Lag om informationshantering inom den offentliga förvaltningen (I kraft från och med 1.1.2020) 9.8.2019/906

I enlighet med riksdagens beslut föreskrivs:

1 kap

Allmänna bestämmelser

1 §

Lagens syfte

Mom. 1

Syftet med denna lag är att

1) säkerställa en enhetlig och kvalitativ hantering samt informationssäker behandling av myndigheternas informationsmaterial så att offentlighetsprincipen förverkligas,

2) möjliggöra ett tryggt och effektivt utnyttjande av myndigheternas informationsmaterial så att myndigheterna i enlighet med god förvaltningssed kan sköta sina uppgifter och tillhandahålla förvaltningskunderna tjänster på ett kvalitativt sätt och med gott resultat,

3) främja interoperabiliteten mellan informationssystem och informationslager.

Mom. 2

Genom denna lag genomförs till vissa delar Europaparlamentets och rådets direktiv 2013/37/EU om ändring av direktiv 2003/98/EG om vidareutnyttjande av information från den offentliga sektorn.

2 §

Definitioner

Mom. 1

I denna lag avses med

1) myndighet de myndigheter som avses i 4 § 1 mom. i lagen om offentlighet i myndigheternas verksamhet (621/1999),

2) informationshanteringsenhet en myndighet med uppgift att ordna informationshantering i enlighet med kraven i denna lag,

3) informationssystem ett helhetsarrangemang som består av databehandlingsutrustning, programvara och annan databehandling,

4) handling en myndighetshandling som avses i 5 § 2 mom. i lagen om offentlighet i myndigheternas verksamhet,

5) informationsmaterial en datauppsättning som består av handlingar och annan motsvarande information och har samband med en viss myndighetsuppgift eller myndighetstjänst,

6) informationslager en uppsättning informationsmaterial som används för en myndighets uppgifter eller övriga verksamhet och som hanteras med hjälp av informationssystem eller manuellt,

7) gemensamt informationslager ett för användning av flera aktörer planerat och upprätthållet informationslager vars uppgifter kan lämnas ut och utnyttjas för olika ändamål,

8) informationssäkerhetsåtgärder säkerställande av informationsmaterials tillgänglighet, integritet och tillförlitlighet genom administrativa, funktionella och tekniska åtgärder,

9) informationshantering sådana åtgärder och informationssäkerhetsåtgärder baserade på behov som uppkommer i samband med en myndighets uppgifter eller övriga verksamhet, i syfte att hantera en myndighets informationsmaterial, informationen i olika behandlingsskeden och informationen i informationsmaterial, oberoende av på vilket sätt informationsmaterialen lagras och behandlas i övrigt,

10) verksamhetsprocess en myndighets ärendebehandlings- eller tjänsteprocess,

11) tekniskt gränssnitt en kommunikationsmetod för elektroniskt informationsutbyte mellan två eller flera informationssystem,

12) elektronisk förbindelse en begränsad vy som genomförs i ett informationssystem och möjliggör visning av informationsmaterial,

13) interoperabilitet mellan informationslager utnyttjande och utbyte av information mellan olika informationssystem så att informationens relevans och användbarhet bevaras,

14) maskinläsbart format ett filformat som är så strukturerat att datorprogram enkelt kan identifiera, känna igen och extrahera informationsmaterial, specifika uppgifter och strukturer i en handling.

3 §

Lagens tillämpningsområde och begränsningar i det

Mom. 1

Denna lag ska tillämpas på informationshantering och på användning av informationssystem, då myndigheter behandlar informationsmaterial, om inte något annat föreskrivs någon annanstans i lag. Vad som i denna lag föreskrivs om myndigheter ska också tillämpas på universitet som avses i universitetslagen (588/2009) och på yrkeshögskolor som avses i yrkeshögskolelagen (932/2014).

Mom. 2

Det föreskrivs särskilt om förfaranden som ska iakttas vid ärendehantering och tjänsteproduktion, om sekretessbeläggning och om rätten till information om myndighetshandlingar samt om arkivering av handlingar. I kyrkolagen (1054/1993) föreskrivs om informationshantering och användning av informationssystem inom Finlands evangelisk-lutherska kyrka.

Mom. 3

Bestämmelserna i 19, 20, 26 och 27 § ska inte tillämpas på rättskipningen vid domstolar eller nämnder som har inrättats för att behandla besvärsärenden. Bestämmelserna i 3 kap. ska inte tillämpas på riksdagens justitieombudsmans, justitiekanslerns i statsrådet eller domstolarnas verksamhet eller verksamheten vid nämnder som har inrättats för att behandla besvärsärenden och inte heller på presidentens kansli, riksdagens ämbetsverk, Folkpensionsanstalten, Finlands Bank, övriga självständiga offentligrättsliga inrättningar, universitet som avses i universitetslagen eller på yrkeshögskolor som avses i yrkeshögskolelagen. Bestämmelserna i 3 kap. ska tillämpas på kommuner och samkommuner då de sköter lagstadgade uppgifter.

Mom. 4

Bestämmelserna i 4 kap. och 22–27 § ska tillämpas på privatpersoner, sammanslutningar och offentligrättsliga samfund som inte är myndigheter till den del som de sköter offentliga förvaltningsuppgifter. På privatpersoner, sammanslutningar och offentligrättsliga samfund som inte är myndigheter tillämpas dessutom det som föreskrivs i 4 och 28 § när de utövar offentlig makt på det sätt som avses i 4 § 2 mom. i lagen om offentlighet i myndigheternas verksamhet eller när det särskilt föreskrivs att den lagen ska tillämpas på deras verksamhet.

Mom. 5

Denna lag ska inte tillämpas på landskapsmyndigheter och inte heller på statliga och kommunala myndigheter i landskapet Åland.

2 kap

Ordnande av informationshantering

4 §

Ordnande av informationshanteringen i informationshanteringsenheter

Mom. 1

Informationshanteringsenheter enligt denna lag är

1) statliga ämbetsverk och inrättningar,

2) domstolar och nämnder som har inrättats för att behandla besvärsärenden,

3) riksdagens ämbetsverk,

4) statliga affärsverk,

5) kommuner,

6) samkommuner,

7) självständiga offentligrättsliga inrättningar,

8) universitet som avses i universitetslagen och yrkeshögskolor som avses i yrkeshögskolelagen.

Mom. 2

En informationshanteringsenhets ledning ska ombesörja att det vid enheten

1) har definierats ansvaren för de uppgifter i anslutning till informationshanteringen som föreskrivs i denna och i någon annan lag,

2) finns uppdaterade anvisningar om hantering av informationsmaterial, om användning av informationssystem, om databehandlingsrättigheter, om informationshanteringsansvar, om informationsrättigheter, om informationssäkerhetsåtgärder samt om beredskap för undantagsförhållanden,

3) kan erbjudas utbildning varmed det säkerställs att de anställda och personer som arbetar för informationshanteringsenhetens räkning är tillräckligt förtrogna med gällande författningar, föreskrifter och med informationshanteringsenhetens anvisningar om informationshantering och databehandling samt om offentlighet och sekretess i fråga om handlingar,

4) finns ändamålsenliga instrument för att genomföra informationshanteringsskyldigheter,

5) har ordnats tillräcklig övervakning när det gäller iakttagandet av författningarna, föreskrifterna och anvisningarna om informationshantering.

5 §

Informationshanteringsmodell och konsekvensbedömning

Mom. 1

En informationshanteringsenhet ska upprätthålla en informationshanteringsmodell som definierar och beskriver informationshanteringen i dess verksamhetsmiljö. Informationshanteringsmodellen ska upprätthållas för planering och genomförande av tjänster, ärendebehandling och hantering av informationsmaterial, för genomförande av rättigheter och begränsningar i fråga om tillgången till information, för att minska överlappande insamling av information, för genomförande av interoperabilitet mellan informationssystem och informationslager samt för upprätthållande av informationssäkerhet.

Mom. 2

Av informationshanteringsmodellen ska framgå åtminstone uppgifter om

1) beteckningar som beskriver verksamhetsprocesser, om processansvariga myndigheter, om syftet med processer samt om sambandet mellan en process och andra processer,

2) beteckningar på informationslager, beskrivningar av sambanden mellan informationslager, verksamhetsprocesser och informationssystem samt om innehållet i det register som avses i artikel 30.1 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, eller ifall ett sådant register enligt dataskyddsförordningen inte behöver upprättas, om myndigheten som ansvarar för ett informationslager, om informationslagrets användningsändamål, om informationsmaterialens centrala uppgiftskategorier, om mottagarna av utlämnad information och om informationens förvaringstider,

3) överföring av informationsmaterial till arkiv, om arkiveringssättet och om arkiveringsplatsen eller om förstöring,

4) informationssystemets beteckningar, om den systemansvariga myndigheten, om informationssystemets användningsändamål, om anslutningar till andra informationssystem och om överföringssätten via anslutningar,

5) informationssäkerhetsåtgärder.

Mom. 3

Vid planeringen av väsentliga administrativa reformer som har konsekvenser för innehållet i informationshanteringsmodellen och i samband med att informationssystem tas i bruk ska informationshanteringsenheten bedöma de förändringar som hänför sig till åtgärderna och deras konsekvenser i förhållande till ansvaren för informationshanteringen, informationssäkerhetskraven och informationssäkerhetsåtgärderna enligt 4 kap., kraven på skapande och sättet för utlämnande av informationsmaterial enligt 5 kap., kraven på ärendehantering och informationshantering i samband med tjänsteproduktion enligt 6 kap. och, enligt vad som föreskrivs någon annanstans i lag om handlingsoffentlighet, sekretessbeläggning, skyddande av information samt informationsrättigheter. Informationshanteringsenheten ska i sin bedömning av förändringar som avser informationshantering beakta interoperabiliteten mellan informationslager samt möjligheterna att utnyttja informationslager för skapande och utnyttjande av informationsmaterial. På basis av bedömningen ska informationshanteringsenheten vidta de åtgärder som behövs för att ändra informationshanteringsmodellen och genomföra ändringarna. Det föreskrivs särskilt om konsekvensbedömning i fråga om dataskydd och om förhandssamråd i samband därmed.

3 kap

Allmän styrning av informationshanteringen inom den offentliga förvaltningen

6 §

Allmän styrning av interoperabiliteten mellan informationslager

Mom. 1

Finansministeriet svarar för den allmänna styrningen av interoperabiliteten mellan den offentliga förvaltningens gemensamma informationslager. I detta syfte ska finansministeriet

1) ombesörja uppdateringen av den offentliga förvaltningens informationshanteringskarta,

2) upprätthålla de allmänna riktlinjerna för utveckling av informationshanteringen inom den offentliga förvaltningen i syfte att främja interoperabiliteten mellan de gemensamma informationslagren och informationssystemen.

Mom. 2

Varje ministerium ska inom sitt eget ansvarsområde sköta uppdateringen av innehållet i den offentliga förvaltningens informationshanteringskarta och upprätthålla de allmänna riktlinjerna i syfte att främja interoperabiliteten mellan ansvarsområdets gemensamma informationslager och informationssystem. Genom förordning av statsrådet kan det föreskrivas närmare om innehållet i och upprätthållandet av den offentliga förvaltningens informationshanteringskarta.

7 §

Samarbetet mellan den offentliga förvaltningens informationshantering och produktionen av informations- och kommunikationstekniska tjänster

Mom. 1

Finansministeriet ska ombesörja att det för koordineringen av samarbetet mellan den offentliga förvaltningens informationshantering och produktionen av informations- och kommunikationstekniska tjänster har ordnats samarbetsmetoder och samarbetsförfaranden för myndigheter vid statliga ämbetsverk och inrättningar samt för kommunala myndigheter. Syftet med samarbetet är att främja genomförandet av de syften som avses i denna lag samt att utveckla den offentliga förvaltningens förfaranden och metoder för tjänsteproduktion genom utnyttjande av informationslager samt informations- och kommunikationsteknik. Inom samarbetet ska utvecklingen, förändringarna i och konsekvenserna av den offentliga förvaltningens informationshantering samt de informations- och kommunikationstekniska tjänsterna följas upp.

Mom. 2

För samarbetet enligt 1 mom. kan statsrådet tillsätta delegationer eller andra samarbetsorgan.

8 §

Statliga ämbetsverks och inrättningars bedömning av förändringar i informationshanteringen

Mom. 1

De statliga ämbetsverken och inrättningarna ska i sin bedömning enligt 5 § 3 mom. utvärdera de ekonomiska konsekvenserna av förändringar som är relevanta för informationshanteringen.

Mom. 2

Det ministerium som ansvarar för verksamhetsområdet ska göra en bedömning enligt 5 § 3 mom. då bestämmelser som är under beredning återverkar på informationsmaterial och informationssystem. Dessutom ska ministeriet bedöma planerade bestämmelsers konsekvenser för handlingsoffentligheten och handlingssekretessen.

9 §

Utlåtande om bedömning av förändringar inom statsförvaltningen

Mom. 1

De statliga ämbetsverken och inrättningarna ska tillställa finansministeriet en på basis av 5 § 3 mom. och 8 § 1 mom. gjord bedömning för utlåtande om utnyttjandet av informationslager och informationssystem samt om interoperabiliteten och informationssäkerheten, då en förändring bedöms få betydande ekonomiska eller funktionella konsekvenser för informationshanteringen eller verksamheten eller då det är fråga om väsentliga förändringar i strukturella gränssnitt för gemensamma informationslager inom den offentliga förvaltningen. Finansministeriet har för avgivande av utlåtande rätt att trots sekretessbestämmelserna få nödvändig information från statliga myndigheter.

Mom. 2

Närmare bestämmelser om förändringar i informationshanteringen som förutsätter utlåtande, om innehållet i begäran om utlåtande och om förfarandet i ett ärende som gäller utlåtande utfärdas genom förordning av statsrådet.

10 §

Den offentliga förvaltningens informationshanteringsnämnd

Mom. 1

I anslutning till finansministeriet finns en informationshanteringsnämnd för den offentliga förvaltningen (informationshanteringsnämnden) med uppgift att

1) bedöma hur statliga ämbetsverk och inrättningar samt kommuner och samkommuner genomför och iakttar 4 § 2 mom., 5, 19, 22–24 och 28 § samt 6 kap.,

2) främja förfarandena i fråga om informationshantering och informationssäkerhet samt genomförandet av de krav som föreskrivs i denna lag.

Mom. 2

Statsrådet utser informationshanteringsnämnden för fyra år i sänder. Nämnden har en ordförande, en vice ordförande samt ledamöter med sakkunskap när det gäller informationssäkerhet inom den offentliga förvaltningen, interoperabilitet mellan informationssystem och informationslager, statistik eller hantering av informationsmaterial. Genom förordning av statsrådet föreskrivs det närmare om informationshanteringsnämndens sammansättning, organiseringen av dess verksamhet och beslutsförfarande samt behörighetskraven för ledamöterna.

Mom. 3

Finansministeriet utser bland sina tjänstemän sekreterare i bisyssla för nämndens mandatperiod. Genom förordning av statsrådet föreskrivs närmare om sekreterarnas uppgifter.

Mom. 4

På ledamöterna och ersättarna tillämpas bestämmelserna om straffrättsligt tjänsteansvar när de sköter uppgifter som hör till nämnden. I skadeståndslagen (412/1974) föreskrivs om skadeståndsansvar. Till ledamöterna och ersättarna betalas ersättning för skötsel av uppgifterna. Finansministeriet fastställer ersättningsbeloppen.

Mom. 5

Informationshanteringsnämnden kan tillsätta tillfälliga sektioner för utveckling av informationshanteringsförfarandena. Till sektionerna kan höra sakkunniga vid informationshanteringsenheter. Nämndens sekreterare är ordförande för sektionerna. Befolkningsregistercentralen har i uppgift att för informationshanteringsnämnden producera sakkunnigtjänster i syfte att utveckla förfarandena för informationshantering och informationssäkerhet.

11 §

Informationshanteringsnämndens bedömningsuppgift

Mom. 1

Genomförandet av informationshanteringsnämndens bedömningsuppgift baserar sig på en bedömningsplan som nämnden godkänt.

Mom. 2

Informationshanteringsnämnden har trots sekretessbestämmelserna rätt att för skötseln av en bedömningsuppgift, från de myndigheter som är föremål för bedömning kostnadsfritt få sådana utredningar som är nödvändiga för skötseln av bedömningsuppgiften samt behövliga uppgifter om informationshanteringsmodellen, om bedömningen av förändringar i informationshanteringen, om den beskrivning som avses i 28 §, om de förfaranden som används för ärendehanteringen och informationshanteringen i samband med tjänsteproduktion, om teknologin för omvandling av handlingar till elektroniskt format, om upprättande av elektroniska förbindelser och om beskrivningar av tekniska gränssnitt, om användning och administrering av tekniska gränssnitt samt om förfarandena för användning av gränssnitt, med undantag för säkerhetsklassificerade handlingar. Myndigheten ska inom utsatt tid tillställa informationshanteringsnämnden begärd information.

Mom. 3

Om informationshanteringsnämnden konstaterar brister i fråga om iakttagandet av de bestämmelser som i enlighet med 10 § 1 mom. 1 punkten är föremål för bedömning, kan nämnden uppmärksamgöra myndigheten på genomförandet av de till informationshanteringen anslutna förfarandena enligt denna lag och uppfyllandet av kraven.

Mom. 4

Informationshanteringsnämnden ska vartannat år utarbeta en berättelse över bedömningsresultaten och överlämna den till finansministeriet.

4 kap

Informationssäkerhet

12 §

Identifiering av uppgifter som förutsätter tillförlitlighet och säkerställande av tillförlitligheten

Mom. 1

En informationshanteringsenhet ska identifiera uppgifter som förutsätter särskild tillförlitlighet hos anställda eller personer som handlar för enhetens räkning. I säkerhetsutredningslagen (726/2014) föreskrivs om förutsättningar för säkerhetsutredning av person. I lagen om integritetsskydd i arbetslivet (759/2004) föreskrivs om arbetsgivarens rätt att för utredning av arbetstagarens tillförlitlighet utreda kreditupplysningar om denne och behandla uppgifter om narkotikatest.

13 §

Informationssäkerhet i fråga om informationsmaterial och informationssystem

Mom. 1

En informationshanteringsenhet ska följa upp informationssäkerhetens tillstånd i sin verksamhetsmiljö och säkerställa informationsmaterialens och informationssystemens informationssäkerhet under hela deras livscykel. Informationshanteringsenheten ska identifiera relevanta risker som är förenade med informationsbehandlingen och dimensionera informationssäkerhetsåtgärderna utifrån riskbedömningen.

Mom. 2

De med tanke på skötseln av en myndighets uppgifter relevanta informationssystemens feltolerans och funktionella användbarhet ska regelbundet säkerställas genom tillräcklig testning.

Mom. 3

Myndigheten ska planera informationssystemen, informationslagrens strukturer och informationsbehandlingen i samband med dem på ett sådant sätt att handlingsoffentligheten utan svårighet kan genomföras.

Mom. 4

Myndigheten ska vid sina upphandlingar säkerställa att de aktuella informationssystemen har lämpliga säkerhetsåtgärder.

Mom. 5

Angående bedömning av informationssäkerheten i myndigheters informationssystem och datakommunikation föreskrivs särskilt.

14 §

Informationsöverföring i datanät

Mom. 1

Om en myndighet överför sekretessbelagd information i det allmänna datanätet ska informationen överföras i ett krypterat eller på annat sätt skyddat format. Dessutom ska överföringen ordnas så att mottagaren verifieras eller identifieras på ett tillräckligt informationssäkert sätt, innan mottagaren kommer åt att behandla den överförda sekretessbelagda informationen.

Mom. 2

I lagen om tillhandahållande av digitala tjänster (306/2019) föreskrivs om identifiering av användaren i samband med digitala tjänster som tillhandahålls allmänheten.

15 §

Tryggande av säkerheten i fråga om informationsmaterial

Mom. 1

Myndigheterna ska genom adekvata säkerhetsåtgärder i fråga om sina informationsmaterial säkerställa att

1) informationsmaterialens oföränderlighet har verifierats tillräckligt väl,

2) informationsmaterialen har skyddats mot tekniska och fysiska skador,

3) informationsmaterialens ursprung, uppdatering och felfrihet har verifierats,

4) informationsmaterialens tillgänglighet och användbarhet har verifierats,

5) informationsmaterialens tillgänglighet begränsas endast om tillgången till informationen eller rätten att behandla informationen har begränsats särskilt i lag,

6) informationsmaterialen kan arkiveras till behövliga delar.

Mom. 2

Informationsmaterial ska behandlas och förvaras i verksamhetslokaler som är tillräckligt säkra enligt kraven på tillförlitlighet, integritet och tillgänglighet.

16 §

Kontroll av användarrättigheter för informationssystem

Mom. 1

Den systemansvariga myndigheten ska definiera användarrättigheterna för informationssystem. Användarrättigheterna ska definieras och uppdateras utifrån användarens uppgiftsrelaterade användningsbehov.

17 §

Insamling av logginformation

Mom. 1

En myndighet ska ombesörja att logginformation insamlas om användning av dess informationssystem och om utlämnande av information från dem, om användningen förutsätter identifiering eller annan registrering. Syftet med logginformationen är uppföljning av användningen och utlämnandet av information från informationssystem samt utredning av tekniska systemfel.

18 §

Handlingar som ska säkerhetsklassificeras inom statsförvaltningen

Mom. 1

Myndigheter vid statliga ämbetsverk och inrättningar, domstolar och nämnder som har inrättats för att behandla besvärsärenden ska säkerhetsklassificera handlingar och förse dem med anteckning om säkerhetsklass som visar vilket slag av informationssäkerhetsåtgärder som ska vidtas vid behandlingen av dem. Anteckning om säkerhetsklass ska göras, om en handling eller informationen i den är sekretessbelagd enligt 24 § 1 mom. 2, 5 eller 7–11 punkten i lagen om offentlighet i myndigheternas verksamhet och om obehörigt avslöjande eller obehörig användning av handlingen kan orsaka skada för försvaret, för förberedelser inför undantagsförhållanden, för internationella relationer, för brottsbekämpningen, för den allmänna säkerheten eller för stats- och samhällsekonomins funktion, eller på något annat jämförbart sätt för Finlands säkerhet.

Mom. 2

En handling får inte förses med en anteckning om säkerhetsklass i andra fall än sådana som avses i 1 mom., om anteckningen inte behövs för att fullgöra en internationell förpliktelse som gäller informationssäkerhet eller om handlingen annars har samband med internationellt samarbete.

Mom. 3

Sådana handlingar som avses i lagen om internationella förpliktelser som gäller informationssäkerhet (588/2004) ska förses med anteckning om säkerhetsklass så som föreskrivs i den lagen.

Mom. 4

Genom förordning av statsrådet föreskrivs närmare om säkerhetsklassificering, anteckningar i säkerhetsklassificerade handlingar och informationssäkerhetsåtgärder som anknyter till behandlingen av säkerhetsklassificerade handlingar. I 25 § i lagen om offentlighet i myndigheternas verksamhet föreskrivs om anteckning om sekretess.

5 kap

Skapande och elektronisk överföring av informationsmaterial

19 §

Omvandling av informationsmaterial till elektroniskt format och materialens tillgänglighet

Mom. 1

Om en handling inkommer till en myndighet i annat än elektroniskt format ska den omvandlas till elektroniskt format, om det i eller med stöd av lag föreskrivs att handlingen ska förvaras varaktigt eller arkiveras. Myndigheten ansvarar för att en till elektroniskt format omvandlad handlings tillförlitlighet och integritet säkerställs. Handlingar som utarbetats av en myndighet ska förvaras elektroniskt. Undantag får göras från kravet på omvandling till elektroniskt format och elektronisk förvaring om det är nödvändigt på grund av behandlingskraven för säkerhetsklassificerade handlingar, övriga informationssäkerhetskrav eller av någon annan nödvändig orsak som har samband med handlingens karaktär.

Mom. 2

Med beaktande av vad som särskilt föreskrivs om rätten till information och om skydd för personuppgifter, ska myndigheten ombesörja att informationsmaterialet är tillgängligt och att materialet inklusive beskrivningsuppgifter kan utnyttjas i ett allmänt maskinläsbart format, om materialet direkt från originalformatet kan omvandlas till maskinläsbart format.

Mom. 3

Myndigheten får för omvandlingen till elektroniskt format anlita en privat aktör med tillräckliga tekniska förutsättningar och kunskaper för att sköta en sådan uppgift. På den aktör som utför uppgiften ska tillämpas bestämmelserna om straffrättsligt tjänsteansvar. I skadeståndslagen föreskrivs om skadeståndsskyldighet.

20 §

Insamling av informationsmaterial för myndighetsuppgifter

Mom. 1

En myndighet ska sträva efter att utnyttja en annan myndighets informationsmaterial, om den första myndigheten har rätt att via ett tekniskt gränssnitt eller en elektronisk förbindelse få den behövliga informationen från den andra myndigheten. Vid utnyttjandet av informationen ska parters och andra förvaltningskunders rättssäkerhet tillgodoses.

Mom. 2

Om en myndighet har rätt att från en annan myndighets informationslager via ett tekniskt gränssnitt eller en elektronisk förbindelse få tillförlitlig och uppdaterad information för skötseln av sina uppgifter, får den inte kräva att dess kunder visar upp eller lämnar in intyg eller utdrag, om det inte är nödvändigt för utredning av ärendet.

21 §

Definition av behovet att förvara informationsmaterial

Mom. 1

Om det inte i lag föreskrivs om förvaringstiderna för informationsmaterial eller handlingar ska förvaringstiderna bestämmas med beaktande av

1) i vilken utsträckning informationsmaterialet behövs i myndighetens verksamhet för det ursprungliga användningsändamålet,

2) genomförandet och verifieringen av fysiska eller juridiska personers förmåner, rättigheter, förpliktelser och rättssäkerhet,

3) rättsverkningarna av avtal eller andra privaträttsliga rättshandlingar,

4) de skadeståndsrättsliga preskriptionstiderna, och

5) de straffrättsliga preskriptionstiderna.

Mom. 2

Efter det att förvaringstiden gått ut ska informationsmaterialen utan dröjsmål arkiveras eller förstöras på ett informationssäkert sätt.

Mom. 3

Det föreskrivs särskilt om ansvaren för bestämmande av förvaringstiderna, om arkivering och om arkivverkets uppgifter.

22 §

Informationsöverföring mellan myndigheter via tekniska gränssnitt

Mom. 1

Myndigheterna ska genomföra regelbundet återkommande och standardiserad elektronisk överföring av information mellan informationssystem via tekniska gränssnitt, om den mottagande myndigheten enligt lag har rätt till informationen. Regelbundet återkommande och standardiserad elektronisk överföring av information kan genomföras på något annat sätt, om det inte är tekniskt eller ekonomiskt ändamålsenligt att genomföra eller använda ett tekniskt gränssnitt. En myndighet kan också i andra situationer öppna ett tekniskt gränssnitt för en myndighet som har rätt till information. Det föreskrivs särskilt om överföring av handlingar och information på annat sätt.

Mom. 2

Utöver vad som föreskrivs i 4 kap. ska överföring av information mellan informationssystem via tekniska gränssnitt genomföras så att det tekniskt säkerställs att den information som ska överföras behövs i det enskilda fallet eller är nödvändig för att den mottagande myndigheten ska kunna sköta sina uppgifter, ifall överföringen avser personuppgifter eller sekretessbelagd information.

Mom. 3

Beskrivningen av strukturen för information som överförs via ett tekniskt gränssnitt ska definieras och uppdateras av den myndighet som lämnar ut informationen. Vid planeringen av informationsöverföring mellan flera myndigheter via tekniska gränssnitt ska beskrivningen av informationsstrukturen definieras och uppdateras under ledning av det ministerium som ansvarar för verksamhetsområdet.

23 §

Öppnande av elektronisk förbindelse till en myndighet

Mom. 1

En myndighet kan öppna en elektronisk förbindelse till en annan myndighet till sådan information i ett informationslager som den mottagande myndigheten har rätt att få tillgång till. Utöver vad som föreskrivs i 4 kap. är en förutsättning för öppnande av en elektronisk förbindelse att

1) förbindelsen begränsas till endast enskild sökning av sådana behövliga eller nödvändiga uppgifter som är förenliga med informationsrätten, samt att

2) informationens användningsändamål utreds i samband med sökningen.

Mom. 2

Myndigheten ska upprätta en elektronisk förbindelse så att det informationssystem som möjliggör förbindelsen automatiskt identifierar avvikande informationssökningar.

24 §

Överföring av informationsmaterial via tekniska gränssnitt till andra än myndigheter

Mom. 1

En myndighet kan via ett tekniskt gränssnitt överföra information till en aktör som inte är en annan myndighet, om mottagaren uttryckligen enligt lag har rätt att få informationen och behandla den. Ett tekniskt gränssnitt kan under de förutsättningar som anges i 22 § öppnas så som föreskrivs i den paragrafen. Den utlämnande myndigheten ska vid behov säkerställa att mottagaren vid hanteringen av informationen iakttar de skyldigheter som föreskrivs i denna lag.

Mom. 2

Det föreskrivs särskilt om utlämnande av information i annat elektroniskt format och som informationstjänst till allmänheten via en elektronisk förbindelse.

6 kap

Ärendehantering samt informationshantering i samband med tjänsteproduktion

25 §

Registrering i ärenderegister

Mom. 1

En informationshanteringsenhet ska över ärenden som behandlas eller har behandlats hos en myndighet upprätthålla ett ärenderegister för information om ärenden, ärendebehandling och handlingar. Myndigheten ska utan dröjsmål i ärenderegistret registrera handlingar som har inkommit till myndigheten eller som den upprättat. Utöver vad som föreskrivs i 26 § ska också handlingens ankomsttidpunkt framgå av registreringen.

Mom. 2

Informationshanteringsenheten ska ombesörja att offentliga anteckningar i ett ärenderegister eller i en del av det kan användas för att producera information som gör det möjligt att specificera informationsbegäranden.

26 §

Uppgifter som ska registreras i ärenderegister

Mom. 1

En informationshanteringsenhet ska förse de ärenden som myndigheten ska behandla eller som tilldelats myndigheten med en ärendekod som gör det möjligt att identifiera de uppgifter som rör ärendet.

Mom. 2

Myndigheten ska för varje ärende registrera åtminstone följande identifieringsuppgifter:

1) informationshanteringsenhetens företags- och organisationsnummer,

2) uppgifter som identifierar myndigheten,

3) uppgifter som identifierar verksamhetsprocessen,

4) tidpunkten då ärendet inleddes.

Mom. 3

I fråga om en handling som inkommit till en myndighet ska registreras åtminstone

1) uppgifter som identifierar handlingen,

2) på vilket sätt handlingen inkommit,

3) handlingens avsändare eller ombud.

Mom. 4

I fråga om en handling som upprättats av en myndighet ska registreras åtminstone

1) uppgifter som identifierar handlingen,

2) vem som upprättat handlingen,

3) tidpunkten då handlingen upprättats.

Mom. 5

I ärenderegistret ska om ett ärende dessutom registreras åtminstone

1) vem som inlett ärendet och vid behov övriga parter,

2) hur behandlingen framskridit,

3) myndighetens åtgärder och i samband därmed behandlade handlingar i olika skeden.

27 §

Hantering av informationsmaterial i samband med tjänsteproduktion

Mom. 1

En informationshanteringsenhet ska ordna hanteringen av informationsmaterial som uppkommer i andra sammanhang än ärendebehandling så att handlingar som har samband med informationsmaterialet kan sökas med hjälp av en kod som anger informationsmängden, så att informationen utan svårighet kan ges till behöriga personer. Myndigheten ska utan dröjsmål registrera handlingar och övrig information som uppkommer i samband med tjänsteproduktion så att det i efterhand är möjligt att konstatera att de uppkommit i samband med produktion av tjänster.

28 §

Beskrivning i syfte att genomföra handlingsoffentligheten

Mom. 1

En informationshanteringsenhet ska för genomförande av offentlighetsprincipen upprätthålla en beskrivning av de informationslager och ärenderegister som den förvaltar. Av beskrivningen ska framgå

1) vilka informationssystem som innehåller uppgifter som hör till ärenderegistret eller till informationshanteringen i samband med tjänsteproduktion,

2) vilken myndighet som beslutar om utlämnande av information från ärenderegistret eller informationssystemet samt dess kontaktuppgifter för informationsbegäranden,

3) vilka kategorier av informationsmaterial som ingår i informationssystemen,

4) de söktermer med vilka handlingar tekniskt kan sökas i en myndighets ärenderegister eller informationssystem,

5) om det finns öppen tillgång till informationsmaterial via ett tekniskt gränssnitt.

Mom. 2

Informationshanteringsenheten ska i ett allmänt datanät offentliggöra en sådan beskrivning som avses i 1 mom. till den del uppgifterna i beskrivningen inte är sekretessbelagda.

7 kap

Särskilda bestämmelser

29 §

Ikraftträdande

Mom. 1

Denna lag träder i kraft den 1 januari 2020.

Mom. 2

Genom denna lag upphävs lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen (634/2011).

30 §

Övergångsbestämmelser

Mom. 1

Informationshanteringsenheterna ska inom 12 månader efter det att denna lag trätt i kraft utarbeta en sådan informationshanteringsmodell som avses i 5 §.

Mom. 2

Myndigheter som inte verkar i samband med statliga ämbetsverk och inrättningar ska uppfylla de krav som föreskrivs i 12–16 § inom 36 månader efter det att denna lag trätt i kraft.

Mom. 3

Denna lags 19 § 1 mom. ska 24 månader efter det att lagen trätt i kraft tillämpas på sådana nya handlingar som inkommer till en myndighet och som myndigheten upprättar. Informationsmaterial som uppkommit innan lagen har trätt i kraft ska förvaras så som de uppkommit före övergångstidens utgång. Informationsmaterialens tillgänglighet enligt 19 § 2 mom. ska genomföras inom 24 månader efter det att denna lag trätt i kraft. Denna lags 20 § ska börja tillämpas 12 månader efter det att lagen trätt i kraft.

Mom. 4

Ministerierna ska inom 12 månader efter det att denna lag trätt i kraft utreda vilka informationssystem som förutsätts för definition och upprätthållande av de gränssnitt som avses i 22 § 3 mom.

Mom. 5

Bestämmelserna i 17 och 22–24 § ska tillämpas på informationssystem som anskaffas efter det att lagen trätt i kraft. På informationssystem som anskaffats innan denna lag trätt i kraft ska tillämpas de krav på elektroniskt utlämnande av information som föreskrivs i 22–24 § vid uppdatering av informationssystemens tekniska gränssnitt och elektroniska förbindelser, dock senast 48 månader efter det att lagen trätt i kraft, och de krav på insamling av logginformation som förutsätts i 17 § ska tillämpas 24 månader efter det att lagen trätt i kraft.

Mom. 6

Ärendehantering samt informationshantering i samband med tjänsteproduktion ska i enlighet med de krav som föreskrivs i 26 och 27 § ordnas inom 24 månader efter det att denna lag trätt i kraft. De beskrivningar som avses i 28 § ska uppdateras inom 12 månader efter det att denna lag trätt i kraft.

RP 284/2018, FvUB 38/2018, RSv 320/2018, Europaparlamentets och rådets direktiv 2013/37/EU; EUT L 175, 27.6.2016, s. 1

Du kan göra en länk till denna punkt i dokumentet genom att kopiera webbadressen i addressfältet i webbläsaren eller här http://www.saadospalvelu.fi/sv/linkit/lainsaadanto/20190906/%3Asection/20191014