Lag om informationshantering inom den offentliga förvaltningen
Se ändringsförslag RP 57/2024.
I enlighet med riksdagens beslut föreskrivs:
Allmänna bestämmelser
Lagens syfte
Syftet med denna lag är att
1) säkerställa en enhetlig och kvalitativ hantering samt informationssäker behandling av myndigheternas informationsmaterial så att offentlighetsprincipen förverkligas,
2) möjliggöra ett tryggt och effektivt utnyttjande av myndigheternas informationsmaterial så att myndigheterna i enlighet med god förvaltningssed kan sköta sina uppgifter och tillhandahålla förvaltningskunderna tjänster på ett kvalitativt sätt och med gott resultat,
3) främja interoperabiliteten mellan informationssystem och informationslager.
2 mom. har upphävts genom L 15.7.2021/710. (15.7.2021/710)
Definitioner
I denna lag avses med
1) myndighet de myndigheter som avses i 4 § 1 mom. i lagen om offentlighet i myndigheternas verksamhet (621/1999),
2) informationshanteringsenhet en myndighet med uppgift att ordna informationshantering i enlighet med kraven i denna lag,
3) informationssystem ett helhetsarrangemang som består av databehandlingsutrustning, programvara och annan databehandling,
4) handling en myndighetshandling som avses i 5 § 2 mom. i lagen om offentlighet i myndigheternas verksamhet,
5) informationsmaterial en datauppsättning som består av handlingar och annan motsvarande information och har samband med en viss myndighetsuppgift eller myndighetstjänst,
6) informationslager en uppsättning informationsmaterial som används för en myndighets uppgifter eller övriga verksamhet och som hanteras med hjälp av informationssystem eller manuellt,
7) gemensamt informationslager ett för användning av flera aktörer planerat och upprätthållet informationslager vars uppgifter kan lämnas ut och utnyttjas för olika ändamål,
8) informationssäkerhetsåtgärder säkerställande av informationsmaterials tillgänglighet, integritet och tillförlitlighet genom administrativa, funktionella och tekniska åtgärder,
9) informationshantering sådana åtgärder och informationssäkerhetsåtgärder baserade på behov som uppkommer i samband med en myndighets uppgifter eller övriga verksamhet, i syfte att hantera en myndighets informationsmaterial, informationen i olika behandlingsskeden och informationen i informationsmaterial, oberoende av på vilket sätt informationsmaterialen lagras och behandlas i övrigt,
10) verksamhetsprocess en myndighets ärendebehandlings- eller tjänsteprocess,
11) tekniskt gränssnitt en kommunikationsmetod för elektroniskt informationsutbyte mellan två eller flera informationssystem,
12) elektronisk förbindelse en begränsad vy som genomförs i ett informationssystem och möjliggör visning av informationsmaterial,
13) interoperabilitet mellan informationslager utnyttjande och utbyte av information mellan olika informationssystem så att informationens relevans och användbarhet bevaras,
14) maskinläsbart format ett filformat som är så strukturerat att datorprogram enkelt kan identifiera, känna igen och extrahera informationsmaterial, specifika uppgifter och strukturer i en handling, (23.3.2023/488)
15) automatiserat beslutsförfarande en verksamhetsprocess där ett ärende avgörs automatiserat på det sätt som avses i 53 e § i förvaltningslagen (434/2003), (23.3.2023/488)
16) behandlingsregler av en fysisk person på förhand utarbetade regler avsedda att styra automatisk databehandling. (23.3.2023/488)
Lagens tillämpningsområde och begränsningar i det
Denna lag ska tillämpas på informationshantering och på användning av informationssystem, då myndigheter behandlar informationsmaterial, om inte något annat föreskrivs någon annanstans i lag. Bestämmelserna i 6 a kap. i denna lag ska tillämpas på införande och användning av automatiserat beslutsförfarande. Vad som i denna lag föreskrivs om myndigheter ska också tillämpas på universitet som avses i universitetslagen (558/2009) och på yrkeshögskolor som avses i yrkeshögskolelagen (932/2014). (23.3.2023/488)
Det föreskrivs särskilt om förfaranden som ska iakttas vid ärendehantering och tjänsteproduktion, om sekretessbeläggning och om rätten till information om myndighetshandlingar samt om arkivering av handlingar. I kyrkolagen (1054/1993) föreskrivs om informationshantering och användning av informationssystem inom Finlands evangelisk-lutherska kyrka.
Bestämmelserna i 19, 20, 26 och 27 § ska inte tillämpas på rättskipningen vid domstolar eller nämnder som har inrättats för att behandla besvärsärenden. Bestämmelserna i 3 kap. ska inte tillämpas på riksdagens justitieombudsmans, justitiekanslerns i statsrådet eller domstolarnas verksamhet eller verksamheten vid nämnder som har inrättats för att behandla besvärsärenden och inte heller på republikens presidents kansli, riksdagens ämbetsverk, Folkpensionsanstalten, Finlands Bank, övriga självständiga offentligrättsliga inrättningar, universitet som avses i universitetslagen eller på yrkeshögskolor som avses i yrkeshögskolelagen. Bestämmelserna i 3 kap. ska tillämpas på välfärdsområden, välfärdssammanslutningar, kommuner och samkommuner då de sköter lagstadgade uppgifter. (29.6.2021/653)
Vad som i 4 kap., 22–24 och 25–27 § samt 6 a kap. i denna lag föreskrivs om informationshanteringsenheter och myndigheter ska tillämpas på privatpersoner, privaträttsliga sammanslutningar och sådana offentligrättsliga samfund som inte är myndigheter till den del dessa sköter offentliga förvaltningsuppgifter. På privatpersoner, privaträttsliga sammanslutningar och sådana offentligrättsliga samfund som inte är myndigheter tillämpas dessutom vad som i 4 och 28 § föreskrivs om informationshanteringsenheter när de utövar offentlig makt på det sätt som avses i 4 § 2 mom. i lagen om offentlighet i myndigheternas verksamhet eller när det särskilt föreskrivs att den lagen ska tillämpas på deras verksamhet. Vidare tillämpas vad som i 19 § 2 mom. samt i 24 a och 24 b § i denna lag föreskrivs om myndigheter på privaträttsliga sammanslutningar och sådana offentligrättsliga samfund som inte är myndigheter när de utövar offentlig makt på det sätt som avses i 4 § 2 mom. i lagen om offentlighet i myndigheternas verksamhet. (23.3.2023/488)
Denna lag ska inte tillämpas på statliga myndigheter i landskapet Åland. Lagens 13 a § och 6 a kap. ska dock tillämpas på statliga myndigheter på Åland när de sköter sådana myndighetsuppgifter som hör till rikets lagstiftningsbehörighet och som innebär automatiserat avgörande av ärenden enligt 53 e § i förvaltningslagen. (23.3.2023/488)
KyrkoL 1054/1993 har upphävts genom L 652/2023, se KyrkoL 652/2023 10 kap. 8 §.
Ordnande av informationshantering
Ordnande av informationshanteringen i informationshanteringsenheter
Informationshanteringsenheter enligt denna lag är
1) statliga ämbetsverk och inrättningar,
2) domstolar och nämnder som har inrättats för att behandla besvärsärenden,
3) riksdagens ämbetsverk,
4) statliga affärsverk,
5) välfärdsområden,
6) välfärdssammanslutningar,
7) kommuner,
8) samkommuner,
9) självständiga offentligrättsliga inrättningar,
10) universitet som avses i universitetslagen och yrkeshögskolor som avses i yrkeshögskolelagen.
En informationshanteringsenhets ledning ska ombesörja att det vid enheten
1) har definierats ansvaren för de uppgifter i anslutning till informationshanteringen som föreskrivs i denna och i någon annan lag,
2) finns uppdaterade anvisningar om hantering av informationsmaterial, om användning av informationssystem, om databehandlingsrättigheter, om informationshanteringsansvar, om informationsrättigheter, om informationssäkerhetsåtgärder samt om beredskap för undantagsförhållanden,
3) kan erbjudas utbildning varmed det säkerställs att de anställda och personer som arbetar för informationshanteringsenhetens räkning är tillräckligt förtrogna med gällande författningar, föreskrifter och med informationshanteringsenhetens anvisningar om informationshantering och databehandling samt om offentlighet och sekretess i fråga om handlingar,
4) finns ändamålsenliga instrument för att genomföra informationshanteringsskyldigheter,
5) har ordnats tillräcklig övervakning när det gäller iakttagandet av författningarna, föreskrifterna och anvisningarna om informationshantering.
Informationshanteringsmodell och konsekvensbedömning
En informationshanteringsenhet ska upprätthålla en informationshanteringsmodell som definierar och beskriver informationshanteringen i dess verksamhetsmiljö. Informationshanteringsmodellen ska upprätthållas för planering och genomförande av tjänster, ärendebehandling och hantering av informationsmaterial, för genomförande av rättigheter och begränsningar i fråga om tillgången till information, för att minska överlappande insamling av information, för genomförande av interoperabilitet mellan informationssystem och informationslager samt för upprätthållande av informationssäkerhet.
Av informationshanteringsmodellen ska framgå åtminstone uppgifter om
1) beteckningar som beskriver verksamhetsprocesser, om processansvariga myndigheter, om syftet med processer samt om sambandet mellan en process och andra processer,
2) beteckningar på informationslager, beskrivningar av sambanden mellan informationslager, verksamhetsprocesser och informationssystem samt om innehållet i det register som avses i artikel 30.1 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, eller ifall ett sådant register enligt dataskyddsförordningen inte behöver upprättas, om myndigheten som ansvarar för ett informationslager, om informationslagrets användningsändamål, om informationsmaterialens centrala uppgiftskategorier, om mottagarna av utlämnad information och om informationens förvaringstider,
3) överföring av informationsmaterial till arkiv, om arkiveringssättet och om arkiveringsplatsen eller om förstöring,
4) informationssystemets beteckningar, om den systemansvariga myndigheten, om informationssystemets användningsändamål, om anslutningar till andra informationssystem och om överföringssätten via anslutningar,
5) informationssäkerhetsåtgärder.
Vid planeringen av väsentliga administrativa reformer som har konsekvenser för innehållet i informationshanteringsmodellen och i samband med att informationssystem tas i bruk ska informationshanteringsenheten bedöma de förändringar som hänför sig till åtgärderna och deras konsekvenser i förhållande till ansvaren för informationshanteringen, informationssäkerhetskraven och informationssäkerhetsåtgärderna enligt 4 kap., kraven på skapande och sättet för utlämnande av informationsmaterial enligt 5 kap., kraven på ärendehantering och informationshantering i samband med tjänsteproduktion enligt 6 kap. och, enligt vad som föreskrivs någon annanstans i lag om handlingsoffentlighet, sekretessbeläggning, skyddande av information samt informationsrättigheter. Informationshanteringsenheten ska i sin bedömning av förändringar som avser informationshantering beakta interoperabiliteten mellan informationslager samt möjligheterna att utnyttja informationslager för skapande och utnyttjande av informationsmaterial. På basis av bedömningen ska informationshanteringsenheten vidta de åtgärder som behövs för att ändra informationshanteringsmodellen och genomföra ändringarna. Det föreskrivs särskilt om konsekvensbedömning i fråga om dataskydd och om förhandssamråd i samband därmed.
Se EPRF (EU) 2016/679 (allmän dataskyddsförordning) 35 art.
Allmän styrning av informationshanteringen inom den offentliga förvaltningen
Allmän styrning av interoperabiliteten mellan informationslager
Finansministeriet svarar för den allmänna styrningen av interoperabiliteten mellan den offentliga förvaltningens gemensamma informationslager. I detta syfte ska finansministeriet
1) ombesörja uppdateringen av den offentliga förvaltningens informationshanteringskarta,
2) upprätthålla de allmänna riktlinjerna för utveckling av informationshanteringen inom den offentliga förvaltningen i syfte att främja interoperabiliteten mellan de gemensamma informationslagren och informationssystemen.
Varje ministerium ska inom sitt eget ansvarsområde sköta uppdateringen av innehållet i den offentliga förvaltningens informationshanteringskarta och upprätthålla de allmänna riktlinjerna i syfte att främja interoperabiliteten mellan ansvarsområdets gemensamma informationslager och informationssystem. Genom förordning av statsrådet kan det föreskrivas närmare om innehållet i och upprätthållandet av den offentliga förvaltningens informationshanteringskarta.
Samarbetet mellan den offentliga förvaltningens informationshantering och produktionen av informations- och kommunikationstekniska tjänster
Finansministeriet ska ombesörja att det för koordineringen av samarbetet mellan den offentliga förvaltningens informationshantering och produktionen av informations- och kommunikationstekniska tjänster har ordnats samarbetsmetoder och samarbetsförfaranden för myndigheter vid statliga ämbetsverk och inrättningar, för välfärdsområdens och välfärdssammanslutningars myndigheter samt för kommunala myndigheter. Syftet med samarbetet är att främja genomförandet av de syften som avses i denna lag samt att utveckla den offentliga förvaltningens förfaranden och metoder för tjänsteproduktion genom utnyttjande av informationslager samt informations- och kommunikationsteknik. Inom samarbetet ska utvecklingen, förändringarna i och konsekvenserna av den offentliga förvaltningens informationshantering samt de informations- och kommunikationstekniska tjänsterna följas upp. (29.6.2021/653)
För samarbetet enligt 1 mom. kan statsrådet tillsätta delegationer eller andra samarbetsorgan.
Statliga ämbetsverks och inrättningars bedömning av förändringar i informationshanteringen
De statliga ämbetsverken och inrättningarna ska i sin bedömning enligt 5 § 3 mom. utvärdera de ekonomiska konsekvenserna av förändringar som är relevanta för informationshanteringen.
Det ministerium som ansvarar för verksamhetsområdet ska göra en bedömning enligt 5 § 3 mom. då bestämmelser som är under beredning återverkar på informationsmaterial och informationssystem. Dessutom ska ministeriet bedöma planerade bestämmelsers konsekvenser för handlingsoffentligheten och handlingssekretessen.
Utlåtande om bedömning av förändringar inom statsförvaltningen
De statliga ämbetsverken och inrättningarna ska tillställa finansministeriet en på basis av 5 § 3 mom. och 8 § 1 mom. gjord bedömning för utlåtande om utnyttjandet av informationslager och informationssystem samt om interoperabiliteten och informationssäkerheten, då en förändring bedöms få betydande ekonomiska eller funktionella konsekvenser för informationshanteringen eller verksamheten eller då det är fråga om väsentliga förändringar i strukturella gränssnitt för gemensamma informationslager inom den offentliga förvaltningen. Finansministeriet har för avgivande av utlåtande rätt att trots sekretessbestämmelserna få nödvändig information från statliga myndigheter.
Närmare bestämmelser om förändringar i informationshanteringen som förutsätter utlåtande, om innehållet i begäran om utlåtande och om förfarandet i ett ärende som gäller utlåtande utfärdas genom förordning av statsrådet.
Se SRf om utlåtandeförfarandet i ärenden som gäller förändringar i informationshanteringen 1301/2019.
Den offentliga förvaltningens informationshanteringsnämnd
I anslutning till finansministeriet finns en informationshanteringsnämnd för den offentliga förvaltningen (informationshanteringsnämnden) med uppgift att
1) bedöma hur statliga ämbetsverk och inrättningar, välfärdsområden och välfärdssammanslutningar samt kommuner och samkommuner genomför och iakttar 4 § 2 mom., 5, 19, 22–24, 24 a, 24 b och 28 § samt 6 kap., (15.7.2021/710)
2) främja förfarandena i fråga om informationshantering och informationssäkerhet samt genomförandet av de krav som föreskrivs i denna lag.
Statsrådet utser informationshanteringsnämnden för fyra år i sänder. Nämnden har en ordförande, en vice ordförande samt ledamöter med sakkunskap när det gäller informationssäkerhet inom den offentliga förvaltningen, interoperabilitet mellan informationssystem och informationslager, statistik eller hantering av informationsmaterial. Genom förordning av statsrådet föreskrivs det närmare om informationshanteringsnämndens sammansättning, organiseringen av dess verksamhet och beslutsförfarande samt behörighetskraven för ledamöterna.
Finansministeriet utser bland sina tjänstemän sekreterare i bisyssla för nämndens mandatperiod. Genom förordning av statsrådet föreskrivs närmare om sekreterarnas uppgifter.
På ledamöterna och ersättarna tillämpas bestämmelserna om straffrättsligt tjänsteansvar när de sköter uppgifter som hör till nämnden. I skadeståndslagen (412/1974) föreskrivs om skadeståndsansvar. Till ledamöterna och ersättarna betalas ersättning för skötsel av uppgifterna. Finansministeriet fastställer ersättningsbeloppen.
Informationshanteringsnämnden kan tillsätta tillfälliga sektioner för utveckling av informationshanteringsförfarandena. Till sektionerna kan höra sakkunniga vid informationshanteringsenheter. Nämndens sekreterare är ordförande för sektionerna. Befolkningsregistercentralen har i uppgift att för informationshanteringsnämnden producera sakkunnigtjänster i syfte att utveckla förfarandena för informationshantering och informationssäkerhet.
Se SRf om offentliga förvaltningens informationshanteringsnämnd 1338/2019.
Informationshanteringsnämndens bedömningsuppgift
Genomförandet av informationshanteringsnämndens bedömningsuppgift baserar sig på en bedömningsplan som nämnden godkänt.
Informationshanteringsnämnden har trots sekretessbestämmelserna rätt att för skötseln av en bedömningsuppgift, från de myndigheter som är föremål för bedömning kostnadsfritt få sådana utredningar som är nödvändiga för skötseln av bedömningsuppgiften samt behövliga uppgifter om informationshanteringsmodellen, om bedömningen av förändringar i informationshanteringen, om hur tillgången till information som avses i 24 a och 24 b § förverkligas, om den beskrivning som avses i 28 §, om de förfaranden som används för ärendehanteringen och informationshanteringen i samband med tjänsteproduktion, om tekniken för omvandling av handlingar till elektroniskt format, om upprättande av elektroniska förbindelser och om beskrivningar av tekniska gränssnitt, om användning och administrering av tekniska gränssnitt samt om förfarandena för användning av gränssnitt, med undantag för säkerhetsklassificerade handlingar. Myndigheten ska inom utsatt tid lämna informationshanteringsnämnden begärd information. (15.7.2021/710)
Om informationshanteringsnämnden konstaterar brister i fråga om iakttagandet av de bestämmelser som i enlighet med 10 § 1 mom. 1 punkten är föremål för bedömning, kan nämnden uppmärksamgöra myndigheten på genomförandet av de till informationshanteringen anslutna förfarandena enligt denna lag och uppfyllandet av kraven.
Informationshanteringsnämnden ska vartannat år utarbeta en berättelse över bedömningsresultaten och överlämna den till finansministeriet.
Informationssäkerhet
Identifiering av uppgifter som förutsätter tillförlitlighet och säkerställande av tillförlitligheten
En informationshanteringsenhet ska identifiera uppgifter som förutsätter särskild tillförlitlighet hos anställda eller personer som handlar för enhetens räkning. I säkerhetsutredningslagen (726/2014) föreskrivs om förutsättningar för säkerhetsutredning av person. I lagen om integritetsskydd i arbetslivet (759/2004) föreskrivs om arbetsgivarens rätt att för utredning av arbetstagarens tillförlitlighet utreda kreditupplysningar om denne och behandla uppgifter om narkotikatest.
Informationssäkerhet i fråga om informationsmaterial och informationssystem
En informationshanteringsenhet ska följa upp informationssäkerhetens tillstånd i sin verksamhetsmiljö och säkerställa informationsmaterialens och informationssystemens informationssäkerhet under hela deras livscykel. Informationshanteringsenheten ska identifiera relevanta risker som är förenade med informationsbehandlingen och dimensionera informationssäkerhetsåtgärderna utifrån riskbedömningen.
De med tanke på skötseln av en myndighets uppgifter relevanta informationssystemens feltolerans och funktionella användbarhet ska regelbundet säkerställas genom tillräcklig testning.
Myndigheten ska planera informationssystemen, informationslagrens strukturer och informationsbehandlingen i samband med dem på ett sådant sätt att handlingsoffentligheten utan svårighet kan genomföras.
Myndigheten ska vid sina upphandlingar säkerställa att de aktuella informationssystemen har lämpliga säkerhetsåtgärder.
Angående bedömning av informationssäkerheten i myndigheters informationssystem och datakommunikation föreskrivs särskilt.
Se L om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation 1406/2011.
(23.3.2023/488) Information om och beredskap för störningssituationer
En myndighet ska utan dröjsmål informera dem som utnyttjar dess informationsmaterial om sådana störningar i myndighetens informationshantering som utgör ett hinder, eller hotar utgöra ett hinder, för informationsmaterialens tillgänglighet. Myndigheten ska meddela hur länge störningen eller hotet om störning beräknas pågå och, i den mån det är möjligt, ange ersättande sätt att utnyttja myndighetens informationsmaterial samt meddela att störningen eller hotet om störning har upphört.
Bestämmelser om information till allmänheten som myndigheter ska ge om avbrott i de digitala tjänsterna och i andra elektroniska dataöverföringsmetoder finns i 4 § 2 mom. i lagen om tillhandahållande av digitala tjänster (306/2019).
En informationshanteringsenhet ska utreda väsentliga risker som hänför sig till behandlingen av informationsmaterial, utnyttjandet av informationssystem och verksamhetens kontinuitet. Informationshanteringsenheten ska utifrån riskbedömningen genom beredskapsplaner och förberedelser för verksamhet i störningssituationer samt genom andra åtgärder se till att behandlingen av informationsmaterial, utnyttjandet av informationssystem och verksamheten fortsätter så störningsfritt som möjligt i störningssituationer under normala förhållanden samt under sådana undantagsförhållanden som avses i beredskapslagen (1552/2011).
Bestämmelser om myndigheternas allmänna skyldighet att vidta förberedelser för undantagsförhållanden samt om ordnande av statens informationsförvaltning, databehandling, elektroniska tjänster, telekommunikation och informationssäkerhet under undantagsförhållanden finns i beredskapslagen.
Informationsöverföring i datanät
Om en myndighet överför sekretessbelagd information i det allmänna datanätet ska informationen överföras i ett krypterat eller på annat sätt skyddat format. Dessutom ska överföringen ordnas så att mottagaren verifieras eller identifieras på ett tillräckligt informationssäkert sätt, innan mottagaren kommer åt att behandla den överförda sekretessbelagda informationen.
I lagen om tillhandahållande av digitala tjänster föreskrivs om identifiering av användaren i samband med digitala tjänster som tillhandahålls allmänheten. (23.3.2023/488)
Tryggande av säkerheten i fråga om informationsmaterial
Myndigheterna ska genom adekvata säkerhetsåtgärder i fråga om sina informationsmaterial säkerställa att
1) informationsmaterialens oföränderlighet har verifierats tillräckligt väl,
2) informationsmaterialen har skyddats mot tekniska och fysiska skador,
3) informationsmaterialens ursprung, uppdatering och felfrihet har verifierats,
4) informationsmaterialens tillgänglighet och användbarhet har verifierats,
5) informationsmaterialens tillgänglighet begränsas endast om tillgången till informationen eller rätten att behandla informationen har begränsats särskilt i lag,
6) informationsmaterialen kan arkiveras till behövliga delar.
Informationsmaterial ska behandlas och förvaras i verksamhetslokaler som är tillräckligt säkra enligt kraven på tillförlitlighet, integritet och tillgänglighet.
Kontroll av användarrättigheter för informationssystem
Den systemansvariga myndigheten ska definiera användarrättigheterna för informationssystem. Användarrättigheterna ska definieras och uppdateras utifrån användarens uppgiftsrelaterade användningsbehov.
Insamling av logginformation
En myndighet ska ombesörja att logginformation insamlas om användning av dess informationssystem och om utlämnande av information från dem, om användningen förutsätter identifiering eller annan registrering. Syftet med logginformationen är uppföljning av användningen och utlämnandet av information från informationssystem samt utredning av tekniska systemfel.
Handlingar som ska säkerhetsklassificeras inom statsförvaltningen
Myndigheter vid statliga ämbetsverk, inrättningar och affärsverk samt domstolar och nämnder som har inrättats för att behandla besvärsärenden ska säkerhetsklassificera handlingar och förse dem med anteckning om säkerhetsklass som visar vilket slag av informationssäkerhetsåtgärder som ska vidtas vid behandlingen av dem. Anteckning om säkerhetsklass ska göras, om en handling eller informationen i den är sekretessbelagd enligt 24 § 1 mom. 2, 5 eller 7–11 punkten i lagen om offentlighet i myndigheternas verksamhet och om obehörigt avslöjande eller obehörig användning av handlingen kan orsaka skada för försvaret, för förberedelser inför undantagsförhållanden, för internationella relationer, för brottsbekämpningen, för den allmänna säkerheten eller för stats- och samhällsekonomins funktion, eller på något annat jämförbart sätt för Finlands säkerhet. (17.12.2020/1022)
En handling får inte förses med en anteckning om säkerhetsklass i andra fall än sådana som avses i 1 mom., om anteckningen inte behövs för att fullgöra en internationell förpliktelse som gäller informationssäkerhet eller om handlingen annars har samband med internationellt samarbete.
Sådana handlingar som avses i lagen om internationella förpliktelser som gäller informationssäkerhet (588/2004) ska förses med anteckning om säkerhetsklass så som föreskrivs i den lagen.
Genom förordning av statsrådet föreskrivs närmare om säkerhetsklassificering, anteckningar i säkerhetsklassificerade handlingar och informationssäkerhetsåtgärder som anknyter till behandlingen av säkerhetsklassificerade handlingar. I 25 § i lagen om offentlighet i myndigheternas verksamhet föreskrivs om anteckning om sekretess.
Se SRf om säkerhetsklassificering av handlingar inom statsförvaltningen 1101/2019.
Skapande och elektronisk överföring av informationsmaterial
Omvandling av informationsmaterial till elektroniskt format och materialens tillgänglighet
Om en handling inkommer till en myndighet i annat än elektroniskt format ska den omvandlas till elektroniskt format, om det i eller med stöd av lag föreskrivs att handlingen ska förvaras varaktigt eller arkiveras. Myndigheten ansvarar för att en till elektroniskt format omvandlad handlings tillförlitlighet och integritet säkerställs. Handlingar som utarbetats av en myndighet ska förvaras elektroniskt. Undantag får göras från kravet på omvandling till elektroniskt format och elektronisk förvaring om det är nödvändigt på grund av behandlingskraven för säkerhetsklassificerade handlingar, övriga informationssäkerhetskrav eller av någon annan nödvändig orsak som har samband med handlingens karaktär.
Med beaktande av vad som särskilt föreskrivs om rätten till information och om skydd för personuppgifter, ska myndigheten se till att informationsmaterialet är tillgängligt och att materialet med tillhörande metadata kan utnyttjas i ett allmänt maskinläsbart format, om materialet kan omvandlas direkt från originalformatet till maskinläsbart format. Värdefulla datamängder som avses i 24 b § 1 mom. ska finnas tillgängliga i maskinläsbart format. (15.7.2021/710)
Myndigheten får för omvandlingen till elektroniskt format anlita en privat aktör med tillräckliga tekniska förutsättningar och kunskaper för att sköta en sådan uppgift. På den aktör som utför uppgiften ska tillämpas bestämmelserna om straffrättsligt tjänsteansvar. I skadeståndslagen föreskrivs om skadeståndsskyldighet.
Insamling av informationsmaterial för myndighetsuppgifter
En myndighet ska sträva efter att utnyttja en annan myndighets informationsmaterial, om den första myndigheten har rätt att via ett tekniskt gränssnitt eller en elektronisk förbindelse få den behövliga informationen från den andra myndigheten. Vid utnyttjandet av informationen ska parters och andra förvaltningskunders rättssäkerhet tillgodoses.
Om en myndighet har rätt att från en annan myndighets informationslager via ett tekniskt gränssnitt eller en elektronisk förbindelse få tillförlitlig och uppdaterad information för skötseln av sina uppgifter, får den inte kräva att dess kunder visar upp eller lämnar in intyg eller utdrag, om det inte är nödvändigt för utredning av ärendet.
Definition av behovet att förvara informationsmaterial
Om det inte i lag föreskrivs om förvaringstiderna för informationsmaterial eller handlingar ska förvaringstiderna bestämmas med beaktande av
1) i vilken utsträckning informationsmaterialet behövs i myndighetens verksamhet för det ursprungliga användningsändamålet,
2) genomförandet och verifieringen av fysiska eller juridiska personers förmåner, rättigheter, förpliktelser och rättssäkerhet,
3) rättsverkningarna av avtal eller andra privaträttsliga rättshandlingar,
4) de skadeståndsrättsliga preskriptionstiderna, och
5) de straffrättsliga preskriptionstiderna.
Efter det att förvaringstiden gått ut ska informationsmaterialen utan dröjsmål arkiveras eller förstöras på ett informationssäkert sätt.
Det föreskrivs särskilt om ansvaren för bestämmande av förvaringstiderna, om arkivering och om arkivverkets uppgifter.
Se EPRF (EU) 2016/679 (allmän dataskyddsförordning) 89 art., Dataskydds 1050/2018, L om elektronisk kommunikation i myndigheternas verksamhet 13/2003 samt ArkivL 831/1994.
Informationsöverföring mellan myndigheter via tekniska gränssnitt
Myndigheterna ska genomföra regelbundet återkommande och standardiserad elektronisk överföring av information mellan informationssystem via tekniska gränssnitt, om den mottagande myndigheten enligt lag har rätt till informationen. Regelbundet återkommande och standardiserad elektronisk överföring av information kan genomföras på något annat sätt, om det inte är tekniskt eller ekonomiskt ändamålsenligt att genomföra eller använda ett tekniskt gränssnitt. En myndighet kan också i andra situationer öppna ett tekniskt gränssnitt för en myndighet som har rätt till information. Det föreskrivs särskilt om överföring av handlingar och information på annat sätt.
Utöver vad som föreskrivs i 4 kap. ska överföring av information mellan informationssystem via tekniska gränssnitt genomföras så att det tekniskt säkerställs att den information som ska överföras behövs i det enskilda fallet eller är nödvändig för att den mottagande myndigheten ska kunna sköta sina uppgifter, ifall överföringen avser personuppgifter eller sekretessbelagd information.
Beskrivningen av strukturen för information som överförs via ett tekniskt gränssnitt ska definieras och uppdateras av den myndighet som lämnar ut informationen. Vid planeringen av informationsöverföring mellan flera myndigheter via tekniska gränssnitt ska beskrivningen av informationsstrukturen definieras och uppdateras under ledning av det ministerium som ansvarar för verksamhetsområdet.
Öppnande av elektronisk förbindelse till en myndighet
En myndighet kan öppna en elektronisk förbindelse till en annan myndighet till sådan information i ett informationslager som den mottagande myndigheten har rätt att få tillgång till. Utöver vad som föreskrivs i 4 kap. är en förutsättning för öppnande av en elektronisk förbindelse att
1) förbindelsen begränsas till endast enskild sökning av sådana behövliga eller nödvändiga uppgifter som är förenliga med informationsrätten, samt att
2) informationens användningsändamål utreds i samband med sökningen.
Myndigheten ska upprätta en elektronisk förbindelse så att det informationssystem som möjliggör förbindelsen automatiskt identifierar avvikande informationssökningar.
Överföring av informationsmaterial via tekniska gränssnitt till andra än myndigheter
En myndighet kan via ett tekniskt gränssnitt överföra information till en aktör som inte är en annan myndighet, om mottagaren uttryckligen enligt lag har rätt att få informationen och behandla den. Ett tekniskt gränssnitt kan under de förutsättningar som anges i 22 § öppnas så som föreskrivs i den paragrafen. Den utlämnande myndigheten ska vid behov säkerställa att mottagaren vid hanteringen av informationen iakttar de skyldigheter som föreskrivs i denna lag.
Det föreskrivs särskilt om utlämnande av information i annat elektroniskt format och som informationstjänst till allmänheten via en elektronisk förbindelse.
Se t.ex. L om offentlighet i myndigheternas verksamhet 621/1999 4 kap.
(15.7.2021/710) Tillgång till information som uppdateras ofta
I 16 § 2 mom. i lagen om offentlighet i myndigheternas verksamhet avsedd information som ska lämnas ut ur sådana offentliga handlingar i elektronisk form som uppdateras ofta eller i realtid ska på begäran finnas tillgänglig med hjälp av tekniska gränssnitt genast efter att informationen har samlats in och vid behov som en bulknedladdning.
Om det av ekonomiska eller tekniska orsaker medför oskäligt besvär för myndigheten att iaktta 1 mom., ska informationen finnas tillgänglig inom en sådan tidsfrist eller med sådana temporära tekniska begränsningar som inte i onödan försvårar utnyttjandet av den.
(15.7.2021/710) Tillgång till värdefulla datamängder
Med värdefulla datamängder avses datamängder om vars tillgänglighet det på grund av deras ekonomiska eller sociala betydelse föreskrivs i de genomförandeakter som avses i artikel 14.1 i Europaparlamentets och rådets direktiv (EU) 2019/1024 om öppna data och vidareutnyttjande av information från den offentliga sektorn.
Värdefulla datamängder, som den som får informationen enligt vad som särskilt föreskrivs i lag har rätt att få och rätt att behandla, ska på begäran finnas tillgängliga med hjälp av tekniska gränssnitt. Informationen ska vid behov även finnas tillgänglig som en bulknedladdning.
Närmare bestämmelser om förteckningen över värdefulla datamängder och tillgången till dessa datamängder utfärdas enligt vad som föreskrivs om dem i Europeiska unionens lagstiftning genom förordning av statsrådet, om inte något annat föreskrivs någon annanstans i lag.
Ärendehantering samt informationshantering i samband med tjänsteproduktion
Registrering i ärenderegister
En informationshanteringsenhet ska över ärenden som behandlas eller har behandlats hos en myndighet upprätthålla ett ärenderegister för information om ärenden, ärendebehandling och handlingar. Myndigheten ska utan dröjsmål i ärenderegistret registrera handlingar som har inkommit till myndigheten eller som den upprättat. Utöver vad som föreskrivs i 26 § ska också handlingens ankomsttidpunkt framgå av registreringen.
Informationshanteringsenheten ska ombesörja att offentliga anteckningar i ett ärenderegister eller i en del av det kan användas för att producera information som gör det möjligt att specificera informationsbegäranden.
Uppgifter som ska registreras i ärenderegister
En informationshanteringsenhet ska förse de ärenden som myndigheten ska behandla eller som tilldelats myndigheten med en ärendekod som gör det möjligt att identifiera de uppgifter som rör ärendet.
Myndigheten ska för varje ärende registrera åtminstone följande identifieringsuppgifter:
1) informationshanteringsenhetens företags- och organisationsnummer,
2) uppgifter som identifierar myndigheten,
3) uppgifter som identifierar verksamhetsprocessen,
4) tidpunkten då ärendet inleddes.
I fråga om en handling som inkommit till en myndighet ska registreras åtminstone
1) uppgifter som identifierar handlingen,
2) på vilket sätt handlingen inkommit,
3) handlingens avsändare eller ombud.
I fråga om en handling som upprättats av en myndighet ska registreras åtminstone
1) uppgifter som identifierar handlingen,
2) vem som upprättat handlingen,
3) tidpunkten då handlingen upprättats, (23.3.2023/488)
4) tidpunkten då handlingen skickats samt sättet att skicka den. (23.3.2023/488)
I ärenderegistret ska om ett ärende dessutom registreras åtminstone
1) vem som inlett ärendet och vid behov övriga parter,
2) hur behandlingen framskridit,
3) myndighetens åtgärder och i samband med det behandlade handlingar i olika skeden, (23.3.2023/488)
4) tidpunkten för det myndighetsavgörande som avslutade ärendets behandling, (23.3.2023/488)
5) vid behov sättet för delgivning av de handlingar som myndigheten skickat. (23.3.2023/488)
Hantering av informationsmaterial i samband med tjänsteproduktion
En informationshanteringsenhet ska ordna hanteringen av informationsmaterial som uppkommer i andra sammanhang än ärendebehandling så att handlingar som har samband med informationsmaterialet kan sökas med hjälp av en kod som anger informationsmängden, så att informationen utan svårighet kan ges till behöriga personer. Myndigheten ska utan dröjsmål registrera handlingar och övrig information som uppkommer i samband med tjänsteproduktion så att det i efterhand är möjligt att konstatera att de uppkommit i samband med produktion av tjänster.
Beskrivning i syfte att genomföra handlingsoffentligheten
En informationshanteringsenhet ska för genomförande av offentlighetsprincipen upprätthålla en beskrivning av de informationslager och ärenderegister som den förvaltar. Av beskrivningen ska framgå
1) vilka informationssystem som innehåller uppgifter som hör till ärenderegistret eller till informationshanteringen i samband med tjänsteproduktion,
2) vilken myndighet som beslutar om utlämnande av information från ärenderegistret eller informationssystemet samt dess kontaktuppgifter för informationsbegäranden,
3) vilka kategorier av informationsmaterial som ingår i informationssystemen,
4) de söktermer med vilka handlingar tekniskt kan sökas i en myndighets ärenderegister eller informationssystem,
5) om det finns öppen tillgång till informationsmaterial via ett tekniskt gränssnitt.
Informationshanteringsenheten ska i ett allmänt datanät offentliggöra en sådan beskrivning som avses i 1 mom. till den del uppgifterna i beskrivningen inte är sekretessbelagda.
Införande och användning av automatiserade beslutsförfaranden
(23.3.2023/488) Dokumentering av uppgiftsfördelning och behandlingsregler
En myndighet ska dokumentera uppgiftsfördelningen mellan de personer som ansvarar för fullgörandet av de skyldigheter som föreskrivs i detta kapitel.
Myndigheten ska säkerställa att behandlingsreglerna för ett automatiserat beslutsförfarande dokumenteras så tydligt och heltäckande att deras lagenlighet kan påvisas. Det ska av behandlingsreglerna särskilt framgå
1) hur det säkerställs att beslutsförfarandet är icke-diskriminerande,
2) hur ärendet utreds tillräckligt och korrekt, inklusive hörande,
3) hur avgörandet motiveras eller varför det inte behöver motiveras.
I de handlingar som utgör dokumentationen ska myndigheten ange datum för godkännandet och den som godkänt handlingen, vars uppgift det är att granska att innehållet i handlingen är lagenligt. Myndigheten ska bevara de godkända handlingarna i minst fem år från ingången av det kalenderår som följer på det år då det automatiserade beslutsförfarandet togs ur bruk.
Myndigheten ska säkerställa att det i minst fem år från det att ett ärende har avgjorts kan påvisas vilka behandlingsregler som tillämpats vid det automatiserade avgörandet av ärendet och i vilka faser av behandlingen av ärendet en fysisk person deltagit.
(23.3.2023/488) Kvalitetssäkring
En myndighet ska innan ett automatiserat beslutsförfarande införs och när förfarandet ändras under användningstiden säkerställa att förfarandet motsvarar den dokumentation som avses i 28 a § 2 mom.
Myndigheten ska säkerställa ett gott språkbruk i automatiserat upprättade handlingar som ges till en part.
De centrala åtgärderna inom kvalitetssäkringen ska dokumenteras.
Myndigheten ska utse en person som ansvarar för kvalitetssäkringen av det automatiserade beslutsförfarandet.
(23.3.2023/488) Kvalitetskontroll och hantering av felsituationer
En myndighet ska övervaka kvaliteten och innehållets felfrihet i ärenden som avgörs automatiserat och efter införandet hantera de risker som är förknippade med det automatiserade beslutsförfarandet.
Myndigheten ska utan dröjsmål vidta korrigeringsåtgärder, om det i ett automatiserat beslutsförfarande upptäcks ett fel som kan inverka på innehållet i avgörandet. Ett fel som upptäckts, felets konsekvenser och åtgärderna för korrigering av felet ska dokumenteras. Särskilda bestämmelser gäller för korrigering av fel i myndighetens avgöranden.
Myndigheten ska utse en person som ansvarar för kvalitetskontrollen av det automatiserade beslutsförfarandet och för hanteringen av felsituationer.
(23.3.2023/488) Beslut om införande
Innan ett automatiserat beslutsförfarande införs ska den myndighet som ansvarar för verksamhetsprocessen fatta ett beslut (beslut om införande). Beslutet om införande ska innehålla åtminstone
1) de motiveringar där förutsättningarna för införandet och de tillämpade bestämmelserna anges,
2) en förteckning över de handlingar som ligger till grund för beslutet om införande,
3) planerat datum för införandet och tidpunkten för beslutet,
4) uppgift om vem som fattat beslutet,
5) kontaktuppgifter till myndigheten för ytterligare uppgifter om hur det automatiserade beslutsförfarandet används.
Beslut om införande ska dessutom fattas i fråga om sådana ändringar som förutsätter en ny bedömning av förutsättningarna för införandet.
Myndigheten ska bevara beslutet om införande i minst fem år från ingången av det kalenderår som följer på det år då det automatiserade beslutsförfarandet togs ur bruk.
(23.3.2023/488) Informering
En myndighet ska offentliggöra gällande beslut om införande på sin webbplats i det allmänna datanätet.
Myndigheten ska utifrån den dokumentation som avses i 28 a § 2 mom. och beslutet om införande informera om automatiserat avgörande av ärenden inom sitt verksamhetsområde, grunderna för att använda det automatiserade beslutsförfarandet och andra uppgifter som är centrala med avseende på kundens rättigheter. Uppgifterna ska offentliggöras på myndighetens webbplats i det allmänna datanätet.
(23.3.2023/488) Användning av uppgifter
En myndighet ska på grundval av en riskbedömning se till att det genom lämpliga tekniska åtgärder säkerställs att de uppgifter som används vid automatiserat avgörande är uppdaterade och felfria.
(23.3.2023/488) Offentligt anställda arbetstagares tjänsteansvar
På offentligt anställda arbetstagare hos en myndighet tillämpas bestämmelserna om straffrättsligt tjänsteansvar för tjänstemän när de sköter uppgifter som avses i detta kapitel, frånsett bestämmelserna om avsättningspåföljd.
Särskilda bestämmelser
Ikraftträdande
Denna lag träder i kraft den 1 januari 2020.
Genom denna lag upphävs lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen (634/2011).
Övergångsbestämmelser
Informationshanteringsenheterna ska inom 12 månader efter det att denna lag trätt i kraft utarbeta en sådan informationshanteringsmodell som avses i 5 §.
Myndigheter som inte verkar i samband med statliga ämbetsverk och inrättningar ska uppfylla de krav som föreskrivs i 12–16 § inom 36 månader efter det att denna lag trätt i kraft.
Denna lags 19 § 1 mom. ska 24 månader efter det att lagen trätt i kraft tillämpas på sådana nya handlingar som inkommer till en myndighet och som myndigheten upprättar. Informationsmaterial som uppkommit innan lagen har trätt i kraft ska förvaras så som de uppkommit före övergångstidens utgång. Informationsmaterialens tillgänglighet enligt 19 § 2 mom. ska genomföras inom 24 månader efter det att denna lag trätt i kraft. Denna lags 20 § ska börja tillämpas 12 månader efter det att lagen trätt i kraft.
Ministerierna ska inom 12 månader efter det att denna lag trätt i kraft utreda vilka informationssystem som förutsätts för definition och upprätthållande av de gränssnitt som avses i 22 § 3 mom.
Bestämmelserna i 17 och 22–24 § ska tillämpas på informationssystem som anskaffas efter det att lagen trätt i kraft. På informationssystem som anskaffats innan denna lag trätt i kraft ska tillämpas de krav på elektroniskt utlämnande av information som föreskrivs i 22–24 § vid uppdatering av informationssystemens tekniska gränssnitt och elektroniska förbindelser, dock senast 48 månader efter det att lagen trätt i kraft, och de krav på insamling av logginformation som förutsätts i 17 § ska tillämpas 24 månader efter det att lagen trätt i kraft.
Ärendehantering samt informationshantering i samband med tjänsteproduktion ska i enlighet med de krav som föreskrivs i 26 och 27 § ordnas inom 24 månader efter det att denna lag trätt i kraft. De beskrivningar som avses i 28 § ska uppdateras inom 12 månader efter det att denna lag trätt i kraft.
RP 284/2018, FvUB 38/2018, RSv 320/2018, Europaparlamentets och rådets direktiv 2013/37/EU; EUT L 175, 27.6.2016, s. 1
Ikraftträdelsestadganden:
17.12.2020/1022:
Denna lag träder i kraft den 1 januari 2021.
RP 31/2020, FsUB 2/2020, RSv 194/2020
29.6.2021/653:
Denna lag träder i kraft den 1 juli 2021.
RP 241/2020, ShUB 16/2021, RSv 111/2021
15.7.2021/710:
Denna lag träder i kraft den 17 juli 2021.
RP 74/2021, FvUB 10/2021, RSv 107/2021, Europaparlamentets och rådets direktiv 2019/1024/EU; EUT L 172, 26.6.2019, s. 56
23.3.2023/488:
Denna lag träder i kraft den 1 maj 2023.
En myndighet ska försätta sin verksamhet i överensstämmelse med 13 a § inom 18 månader efter lagens ikraftträdande.
Ärendehanteringen ska ordnas i enlighet med kraven i 26 § 4 mom. 4 punkten och 5 mom. 4 och 5 punkten inom 18 månader efter lagens ikraftträdande.
För automatiserade beslutsförfaranden som har införts före ikraftträdandet av denna lag ska den dokumentation som avses i 28 a § 2 mom. godkännas i enlighet med 28 a § 3 mom. inom 18 månader efter lagens ikraftträdande.
För automatiserade beslutsförfaranden som har införts före ikraftträdandet av denna lag ska ett beslut om införande enligt 28 d § fattas inom 18 månader efter lagens ikraftträdande för att användningen av beslutsförfarandet ska få fortsätta. I ett sådant beslut ska tidpunkten för införandet av beslutsförfarandet antecknas, om myndigheten känner till den, liksom även uppgift om att förfarandet har införts före ikraftträdandet av denna lag.
Bestämmelserna i 28 a § 1 och 4 mom. samt 28 b, 28 c, 28 e och 28 f § i denna lag tillämpas 18 månader efter lagens ikraftträdande på automatiserade beslutsförfaranden som har införts före ikraftträdandet av denna lag.
RP 145/2022, FvUB 39/2022, RSv 303/2022