Tiedohallitalai uudistus ja säilytykse ulottuvuudet Riitta Autere 18.12.2018 Keskustelutilaisuus tutkimusorgaisaatioille säilyttämise ulottuvuuksista JulkICT
Tiedohallitalai tavoitteet Tavoitteea uudistaa ja yhteäistää julkise hallio tiedohallitaa koskevaa yleissäätelyä sekä vähetää tekisluoteise säätely tarvetta erityislaisäädäössä koottaisii yhtee säätelyä julkisuuslaista (hyvä tiedohallitatapa), tietohallitolaista ja asioitilaista kumottaisii tietohallitolaki Tiedohallitaa liittyvie vaatimuste yhteäistämie koko julkisessa halliossa Tavoitteea, että julkiset palvelut ja toimita o mahdollista toteuttaa etistä laadukkaammi, tuloksellisemmi ja tehokkaammi laadukkaa tiedohallia tukemaa Edistää tietosuojaa, tietoturvallisuutta ja tietoaieistoje vastuullista hyödytämistä sekä julkisuusperiaattee toteutumista. 2
Tiedohallitalai tarkoitus Varmistaa viraomaiste tietoaieistoje yhdemukaie ja laadukas hallita sekä tietoturvallie käsittely julkisuusperiaattee toteuttamiseksi tietoaieistoje ajatasaisuude, virheettömyyde ja käyttökelpoisuude varmistamie tietoturvallisuude miimitaso viraomaise julkiset asiakirjat helposti saatavilla Mahdollistaa viraomaiste tietoaieistoje turvallie ja tehokas hyödytämie Edistää tietojärjestelmie ja tietovaratoje yhteetoimivuutta PSI-direktiivi kasallie toimeepao Asiakirjoje hyödyettäväksi saattamie koeluettavassa muodossa 3
Hallitukse esitykse (HE 284/2018 vp) tilae lähetekeskustelu eduskua täysistuossa 13.12.2018 seuraavaksi hallitovaliokutaa http://www.filex.fi/fi/esitykset/he/2018/20180284 Eduskua kirjasto tietopaketti tiedohallitalaista: https://www.eduskuta.fi/fi/tietoaeduskuasta/kirjasto/aieistot/kotimai e_oikeus/lati/sivut/tiedohallitalaki.aspx 4
Tiedohallitalaki ja säätely-ympäristö TIETOAINEISTOJEN LUONTI TIETOAINEISTOJEN KÄYTTÖ TIETOAINEISTOJEN SÄILYTTÄMINEN JA LUOVUTTAMINEN JULKISUUSLAKI Tiedohallitalaki 1) viraomaiste tietoaieistoje yhdemukaie ja laadukas hallita sekä tietoturvallie käsittely julkisuusperiaattee toteuttamiseksi 2) viraomaiste tietoaieistoje turvallie ja tehokas hyödytämie 3) tietojärjestelmie ja tietovaratoje yhteetoimivuus 4) PSI direktiivi implemetoiti TIETO- AINEISTOJEN MUODOS- TAMINEN TIETO- AINEISTOJEN KERÄÄMINEN ASIANHALLINTA JA PALVELUJEN TIEDONHALLINTA TIETOTURVALLISUUS JA TURVALLISUUSLUOKITTELU SÄILYTYS- TARPEEN MÄÄRITTÄMINEN SÄHKÖINEN LUOVUTUSTAPA TIEDONHALLINNAN JA TIETOTURVALLISUUDEN EDISTÄMINEN TIETOVARANTOJEN YHTEENTOIMIVUUDEN OHJAUS Tiedohallia järjestämie Tiedohallia suuittelu ja kuvaamie TEHTÄVÄ-/PALVELUKOHTAINEN SÄÄNTELY 5
Soveltamisala Tiedohallitayksikkö = tiedohallia järjestämie orgaisaatiotasolla Kuta = tiedohallitayksikkö V i r a o m a i e V i r a o m a i e V i r a o m a i e V i r a o m a i e V i r a o m a i e Valtio virasto = tiedohallitayksikkö V i r a o m a i e V i r a o m a i e Viraomaise erillisyysperiaate säilyy julkisuuslaissa ja site myös tiedohallitalaissa Tiedohallitayksiköllä tarkoitetaa: 1) valtio virastoa tai laitosta site kui eriksee säädetää (valtio tiedohallitayksikkö), 2) eduskua virastoa, 3) valtio liikelaitosta, 4) maakutaa, 5) kutaa, 6) kutayhtymää, 7) itseäistä julkisoikeudellista laitosta, 8) ortodoksista kirkkoa ja se seurakutia, 9) yliopistolaissa tarkoitettua yliopistoa sekä ammattikorkeakoululaissa tarkoitettua ammattikorkeakoulua. Sovelletaa tiedohallitayksikköje ja iissä toimivie viraomaiste tiedohallitaa iide käsitellessä tietoaieistoja, ellei muualla laissa ole toisi säädetty. Asiakäsittelyssä ja palveluje tuottamisessa oudatettavista meettelyistä sekä tiedosaatioikeudesta viraomaiste asiakirjoihi ja salassapidosta säädetää eriksee 6
Tiedohallia järjestämie 1 2 3 4 5 Tiedohallitalaissa tai muussa laissa säädettyje tiedohallia toteuttamisee liittyvie tehtävie vastuide määrittely Ohjeet tietoaieistoje käsittelystä, tietojärjestelmie käytöstä, tietojekäsittelyoikeuksista, tiedohallia vastuide toteuttamisesta, tiedosaatioikeuksie toteuttamisesta, tietoturvallisuusjärjestelyistä sekä poikkeusoloihi varautumisesta Koulutukse tarjoamie hekilöstölle ja tiedohallitayksikö lukuu toimiville voimassa olevista tiedohallitaa, tietojekäsittelyä sekä asiakirjoje julkisuutta ja salassapitoa koskevista säädöksistä, määräyksistä sekä tiedohallitayksikö ohjeista Asiamukaiset työvälieet tiedohallitaa koskevie velvollisuuksie toteuttamiseksi Riittävä valvoa järjestämie tiedohallitaa liittyvie säädöste, määräyste ja ohjeide oudattamisesta. Tiedohallitayksikö johdo vastuulla o huolehtia siitä, että tiedohallita järjestettäisii tiedohallitayksikössä yllä tarkoitetulla tavalla asiamukaisesti 7
Tietoaieistoje säilyttämise säätely Tietoaieisto elikaari hallitukse esityksessä: muodostumie, keräämie, aktiivivaihee käyttö ja säilytys, Aktiivivaiheessa tapahtuvalla säilytyksellä tarkoitetaa tietoaieistoje säilyttämistä yksilöide, yhteisöje ja viraomaiste etuje, oikeuksie ja velvollisuuksie määrittämiseksi, toteuttamiseksi ja valvomiseksi. pysyvästi säilytettävät asiakirjat ja tuhoamie tai arkistoiti. määrittely arkistoitavaksi 8
Tiedohallitayksikö vastuut tietoaieistoje säilytyksessä ja säilytysaja määrittelyssä ml. määriteltävä tiedohallitalaissa tai muussa laissa säädettyje tiedohallia toteuttamisee liittyvie tehtävie vastuut tietoaieistoje säilyttämise järjestämiselle sekä huolehdittava, että se yhteydessä toimivat viraomaiset ja rekisteripitäjät määrittelevät tietoje käsittelyy liittyvät säilytysajat sekä ylläpitävät äistä tiedot tiedohallitamallissa, tehtävä kokoaisarvio kuki tietoaieisto osalta, mitkä seikat vaikuttavat tietoaieisto säilyttämisee: erityisesti oikeusturvaa liittyvät seikat ovat paiavassa asemassa säilytysaja määrittämisessä. Asiamukaisesti laaditussa tiedohallitamallissa hekilötietoje, asiakirjoje, muide äitä vastaavie tietoje sekä tietoaieistoje säilytysaikaa koskeva tieto yhdistetää viraomaise toimitaprosesseihi. 9
Tietoaieistoje säilytystarpee määrittely ( 21 ) sääökset siitä, millä perusteilla tietoaieistoje säilytystarve määritetää iille tietoaieistoille tai asiakirjoille, joide säilytysajasta ei ole säädetty laissa, yhdemukaistaa perusteet, joilla asiakirjoje ja muide tietoaieistoje säilytysaikoja määritetää, tietoaieisto voi sisältää tietokokoaisuuksia, joilla o useita eri säilytysaikoja, sääös koskisi kaikelaisia tietoaieistoja riippumatta iide sisällöstä, ei säädetty iistä perusteista, joilla tietoaieistot arkistoidaa, vaa se perustuu muuhu säätelyy, ei säädettäisi säilytysajoista, vaa perusteista, jotka tulisi ottaa huomioo säilytysaikoja määriteltäessä pykälä tuotu esille säilyttämisee liittyvät perusteet, jotka lähtevät yksilö etuje, oikeuksie ja velvollisuuksie toteuttamisesta, viraomaise oikeuksie ja velvollisuuksie toteuttamisesta sekä perustuslai 118 :ssä säädety virkavastuu todetamisesta viraomaiste asiakirjoista. Käytäössä virkavastuu toteuttamise ja todetamise kaalta tärkeässä asemassa ovat viraomaiselle muodostueet asiakirjat, joita hallioidaa tietovaraoissa, säilytysaikoje määrittämie o merkityksellistä perustuslai 21 :ssä säädety oikeusturva sekä perustuslai 118 :ssä säädety virkavastuu toteuttamise kaalta. 10
Tietoaieistoje säilytystarpee määrittely ( 21 ) pykälässä ei säädettäisi eriksee säilytysaikoje lasketaperusteista, e jäisivät ala suosituste varaa, säilytysaikoje määrittämise jälkee tiedohallitayksiköissä o määriteltävä, mite säilytysajat lasketaa kussaki toimitaprosessissa: säilytysaika voitaisii laskea muu muassa se vuode päättymisestä, jolloi asiakäsittely viraomaisessa o päättyyt tai palvelu tuottamie asiakkaalle o päätetty tai se tilikaude päättymisestä, jolloi tilipitoo liittyvä tietoaieisto o muodostuut. Julkise hallio tiedohallitalautakuta voisi ataa suosituksia säilytysaikoje lasketaperusteista. säilytysaja määrittelyssä o tehtävä tietoaieistoje säilytykse tarpeellisuude arvioiti se suhtee, mitä tehtävää tai palvelua varte tietoja o kerätty, määrittelyssä tulisi arvioida, missä määri asiakirjoja tai muita tietoja o tarpee säilyttää luoollise hekilö tai oikeushekilö etuje, oikeuksie, velvollisuuksie ja oikeusturva toteuttamiseksi ja todetamiseksi. Lisäksi tulee huomioida, että yleise tietosuoja-asetukse perusteella hekilötietoje säilytysajat määrittelee rekisteripitäjä ja arkistolai perusteella asiakirjoje säilytysajat määrittelee arkistomuodostaja. 11
Säilytysaika tarkoittaa aikaa mite kaua tietoaieistoa säilytetää siihe käyttötarkoituksee, joho asiakirjat ja muut vastaavat tiedot o kerätty, ei tarkoita sitä, mite kaua tietoaieistoa hallitaa tiedohallitayksikössä, varmistaa oikeusturva ja rikosoikeudellise virkavastuu todetamie viraomaiste tietoaieistoista. oi 300 sääöksessä säädetty asiakirjoje tai hekilörekisterissä säilytettävi tietoje säilytysajasta tai se määräytymisestä: säätely ei ole kuitekaa kattavaa. yleise tietosuoja-asetukse mukaa hekilötietoja o säilytettävä muodossa, josta rekisteröity o tuistettavissa aioastaa ii kaua kui o tarpee tietojekäsittely tarkoituste toteuttamista varte (5 artikla 1 kohda e alakohta) hekilötietoja voidaa säilyttää pidempiäki aikoja, jos hekilötietoja käsitellää aioastaa yleise edu mukaisia arkistoititarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varte 89 artikla 1 kohda mukaisesti edellyttäe, että tietosuoja-asetuksessa vaaditut asiamukaiset tekiset ja orgaisatoriset toimepiteet o patu täytätöö rekisteröidy oikeuksie ja vapauksie turvaamiseksi ( säilytykse rajoittamie ). 12
Tietoaieistoje käsittely säilytysaja päätyttyä säilytysaja päättymise jälkee tietoaieistot o arkistoitava tai tuhottava viipymättä tietoturvallisella tavalla, mite arkistoiti toteutetaa jää viraomaise tai arkistomuodostaja harkitaa ja arkistoitia koskeva säätely varaa, arkistoiti tai tietoaieistoje tuhoamie o tehtävä tietoturvallisella tavalla site, että tietoaieisto ei ole sivulliste saatavilla ja että tietoaieistoa ei eää käsitellä alkuperäisee käyttötarkoitukseesa. 13
Tietoaieisto tuhoamie Tuhoamisella tarkoitetaa: sitä, että tietoaieisto o poistettava käytöstä site, ettei sitä eää voida palauttaa uudellee käyttöö, toimia, joilla tietoaieisto tosiasiassa tuhoutuu. Tuhoamie voidaa tehdä erilaisilla tekisillä toimilla, kute esimerkiksi kovalevyje päällekirjoittamisella tai fyysisellä murskaamisella. Paperiaieistoje tuhoamie tapahtuu puolestaa esimerkiksi polttamalla, silppuamie o saattamista käyttökelvottomaksi. Aieistot o tuhottava, ku säilyttämiselle ei ole perusteita tai ellei tietoaieistoa siirretä eriksee säädety perusteella arkistoo. 14
Pysyvä säilyttämie (säätelyssä kaksi eri merkityssisältöä) Hekilötietoje käsittelyssä (suoraa velvoittava EU-oikeus): tietoja säilytetää alkuperäisee käyttötarkoitukseesa site, ettei iitä tuhota tai siirretä varsiaisesti arkistoo laikaa, iide säilyttämiselle o olemassa pysyvä peruste etuje, oikeuksie tai velvollisuuksie määrittäjää. Joissaki tilateissa pysyvästä säilyttämisestä o säädetty lai ojalla. Arkistoitia koskevassa säätelyssä käytetää käsitettä pysyvä säilyttämie arkistoitimerkityksessä: erilaise merkityssisältösä perusteella ogelmallie käsite hekilötietoje säilytyksestä säädettäessä, käsitettä ei ole tarkistettu yleise tietosuoja-asetukse voimaa tullessa. 15
Tiedohallitamalli ja tietoaieistoje säilytys Tietoaieistoje säilytysajat ja -tavat sekä tieto arkistoiista ja arkistoititavasta sisällytetää tiedohallitamallii: tiedohallitamalli vastaa iitä vaatimuksia, joita arkistolaissa arkistomuodostussuuitelma sisällöstä o säädetty Tietoaieistoje kuvaus sisältää mm.: tiedo siitä, mitkä aieistot siirretää säilytysaja jälkee arkistoo, millä tavalla tietoaieisto arkistoidaa, mikä o arkistoitipaikka ja mite tietoaieistot o suuiteltu tuhottavaksi. Lokitietoje säilytysaika: määritellää tarpeellisuusvaatimus huomioo ottae, tyypillisesti vähitää viisi vuotta (rikosoikeudellie vaheemisaika), erityislaisäädäö mukaiset säilytysajat 16
Muutosvaikutuste arvioiti ja säilyttämie Arviosta tulisi ilmetä mm.: perusteet, jos sähköisee muotoo muuttamisesta tai säilyttämisestä poiketaa laissa säädetyillä perusteilla, mitkä tiedot ovat saatavilla koeluettavassa muodossa laissa säädetyllä tavalla. 17
Viraomaise velvollisuudet tietoaieistoje osalta: Tietoaieistoje turvallisuude varmistamie: Viraomaise o varmistettava tietoaieistoje muuttumattomuus siltä osi kui tietoaieisto o tarpee pitää muuttumattomaa, tietoaieistot tulee suojata tekisiltä ja fyysisiltä vahigoilta, tietoaieistoje alkuperäisyys, ajatasaisuus ja virheettömyys tulee varmistaa, varmistettava tietoaieistoje saatavuus ja käyttökelpoisuus, tietoaieistoje saatavuude rajoittamie tarvittaessa (esim. käyttöoikeudet), huolehdittava siitä, että tietoaieistot voidaa arkistoida tarpeellisilta osi sekä tietoaieistoje käsittely ja säilytys toimitiloissa, jotka ovat riittävä turvallisia. 18
Tietoturvallisuus 12 Hekilöstö ja palvelutuottajie luotettavuude varmistamie 13 Tietoaieistoje ja tietojärjestelmie tietoturvallisuus 14 Tietoje siirtämie tietoverkossa 15 Tietoaieistoje turvallisuude varmistamie 16 Tietojärjestelmie käyttöoikeuksie hallita 17 Lokitietoje keräämie Tietoturvallisuude perustaso vaatimukset tavoitteea varmistaa, että kaikki tiedohallitayksiköt täyttävät vähitää samat perustaso vaatimukset edistetää yhteiskua kokoaistietoturvallisuutta mahdollistetaa viraomaiste keskiäise luottamukse vahvistumise luopumie tarpeettomista tietoturvallisuutta koskevista selvityksistä 18 Turvallisuusluokiteltavat asiakirjat valtiohalliossa 19
Lokitiedoista (pääosi hekilötietoja) Lokitietoje keräys: jos tietojärjestelmä käyttö edellyttää tuistautumista tai muuta kirjautumista, voidaa jättää keräämättä, jos iide keräämiselle ei ole säädösperustetta, missä laajuudessa ja mitä lokitietoja kerätää perustuu tarpeellisuusarvioitii: tietojärjestelmä käytöstä ja tietoje luovutuksista, tarpee määrittelee viraomaie, joka o vastuussa tietojärjestelmästä Luovutuslokitiedot, jos tietojärjestelmästä luovutetaa rajapitoje tai katseluyhteyde avulla salassa pidettäviä tietoja tai hekilötietoja. Käyttölokitiedot aiaki tietojärjestelmistä, joissa käsitellää salassa pidettäviä tietoja: tarpeellisuusarvioiti: tarvitaako iitä virheselvittelyjä varte tai yksilö etuje, oikeuksie ja velvollisuuksie sekä oikeusturva toteuttamiseksi taikka virkavastuu todetamiseksi, ku tietojärjestelmässä käsitellää muita kui salassa pidettäviä tietoja taikka tietoja, joilla voisi olla merkitystä yksilö oikeusturva toteuttamise äkökulmasta sekä huomioitava yleisessä tietosuoja-asetuksessa säädetyt vaatimukset tekiste ja orgaisatoriste toimepiteide toteuttamiseksi hekilötietoje suojaamiseksi. Ei tarvitsi kerätä yleisesti tietoverkosta, esimerkiksi verkkosivustoilta, saatavista avoimista tietoaieistoista. 20
Yhteetoimivuude ohjauskokoaisuus (TihL) Yleie tiedohallitakartta (6.1 1 k) Yleie kuvaus julkisesta halliosta ja tiedohallia järjestämisestä julkisessa halliossa Yhteiset ratkaisut ja palvelut TIEDONHALLINTA- KARTTA YHTEENTOIMIVUUDEN LINJAUKSET Tiedohallia yleiset lijaukset (6.1 2 k) Yhteetoimiva julkise hallio varmistavat lijaukset Yhteiste palveluje käyttöä, kehittämistä ja tuotatoa koskeva lijaukset Kehittämisprojektit Tavoitteita toteuttavat toimepiteet Lausuo huomioiti toimepiteissä (seurata) HANKESALKKU OHJAUKSEN VAIKUTUSTEN ARVIOINTI OHJAUKSEN VAIKUTUSTEN ARVIOINTI YHTEEN- TOIMIVUUDEN OHJAUS TIETO- TURVALLISUUS Tietoturvallisuutta ja varautumista koskevat vaatimukset Tietoturvallisuude perustaso Palveluje jatkuvuude vaatimukset Lausuto muutoste arvioiista valtiohalliossa (9 ) Tietovaratoje ja tietojärjestelmie hyödytämie Yhteetoimivuus Tietoturvallisuus ----------------- ----------------- ----------------- ----------------- ----------------- ----------------- ----------------- ----------------- ------ LAUSUNTO TIEDONHALLINTA- MALLI Tiedohallitayksikö muutoste vaikutuste arvioiti (5 ) Suuiteltu kehittämie / muutos Muutokse toimialliset ja taloudelliset vaikutukset 21
Riitta Autere Neuvotteleva virkamies Puh. 0295 16001 (vaihde) Lisätieto: etuimi.sukuimi@vm.fi www.vm.fi Valtiovaraimiisteriö viestitä vm-viestita@vm.fi Mediapalveluumero (arkisi 8 16) 02955 30500