulkopuolisen toiminnan seurauksena. On tärkeätä, että kansalaisilla on halutessaan mahdollisuus saada julkinen tieto käyttöönsä. 11 (59)

Eduskunnan tietoturvaohje Eheys Eheydellä tarkoitetaan sitä, että tiedon sisältö on aina käytettäessä oikea ja ajantasainen ja että se on suojattu asiattomilta muutoksilta. Eheysvaatimus on eduskunnalle keskeinen. Todentaminen ja kiistämättömyys Todentamisella tarkoitetaan sitä, että tietoa käyttävä tai tuottava osapuoli voidaan tarvittaessa pystyä tunnistamaan. Kiistämättömyydellä tarkoitetaan sitä, että myös jälkikäteen voidaan tarvittaessa todistaa, kuka tietoa on käyttänyt tai muuttanut. Tämä koskee myös julkista tietoa. Luottamuksellisuus Luottamuksellisuudella tarkoitetaan sitä, että tiedot ovat vain tietoon oikeutettujen käytettävissä. Julkisen tiedon osalta luottamuksellisuus tarkoittaa, että tieto on tarvittaessa kaikkien käytettävissä. 1.2 Tiedon omistaja Tietoturvallisuuteen liittyy oleellisesti tiedon omistaja -käsite. Tyypillisesti tiedon tuottaja tai sen tuottanut organisaatio on tiedon omistaja. Omistajalla on vastuu tiedosta, ja hän määrää tiedon käyttämisestä. Tiedon omistaja määrittelee tiedolle käsittelyluokan. Kenelläkään muulla ei ole oikeutta muuttaa määrittelyä (ks. kuit. jaksot 2.2.2 ja 3.4). Määrittely koskee tyypillisesti tiedon luottamuksellisuutta, mutta tarvittaessa myös muita turvallisuuden perusasioita. On hyvä muistaa, että kukin henkilö on omien tietojensa omistaja ja vastaa niistä viime kädessä itse. Tietoturvallisuus ja noudatettavat menettelytavat perustuvat voimassa oleviin säädöksiin sekä tähän ohjeeseen ja muihin sisäisiin ohjeisiin. Tietoturvallisuuteen kuuluvat automaattisen tietojenkäsittelyn lisäksi myös muut tiedon käsittelytavat sekä toimitilojen turvallisuus. Toimitilojen turvallisuudella huolehditaan tilojen asianmukaisesta kunnosta sekä siitä, että ne vastaavat tietojen säilyttämisen ja käytön edellyttämiä vaatimuksia. Erityisesti tämä koskee arkistoja, tietokonesaleja ja tietoliikenneristikytkentöjä. Kaikki tietoturvallisuus nojaa viime kädessä toimitilojen turvallisuuteen. Ne tukevat toisiaan ja niiden on oltava keskenään samalla tasolla. 1.3 Tietoturvallisuuden uhat Tietoturvallisuuden keskeinen uhka on tiedon oikeudeton käyttö. Oikeudettomalla käytöllä tarkoitetaan tilannetta, jossa tietoon pääsee käsiksi henkilö, jolla ei ole oikeutta tietoon, tai jossa tietoon oikeutettu käyttää tietoa tavalla, johon hänellä ei ole oikeutta. 12 (59)

Eduskunnan tietoturvaohje Oikeudettoman käytön riskiä lisää tiedon huolimaton suojaaminen tai tiedon väärä turvallisuusluokittelu. Tiedon suojaaminen on erityisen tärkeätä, jos tietoa siirretään tai esitetään Internetissä. Internetissä on mahdollista joutua oikeudettoman käytön kohteeksi ilman, että tiedetään, kuka tietoa on väärin käyttänyt. Erityisesti tämä koskee Internet-sivustoja. Tyypillinen Internetin aiheuttama uhka on tiedon muuttaminen ilman muuttamisoikeutta. Tietovälineen (mm. tuloste, CD-rom, disketti, muistikortti) tai tietojenkäsittelylaitteen (mm. kannettava laite tai kämmentietokone, matkapuhelin) hukkaaminen aiheuttaa aina uhan niissä oleville tiedoille. Hukattu tietoväline tai laite voi joutua sellaisiin käsiin, joissa niissä olevaa tietoa käytetään väärin. Mutta on huomattava, että hukkaamiseen liittyy aina tiedon häviäminen määräajaksi tai pysyvästi. Yleensä tietovälineelle tai tietojenkäsittelylaitteeseen tallennettu tieto on merkittävästi arvokkaampaa kuin itse väline tai laite. Tietovälineen tai tietojenkäsittelylaitteen joutuminen varkauden kohteeksi aiheuttaa ison tietoriskin. Mikäli varkaus on tehty vain laitteiden arvon takia, niissä olevat tiedot menetetään erittäin todennäköisesti. Mikäli kyseessä on tietojen takia tehty varkaus, niiden väärinkäyttö on erittäin todennäköistä. Tiedon muuttuminen tai tuhoaminen voi tapahtua myös välillisesti. Erilaiset tietokonevirukset ovat tällöin keskeinen uhka. Virukset voivat tehdä tuhoa itse tai ne voivat saattaa tietojärjestelmän alttiiksi oikeudettomalle käytölle. Virustartunnan riski on suuri Internetiä käytettäessä, mutta virus voi tulla myös tietovälineen tai sähköpostin välityksellä. 13 (59)

Eduskunnan tietoturvaohje 2 TIEDON JULKISUUS JA SALASSAPITO 2.1 Lainsäädäntötyö 2.1.1 Täysistunto Eduskunnan toiminnan julkisuudesta säädetään perustuslain 50 :ssä. Sen mukaan eduskunnan täysistunnot ovat julkisia, jollei eduskunta jonkin asian osalta erityisen painavasta syystä toisin päätä. Eduskunta voi tarvittaessa päättää myös suljettujen täysistuntojen asiakirjojen julkisuudesta. Eduskunnan työjärjestyksen 69 ja 70 :ssä säädetään täysistunnon pöytäkirjasta ja päätöspöytäkirjasta. Pöytäkirja on julkinen, kun eduskunnan pääsihteeri on sen allekirjoittanut ja puhemiehistö tarkistanut. Päätöspöytäkirja tulee puolestaan julkiseksi eduskunnan pääsihteerin allekirjoitettua sen. Valtiopäiväasiakirjojen julkaisemisesta säädetään eduskunnan työjärjestyksen 71 :ssä. 2.1.2 Valiokuntien kokousten ja niissä käsiteltävien asioiden julkisuus Valiokuntien kokoukset eivät pääsääntöisesti ole julkisia. Valiokunta voi kuitenkin määrätä kokouksensa julkiseksi siltä osin kuin se hankkii tietoja asian käsittelyä varten. Nämä säännökset koskevat sekä asiaa valmistelevasti käsittelevää valiokuntaa että lausunnon antavaa valiokuntaa. Asia tulee asianomaisessa valiokunnassa julkiseksi, kun se on siellä loppuun käsitelty, jollei esimerkiksi asiaa koskevasta vaiteliaisuus-päätöksestä muuta johdu. Perustuslain 50 :n 3 momentin mukaan valiokunnan jäsenten on noudatettava sitä vaiteliaisuutta, jota valiokunta katsoo välttämättömästä syystä asian erityisesti vaativan. Silloin kun valiokunnassa käsitellään Suomen kansainvälisiä suhteita tai Euroopan unionin asioita, valiokunnan jäsenten on kuitenkin noudatettava sitä vaiteliaisuutta, jota suuri valiokunta tai ulkoasiainvaliokunta valtioneuvostoa kuultuaan on katsonut asian laadun vaativan. 2.1.3 Asiakirjojen julkisuus ja salassapito Valiokunnan asiakirjojen julkisuudesta säädetään eduskunnan työjärjestyksessä. Valiokunnan kokouksesta laaditaan pöytäkirja, johon merkitään läsnä olleet jäsenet ja kuullut asiantuntijat sekä tehdyt ehdotukset ja päätökset äänestyksineen. Valiokunnan pöytäkirja tulee julkiseksi, kun sihteeri on varmentanut sen. Asian käsittelyasiakirjat eli valiokunnan valmistamat ja asian käsittelyä varten saamat asiakirjat, kuten valiokunnalle jätetyt kirjalliset asiantuntijalausunnot, tulevat puolestaan julkisiksi, kun asia on valiokunnassa loppuun käsitelty. Sellaisella eduskuntaryhmällä, joka ei ole 14 (59)

Eduskunnan tietoturvaohje edustettuna valiokunnassa tai sen jaostossa, on oikeus saada jäljennös vielä keskeneräisen asian käsittelyasiakirjoista, jos ne eivät ole salaisia. Asiakirjojen salassapidon perusteista säädetään eduskunnan työjärjestyksessä. Asiakirja on salassa pidettävä, jos: tiedon antaminen siitä aiheuttaisi merkittävää vahinkoa Suomen kansainvälisille suhteille tai pääoma- ja rahoitusmarkkinoille tai asiakirja sisältää tietoja liike- tai ammattisalaisuudesta taikka henkilön terveydentilasta tai hänen taloudellisesta asemastaan. Viimeksi mainittuun salassapitoperusteeseen liittyy ns. vahinkoedellytyslauseke, jonka mukaan salassapito tulee kyseeseen vain, jos tietojen antaminen asiakirjasta aiheuttaisi merkittävää haittaa tai vahinkoa. Tällainenkin haitta tai vahinko voi kuitenkin syrjäytyä, jos huomattava yhteiskunnallinen tarve vaatii asiakirjan julkisuutta. Valiokunta voi myös edellä mainittuihin syihin rinnastettavista välttämättömistä syistä päättää, että jokin asiakirja on salainen. Eduskuntatyön julkisen luonteen vuoksi tällainen yksittäispäätökseen perustuva salassapito voi kuitenkin olla vain toissijaista ja poikkeuksellista. Oman ryhmänsä salassa pidettäviä asiakirjoja muodostavat sellaiset asiakirjat, jotka kuuluvat perustuslain 50 :n 3 momentin nojalla päätetyn vaiteliaisuuden piiriin. Valiokunnan asiakirjojen salassapitoajan suhteen noudatetaan soveltuvin osin viranomaisten toiminnan julkisuudesta annettua lakia (julkisuuslaki). Salassapitoaika on tällöin pääsääntöisesti 25 vuotta, jollei toisin ole säädetty tai määrätty. Valiokunta voi kuitenkin päättää myös lyhyemmästä salassapitoajasta. Salassapitoaikaa voidaan julkisuuslain mukaan jatkaa, jos on ilmeistä, että asiakirjan tuleminen julkiseksi aiheuttaisi määräajan päätyttyäkin merkittävää haittaa niille eduille, joiden suojaksi salassapitovelvollisuus on säädetty. Lainsäädäntötyöhön osallistuviin valiokuntien virkamiehiin sovelletaan valiokuntia koskevia säännöksiä asiakirjojen ja niiden sisältämien tietojen julkisuudesta ja salassapidosta sekä vaitiolovelvollisuudesta. Perustuslakiehdotuksen perustelujen mukaan eduskunnan muut toimielimet noudattavat toiminnassaan soveltuvin osin valiokuntia koskevia säännöksiä. Tämä koskee esimerkiksi puhemiesneuvostoa. 15 (59)

Eduskunnan tietoturvaohje 2.2 Hallintotoiminta 2.2.1 Julkisuuden ala Julkisuuslain mukaan siinä tarkoitettuna viranomaisena pidetään myös eduskunnan virastoja eli eduskunnan kansliaa, valtiontilintarkastajien kansliaa, eduskunnan oikeusasiamiehen kansliaa sekä eduskunnan yhteydessä olevaa valtiontalouden tarkastusvirastoa. Näin ollen eduskunnan hallinnossa noudatetaan soveltuvin osin samoja julkisuussäännöksiä kuin valtion hallinnossa muutoinkin. Vaikka julkisuuslaki ei ole suoraan sovellettavissa eduskunnan kansliatoimikunnan toimintaan, perustuslakiehdotuksen perusteluissa on katsottu, että sen osalta kuitenkin noudatetaan soveltuvin osin samoja julkisuutta koskevia periaatteita kuin yleensä valtion hallinnossa. Eduskunnan hallintotoimintaan sovelletaan esimerkiksi julkisuuslain yleissäännöksiä asiakirjan julkiseksi tulemisesta, oikeudesta saada tieto viranomaisen julkisesta asiakirjasta, salassapitovelvollisuudesta ja viranomaisessa toimivan vaitiolovelvollisuudesta samoin kuin viranomaisen velvollisuudesta edistää julkisuuslain tarkoituksen toteutumista. Julkisuuslaissa tarkoitettuna viranomaisen asiakirjana pidetään viranomaisen hallussa olevaa asiakirjaa, jonka viranomainen tai sen palveluksessa oleva on laatinut taikka joka on toimitettu viranomaiselle asian käsittelyä varten tai muuten sen toimialaan tai tehtäviin kuuluvassa asiassa. Julkisuuslaki kattaa myös ostopalveluiden käytön. Tämän vuoksi viranomaisen laatimana asiakirjana pidetään myös asiakirjaa, joka on laadittu viranomaisen antaman toimeksiannon johdosta, ja viranomaiselle toimitettuna asiakirjana asiakirjaa, joka on annettu viranomaisen toimeksiannosta tai muuten sen lukuun toimivalle toimeksiantotehtävän suorittamista varten. Julkisuuslaissa tarkoitettuna viranomaisen asiakirjana ei pääsääntöisesti pidetä viranomaisen sisäistä työskentelyä varten laadittuja asiakirjoja. Julkisuuslain piiriin nämä asiakirjat kuuluvat vain, jos ne sisältävät sellaisia tietoja, että asiakirjat on arkistolainsäädännön mukaan liitettävä arkistoon. Viranomaisen asiakirjana ei julkisuuslain mukaan pidetä myöskään sellaisia viranomaisen palveluksessa olevan tai viranomaisen toimeksiannosta toimivan laatimia muistiinpanoja, joita laatija ei vielä ole antanut esittelyä tai muuta asian käsittelyä varten. Julkisuuslain soveltamisalaan kuuluvasta asiakirjasta on siis kyse vasta siinä vaiheessa, kun asiakirja on virkamiehen kannalta valmis ja hän on siirtänyt sen asiasta päättävälle tai asiaa muutoin käsittelevälle taholle. Tällaista siirtämistä ei vielä tarkoita se, että asiakirja esitetään esimiehelle tai muulle taholle ohjauksen tai kommenttien saamiseksi. Viranomaisen laatiman asiakirjan julkiseksi tulon ajankohdasta on yksityiskohtaiset säännökset julkisuuslain 6 :ssä. Tämä säännös on kuitenkin 16 (59)

Eduskunnan tietoturvaohje toissijainen suhteessa salassapitosäännöksiin eli asiakirja tulee tällöin julkiseksi vain siltä osin kuin se ei jäljempänä esitettävien säännösten mukaisesti ole salassa pidettävä. Tyypillisimpien asiakirjojen osalta julkiseksi tulohetki on seuraava: Diaariin ja muuhun luetteloon tehty merkintä on julkinen, kun se on tehty. Viranomaisen tarjous-, selvitys- ja lausuntopyyntö sekä esitys, ehdotus, aloite, ilmoitus ja hakemus liiteasiakirjoineen tulevat julkisiksi, kun ne on allekirjoitettu tai sitä vastaavalla tavalla varmennettu; tarjouksen täydennyspyyntö samoin kuin esimerkiksi tarjousasiakirjan käsittelyä varten laaditut selvitykset tulevat kuitenkin julkisiksi vasta, kun sopimus asiassa on tehty. Viranomaisen laatima tutkimus ja tilasto taikka niihin verrattavissa oleva yleisesti merkittävän ratkaisun tai suunnitelman esillä olevia vaihtoehtoja, perusteita ja vaikutuksia kuvaava, itsenäisen kokonaisuuden muodostava selvitys, silloinkin kun se liittyy muutoin keskeneräiseen asiaan, tulee julkiseksi, kun se on valmis käyttötarkoitukseensa. Viranomaisen pöytäkirja tulee julkiseksi, kun se tarkastuksen jälkeen on allekirjoitettu tai sitä vastaavalla tavalla varmennettu, jollei sitä ole laadittu asian valmistelemiseksi (esim. toimikuntien pöytäkirjat) tai viranomaisen sisäistä työskentelyä varten. Viranomaisen päätös, lausunto, toimituskirja ja viranomaisen sopimusosapuolena tekemä ratkaisu sekä niiden käsittelyä varten viranomaisessa laaditut asiakirjat tulevat pääsäännön mukaan julkisiksi, kun ne on allekirjoitettu tai vastaavalla tavalla varmennettu. Komiteanmietintö, selvitys tai muu yleiseen jakeluun tarkoitettu asiakirja tulee edellä esitetystä poiketen julkiseksi, kun se on viranomaisen hallussa jakelua varten eli painettuna tai muutoin monistettuna. Viranomaiselle asian käsittelyä varten tai muutoin sen toimialaan tai tehtävään kuuluvassa asiassa toimitettu asiakirja tulee pääsäännön mukaan julkiseksi, kun viranomainen on sen saanut. Tällaisia ovat esimerkiksi viranomaisen palveluksessa olevan lähettämät matkalaskut sekä viranomaiselle annetut viranhakuasiakirjat. Tällaiset asiakirjat voivat sisältää myös salassa pidettäviä osia. Lisäksi julkisuuslain 7 :ään sisältyy julkiseksi tuloa koskevia erityissäännöksiä esimerkiksi tarjouskilpailujen osalta. 2.2.2 Salassapito Salassapidolla on kaksi eri ulottuvuutta: velvollisuus pitää asiakirja salassa ja salassa pidettävää tietoa koskeva vaitiolovelvollisuus. 17 (59)

Eduskunnan tietoturvaohje Asiakirjan salassapitovelvollisuus sisältää kiellon näyttää salainen asiakirja tai antaa siitä kopio. Perusteista, joilla viranomaisen asiakirja on pidettävä salassa, säädetään julkisuuslain 24 :ssä. Vaitiolovelvollisuus koskee virkamiehen käyttäytymistä. Se merkitsee kieltoa ilmaista salassa pidettävää tietoa riippumatta siitä, onko tieto tallennettu vai ei. Vaitiolovelvollisuuden alainen tieto voi olla peräisin asiakirjasta tai se voi olla saatu suullisesti. Vaitiolovelvollisuus on siis asialliselta soveltamisalaltaan asiakirjan salassapitovelvollisuutta laajempi. Viranomaisen palveluksessa oleva ei julkisuuslain mukaan saa paljastaa asiakirjan salassa pidettävää sisältöä tai tietoa, joka asiakirjaan merkittynä olisi salassa pidettävä, eikä muutakaan viranomaisessa toimiessaan tietoonsa saamaansa seikkaa, josta lailla on säädetty salassapitovelvollisuus. Nimenomaisen lain säännöksen mukaan vaitiolovelvollisuuden piiriin kuuluvaa tietoa ei saa paljastaa senkään jälkeen, kun toiminta viranomaisessa tai tehtävän hoitaminen viranomaisen lukuun on päättynyt. Vaitiolovelvollisuus ei siis ole sidottu palvelussuhteen kestoon. Vaitiolovelvollisuus ei rajoitu vain virkasuhteessa oleviin, vaan se koskee myös työsuhteessa olevia. Julkisuuslain mukaan vaitiolovelvollisuus koskee lisäksi myös harjoittelijoita ja muita viranomaisessa tosiasiallisesti toimivia. Myös toimeksiantosuhde, esimerkiksi ostopalvelusopimus, on sellainen peruste, joka laajentaa vaitiolovelvollisuuden viranomaisen ulkopuolisiin henkilöihin. Tällöin vaitiolovelvollisuus koskee niitä salassa pidettäviä tietoja, jotka viranomainen on toimeksisaajalle antanut. Vaitiolovelvollisuus koskee samoin perustein myös toimeksiantotehtävää hoitavan palveluksessa olevia. Salassapitovelvollisuuteen liittyy myös hyväksikäyttökielto. Hyväksikäyttökielto tarkoittaa, että vaitiolovelvollisuuden sitoma henkilö ei saa käyttää salassa pidettäviä tietoja omaksi taikka toisen hyödyksi tai toisen vahingoksi. Hyväksikäyttökielto jatkuu palvelus- tai toimeksiantosuhteen päätyttyäkin. Julkisuuslain 25 :n mukaan asiakirjaan on aina tehtävä salassapitomerkintä, jos se annetaan asianosaiselle ja jos se on salassa pidettävä toisen asianosaisen tai yleisen edun vuoksi. Salassapitomerkintä voidaan tehdä muihinkin salassa pidettäviin asiakirjoihin. Merkinnästä tulee käydä ilmi, miltä osin asiakirja on salassa pidettävä ja mihin salassapito perustuu. Jos salassapito perustuu säännökseen, jossa on ns. vahinkoedellytyslauseke, merkintä voidaan tehdä kuitenkin niin, että siitä ilmenee vain se säännös, johon salassapito perustuu. Salassapitomerkinnän tekemisellä ei kuitenkaan ole itsenäisiä oikeusvaikutuksia, joten tietoa asiakirjasta ei voida kieltäytyä antamasta pelkästään sillä perusteella, että asiakirjaan on tehty salassapitomerkintä. Salassapito on kussakin yksittäistapauksessa ratkaistava erikseen julkisuuslakia soveltaen. 18 (59)

Eduskunnan tietoturvaohje Salassa pidettävästä viranomaisen asiakirjasta tai sen sisällöstä saa julkisuuslain mukaan antaa tiedon kyseisessä laissa säädetyin perustein. Jos vain osa asiakirjasta on salassa pidettävä, tieto on annettava asiakirjan julkisesta osasta, jos tämä on mahdollista tehdä niin, ettei salassa pidettävä osa tule tietoon. Tiedon antaminen salassa pidettävästä asiakirjasta on siis poikkeus, joka edellyttää laissa olevaa perustetta. Julkisuuslain 26 :n mukaan tällaisia yleisiä poikkeusperusteita ovat nimenomainen lakitasoinen erityissäännös tai sen suostumus, jonka suojaksi salassapitovelvollisuus on säädetty. Lisäksi esimerkiksi toisen taloudellisesta asemasta, liike- tai ammattisalaisuudesta taikka julkisuuslain 24 :n 1 momentin 32 kohdassa tarkoitetusta henkilön yksityiselämää koskevasta seikasta saa antaa tiedon, jos tieto on tarpeen yksityisen tai toisen viranomaisen laissa säädetyn tiedonantovelvollisuuden toteuttamiseksi taikka tiedot antavan viranomaisen hoidettavaksi kuuluvan korvauksen tai muun vaatimuksen toteuttamiseksi. Viranomainen voi antaa salassa pidettäviä tietoja myös muun muassa sen toimeksiannosta tai muutoin sen lukuun suoritettavaa tehtävää varten, jos se on välttämätöntä tehtävän suorittamiseksi. Julkisuuslaissa säädetään erikseen myös salassa pidettävien tietojen antamisesta toiselle viranomaiselle samoin kuin tällaisten tietojen antamisesta ulkomaan viranomaiselle ja kansainväliselle toimielimelle. Lisäksi on huomattava, että asianosaisella, esimerkiksi hakijalla, on oikeus saada asiaa käsittelevältä tai käsitelleeltä viranomaiselta tieto muunkin kuin julkisen asiakirjan sisällöstä, joka voi tai on voinut vaikuttaa hänen asiansa käsittelyyn. Tästä pääsäännöstä on kuitenkin julkisuuslaissa säädetty useita poikkeuksia. 19 (59)

Eduskunnan tietoturvaohje 3 TIETOAINEISTOJEN KÄSITTELY 3.1 Käsittelyä koskeva normipohja Tietoaineistojen käsittelyä eduskunnassa koskeva sääntely perustuu lainsäädäntötyön osalta pääasiassa eduskunnan työjärjestykseen ja hallintotoiminnan osalta julkisuuslakiin. Tämän lisäksi tietyn tyyppisten tietoaineistojen käsittelystä on voimassa erityissäännöksiä. Tällaisia säännöksiä sisältyy etenkin henkilötietolakiin (523/1999). Lain 2 luvussa on henkilötietojen käsittelyä koskevat yleiset periaatteet ja 3 luvussa arkaluonteisen tiedon sekä henkilötunnuksen käsittelyä koskevat säännökset. Sähköisen viestinnän tietosuojalain (516/2004) mukaan sähköisen viestinnän, kuten puhelujen ja sähköpostiviestien, yhteydessä syntyvät tunnistamis- ja paikkatiedot ovat lähtökohtaisesti luottamuksellisia. Tämän vuoksi ne kuuluvat vaitiolovelvollisuuden sekä hyväksikäyttökiellon piiriin. Tällaisten tietojen käsittelyoikeudesta säädetään erikseen mainitun lain 3 ja 4 luvussa. Sähköisen viestinnän tietosuojalaki sisältää myös säännökset siitä, missä tapauksissa ja miten yhteisötilaajalla, esimerkiksi eduskunnalla, on oikeus puuttua sen viestintäverkkoa käyttävien henkilöiden viestintään tietoturvallisuuden toteuttamiseksi. Laista johtuvien käsittelysääntöjen lisäksi asiakirjojen käsittelyä voidaan säännellä tietoaineistojen käsittelyluokituksen avulla. Käsittelyluokitus liittyy hyvän tiedonhallintatavan edistämiseen, eikä käsittelyluokka voi sinänsä perustaa salassapitovelvollisuutta tai muutoin rajoittaa julkisuutta. Luokitus on kuitenkin otettava huomioon asiakirjaa käsiteltäessä, tallennettaessa ja hävitettäessä. 3.2 Eduskunnassa sovellettava asiakirjojen käsittelyluokitus Kaikki eduskunnassa käsiteltävät tiedot ja asiakirjat luokitellaan sisällön perusteella johonkin seuraavista käsittelyluokista: julkinen, sisäiseen käyttöön, salainen. Jos asiakirja ei ole julkinen, siihen on merkittävä käsittelyluokka. Julkisiin asiakirjoihin käsittelyluokkaa ei siis merkitä. Silloin kun käsitellään sisäiseen käyttöön tarkoitettuja tallenteita, joiden lukumäärä on suuri ja joiden osalta luokittelukäytäntö on vakiintunut ja yleisesti tiedossa (esim. valiokuntien valmisteluasiakirjat), asiakirjaan ei tarvitse välttämättä erikseen merkitä sen käsittelyluokkaa tai jakelua. Muutoin tällaistenkin asiakirjojen käsittelyssä sovelletaan annettuja määräyksiä ja ohjeita. 20 (59)