1.1  Tausta

Julkisessa hallinnossa on käytetty vuosikymmeniä tietojärjestelmiä hallintoasioiden käsittelyssä sekä muussa julkisten palvelujen tuottamisessa. Viime vuosina muun muassa tietosuojanäkökulmien korostuminen on johtanut erityisesti automaattisen päätöksenteon sääntelytarpeen tunnistamiseen. Tässä yhteydessä ovat nousseet esille myös automaattisesta päätöksenteosta johtuvien valtiosääntöisten kysymysten ratkaisemisen tarve, minkä vuoksi asian säänteleminen on nähty aiheelliseksi yleislainsäädännössä. Nykyisin tietojärjestelmien kehittämiseen ja käyttöön vaikuttava sääntely on hajanaista.  

Lainsäädännössä ei ole säädetty hallintopäätösten tekemisestä automaattisesti. Siltä osin kuin automaattiset päätökset kohdistuvat luonnollisiin henkilöihin, niitä koskee EU:n tietosuojalainsäädäntö. Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (jäljempänä yleinen tietosuoja-asetus) tuli voimaan 24.5.2016 ja sen soveltaminen alkoi 25.5.2018. Asetus kieltää pelkästään automaattiseen käsittelyyn perustuvien merkittäviä oikeusvaikutuksia sisältävien päätösten antamisen. Yleisen tietosuoja-asetuksen kansallisen liikkumavaran puitteissa on mahdollista kansallisesti säätää automatisoitujen yksittäispäätösten tekemisestä. Tällöin tulee kuitenkin huolehtia siitä, että sääntely on kokonaisuudessaan yhteensopivaa yleisen tietosuoja-asetuksen kanssa ja että siinä vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Yleisen tietosuoja-asetuksen lisäksi Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (jäljempänä rikosasioiden tietosuojadirektiivi) annettiin 6.5.2016, ja pantiin Suomessa täytäntöön henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetulla lailla (1054/2018, jäljempänä rikosasioiden tietosuojalaki). Rikosasioiden tietosuojalaki kieltää myös automatisoidut yksittäispäätökset, jos päätöksellä on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai se on muutoin hänen kannaltaan merkittävä.  

Pääministeri Sanna Marinin hallituksen ohjelmaan sisältyy pyrkimys edistää hallinnon ja koko yhteiskunnan digitalisaatiota. Hallitusohjelmassa asetetaan tavoitteeksi kehittää säädösympäristöä ja hallintoa siten, että ne mahdollistavat digitalisaation ja kestävän kehityksen sekä laajan kokeilukulttuurin. Hallitusohjelmassa mainitaan erikseen lainmuutokset, joilla edistetään digitalisaation ja tekoälyn hyödyntämistä sosiaaliturvaetuuksien hakemisessa, käsittelyssä ja päätöksissä. Hallitusohjelmassa todetaan myös, että henkilötietojen suojaa kehitetään määrätietoisesti. 

Eduskunnan käsiteltävänä on ollut neljä lakiehdotusta, joihin on sisältynyt automaattiset yksittäispäätökset mahdollistava säännösehdotus (HE 224/2018 vp, HE 298/2018 vp, HE 52/2018 vp ja HE 18/2019 vp). Perustuslakivaliokunta ei pitänyt sääntelytarkkuudeltaan riittävinä ehdotuksiin sisältyneitä rajauksia siitä, millaisia päätöksiä voitaisiin tehdä automaattisesti (PeVL 62/2018 vp, PeVL 70/2018 vp, PeVL 78/2018 vp ja PeVL 7/2019 vp). 

Perustuslakivaliokunta arvioi lausunnoissaan PeVL 62/2018 vp ja PeVL 7/2019 vp ehdotuksia laiksi henkilötietojen käsittelystä maahanmuuttohallinnossa. Valiokunta piti muun muassa hyvän hallinnon ja virkavastuun näkökulmasta ongelmallisena ehdotuksiin sisältyviä säännöksiä, jotka olisivat mahdollistaneet eräiden Maahanmuuttoviraston hallintopäätösten tekemisen automatisoidussa menettelyssä. Valiokunta arvioi automaattiset päätökset mahdollistavia säännösehdotuksia myös lausunnoissaan PeVL 70/2018 vp (potilasvakuutuslaki) ja PeVL 78/2018 vp (sosiaaliturva- ja vakuutuslainsäädännön muuttaminen EU:n yleisen tietosuoja-asetuksen johdosta). Molemmissa asioissa valiokunta piti säännösten täsmentämistä säätämisjärjestyskysymyksenä. 

Lausunnossaan PeVL 7/2019 vp valiokunta totesi kiinnittäneensä lausunnossa PeVL 62/2018 vp valtioneuvoston huomiota siihen, että automatisoituun päätöksentekoon vaikuttaa sisältyvän useita hallinnon yleislaeilla nimenomaisesti säätelemättömiä kysymyksiä (ks. myös PeVL 70/2018 vp ja PeVL 78/2018 vp). Valiokunta katsoi, että asiasta ja oikeusministeriön valmisteluvastuulle kuuluvan hallinnon yleislainsäädännön alan sääntelytarpeesta tuli tehdä selvitys. Selvityksessä oli tarkasteltava, millä tavoin automatisoidun hallintomenettelyn ja päätöksenteon sääntely täyttää hallinnon lainalaisuuden, julkisuusperiaatteen ja hyvän hallinnon perusteisiin kuuluvien hallinnon oikeusperiaatteiden asettamia vaatimuksia sekä turvaa oikeusturvan ja virkamiesten virkavastuun asianmukaisen toteutumisen. Perustuslakivaliokunta korosti selvitystarpeen merkitystä ja kiirehti selvitystyön viivytyksetöntä käynnistämistä ja asianmukaista resursointia. Valiokunnan mielestä käsillä olleessa tilanteessa oli välttämätöntä pidättäytyä uusista hallinnonalakohtaisista automatisoitua päätöksentekoa koskevista sääntelyehdotuksista. 

Ylimmät laillisuusvalvojat ovat valvontakäytännössään kiinnittäneet huomiota automaattista päätöksentekoa koskeviin kysymyksiin. Apulaisoikeusasiamies arvioi 20.11.2019 antamassaan päätöksessä (EOAK/3379/2018) Verohallinnon automatisoitua päätöksentekomenettelyä. Apulaisoikeusasiamies totesi olevansa samaa mieltä perustuslakivaliokunnan kanssa siitä, että automatisoidun päätöksenteon sääntelytarpeet olisi selvitettävä. Apulaisoikeusasiamies piti valitettavana, että Verohallinnossa automatisoitu hallinto- ja päätöksentekomenettely on edennyt laajasti ilman asianmukaista selvitystä ja arviota lailla säätämisen tarpeesta, jossa olisi otettu huomioon perustuslakivaliokunnan lausunnossa todetut avoimet ja selvitettävät seikat. Apulaisoikeusasiamies piti Verohallinnon automatisoitua verotus- ja päätöksentekomenettelyä lainvastaisena, koska se ei perustu asianmukaiseen ja täsmälliseen lainsääntelyyn, jossa olisi otettu huomioon hyvän hallinnon ja oikeusturvan sekä virkavastuun asianmukainen toteutuminen. Apulaisoikeusasiamies totesi, että automatisoidun päätöksenteon sääntelytarpeet tulee selvittää viipymättä. Lisäksi apulaisoikeusasiamiehen käsityksen mukaan automatisoidulla verotuksen päätöksenteolla on verovelvollisiin kohdistuvia yleisen tietosuoja-asetuksen tarkoittamia oikeusvaikutuksia tai muita vastaavia merkittäviä vaikutuksia. Siten myös tietosuoja-asetuksen vaatimukset tulee ottaa huomioon automatisoidun päätöksenteon sääntelytarpeita selvitettäessä. 

Oikeuskansleri otti omana aloitteenaan tutkittavaksi sosiaaliturvaa koskevan päätöksenteon automatisoinnin Kansaneläkelaitoksessa ja antoi asiassa ratkaisunsa 20.4.2021 (OKV/131/70/2020). Oikeuskansleri totesi ratkaisussaan Kansaneläkelaitokselta saamiensa tietojen perusteella, että Kansaneläkelaitos tekee päätöksiä osin perustuen pelkästään henkilötietojen automaattiseen käsittelyyn ja näissä päätöksissä on ainakin osin kysymys yleisen tietosuoja-asetuksen 22 artiklassa tarkoitetuista automaattisista päätöksistä. Kansaneläkelaitoksella ei kuitenkaan ole tälle päätöksenteolle tarvittavaa perustuslain (731/1999) 80 §:n ja yleisen tietosuoja-asetuksen 22 artiklan 2 kohdan mukaista oikeusperustaa. Oikeuskanslerin mukaan on ongelmallista hallinnon yleisten kehitysnäkymien ja digitalisaation kehittämisen kannalta, että Kansaneläkelaitoksella ei ole automaattiselle päätöksenteolle oikeusperustaa. Oikeuskanslerin mukaan oikeusministeriössä valmisteltavana oleva automaattista päätöksentekoa koskeva yleislainsäädäntö tulee ratkaisemaan automaattiseen päätöksentekoon liittyviä ongelmia, mutta ei välttämättä Kansaneläkelaitoksen kohdalla yksin riitä ratkaisemaan automaation hyödyntämiseen liittyviä kysymyksiä.  

Oikeuskansleri on antanut ratkaisun myös työvoimahallinnon automaattisista päätöksistä (OKV/138/10/2020). Ratkaisussa oli kyse työ- ja elinkeinotoimiston automaattisesti antamasta työvoimapoliittisesta lausunnosta, vaikka lausunnon saaja ei ollut työtön työnhakija eikä hän ollut hakenut tai aikonut hakea työttömyysetuutta. Oikeuskanslerin käsityksen mukaan työvoimapoliittista lausuntoa ei olisi tullut antaa, koska työttömyysturvalaissa säädetyt perusteet lausunnon antamiselle eivät täyttyneet kantelijan kohdalla. Työvoimapoliittisen lausunnon antaminen kantelijalle ei ollut asianmukaista palvelua, vaikka lausunnon antaminen ei käytettävissä olevien tietojen perusteella aiheuttanut kantelijalle hänen oikeuksiinsa tai velvollisuuksiinsa kohdistuvia kielteisiä seuraamuksia. Oikeuskansleri kehotti KEHA-keskusta arvioimaan TE-toimistojen käyttämän asiakastietojärjestelmän asianmukaisuutta siltä osin kuin on kysymys automaattisesti annettavista työvoimapoliittisista lausunnoista. 

Euroopan komissio on huhtikuussa 2021 antanut ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi tekoälyä koskevista yhdenmukaistetuista säännöistä (tekoälysäädös) (COM/2021/206 final). Ehdotetun asetuksen lopullinen sisältö ja soveltamisala, muun muassa sen soveltuvuus julkiseen hallintoon, ei ole vielä selvillä. Asetuksen vaikutusta julkisen hallinnon automatisaatioon on arvioitava, kun lopullinen asetus on hyväksytty. 

1.2  Valmistelu

2.1  Automaattista päätöksentekoa koskeva sääntely

Hallinnon yleislakeihin ei sisälly hallinto-oikeudellista eikä tiedonhallintaan liittyvää sääntelyä automaattisesta päätöksenteosta hallintotoiminnassa. 

Siltä osin kuin automaattisten päätösten kohteena on luonnollinen henkilö, soveltuvaa sääntelyä sisältyy EU:n tietosuojasääntelyyn. Vuoden 2018 loppuun asti voimassa olleen henkilötietolain (523/1999) 31 §:ssä säädettiin automatisoiduista päätöksistä. Pykälän 1 kohdan mukaan sellaisen rekisteröidyn tiettyjen ominaisuuksien arviointiin tarkoitetun päätöksen tekeminen, joka tapahtui ainoastaan automatisoidun tietojenkäsittelyn perusteella ja josta aiheutui rekisteröidylle oikeudellisia vaikutuksia tai joka muuten vaikutti häneen merkittävällä tavalla, oli sallittu vain, jos siitä oli laissa säädetty. EU:n yleistä tietosuoja-asetusta, joka sisältää lähtökohtaisen automatisoitujen yksittäispäätösten kiellon, alettiin soveltaa 25.5.2018. Vastaava kielto on myös 1.1.2019 voimaan tulleessa rikosasioiden tietosuojalaissa. Lainsäädännössä ei ole yleissäännöksiä, jotka sallisivat tietosuojasääntelyssä tarkoitettujen automatisoitujen yksittäispäätösten tekemisen. Lainsäädäntöön ei sisälly säännöksiä myöskään muiden kuin luonnollisia henkilöitä koskevien päätösten tekemisestä automaattisesti. 

Automaattisia päätöksiä koskevaa erityissääntelyä on kestävän metsätalouden määräaikaisen rahoituslain (34/2015) 31 a §:ssä, jonka mukaan taimikon varhaishoidon, nuoren metsän hoidon ja terveyslannoituksen tuen myöntöpäätös ja päätös tuen lopullisesta määrästä voidaan tehdä automaattisesti. Erityissääntelyä automaattisesta päätöksenteosta on myös rahoitusvakausviranomaisesta annetun lain (1195/2014) 5 luvun 20 §:ssä. 

2.2  Henkilötietojen suoja

2.3  Hallinnon lainalaisuus

Hallinnon lainalaisuus- ja lakisidonnaisuusperiaatteesta säädetään perustuslain 2 §:n 3 momentissa, jonka mukaan julkisen vallan käytön tulee perustua lakiin ja kaikessa julkisessa toiminnassa on noudatettava tarkoin lakia. Organisatorisessa mielessä julkisen vallan käyttö ei ole palautettavissa yksinomaan valtion toiminnaksi. Suomessa esimerkiksi kunnat, kuntayhtymät, Ahvenanmaan maakunta ja evankelis-luterilainen kirkko itsehallintoyhdyskuntina samoin kuin niin sanotun välillisen julkishallinnon organisaatiot, kuten Kansaneläkelaitos ja julkisoikeudelliset yhdistykset käyttävät merkittävää julkista valtaa (HE 1/1998 vp, s. 74/II). Aineellisessa mielessä julkisen vallan käytön piiriin luetaan muun muassa sellaiset norminanto-, lainkäyttö- ja hallintopäätökset, jotka tehdään yksipuolisesti ja joiden vaikutus ulottuu yksityisiin oikeussubjekteihin (HE 1/1998 vp, s. 74/II).  

Hallinnon lainalaisuus tarkoittaa automaattisen päätöksenteon kannalta sitä, että automaattisia päätöksiä tekevissä järjestelmissä olisi varmistuttava, että tehdyt päätökset ovat lain mukaisia. Lainalaisuusperiaatteella voi olla merkitystä myös sille, millaiset tekniset toteutustavat automaattisessa päätöksenteossa ovat mahdollisia. Esimerkiksi todennäköisyysajatteluun perustuvissa tekoälytekniikoissa lainmukaisuuden toteutuminen jokaisen yksittäisen päätöksen kohdalla voi olla vaikeammin toteutettavissa kuin ihmisen laatimiin käsittelysääntöihin perustuvassa automaatiossa. Lisäksi esityksessä on arvioitu, että lainalaisuusperiaate edellyttää, että asian ratkaisemisesta automaattisesti on säädettävä laissa. Asioiden käsittelyä ja ratkaisemista koskeva lainsäädäntö on alun perin säädetty käsittelijälähtöisesti ja tilanteessa, jolloin asioiden automaattinen käsittely ei ollut nykyisissä määrin teknisesti mahdollista.  

2.4  Hyvä hallinto ja oikeusturva

Perustuslain 21 §:n 1 momentin mukaan jokaisella on oikeus saada asiansa käsitellyksi asianmukaisesti ja ilman aiheetonta viivytystä lain mukaan toimivaltaisessa tuomioistuimessa tai muussa viranomaisessa sekä oikeus saada oikeuksiaan ja velvollisuuksiaan koskeva päätös tuomioistuimen tai muun riippumattoman lainkäyttöelimen käsiteltäväksi. Pykälän 2 momentin mukaan käsittelyn julkisuus sekä oikeus tulla kuulluksi, saada perusteltu päätös ja hakea muutosta samoin kuin muut oikeudenmukaisen oikeudenkäynnin ja hyvän hallinnon takeet turvataan lailla. 

Hallintolaki konkretisoi perustuslain 21 §:ssä säädettyä jokaisen oikeutta hyvään hallintoon. Hallintolaki sisältää yleiset säännökset hyvän hallinnon perusteista ja hallintoasiassa noudatettavasta menettelystä. Hallintolakiin sisältyy säännökset muun muassa asian selvittämisestä, asianosaisen kuulemisesta, hallintopäätöksen sisällöstä, hallintopäätöksen perustelemisesta, virheen korjaamisesta, valitusosoituksesta, tiedoksiannosta ja oikaisuvaatimuksesta. 

Hyvää hallintoa turvaavat myös muut hallinnon yleislait kuten laki viranomaisten toiminnan julkisuudesta (621/1999, jäljempänä julkisuuslaki), kielilaki (423/2003) ja laki oikeudenkäynnistä hallintoasioissa. Näiden lakien sääntely tulee sovellettavaksi myös automaattisesti ratkaistavissa asioissa. 

Automaattisia menettelyitä kehitettäessä ja käyttöön otettaessa on tärkeää jo ennakollisesti varmistaa, että niitä koskevien tietojärjestelmien ylläpitämisessä otetaan asianmukaisesti huomioon hyvän hallinnon vaatimusten toteutuminen. Hallintolain menettelysäännöksiä on noudatettava myös asian automaattisessa käsittelyssä ja ratkaisemisessa. 

Hyvän hallinnon, oikeusturvan ja hallinnon lainalaisuusperiaatteen toteutuminen tulisi pyrkiä varmistamaan kaiken automaattisen päätöksenteon osalta. Hallintolain hyvää hallintoa turvaavat säännökset eivät erottele hallinnon asiakasta esimerkiksi sillä perusteella, onko kyseessä luonnollinen henkilö vai oikeushenkilö. Tästä syystä on perusteltua säätää automaattisesta päätöksenteosta siten, että sääntelyn piiriin kuuluvat tietosuojasääntelyssä tarkoitettujen automatisoitujen yksittäispäätösten lisäksi kaikki sellaiset hallintopäätökset, jotka on tehty automaattisesti. Tämä tarkoittaa automaation käyttöalan määrittelyä siten, että se kattaa myös automaattiset päätökset, jotka kohdistuvat oikeushenkilöihin. 

2.5  Käsittelyn julkisuus ja asiakirjajulkisuus

Perustuslain 21 §:n 2 momentissa turvataan käsittelyn julkisuus ja oikeus saada perusteltu päätös, mutta automaattisen päätöksenteon läpinäkyvyyttä ja julkisuutta koskevat kysymykset ovat merkityksellisiä myös perustuslain 12 §:n 2 momentissa turvatun julkisuusperiaatteen kannalta. Automaattisen päätöksentekomenettelyn ja sovellettavien käsittelysääntöjen läpinäkyvyys on merkityksellistä yhtäältä päätöksen kohteena olevan henkilön ja toisaalta yleisön kannalta. Käytettäviin ohjelmistoihin ja käsittelysääntöihin liittyy myös asiakirjajulkisuutta koskevia kysymyksiä. 

Automaattista päätöksentekoa koskevan yleisöjulkisuuden toteutumisen kannalta merkityksellistä on, pidetäänkö automaattiseen päätöksentekomenettelyyn liittyviä ohjelmistoja, käsittelysääntöjä tai suunnitteludokumentteja julkisuuslain 5 §:n 2 momentin mukaisena viranomaisen asiakirjana ja miltä osin nämä tiedot ovat salassa pidettäviä. Asiakirjaan voi sisältyä tietoja esimerkiksi viranomaisten tarkastusmenettelyyn liittyvistä raja-arvoista, jolloin sen salassapitoa on tarkasteltava julkisuuslain 24 §:n 1 momentin 15 kohdan perusteella.  

Julkisuuslain 11 §:n 1 momentin mukaan hakijalla, valittajalla sekä muulla, jonka oikeutta, etua tai velvollisuutta asia koskee, on oikeus saada asiaa käsittelevältä tai käsitelleeltä viranomaiselta tieto muunkin kuin julkisen asiakirjan sisällöstä, joka voi tai on voinut vaikuttaa hänen asiansa käsittelyyn. Pykälän 2 momentin 1 kohdan mukaan oikeutta ei kuitenkaan ole muun muassa asiakirjaan, josta tiedon antaminen olisi vastoin erittäin tärkeää yleistä etua. Salassapitoa koskevat säännökset saattavat siten rajoittaa sitä, kuinka yksityiskohtaisesti asianosaiselle voidaan kuvata käytettyä automaattista päätöksentekomenettelyä. 

Käsittelyn julkisuutta koskevan sääntelyn mukaisesti hallinnon asiakkaalla on oikeus saada tietoa myös viranomaisen automaattisesta päätöksenteosta siltä osin kuin kyse ei ole salassa pidettävistä tiedoista. Automaattista päätöksentekoa koskevassa yleissääntelyssä ei ole tarpeen säätää poikkeusta salassapitoa koskeviin säännöksiin. Sääntelyssä olisi kuitenkin varmistettava hallinnon asiakkaiden mahdollisuus saada tietoa viranomaisen tekemästä automaattisesta päätöksenteosta selkeästi ja vaivattomasti.  

2.6  Virkavastuu ja tietosuojalainsäädännön vahingonkorvaussääntely

2.7  Julkisen hallinnon tietojärjestelmien ja tiedonhallinnan sääntely

2.8  Julkishallinnossa käytössä olevat automaatioratkaisut

4.1  Keskeiset ehdotukset

4.2  Pääasialliset vaikutukset

5.1  Vaihtoehdot ja niiden vaikutukset

5.2  Ulkomaiden lainsäädäntö ja muut ulkomailla käytetyt keinot

6.1  Lausunnot ja kuulemisen palautteet valmistelun aikana

Oikeusministeriö on laatinut hallinnon automaattiseen päätöksentekoon liittyvistä sääntelytarpeista arviomuistion (Oikeusministeriön julkaisuja, Selvityksiä ja ohjeita 2020:14). Arviomuistiosta järjestettiin lausuntokierros 6.7.2020–4.9.2020, jolla annettiin 65 lausuntoa. Useat lausunnonantajat suhtautuivat myönteisesti arviomuistion ehdotukseen, jonka mukaan automaattisten hallintopäätösten tekeminen rajattaisiin tilanteisiin, joissa ratkaisu on johdettavissa koneellisesti lainsäädännöstä ja tiedossa olevista yksiselitteisistä faktoista tilanteissa, joihin ei liity harkintavaltaa. Useissa lausunnoissa kuitenkin pidettiin tärkeänä mahdollistaa automaattisen päätöksentekojärjestelmän käyttäminen valmistelevassa roolissa osana sellaisia päätösprosesseja, joihin liittyy harkinnanvallan käyttämistä. Useat lausunnonantajat pitivät tärkeänä säännellä automaation käyttämistä myös tosiasiallisessa hallintotoiminnassa. Useissa lausunnoissa suhtauduttiin myönteisesti tekoälysovellusten pois sulkemiseen ainakin sääntelyn ensimmäisessä vaiheessa. Osa lausunnonantajista piti tällaista sääntelytapaa liian rajaavana ja katsoi, että sääntelyn tulisi olla teknologianeutraalia. Myös muista arviomuistion ehdotuksista esitettiin runsaasti huomioita. Lausunnoista tehtiin oikeusministeriössä lausuntotiivistelmä (Oikeusministeriön julkaisuja, Mietintöjä ja lausuntoja 2020:21), joka julkaistiin 5.2.2020. 

Oikeusministeriön asettama työryhmä on toimikautensa aikana järjestänyt automaattisen päätöksenteon käyttöalaa ja läpinäkyvyyttä koskevista säännösluonnoksista pienryhmäkuulemistilaisuuksia ja kirjallisen lausuntokierroksen. Pienryhmäkuulemiset järjestettiin 7.–10.6.2021, ja niihin kutsuttiin automaattisen päätöksenteon kannalta keskeisiä ministeriöitä, viranomaisia, kuntia ja julkista hallintotehtävää hoitavia yksityisiä, jotka eivät ole työryhmässä suoraan edustettuina. Lausuntokierroksen lausuntoaika oli 9.6.–20.8.2021, ja lausuntoja annettiin 70 kappaletta. 

Pienryhmäkuulemisissa ja lausuntopalautteessa näkemykset jakaantuivat käyttöalasäännöksen osalta jonkin verran. Useat pitivät käyttöalasäännöstä riittävän selvänä ja tarkkarajaisena, mutta toisaalta osa katsoi, että säännöksen pitäisi rakentua toisenlaisille lähtökohdille. Osa piti käyttöalan rajausta liian kapeana ja osa taas katsoi, että esimerkiksi avustava automaatio pitäisi jättää käyttöalan ulkopuolelle. Epävarmuutta esiintyi kuitenkin myös merkittävillä automaation käyttäjillä siitä, sallisiko säännös jo nyt tehtäviä massaluonteisia automaattisia päätöksentekomenettelyjä. Säännösluonnosta pidettiin osittain epäselvänä ja käytettyjä käsitteitä liian tulkinnanvaraisina. Etenkin käyttöalasäännöksen hallintoasian valmistelua ja tosiasiallista hallintotoimintaa koskeva momentti nähtiin haasteellisena. Kritiikistä huolimatta lausuntopalautteen perusteella ehdotetun käyttöalasäännöksen nähtiin mahdollistavan pääosin tai ainakin osin nykyiset tai suunnitellut automaattiset päätökset. Läpinäkyvyyttä koskevat ehdotukset saivat laajaa kannatusta, mutta niihin esitettiin myös lisähuomioita. 

Valtiovarainministeriön asettama työryhmä on laatinut julkisen hallinnon tietojärjestelmien sääntelyn nykytilasta ja kehittämistarpeista arviomuistion (Valtiovarainministeriön julkaisuja 2021:54), joka on julkaistu 12.7.2021. Arviomuistiosta on järjestetty lausuntokierros 12.7.–6.9.2021 ja julkinen kuulemistilaisuus 23.8.2021.  

Lausunnonantajat pitivät valtiovarainministeriön työryhmän laatimaa arviomuistiota kattavana ja seikkaperäisenä katsauksena tietojärjestelmiä koskevan sääntelyn nykytilaan. Lainsäädännössä on jo nykyisin runsaasti sääntelyä, joka toisaalta koskee tietojärjestelmiä ja toisaalta yleisesti kaikkea hallintomenettelyä käsittelytavoista riippumatta. Tietojärjestelmiä koskeva lainsäädäntö on osin melko uutta, eikä sen soveltamisesta ole vielä paljon kokemusta. Useissa lausunnoissa korostettiin sitä, että tietojärjestelmiä koskevan sääntelyn olisi oltava teknologiariippumatonta ja että sääntelyn tulisi kohdistua itse järjestelmien sijaan toimintaprosesseihin, joita tietojärjestelmillä toteutetaan, sekä niiden kehittämiseen, käyttämiseen ja valvontaan. Sääntelyn tulisi olla suhteellisen ylätasoista, koska tietojärjestelmien kehittämiseen käytetään erilaisia menetelmiä ja niitä kehitetään hyvin erilaisiin tarkoituksiin. Joissakin lausunnoissa tuotiin esiin myös suomalaisen julkisen hallinnon asema eri tietojärjestelmätoimittajien asiakkaina, ja että tätä asemaa ei tulisi heikentää. Julkista hallintotehtävää hoitavat yksityiset tahot olivat erityisesti huolissaan mahdollisesta sääntelytaakasta sekä uuden sääntelyn vaikutuksista niiden kilpailuasemaan. Osa lausunnonantajista pitikin tarkempaa tietojärjestelmiin kohdistuvaa, nykyistä pidemmälle menevää sääntelyä tarpeettomana, ja katsoi että arviomuistiossa havaitut ongelmat olisi mahdollista ratkaista itsesääntelyllä, standardeilla ja muilla vastaavilla, lainsäädäntöä kevyemmillä keinoilla. Lisäsääntelyn tarvetta, soveltamisalaa, yhteensovittamista voimassa olevan lainsäädännön kanssa sekä kustannusvaikutuksia olisi arvioitava huolellisesti. Lausunnoista laadittiin lausuntotiivistelmä 24.9.2021, joka on saatavilla valtiovarainministeriön verkkosivuilta osoitteesta https://vm.fi/hankkeet tunnuksella VM059:00/2021. 

6.2  Lausunnot hallituksen esitysluonnoksesta

Hallituksen esityksen luonnoksesta sisältäen valtiovarainministeriön työryhmän ehdotukset on järjestetty lausuntokierros 23.5.–6.5.2022. Ruotsinkielisen esitysluonnoksen lausuntoaikaa jatkettiin 2.8.2022 asti. Lausuntokierroksen aikana saapui 100 lausuntoa. Varsinainen lausuntotiivistelmä ja lausunnot löytyvät oikeusministeriön hankesivulta (tunnus OM021:00/2020).  

Suurin osa lausunnonantajista suhtautui myönteisesti automaattisen päätöksenteon yleissääntelyn luomiseen. Eräät lausunnonantajat totesivat kuitenkin tiedonhallintalain sääntelyn joiltain osin liian yksityiskohtaiseksi, mutta eräät toisaalta katsoivat sääntelyn tarpeelliseksi kokonaisuuden, kuten vastuukysymysten tai hallinnon lainalaisuusperiaatteen kannalta. Kuntaliitto katsoi tiedonhallintalain sääntelyn ylimitoitettuna erityisesti virkavastuun kohdistumisen osalta, ja että valtiosääntöoikeudelliset vaatimukset olisivat täytettävissä kevyemmällä lähestymistavalla. Osa lausunnonantajista on nähnyt kannatettavana, ettei sääntely sallisi tekoälyn käyttöä, kun taas osa lausunnonantajista katsoi, että tekoälyä ei tulisi suoraan rajata pois käyttöalasta tai sen käyttöä tulisi arvioida. Lausunnoissa on myös yleisesti korostettu aikaa kestävän sääntelykehyksen luomista. 

Finanssiala sekä eläke- ja vakuutusalan toimijat katsoivat, ettei tiedonhallintalain sääntelyä tulisi ulottaa niihin. Tämän osalta muutoksia ei ole kuitenkaan tehty, koska hallinnon yleislakeja sovelletaan niiden sisältämien soveltamisalaa, viranomaisten määritelmää tai yksityisen kielellistä palveluvelvollisuutta koskevien säännösten nojalla myös yksityisiin niiden hoitaessa julkisia hallintotehtäviä (ks. esim. PeVL 73/2018 vp, PeVL 42/2005 vp).  

Ahvenanmaan maakunnan hallitus tulkitsi, että tiedonhallintalain ehdotettu soveltamisala olisi ristiriidassa Ahvenanmaan itsehallintolain (1144/1991) kanssa. Tiedonhallintalain soveltamisalasäännöstä on täsmennetty siten, että siinä mainitaan nimenomaisesti Ahvenanmaalla toimivat valtion viranomaiset. 

Monet lausunnonantajat tunnistivat automaattisen päätöksenteon positiiviset mahdollisuudet, mutta moni toi esiin, että ehdotettu sääntely vaatii lisätyötä ja kustannuksia. Monet lausunnonantajat toivoivatkin, että taloudellisia vaikutuksia täydennetään. Lisäksi virkavastuusääntelyn osalta toivottiin tarkempaa arvioimista. Osa lausunnonantajista on myös ollut epävarma siitä, mitkä niiden prosesseista olisivat uuden sääntelyn myötä automatisoitavissa. 

Monet lausunnonantajat toivoivat lisäksi selkeytystä ja täsmennyksiä hallituksen esitykseen muun muassa soveltamisen tueksi. Epäselvyyttä on koettu olevan esimerkiksi ehdotetun lainsäädännön suhteesta erityislainsäädäntöön, lainsäädännön käyttöalaan tai virkavastuusääntelyyn liittyen. Lisäksi esimerkiksi käsittelysääntöjen määritelmään on toivottu selkeyttä. Tiedonhallintalakiin ehdotetun uuden 6 a luvun säännöksiä ja niiden perusteluja on pidetty vaikeaselkoisina ja monimutkaisina, vaikka ne sinänsä selkeyttäisivätkin nykyistä tilannetta. Tiedonhallintalakiin ehdotettua sääntelyä on myös pidetty päällekkäisenä esimerkiksi finanssialan toimialakohtaisen sääntelyn kanssa.  

Joissakin lausunnoissa on nostettu esiin huoli, että ehdotettu sääntely asettaisi suomalaiset toimijat muiden maiden toimijoita heikompaan asemaan tietojärjestelmätoimittajien asiakkaina. Ehdotetun sääntelyn on katsottu sopivan huonosti yhteen sen kanssa, että julkista hallintotehtävää hoitavat yksityiset voivat toimia EU:n sisämarkkinoilla useassa eri maassa. Erityisesti Kansaneläkelaitos on pitänyt ongelmallisena sitä, että sääntelyä sovellettaisiin jo käytössä olevaan automaattiseen päätöksentekoon. 

Tiedonhallintalakiin ehdotettua 13 a §:ää on pidetty pääosin kannatettavana ja useissa lausunnoissa on todettu, ettei se käytännössä tuo muutoksia nykyisiin toimintatapoihin ja järjestelyihin. Ehdotusta on tosin pidetty päällekkäisenä joidenkin toimialakohtaisten määräysten ja säännösten kanssa. 

Osa lausunnonantajista on pitänyt ehdotettua digipalvelulain 6 a §:ää kannatettavana lisäyksenä, osa lausunnonantajista taas on kyseenalaistanut sen tarpeellisuuden sekä sen kytköksen automaattiseen päätöksentekoon ylipäätään. Ehdotettua velvollisuutta tallentaa käyty viestien vaihto niin, että se on yksilöitävissä, on pidetty ongelmallisena toteuttaa ilman, että hallinnon asiakkaan olisi tunnistauduttava sähköisesti, mikä rajaisi palveluautomaation käyttämistä tarpeettomasti. 

Oikeusministeriö ja valtiovarainministeriö ovat pyrkineet ottamaan jatkovalmistelussa huomioon lausunnonantajien esiin nostamat ehdotukset ja kommentit. Hallituksen esitystä on monelta osin selkeytetty sekä joitain tulkinnanvaraisuuksia ja puutteita on pyritty täydentämään säännöstasolla, yksityiskohtaisissa perusteluissa ja vaikutusarvioinnissa.  

Lausuntopalautteen perusteella esitystä on muutettu myös siten, että kielto rangaistusluonteisten hallinnollisten seuraamusten sekä hallintokantelun automaattisesta ratkaisemisesta on poistettu hallintolain 53 e §:stä, koska käyttöalasäännösten voidaan katsoa rajaavan jo tarpeeksi mahdollisuuksia hyödyntää automaattista päätöksentekoa näiden asioiden osalta. Perustuslakivaliokunta on lausunnossaan korostanut hallinnollisten seuraamusten yhteydessä oikeusturvasta huolehtimista (esim. PeVL 49/2017 vp). Monien oikeusturvaan liittyvien näkökulmien voidaan kuitenkin katsoa tulevan huomioiduksi jo silloin kun rangaistusluonteisten hallinnollisten seuraamusten perusteista säädetään, mikäli samalla huomioidaan asianmukaisesti hallinnollisten seuraamusten sääntelyperiaatteet. Hallinnollisiin seuraamuksiin voi myös liittyä erityistä oikeasuhteisuuden arvioimisen tarvetta, joka voidaan kuitenkin katsoa silloin sisältävän tapauskohtaista harkintaa ja täten esimerkiksi muut kuin kaavamaiset sanktiot jäisivät suoraan automaattisen ratkaisemisen käyttöalan ulkopuolelle jo ilman erillistä kieltoa. Hallintokanteluasioiden osalta katsotaan kiellon poiston olevan perusteltu jo sen takia, ettei hallintolain 53 d §:n mukaisesti hallintokanteluasiassa annettuun ratkaisuun saa hakea muutosta valittamalla, jolloin se ei täytä automaattisen ratkaisemisen oikeussuojaedellytyksiä. 

Tiedonhallintalakiin ehdotettavista muutoksista 26 §:ään ehdotettu lisäys asiakirjojen lähettämistarkoituksen tallentamisesta on lausuntokierroksen jälkeen poistettu, koska sitä ei ole katsottu välttämättömäksi. Sen lisäksi 28 c §:n vaatimus automaattiseen ratkaisemiseen käytettyjen tietojen tallentamisesta on poistettu, koska hallintolain 53 g §:n 2 momentissa säädettäväksi ehdotettu vaatimus ratkaisun perusteena olevien tietojen antamisesta yhdistettynä hallintolain 45 §:ssä jo säädettyyn päätöksen perustelusta on katsottu riittäväksi oikeusturvan kannalta. Tietojen käyttöä ja tiedottamista koskevaa sääntelyä ja sen perusteluja on tarkennettu suhteessa yleiseen tietosuoja-asetukseen. Lisäksi digipalvelulain 6 a §:ssä ehdotettu vaatimus, että viranomaisen on tallennettava palveluautomaatiossa käyty viestienvaihto niin, että tietty keskustelu voidaan yksilöidä, on poistettu, koska lausuntopalautteen perusteella vaatimus rajoittaisi palveluautomaation käyttömahdollisuuksia tarpeettomasti.  

Myös siirtymäsäännösten pituutta on arvioitu uudestaan lausuntopalautteen johdosta. Esitystä on muutettu siten, että hallintolain 53 f §:n siirtymäaikaa on pidennetty 18 kuukauteen 12 kuukauden sijasta. Tiedonhallintalain muutosten osalta siirtymäsääntelyä on tarkennettu merkittävästi. 

Vaikutusten arviointia on täydennetty ja selkeytetty muun muassa lisäämällä erillinen arvio ehdotuksen vaikutuksista viranomaisten ja julkista hallintotehtävää hoitavien tietojärjestelmiin sekä laatimalla yhteenvetoja eri toimijoihin kohdistuvista kustannuksista. Lisäksi vaikutustenarviota on täydennetty muun muassa yhdenvertaisuuden, tasa-arvon, vammaisten henkilöiden ja lapsen aseman osalta. 

Hallituksen esityksen toimeenpano- ja seurantaosiota on lisäksi täydennetty lausunnonantajien toiveesta. Tarkoituksena on seurata esityksen tavoitteiden toteutumista kun soveltamiskokemusta on kertynyt. 

7.1  Hallintolaki

8 b luku Asian ratkaiseminen automaattisesti 

Voimassa oleva hallintolaki on laadittu aikana, jolloin lähtökohtana oli, että virkamies valmistelee, käsittelee ja ratkaisee asian. Hallintolakia koskevan hallituksen esityksen perusteluista ilmenee, että lain on tarkoitettu soveltuvan myös niin sanottuun massahallintoon (HE 72/2002 vp, s. 40). Hallintolain menettelyä koskeva sääntely on pääosin luonteeltaan välineneutraalia, eikä se sisällä säännöksiä esimerkiksi asian vireillesaattamisesta tai asiakirjojen toimittamisesta tietyssä muodossa tai asian käsittelystä tietyssä muodossa. Tiedoksiantoa koskevissa säännöksissä säädetään esimerkiksi postitiedoksiannosta, kun taas sähköisestä tiedoksiannosta säädetään sähköisestä asioinnista viranomaistoiminnassa annetussa laissa (13/2003). Edellä mainittu laki rinnastaa sähköisen ja kirjallisen muodon. Uusi 8 b luku yhdessä tiedonhallintalakiin ehdotettujen säännösten kanssa muodostaisi nimenomaisen säännösperustan hallintoasioiden ratkaisemiselle automaattisesti. Kyseessä olisi mahdollistava lainsäädäntö. Viranomaisen harkintaan jäisi, ottaako se käyttöön automatisoidun toimintaprosessin asioissa, joissa se olisi mahdollista. 

Ehdotettavalla sääntelyllä ei pääosin ole tarkoitettu poikettavan hallintomenettelyä koskevasta sääntelystä. Esimerkiksi asian selvittämistä, asianosaisen kuulemista sekä hallintopäätöksen sisältöä, hallintopäätöksen perustelemista, virheen korjaamista, valitusosoitusta, tiedoksiantoa ja oikaisuvaatimusta koskevat säännökset tulevat siten sovellettaviksi myös automaattisessa päätöksenteossa, ellei erityislaissa ole toisin säädetty. Myös hallintolain 2 luvussa säädettyjä hyvän hallinnon perusteita on noudatettava viranomaisen toiminnassa. Viranomaisen on siten otettava nämä velvoitteet ja erityislainsäädännön vastaavat velvoitteet huomioon automatisoitujen toimintaprosessien suunnittelussa. Ehdotetun 8 b luvun vaatimukset muodostaisivat asioiden käsittelyä koskevat menettelylliset lisäedellytykset, kun asia ratkaistaan automatisoidussa toimintaprosessissa. 

Hallintolakiin ja tiedonhallintalakiin ehdotettavien säännösten on tarkoitus toimia yleissääntelynä, jonka perusteella viranomaiset voivat yleensä tehdä automaattisia ratkaisuja lain edellytysten täyttyessä ilman tarvetta säätää automaatiosta erikseen sektorilainsäädännössä. Automaatiota koskevan yleislainsäädännön lisäksi viranomaisen on otettava huomioon muu asiaa koskeva sääntely. Tällaista on muun muassa viranomaiselle toimivallan luova aineellinen lainsäädäntö (esimerkiksi etuuslait), hallintomenettelyä koskeva sääntely (esimerkiksi hallintolaki ja kielilaki), sektorikohtainen erityinen menettelylainsäädäntö, tietosuojalainsäädäntö ja muu perusoikeuksia turvaava sääntely (esimerkiksi yhdenvertaisuuslaki ja tasa-arvolaki). 

Automaattinen ratkaiseminen tulisi lähtökohtaisesti perustaa yleislakiin. Välttämättömistä syistä erityislainsäädännössä voi kuitenkin olla perusteltua poiketa yleislaissa säädetyistä edellytyksistä. Tällainen poikkeus on aina rajattava välttämättömään ja arvioitava oikeusturvan ja henkilötietosuojan suojan kannalta. 

Ehdotettu sääntely on rajattu koskemaan asioiden automaattista ratkaisemista. Asioiden muihin käsittelyvaiheisiin, esimerkiksi asian selvittämiseen tai asianosaisen kuulemiseen, sääntely ei kohdistuisi, vaan viranomainen voisi edelleen järjestää nämä toimet käyttäen soveltuvaksi harkitsemiaan toimintatapoja. Ehdotettu sääntely ei siten ole este esimerkiksi asian käsittelijää avustavan automaation käyttämiselle hallintoasian muiden käsittelyvaiheiden suorittamiseksi tai päätösluonnoksen laatimiseksi. Tällaisessakin automaatiossa viranomaisen on otettava huomioon muu hallintolakiin, erityislainsäädäntöön ja mahdollisesti tietosuojasääntelyyn sisältyvä sääntely.  

Hallintolain 2 §:n 2 momentin mukaan lakia sovelletaan valtion viranomaisissa, hyvinvointialueiden ja hyvinvointiyhtymien viranomaisissa, kunnallisissa viranomaisissa, itsenäisissä julkisoikeudellisissa laitoksissa sekä eduskunnan virastoissa ja tasavallan presidentin kansliassa. Lain 2 §:n 3 momentin mukaan sitä sovelletaan myös valtion liikelaitoksissa, julkisoikeudellisissa yhdistyksissä sekä yksityisissä niiden hoitaessa julkisia hallintotehtäviä. Ehdotetussa 8 b luvussa viranomaisella tarkoitettaisiin hallintolaissa käytetyn käsitteistön mukaisesti sekä 2 momentissa tarkoitettuja viranomaisia että 3 momentissa tarkoitettuja tahoja. 

53 e §. Asian automaattisen ratkaisemisen edellytykset.Pykälän tarkoituksena on luoda toimivaltaperuste hallintoasian ratkaisemiselle automaattisesti ja rajata automaattinen päätöksenteko sellaisiin asioihin, joihin se hallinnon lainalaisuusperiaate ja oikeusturva huomioon ottaen soveltuu. Tarkoituksena on säätää hallinnon automaattiselle päätöksenteolle selkeä oikeudellinen perusta yleislainsäädännössä.  

Pykälässä säädettäisiin, milloin viranomainen voi ratkaista asioita automaattisesti. Asian ratkaisemisella viitataan hallintolain 7 lukuun (”Asian ratkaiseminen”) ja siinä tarkoitettuun hallintoasian käsittelyn päättävään ratkaisuun, jolla päätetään jonkun edusta, oikeudesta tai velvollisuudesta. Tällaisia ratkaisuja tehdään esimerkiksi asioissa, jotka koskevat etuuden hakemista (esimerkiksi sosiaaliturvaetuudet), velvoitetta (esimerkiksi verotus) tai lupaa (esimerkiksi ajokortti). Kuten hallintolain yleinen soveltamisala, ehdotettu sääntely koskisi lähtökohtaisesti niin luonnollisia henkilöitä kuin oikeushenkilöitäkin koskevia päätöksiä. Koska säännöksessä asian ratkaisemisella tarkoitetaan hallintoasian käsittelyn päättävää toimea, sääntely ei lähtökohtaisesti soveltuisi esimerkiksi tosiasialliseen hallintotoimintaan kuten julkisten palvelujen toteuttamiseen. Henkilötietojen suojaan liittyvistä syistä 53 f §:ssä säädettäisiin päätöksen kohteena olevaa luonnollista henkilöä koskevasta oikeussuojaedellytyksestä.  

Ehdotettu sääntely soveltuisi myös virheen korjaamiseen, jos automaattiselle ratkaisemiselle asetetut edellytykset täyttyvät. Oikaisuvaatimusta tai siihen rinnastuvaa vaatimusta ei kuitenkaan voisi ehdotetun sääntelyn nojalla ratkaista automaattisesti. 

Hallintoasian yhteydessä tapahtuvaan henkilötietojen käsittelyyn sovelletaan yleensä tietosuoja-asetusta. Tietosuoja-asetusta sovelletaan esimerkiksi opintotukilain (65/1994) 23 §:n mukaiseen opintotuen myöntämiseen, verotusmenettelystä annetun lain (1558/1995) 7, 10 ja 26 §:n mukaiseen henkilöasiakkaan säännönmukaiseen tuloverotukseen ja kotikuntalain (201/1994) 9 a §:n 3 momentin mukaiseen henkilön kunnan sisäisen muuton kirjaamiseen väestötietojärjestelmään. Käsittelyyn sovelletaan kuitenkin rikosasioiden tietosuojalakia, jos käsittelyssä on kyse lain 1 §:ssä tarkoitetusta toiminnasta. Rikosasioiden tietosuojalain alaan kuuluvia hallintoasioita ovat muun muassa eräät rikosoikeudellisen seuraamuksen täytäntöönpanoon liittyvät asiat, esimerkiksi sakon täytäntöönpanosta annetun lain (672/2002) 14 §:ssä tarkoitettu sakon maksuajan myöntäminen ja vankeuslain (767/2005) 9 luvun 6 §:ssä tarkoitetun käyttörahan, toimintarahan tai palkan maksaminen. Rikosasioiden tietosuojalain 13 §:n 2 momenttiin ehdotetaan säännöstä, joka mahdollistaa rikosasioiden tietosuojalain soveltamisalalla hallintoasian automaattisen ratkaisemisen. 

Siltä osin kuin asioiden automaattinen ratkaiseminen kohdistuu luonnollisiin henkilöihin, tietosuojasääntelyyn sisältyvät automatisoituja yksittäispäätöksiä koskevat kiellot tulevat sovellettavaksi. Yleisen tietosuoja-asetuksen 22 artiklassa kielletään automatisoidut yksittäispäätökset ja niihin liittyvä profilointi. Artiklan 1 kohdan mukaan rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. Artiklan 2 kohdan b alakohdan mukaan 1 kohtaa ei sovelleta, jos päätös on hyväksytty rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi.  

EU:n tietosuojatyöryhmä on suuntaviivoissaan (WP 29 Suuntaviivat automatisoiduista yksittäispäätöksistä, WP251rev.01s. 22) todennut pelkästään automaattiseen käsittelyyn perustuvan päätöksen käsitteestä seuraavaa: ”Jos ihminen tarkastelee ja ottaa huomioon muita tekijöitä lopullista päätöstä tehtäessä, tämä päätös ei ”perustu pelkästään” automaattiseen käsittelyyn.” Työryhmä on edelleen todennut, että ”Rekisterinpitäjä ei voi kiertää 22 artiklan säännöksiä tekaistulla ihmisen osallistumisella. Jos esimerkiksi joku soveltaa rutiininomaisesti automaattisesti tuotettuja profiileita henkilöihin vaikuttamatta tosiasiallisesti mitenkään lopputulokseen, kyse on yhä pelkästään automaattiseen käsittelyyn perustuvasta päätöksestä.”  

Rikosasioiden tietosuojalain 13 §:n mukaan, jollei laissa toisin säädetä, päätöstä ei saa tehdä pelkästään automatisoidun henkilötietojen käsittelyn perusteella, jos päätöksellä on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai se on muutoin hänen kannaltaan merkittävä. Hallintolain ja rikosasioiden tietosuojalain 13 §:n toissijaisuutta osoittavien säännösten vuoksi rikosasioiden tietosuojalain 13 §:n 2 momenttiin lisättäisiin selkiyttävä säännös. 

Hallintolain 53 e §:n tarkoituksena olisi käyttää tietosuoja-asetuksen mahdollistamaa liikkumavaraa ja mahdollistaa kansallisella lainsäädännöllä automatisoidut yksittäispäätökset. Yleinen tietosuoja-asetus jättää lainsäätäjälle kansallista liikkumavaraa, jonka puitteissa tällainen poikkeus on mahdollinen. Tällöin tulee kuitenkin huolehtia siitä, että sääntely on kokonaisuudessaan yhteensopivaa yleisen tietosuoja-asetuksen kanssa ja että siinä vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Asetuksen johdanto-osan 71 perustelukappaleen mukaan tällaiseen käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia suojatoimia, joihin olisi ainakin kuuluttava käsittelystä ilmoittaminen rekisteröidylle ja tämän oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen, oikeus esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös.  

Pykälän 1 momentissa säädettäisiin uuden 8 b § luvun tarkoituksesta ja asian automaattisen ratkaisemisen määritelmästä.  

Momentissa määriteltäisiin, mitä asian automaattisella ratkaisemisella tarkoitetaan. Samalla määritelmä rajaisi, millaisiin ratkaisuihin 8 b lukua sovelletaan. Lukua sovellettaisiin asioihin, joissa viranomainen tekee asiankäsittelyn päättävän ratkaisun automaattisella tietojenkäsittelyllä ilman, että ratkaisun tarkastaa ja hyväksyy luonnollinen henkilö. Ehdotettavaa 8 b lukua ei siten sovellettaisi mihin tahansa asiankäsittelyyn, jossa käytetään automaattista tietojenkäsittelyä. Luku tulisi sovellettavaksi, kun asiankäsittelyn päättävä ratkaisu tehdään yksinomaan automaattisen tietojenkäsittelyn avulla ilman luonnollisen henkilön myötävaikutusta. Tällaisessakin asiankäsittelyssä voisi olla vaiheita, joissa luonnollinen henkilö osallistuu asian valmisteluun tekemällä välitoimia, kuten tapauskohtaista harkintaa edellyttäviä vaiheita. Käytännössä ratkaisun tarkastaminen ja hyväksyminen tarkoittavat, että päätöksen hyväksyvä luonnollinen henkilö käy läpi ratkaisun asiasisällön ja oikeellisuuden sillä huolellisuudella ja tarkkuudella kuin perustuslain 21 § sekä hallintolain 6 § ja 31 §:n 1 momentti edellyttävät. Pelkästään muodollinen hyväksyntätoimi ilman ratkaisun sisällöllistä arviointia ei siten riittäisi asian rajautumiseen 8 b luvun ulkopuolelle.  

Pykälän 2 momentissasäädettäisiin, että viranomainen voi ratkaista automaattisesti asian, johon ei sisälly seikkoja, jotka viranomaisen etukäteisen harkinnan mukaan edellyttäisivät tapauskohtaista harkintaa, tai johon sisältyvät tapauskohtaista harkintaa edellyttävät seikat virkamies tai muu asian käsittelijä on arvioinut. Ratkaisemisen on perustuttava sovellettavan lain perusteella laadittuihin tiedonhallintalain 2 §:n 16 kohdassa tarkoitettuihin käsittelysääntöihin. 

Momentissa kuvataan edellytys, jonka mukaan viranomaisen on tehtävä etukäteinen harkinta siitä, mitkä asiat ovat luonteeltaan sellaisia, että ne voidaan ratkaista automaattisesti, ja laadittava käsittelysäännöt, joiden perusteella asiat valitaan ja ratkaistaan. Käytännössä viranomaisen on tunnistettava käsittelemiensä asioiden joukosta olennaisilta piirteiltään samanlaisina toistuvat asiat (tyyppitapaukset), jotka viranomaisen arvion mukaan tulee ratkaista aina saman säännön mukaisesti.  

Yksinkertaisimmillaan tyyppitapaus voidaan tunnistaa suoraan sovellettavan aineellisen lainsäädännön perusteella, kun lainsäädäntö on riittävän yksiselitteistä. Tilanteissa, joissa aineellinen lainsäädäntö soveltuu siinä käytettyjen käsitteiden perusteella laajasti erilaisiin tapauksiin, viranomaisen on tyyppitapauksia tunnistaessaan otettava ennakolta kantaa myös sovellettavien säännösten tulkintaan. Myös asioissa, joissa päätösten perustana oleva lainsäädäntö sisältää runsaasti tulkinnanvaraisuutta (esimerkiksi liikennevakuutuslaki ja sen taustalla oleva vahingonkorvauslaki), voi olla mahdollista tunnistaa tyyppitapauksia, joissa viranomaisella (tai lakisääteisten vakuutusten osalta julkista hallintotehtävää hoitavalla yksityisellä) on jossakin asiaryhmässä vakiintunut ratkaisukäytäntö, jonka mukaan tiettyjen piirteiden mukaiset asiat ratkaistaan aina samalla tavalla. Tyyppitapaus voi myös perustua raja-arvojen tarkasteluun esimerkiksi siten, että tietyn euromääräisen rajan ylittävien tulojen katsotaan tietynlaisissa tilanteissa aina täyttävän laissa vaaditun edellytyksen. 

Automaattinen ratkaiseminen olisi rajattua siten, että tapauskohtausta harkintaa edellyttävät asiat olisi suljettava automaation ulkopuolelle tai päätöksenteko olisi järjestettävä siten, että ratkaisun tekemiseen osallistuu virkamies tai muu asian käsittelijä siltä osin kuin asiaan liittyy tapauskohtaista harkintaa edellyttäviä seikkoja. Automaattinen ratkaiseminen koskisi yhtäältä asioita, joihin ei viranomaisen etukäteisen harkinnan mukaan sisälly yksittäistä asiaa koskevan harkinnan tarvetta. Tällaisia ovat erityisesti luonteeltaan yksinkertaiset asiat, joita koskeva lainsäädäntö on yksiselitteinen (esimerkiksi lupahakemus, joka ratkaistaan yksiselitteisten edellytysten perusteella ja johon ei sisälly kokonaisharkintaa). Yleensä tapauskohtaisen harkinnan tarvetta arvioidaan aineellisen lainsäädännön perusteella, mutta myös erityislakien menettelysäännökset voivat vaikuttaa harkintaan. Esimerkiksi verotusmenettelystä annetun lain 26 §:n 6 momenttiin sisältyvä niin sanottu valikointisäännös voi vaikuttaa kaventavasti veroviranomaisen tutkimisvelvollisuuteen ja sitä kautta vähentää tapauskohtaista harkintaa. 

Toisaalta automaattisesti voitaisiin ratkaista myös asioita, joihin tapauskohtaista harkintaa liittyy, mutta joissa virkamies tai muu asian käsittelijä on arvioinut harkintaa edellyttävät seikat. Tällainen arvio voi kohdistua esimerkiksi veroilmoituksessa vaaditun vähennyksen edellytyksiin, jotka verovirkailija arvioi verovelvollisen esittämien perusteluiden perusteella. Tällöin asian lopullinen ratkaisu tehdään automaattisesti virkailijan tietojärjestelmään syöttämän arvion ja muiden asiaa koskevien tietojen perusteella. Jos asian käsittelijä tekee tässä yhteydessä kokonaisuudessaan lopullisen oikeudellisen päättelyn, jonka mukaisesti asia ratkaistaan, 1 momentin määritelmän mukaan kyseessä ei kuitenkaan olisi automaattinen ratkaisu.  

Säännöksessä virkamiehellä tarkoitetaan hallintolain mukaisesti myös kunnan ja hyvinvointialueen viranhaltijaa. Asian muulla käsittelijällä tarkoitetaan sellaista virkailijaa, etuuskäsittelijää tai vastaavaa luonnollista henkilöä, jonka tehtäväksi asian ratkaiseminen viranomaisen tai julkista hallintotehtävää hoitavan yksityisen sisäisen työnjaon mukaisesti kuuluu. 

Säännöksessä ei ole rajattu automaattisen ratkaisemisen alaa asioiden tai ratkaisun luonteen mukaan esimerkiksi etuus- tai verotuspäätöksiin, vaan viranomainen voisi ratkaista muunkin tyyppisen asian, esimerkiksi korjata päätöksessä olevan virheen hallintolain 8 luvun mukaisesti tai tehdä ratkaisun asian raukeamisesta, jos säädetyt edellytykset täyttyvät. 

Sääntely soveltuisi myös hallintomenettelyssä määrättäviin rangaistusluonteisiin seuraamuksien määräämiseen automaattisesti silloin, kun ne eivät sisällä tapauskohtaista harkintaa tai jos virkamies tai muu asian käsittelijä on arvioinut harkintaa edellyttävät seikat. Rangaistusluonteisten seuraamusten määrääminen automaattisesti olisi siten mahdollista vain rajatuissa tapauksissa. Automaattisesti voitaisiin määrätä esimerkiksi sellainen kaavamainen seuraamus, jonka määräämisperusteet ja suuruus on täsmällisesti säädetty laissa ja jossa laiminlyönti tai laissa säädettyjen velvoitteiden rikkominen on yksinkertaisesti toteennäytettävissä.  

Momentin toisen virkkeen perusteella ratkaisemisen olisi perustuttava sovellettavan lain perusteella laadittuihin käsittelysääntöihin. Ehdotetun tiedonhallintalain 2 §:n 1 momentin 16 kohdan mukaan käsittelysäännöllä tarkoitetaan luonnollisen henkilön ennalta laatimia automaattisen tietojenkäsittelyn ohjaamiseen tarkoitettuja sääntöjä. Käsittelysääntöjen perusteella ratkaistaisiin esimerkiksi, täyttääkö tehty etuushakemus ne edellytykset, jotka viranomaisen tulkinnan mukaan vaaditaan etuuden myöntämiseen, tai tulisiko etuusvalvonnassa tarkasteltava etuus lakkauttaa, koska etuuden saaja ei enää täytä edellytyksiä. Koska asian ratkaiseminen tulisi kuvata nimenomaan käsittelysääntönä, säännös sulkisi pois sellaiset tekniset toteutustavat, jotka perustuvat sääntöjen sijasta esimerkiksi todennäköisyysajatteluun (ns. oppivat tekoälytekniikat). Käsittelysäännöt ja niitä koskeva etukäteinen harkinta tulisi kuvata ehdotetun tiedonhallintalain 28 a §:n mukaan automatisoidun toimintaprosessin dokumentaatiossa. 

Säännöksen mukaan käsittelysäännöt tulisi laatia sovellettavan lain perusteella. Tällä korostetaan viranomaisen velvoitetta toteuttaa perustuslain 2 §:n 3 momentissa säädettyä hallinnon lainalaisuusperiaatetta, jonka mukaan kaikessa julkisessa toiminnassa on noudatettava tarkoin lakia. Sovellettavalla lailla tarkoitetaan laajasti kaikkea asiassa sovellettavaa oikeutta mukaan lukien muun muassa eduskuntalaki, Euroopan unionin säädökset, lakia alemman tasoinen sääntely, viranomaismääräykset sekä oikeuskäytäntö. Sovellettava laki voi koskea asiassa sovellettavia aineellisia säännöksiä (esimerkiksi etuuksia koskeva sääntely) tai menettelysäännöksiä (esimerkiksi hallintolain ja erityislakien menettelysääntely).  

Vaatimus käsittelysääntöjen perustumisesta sovellettavaan lakiin tarkoittaa myös, että viranomainen voisi käyttää asioiden automaatioon valikoimiseen ja käsittelyyn vain sellaisia sääntöjä, joille voidaan esittää hyväksyttävä oikeudellinen peruste. Viranomainen ei siten voisi käyttää esimerkiksi käsittelysääntöjä, jotka johtaisivat hallintolain 6 §:ssä turvattujen hallinnon oikeusperiaatteiden tai yhdenvertaisuuslain 8 §:ssä säädetyn syrjinnän kiellon vastaisiin hallintotoimiin, eikä esimerkiksi kuulemisesta olisi mahdollista poiketa ilman tämän mahdollistamaa lainsäädäntöä. Käsittelysääntöjen syrjimättömyyttä koskevan arvion dokumentointivelvoitteesta säädettäisiin tiedonhallintalain 28 a §:ssä. 

Koska käsittelysääntöjen tulisi perustua sovellettavaan lakiin, viranomaisen on tehtävä sääntöjä laatiessaan huolellinen arviointi siitä, mitkä asiat voidaan ratkaista automaattisesti siten, että lopputuloksena on lain mukainen ratkaisu. Tämä tarkoittaa käytännössä sellaisten tyyppitapausten tunnistamista, joiden osalta viranomainen pitää selvänä, että käsittelysäännön mukainen lopputulos on lain mukainen. Toisaalta koska ehdotetulla sääntelyllä ei ole tarkoitettu poikettavan viranomaisen hallintomenettelyä koskevista velvoitteista, viranomaisen on suunniteltava automatisoidut toimintaprosessinsa siten, että muun muassa asian selvittämistä, kuulemista sekä päätöksen sisältöä ja perustelemista koskevat velvoitteet toteutuvat asianmukaisesti. Näitä seikkoja koskevan arvion dokumentointivelvoitteesta säädettäisiin tiedonhallintalain 28 a §:ssä. 

Automaattinen ratkaiseminen ei ole mahdollista asioissa, jotka on ratkaistava esittelystä, koska esittelymenettely edellyttää virkavastuulla toimivaa esittelijää ja päätöksentekijää. Ehdotettu sääntely ei kuitenkaan rajoita esittelijää avustavan automaation käyttämistä. 

Ennen automaattisen ratkaisemisen käyttöönottoa viranomaisen on tehtävä ehdotetun tiedonhallintalain 28 d §:ssä tarkoitettu käyttöönottopäätös.  

Pykälän 3 momenttiin sisältyisi informatiivinen viittaus, jonka mukaan automaattisen ratkaisemisen käyttöönoton edellytyksistä ja käyttöönotossa noudatettavasta menettelystä säädetään tiedonhallintalaissa. Viittaussäännös on tarpeellinen, koska tiedonhallintalain 6 a lukuun ehdotettavat säännökset muodostavat lisäedellytyksiä sille, missä tilanteissa asioita voidaan ratkaista viranomaisessa automaattisesti. Tiedonhallintalaissa säädettyjen vaatimusten on täytyttävä, jotta hallintolain 8 b luvussa tarkoitettuja asioita voidaan ratkaista automaattisesti.  

Pykälän 4 momentissasäädettäisiin kielto ratkaista automaattisesti oikaisuvaatimus tai siihen rinnastettava vaatimus. 

Oikaisuvaatimuksesta säädetään hallintolain 7 a luvussa. Oikaisuvaatimukseen rinnastettavalla vaatimuksella tarkoitetaan sellaisia erityislainsäädännössä säädettyjä hallinnon sisäisiä muutoksenhakukeinoja, jotka tarkoituksensa puolesta rinnastuvat hallintolain 7 a luvussa tarkoitettuun oikaisuvaatimukseen. Tällaisia oikeussuojakeinoja ovat muun muassa kuntalain (410/2015) 137 §:ssä säädetty oikaisuvaatimus, verotuslainsäädäntöön sisältyvä oikaisuvaatimus (esimerkiksi verotusmenettelystä annetun lain 63 §) ja sosiaaliturvalainsäädännössä käytetty itseoikaisu (esimerkiksi sairausvakuutuslain (1224/2004) 17 luvun 3 §). Hallintolain 8 luvun mukaista virheen korjaamista ei ole pidettävä oikaisuvaatimukseen rinnastuvana oikeussuojakeinona. 

Perustuslakivaliokunta on todennut, että oikaisuvaatimusmenettelyn tarkoituksena on ”osaltaan toteuttaa perustuslain 21 §:n 2 momentissa tarkoitettuja hyvän hallinnon takeita. Oikaisuvaatimussääntelyä on syytä tarkastella myös siitä näkökulmasta, että se voi muodostaa asiallisesti —joskaan ei muodollisesti — osan hallinto-oikeudellisen muutoksenhakujärjestelmän kokonaisuudesta. Valiokunta on aiemmin katsonut, että oikaisuvaatimusmenettelyä voidaan tältä kannalta pitää tavallaan muutoksenhaun ensimmäisenä vaiheena, vaikka kysymys ei olekaan tuomioistuimessa tapahtuvasta lainkäytöstä, minkä vuoksi se ei voi täyttää perustuslain 21 §:n 1 momentin vaatimusta siitä, että jokaisella on oikeus saada oikeuksiaan ja velvollisuuksiaan koskeva päätös tuomioistuimen tai muun riippumattoman lainkäyttöelimen käsiteltäväksi (PeVL 32/2012 vp, s. 3/II)” (PeVL 55/2014 vp).  

Oikaisuvaatimuksen ja siihen rinnastuvan vaatimuksen ratkaiseminen automaattisesti kiellettäisiin, koska niiden oikeusturvaan liittyvä luonne yleensä edellyttää, että tällaisen vaatimuksen tutkii luonnollinen henkilö. Näiden asioiden ratkaiseminen edellyttää usein myös sellaista harkintaa, joka ei ole automatisoitavissa. Lisäksi oikaisuvaatimusta käsittelevä viranomainen voi hallintolain 49 f §:n mukaan kieltää tai keskeyttää päätöksen täytäntöönpanon. 

Tietyillä hallinnonaloilla ja tietyissä asiaryhmissä saattaa kuitenkin olla tilanteita, joissa asianosaisen oikeusturvan ei voida katsoa vaarantuvan oikaisuvaatimuksen ratkaisemisesta automaattisesti. Muualla lainsäädännössä on lisäksi saatettu rajata oikaisuvaatimuksen perusteita, mitä hallintolain 7 a luvussa tarkoitetussa oikaisuvaatimusmenettelyssä ei ole tehty. Oikaisuvaatimuksen automatisointia koskevasta kiellosta on siten tietyissä erikseen arvioiduissa tilanteissa mahdollista säätää erityislaissa poikkeus hallintolain 5 §:n 1 momentin mukaisesti, jos perustuslaista, erityisesti hyvän hallinnon ja oikeusturvan vaarantumattomuudesta, tai tietosuojasääntelystä ei katsota seuraavan tälle estettä. Erityislain säätämisen yhteydessä tulee arvioida myös tietosuojaoikeudellisten suojatoimien riittävyys, kun huomioidaan se, että hallintolain 53 f §:ssä ehdotetaan säädettäväksi automaattisen ratkaisemisen edellytykseksi mahdollisuutta oikaisuvaatimukseen. 

53 f §. Automaattisen ratkaisemisen oikeussuojaedellytys.Pykälän 1 momentissa säädettäisiin, että automaattisen ratkaisemisen edellytyksenä on muun 8 b luvussa säädetyn lisäksi, että luonnollinen henkilö, johon ratkaisu on kohdistettu voi kaikilta osin vaatia siihen oikaisua maksutta 7 a luvun mukaisella oikaisuvaatimuksella tai siihen rinnastuvalla vaatimuksella, joka käsitellään päätöksen tehneessä viranomaisessa tai sen kanssa samaan rekisterinpitäjään kuuluvassa viranomaisessa. 

Säännöksellä toteutetaan tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdassa ja rikosasioiden tietosuojadirektiivin 11 artiklan 1 kohdassa säädettyjä suojatoimivaatimuksia. Tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohta edellyttää, että jäsenvaltion lainsäädännössä on vahvistettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Tietosuoja-asetuksen johdanto-osan 71 perustelukappaleen mukaan asianmukaisia suojatoimia olisivat ainakin oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen. Puolestaan rikosasioiden tietosuojadirektiivin 11 artiklan 1 kohdassa edellytetään jäsenvaltioiden vahvistavan lainsäädäntötoimenpitein asianmukaiset suojatoimet, vähintään oikeuden vaatia, että käsittelyyn osallistuu rekisterinpitäjän puolesta ihminen.  

Koska yleisen tietosuoja-asetuksen edellytys oikeudesta vaatia ihmisen osallistumista todetaan ainoastaan asetuksen johdanto-osan perustelukappaleessa, mutta ei itse artiklatekstissä, on arvioitava kyseisen edellytyksen velvoittavuutta. Euroopan unionin tuomioistuin on antanut johdanto-osan perustelukappaleille huomattavaa painoarvoa ratkaisuissaan (esimerkiksi tuomioistuimen ratkaisu C-203/15, kohta 87 ja ratkaisu C-454/18, kohta 71). Ottaen huomioon, että ehdotettu sääntely tulisi yleislakina sovellettavaksi laajasti monenlaiseen hallinnolliseen päätöksentekoon, riittävien suojatoimien takaamisen vuoksi on perusteltua, että ehdotetussa säännöksessä toteutettaisiin oikeus vaatia ihmisen osallistumista asian käsittelyyn. Hallintolain 5 §:n 1 momentista seuraa, että 1 momentin vaatimuksesta on mahdollista säätää toisin erityislaissa. Tässä yhteydessä olisi huolehdittava, että erityislakiin sisältyvät riittävät tietosuojalainsäädännön edellyttämät suojatoimet. Säätämisen yhteydessä olisi arvioitava, miten ihmisen osallistumista koskevaa johdantokappaletta on kyseisessä asiayhteydessä tulkittava. 

Tietosuojan yleislainsäädännössä säädetään siitä, että oikeuksien käyttämisen on oltava rekisteröidylle maksuton toimenpide. Tietosuoja-asetuksen 12 artiklan 5 kohdassa säädetään, että kaikki 22 artiklaan perustuvat tiedot ja toimenpiteet ovat maksuttomia. Rikosasioiden tietosuojadirektiivin 12 artiklan 4 kohdassa edellytetään jäsenvaltioilta lainsäädäntötoimenpiteitä, jotta kaikki 11 artiklan nojalla tehdyt ilmoitukset tai toteutetut toimet ovat maksuttomia. Tämän vuoksi oikaisuvaatimuksen tai siihen rinnastuvan vaatimuksen olisi oltava rekisteröidylle maksuton toimenpide. 

Tietosuojalainsäädännön lähtökohta on, että rekisteröity voi käyttää oikeuksiaan rekisterinpitäjään, joka käsittelee häntä koskevia henkilötietoja. Koska pelkästään automaattiseen käsittelyyn perustuvaan päätöksentekoon voi liittyä tavanomaista henkilötietojen käsittelyä suurempia riskejä, on rekisteröidyllä oltava oikeus käyttää oikeuttaan päätöksen tehnyttä rekisterinpitäjää kohtaan, jotta oikeussuojakeinoa voitaisiin pitää tietosuojalainsäädännössä tarkoitettuna rekisteröidyn oikeutena. Tämän vuoksi oikaisuvaatimukseen tai siihen rinnastuvaan vaatimukseen liittyvän menettelyn olisi oltava sellainen, että vaatimuksen käsittelee se rekisterinpitäjä, joka on myös tehnyt pelkästään automaattiseen käsittelyyn perustuvan päätöksen. Esimerkiksi muutoksenhakua hallinto-oikeuteen ei voitaisi pitää soveltuvana, koska hallinto-oikeus ei olisi päätöksen tehnyt rekisterinpitäjä. 

Euroopan unionin tietosuojatyöryhmän suuntaviivoissa (WP 29 Suuntaviivat automatisoiduista yksittäispäätöksistä, WP251rev.01, s. 22 ja 29) on täsmennetty tietosuoja-asetuksen johdanto-osan 71 perustelukappaleen sisältöä, erityisesti rekisteröidyn oikeutta vaatia ihmisen osallistumista ja siihen liittyviä menettelyjä. Työryhmän mukaan ihmisellä, joka osallistuu käsittelyyn, olisi oltava asianmukaiset valtuudet ja pätevyys muuttaa päätöstä. Lisäksi hänen olisi arvioitava perusteellisesti kaikkia merkityksellisiä tietoja, rekisteröidyn toimittamat lisätiedot mukaan luettuna. Hallintolain 7 a luvussa tarkoitetun oikaisuvaatimuksen voidaan katsoa soveltuvan erittäin hyvin tietosuojaoikeudelliseksi suojatoimeksi, joka täyttää tietosuojatyöryhmän suuntaviivoissa todetut vaatimukset.  

Jos oikaisuvaatimuksesta ei ole säädetty, oikeusturvaedellytyksen täyttäisi myös oikaisuvaatimukseen rinnastuva laissa säädetty oikeussuojakeino. Rinnastuvia oikeussuojakeinoja on kuvattu edellä 53 e §:n 4 momentin yksityiskohtaisissa perusteluissa. Lisäksi oikeussuojakeinon rinnastuvuutta oikaisuvaatimukseen nähden tulisi arvioida 53 f §:n 1 momentissa kuvattujen piirteiden kuten maksuttomuuden perusteella. Kyseessä on oltava hallintomenettelyssä käsiteltävä oikeussuojakeino, joka käsitellään päätöksen tehneessä viranomaisessa. 

Vaatimuksen käsittelijänä voisi olla myös toinen viranomainen, jos se on osa samaa rekisterinpitäjää kuin alkuperäisen ratkaisun tehnyt viranomainen. Esimerkiksi kunnan viranhaltijan päätökseen vaaditaan oikaisua kunnan lautakunnalta. Viranhaltija ja lautakunta voivat olla eri viranomaisia, mutta niiden tulkitaan olevan osa samaa rekisterinpitäjää. Rekisterinpitäjän käsite määritellään tietosuoja-asetuksen 4 artiklan 7 kohdassa ja rikosasioiden tietosuojalain 3 §:n 1 momentin 6 kohdassa, joiden mukaan rekisterinpitäjä on se, joka yksin tai yhdessä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Vaihtoehtoisesti rekisterinpitäjästä voidaan säätää lailla, kuten useiden viranomaisten kohdalla onkin tehty. Ellei rekisterinpitäjästä ole säädetty lailla, kukin viranomainen määrittelee yksin tai tarvittaessa yhdessä muiden viranomaisten kanssa, miten rekisterinpito eri käsittelytilanteissa järjestetään. Tietosuojasäännösten perusteella henkilötietojen käsittelyn yhteydessä rekisteröidylle on ilmoitettava, mikä viranomainen toimii rekisterinpitäjänä. Hallintolain 46 §:n mukaan jos päätökseen on ennen valituksen tekemistä vaadittava oikaisua erikseen säädetyssä oikaisuvaatimusmenettelyssä, ohjeet tällaisen oikaisukeinon käyttämisestä on annettava samanaikaisesti päätöksen kanssa. Ohjeissa on 47 §:n mukaisesti mainittava valitusviranomainen sekä viranomainen, jolle valituskirjelmä on toimitettava. 

Jotta tietosuojasääntelystä seuraava edellytys käsittelyyn osallistuvan ihmisen mahdollisuudesta muuttaa päätöstä toteutuisi, asianosaisen on voitava vaatia muutosta ratkaisuun sen kaikilta osin. Sekä oikaisuvaatimuksen että siihen rinnastuvan vaatimuksen on oltava maksuton.  

Edellä 53 e §:n 4 momentin yksityiskohtaisissa perusteluissa on selitetty, mitä tarkoitetaan oikaisuvaatimukseen rinnastuvalla vaatimuksella. Vastaava oikeussuojakeino toimisi myös rekisteröidyn oikeutena saada asia ihmisen käsiteltäväksi. 

Oikeus hakea ratkaisuun muutosta hallintovalituksella ei täytä 1 momentin edellytyksiä hallintomenettelystä ja samasta viranomaisesta. Myöskään hallintolain 8 luvussa säädetty virheen korjaaminen ei ole tällainen oikeussuojakeino, koska lain 50 ja 51 §:ssä virheen korjaaminen on rajattu vain tietynlaisiin tilanteisiin, eikä se siten täytä vaatimusta, jonka mukaan ratkaisuun on voitava vaatia oikaisua kaikilta osin. 

Tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohta ja rikosasioiden tietosuojadirektiivin 11 artiklan 2 kohta edellyttävät, että suojatoimista tulee säätää lainsäädännössä. Tietosuoja-asetuksen 12 artiklassa säädetään yksityiskohtaisesti rekisteröidyn oikeuksien käyttämistä koskevasta menettelystä ja rikosasioiden tietosuojadirektiivin 12 artiklassa edellytetään, että jäsenvaltion lainsäädännössä säädetään rekisteröidyn oikeuksien käytöstä, kun käsittely perustuu 11 artiklassa tarkoitettuun pelkästään automaattiseen käsittelyyn. Lisäksi perustuslakivaliokunta on korostanut korkean riskin aiheuttamia uhkia todeten, että mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely (PeVL 14/2018 vp, s. 5). Ottaen huomioon tietosuoja-asetuksesta, rikosasioiden tietosuojadirektiivistä ja perustuslakivaliokunnan lausuntokäytännöstä seuraavat vaatimukset, olisi oikaisuvaatimukseen rinnastuvasta vaatimuksesta ja sen käsittelystä säädettävä lailla.  

Koska pykälän tarkoituksena on tietosuojasääntelystä seuraavan suojatoimen toteuttaminen, 1 momentin edellytys on rajattu vain asioihin, joissa on asianosaisena luonnollinen henkilö. Jos asiassa on asianosaisena sekä luonnollinen henkilö että oikeushenkilö, asianosaisena olevalla luonnollisella henkilöllä olisi oltava mahdollisuus 1 momentissa tarkoitettuun oikeussuojakeinoon. 

Pykälän 2 momentissa säädettäisiin poikkeus 1 momentin edellytyksestä. Edellytystä ei sovellettaisi, jos automaattisella ratkaisulla hyväksytään asianosaisen vaatimus, joka ei koske toista asianosaista. Keskeinen tietosuoja-asetuksen 22 artiklan ja rikosasioiden tietosuojadirektiivin 11 artiklan taustalla oleva tavoite on ihmisen suojaaminen sellaiselta automaattiselta päätöksenteolta, jossa hänen ominaisuuksiaan arvioidaan virheellisillä perusteilla ilman ihmisen mahdollisuutta vaikuttaa tähän arvioon. Kun asianosaisen vaatimus hyväksytään vaaditulla tavalla, ei asianosaisella voida katsoa enää olevan tietosuojaoikeudellisen suojan tarvetta saada päätöstä ihmisen käsiteltäväksi.  

Pykälän 1 momentin suojatoimea voidaan pitää tehokkaana vain, jos oikaisuvaatimusta tai siihen rinnastuvaa vaatimusta ei voida ratkaista automaattisesti. Tätä koskeva kielto sisältyisi 53 e §:n 4 momenttiin.  

Pykälässä on tarkoitus säätää lisäedellytyksestä, jonka on täytyttävä, jotta automaattisia ratkaisuja voidaan tehdä. Pykälästä itsessään ei seuraa oikeutta oikaisuvaatimukseen eikä se muutenkaan vaikuta olemassa oleviin oikeussuojakeinoihin. Asianosaisen muutoksenhakuoikeus ja oikeus oikeusturvaan määräytyvät muun lainsäädännön perusteella. Oikaisuvaatimusmenettelystä on säädettävä erikseen (hallintolain 49 b §:n 1 momentti). Myöskään 2 momentin poikkeuksella ei ole tarkoitettu poikettavan oikeusturvakeinoista vaan ainoastaan asian automaattiselle ratkaisemiselle asetetusta edellytyksestä eräissä tilanteissa. 

53 g §. Automaattisesta ratkaisemisesta ilmoittaminen. Pykälän 1 momentissa säädettäisiin, että viranomaisen antamasta hallintopäätöksestä olisi 44 §:n 1 momentissa tarkoitettujen tietojen lisäksi käytävä ilmi, jos asia on ratkaistu automaattisesti. Samalla olisi annettava tieto siitä, missä julkisen hallinnon tiedonhallinnasta annetun lain 28 d §:ssä tarkoitettu käyttöönottopäätös on saatavilla. Ehdotetun tiedonhallintalain 28 e §:n 1 momentin mukaan käyttöönottopäätös olisi julkaistava yleisessä tietoverkossa viranomaisen verkkosivustolla. Kirjallisessa hallintopäätöksessä voitaisiin kertoa yksilöity verkkosivun osoite tai tarpeen mukaan muu yksilöity tieto asian automaattiseen ratkaisuun liittyvästä käyttöönottopäätöksestä. Yhdenvertaisuusnäkökulmasta päätöksen olisi oltava saatavilla myös muutoin kuin viranomaisen verkkosivuilla. Koska automaattinen ratkaisun tekeminen ja automatisoidun toimintaprosessin käyttö perustuisi käyttöönottopäätökseen, olisi perusteltua, että automaattisessa ratkaisussa on tätä koskeva tieto. Lisäksi viranomaisen tulisi tiedonhallintalain 28 e §:n 2 momentin mukaan tiedottaa asioiden automaattisesta ratkaisemisesta toimialallaan ymmärrettävällä ja saavutettavalla tavalla. Hallintolain 6 §:n mukaan viranomaisen toimien on suojattava oikeusjärjestyksen perusteella oikeutettuja odotuksia. Viranomaisen on kerrottava avoimesti asiakkailleen, milloin heidän asiansa on ratkaistu automaattisesti. Asianosainen pystyisi arvioimaan saamaansa ratkaisua viranomaisen antamien tietojen nojalla ja voisi esimerkiksi käyttää mahdollisuuttaan vaatia päätökseen oikaisua. Automaattista ratkaisua koskisivat lisäksi hallintolain 44 §:n päätöksen sisältöä ja 45 §:n päätöksen perustelemista koskevat velvoitteet, kun asiassa annetaan kirjallinen perusteltu hallintopäätös. 

Pykälän 2 momentissa säädettäisiin, että jos asiassa ei muun lain perusteella anneta kirjallista hallintopäätöstä, tulisi viranomaisen kuitenkin antaa 1 momentissa tarkoitetut tiedot asianosaiselle muulla tavoin viimeistään asian käsittelyn päättyessä. Säännöksellä on tarkoitus turvata asianosaisen tiedonsaantioikeus automaattisesta ratkaisemisesta myös niissä tapauksissa, joissa erityislainsäädännöstä seuraa, ettei kyseisessä asiassa anneta kirjallista hallintopäätöstä. Viranomainen voisi antaa tiedot esimerkiksi digitaalisessa palvelussa, kun asianosainen on pannut asian vireille tai kun viranomainen ilmoittaa asian tulleen vireille. Tällaisia tilanteita voisivat olla esimerkiksi myönteinen päätös ajokortin hakemisesta ja eräät asianosaiselle myönteiset ilmoitus- ja rekisteröintiasiat, joissa ei erityislain perusteella anneta asianosaiselle kirjallista päätöstä.  

Pykälän 2 momentissasäädettäisiin myös siitä, että viranomaisen on annettava asianosaiselle tiedot siitä, mihin tietoihin asian automaattinen ratkaisu perustuu, jos asiassa ei anneta kirjallista hallintopäätöstä. Säännöksellä turvattaisiin asianosaisen oikeus saada ne konkreettiset tiedot, joihin automaattinen ratkaisu on hänen asiassaan perustunut. Ratkaisun perusteena olevien tietojen antamisvelvollisuudessa on kyse eri asiasta kuin julkisuuslaissa säädetystä oikeudesta saada pyynnöstä asianosaisaseman perusteella sellaiset viranomaisen asiakirjat, jotka ovat voineet vaikuttaa häntä koskevaan päätöksentekoon. 

Velvollisuus koskisi kaikkia tietoja, joihin automaattinen ratkaisu perustuu riippumatta siitä, perustuuko automaattinen ratkaisu viranomaisen omiin tietovarantoihin vai ulkoisten tietovarantojen tietoihin. Säännöksen perusteella viranomaisella olisi lähtökohtaisesti harkintavaltaa sen suhteen, missä asiankäsittelyn vaiheessa tiedot annetaan. Viranomainen voisi ottaa huomioon käsittelyn ominaispiirteet ja antaa tiedot asianosaiselle siinä vaiheessa, kun tiedot ovat valmiina viranomaisessa tapahtuvaa asian ratkaisua varten. Tiedot voitaisiin antaa esimerkiksi asian vireillepanon yhteydessä, jos tiedot ovat viranomaisella valmiina asian ratkaisua varten. Viranomaisen tulisi ottaa tietojen antamisessa huomioon myös digitaalisten palvelujen tarjoamisesta annetun lain 5 §, jonka perustella viranomaisen on tarjottava jokaiselle mahdollisuus käyttää asiassaan viranomaisten sähköisten viestien ja asiakirjojen vastaanottamiseen hallinnon yhteisistä sähköisen asioinnin tukipalveluista annetussa laissa tarkoitettua viestinvälityspalvelua tai muuta riittävän tietoturvallista sähköistä tiedonsiirtomenetelmää, jos viranomainen voi toimittaa viestin tai asiakirjan sähköisessä muodossa. Siirryttäessä asioimaan yhä enemmän digitaalisten palvelujen avulla tulisi viranomaisen aktiivisesti tarjota annettavia tietoja digitaalisten palvelujen tai muiden riittävän tietoturvallisten sähköisten tiedonsiirtomenetelmien avulla. 

Tietojen antamisvelvoitteen tarkoituksena olisi varmistaa asianosaisen oikeusturvan toteutumista asian automaattisessa ratkaisemisessa. Erityisesti sellaisissa tilanteissa, joissa sovelletaan hallintolain 34 §:n 2 momentin poikkeuksia kuulemisvelvoitteesta tai tehtäisiin sellaisia 53 f §:n 2 momentin mukaisia myönteisiä ratkaisuja, ettei niihin sovellettaisi oikaisuvaatimusmenettelyä koskevaa vaatimusta, muodostuu riski siitä, ettei asianosainen pysty arvioimaan, perustuuko automaattinen ratkaisu oikeaan tietopohjaan. Esimerkiksi väestötietojärjestelmään tehtävästä rekisterimerkinnästä ei tehdä kirjallista hallintopäätöstä, mikäli rekisterimerkintä tehdään ilmoituksen mukaisesti tai se vastaa rekisteröidyn pyyntöä. Annettaessa asianosaiselle automaattisessa ratkaisemisessa käytetyt tiedot asianosaisella itsellään on mahdollisuus varmistaa, että ratkaisu perustuu oikeisiin ja ajantasaisiin tietoihin. Ottaen huomioon automaattisen ratkaisemisen massaluonteisuuden ja viranomaisten tietovarantojen hyödyntämisen verkottuneen toiminnan, ehdotetulla sääntelyllä luotaisiin menettely, jolla asianosainen voi varmistua myös säännöksessä määritellyissä tilanteissa siitä, että automaattisessa ratkaisemisessa käytetty tietopohja on oikea ja ajantasainen. 

Tietosuoja-asetuksen johdanto-osan 71 kohdassa pidetään automatisoituihin yksittäispäätöksiin liittyvänä suojatoimena henkilötietojen virheellisyyksiin liittyvien tekijöiden korjaamista ja virheriskien minimointia. Tietojen antamisvelvoitteesta säätämisellä kansallisella lailla on tarkoituksena yhtäältä varmistaa tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan mukaisia riittäviä suojatoimia automaattisessa ratkaisemisessa. Toisaalta sääntelyn kohteena oleva asioiden automaattinen ratkaiseminen kohdistuu myös muihin kuin luonnollisiin henkilöihin, joten tavoitteena on varmistaa, että myös näissä tapauksissa on olemassa riittävät suojatoimet, joilla varmistetaan tietojen oikeellisuus ja ajantasaisuus.  

Viranomaisen on rekisterinpitäjän roolissa jo tietosuoja-asetuksen 12, 13 ja 14 artiklan perusteella informoitava rekisteröityä henkilötietojen käsittelystä. Informointivelvollisuus koskee myös käsittelyn kohteena olevia henkilötietoryhmiä sekä tietoa siitä, mistä tietolähteistä henkilötiedot on saatu. Tietosuoja-asetuksen informointivelvollisuus jää kuitenkin ehdotettua 2 momenttia yleisemmälle tasolle. Viranomaisella ei tietosuoja-asetuksen perusteella ole velvollisuutta toimittaa oma-aloitteisesti ja säännönmukaisesti asianosaisasemassa olevalle rekisteröidylle tietoja kaikista niistä tiedoista, joihin viranomaisen ratkaisu yksittäisessä asiassa perustuu.  

Pykälän 3 momentissa säädettäisiin, että automaattisesti ratkaistuun asiaan ei sovellettaisi hallintolain 44 §:n 1 momentin 4 kohdan vaatimusta henkilön nimen ilmoittamisesta. Poikkeus tästä vaatimuksesta säädettäisiin, koska automaattisessa päätöksentekomenettelyssä ei ole aina etukäteen nimettävissä tiettyä henkilöä. Poikkeus koskee vain nimen ilmoittamista, eli kirjallisessa päätöksessä olisi kuitenkin 44 §:n 1 momentin 4 kohdan mukaisesti ilmoitettava yhteystiedot, joista asianosainen voi pyytää tarvittaessa lisätietoja päätöksestä. Hallintolain 7 §:ssä säädetystä palveluperiaatteesta ja 8 §:n neuvontaa koskevasta säännöksestä voidaan katsoa seuraavan, että viranomaisen on järjestettävä lisätietojen antaminen siten, että asiakkaan mahdollinen päätöstä koskeva yhteydenotto ohjautuu viranomaisessa henkilölle, jolla on riittävä asiantuntemus vastata asiakkaan aineellisiin ja menettelyllisiin kysymyksiin. Lisäksi tiedonhallintalain 28 d §:n 1 momentissa ehdotetaan säädettäväksi erikseen, että automatisoidun toimintaprosessin käyttöönottopäätökseen on sisällytettävä viranomaisen yhteystieto, josta saa lisätietoa automatisoidun toimintaprosessin käytöstä. 

Voimaantulo- ja siirtymäsäännökset. Lainkohta sisältää voimaantulosäännöksen ja siirtymäsäännökset. 

7.2  Laki julkisen hallinnon tiedonhallinnasta

2 §. Määritelmät. Lain 2 §:n 1 momenttiin ehdotetaan lisättäväksi kaksi uutta kohtaa asian automaattisen ratkaisemisen kannalta keskeisten käsitteiden määrittelemiseksi. Lisäämisen johdosta 14 kohtaan tehtäisiin tekninen muutos. 

Pykälän 1 momentin uudessa 15 kohdassa määriteltäisiin automatisoitu toimintaprosessi. Tiedonhallintalaissa automaattisen asian ratkaisun tuottavasta prosessista käytettäisiin sääntelykohteena nimitystä automatisoitu toimintaprosessi. Tiedonhallintalaissa on jo entuudestaan määritelty toimintaprosessi, jolla tarkoitetaan viranomaisen asiankäsittely- tai palveluprosessia. Määritelmässä viitattaisiin hallintolain ehdotettuun uuteen 53 e §:ään, jossa olisi säädetty asian automaattisen ratkaisemisen edellytyksistä. Automatisoitu toimintaprosessi olisi siis viranomaisen asiankäsittely- tai palveluprosessi, jossa tuotetaan hallintolain 53 e §:ssä tarkoitettu automaattinen ratkaisu. Määritelmä vaikuttaa siis myös ehdotetun 6 a luvun soveltamisalaan, jota on perusteltu tarkemmin jäljempänä ehdotetun 3 §:n muutoksen yhteydessä. 

Pykälän 1 momentin uudessa 16 kohdassa määriteltäisiin käsittelysäännöt. Käsittelysäännöillä tarkoitettaisiin luonnollisen henkilön ennalta laatimia sääntöjä, jotka on tarkoitettu automaattisen tietojenkäsittelyn ohjaamiseen. Niillä ohjattaisiin hallintoasian käsittelyä ja ratkaisemista automaattisessa tietojenkäsittelyssä, kuten mitkä muuttujat vaikuttavat toimintaprosessin etenemiseen sekä miten ja millä perusteilla asian käsittelyssä mahdolliset välitoimet tehdään, missä vaiheessa toimintaprosessiin osallistuu luonnollinen henkilö, ja miten asian ratkaisu muodostetaan toimintaprosessissa. Käsittelysääntöihin kuuluisivat myös säännöt, joiden perusteella asia otetaan automatisoituun toimintaprosessiin tai siirretään siitä pois luonnollisen henkilön käsiteltäväksi.  

Käsittelysäännöllä ei tarkoitettaisi ohjelmointikielellä laadittua koodia, vaan luonnollisella kielellä laadittua asiantuntijan kuvausta siitä, miten lainsäädännöstä tulevat edellytykset muutetaan tietojenkäsittelyksi ja miten luonnollisen henkilön rooli toimintaprosessissa korvataan soveltuvin osin automaattisella tietojenkäsittelyllä. Käsittelysääntöjen laadinta edellyttää siis laatijaltaan automatisoitavan toimintaprosessin tuntemista, oikeudellista harkintaa sekä tietojenkäsittelyn toimintaperiaatteiden ymmärtämistä. Käsittelysääntöjä voitaisiin dokumentoida luonnollisen kielen lisäksi myös visuaalisin keinoin, kuten vuokaavioiden avulla. Käsittelysääntöjen luonteeseen ja ominaisuuksiin vaikuttaisi myös ehdotettu 28 a §, jonka mukaan käsittelysäännöt on dokumentoitava ja niiden lainmukaisuus on hyväksyttävä viranomaisessa automatisoidun toimintaprosessin valmistelun aikana, jolloin ne on laadittava sellaisessa muodossa, että niiden lainmukaisuutta on mahdollista arvioida. 

Keskeistä käsittelysäännöissä olisi se, että niiden tulisi olla luonnollisen henkilön ennalta laatimia. Tämä olisi keskeinen ihmiskontrollin väline toimintaprosessin automatisoinnin suunnittelu- ja kehittämisvaiheessa. Käsittelysäännöt muuntuvat varsinaisiksi ohjelmistoa tai tietojärjestelmää koskeviksi vaatimuksiksi siten, että automatisoidulle toimintaprosessille asetetaan erilaisia vaatimuksia, joiden mukaisuuden varmistamisesta säädettäisiin 28 b §:ssä.  

3 §. Lain soveltamisala ja sen rajoitukset. Lain 3 §:n 1 momenttia ehdotetaan muutettavaksi siten, että siinä säädettäisiin ehdotetun uuden 6 a luvun soveltamisalasta. Samalla korjattaisiin yliopistolakia koskevassa viittauksessa oleva kirjoitusvirhe. Momenttiin lisättäisiin uusi virke, jonka mukaan lain 6 a lukua sovelletaan automatisoidun toimintaprosessin, eli hallintolain 53 e §:ssä tarkoitetun asian automaattisen ratkaisun tuottavan toimintaprosessin kehittämiseen, käyttöönottoon ja ylläpitoon. Automatisoitu toimintaprosessi olisi tarkemmin määritelty 2 §:n 1 momentin uudessa 15 kohdassa. Uutta 6 a lukua ei sovellettaisi muuhun tiedonhallintaan tai toimintaprosesseihin kuin asian automaattisen ratkaisun sisältävään toimintaprosessiin. Tiedonhallintalain 6 a luvun säännöksiä automatisoidusta toimintaprosessista sovellettaisiin siten automaattiseen ratkaisutoimintaan, joka olisi mahdollistettu hallintolain 8 b luvussa. Soveltamisalan tulkinnassa merkityksellistä olisi se, että toimintaprosessi sisältää hallintolain 53 e §:ssä tarkoitetun automaattisen asian ratkaisun ja että automatisoitu ratkaiseminen täyttäisi 53 e ja 53 f §:ssä säädetyt edellytykset ja asia ratkaistaisiin automaattisesti. Viranomaisella voi olla myös muita automatisoituja toimintaprosesseja, mutta asiaa ei ratkaista automatisoidusti silloin, kun ratkaisun tarkastaa ja hyväksyy luonnollinen henkilö. Tällaisissa tilanteissa ei olisi kyse hallintolain 8 b luvussa tarkoitetusta asian automaattisesta ratkaisemisesta eikä tiedonhallintalain 6 a lukua sovellettaisi toimintaprosessiin. Tiedonhallintalain 6 a luku sisältäisi siten toimintaprosesseihin ja niiden käyttöönottoon kohdistuvia lisävaatimuksia silloin, kun toimintaprosessi kuuluu hallintolain 8 b luvun soveltamisalaan. 

Pykälän 4 momenttia ehdotetaan muutettavaksi siten, että uutta 6 a lukua sovellettaisiin myös yksityisiin henkilöihin tai yhteisöihin taikka muihin kuin viranomaisena toimiviin julkisoikeudellisiin yhteisöihin siltä osin kuin ne hoitavat julkista hallintotehtävää. Koska hallintolain säännökset ja lain ehdotettu uusi 8 b luku koskevat myös muita kuin viranomaisena toimivia, jotka hoitavat julkista hallintotehtävää, on perusteltua ulottaa myös tiedonhallintalain automatisoitua toimintaprosessia koskeva sääntely näihin toimijoihin. Tämä on välttämätöntä myös muissa kuin viranomaisissa tapahtuvan automattisen ratkaisemisen lainmukaisuuden ja hallinnon asiakkaan oikeusturvan varmistamiseksi sekä virkavastuun kohdentamiseksi. Perustuslakivaliokunta on edellyttänyt hallinnon yleislakien soveltamista julkisia hallintotehtäviä hoidettaessa (esimerkiksi PeVL 46/2002 vp, s. 10). Edelleen perustuslakivaliokunnan kannanoton (PeVM 25/1994 vp) mukaan, jos perusoikeussäännösten vaikutukset ulottuvat muuhunkin julkiseen toimintaan kuin valtion nimissä tapahtuvaan, on viranomaistoimintaan rinnastettavan yksityisen oikeussubjektin toiminta katsottava perusoikeuksien kannalta julkiseksi toiminnaksi. Ehdotettavalla sääntelyllä on kiinteä perusoikeuksien turvaamiseen liittyvä sidoksensa. 

Lisäksi 4 momenttiin ehdotetaan teknisiä korjauksia sen selventämiseksi, että sanamuodostaan huolimatta momentissa luetellut säännökset, jotka velvoittavat viranomaisia tai tiedonhallintayksikköjä, koskisivat myös julkista hallintotehtävää hoitavia yksityisiä taikka muuna kuin tiedonhallintayksikkönä tai viranomaisena toimivia julkisoikeudellisia yhteisöjä. 

Pykälän 5 momenttiin tehtäisiin välttämättömät muutokset, jotta Ahvenanmaalla toimivien valtion viranomaisten olisi mahdollista tehdä asioiden automaattisia ratkaisuja niiden hoitaessa valtakunnan viranomaiselle kuuluvia tehtäviä.  

Pykälän 5 momentin ensimmäistä virkettä selkiytettäisiin siten, että virkkeestä poistettaisiin maininta maakunnan ja kunnan viranomaisista. Ahvenanmaan maakuntaa koskeva lainsäädäntövalta jakautuu valtakunnan ja maakunnan kesken Ahvenanmaan itsehallintolain perusteella, mistä syystä 5 momentin säännös on maakunnan ja kunnan viranomaisten osalta tarpeeton. Tältä osin momentin muuttaminen ei muuttaisi nykytilaa, mutta sääntelyteknisesti toimivallanjaon perusteet selkiytyisivät. Jatkossakin tiedonhallintalain soveltaminen maakunnan ja kunnan toimintaan määräytyisi itsehallintolain perusteella. 

Lisäksi momenttiin ehdotetaan lisättäväksi toinen virke, jonka mukaan lain 13 a §:ää ja 6 a lukua sovellettaisiin Ahvenanmaalla toimiviin valtion viranomaisiin niiden hoitaessa valtakunnan lainsäädäntövaltaan kuuluvia viranomaistehtäviä, joissa tehdään hallintolain 53 e §:ssä tarkoitettuja asian automaattisia ratkaisuja. 

Voimassa olevan tiedonhallintalain 3 §:n 5 momentin mukaan tiedonhallintalakia ei sovelleta Ahvenanmaalla toimiviin valtion viranomaisiin. Koska hallintolaki tulee sovellettavaksi Ahvenanmaalla toimiviin valtion viranomaisiin niiden hoitaessa valtakunnan viranomaiselle kuuluvia tehtäviä, on välttämätöntä, että myös tiedonhallintalain 13 a §:ssä ja 6 a luvussa säädettyjä edellytyksiä sovellettaisiin Ahvenanmaalla toimiviin valtion viranomaisiin niiden tehdessä automaattisia ratkaisuja. Jos ehdotettua tiedonhallintalain 13 a §:ää ja 6 a lukua ei sovellettaisi Ahvenanmaalla toimiviin valtion viranomaisiin silloin, kun ne hoitavat valtakunnan viranomaiselle kuuluvia tehtäviä ja soveltavat valtakunnan hallintolakia, ajauduttaisiin tilanteeseen, jossa valtion viranomainen ei voisi tehdä hallintolaissa tarkoitettua asian automaattista ratkaisua Ahvenanmaalla. Tiedonhallintalain 6 a luvun soveltamiseen vaikuttaisivat kuitenkin erityislainsäädännössä säädetyt valtakunnan viranomaisen ja Ahvenanmaan viranomaisen tehtäväjakoa koskevat säännökset esimerkiksi tietojärjestelmään liittyvien vastuiden osalta. Otettaessa käyttöön automatisoitu toimintaprosessi, on arvioitava erikseen, miten toimivaltasuhteet tosiasiallisesti toteutetaan valtakunnan viranomaisen ja Ahvenanmaalla valtakunnan viranomaiselle kuuluvia tehtäviä hoitavan viranomaisen välillä. Tarvittaessa nämä toimivaltasuhteet tulisi ratkaista erityislainsäädännössä. 

Tiedonhallintalain soveltamisessa Ahvenanmaan maakunnassa toimiviin valtion viranomaisiin ja valtakunnan viranomaiselle kuuluvien tehtäviä hoitaviin viranomaisiin on todettu kehittämistarpeita muun muassa asianhallinnan ja tietoturvallisuuden sääntelyn osalta. Tiedonhallintalain laajemman soveltamisen selvittäminen näissä tilanteissa vaatii erillisen perusteellisen valmistelun, joten soveltamisalaa ei ehdoteta tässä yhteydessä laajennettavaksi.  

13 a §.Häiriötilanteista tiedottaminen ja varautuminen häiriötilanteisiin. Tiedonhallintalakiin ehdotetaan lisättäväksi uusi 13 a §, jossa säädettäisiin viranomaisen tiedottamisvelvollisuudesta tiedonhallinnan häiriötilanteissa sekä tiedonhallintayksikön varautumisvelvoitteista tietoaineistojen käsittelyssä ja tietojärjestelmien hyödyntämisessä. Automatisoidut prosessit tukeutuvat pitkälti tietoaineistojen käsittelyyn sekä tietojärjestelmien hyödyntämiseen, joskin viranomaisten toiminta muutoinkin on suuressa määrin riippuvaista näistä. Automatisoiduissa toimintaprosesseissa hyödynnettävät tietoaineistot ja tietojärjestelmät eivät aina ole pelkästään viranomaisen omia, mistä syystä säännöksen soveltamista ei rajattaisi vain automatisoituja toimintaprosesseja käyttäviin viranomaisiin.  

Pykälän 1 momentin mukaan viranomaisen olisi viipymättä tiedotettava sen tietoaineistoja hyödyntäville, jos sen tiedonhallintaan kohdistuu häiriö, joka estää tai uhkaa estää viranomaisen tietoaineistojen saatavuuden. Viranomaisen on tiedotettava häiriön tai sen uhkan arvioidusta kestosta sekä mahdollisuuksien mukaan korvaavista tavoista hyödyntää viranomaisen tietoaineistoja. Myös häiriön tai uhkan päättymisestä olisi tiedotettava. 

Tiedonhallintayksiköiden ja viranomaisten toiminta sekä varsinkin niiden automatisoidut toimintaprosessit ovat pitkälti riippuvaisia niiden omien sekä muiden viranomaisten tietojärjestelmien toiminnasta ja tiedon saatavuudesta. Monet muutkin yhteiskunnan sektorit sekä yksityiset henkilötkin tarvitsevat viranomaisen tietoaineistoja päivittäisissä toiminnoissaan. Tästä syystä on tärkeää, että tiedot mahdollisista häiriöistä ja niiden kestosta sekä vaihtoehtoisista tavoista hyödyntää tietoaineistoja saavuttavat tietoaineistoja hyödyntävät tahot. Säännöksen vaatimus korostuu entisestään, kun sähköisestä asioinnista muodostuu ensisijainen tapa asioida ja kun sähköiset palvelut ovat ajasta riippumatta saatavilla ja ne ovat riippuvaisia viranomaisten tietoaineistojen saatavuudesta. 

Tapa, jolla käyttökatkoista ja palvelun saatavuudesta tiedotetaan, jää viranomaisen harkintaan. Tiedottaminen olisi mahdollista esimerkiksi viranomaisen yleisillä verkkosivuilla tai asiayhteyteen muuten olennaisesti liittyvällä muulla verkkosivulla. Tiedottamisen tapaan vaikuttaisi se, kenelle tiedotetaan. Vakiintuneille yhteistyötahoille ja viranomaisen tietoaineistoista keskeisesti riippuvaisille tiedottaminen voisi olla kohdennetumpaa kuin luonnollisille henkilöille suunnattu tiedottaminen.  

Viranomaisen olisi myös tiedotettava mahdollisuuksien mukaan korvaavista tavoista hyödyntää viranomaisen tietoaineistoja. Lisäksi tulisi kertoa häiriön arvioitu kesto – eli tieto siitä, koska arvioidaan tietoaineistojen olevan saatavilla normaalisti. 

Ehdotettuun 2 momenttiin sisältyisi informatiivinen viittaus digipalvelulain 4 §:n 2 momenttiin, jossa säädetään digitaalisten palvelujen ja muiden sähköisten tiedonsiirtomenetelmien käyttökatkoista tiedottamisesta yleisölle. Mainitun lain kohdan mukaan viranomaisen on tiedotettava digitaalisten palvelujensa ja muiden tiedonsiirtomenetelmien käyttökatkoista sopivalla tavalla ennalta yleisölle. Viranomaisen on myös julkaistava käyttökatkon ajaksi ohjeet, miten jokainen saa asiansa hoidetuksi vaihtoehtoisella tavalla.  

Pykälän 3 momentissa säädettäisiin varautumisesta häiriötilanteisiin. Tiedonhallintayksikön olisi varauduttava toiminnassaan siihen, että tietojärjestelmät vikaantuvat tai niiden toiminta muusta syystä estyy. Tiedonhallintayksikön tulee pyrkiä turvaamaan tietojärjestelmien mahdollisimman häiriötön toiminta kaikissa tilanteissa, minkä lisäksi sen tulisi varautua turvaamaan tietojen käsittelyn ja sitä kautta toiminnan jatkuvuus myös tilanteissa, joissa tietojärjestelmää ei voida käyttää. Tämä edellyttää myös varautumista vaihtoehtoisten asiointimuotojen käyttöönottoon, mikäli automatisoitua toimintaprosessia ei voida hyödyntää viranomaisen oman tietojärjestelmän häiriön taikka prosessissa hyödynnettävien muiden viranomaisten tietovarantojen käytön häiriötilanteissa. 

Pykälä sisältäisi osin vastaavaa sääntelyä kuin on jo valmiuslain 12 §:ssä. Varautumisvelvollisuudesta on säädetty myös toimialakohtaisessa erityislainsäädännössä. Säännöksessä velvoitettaisiin tiedonhallintayksiköitä ja muita julkista hallintotehtävää hoitavia kiinnittämään varautumisessa erityistä huomiota myös varautumiseen tiedonhallinnassa. Valmiuslain ja muiden lakien perusteella poikkeusoloihin varautumisen lisäksi ehdotettu varautumisvelvollisuus koskisi myös normaaliolojen häiriötilanteita. Pykälää sovellettaisiin 3 §:n 4 momentin johdosta myös yksityisiin henkilöihin tai yhteisöihin taikka muihin kuin viranomaisena toimiviin julkisoikeudellisiin yhteisöihin siltä osin kuin ne hoitavat julkista hallintotehtävää.  

Säännös velvoittaa tiedonhallintayksiköitä, joiden tehtävänä olisi huolehtia myös normaaliolojen varautumisen suunnittelusta. Käytännössä tiedonhallintayksikön olisi varautumisessa tehtävä tarkoituksenmukaista yhteistyötä sen yhteydessä toimivan viranomaisen sekä muiden viranomaisten kanssa. 

Tiedonhallintayksikön olisi selvitettävä olennaiset tietoaineistojen käsittelyn, tietojärjestelmien hyödyntämisen sekä niihin perustuvan toiminnan jatkuvuuteen kohdistuvat riskit. Riskejä ovat tietojärjestelmän vikaantumisen lisäksi esimerkiksi riippuvuudet muiden hallinnassa olevista tietoaineistoista ja –järjestelmistä, häiriöt sähkönsyötössä tai viestintäverkkojen ja -palvelujen toiminnassa, sekä toimitusketjujen kriittisyys ja niiden varautumisen taso. Tietojärjestelmätoimittajien ja muiden sopimuskumppaneiden kanssa tehtävissä sopimuksissa olisi myös huomioitava viranomaisen toiminnan jatkuvuuteen liittyvät näkökohdat riskiarvion perusteella. 

Tiedonhallintayksikön olisi riskiarvioinnin perusteella huolehdittava valmiussuunnitelmin, häiriötilanteissa tapahtuvan toiminnan etukäteisvalmisteluin ja muilla toimenpiteillä, että sen tietoaineistojen käsittely, tietojärjestelmien hyödyntäminen ja toiminta jatkuvat mahdollisimman häiriöttömästi normaaliolojen häiriötilanteissa sekä valmiuslaissa tarkoitetuissa poikkeusoloissa.  

Riskiarvioinnissa tulisi ottaa huomioon tietoaineistojen ja tietojärjestelmien kriittisyys, tunnistettujen riskien kriittisyys ja todennäköisyys sekä jatkuvuuden turvaamisen mahdollisuudet ja eritasoisten jatkuvuutta turvaavien toimenpiteiden kustannukset.  

Häiriötilanteissa tai poikkeusoloissa toimimisen etukäteisvalmistelut ja muut toimenpiteet voisivat käsittää esimerkiksi teknisiä ja rakenteellisia etukäteisvalmisteluja sekä tilojen ja kriittisten resurssien varauksia. Esimerkiksi tarpeellisilla olosuhdehälytyksillä ja seurannalla varmistetaan, että viranomainen saa tiedon tietojärjestelmän häiriötilanteesta mahdollisimman varhain. Tarpeen mukaan olisi myös toteutettava esimerkiksi tehonsyötön varmistaminen sekä tietoliikenneyhteyksien reittivarmistukset. Etukäteisvalmisteluihin kuuluisivat myös osaamisen varmistaminen henkilöstön ohjeistamisella ja kouluttamisella sekä häiriötilanteissa ja poikkeusoloissa tapahtuvan toiminnan harjoittelulla ennalta. Viranomaisen päätöksenteon sekä muun toiminnan jatkuvuuden turvaaminen edellyttää myös tarpeenmukaisia ennalta suunniteltuja sijaisuusjärjestelyjä.  

Myös häiriötilanteiden viestinnän suunnittelu on osa varautumista. Viranomaisen olisi suunniteltava, miten se tiedottaa muille viranomaisille 1 momentissa tarkoitetulla tavalla myös häiriötilanteissa. Viestinnän suunnittelu kuuluu häiriötilanteissa ja poikkeusoloissa tapahtuvan toiminnan etukäteisvalmisteluihin ja siinä tulisi erityisesti kiinnittää huomiota niille viranomaisille tiedottamiseen, joiden toiminta on riippuvaista viranomaisen tietojärjestelmän toiminnasta. Esimerkiksi automaattisen päätöksenteon tukeutuminen ulkoisiin tietovarantoihin edellyttää varmuutta tietojen saantiin, sekä sovittuja menettelyjä, joilla häiriötilanteissa tietojärjestelmät pystyvät toimimaan, tai vähintäänkin ilmoittamaan häiriöstä. Yleisölle tiedottamisenkin osalta on ehdotetun 3 momentin perusteella etukäteen suunniteltava häiriötilanteiden ja poikkeusolojen viestintä sekä digitaalisten palvelujen että muutoinkin tietoaineistojen saatavuuden osalta– suunnitelmassa on otettava huomioon myös tiedottaminen yleisölle tarjottavien palvelujen järjestelyistä. 

Pykälän 4 momenttiin sisältyisi informatiivinen viittaus valmiuslakiin. 

14 §.Tietojen siirtäminen tietoverkossa. Pykälän 2 momenttiin tehtäisiin tekninen muutos poistamalla digitaalisten palvelujen tarjoamisesta annetun lain säädöskokoelmanumero, koska jatkossa kyseessä oleva laki mainittaisiin ensimmäisen kerran lain 13 a §:ssä. 

26 §.Asiarekisteriin rekisteröitävät tiedot. Pykälään ehdotetaan tehtäväksi muutoksia, jotka ovat tarpeellisia automatisoidun toimintaprosessin ja muutenkin sähköisen asiankäsittelyn asianhallinnan järjestämiseksi siten, että jälkikäteen voidaan todentaa asianhallinnasta asiankäsittelyyn liittyvät keskeiset seikat. 

Pykälän 4 momenttia ehdotetaan muutettavaksi siten, että siihen lisättäisiin 4 kohta, jonka mukaan viranomaisen laatimasta asiakirjasta rekisteröitäisiin asiarekisteriin tiedot asiakirjan lähettämisajankohdasta ja lähettämistavasta. Tiedot tulisi rekisteröidä asiarekisteriin, jos asiakirja lähetetään viranomaisesta jollekin ulkopuoliselle toimijalle, kuten asianosaiselle tai toiselle viranomaiselle. Automatisoidussa toimintaprosessissa on kerättävä kontrollitietoa muun muassa lähtevästä ja saapuvasta asiakirjaliikenteestä. Tästä syystä, jos viranomaisen laatima asiakirja lähetetään viranomaisesta jollekin taholle, tulisi asiarekisteriin rekisteröidä lähettämisajankohta sen todentamiseksi, milloin lähetys on tapahtunut. Asiarekisteriin tulisi myös tehdä merkintä lähettämistavasta, jolla tarkoitetaan tapaa, jolla asiakirja on lähetetty, kuten postitse, sähköpostilla tai muulla vastaavalla tavalla. Lähettämisen ajankohta ja tapa ovat keskeisiä erilaisten hallinnon asiakkaan oikeusturvan liittyvien määräaikojen seurannan kannalta, kuten selvityspyyntöjen sisältämien määräaikojen tai tiedoksiantoon liittyvien lakisääteisten määräaikojen kannalta. Tästä syystä ehdotetut muutokset koskisivat kaikkia tiedonhallintalain soveltamisalassa olevia toimijoita eivätkä pelkästään automatisoitujen toimintaprosessin yhteydessä lähetettäviä asiakirjoja.  

Pykälän 5 momenttia ehdotetaan muutettavaksi siten, että momenttiin lisättäisiin uudet 4–5 kohdat. Lisäykset ovat tarpeellisia automatisoidun asiaratkaisuun liittyvien toimien todentamiseksi asiarekisteristä, mutta koska lisäykset ovat keskeisiä yleensäkin hallinnon asiakkaiden oikeusturvan kannalta, ei niitä rajattaisi koskemaan pelkästään automaattisesti tuotettuja ratkaisuja. Uuden 4 kohdan mukaan asiarekisteriin tulisi rekisteröidä tieto viranomaisen tekemän asiankäsittelyn päättävän ratkaisun ajankohdasta. Säännöksellä tarkoitetaan tyypillisesti hallintopäätöstä, mutta asian ratkaisu voisi olla myös rekisterimerkinnän tekeminen, lausunnon antaminen tai muu hallintoasiaan liittyvä viranomaisen ratkaisu, joka päättää viranomaisessa varsinaisen hallintoasian käsittelyn. Asiankäsittelyn päättävän ajankohdan rekisteröinti on tärkeää sen varmistamiseksi, millainen sääntelytila on vallinnut ratkaisuhetkellä, mikä automatisoitu toimintaprosessin versio ratkaisuhetkellä on ollut käytössä, ja onko mahdollista lakisääteistä enimmäiskäsittelyaikaa noudatettu. Uuden 5 kohdan mukaan viranomaisen lähettämien asiakirjojen tiedoksiantotapa tulisi myös tarvittaessa ilmetä asiarekisteristä. Viranomainen voi antaa asiakirjat tiedoksi postitse, sähköisesti tai yleistiedoksiantona. Tiedoksiantotavasta on säädetty muualla lainsäädännössä kuten hallintolaissa ja sähköisestä asioinnista viranomaistoiminnassa annetussa laissa. Tiedoksiantotavalla on merkitystä muun muassa määräaikoja laskettaessa. Esimerkiksi postitse ja sähköisesti tapahtuvan tiedonannon johdosta tapahtuva määräaikojen laskeminen tapahtuu eri perusteilla. Tiedoksiantotapaa koskeva merkintä tulisi tehdä tarvittaessa, jos asiakirja lähetään hallintoasioissa tiedoksiantotarkoituksessa. Tiedoksiantotapaa koskeva merkintä olisi tarpeellinen automatisoidussa toimintaprosessissa, jotta asiarekisteristä voidaan todentaa, miten esimerkiksi hallintopäätös on annettu automaattisesti tiedoksi asianosaiselle. Koska momenttiin lisätään uusi 4 ja 5 kohta, 3 kohtaan tehdään tekninen muutos. 

6 a luku Automatisoitujen toimintaprosessien kehittämisen ja käytön tiedonhallinta 

Tiedonhallintalakiin ehdotetaan lisättäväksi uusi 6 a luku. Ehdotettujen säännösten sijoittaminen omaan lukuunsa on perusteltua siksi, että luvun säännökset koskisivat ainoastaan automatisoitua toimintaprosessia. 

28 a §. Automatisoidun toimintaprosessin kehittämisen olennainen dokumentaatio. Pykälässä säädettäisiin automatisoidun toimintaprosessin kehittämiseen liittyvästä olennaisesta dokumentaatiosta. Käytännössä viranomaisen olisi dokumentoitava, millaista oikeudellista harkintaa viranomainen on tehnyt automatisoidun toimintaprosessin käyttöönottamiseksi. Varsinaiset dokumentoitavat vaatimukset perustuvat muualla lainsäädännössä säädettyyn ja siitä johtuviin velvollisuuksiin. Esimerkiksi asiankäsittelyssä noudatettavasta menettelystä ja kuulemisvelvollisuudesta sekä oikeudellisen harkinnan perusteista on säädetty erikseen yleislainsäädännössä sekä erityislainsäädännössä. Dokumentoinnin kohteena olisivat hyvän hallinnon ja oikeusturvan toteuttamisen kannalta keskeiset seikat sekä käsittelysäännöt, jotta voitaisiin selvittää, millä käsittelysäännöillä prosessi on suunniteltu toteutettavaksi ja minkälaisen etukäteisen oikeudellisen harkinnan lopputuloksena automatisoidun prosessin on suunniteltu toimivan. Hallintolaki sisältäisi puolestaan säännökset, joiden perusteella automatisoitua asian ratkaisemista voitaisiin käyttää hallintoasioissa, sekä keskeiset hallintoasian käsittelyä koskevat säännökset. 

Pykälän 1 momentissa säädettäisiin viranomaiselle velvollisuus dokumentoida toimintaprosessin automatisoinnin kehittämisen, käytön ja valvonnan tehtävänjako. Säännöksen tarkoituksena olisi velvoittaa viranomaisia dokumentoimaan automatisoidun päätöksenteon valmisteluun, päätöksentekoon ja laadunvalvontaan osallistuvien henkilöiden tehtävänjako ja yksilöimään nämä henkilöt, jolloin myös olisi selvää, keneen 6 a luvussa säädetyt velvollisuudet kohdistuvat. Säännös on tarpeellinen virkamiesten ja muiden tehtävävastuussa olevien henkilöiden oikeusturvan kannalta, koska virkavastuuta määriteltäessä ei voi jäädä epäselväksi, kenelle laissa säädetyt velvollisuudet kuuluvat ja keneltä edellytetään laissa säädetystä johtuvia virkatoimia. Koska tiedonhallinnassa ja tietojärjestelmien kehittämisessä erilaiset vastuut eivät tyypillisesti ole selkeitä, on tarpeen säätää erikseen laissa, että tehtävät ja niihin liittyvät vastuut dokumentoidaan riittävästi. Tällaiset vastuut voidaan dokumentoida osittain virallisiin työjärjestyksiin, johtosääntöihin tai hallintosääntöihin, mutta käytännössä vastuita voi olla myös kirjattuna tiedonhallintalaissa säädettyyn tiedonhallintamalliin sekä erilaisiin hanke- ja projektisuunnitelmiin. Laissa ei siten säädettäisi, mihin asiakirjoihin nämä vastuut määritellään tai kuka ne määrittelisi, vaan tämä ratkaistaan viranomaisessa sisäisen tehtävä- ja toimivaltamääräysten mukaisesti. Näistä päättää siten viranomaisessa toimivaltainen toimielin, virkamies tai muu toimihenkilö.  

Tiedonhallintalain 4 §:n 2 momentin 1 kohdassa on säädetty siitä, että tiedonhallintayksikön johdon on huolehdittava siitä, että tiedonhallintayksikössä on määritelty tässä ja muussa laissa säädettyjen tiedonhallinnan toteuttamiseen liittyvien tehtävien vastuut. Siten jo olemassa oleva sääntely edellyttää, että tiedonhallinnan yleiset vastuut on pitänyt määritellä viranomaisorganisaatiotasolla, jonka perusteella voidaan antaa esimerkiksi työnjohdollisia määräyksiä vastuista ja tehtävistä tiedonhallinnan toteuttamiseksi käytännössä. Säännöksen tarkoituksena olisi suhteessa 4 §:n 2 momenttiin tarkentaa, että vastuut tulee määritellä yksiselitteisesti, konkreettisesti ja henkilötasolla, kun automatisoitua toimintaprosessia kehitetään ja otetaan käyttöön. Tarkkarajainen ja täsmällinen vastuiden määrittely korostaisi velvollisuuksia toteuttaa niitä tehtäviä, joista 6 a luvussa olisi säädetty.  

Pykälän 2 momentin ensimmäisessä virkkeessä säädettäisiin viranomaiselle velvollisuus varmistaa, että automatisoituun toimintaprosessiin liittyvät menettelytavat ja käsittelysäännöt sekä niitä koskeva etukäteinen harkinta on dokumentoitu selkeästi ja kattavasti. Etukäteisyydellä korostettaisiin sitä, että automatisoidun toimintaprosessin toteuttamisessa tapahtuva harkinta on tehtävä ennen sen käyttöönottoa eikä vasta sen jo ollessa käytössä, ja että viranomainen tekee tällaisen harkinnan. 

Viranomaiselle muodostuisi velvollisuus varmistaa automatisoitujen toimintaprosessien kehittämisen dokumentoinnin selkeys ja kattavuus, jolloin muodostettavasta dokumentaatiosta tulisi ilmetä, miten automatisoidun toimintaprosessin on määritelty toimivan tuotantokäytössä ja minkälaiseen etukäteiseen harkintaan automatisoidut toimintaprosessit pohjautuvat. Lisäksi viranomaisen tulisi varmistaa, että dokumentaatio on ajantasaista ja siten vastaa toimintaprosessin toimintaa. Ajantasaisuudesta huolehtiminen olisi merkityksellistä muun muassa siitä syystä, että dokumentaatiosta pitää pystyä todentamaan tietyllä ajan hetkellä voimassa olevat käsittelysäännöt, johon automatisoidussa toimintaprosessissa tapahtuva asioiden ratkaisu perustuu. 

Säännöksen perusteella viranomaiselle ei säädettäisi suoraa dokumentointivelvollisuutta, koska osa dokumentaatiosta voi olla hankittavan tietojärjestelmän dokumentaatiota, jolloin vain osa dokumentaatiosta olisi itse viranomaisen tuottamaa. Viranomaiselle kohdistettu vastuu on sen varmistaminen, että dokumentaatio on olemassa ja että se täyttää laissa säädetyt vaatimukset. Viranomaisella olisi velvollisuus tuottaa tai tilata dokumentaatiota siltä osin kuin sitä ei ole saatavissa esimerkiksi tietojärjestelmän valmiista dokumentaatiosta. Oikeudelliseen etukäteen tehtävään harkintaan liittyvä dokumentointi liittyy keskeisesti julkisen vallan käyttöön eikä viranomainen voi tällaisia tehtäviä antaa yksityiselle ilman nimenomaista lakitasoista säännöstä perustuslain 124 §:ssä säädetyt rajoitukset huomioiden. Tässä laissa ei ehdoteta yleisesti säädettäväksi, että viranomainen voisi siirtää yksityiselle tehtävän määritellä oikeudellisesti merkityksellisiä käsittelysääntöjä automatisoituun toimintaprosessiin tai että yksityinen voisi tehdä syrjimättömyyteen, perusoikeuksien toteutumiseen tai vastaavaan liittyvää oikeudellista harkintaa viranomaisen puolesta. Selvää on, että oikeudellista harkintaa sisältävä määrittely ja dokumentointi on tehtävä viranomaisessa, kuten myös menettelytapojen ja käsittelysääntöjen määrittely, ellei erikseen laissa ole säädetty mahdollisuudesta antaa näitä tehtäviä yksityiselle tai elleivät ne sisälly muuten sellaisen julkisen hallintotehtävän hoitamiseen, jonka antaminen yksityiselle on mahdollistettu laissa. Sen sijaan teknisluonteista määrittelyä ja siihen liittyvää dokumentointia, kuten valmisohjelmiston tekninen toimintalogiikka, tietojärjestelmän tekninen toteuttaminen tai tekninen arkkitehtuuri, yksityiset tekevät kehittäessään tuotteitaan, eivätkä tässä laissa säädetyt velvollisuudet kohdistu suoraan yksityisiin toimijoihin niiden tietojärjestelmien ja ohjelmistojen kehittämistyössä. Kuitenkin viranomaisen tulee varmistaa tällaisenkin dokumentaation lainmukaisuus sekä tarkastaa ja hyväksyä 3 momentissa säädetyllä tavalla tällainen dokumentaatio, jos se sisältää tässä tai muussa laissa säädettyjä dokumentoitavia tietoja toimintaprosessista. 

Viranomainen määrittelee tietojärjestelmän keskeiset asiankäsittelyyn vaikuttavat käsittelysäännöt ja vastaa siitä, että automatisoitu toimintaprosessi täyttää laissa säädetyt edellytykset ja menettelyvaatimukset. Momentin ensimmäisessä virkkeessä menettelytavoilla tarkoitetaan niitä dokumentoituja kuvauksia, joista ilmenee, miten asia käsitellään automatisoidusti viranomaisen tietojärjestelmissä. Käytännössä nämä ovat niitä 1–9 kohdassa tarkoitettuja tietoja, jotka eivät liity käsittelysääntöihin, kuten perusteet kuulemisen toteuttamisesta automaattisesti tai laadunvalvontaa koskevat toiminnallisuudet.  

Hallintolaissa ehdotetun perusteella automatisoidussa toimintaprosessissa voisi olla myös käsittelyvaiheita, joissa luonnollinen henkilö käsittelee asiaa, jonka jälkeen toimintaprosessi etenee automaattisesti tehtävään asian ratkaisemiseen. Käsittelysäännöt voisivat vaikuttaa myös siihen, missä vaiheissa työnkulkua luonnollinen henkilö osallistuisi asiankäsittelyyn toimintaprosessin sisällä. Asiankäsittelyn siirtäminen luonnolliselle henkilölle voisi perustua esimerkiksi viranomaisen tekemään riskiarvioon, tavallisesta poikkeaviin tietoihin kuten epätavallisen suuriin tai pieniin lukuarvoihin, tai siihen, että tietty käsittelyvaihe edellyttää luonnollisen henkilön tekemää harkintaa. Lisäksi automatisoidussa toimintaprosessissa oleva asia voitaisiin ohjata luonnolliselle henkilölle esimerkiksi sisäisen laillisuusvalvonnan tai laadunvalvonnan toteuttamiseksi satunnaisotannalla.  

Pykälän 2 momentin toisessa virkkeessä olisi säädetty dokumentoinnin sisällön minimivaatimuksista. Momentin 1 kohdan mukaan viranomaisen olisi dokumentoitava toimintaprosessin kaikki vaiheet, joilla on vaikutusta asian ratkaisuun. Säännöksen tarkoituksena on varmistaa, että viranomaisen toimintaprosessin keskeinen sisältö on kehittämisvaiheessa kuvattava riittävästi siten, että siitä saa käsityksen, millaisella työnkululla automatisoitu ratkaisu on suunniteltu muodostuvaksi ja mihin sääntelyyn käsittelyvaiheet perustuvat.  

Momentin 2 kohdassa säädettäisiin kuhunkin käsittelyvaiheeseen sisältyvien käsittelysääntöjen dokumentointivelvollisuudesta. Jotta asia voidaan käsitellä ja ratkaista viranomaisessa automaattisesti, on viranomaisen määriteltävä, millä käsittelysäännöillä asia käsitellään automaattisesti toimintaprosessissa sekä minkälaisia vaihtoehtoja ja muuttujia kuhunkin käsittelyvaiheeseen voi suunnitellusti sisältyä. Ehdotetun hallintolain 53 e §:n mukaisesti käsittelysäännöt tulee laatia soveltuvaan lakiin perustuen, ja ehdotetun tiedonhallintalain 2 §:n 1 momentin 16 kohdan mukaisesti käsittelysäännöt laatisi aina luonnollinen henkilö. Jos automaattiseen asian ratkaisemiseen liittyy asianosaiseen liittyviä valikointiin johtavia syitä, tulisi myös tällaiset valintasäännöt kuvata osana käsittelysääntöjä ja lisäksi dokumentoida perusteet tällaiselle valikoinnille.  

Momentin 3 kohdassa säädettäisiin vielä erikseen siitä, että dokumentaatiossa tulisi esittää perusteet sille, miten viranomainen on varmistanut käytettävien käsittelysääntöjen syrjimättömyyden tilanteissa, joissa automaattisesti käsiteltävät asiat valikoituvat asianosaiseen liittyvien syiden vuoksi. Syrjimättömyyden arviointiin vaikuttavat hallintolain 6 §:ssä säädetyt hallinnon oikeusperiaatteet, perustuslain 6 ja 22 §, tasa-arvolain 5 §:ssä säädetty viranomaisen velvollisuus edistää yhdenvertaisuutta, yhdenvertaisuuslain 3 luvussa säädetyt syrjinnän ja vastatoimien kiellot sekä Suomea sitovat kansainväliset velvoitteet. Automatisoituun toimintaprosessiin valikointi ei saisi käytännössä muualla säädetyn perusteella kohdistua yksin johonkin asianosaisen syrjintäperusteeseen, kuten ikään, sukupuoleen, rotuun tai etniseen alkuperään, mutta valikointiin voisi vaikuttaa kuitenkin yhtenä perusteena hyväksyttävissä tilanteissa esimerkiksi asianosaisen ikä. Tämä olisi merkityksellistä erityisesti tilanteissa, joissa toimintaprosesseissa käsiteltäisiin alaikäisten asioita, jolloin viranomaisella saattaa olla hyväksyttävänä valikointiperusteena automaattisen asiankäsittelyn sijaan manuaalikäsittely alaikäisen oikeuksien turvaamisen tai varmistamisen vuoksi. Niin ikään erilaisten etuuksien myöntämisen yhteydessä valikointiin tai muihin käsittelysääntöihin voi vaikuttaa henkilön ikä. Käsittelysäännöt määriteltäisiin tai ne määräytyisivät muun lainsäädännön ja niihin liittyvän tulkinnan perusteella, joka tehdään viranomaisessa etukäteen siinä vaiheessa, kun viranomainen suunnittelee automatisoidun toimintaprosessin käyttöönottoa tai muutoksia käytössä olevaan automatisoituun toimintaprosessiin. Ehdotettu säännös tarkoittaisi näiden perusteiden dokumentointia osaksi toimintaprosessin dokumentaatiota. Syrjimättömyyden varmistaminen olisi kuitenkin kehittämistyöhön kohdistuva olennainen vaatimus, jota voidaan pitää perusoikeuksien kannalta merkityksellisenä dokumentoinnin kohteena, jolla voidaan myös varmistaa se, että viranomainen tekee kehittämisvaiheessa tosiasiallisesti harkintaa, millä asianosaiseen liittyvillä syillä toimintaprosesseissa voidaan tehdä valikointia. 

Momentin 4 kohdan perusteella viranomaisen automatisoidun toimintaprosessin dokumentaatiosta tulisi ilmetä perusteet sille, miten perustuslain 21 §:ssä säädetty asianosaisen oikeus tulla kuulluksi toteutetaan tai millä perusteella viranomainen katsoo, ettei kuulemista ole tarve lailliseen perusteeseen vetoamalla toteuttaa. Säännöksen tarkoituksena on edellyttää viranomaisen tekevän tietoisen arvioinnin siitä, että asianosaisen oikeus tulla kuulluksi tosiasiallisesti toteutuu. Dokumentoinnista tulisi ilmetä kuulemisen toteuttamisen järjestelyt, kuten se, miten kuuleminen toteutetaan osana automatisoitua prosessia, millä kielellä kuuleminen milloinkin tapahtuu, miten kuulemisessa asianosaiselta saadut tiedot käsitellään, sekä se, miten vastine otetaan huomioon automatisoidussa käsittelyssä, vai ohjautuuko vastineen perusteella asia luonnollisen henkilön käsiteltäväksi viranomaisessa. Hallintolaissa ja muualla lainsäädännössä on säädetty perusteista, jolloin asianosaisen kuulemisesta voidaan poiketa. Jos muualla lainsäädännössä säädetyt edellytykset täyttyvät, tulisi dokumentaatiosta ilmetä viranomaisen perustelut sille, että se voi järjestelmällisesti poiketa määriteltyjen käsittelysääntöjen perusteella kuulemisvelvollisuudestaan. Käytännössä, jos viranomainen ei voi toteuttaa asianosaisen kuulemista automatisoidusti, on tällainen käsittelyvaihe toteutettava viranomaisessa luonnollisen henkilön myötävaikutuksella. Tämä ei olisi kuitenkaan sinänsä este sille, että viranomainen voi tehdä kuulemisessa ilmenneiden seikkojen jälkeen asiassa asiankäsittelyn päättävän ratkaisun automaattisesti. Kuulemisessa ilmenneet seikat olisi joka tapauksessa huomioitava asianmukaisesti ennen asian automaattista ratkaisemista. Yleinen menettelysääntely sekä hyvän hallinnon turvaaminen koskee viranomaista myös asian automaattisessa ratkaisemisessa. 

Momentin 5 kohdassa säädettäisiin asian ratkaisemiseen liittyvän tietopohjan perusteiden dokumentoinnista. Voimassa olevan tiedonhallintalain 5 §:n 3 momentin nojalla tiedonhallintayksikön on tehtävä tiedonhallinnan muutosvaikutusten arviointi tiedonhallintamalliin olennaisesti vaikuttavista tietojärjestelmien käyttöönotoista. Tässä yhteydessä tiedonhallintayksikön on arvioitava käsiteltäviä tietoja ja niihin liittyviä muutoksia. Tiedonhallintalain 20 §:ssä on säädetty tietoaineistojen keräämisestä viranomaisen tehtäviä varten. Lainkohta käytännössä ohjaa viranomaisten tietojen keräämistä asiankäsittelyä varten. Ehdotettu 5 kohdan säännös täydentäisi tiedonhallintalaissa jo aiemmin säädettyä siten, että tietojen käsittelyyn ja hallintaan liittyvät suunnitelmat ja toteutus dokumentoidaan sekä samalla varmistetaan, että asiankäsittelyn asianmukaisuus varmistetaan käytettäessä automaattisia menettelyitä asian ratkaisemiseksi. Dokumentaatiosta pitäisi ilmetä tietolähteet, joilla tarkoitetaan viranomaisia ja muita toimijoita, joilta asiaa käsittelevä viranomainen saa tietoja automatisoituun toimintaprosessiinsa. Lisäksi tulisi ilmetä hankittavat tiedot kustakin tietolähteestä. Tietojen hankintaan liittyvät menettelyt tarkoittavat tiedonsaantiin oikeuttavan sääntelyn dokumentointia sekä tietojensaannin toteuttamistapaa, jollainen automatisoiduissa toimintaprosesseissa voi olla lähinnä tietojensaantitapana tietojensaanti teknisen rajapinnan avulla toiselta viranomaiselta. Jos teknisillä rajapinnoilla on tarvetta saada tietoja muilta kuin viranomaisilta, on tästä säädettävä erikseen laissa. Tiedonhallintalain teknisten rajapintojen käyttöä koskevat säännökset liittyvät tiedonsaantiin viranomaiselta, jolloin tietojen luovuttajana sääntelyn perusteella toimii viranomainen tai siihen rinnastuva muu toimija, kuten julkista hallintotehtävää hoitava yksityinen.  

Momentin 6 kohdassa säädettäisiin velvollisuudesta dokumentoida kehittämisvaiheessa, miten asian ratkaisemisessa tarvittavien tietojen laatu on varmistettu. Asianosaisen oikeusturvan kannalta on erityisesti merkitystä sillä, että hänen asiansa käsitellään viranomaisessa sellaisten tietojen perusteella, jotka ovat ajantasaisia ja virheettömiä. Säännöksen tarkoituksena olisi varmistaa, että viranomainen tosiasiallisesti suunnittelee automatisoidun asian selvittämisen siten, että asianmukaiselle selvittämisvelvollisuudelle säädetyt vaatimukset täyttyvät myös täysin automatisoiduissa toimintaprosesseissa. Tiedonhallintalain 15 §:n 1 momentin mukaan viranomaisen on varmistettava tarpeellisin tietoturvallisuustoimenpitein, että sen tietoaineistojen alkuperäisyys, ajantasaisuus ja virheettömyys on varmistettu. Tietosuojasääntelyssä puolestaan edellytetään rekisterinpitäjän huolehtivan siitä, että käsiteltävät henkilötiedot ovat täsmällisiä, jolla tarkoitetaan muun muassa tietojen virheettömyyden ja ajantasaisuuden varmistamista. Lisäksi lakiehdotus sisältäisi uuden 28 h §:n, jossa säädettäisiin viranomaiselle velvollisuus varmistaa ratkaisemisessa hyödynnettävien tietojen ajantasaisuus ja virheettömyys. Hallintolain mukaisesti viranomaisen on huolehdittava asian riittävästä ja asianmukaisesta selvittämisestä. Ehdotetun 6 kohdan sisältö määrittyisi muun muassa edellä mainittujen säännösten perusteella.  

Momentin 7 kohdassa säädettäisiin velvollisuudesta dokumentoida ne käsittelysäännöt, joilla päätöksen perustelut esitetään asianosaiselle viranomaisen ratkaisua osoittavassa asiakirjassa, kuten hallintopäätöksessä. Viranomaisen olisi suunniteltava ennalta, miten automatisoidussa toimintaprosessissa muodostuvan ratkaisun perustelut esitetään hyvää hallintoa noudattaen asianosaiselle ymmärrettävästi ja selkeästi ja siten, että asianosaiselle muodostuu käsitys siitä, mihin viranomaisen ratkaisu perustuu. Se, missä tilanteessa ja miten viranomaisen ratkaisun perustelut esitetään ja milloin niistä voidaan poiketa, ratkaistaan muun sääntelyn perusteella. Se, millä kielellä päätös annetaan, ratkaistaan kielilainsäädännön perusteella. Viranomaisen olisi kuitenkin dokumentoitava myös ne perusteet, joilla se katsoo, että automatisoidun päätöksen perustelut voidaan jättää esittämättä. Kohdan tarkoituksena olisi varmistaa se, että viranomainen suunnittelee automatisoinnin siten, että perusteluvelvollisuus toteutuu perustuslain 21 §:ssä ja muualla laissa, erityisesti hallintolaissa, säädetty huomioiden. Automaattisestikin muodostettujen perustelujen on täytettävä perusteluille muualla lainsäädännössä asetetut vaatimukset ja perusteluiden on oltava asianmukaisia, selkeitä, ymmärrettäviä, liityttävä kunkin asian ratkaisun muuttujiin ja täytettävä oikeusturvan toteutumiselle säädetyt vaatimukset. 

Momentin 8 kohdassa säädettäisiin velvollisuudesta dokumentoida, miten toimintaprosessin laadunvalvonta on mahdollista toteuttaa tietojärjestelmään. Säännös täydentäisi 28 c §:ssä säädettyä velvollisuutta laadunvalvontaan automatisoidun toimintaprosessin tuotantokäytössä. Ehdotetun säännöksen tarkoituksena on korostaa viranomaisen velvollisuutta suunnitella, miten laadunvalvonta voidaan teknisesti toteuttaa automatisoidun toimintaprosessin sisältäviin tietojärjestelmiin. 

Momentin 9 kohdassa säädettäisiin tietoturvallisuustoimenpiteiden dokumentointiin liittyvästä vaatimuksesta. Tietoturvallisuustoimenpiteiden dokumentointivaatimus sisältyy voimassa olevaan tiedonhallintalain 5 §:n 2 momentissa säädettyyn tiedonhallintamalliin. Ehdotetun lisäsääntelyn tarkoituksena on korostaa tietoturvallisuustoimenpiteiden merkitystä automatisoitujen toimintaprosessien toteuttamisessa, erityisesti koska automatisoiduissa toimintaprosesseissa käsitellään ja tuotetaan mahdollisesti suuriakin määriä erilaisia tietoja. 

Pykälän 3 momentissa säädettäisiin dokumentointiin liittyvistä vaatimuksista ja vastuista. Momentin ensimmäisen virkkeen mukaan viranomaisen olisi merkittävä dokumentaation lopputuloksena muodostuneisiin asiakirjoihin versionumero, hyväksymispäivämäärä ja hyväksyjä. Virkkeessä säädettäisiin myös hyväksyjän velvollisuudesta tarkastaa asiakirjan sisällön lainmukaisuus. Pykälässä säädetyn dokumentointivaatimuksen täyttämiseksi viranomaisille muodostuu ja kertyy useita erilaisia asiakirjoja, joiden sisällön lainmukaisuuden tarkastamiseen tarvitaan erilaista asiantuntemusta. Tästä syystä asiakirjan hyväksyjällä on oltava paitsi viranomaisessa sellainen asema, että hän voi viranomaisen puolesta hyväksyä asiakirjan sisällön, mutta myös ymmärrys asiakirjan asiallisesta sisällöstä ja asian kannalta merkityksellisestä lainsäädännöstä, jotta ehdotettu velvollisuus voi käytännössä toteutua. Vaadittavan asiantuntemuksen vuoksi asiakirjan hyväksyy siis viranomaisessa se, jolla on tosiasiassa mahdollisuus toteuttaa laissa säädetty velvollisuus ja suorittaa virkatoimi asianmukaisesti. Pykälän 2 momentissa tarkoitettuun dokumentaatioon voi sisältyä laajakin joukko eri asiakirjoja ja joka asiakirjalla voi tarvittaessa olla oma erillinen hyväksyjänsä. Asiakirjojen tarkastamisessa ja hyväksymisessä olisi huomioitava tiedonhallintalaissa ja hallintolaissa säädetyn ohella sellainen muissa laeissa säädetty, mikä olisi huomioitava automatisoidussa toimintaprosessissa ja joka olisi myös dokumentoitava. Tällainen muu sääntely voisi olla esimerkiksi toimialakohtaista erityissääntelyä, perusoikeuksia edistävää ja turvaavaa sääntelyä tai kansainvälisiä velvoitteita koskevaa sääntelyä. 

Asiakirjan hyväksyjä vastaa hyväksymiseen liittyvistä virkatoimista. Asiakirjojen hyväksyjänä ei voida käyttää viranomaisen ulkopuolista toimijaa, vaan sellaista, johon ulottuu virkavastuusääntely joko tässä tai muussa laissa säädetyn perusteella. Toisaalta laissa ei säädettäisi siitä, että hyväksyjän pitäisi olla yksittäinen henkilö, vaan hyväksyjänä voisi olla myös toimielin. 

Hyväksyttyä asiakirjaa ei voisi muuttaa, vaan tarvittaessa viranomaisen olisi laadittava uusi versio asiakirjasta ja hyväksyttävä se. Aiemmat versiot ja ajantasaisin asiakirjaversio olisi säilytettävä vähintään viisi vuotta siitä, kun automatisoitu toimintaprosessi on poistettu käytöstä. Säilytysvelvollisuudella on tarkoitus varmistaa, että tehdyt kehittämistoimet voidaan tarvittaessa todentaa riittävän kauan mahdollisia virkavastuukysymyksiä koskevissa selvittelyissä. Säilytysaikasäännös olisi minimisäilytysaikaa koskeva vaatimus. Asiakirjoja voitaisiin säilyttää mainittua pidempi aika, jos siihen on jokin syy.  

28 b §. Vaatimustenmukaisuuden ja hyvän kielenkäytön varmistaminen testaamalla. Pykälässä säädettäisiin automatisoitujen toimintaprosessien käyttöönottoon vaatimustenmukaisuuden varmistamisen perusteista, jotka ovat välttämättömiä sen varmistamiseksi, että prosessit toimivat ennalta määritellyllä tavalla ja että toimintaprosessia ei oteta käyttöön keskeneräisenä. Pykälän tarkoituksena on siis velvoittaa viranomainen varmistamaan, että kun automatisoidun toimintaprosessin dokumentaation sisältö on 28 a §:n mukaisesti hyväksytty lain mukaiseksi, toteutuksen jälkeen automatisoitu toimintaprosessi myös toimii niin kuin dokumentaatiossa on kuvattu. Vaikka tietojärjestelmien testaaminen on sinänsä vakiintunut käytäntö, säännös olisi tarpeen osana automatisoituun toimintaprosessiin liittyvien, virkatoimiin kuuluvien velvollisuuksien yksilöintiä sekä prosessin toiminnan ennakollista kontrollointia, jolla pyritään varmistamaan asianosaisen oikeusturvan toteutuminen hallintoasioita käsiteltäessä. Automatisoidut toimintaprosessit toteutetaan tietojärjestelmien avulla, ja tietojärjestelmän vaatimustenmukaisuus varmistetaan testaamalla. Se, että tietojärjestelmä ei ole ollut valmis tarkoitukseensa tai riittävän virheetön toiminnaltaan, on ollut useissa laillisuusvalvojien käsittelemissä tapauksissa syynä sille, että asianmukainen asiankäsittely on vaarantunut, muun muassa AOA 1137/4/04, AOA 645/4/04, EOA 2071/4/05 ja EOA 33/2/06. Tietojärjestelmän testaaminen ennen sen käyttöönottamista tai hyväksyntää on sinänsä vakiintunut ja yleinen käytäntö, mutta sitä koskevista velvollisuuksista on säädettävä lain tasolla tarkemmin hyvän hallinnon turvaamisen ja virkavastuun kohdentumisen vuoksi. 

Pykälässä tarkoitettu vaatimustenmukaisuuden varmistaminen testaamalla tarkoittaa testausta, joka tehdään automatisoidun toimintaprosessin hyväksymiseksi käyttöönottoa varten ja tilanteissa, joissa toimintaprosessia on muutettu. Tyypillisesti tätä testausvaihetta kutsutaan hyväksymistestaukseksi. Pykälässä säädettäväksi ehdotettavia säännöksiä ei siten sovellettaisi muuhun testaamiseen, jota tehdään tietojärjestelmäkehittämisen eri vaiheissa. Viranomaisen ei voi edellyttää osallistuvan valmisohjelmiston sellaiseen testaamiseen, joka on tehty ennen kuin viranomainen on sen hankkinut, eikä myöskään hankinnan jälkeen teknisluonteiseen testaamiseen. Viranomaisen on kuitenkin väistämättä asetettava vaatimuksia testauksen suunnitelmalliselle tekemiselle ja dokumentoinnille silloin, kun viranomainen tekee julkisia hankintoja, joissa hankintakohteena on automatisoidun toimintaprosessin sisältävä tai toteuttava tietojärjestelmä. Tällainen testauksen kokonaisuuden varmistaminen on niitä hankintoihin liittyviä toimia, joita viranomainen on velvollinen tekemään muutenkin kaikkien tietojärjestelmiensä osalta riippumatta siitä, käsitelläänkö niissä asioita automatisoiduissa toimintaprosesseissa. Ehdotus koskee kuitenkin vain automatisoidun toimintaprosessin vaatimustenmukaisuuden varmistamista. Yleisistä tietojärjestelmien käyttöön liittyvistä vaatimuksista on säädetty tiedonhallintalain ohella myös muualla lainsäädännössä. 

Vaatimuksilla tarkoitettaisiin pykälässä automatisoidulle toimintaprosessille viranomaisen asettamia erilaisia teknisiä ja toiminnallisia vaatimuksia, jotka perustuvat 28 a §:ssä mainittuihin menettelytapoihin ja käsittelysääntöihin. Nämä eivät olisi välttämättä sellaisenaan suoraan laista syntyviä vaatimuksia, vaan myös muita toimintaprosessin menettelytapoihin ja käsittelysääntöihin liittyviä vaatimuksia, joilla on vaikutusta automatisoidussa toimintaprosessissa tuotettaviin ratkaisuihin. Vaatimukset voivat ilmetä 28 a §:ssä mainitun dokumentaation lisäksi myös muista asiakirjoista, jotka koskevat esimerkiksi tietojärjestelmän hankintaa sekä muita automatisoituun prosessiin liittyviä teknisiä eritelmiä ja kuvauksia. Nämä vaatimukset voivat liittyä esimerkiksi viranomaisen työnkulkuun, toiminnan järjestämiseen tai käyttöliittymiin, joiden ominaisuudet eivät tule lainsäädännöstä mutta joiden oikea toiminta ja laatu ovat keskeisiä, jotta viranomainen voi asianmukaisesti toteuttaa automatisoitua toimintaprosessia. Ei myöskään olisi tarkoituksenmukaista säätää lainmukaisuuden varmistamisesta testaamalla, koska testausta suorittavalla ei voida tavanomaisesti edellyttää olevan siihen sopivaa asiantuntemusta. Menettelytapojen ja käsittelysääntöjen lainmukaisuuden tarkastaa 28 a §:n 3 momentissa tarkoitettu dokumentaation hyväksyjä. Lainsäädännön ja viranomaisen toiminnan ymmärtävät virkamiehet tyypillisesti laativat yhdessä teknisten asiantuntijoiden, jotka voivat olla yksityisen toimijan edustajia, kanssa toimintaprosessille (tai tietojärjestelmälle, jossa sitä toteutetaan) asetettavat vaatimukset, joita vasten kehityksen lopputulosta sitten testataan. 

Pykälän 1 momentin perusteella viranomaisen olisi huolehdittava, että hyväksymis- tai muutostestaus on tehty suunnitelmallisesti siten, että testauksella voidaan varmistaa toimintaprosessin toimivan sille määriteltyjen vaatimusten mukaisesti. Pykälän 1 momentinensimmäisessä virkkeessä velvoitettaisiin viranomainen varmistamaan ennen toimintaprosessin käyttöönottoa ja kun toimintaprosessin käsittelysääntöjä on muutettu se, että automatisoidun toimintaprosessin menettelytavat ja käsittelysäännöt täyttävät niille asetetut vaatimukset ja että automatisoidussa toimintaprosessissa automaattisesti tuotettavat asianosaiselle annettavat asiakirjat täyttävät hyvän kielenkäytön vaatimuksen. Varmistaminen tulisi tehdä testaamalla. Käyttöönotolla ei tässä yhteydessä tarkoitettaisi tietojärjestelmän käyttöönottoa, vaan automatisoidun toimintaprosessin käyttöönottoa, joka ei välttämättä kytkeydy suoraan tietojärjestelmän käyttöönottoon tai tapahdu sen kanssa samanaikaisesti. Menettelytavat ja käsittelysäännöt olisivat samoja kuin ne, joihin viitataan 28 a §:ssä.  

Toimintaprosessille asetettujen vaatimusten pohjalta viranomaisen tulee suunnitella testauksen suorittaminen valitsemalla asianmukaiset testausmenetelmät sekä muodostamalla asianmukainen testiaineisto vaatimustenmukaisuuden ja hyvän kielenkäytön todentamiseksi. Testaamista koskeva velvollisuus kohdentuisi nimenomaisesti ennen käyttöönottoa tehtävään viranomaisen tekemään testaamiseen sekä kun käytössä olevaan automatisoituun toimintaprosessiin sisältyviä käsittelysääntöjä on muutettu, jolloin velvollisuus kohdistuu käsittelysääntöjen muutosten testaamiseen. Siten testaamista koskevat vaatimukset eivät koskisi muuta testaamista, kuten valmisohjelmiston kehitystyön aikana yksityisen tekemää testaamista, yksittäisen virheen selvittämistä koskevaa tutkivaa testaamista tai testaajien kouluttamisen yhteydessä tehtävää testaamista. 

Testauksen kohteena olisi menettelytapojen ja käsittelysääntöjen lisäksi asianosaiselle automatisoidussa toimintaprosessissa tuotettavien asiakirjojen, kuten selvityspyyntöjen ja toimituskirjojen hyvä kielenkäyttö. Hallintolain 9 §:ssä on säädetty viranomaistoiminnassa noudatettavasta hyvän kielenkäytön vaatimuksesta. Koska asiakirjoja voitaisiin tuottaa ja toimittaa ilman suoraa ihmiskontrollia automatisoidun toimintaprosessin yhteydessä, olisi tarpeen kohdistaa myös riittävä vastuu tällaisten asiakirjojen hyvän kielenkäytön varmistamisesta, jotta hallinnon asiakkaan oikeusturva ei suotta vaarannu virheellisten tai vaikeaselkoisten asiakirjojen vuoksi. Lisäksi viranomaisen olisi huomioitava kielilainsäädännöstä johtuvat vaatimukset asiakirjoissa käytettävästä kielestä. Tietojärjestelmien tuottamien asiakirjojen kieltä koskevista puutteista on annettu esimerkiksi eduskunnan oikeusasiamiehen ratkaisu EOA 2523/4/08, jossa oli kyse ruotsinkieliselle asianosaiselle annetusta osittain suomenkielisestä rikesakkomääräyksestä. Syyksi tälle poliisi kertoi keskeneräiseen tietojärjestelmään. Säännöksellä edistettäisiinkin siis kielellisten oikeuksien ja hyvän hallinnon vaatimusten toteuttamista. Digitaalisissa palveluissa noudatettavista saavutettavuusvaatimuksista, joihin kuuluu myös ymmärrettävyysvaatimus, on säädetty digipalvelulaissa. 

Momentin toisessa virkkeessä korostettaisiin testauksen suunnitelmallisuutta ja sitä, että testauksessa olisi käytettävä asianmukaisia testausmenetelmiä ja testiaineistoja. Säännös jättää kuitenkin viranomaisen arvioitavaksi sen, mitkä testausmenetelmät ja millaiset testiaineistot ovat missäkin tapauksessa asianmukaisia, koska lähestymistapoja testaamiseen on useita ja myös uusia kehitetään jatkuvasti. Testausmenetelmien tulisi olla kuitenkin sellaisia, joilla kaikkien vaatimusten toteutuminen voidaan riittävästi varmistaa. Testauksen tavoitteena olisi saada kohtuullinen varmuus siitä, että automatisoitu toimintaprosessi toimii ennalta määriteltyjen vaatimusten mukaisesti ja että toimintaprosessi toimii lainmukaisesti ja asiankäsittelyn asianmukaisuusvaatimuksen täyttäen. Toimintaprosessin automatisoinnilta ja sen vaatimustenmukaisuuden testaamiselta ei voida odottaa täydellisyyttä, mistä syystä 28 c §:ssä säädettäisiin toimintaprosessin laadunvalvonnasta ja virheiden korjaamisesta. 

Pykälän 1 momentin kolmannessa virkkeessä säädettäisiin testaukseen liittyvästä erityisestä dokumentointivaatimuksesta, jonka mukaan testitulokset sekä havaittujen virheiden ja puutteiden korjaavat toimet olisi dokumentoitava. Säännöksen tarkoituksena olisi velvoittaa testauksen suorittavat ja testauksen perusteella korjaavia toimia tekevät henkilöt dokumentoimaan testitulokset, niiden perusteella havaitut virhetoiminnallisuudet sekä tiedot toimenpiteistä, joilla havaitut virheet on korjattu. Dokumentaation tulisi olla riittävän täsmällistä ja selkeää, jotta jälkikäteen voidaan todentaa testaus suoritetuksi asianmukaisesti ja tarvittaessa selvittää vastuut, jos testauksesta huolimatta toimintaprosessi toimii vastoin sille asetettuja vaatimuksia. Ehdotettava säännös palvelee automatisoidun toimintaprosessin käyttöönoton asianmukaisuuden varmistamista ja virkavastuun kohdentumista. 

Pykälän 2 momentissa säädettäisiin vaatimustenmukaisuuden varmistamista koskevasta velvollisuudesta nimetä vastuuhenkilö, jonka tehtävänä on varmistaa, että testaaminen on toteutettu 1 momentin mukaisesti ja että testaus dokumentoidaan asianmukaisesti. Vastuuhenkilöllä on työnjohdollinen vastuu automatisoidun toimintaprosessin ja automaattisesti tuotettavien asiakirjojen vaatimustenmukaisuuden varmistamisesta testauksessa. Vastuuhenkilö ei välttämättä osallistuisi varsinaiseen testaamiseen, vaan hän toimisi testauksen laadun ja asianmukaisen toteuttamisen valvojana. Vastuuhenkilön virkavastuu kohdistuu nimenomaisesti pykälässä tarkoitettuun hyväksymis- ja muutostestaukseen, joten vastuuhenkilön lakisääteisenä tehtävänä ei olisi valvoa kaikkea testaamista, joka liittyy automatisoidun toimintaprosessin toiminnalliseen ja tekniseen testaamiseen, eikä vastuuhenkilö olisi vastuussa esimerkiksi valmisohjelmiston kehittämisen yhteydessä tehdystä testaamisesta. Vastuuhenkilölle voisi kuulua myös muiden testausvaiheiden valvontaan liittyviä tehtäviä, jos viranomainen tällaisia tehtäviä antaa hänelle. Ne eivät kuitenkaan liittyisi tässä laissa säädettyjen tehtävien hoitamiseen tai testauksen valvontaan.  

Pykälän 3 momentissa säädettäisiin 1 momentin mukaista testaamista suorittavan henkilön velvollisuuksista. Säännös ei siis koskisi testaajia, jotka tekevät muuta kuin 1 momentissa tarkoitettua viranomaisen vaatimustenmukaisuuden ja hyvän kielenkäytön varmistamisvelvollisuutta toteuttavaa testausta. Testausta suorittavan henkilön tulisi käyttää viranomaisen testaussuunnitelmassa määrittelemää testausmenetelmää sekä suorittaa testaus testaussuunnitelmassa määritellyllä testiaineistolla. Testaajan olisi siis suoritettava testaus toimintaprosessista vastaavan viranomaisen päättämällä tavalla niin, että 1 momentin vaatimukset voidaan täyttää. Testaamisella on keskeinen rooli toimintaprosessin automatisoinnin vaatimustenmukaisuuden varmistamisessa, ja puutteellinen testaus voi johtaa muun muassa hallinnon asiakkaan oikeusturvan vaarantumiseen, viranomaisen valvontaintressin vaarantumiseen tai viranomaisen toimintakyvyn ja palvelutason heikkenemiseen. Siltä osin kuin testaus tehdään automaattisesti, olisi testausautomaatio yksi testausmenetelmä muiden joukossa ja velvoite kohdistuisi henkilöön, joka toteuttaa automaattisen testauksen. Säännöksessä edellytettäisiin lisäksi, että testaamista suorittavan henkilön olisi dokumentoitava testitulokset huolellisesti. Momentin tarkoituksena on kohdentaa testausta suorittavaan henkilöön sellaisia yksilöityjä velvollisuuksia, jotka muodostavat testaamisessa virkatoimia, joiden noudattamista voidaan jälkikäteen arvioida. Laissa olisi erikseen säädetty siitä, että testauksessa avustavaa tehtävää hoitavaan sovellettaisiin rikosoikeudellista virkavastuuta koskevia säännöksiä riippumatta palvelussuhteesta tai toimeksiantosuhteesta, jos tällainen avustava tehtävä on annettu yksityisen hoidettavaksi. 

Pykälän 4 momentissa säädettäisiin, että viranomaisen olisi testitulosten perusteella todettava toimintaprosessin menettelytapojen ja käsittelysääntöjen vaatimustenmukaisuus sekä hyvä kielenkäyttö asianosaiselle annettavissa asiakirjoissa. Viranomaiselle kohdistettaisiin testauksen päätyttyä velvoite perehtyä testituloksiin ja niiden perusteella todeta kirjallisesti, että automatisoitu toimintaprosessi täyttää sille asetetut vaatimukset ja toimii ennalta laadittujen määrittelyjen mukaisesti. Pelkkä testauksen toteuttaminen itsessään ei olisi riittävää, vaan viranomaisen on myös käsiteltävä testauksessa tehdyt havainnot ja arvioitava niiden mahdolliset vaikutukset toimintaprosessin vaatimustenmukaisuuteen ja käyttöönottokelpoisuuteen. Tällä tavoin kiinnitettäisiin virkavastuu viranomaisen velvoitteeseen varmistua siitä, että toimintaprosessi on valmis tarkoitukseensa eikä keskeneräinen. Keskeneräisten tietojärjestelmien käyttöönotto on useissa laillisuusvalvojien tutkimissa tapauksissa ollut syynä sille, että hyvän hallinnon vaatimukset eivät ole toteutuneet tai viranomaisen toimet ovat olleet virheellisiä, esimerkiksi AOA 1137/4/04, AOA 645/4/04, EOA 2071/4/05, EOA 33/2/06, EOA 206/4/11, EOA 2357/2/11 ja OKV/1453/1/2018. 

Pykälässä korostuisivat testaamiseen kohdennettavat velvollisuudet niin suunnitteluun, testauksen toteuttamiseen, valvontaan kuin testauksen lopputulosten arviointiin. Vaatimustenmukaisuuden todentaminen on keskeinen osa asianmukaista toimintaprosessin käyttöönoton valmistelua ja siten siihen kohdennetaan ehdotetussa pykälässä erityisiä velvollisuuksia, jotka tulisi suorittaa virkatoimina, jolloin myös virkavastuu huomioidaan osana asianmukaista asiankäsittelyä varmistavia toimia.  

28 c §. Laadunvalvonta ja virhetilanteiden käsittely. Pykälän tarkoituksena olisi varmistaa se, että viranomainen huolehtii automatisoidun toimintaprosessin asianmukaisuuden ja laadun varmistamisesta sen käyttöönoton jälkeen ja siten hyvän hallinnon ja oikeusturvan toteuttamisesta perustuslain 21 §:ssä säädetyt vaatimukset huomioiden. Pykälässä säädettäisiin viranomaiselle velvollisuus järjestää automatisoidun toimintaprosessin toiminnan valvonta sekä riittävät kontrollit, kun toimintaprosessi on otettu käyttöön. Velvoite on tarpeen edellä kuvatun vaatimustenmukaisuuden varmistamista koskevan 28 b §:n lisäksi, koska automatisoidun toimintaprosessin kehittäminen voi kokonaisuutena olla monimutkainen ja siihen voi osallistua lukuisia henkilöitä ja toimijoita, jolloin ei olisi kohtuullista edellyttää, että testaamisvaiheessa löydettäisiin ja korjattaisiin kaikki virheet. Tästä syystä virheiden löytämistä ja korjaamista koskeva viranomaisen toimintavelvoite olisi tarpeen hyvän hallinnon periaatteiden toteutumisen varmistamiseksi ja virkavastuun kohdentamiseksi. Perustuslakivaliokunta on katsonut (PeVL 7/2019 vp), että automatisoidun päätöksentekomenettelyn tulee olla perustuslain 118 §:stä johtuvista syistä tarkasti valvottua ja oikeudellisesti kontrolloitavissa. Testausta ja laadunvalvontaa koskevan ehdotetun sääntelyn tarkoituksena on täyttää perustuslakivaliokunnan esiin nostamat automatisoituun päätöksentekomenettelyyn liittyvät vaatimukset. Myös laadunvalvonta, kuten testaaminen, on yleinen ja vakiintunut käytäntö tietojärjestelmien kehittämisessä ja käytössä, mutta hyvän hallinnon ja virkavastuun kohdentumisen johdosta täsmällinen sääntely olisi tarpeen. 

Pykälän 1 momentissa säädettäisiin viranomaisen velvollisuudesta valvoa automaattisesti ratkaistavien asioiden laatua, sisällöllistä virheettömyyttä ja hallita automatisointiin liittyviä riskejä käyttöönoton jälkeen. Laadunvalvonnan vastuut kytkettäisiin viranomaisen hyväksymään laadunvalvontasuunnitelmaan, jonka vähimmäissisältönä olisivat laadunvalvonnan kannalta keskeiset toimet. Suunnitelmaa edellyttämällä varmistettaisiin viranomaisen laadunvalvonnan olevan suunnitelmallista ja dokumentoitua. Laadunvalvontasuunnitelmasta olisi ilmettävä, miten automatisoidussa toimintaprosessissa ratkaistujen asioiden laatua ja sisällöllistä virheettömyyttä tarkkaillaan toimintaprosessin käyttöönoton jälkeen. Laadulla tarkoitettaisiin sitä, että toimintaprosessi toimii lainmukaisesti, ennalta määriteltyjen vaatimusten mukaisesti ja tuottaa asianmukaisen asiankäsittelyn vaatimukset täyttäviä ratkaisuja. Laadunvalvontasuunnitelmaa ei laadittaisi kertaluonteisesti, vaan suunnitelmaa olisi ylläpidettävä tarpeen mukaan tekemällä siihen muutoksia, korjauksia ja päivityksiä. Itse laadunvalvontasuunnitelman hyväksyminen on säädetty viranomaisen tehtäväksi, joten laadunvalvontasuunnitelman laadintaan voisi osallistua myös esimerkiksi tietojärjestelmän toimittavan yrityksen edustajia, koska suunnitelma voi olla osin teknisluonteinen, tietojärjestelmän ominaisuuksiin ja toiminnallisuuksiin liittyvä. 

Ehdotuksen mukaan laadunvalvontasuunnitelmaan olisi sisällytettävä tiedot laadunvalvonnan vastuista sekä siitä, miten automatisoidusti ratkaisujen asioiden laatua ja erityisesti sisällöllistä virheettömyyttä tarkkaillaan käyttöönoton jälkeen ja miten toimintaprosessiin liittyviä riskejä hallitaan. Laadunvalvontasuunnitelma olisi viranomaisen toimintaa sitova siten, että laadunvalvontaa olisi tehtävä laadunvalvontasuunnitelman mukaisesti. Viranomaisen harkittavaksi jäisi, millä keinoilla laadunvalvontaa tehdään, mutta suunnitelman tulisi sisältää konkreettisia ja toistuvia toimia, joilla voidaan todeta, mitä päätöksiä ja muita ratkaisuja automatisoidussa toimintaprosessissa on tehty sekä vastaavatko muodostetut asiakirjat asiasisällöltään vaatimuksia. Laadunvalvonta voisi sisältää tapahtumalokien tarkkailua sekä toimintaprosessissa käsiteltävien tietojen laaduntarkkailua. Laadunvalvonnan tulisi sisältää erityisesti sellaista prosessitarkkailua, jossa voidaan havaita mahdolliset toimintaprosessia hyödyntävät väärinkäytökset tai muu haitanteko. Niin ikään laadunvalvontaan kuuluisi tuotettavien asiakirjojen sisällön laadun ja hyvän kielenkäytön tarkkailu otosperusteisesti. 

Pykälän 2 momentissa säädettäisiinlaadunvalvonnan järjestämisestä. Ehdotuksen mukaan viranomaisen olisi nimettävä laadunvalvonnan vastuuhenkilö, jonka tehtävänä on varmistaa laadunvalvonnan toteutuminen viranomaisen hyväksymän laadunvalvontasuunnitelman mukaisesti. Vastuuhenkilö voisi osallistua itse myös laadunvalvontaan. Säännöksen tarkoituksena on osoittaa vastuu laadunvalvonnan toteuttamisesta viranomaisessa ja siten osoittaa ne henkilöt, jotka laadunvalvontaa tekevät. Viranomainen määrittelisi laadunvalvontaa tekevät henkilöt työnjohtomääräyksillään tai osana laadunvalvontasuunnitelmaa. Laadunvalvontaan osallistuvat henkilöt tulisi määritellä laadunvalvontasuunnitelmassa.  

Ehdotetun 3 momentin mukaan viranomaisen olisi huolehdittava, että sen automatisoidusta toimintaprosessista tallennetaan tiedot sen osoittamiseksi, millä käsittelysäännöillä automatisoitu prosessi on edennyt kunkin asian käsittelyn osalta sekä missä määrin luonnollinen henkilö on osallistunut prosessiin. Ehdotettu säännös täsmentäisi tiedonhallintalain 17 §:ssä säädettyä lokitietojen keräämistä koskevaa sääntelyä ja sisältäisi kerättävien tietojen vähimmäisvaatimukset. Tiedonhallintalain 17 §:ssä säädetyn mukaisesti viranomainen voi kerätä myös muita lokitietoja automatisoiduista toimintaprosesseista. Momentin mukaiset tiedot voitaisiin kerätä lokitietoina, asiankäsittelyn metatietoina asiarekisteriin tai muulla tavalla. Säännös ei siten kiinnitä tapaa, jolla viranomainen dokumentoisi automatisoidun toimintaprosessin työnkulun kunkin yksittäisen asian käsittelyn osalta. Ehdotetun säännöksen tarkoituksena on mahdollistaa ja varmistaa asianmukaisen automatisoidun toimintaprosessin valvonta ja mahdollisten virheiden selvittäminen ja yksilöinti, sekä tarvittaessa vastuun virkatoimista kohdentuminen silloin, kun asiaa on käsitellyt myös luonnollinen henkilö.  

Viranomaisen olisi säilytettävä automatisoitua toimintaprosessia suorittavien tietojärjestelmien toiminnasta tallennetut tiedot vähintään viisi vuotta tietojen tallentamista seuraavan kalenterivuoden alusta lukien. Vähimmäissäilytysaika perustuu virkavastuun todentamista koskeviin velvollisuuksiin. Säilytysaika voisi olla pidempi, jos viranomainen arvioi tiedonhallintalain 21 §:n perusteella tietojen säilyttämisen olevan tarpeellista.  

Pykälän 4 momentissa säädettäisiin toimista, joihin viranomaisen olisi ryhdyttävä, jos automatisoidussa toimintaprosessissa havaitaan virheitä aiheuttavia toimintoja. Viranomaiselle säädettäisiin velvollisuus ryhtyä viivytyksettä korjaaviin toimenpiteisiin havaituista virhetilanteista, joilla on voinut olla vaikutuksia toimintaprosessissa ratkaistuihin asioihin. Viranomaisen olisi dokumentoitava toimintaprosessin käyttöönoton jälkeen havaittu virhe, virheen korjaamista koskevat toimenpiteet sekä virheen korjaamisen vaikutus toimintaprosessissa tehtyihin ratkaisuihin. Säännöksessä tarkoitetut toimet voisivat tarkoittaa esimerkiksi teknistä virheen korjaamista, toimintaprosessin käsittelysääntöjen muuttamista sekä toimintaprosessissa jo tehtyjen ratkaisujen, kuten hallintopäätösten sisällön tai virheellisen rekisterimerkinnän, korjaamista. Virheen luonteesta riippuen viranomaisen olisi poistettava automatisoitu toimintaprosessi tai sen virheellisesti toimiva osa käytöstä, kunnes virhe voidaan korjata. Viranomaisen ratkaisussa olevan virheen korjaamisesta säädetään erikseen. Virheen korjaamisesta hallintopäätöksessä noudatettavasta menettelystä on säädetty hallintolaissa. Rekisterimerkintöjen korjaamisesta on säädetty erityislainsäädännössä tai se voi perustua yleiseen tietosuojasääntelyyn. Momentti edistää hyvän hallinnon vaatimusten toteuttamista, erityisesti asianmukaiseen asiankäsittelyyn liittyvien vaatimusten täyttämistä. 

28 d §. Päätös automatisoidun toimintaprosessin käyttöönotosta. Pykälässä säädettäisiin automatisoidun toimintaprosessin käyttöönotosta, eli päätöksestä joka olisi tehtävä, ennen kuin automatisoidulla toimintaprosessilla voidaan tuottaa automaattisia ratkaisuja. Käyttöönotolla ei tässä yhteydessä tarkoitettaisi tietojärjestelmän käyttöönottoa. Viranomaisen tulisi varmistaa ennen päätöksen tekemistä, että käyttöönotolle on olemassa ne edellytykset, joista on säädetty tiedonhallintalaissa, hallintolaissa sekä mahdollisesti erityislainsäädännössä. Säännöksen tarkoituksena olisi osoittaa viranomaiselle vastuu varmistua siitä, että käyttöönotolle säädetyt edellytykset täyttyvät kaikilta osin. Päätöksen tarkoituksena olisi osoittaa, että viranomaisessa on selvitetty automatisoidun toimintaprosessin edellytykset ja että käyttöönotolle on olemassa laissa säädetyt perusteet. Käyttöönottopäätös olisi luonnehdittavissa automatisoitua asiankäsittelyä valmistelevaksi päätökseksi ja sille olisi säädetty tiedonhallintalaissa erityiset muotovaatimukset. Käyttöönottopäätös ei olisi siten valmisteluvaihetta koskevana päätöksenä valituskelpoinen oikeudenkäynnistä hallintoasioissa annetun lain 6 §:n 2 momentin perusteella. Käyttöönottopäätöksellä ei välittömästi ratkaistaisi yksittäistapauksessa kenenkään etuun, velvollisuuteen tai oikeudellisesti määriteltyyn etuun liittyvää asiaa. Käyttöönottopäätöksen sekä sen menettelyn ja niiden asiakirjojen, joihin se perustuu, lainmukaisuudesta voisi valittaa osana kussakin tilanteessa annettua viranomaisen yksittäistä automatisoituna tehtyä ratkaisua siten kuin menettelyyn liittyvistä seikoista muutoinkin. Tästä syystä viranomaisen olisi annettava tieto yksittäisen automatisoidun ratkaisun tekemisen yhteydessä myös käyttöönottopäätöksestä, josta ilmenisivät perusteet automaattisen päätöksenteon käytöstä ratkaistussa asiassa.  

Käyttöönottopäätös olisi edellytys sille, että viranomainen voisi ratkaista asian automaattisesti. Jos viranomainen ratkaisisi asian hallintolaissa tarkoitetuissa tilanteissa automaattisesti ilman, että viranomainen olisi tehnyt käyttöönottopäätöstä, kysymys olisi hallintoasian käsittelyssä tapahtuneesta menettelyvirheestä. Siten varsinainen asianosaisen asiassa tehty päätös voitaisiin korjata esimerkiksi hallintolain asiavirheen korjaamista koskevien säännösten perusteella. Menettelyvirhe voidaan korjata myös oikaisuvaatimusmenettelyssä. Hallintotuomioistuimessa menettelyvirheitä arvioidaan oikeudenkäynnistä hallintoasioissa annetun lain mukaisesti. Valitusperusteena olisi tällöin viranomaisen hallintoasiassa tekemä menettelyvirhe eikä varsinaisesti käyttöönottopäätös. Jos viranomaisen menettelyssä ilmenee virheitä, tulisi viranomaisen itse ryhtyä toimenpiteisiin mahdollisesti toimintaprosessissa olevan virheellisen menettelyn korjaamiseksi. Tällainen korjaaminen voi johtaa myös uuden käyttöönottopäätöksen tekemiseen. 

Pykälän 1 momentin ensimmäisessä virkkeessä säädettäisiin toimintaprosessista vastaavalle viranomaiselle velvollisuus tehdä automatisoidun toimintaprosessin käyttöönotosta päätös. Lisäksi käyttöönottopäätös olisi pykälän 2 momentin mukaan tehtävä tilanteissa, joissa toimintaprosessia muutetaan siten, että viranomaisen on arvioitava uudelleen automatisoidun toimintaprosessin käytön edellytyksiä. Päätöksen tekisi se viranomainen, jonka tehtävien hoitamiseksi automatisoitua prosessia käytetään ja jolla on toimivalta ratkaista toimintaprosessissa käsiteltävä asia. Tällaisesta viranomaisesta käytettäisiin säännöksessä nimitystä toimintaprosessista vastaava viranomainen. 

Pykälän 1 momentin toisessa virkkeessä edellytettäisiin käyttöönottopäätöksen tekemistä esittelystä. Käyttöönottopäätöksen tekeminen esittelystä olisi tarpeellista, sillä käyttöönottopäätöksen valmistelussa tarvitaan erityistä osaamista liittyen tehtävän päätöksen asianmukaisuuteen ja laillisuuteen. Edelleen automatisoidun toimintaprosessin luonteen, erityisesti automaattisen ratkaisemisen massaluonteisuuden ja siitä puuttuvan inhimillisen kontrollin takia on tarpeellista, että käyttöönottopäätös tehtäisiin esittelystä. Perustuslakivaliokunta on lisäksi pitänyt keinotekoisena ja näennäisenä mallia, jossa vastuun automatisoidusta päätöksenteosta kantaisi yksistään viraston johtaja (PeVL 7/2019 vp, s. 11), joskin tapauksessa kyse oli ennen kaikkea viraston johtajan vastuun sisällön epätäsmällisyydestä. 

Päätöksen esittelijä vastaisi käyttöönottopäätöksestä esittelijän vastuulla niin kuin perustuslain 118 §:n 2 momentissa säädetään. Esittelijän tulisi valmistella päätös ja laatia perustelut käyttöönottopäätökselle ja siten varmistaa, että käyttöönotolle on laissa säädetyt edellytykset. Momentti sisältäisi luettelonniistä seikoista, joita viranomaisen tulisi sisällyttää käyttöönottopäätökseen. Luettelo ei olisi tyhjentävä, vaan sääntely pitäisi sisällään minimivaatimukset käyttöönottopäätöksen sisällöstä. Momentin 1 kohdan mukaanpäätöksestä tulisi ilmetä se toimintaprosessi, jota käyttöönottopäätös koskee. Mainittu toimintaprosessi tulisi ilmaista samassa muodossa kuin se on määritelty tiedonhallintamalliin, joten päätöksessä mainittaisiin toimintaprosessin nimike. Momentin 2 kohdan mukaan päätöksestä tulisi ilmetä toimintaprosessista vastaava päätöksen tehnyt viranomainen. Käyttöönottopäätöksen tekevä viranomainen ei välttämättä olisi kaikissa tilanteissa vastuussa tietojärjestelmistä, joissa asiaa käsitellään automatisoidussa toimintaprosessissa. Tällaisia tilanteita olisi muun muassa tietojärjestelmissä, joita tuottaa erilliseksi viranomaiseksi organisoitu palvelukeskus. 

Momentin 3 kohdassa säädettäisiin viranomaiselle perusteluvelvollisuus. Viranomaisen tulisi arvioida ennen päätöksentekoa, täyttyvätkö automatisoidun toimintaprosessin käyttöönoton hallintolaissa, tiedonhallintalaissa, tietosuojasääntelyssä sekä mahdollisesti muualla lainsäädännössä säädetyt edellytykset. Hallintolaissa säädettäisiin asian automaattisen ratkaisemisen yleisistä edellytyksistä. Tiedonhallintalaissa puolestaan säädettäisiin käyttöönottomenettelystä ja siihen liittyvistä dokumentointivaatimuksista. Lisäksi erityislainsäädännöstä voi johtua erilaisia vaatimuksia toimintaprosessin käyttöönotolle, kuten tietosuoja-asetuksen perusteella laadittava tietosuojan vaikutustenarvioinnin tekeminen sekä rekisteröidyille annettavat tiedot automatisoidun yksittäispäätökseen liittyvästä henkilötietojen käsittelystä. Käyttöönottopäätös olisi viranomaisen ratkaisu, jossa viranomainen osoittaisi, että automatisoitu toimintaprosessi ja automaattisesti tuotettavat viranomaisen ratkaisut täyttävät oikeusturvalle ja hyvälle hallinnolle säädetyt vaatimukset sekä laissa säädetyt edellytykset. Perustelut muodostaisivat siten kokonaisuuden, josta ilmenisi, miten viranomainen katsoo toimintaprosessin täyttävän laissa säädetyt sisällölliset ja menettelylliset vaatimukset ja että ne on dokumentoitu sekä testattu huolellisesti. 

Perustelujen tulisi olla kattavat, jotta niistä voidaan todentaa, että viranomaisella on olemassa edellytykset automatisoituun päätöksentekoon ilman, että ratkaisuja tarkastaa ja hyväksyy luonnollinen henkilö. Käyttöönottopäätöksen perustelut ovat merkityksellisiä arvioitaessa automatisoidun toimintaprosessin käytön laillisuutta. Kysymys on myös hyvään hallintoon ja oikeusturvaan liittyvien vaatimusten täyttymisestä. Vaikka käyttöönottopäätöksellä ei olisi suoria vaikutuksia asianosaisiin, voi käyttöönottopäätöksellä ja sen perusteluilla olla vaikutuksia yksittäistapauksessa asianosaiselle automatisoidun toimintaprosessin tuotoksena syntyvän asian ratkaisuun. Tällöin esimerkiksi muutoksenhaussa tai laillisuusvalvonnassa joudutaan arvioimaan sitä, täyttävätkö viranomaisen automatisoidulla toimintaprosessilla tuottaman ratkaisun menettelyt laissa säädetyt vaatimukset. Perustelut olisi laadittava niin, että hallintolain 9 §:ssä säädetyt hyvän kielenkäytön vaatimukset täyttyvät. Perustelujen tulisi olla yksittäisen ratkaisun saavalle asianosaiselle ymmärrettäviä. Koska käyttöönottopäätöksen tarkoituksena olisi myös toteuttaa viranomaistoimintaan ja julkisen vallan käyttöön liittyvää, julkisuusperiaatteeseen sisältyvää jokaisen oikeutta valvoa viranomaisen toimintaa, tulisi perusteluiden olla ymmärrettävät jokaiselle.  

Momentin 4 kohdan mukaan päätöksen tulisi sisältää luettelo käyttöönottopäätöksen perusteena olevista asiakirjoista. Tällaisia asiakirjoja ovat 28 a §:ssä tarkoitettu menettelytapojen ja käsittelysääntöjä koskeva dokumentaatio, 28 b §:n 4 momentissa tarkoitettu toimintaprosessin vaatimustenmukaisuuden toteaminen, 28 c §:n 1 momentissa tarkoitettu laadunvalvontaa koskeva suunnitelma, sekä mahdolliset muut asiakirjat, joilla on mainittuja asiakirjoja vastaava merkitys käyttöönottoon liittyvän arvioinnin ja harkinnan kannalta. Asiakirjojen luettelointi käyttöönottopäätöksessä korostaisi viranomaisen selvittämisvelvollisuutta ennen käyttöönottopäätöksen tekemistä. Toisaalta kertynyt asiakirja-aineisto muodostaa perustan käyttöönottopäätökselle. Päätöksen perusteena olevat asiakirjat, kuten automaattisen toimintaprosessin kehittämisen olennainen dokumentaatio on hyväksyttävä viranomaisessa ennen käyttöönottopäätöksen tekemistä. Tämän dokumentaation lainmukaisuudesta vastaisi sen hyväksyjä riippuen siitä, miten tehtäväjako on viranomaisessa 28 a §:n 1 momentin mukaisesti määritelty ja miten muualla laissa vastuista on mahdollisesti säädetty. Olennainen dokumentaatio voi olla niin yksityiskohtaista ja erityisosaamista edellyttävää, ettei käyttöönottopäätöksen esittelijältä välttämättä voi edellyttää vastaavanlaista yksityiskohtaista perehtymistä kuin dokumentaation hyväksyjältä kaikkeen päätöksen perusteena olevissa asiakirjoissa todettuun. Käyttöönottopäätöksen esittelijän olisi kuitenkin todettava tarvittavan dokumentaation olemassaolo, huolehdittava siitä, että dokumentaatio ilmenee käyttöönottopäätöksestä sekä tarkistettava, ettei dokumentaatiosta ilmene esteitä käyttöönotolle. Esimerkiksi tulisi varmistua siitä, että käsittelyvaiheet ja käsittelysäännöt on dokumentoitu, että on olemassa hyväksytty laadunvalvontasuunnitelma, ja että testaustuloksista ei ilmene estettä automaattisen toimintaprosessin käyttöönotolle. 

Käyttöönottopäätöksen perusteena olevien asiakirjojen luettelointi edistää myös asiakirjajulkisuutta ja hallinnon toiminnan läpinäkyvyyttä. Halutessaan asianosainen tiedonsaantioikeuksiensa puitteissa tai muu yleisö voisi saada tietoja asiakirjoista, joihin käyttöönottopäätös perustuu. Näiden asiakirjojen sisällön julkisuus kuitenkin ratkaistaisiin muualla laissa säädetyn perusteella. 

Momentin 5 kohdassa säädettäisiin viranomaisen velvollisuudesta yksilöidä se päivämäärä, jolloin toimintaprosessi on suunniteltu otettavaksi käyttöön. Käyttöönottopäivämäärällä voisi olla merkitystä, kun arvioidaan jälkikäteen toimintaprosessin muutoksia ja niiden lainmukaisuutta. Päivämäärän avulla voitaisiin kiinnittää tiettynä ajankohtana tehty ratkaisu siihen käyttöönottopäätökseen, jonka puitteissa automatisoitu ratkaisu on tehty. Toimintaprosessia ei voitaisi ottaa käyttöön ennen mainittua päivämäärää. Päivämäärällä olisi myös informatiivinen merkitys valvontaviranomaisille. Lisäksi päätöksestä tulisi ilmetä sen tekemisen ajankohta. 

Momentin 6 kohdassa säädettäisiin sen osoittamisesta, kenen virkatoimena käyttöönottopäätös tehdään. Päätöksen tekisi joko yksittäinen virkamies tai toimielin siten kuin viranomaisessa on päätöksentekoon määritelty toimivaltasuhteet esimerkiksi työjärjestyksessä, hallintosäännössä tai projektinhallinnassa. Perustuslain 118 §:ssä säädetty virkavastuu pitää pystyä kohdentamaan siihen virkamieheen, jolla on ollut kyseisessä tilanteessa velvollisuus toimia. Päätöksentekijän tiedolla on myös merkitystä selvitettäessä, onko päätöksen tehnyt viranomaisessa toimivaltainen henkilö tai toimielin. Päätös tehtäisiin esittelystä, jolloin esittelijänä olevalla henkilöllä täytyisi olla asiantuntemus valmistella päätösesitys.  

Momentin 7 kohdassa säädettäisiin, että päätöksestä tulisi ilmetä viranomaisen yhteystieto, josta jokainen voisi saada lisätietoja automatisoidun toimintaprosessin käytön edellytyksistä, niiden soveltamisesta ja muista käyttöönottopäätökseen liittyvistä asioista sekä tarvittaessa esittää tietopyyntöjä liittyen niihin asiakirjoihin, jotka ovat toimineet käyttöönottopäätöksen perusteina. Yhteystiedon tulisi olla sellainen, josta voidaan vastata nimenomaan käyttöönottopäätöstä koskeviin tiedusteluihin, mutta siinä ei tarvitsisi yksilöidä henkilöä, joka lisätietoja antaa. Laissa säädettäisiin nimenomaisesti siitä, että yhteystiedon tulisi olla viranomaisen yhteystieto, joten se ei voisi olla esimerkiksi jonkin tietojärjestelmän toimittajan yhteystieto. Yhteystiedon ei tarvitsisi olla sama, joka ilmenee varsinaisesta hallintopäätöksestä, jossa on ratkaistu yksittäinen asia. Hallintolaissa on säädetty erikseen tuon päätöksen sisällöstä. 

Pykälän 2 momentissa säädettäisiin tilanteesta, jolloin viranomaisen olisi tehtävä uusi käyttöönottopäätös. Ehdotetun 2 momentin mukaan käyttöönottopäätös olisi tehtävä lisäksi toimintaprosessin muutoksista, jotka edellyttävät hallintolain 53 e ja 53 f §:ssä säädettyjen edellytysten arviointia. Toimintaprosessiin voisi kohdistua eri syistä muutoksia, joilla ei olisi kuitenkaan vaikutuksia automatisoidun toimintaprosessin käytön edellytyksiin. Tällaisista muutoksista ei tarvitsisi tehdä uutta käyttöönottopäätöstä. Vähäiset muutokset olisivat esimerkiksi indeksimuutoksia, laskentakaavojen muutoksia sekä teknisistä virhetilanteista johtuvia muutoksia. Tällaisetkin muutokset tulisi dokumentoida ja muutokset versioida asiakirjoihin 28 a §:ssä säädetyllä tavalla. Niin ikään vähäisempienkin muutosten vaatimuksenmukaisuus tulisi varmistaa 28 b §:ssä säädetyllä tavalla, jos muutokset koskevat menettelytapoja, käsittelysääntöjä tai automaattisesti tuotettavien asiakirjojen hyvää kielenkäyttöä. Lainsäädännön tai oikeuskäytännön muuttuessa tai tietojärjestelmien kehittymisen myötä voi kuitenkin syntyä tilanteita, joissa automatisoituun toimintaprosessiin tehdään niin olennaisia muutoksia, että toimintaprosessin automatisoinnin edellytykset on arvioitava uudelleen. Esimerkiksi jos vaihe, jossa on aiemmin käytetty luonnollista henkilöä, muuttuisi automatisoiduksi vaiheeksi tai päinvastoin, tarkoittaisi tämä sellaista muutosta, jonka johdosta toimintaprosessin käytön edellytykset olisi arvioitava uudelleen ja käyttöönotosta on tehtävä uusi päätös. Samaten automatisoitua toimintaprosessia koskevan erityislainsäädännön muutokset todennäköisesti aiheuttaisivat tarpeen uudelle päätökselle. Uusi päätös ei vaikuttaisi ennen uudistetun automatisoidun toimintaprosessin käyttöönottoa toimintaprosessissa tehtyihin ratkaisuihin. Uuden päätöksen perusteena olisivat ne asiakirjat ja niiden versiot, jotka kuvaavat ajantasaisesti käyttöönottoprosessissa noudatettavaa menettelyä sekä käsittelysääntöjä. Uuden käyttöönottopäätöksen pohjana olevat asiakirjat voisivat siten olla versionumeroiltaan aiempaan päätökseen nähden muuttuneet muistakin syistä, joten käyttöönottopäätöksistä ilmenevät versionumerot päätöksen perusteena olevista asiakirjoista eivät välttämättä noudattaisi toisiaan seuraavia versionumeroita. Lähtökohtana voitaisiin pitää sitä, että versionumeroinnissa aloitetaan uusi numerosarja uuden käyttöönottopäätöksen myötä esimerkiksi siten, että aiemman käyttöönottopäätöksen puitteissa tehdyt muutokset ovat alkaneet versionumerolla 1 ja uuden käyttöönottopäätöksen perusteena olevat asiakirjat alkavat versionumerolla 2 ja niin edelleen kuitenkin siten, että kustakin käyttöönottopäätöksestä pystytään aukottomasti todentamaan ne asiakirjat, joihin uusi käyttöönottopäätös perustuu. Uuden käyttöönottopäätöksen tarkoituksena olisi asettaa viranomaiselle velvollisuus osoittaa, että olennaisia käyttöönoton edellytyksiä koskevia muutoksia on arvioitu ennen käyttöönottoa.  

Pykälän 3 momentissa säädettäisiin käyttöönottopäätöksen vähimmäissäilytysajasta. Käyttöönottopäätös olisi säilytettävä vähintään viisi vuotta automatisoidun toimintaprosessin käytöstä poistamista seuraavan kalenterivuoden alusta alkaen. Säilytysvelvollisuudella on tarkoitus varmistaa, että tehdyt kehittämistoimet ja oikeudellinen harkinta voidaan tarvittaessa todentaa riittävän kauan mahdollisia virkavastuukysymyksiä koskevissa selvittelyissä. Säilytysaika vastaisi menettelytapoja ja käsittelysääntöjä koskevan dokumentaation 28 a §:ssä säädettyä vähimmäissäilytysaikaa.  

28 e §. Automatisoidusta toimintaprosessista tiedottaminen. Pykälässä säädettäisiin käyttöönottopäätöksen julkaisuvelvollisuudesta sekä viranomaisen yleisemmästä tiedottamisvelvollisuudesta koskien asioiden automaattista ratkaisemista. Hallintolaissa ehdotetaan säädettäväksi, että viranomaisen olisi annettava tieto yksittäisen automatisoidun ratkaisun tekemisen yhteydessä myös käyttöönottopäätöksestä, josta ilmenisi perusteet automaattisen päätöksenteon käytöstä kussakin ratkaistussa asiassa. Lisäksi viranomaisen olisi kerrottava, mistä käyttöönottopäätös olisi saatavilla. 

Pykälän 1 momentissa ehdotetun mukaisesti käyttöönottopäätös tulisi julkaista yleisessä tietoverkossa viranomaisen verkkosivustolla. Käyttöönottopäätöksen julkaiseminen toteuttaa laajempaa automatisoidun toimintaprosessin ja asian automaattisen ratkaisemisen läpinäkyvyyden edistämistä, kun kuka tahansa voisi tutustua automatisoidun toimintaprosessin käytön perusteisiin ja pyytää halutessaan tarkempaa dokumentaatiota tai lisätietoja automatisoidun toimintaprosessin käytön perusteista. Säännöksellä ei poiketa salassapitoa koskevista säännöksistä. Käyttöönottopäätös tulisi julkaista siltä osin kuin se ei sisällä salassa pidettäviä tietoa.  

Verkkosivustolla tulisi julkaista voimassa oleva käyttöönottopäätös. Tämä tarkoittaa sitä, että jos viranomainen tekee toimintaprosessiinsa sellaisia muutoksia, jotka edellyttävät uuden käyttöönottopäätöksen tekemisetä, tulee viranomaisen julkaista uusi käyttöönottopäätös. Verkkosivustolla ei tarvitsisi pitää saatavilla vanhentuneita käyttöönottopäätöksiä, mutta tällaiseen päätökseen tulee kuitenkin olla pääsy sillä, jonka asian ratkaisu on tehty aiemman käyttöönottopäätöksen perusteella käytössä olleella automatisoidulla toimintaprosessilla. Viranomaisen verkkosivustolla olisi vähintään oltava selkeät ohjeet siitä, mistä ja miten aiemman käyttöönottopäätöksen voi saada. Käyttöönottopäätöksen julkaisuvelvollisuus ei vaikuta päätöksen säilytysaikaan, josta säädettäisiin 28 d §:n 3 momentissa. Siten julkaisuvelvollisuus ei poista viranomaisen velvollisuutta säilyttää käyttöönottopäätöksiä ja antaa niistä tietoja tiedonsaantioikeuksia koskevien säännösten, kuten julkisuuslain, perusteella. 

Pykälän 2 momentissa säädettäisiin julkisuuslain 20 §:n 2 momenttia täydentävästi viranomaisen yleisemmästä velvollisuudesta jakaa tietoa asioiden automaattisesta ratkaisemisesta toimialallaan. Tiedottamisvelvollisuus kohdistuisi erityisesti sellaisiin seikkoihin, jotka ovat merkityksellisiä hallinnon asiakkaan oikeusaseman toteutumisen näkökulmasta. Viranomaisen tulisi tiedottaa automaattisesti ratkaistavasta asiasta sekä automatisoidun toimintaprosessin käytön perusteista. Lisäksi viranomaisella olisi harkintavaltaa sen suhteen, mistä muista asioista on tarkoituksenmukaista tiedottaa automatisoidun toimintaprosessin olennaisen dokumentaation ja käyttöönottopäätöksen perusteella. Tiedottamisen tulisi tapahtua tavalla, jossa asiakkaalle muodostuu automatisoidun toimintaprosessin käyttöön liittyen käsitys siitä, millä perusteella viranomainen ratkaisee asioita automaattisesti ja tullaanko hänen asiansa todennäköisesti käsittelemään automaattisesti. Tiedottamisessa on otettava huomioon hallintolain 9 §:ssä säädetty vaatimus hyvästä kielenkäytöstä. Tiedottamisen on oltava ymmärrettävää ja saavutettavaa. Siinä on huomioitava kielelliset oikeudet sekä erityisryhmien tarpeet. Riittävänä ei siten voida pitää ainoastaan verkkosivuilla tiedottamista, vaan tietojen on oltava saatavilla myös muilla tavoin. 

Automaattisesta ratkaisemisesta tiedottaessaan viranomaisen tulisi kertoa, mitkä asiat viranomaisen ratkaisee automaattisesti. Tiedottamisvelvollisuus automatisoidun toimintaprosessin käytön perusteista tarkoittaisi käytännössä sitä, että viranomaisen tulisi avata verkkosivustolla erikseen käyttöönottopäätöksessä olevia käyttöönoton edellytyksiä. Muita asiakkaan oikeuksien kannalta keskeisiä tiedotettavia seikkoja käyttöönottoon liittyvien asiakirjojen perusteella voisivat olla esimerkiksi syrjimättömyyden varmistaminen sekä kuulemisen toteuttaminen tai toteuttamatta jättäminen sekä selvittämisvelvollisuuden toteuttaminen. Viranomaisen tuottaman tiedon tulisi perustua käyttöönottopäätökseen ja sen perusteena olevaan dokumentoitiin, koska oikeudellinen perusta asian automaattiselle ratkaisemiselle tulee olla kuvattuna muodostuneessa asiakirja-aineistossa. Tiedottaminen tulisi hoitaa siten, että se tehdään kunkin asiaryhmän osalta erikseen. Siten riittävää ei olisi yleiset kuvaukset, joissa informoidaan automaattisesti ratkaistavista asioista.  

Pykälän 2 momentin toisessa virkkeessä säädettäisiin lisäksi viranomaisen velvollisuudesta julkaista tuottamansa tiedot verkkosivustolla. Säännöksellä velvoitettaisiin viranomainen jakamaan asian automaattisesta ratkaisemisesta tietoa verkkosivustollaan. Verkkosivustolla julkaistavat tiedot olisi pidettävä ajan tasalla. Pykälän 2 momentin ensimmäisen virkkeen yleinen tiedottamisvelvollisuus on välineneutraali, eikä siinä määritellä tiedon jakamisen keinoja. Viranomaisella olisikin tiedottamisvelvollisuuden toteuttamisen osalta harkintavaltaa sen suhteen, mitä muita tapoja se käyttää tietojen jakamiseen kuin verkkosivustoaan. 

Julkisuuslain 20 §:ssä säädetään viranomaisen velvollisuudesta tuottaa ja jakaa tietoa. Käyttöönottopäätökseen liittyvistä asioista tiedottamisen tarkoituksena on täydentää tätä vaatimusta. Tiedottamisen tarkoituksena on edistää avointa hallintoa, turvata julkisuusperiaatteen toteutuminen sekä lisätä luottamusta asian automaattiseen ratkaisemiseen. Viranomainen edistäisi julkisuusperiaatteen toteutumista jakamalla tietoa hallinnon asiakkaan oikeusaseman kannalta merkityksellisistä seikoista koskien asian automaattista ratkaisemista. Tiedottaminen toteuttaisi myös automaattisen ratkaisemisen ennakoitavuutta, kun hallinnon asiakkaat voisivat jo ennen asian vireillepanoa saada tietoa siitä, voitaisiinko heidän asiansa ratkaista viranomaisessa automaattisesti. 

Tiedottamisvelvollisuus ei poista niitä velvollisuuksia, joita rekisterinpitäjällä on tietosuoja-asetuksen 13 ja 14 artiklan perusteella koskien rekisteröidyn informoimista automaattisen yksittäispäätöksen tekemisestä. Viranomaisen tulee huolehtia erikseen siitä, että tietosuoja-asetuksessa säädetyt vaatimukset tietojen antamisesta rekisteröidylle täyttyvät ja että tiedot annetaan oikea-aikaisesti rekisteröidylle. Momentissa säädettävä tiedottamisvelvollisuus ei sisällä sääntelyä, jonka perusteella määriteltäisiin, missä tilanteessa tiedottamisvelvollisuuden piiriin kuuluvat tiedot esitettäisiin esimerkiksi osana vireillepanoa. Momentin tarkoituksena on edistää automatisoidun toimintaprosessin läpinäkyvyyttä paitsi hallinnon asiakkaille, myös yhteiskunnalle laajemmin. Toisaalta hallintolaissa ehdotetaan käyttöönottopäätöstä koskien säädettäväksi, että yksittäisen asian ratkaisun yhteydessä tulisi kertoa, mistä käyttöönottopäätös on saatavilla.  

28 f §.Automatisoidun toimintaprosessin käsittelysääntöjen muuttaminen. Pykälässä säädettäisiin automatisoidun toimintaprosessin suojaamisesta oikeudettomalta muuttamiselta sekä menettelyistä, joita tulisi noudattaa, kun prosessia muutetaan. Viranomaisen olisi huolehdittava, että automatisoidussa toimintaprosessissa käytetyt käsittelysäännöt on suojattu oikeudettomalta muuttamiselta. Suojaamisella tarkoitetaan tavanomaisten tietoturvallisuustoimenpiteiden (esimerkiksi tiedon eheyden turvaaminen, pääsynhallinta ja käyttöoikeuksien ajan tasalla pitäminen) lisäksi, että viranomaisen tulisi erityisesti huolehtia, että muutoksia tietojärjestelmän käsittelysääntöihin voidaan tehdä vain ennalta suunnitellusti ja hallitusti. 

Lisäksi pykälässä säädettäisiin velvollisuudesta tallentaa ja säilyttää tiedot käsittelysääntöjen muuttamisesta vähintään viisi vuotta tietojen tallentamista seuraavan kalenterivuoden alusta lukien. Toimintaprosessin muuttamisesta tallennettavat tiedot ovat pääosin henkilötietoja, joten niiden sääntelyssä on otettava huomioon tietosuojan yleissääntely. Tietojen tallentamisen ja säilyttämisen tarkoituksena on, että jälkikäteen voidaan osoittaa, millaisia muutoksia käsittelysääntöihin on tehty, milloin ja kenen toimesta. Näin tehdään mahdolliseksi tietojärjestelmän toiminnan virheiden havaitseminen ja selvittäminen sekä varmistetaan automatisoidun toimintaprosessin sekä asian käsittelyn päättävän ratkaisun lainmukaisuus, asianosaisen oikeusturva ja virkavastuun kohdentuminen.  

Pykälässä ei säädettäisi lokitietojen tiedonsaannista, vaan se ratkaistaisiin julkisuuslain tai erityislakien perusteella. Säännöksessä ei myöskään olisi säädetty, mikä taho käytännössä suorittaisi tallentamisen tai säilyttämisen, koska siihen vaikuttaa tietojärjestelmien kehittämiseen ja käyttöön liittyvät järjestelyt olennaisesti. Joka tapauksessa viranomaisen on varmistettava, että dokumentointi käsittelysääntöihin tehtävistä muutoksista tehdään aukottomasti ja viranomainen olisi säilytettävien tietojen osalta rekisterinpitäjä. Tietojen tallentaminen muutoksista voisi olla automaattista eli lokitietojen keräämistä käsittelysääntöjen muutoksista ohjelmistokoodiin tai muutokset voitaisiin dokumentoida muuten aikajärjestyksessä ja täsmällisesti kuvattuna. Tehdyt muutokset tulisi dokumentoida ja testata siten kuin ehdotetuissa 28 a ja 28 b §:ssä säädettäisiin. 

28 g §. Käyttöönottopäätöksen arviointi. Pykälässä säädettäisiin tiedonhallintalautakunnalle tehtäväksi arvioida 28 d §:ssä säädetyn käyttöönottopäätöksen ja sen perusteena olevien asiakirjojen tiedonhallintalaissa säädettyjen vaatimusten mukaisuutta. Lisäksi lautakunta arvioisi tässä luvussa säädettyjen menettelyjen noudattamista asiakirjoista ilmenevien tietojen perusteella sekä tarvittaessa tarkastuksin. Tiedonhallintalautakunnalle on säädetty tiedonhallintalain 10 ja 11 §:ssä arviointitehtävä, johon sisältyy valtion hallintoviranomaisten, kunnallisten viranomaisten ja hyvinvointialueiden viranomaisten toimintaan kohdistuvaa tiedonhallintalaissa säädettyjen vaatimusten täyttämiseen liittyvää laillisuusarviointia sekä muuten säännösten toteuttamisen arviointia. Ehdotettava uusi arviointitehtävä koskisi myös muita tiedonhallintalain soveltamisalan piiriin kuuluvia viranomaisia ja julkisia hallintotehtäviä hoitavia. Tiedonhallintalautakunta toimisi tiedonhallintalaissa säädettyjen automatisoidun toimintaprosessin dokumentointivaatimusten täyttämistä valvovana viranomaisena suorittamalla arviointia sille toimitettujen käyttöönottopäätösten perusteella. Arviointitehtävään sisältyy myös olennaisena osana viranomaisen neuvontavelvollisuus toimivaltaansa kuuluvista asioista sekä toimivalta antaa ohjeita käyttöönottopäätöksen tekemisestä sekä siihen liittyvien asiakirjojen laatimisesta. Lakiin ei kuitenkaan ehdoteta säädettäväksi erikseen tällaiseen arviointiin liittyvistä oheistehtävistä, koska viranomainen voi laissa säädetyn tehtävänsä alalla antaa ohjeita ilman erityistä valtuutustakin. Ohjeiden antamista koskevat valtuussäännökset ovat omiaan hämärtämään oikeudellisesti sitovien sääntöjen ja suositusluonteisten ohjeiden välistä eroa, jolloin tällaista sääntelyä ei ole pidetty tarpeellisena ja hyväksyttävä (ks. esim. PeVL 6/2003 vp, s. 4/I, PeVL 20/2004 vp, s. 4/I ja PeVL 30/2005 vp, s. 6/II). Ehdotettava uusi tehtävä ei muuttaisi tiedonhallintalautakunnan voimassa olevien tehtävien luonnetta. 

Pykälän 1 momentissa säädettäisiin viranomaiselle velvollisuus toimittaa käyttöönottopäätös tiedonhallintalautakunnalle tiedoksi. Päätös tulisi toimittaa seitsemän päivän kuluessa käyttöönottopäätöksen tekemisestä. Säännöksen tarkoituksena olisi tiedonhallintalaissa säädettyjen automatisoituihin toimintaprosesseihin kohdistuvien vaatimusten täyttämisen valvonta ulkoisena valvontana tiedonhallinnan asiantuntijaviranomaisena toimivassa tiedonhallintalautakunnassa. Tiedonhallintalaissa säädetyt vaatimukset liittyvät käyttöönoton menettelyyn ja dokumentointiin sekä eräiltä osin myös automatisoidun toimintaprosessin käyttöön. Lisäksi sääntely sisältää jonkin verran suojasäännöksiä.  

Momentissa säädettäisiin myös siitä, että tiedonhallintalautakunta päättäisi erikseen toimitettujen käyttöönottopäätösten perusteella arvioinnin suorittamisesta yksittäistapauksessa. Siten kaikkia toimitettuja käyttöönottopäätöksiä ei arvioitaisi lautakunnassa, vaan lautakunnan sihteeristö arvioisi, mitkä käyttöönottopäätökset olisi tarpeen arvioida osana lautakunnan arviointitehtävän toteuttamista. Ehdotetun momentin kolmannesta virkkeestä seuraa, että lautakunnan on tehtävä päätös siitä, otetaanko käyttöönottopäätös arvioitavaksi. Käsittelyn viivytyksettömyydestä ja päätöksen tiedoksiannosta säädetään hallintolaissa. Tiedonhallintalautakunta päättäisi esityksen pohjalta yksittäistapauksissa suoritettavasta arvioinnista. Siten arvioinnit perustuvat lautakunnan tekemiin päätöksiin eikä arviointia ole sidottu esimerkiksi lautakunnan vuosittaiseen arviointisuunnitelmaan. Ehdotettu sääntely ei olisi tarkoitettu ennakkohyväksyntämenettelyksi, vaan automatisoidun toimintaprosessin erityisten vaatimusten noudattamisen valvomiseksi ja kontrolloimiseksi arviointitehtävää suorittamalla tiedonhallintalautakunnan tekemän harkinnan perusteella. Arviointimenettely ei vaikuttaisi viranomaiseen kohdistuviin 6 a luvun muusta sääntelystä syntyviin vastuisiin. 

Tiedonhallintalautakunta ei valvoisi automatisoidun toimintaprosessin sisällöllistä lainmukaisuutta tai muusta lainsäädännöstä, kuten hallintolaista, johtuvien käyttöönottoedellytysten täyttymistä. Tätä valvontaa tekevät tehtäväjakonsa mukaisesti ylimmät laillisuusvalvojat – valtioneuvoston oikeuskansleri ja eduskunnan oikeusasiamies Tietosuojavaltuutettu puolestaan valvoo tietosuoja-asetuksen 55–59 artiklassa ja muussa laissa säädettyjen tehtävä- ja toimivaltuuksien perusteella rekisterinpitäjän automatisoituun toimintaprosessiin liittyvää henkilötietojen käsittelyä. Asian asiamukainen käsittely voi tulla arvioitavaksi myös tuomioistuimessa. Tieto siitä, mitä prosesseja on automatisoitu missäkin viranomaisissa, olisi saatavissa muun laillisuusvalvonnan käyttöön tiedonhallintalautakunnasta. Käyttöönottopäätösten arviointitehtävä olisi tiedonhallintalautakunnan erillinen tehtävä ja se kohdistuisi laajempaan joukkoon tiedonhallintayksikköjä ja niissä toimivia viranomaisia kuin muut tiedonhallintalautakunnan tehtävät. Arviointitehtävä kohdentuisi kaikkiin lain soveltamisalaan kuuluviin viranomaisiin ja niihin rinnastettaviin toimijoihin, jos ne ottavat käyttöön automatisoidun toimintaprosessin hallintoasioissa ja jotka kuuluisivat ehdottavan lain 6 a luvun sääntelyn piiriin.  

Arviointitehtävä ei ulottuisi esimerkiksi tuomioistuinten lainkäyttöön tai ylimpien laillisuusvalvojien laillisuusvalvontatoimintaan. Koska hallintolaissa ehdotetaan säädettäväksi automatisoidun asian ratkaisuun liittyvistä edellytyksistä nimenomaisesti hallintoasioissa, ei pykälään ehdoteta erillistä tuomioistuimiin kohdistuvaa rajaavaa säännöstä. Pykälässä olisi kuitenkin 5 momentissa selvyyden vuoksi rajattu ylimmät laillisuusvalvojat pykälän soveltamisen ulkopuolelle. 

Pykälän 2 momentissa säädettäisiin tiedonhallintalautakunnalle toimivalta suorittaa arviointitehtäväänsä. Lautakunnalle säädettäisiin tiedonsaantioikeudet välttämättömiin käyttöönottopäätökseen liittyviin asiakirjoihin. Näiden asiakirjojen avulla lautakunta selvittäisi, onko käyttöönottopäätöksen perusteena olevien asiakirjojen dokumentaatio tehty tässä laissa säädetyn mukaisesti ja että onko käyttöönotossa noudatettu tässä laissa säädettyjä menettelyjä. 

Pykälän 3 momentissa säädettäisiin lautakunnan tarkastusoikeudesta niissä tilanteissa, joissa arviointitehtävän toteuttaminen sitä välttämättä edellyttää. Tiedonhallintalautakunnalla olisi tällöin oikeus toimittaa tarkastus tiedonhallintayksikön ja sen yhteydessä toimivan viranomaisen toimitiloissa lukuun ottamatta pysyväisluonteiseen asumiseen käytettäviä tiloja. Tiedonhallintayksikön ja sen yhteydessä toimivan viranomaisen olisi avustettava tarkastuksen suorittamisessa esittämällä tarvittavat asiakirjat tarkastajalle. Tiedonhallintalautakunta määräisi sihteeristöstään ne henkilöt, jotka suorittavat tarkastuksen. Tarkastukseen määrätyt sihteerit käyttäisivät yksittäisissä tarkastuksissa lautakunnalle kuuluvia toimivaltuuksia, kuten laatisivat tarvittavat tietopyynnöt ja yhteydenotot, käsittelisivät saadut asiakirjat sekä suorittaisivat tarkastukset ja laatisivat tarkastuspöytäkirjat. Lisäksi ehdotetaan, että tiedonhallintalautakunta voisi päätöksellään valtuuttaa Digi- ja väestötietoviraston virkamiehen avustamaan tarkastuksen toimittamisessa. Digi- ja väestötietoviraston valtuutetulla virkamiehellä olisi samat toimivaltuudet kuin tiedonhallintalautakunnan tarkastajalla. Digi- ja väestötietoviraston virkamies ei voisi tehdä itsenäisesti tarkastuksia, vaan vain tiedonhallintalautakunnan määräämän tarkastajan apuna. Toisaalta Digi- ja väestötietoviraston resurssia voidaan hyödyntää vain siltä osin kuin siihen on käytettävissä riittävän asiantunteva henkilö, jolla on käytettävissä aikaa tarkastuksen avustavaan tehtävään. Ehdotettavalla lailla ei esitetä Digi- ja väestötietovirastolle lisäresursseja, koska säännös on mahdollistava, mutta ei edellytä, että virasto tuottaisi yli sen resurssin, joka virastolla on käytettävissä asiantuntijapalvelujen tuottamiseen tiedonhallintalautakunnalle.  

Pykälän 4 momentissa säädettäisiin lautakunnalle toimivalta osana arviointitehtävän suorittamista kiinnittää viranomaisen huomiota havaittuihin olennaisiin puutteisiin dokumentaatiossa. Lautakunta ei antaisi hallinnollista ohjausta vähäisistä puutteista, mutta tilanteissa, joissa jokin asiakirja puuttuu kokonaan tai se on sisällöltään selvästi keskeneräinen tai puutteellinen, lautakunta voisi kiinnittää huomiota puutteisiin. Tämän lisäksi lautakunta voisi asettaa määräajan, jonka kuluessa viranomaisen olisi ilmoitettava, mihin toimenpiteisiin se on ryhtynyt huomion kiinnittämisen johdosta. Säännöksellä vastuutettaisiin viranomaisia reagoimaan lautakunnan huomion kiinnittämiseen sekä samalla tehostettaisiin kontrollointia siitä, että olennaisimmat puutteet korjattaisiin viranomaisessa. Sinällään lautakunnan antama hallinnollinen ohjaus ei ole viranomaista sitovaa. Olennaisten puutteiden korjaamatta jättäminen voisi kuitenkin tulla arvioitavaksi muissa valvontaviranomaisissa. 

28 h §.Tietojen käyttö automatisoidussa toimintaprosessissa. Pykälässä säädettäisiin viranomaisen velvollisuudesta varmistaa, että automaattisessa ratkaisemisessa käytettävät tiedot ovat ajantasaisia ja virheettömiä. Viranomaisen olisi toteutettava asianmukaiset toimenpiteet, joilla teknisesti varmistetaan automaattisessa ratkaisemisessa käytettävien tietojen ajantasaisuus ja virheettömyys. Asianmukaiset toimenpiteet tulisi määritellä riskiarvioinnin perusteella. Riskiarvioinnissa olisi tunnistettava olennaiset riskit, jotka voivat vaikuttaa automaattisessa ratkaisemisessa käytettävien tietojen ajantasaisuuteen ja virheettömyyteen. Olennaisilla riskeillä tarkoitetaan riskejä, jotka voivat vaikuttaa hallinnon asiakkaan oikeusasemaan haittaavalla tai vahingoittavalla tavalla. Mikäli riskiarvioinnin perusteella automaattisessa päätöksenteossa käytettävien tietojen ajantasaisuuteen ja virheettömyyteen liittyy olennaisia riskejä, tulee viranomaisen toteuttaa sellaiset asianmukaiset kontrollit, joilla pystytään automatisoidussa toimintaprosessissa varmistamaan hyödynnettävien tietojen laatu. Velvollisuus koskee niin viranomaisen omia tietoaineistoja kuin toisen viranomaisen tai muun toimijan tietojen hyödyntämistä. Säännös myös korostaa sitä, että viranomaisen on selvitettävä ja varmistettava automaattisessa ratkaisemisessa hyödyntämänsä tietojen laatu jo aktiivisesti etukäteen. Käytettävien tietojen ajantasaisuus ja virheettömyys ovat keskeisiä tekijöitä asianosaisen oikeusturvan varmistamisessa siten, että toimintaprosessissa tuotettava päätös tai muu ratkaisu on tehty asiallisesti oikein laadukkaan tietopohjan perusteella. Viranomaisella on jo voimassaolevan hallintolain 31 §:n nojalla velvollisuus huolehtia asian riittävästä ja asianmukaisesta selvittämisestä hankkimalla asian ratkaisemiseksi tarpeelliset tiedot ja selvitykset. Säännös täydentäisi hallintolain selvitysvelvollisuuden sisältöä automatisoidun toimintaprosessin yhteydessä velvoittamalla kohdistamaan toimenpiteitä nimenomaisesti tiedon laadun varmistamiseen. Asianmukaisen asiankäsittelyn varmistamisessa tulisi huomioida myös voimassa oleva tiedonhallintalain 13 §:n 1 momentissa säädetty siitä, että tiedonhallintayksikön on selvitettävä olennaiset tietojenkäsittelyyn kohdistuvat riskit ja mitoitettava tietoturvallisuustoimenpiteet riskiarvioinnin mukaisesti. Ehdotettava pykälä täydentäisi tältä osin sääntelyä siten, että toimintavelvoitteita kohdistettaisiin tietoturvallisuustoimenpiteiden lisäksi tiedon oikeellisuuteen ja ajantasaisuuteen. Tietojen laatu ja tiedoissa olleet virheet ovat olleet keskeisessä roolissa useissa laillisuusvalvojien ratkaisuissa (mm. OKV/1242/1/2013, EOAK/5362/019 ja EOAK/5571/2020). 

Tietosuoja-asetuksen johdanto-osan 71 kohdassa pidetään automatisoituihin yksittäispäätöksiin liittyvänä suojatoimena henkilötietojen virheellisyyksiin liittyvien tekijöiden korjaamista ja virheriskien minimointia. Tietosuoja-asetuksen 5 artiklan 1 kohdan d alakohdassa säädetään täsmällisyysperiaatteesta, jonka mukaan henkilötietojen tulisi olla täsmällisiä ja tarpeeksi päivitettyjä ja rekisterinpitäjän on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. Kansallisen tason sääntelyllä on tarkoituksena varmistaa tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan mukaiset riittävät suojatoimet automaattisessa ratkaisemisessa ja olla tietosuoja-asetuksen 5 artiklassa tarkoitettua täsmällisyysperiaatetta tarkempi ja täsmällisempi riittävän virkatoimiin liittyvän velvollisuuden osoittamiseksi. Ehdotetussa pykälässä painotettaisiin ennakolta tapahtuvaa virheiden minimointia ja riskiarvion pohjalta tehtäviä, myös tarvittaessa ennakollisia toimenpiteitä, koska julkista valtaa käytettäessä virheellisten tietojen vaikutukset voivat olla erityisen merkittäviä asianosaisen kannalta ja koska tällaiset vaikutukset voivat tulla toimeenpanokelpoisiksi heti ratkaisun tekemisen jälkeen.  

Lisäksi asioiden automaattinen ratkaiseminen kohdistuu myös muihin kuin luonnollisiin henkilöihin, jolloin tavoitteena on varmistaa, että myös näissä tapauksissa on olemassa riittävät suojatoimet, joilla varmistetaan tietojen oikeellisuus ja ajantasaisuus.  

Rekisteröidyn oikeudesta vaatia virheellisten tietojen poistamista tai oikaisemista säädetään erikseen tietosuoja-asetuksen 16 artiklassa ja päätöksessä olevan virheen korjaamisesta säädetään muualla lainsäädännössä. 

28 i §.Julkisyhteisön työntekijänvirkavastuu. Pykälässä ehdotetaan säädettäväksi julkisyhteisön työntekijän rikosoikeudellisesta virkavastuun laajentamisesta siten, että virkavastuun laajuus ei olisi riippuvaa siitä, minkälaisessa palvelussuhteessa henkilö suorittaa ehdotetussa 6 a luvussa säädettyjä tehtäviä. Pykälä olisi tarpeellinen, koska viranomaisissa tietojärjestelmien kehittämis- ja ylläpitotehtävissä toimii varsin laajasti sekä virkasuhteisia että työsuhteisia henkilöitä.  

Rikoslain 40 luvun 12 §:n 2 momentissa on säädetty julkisyhteisön työntekijään sovellettavista virkarikossäännöksistä. Jos julkisyhteisyön työntekijä käyttää julkista valtaa, häneen sovelletaan pykälän 1 momentin nojalla samoja virkarikossäännöksiä kuin virkamieheen. Ehdotettavassa sääntelyssä osa tehtävistä liittyy vain välillisesti julkisen vallan käyttöön, kuten testauksen suorittaminen. Toisaalta vaikka virkamies tekisi tällaisia välillisesti julkisen vallan käyttöön liittyviä tehtäviä, tulee virkarikossääntely sovellettavaksi häneen virkatehtävistä riippumatta. Rikoslain 40 luvun 11 §:n 5 kohdan b alakohdan mukaan julkista valtaa käyttävällä henkilöllä tarkoitetaan sitä, jonka lain tai asetuksen nojalla taikka viranomaiselta lain tai asetuksen nojalla saadun toimeksiannon perusteella kuuluu osallistua a alakohdassa tarkoitetun päätöksen valmisteluun tekemällä päätösesitys tai -ehdotus, laatimalla selvitys tai suunnitelma, ottamalla näyte tai suorittamalla tarkastus taikka muulla vastaavalla tavalla. Rikoslaissa säädetty julkista valtaa käyttävän henkilön määritelmä ei välttämättä kata kaikkia niitä toimia, jotka tässä luvussa on ehdotettu säädettäväksi viranomaisissa työskentelevien tehtäviksi. Jotta virkavastuu rikosvastuuna toteutuisi automatisoidun toimintaprosessin kehittämisessä ja käyttöönotossa tosiasiallisesti ja vastuu olisi selkeästi ennakoitavissa, on perusteltua säätää erikseen siitä, että tiedonhallintalain 6 a luvussa ehdotettua sääntelyä toteuttavissa tehtävissä toimivat henkilöt kuuluvat kattavasti rikosoikeudellisen virkavastuun piiriin siten kuin sitä sovelletaan virkamiehiin. Tällä myös varmistetaan, että sääntelyyn ei jää aukkoisuutta virkavastuun tosiasiallisessa toteuttamisessa automatisoidun toimintaprosessin kehittämisessä ja käytössä.  

Pykälässä ehdotetaan säädettäväksi, että viranomaisen palveluksessa olevat julkisyhteisön työntekijät toimisivat virkamiehen rikosoikeudellisella virkavastuulla suorittaessaan 6 a luvussa säädettyjä automatisoituun toimintaprosessiin liittyviä tehtäviä. Virkavastuun laajentaminen perustuisi siihen, että automatisoituun toimintaprosessiin liittyvät tehtävät voivat vaikuttaa automaattisesti ratkaistavan asian ratkaisun lopputulokseen ja siten julkisen vallan käyttöön.  

Rikoslain 40 luvun 12 §:n 1 momentin mukaan 40 luvun virkamiestä koskevia säännöksiä sovelletaan myös julkista luottamustehtävää hoitavaan henkilöön ja julkista valtaa käyttävään henkilöön. Lain 40 luvun 12 §:n 2 momentin mukaan luvun 1–3, 5 ja 14 §:ää sovelletaan, viraltapanoseuraamusta lukuun ottamatta, myös julkisyhteisön työntekijään. Automatisoituun toimintaprosessiin liittyvissä tehtävissä ei välttämättä ole kyse ainakaan suorasta julkisen vallan käytöstä tai edes suorista valmistelevista tehtävistä, mutta toimintaprosessin laadulla on keskeinen merkitys automaattisen ratkaisemisen lopputuloksen oikeellisuudelle. Rikoslain edellä kuvatut soveltamisalarajaukset huomioon ottaen esimerkiksi virkavelvollisuuden rikkomista koskevat rikoslain 40 luvun 9 ja 10 § eivät välttämättä ulottuisi automatisoituun toimintaprosessiin liittyviin kehittämistä ja käyttöönottoa koskeviin tehtäviin, joita hoitavat muut kuin virkamiehet, mutta kuitenkin viranomaiseen palvelussuhteessa olevat henkilöt. Tästä syystä ehdotetaan säädettäväksi, että virkamiehen rikosoikeudellinen virkavastuu koskisi kaikkia automatisoituun toimintaprosessiin liittyviä tehtäviä. Selkeyden vuoksi säännöksessä todettaisiin, että rikosoikeudellisiin seuraamuksiin ei kuuluisi viraltapano. 

28 j §. Tehtävien antaminen yksityiselle ja virkavastuu. Pykälässä säädettäisiin mahdollisuudesta antaa tässä laissa säädettäväksi ehdotettavia viranomaiselle kohdistettuja tehtäviä yksityisen hoidettavaksi. Sääntely olisi tarkoitettu sovellettavaksi ja tulkittavaksi vain ehdotetun 6 a luvun soveltamisen yhteydessä. Koska ehdotuksessa tehtävät on säädetty lähtökohtaisesti viranomaisen tehtäviksi, pitäisi tässä sääntely-yhteydessä mahdollistaa erikseen tiettyjen tehtävien antaminen perustuslain 124 §:ssä johtuvista syistä yksityiselle. Siten sääntelyehdotuksessa ei oteta kantaa siihen, miten julkisia hallintotehtäviä arvioidaan muussa tietojärjestelmien tai toimintaprosessien kehittämistyössä sovellettaessa muita tiedonhallintalain tai muun lain säännöksiä. Osittain tehtävät ovat luonteeltaan teknisiä ja avustavia, mutta ne liittyvät julkisen vallan käyttöön ja perusoikeuksien turvaamiseen. Näiden tehtävien siirtämisestä viranomaiskoneiston ulkopuolelle on säädettävä laissa, jos ne liittyvät julkisen vallan käyttöön ja ovat kohdennettuja viranomaiselle (PeVL 30/2012 vp).  

Pykälän mukaan viranomainen voisi antaa 28 b §:ssä tarkoitettuun testaamiseen ja 28 c §:ssä tarkoitettuun teknisten virheiden korjaamiseen liittyviä avustavia tehtäviä hoidettavaksi yksityiselle toimijalle, jolla on siihen riittävät tekniset edellytykset sekä riittävä osaaminen. Kyse olisi teknisluonteisista ja myös teknistä osaamista edellyttävistä tehtävistä, jotka liittyisivät viranomaiselle säädetyksi ehdotettuun tehtäväkokonaisuuteen. Sääntely ei mahdollistaisi sellaisten tehtävien antamista yksityiselle, joissa viranomaisen olisi määriteltävä vastuuhenkilö. Siten testaamisesta vastuussa olevan henkilön tehtävää ei voitaisi antaa ehdotetun perusteella yksityiselle, koska se ei ole vaatimustenmukaisuuden varmistamiseen liittyvä avustava tehtävä. Niin ikään testauksen lopputuloksen todentaminen kuuluu viranomaisen palveluksessa toimivien henkilöiden tehtäviin. Käytännössä yksityinen voisi osallistua testausmenetelmien suunnitteluun, testiaineistojen muodostamiseen ja testaamiseen. Yksityiselle voitaisiin antaa tehtäväksi suorittaa viranomaisen edellä kuvatulla tavalla määrittelemä ja valvoma testaus.  

Virheiden korjaamisen osalta viranomaisen laadunvarmistamissuunnitelmasta olisi 28 c §:n 1 momentin mukaan ilmettävä, miten automatisoidusti ratkaistujen asioiden laatua ja sisällöllistä virheettömyyttä tarkkaillaan, havaitut virheet korjataan ja toimintaprosessiin liittyvä riskejä hallitaan käyttöönoton jälkeen. Viranomaisen olisi myös nimettävä laadunvalvonnalle viranomaisen palveluksessa oleva vastuuhenkilö, jonka tehtävänä on varmistaa laadunvalvonnan toteutuminen suunnitelman mukaisesti. Yksityiselle voitaisiin antaa tehtäväksi virheiden korjaamiseen liittyviä avustavia teknisluonteisia tehtäviä sen perusteella, miten viranomainen on määritellyt virheet korjattaviksi.  

Ehdotetussa pykälässä ehdotetaan myös säädettäväksi, että yksityisen palveluksessa olevat, näitä tehtäviä hoitavat henkilöt toimisivat tehtäviä hoitaessaan virkamiehen rikosoikeudellisella virkavastuulla. Lisäksi säännökseen sisältyisi informatiivinen viittaus vahingonkorvauslakiin. Siten tehtävien hoito yksityisen tuottamina palveluina ei vaikuttaisi virkavastuun arvioimiseen tai toteutumiseen. Selkeyden vuoksi säännöksessä todettaisiin, että rikosoikeudellisiin seuraamuksiin ei kuuluisi viraltapano. 

Voimaantulo- ja siirtymäsäännökset. Lainkohta sisältää voimaantulosäännöksen ja siirtymäsäännökset. 

7.3  Laki digitaalisten palvelujen tarjoamisesta

6 a §. Palveluautomaation käyttö neuvonnassa. Pykälässä säädettäisiin niistä edellytyksistä, joilla digitaalisessa palvelussa voitaisiin käyttää käyttäjän, eli hallinnon asiakkaan, ja automatisoidun toiminnon reaaliaikaisen viestien vaihdon välityksellä tapahtuvaa neuvontaa ja opastusta. Sääntely ei koskisi tilanteita, joissa palveluautomaatiota käytetään automaattisessa asian ratkaisemisessa, eikä sellaista neuvontaa, jonka antaminen ei perustu laissa säädettyyn tehtävään tai velvollisuuteen. Asian automaattisen ratkaisemisen digitaalisessa palvelussa tulisi perustua hallintolaissa ja tiedonhallintalaissa säädettäviin edellytyksiin.  

Monet viranomaiset ovat ottaneet käyttöön erilaisia automatisoituja neuvonta- ja opastuspalveluja (kuten niin kutsuttuja keskustelurobotti- eli chatbot-palveluja), joissa käyttäjä kommunikoi reaaliaikaisesti luonnollisella kielellä digitaalisen palveluautomaation kanssa. Tämä on erona perinteisempiin digitaalisiin palveluihin, kuten tavanomaisiin verkkosivuihin ja –lomakkeisiin, joissa kommunikaatio ei ole kaksisuuntaista tai reaaliaikaista, tai sitä ei käydä luonnollisella kielellä. Säännöksen tarkoituksena olisi varmistaa hyvän hallinnon perusteiden ja hallinnossa asioivan oikeusturvan toteutuminen asettamalla palveluautomaation käyttämiselle eräitä vaatimuksia. Samalla selkeytettäisiin automatisoitujen neuvontapalveluiden sääntelytilaa ja madallettaisiin viranomaisten kynnystä hyödyntää palveluautomaatiota neuvonnassa. Sääntely koskisi vain sellaista neuvontaan tai ohjaukseen liittyvää palveluautomaatiota, jossa ei tuoteta viranomaisen ratkaisua. Asian ratkaisemiseen liittyvän automatisoidun prosessin käyttöönoton edellytyksistä, myös digitaalisissa palveluissa, säädettäisiin tiedonhallintalakiin lisättäväksi ehdotetussa 6 a luvussa. 

Palveluautomaation käyttö on sidottu hallintolaissa säädettyyn neuvontavelvollisuuden toteuttamiseen, joka on perustuslain 124 §:ssä tarkoitettu julkinen hallintotehtävä. Tässä laissa ei ehdoteta säädettäväksi neuvontaan liittyvän julkisen hallintotehtävän antamismahdollisuudesta yksityiselle. Tästä syystä ehdotettavan sääntelyn perusteella viranomaisen on toteutettava myös digitaalisten palvelujen tarjoamisesta annetun lain velvollisuudet, ellei muualla lainsäädännössä ole mahdollistettu neuvontavelvollisuuden toteuttamista yksityisen toteuttamana tai ellei kysymys ole muuten muualla lainsäädännössä säädetyn perusteella julkisen hallintotehtävän hoitamiseen kuuluvasta neuvonnasta. Ehdotettu säännös ei kuitenkaan estäisi viranomaista hankkimasta palveluautomaatiota tai sellaisen tuottamiseen liittyviä teknisluonteisia palveluita yksityiseltä. 

Pykälän 1 momentissa säädettäisiin tarkemmin edellytyksistä reaaliaikaiseen viestinvaihtoon perustuvan palveluautomaation käyttämiselle.  

Momentin 1 kohdan mukaan neuvontaa tuottavaa palveluautomaatiota voitaisiin käyttää, jos palveluautomaatio ei tuota viestien vaihdon aikana viranomaisen ratkaisua. Selvää on, että kyse ei ole hallintolain 8 §:ssä tarkoitetusta neuvonnasta, mikäli neuvonnan aikana hallintoasia ratkaistaan. Kohdan tarkoituksena on selkeyttää säännöksen suhdetta varsinaiseen automaattista ratkaisemista koskevaan sääntelyyn. Jos palveluautomaatio tuottaa automaattisesti ratkaisuja, tulisi sen käyttöönoton edellytykset arvioida 6 a §:n sijaan hallintolakiin ehdotetun uuden 8 b luvun, tiedonhallintalakiin ehdotetun uuden 6 a luvun, tietosuojasääntelyn sekä muun mahdollisesti soveltuvan sääntelyn näkökulmasta. 

Momentin 2 kohdan mukaan viranomaisen olisi ennalta varmistettava, että palveluautomaatiosta tuotettavan neuvonnan tietosisältö on asianmukaista. Säännös käytännössä tarkoittaisi sitä, että viranomaisen on luotava palveluautomaatioon tietosisällöt itse tai ainakin kontrolloitava ja valvottava sen tietosisältöjä. Siten sääntely ei mahdollistaisi sellaista palveluautomaatiota, joka toimisi ilman luonnollisen henkilön kontrollia ja valvontaa. Nykyisin viranomaisissa käytössä oleva palveluautomaatio toimii siten, että sen tietosisältöä kartutetaan ihmisen muodostamilla vastauksilla. Autonomisten palveluautomaatiotoiminnallisuuksien käyttöön liittyy myös Euroopan unionissa valmisteilla oleva tekoälysääntely. Lisäksi tällaiseen autonomiseen palveluautomaation käyttöön liittyy vielä ratkaisemattomia kysymyksiä virkavastuun toteuttamisesta, joten sääntelylle ei ole tässä vaiheessa riittäviä mahdollisuuksia. Sinällään nykyisin käytössä olevaan palveluautomaatioon liittyvät kysymykset ovat ratkaistavissa samalla tavalla kuin muuten kun viranomainen julkaisee neuvoja ja ohjeita verkkosivustollaan. Neuvojen ja ohjeiden laatija tai hyväksyjä vastaa virkatoimistaan neuvontatarkoituksia varten luotavia sisältöjä muodostaessaan. Sääntelyllä halutaan varmistaa, että hyvään hallintoon ja oikeusturvaan sekä virkavastuuseen liittyvät kysymykset tulee huomioiduksi palveluautomaation sisältöjä tuotettaessa. Sääntely ei koskisi palveluautomaation tietosisältöjen muuntamista tekniseen muotoon, tietosisältöjen syöttämiseen liittyvien teknisten toiminnallisuuksien kehittämistä tai tietosisältöjen sisällyttämistä palveluautomaatioon teknisluonteisena tehtävänä, vaan sen tarkoituksena on varmistaa, että viranomainen laatii neuvonnan sisällön ja tekee siihen mahdollisesti sisältyvän oikeudellisen harkinnan, ellei neuvontatehtävän antamista yksityiselle ole muualla laissa tehty mahdolliseksi. 

Momentin 3 kohdan mukaan viranomaisen tulisi varmistaa, että viestien vaihdossa käytettävän palveluautomaation kieli täyttää hyvän kielenkäytön vaatimuksen. Se, mitä kieliä palveluautomaatiossa on käytettävä, ratkaistaan kielilainsäädännön perusteella. Hallintolain 9 §:ssä on säädetty hyvän kielenkäytön vaatimuksesta yleisesti viranomaisessa, mutta ehdotettavalla säännöksellä kohdennettaisiin viranomaiselle velvollisuus varmistua palveluautomaation käyttämän kielen laadusta. Säännöksen tarkoituksena on minimoida riskejä, jotka voisivat johtaa tilanteeseen, jossa viranomainen antaisi palveluautomaation avulla puutteellista, virheellistä tai väärin tulkittavaa tietoa neuvonnan tai ohjauksen yhteydessä. Varmistaminen voi tapahtua esimerkiksi testaamalla palveluautomaatiota riittävästi ennen sen käyttöä, täydentämällä palveluautomaation tietosisältöä tuotantokäytön aikana sekä huolehtimalla siitä, että palveluautomaation käyttämät, etukäteen laaditut tekstisisällöt on laadittu ymmärrettävällä kielellä. Säännöksessä tarkoitettu ymmärrettävyyden vaatimus olisi laajempi kuin saavutettavuusvaatimuksiin sisältyvä ymmärrettävyyden vaatimus, joka on sisällöllisesti teknisluonteinen. Siten ehdotetun säännöksen täytäntöön panemiseksi ei riittäisi, että palveluautomaation sisältö täyttää saavutettavuusvaatimuksena säädetyn teknisluonteisen ymmärrettävyyden vaatimukset. 

Momentin 4 kohdan mukaan käyttäjälle olisi kerrottava siitä, että hän on vuorovaikutuksessa reaaliaikaisessa viestien vaihdossa palveluautomaation kanssa. Säännöksen tarkoituksena olisi varmistaa, että käyttäjä ymmärtää, että hän ei kommunikoi luonnollisen henkilön kanssa palvelutilanteessa eikä esimerkiksi keskustele neuvontatarpeestaan viranomaisessa neuvontatehtäviä hoitavan virkamiehen kanssa. Jos asioinnin aikana luonnollinen henkilö alkaa käydä keskustelua käyttäjän kanssa palveluautomaation sijaan esimerkiksi teknisen ongelman vuoksi tai koska palveluautomaatio ei pystykään antamaan sopivaa neuvontaa, olisi tästäkin kerrottava käyttäjälle. 

Momentin 5 kohdassa säädettäisiin velvollisuudesta tarjota käyttäjälle mahdollisuus ottaa yhteyttä neuvontatilanteeseensa liittyvään, viranomaisessa toimivaan luonnolliseen henkilöön asioinnin jatkamiseksi. Säännöksen tarkoituksena olisi mahdollistaa käyttäjille katkeamaton palveluketju neuvontatilanteessa, jos käyttäjä ei saa riittävää neuvontaa palveluautomaatiolta. Se, miten viranomainen toteuttaisi tällaisen mahdollisuuden jatkaa palvelua luonnollisen henkilön kanssa, jäisi viranomaisen harkintaan. Olennaista olisi se, että käyttäjälle tarjotaan riittävä tieto siitä, miten ja missä asiointia voi jatkaa luonnollisen henkilön kanssa, kuten sähköpostitse tai puhelimitse yhteystietoineen. Viranomaisen palveluaikoina mahdollisuus voisi tarkoittaa myös sitä, että viestien vaihto jatkuisi katkeamatta luonnollisen henkilön kanssa, josta olisi luonnollisesti 4 kohdan mukaisesti kerrottava käyttäjälle. Katkeamattomuutta ei kuitenkaan arvioitaisi pelkästään ajallisesti, vaan niin, että hallinnon asiakkaan näkökulmasta asia tulee asianmukaisesti hoidetuksi ja että hallinnon asiakas tulee kohdelluksi yhdenvertaisesti muiden viranomaisessa asioivien kanssa. Palveluautomaatiota käyttäneelle asiakkaalle ei olisi esimerkiksi välttämätöntä ehdotetun nojalla tarjota välitöntä puhelinyhteyttä ohi muiden viranomaisen kanssa puhelimitse asioivien asiakkaiden. Palveluaikojen ulkopuolella yhteystiedon antamisen sijaan tai lisäksi viestien vaihto tai käyttäjän laatima kysymys tai viesti voitaisiin välittää suoraan viranomaiselle palveluaikana vastattavaksi esimerkiksi sähköpostitse. Palveluautomaatiossa käyttäjälle on lisäksi viestittävä, mikäli palveluautomaatio ei osaa vastata käyttäjän esittämiin kysymyksiin, ja ohjattava käyttäjä tällaisessa tilanteessa ottamaan yhteyttä luonnolliseen henkilöön. Jos kyse on neuvonnasta, joka ei kuulu viranomaisen toimivaltaan, olisi palveluautomaatiossa opastettava asiakas oikeaan viranomaiseen niin kuin hallintolain 8 §:n 2 momentissa edellytetään. Säännös ei estäisi tässä tapauksessa asiakkaan ohjaamista toimivaltaisen viranomaisen palveluautomaation käyttäjäksi, ja toimivaltaisen viranomaisen palveluautomaatio puolestaan tarvittaessa tarjoaisi mahdollisuutta ottaa yhteyttä toimivaltaisessa viranomaisessa toimivaan luonnolliseen henkilöön. 

Momentin 6 kohdassa säädettäisiin viestienvaihdon tallentamisesta. Momentin 6 kohdan mukaan käyttäjällä tulisi olla mahdollisuus keskustelun tallentamiseen. Tallentaminen voisi tapahtua suoraan palveluautomaation käyttöliittymässä olevan valikon tai painikkeen kautta, jolloin viestit voitaisiin tallentaa tiedostoon, jonka käyttäjä lataa koneelleen, tai jonka viranomainen lähettää käyttäjän antamaan sähköpostiosoitteeseen. Tallentaminen voisi tapahtua myös muulla asianmukaisella tavalla, esimerkiksi niin, että käyttäjä voi halutessaan kopioida viestienvaihdon käyttöliittymästä ja liittää ja tallentaa sen omalla laitteellaan olevaan tiedostoon.  

Momentin 6 kohta olisi tarpeellinen palvelun käyttäjän oikeusturvan takaamiseksi neuvontatilanteessa. Oikeuskäytännössä ja laillisuusvalvontakäytännössä on katsottu, että neuvontatilanteissa sekä verkkosivustojen sisällössä olevat virheelliset neuvot voivat muodostaa hallinnon asiakkaalle luottamuksen suojan (esimerkiksi korkeimman hallinto-oikeuden ratkaisu KHO:2006:90). Käyttäjän tallentaman viestienvaihdon perusteella viranomaisen olisi mahdollista tarvittaessa toistaa palveluautomaatiossa käyty viestienvaihto ja selvittää mahdollinen viestienvaihdossa ilmennyt virhe.  

Pykälän 2 momentissa säädettäisiin palveluautomaation laaduntarkkailuun liittyvistä vaatimuksista. Ehdotuksen mukaan viranomaisen olisi seurattava automatisoitujen toimintojen laatua ja muuta asianmukaisuutta. Viranomaisen olisi nimettävä seurannasta vastaava henkilö, jonka tehtävänä olisi huolehtia myös laaduntarkkailun toteuttamisesta. Laadulla tarkoitettaisiin erityisesti sitä, että palveluautomaation viestinvaihto vastaa viranomaisen sille asettamia vaatimuksia tietosisällön osalta, että palveluautomaatio on sopiva tarkoitukseensa ja pystyy tarjoamaan hallinnon asiakkaille neuvontaa, ja että palveluautomaation kielenkäyttö on asiallista, selkeää ja ymmärrettävää. Säännös vahvistaisi palveluautomaation ihmiskontrollia. Palveluautomaation laaduntarkkailuun kiinnitettäisiin myös toimintavelvollisuus, jonka toteuttamiseen liittyisi myös virkavastuu. Vastuuhenkilön tulisi olla viranomaisessa työskentelevä, joten vastuuhenkilönä ei voisi toimia yksityinen. Säännös ei estäisi yksityisen tuottaman palveluautomaation hankkimista, tällaisen palveluautomaatiotuotteen räätälöintiä viranomaisen tarpeisiin tai yksityisten toimijoiden hyödyntämistä palveluautomaation teknisessä tuottamisessa. Säännöksen tarkoituksena on varmistaa, että viranomaisen käyttämä palveluautomaatio riippumatta sen toimitus- tai tuottamistavasta vastaisi viranomaisen sille asettamia vaatimuksia. Vaatimukset perustuisivat sovellettavaan lainsäädäntöön sekä viranomaisen omiin tarpeisiin ja menettelytapoihin, jotka ovat välttämättömiä palveluautomaation asianmukaiselle toiminnalle. 

Pykälän 3 momentissa viitattaisiin tiedonhallintalain 28 b §:ään. Viranomaisen tulisi varmistaa palveluautomaation vaatimustenmukaisuus testaamalla ennen sen käyttöönottoa siten kuin tiedonhallintalain 28 b §:ssä olisi säädetty automatisoidun toimintaprosessin vaatimustenmukaisuuden varmistamisesta. Käytännössä 3 momentti edellyttäisi, että testaukselle on nimettävä vastuuhenkilö, testauksen on oltava suunnitelmallista ja siinä on käytettävä asianmukaisia testausmenetelmiä ja testiaineistoja, että testitulokset sekä havaittujen virheiden ja puutteiden korjaavat toimet on dokumentoitava, ja että testaamista suorittavan henkilön on käytettävä viranomaisen määrittelemää testausmenetelmää, suoritettava testaus määritellyllä testiaineistolla ja dokumentoitava testaustulokset huolellisesti. Säännöksen tarkoituksena on varmistaa, että viranomaisen palveluautomaatiota ei oteta käyttöön ennen kuin viranomainen on varmistanut testaamalla, että se vastaa viranomaisen sille asettamia vaatimuksia. Kyse olisi edellä 2 momentissa mainittua laaduntarkkailua vastaavasta velvoitteesta, joka kuitenkin tapahtuisi ennen palveluautomaation käyttöönottoa eikä vasta sen jo ollessa käytössä. Säännös on tarpeellinen, koska palveluautomaation käyttöön olisi tuotava ennakollinen ihmiskontrolli ja koska käyttöönottotoimiin liittyvä vaatimustenmukaisuuden varmistaminen olisi sidottava tiedonhallintalaissa säädettyihin toimintavelvollisuuksiin, joiden toteuttaminen tehdään virkavastuulla. Säännös ei koskisi muuta kuin viranomaisen ennen käyttöönottoa tekemää testaamista, eli se ei koskisi esimerkiksi palveluautomaation kehittämisen yhteydessä tehtävää muuta testaamista tai yksityisen tuottaman valmisohjelmiston laadunvalvontaa yksityisen toimesta. 

Voimaantulo- ja siirtymäsäännökset. Lainkohta sisältää voimaantulosäännöksen ja siirtymäsäännöksen. 

7.4  Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

13 §. Pykälään ehdotetaan lisättäväksi uusi 2 momentti, jossa säädettäisiin henkilötietojen käsittelystä rikosasioiden tietosuojalain soveltamisalaan kuuluvan käsittelyn osalta automaattisen päätöksenteon mahdollistamisesta, kun kyse on hallintoasioista.  

Pykälän tarkoituksena olisi vastaavasti säätää poikkeus ja mahdollistaa rikosasioiden tietosuojalain soveltamisalalla hallintoasian automaattinen ratkaiseminen. Rikosasioiden tietosuojadirektiivin 11 artiklan 1 kohdan mukaan poikkeuksesta säädettäessä jäsenvaltion lainsäädännössä on otettava huomioon rekisteröidyn oikeuksia ja vapauksia koskevat asianmukaiset suojatoimet, vähintään oikeus vaatia, että käsittelyyn osallistuu rekisterinpitäjän puolesta ihminen. Direktiivin johdanto-osan 38 perustelukappaleen mukaan asianmukaisiin suojatoimiin kuuluisivat käsittelystä ilmoittaminen rekisteröidylle ja oikeus ihmisen suorittamaan interventioon, erityisesti jotta rekisteröity voisi esittää oman kantansa, saada selvityksen kyseisen arvioinnin jälkeen tehdystä päätöksestä tai riitauttaa päätöksen. 

Voimassaolevan 13 §:n mukaan, jollei laissa toisin säädetä, päätöstä ei saa tehdä pelkästään automatisoidun henkilötietojen käsittelyn perusteella, jos päätöksellä on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai se on muutoin hänen kannaltaan merkittävä. 

Ehdotetun uuden 2 momentin mukaan edellä 1 momentissa säädetystä poiketen toimivaltainen viranomainen voi ratkaista hallintoasian pelkästään automatisoidun henkilötietojen käsittelyn perusteella, jos asia ratkaistaan hallintolain 8 b luvussa tarkoitetulla tavalla automaattisesti. Hallintoasioilla tarkoitetaan hallintolain soveltamisalaan kuuluvia hallintoasioita. Näihin eivät hallintolain 4 §:n 1 momentin mukaan kuulu lainkäyttö, esitutkinta, poliisitutkinta eikä ulosotto. 

Koska sekä voimassa oleva 13 § että hallintolain 5 §:n 1 momentti osoittavat sääntelyn toissijaisuutta, on 13 §:n 2 momentiksi lisättävä uusi säännös rikosasioiden tietosuojalain piiriin kuuluvia henkilötietoja sisältävien hallintoasioiden automaattisesta ratkaisemisesta. Kuten hallintolain 53 e §:n 1 momentissa säädettäisiin, hallintolain 8 b luvussa säädettäisiin niistä lisäedellytyksistä, joiden on muualla laissa säädetyn lisäksi täytyttävä, jotta viranomainen voi tehdä asiankäsittelyn päättävän ratkaisun automaattisella tietojenkäsittelyllä ennalta määriteltyjen käsittelysääntöjen perusteella ilman, että ratkaisun tarkastaa ja hyväksyy luonnollinen henkilö. 

Momentissa tarkoitettuja hallintoasioita, jotka olisi mahdollista ratkaista automaattisesti, olisivat ainakin eräät rangaistuksen täytäntöönpanoon liittyvät hallintopäätökset. Näitä olisivat Oikeusrekisterikeskuksen sakon maksuajan myöntämistä koskevat päätökset ja Rikosseuraamuslaitoksen rangaistusaikapäätökset sekä vangin käyttörahaa ja ruokarahaa koskevat päätökset.  

Voimaantulosäännös. Lainkohta sisältää voimaantulosäännöksen. 

7.5  Maakaari

5 luku Kirjaamisasioita ja sähköisiä asiointijärjestelmiä koskevat yleiset säännökset 

2 §.Kirjaamisviranomainen. Pykälän 2 momentista ehdotetaan poistettavaksi säännös kirjaamisasian ratkaisemisesta Maanmittauslaitoksen palveluksessa virkasuhteessa oleva kirjaamislakimiehen tai muun tehtävään määrätyn Maanmittauslaitoksen henkilökuntaan kuuluvan toimesta. Säännöksen poistaminen mahdollistaa sen, että Maanmittauslaitoksen nykyistä kirjaamiskäytäntöä vastaavaa automaattista päätöksentekoa voidaan jatkaa esitetyn hallintolain muutoksen tullessa voimaan. 

Voimaantulosäännös. Lainkohta sisältää voimaantulosäännöksen. 

10.1  Esityksen riippuvuus muista esityksistä

Esityksellä ei ole riippuvuutta muihin eduskunnan käsiteltävänä oleviin hallituksen esityksiin.  

10.2  Suhde talousarvioesitykseen

Esitys liittyy valtion vuoden 2023 talousarvioesitykseen ja on tarkoitettu käsiteltäväksi sen yhteydessä. 

11.1  Lähtökohdat

Perustuslakivaliokunta on todennut, että automaattiseen päätöksentekoon liittyy sellaisia perusoikeuksiin ja julkisen vallan käyttöön liittyviä erittäin laajakantoisia oikeudellisia erityiskysymyksiä, joita pitäisi arvioida yleislainsäädännön kehittämistarpeiden kautta (PeVL 7/2019 vp, PeVL 62/2018 vp, PeVL 70/2018 vp, PeVL 78/2018 vp). Perustuslakivaliokunta on katsonut, että valtioneuvoston tulee selvittää huolellisesti ja hyvää lainvalmistelumenettelyä noudattaen automatisoitua päätöksentekoa sääntelevän yleislainsäädännön muutostarpeet ja valmistella tarvittaessa automatisoitua päätöksentekoa koskeva yleinen lainsäädäntö, jota voidaan mahdollisesti täsmentää hallinnonalan erityispiirteet huomioonottavilla erityislaeilla (PeVL 7/2019 vp). 

Esityksessä ehdotetaan säädettäväksi automatisoitua päätöksentekoa koskeva menettelyllinen yleislainsäädäntö. Esityksessä ehdotetaan lisättäväksi hallintolakiin uusi 8 b luku, jossa säädettäisiin asian automaattisen ratkaisemisen edellytyksistä. Lisäksi tiedonhallintalakiin ehdotetaan lisättäväksi uusi 6 a luku, jossa säädettäisiin niistä edellytyksistä, joiden perusteella automaattisen asian ratkaisemisen mahdollistava toimintaprosessi voitaisiin ottaa käyttöön. Uusi sääntely muodostaa kiinteän kokonaisuuden, jonka tarkoituksena on varmistaa perustuslaista johtuvien vaatimuksien toteutuminen ratkaistaessa hallintoasioita automaattisesti. Kyse on menettelylainsäädännöstä. Hallintolakiin ja tiedonhallintalakiin ehdotettava sääntely hallintoasian ratkaisemisesta automaattisesti on merkityksellinen perustuslain 2 §:n 3 momentissa säädetyn lakisidonnaisuuden ja lainalaisuuden kannalta, perustuslain 6 §:ssä säädetyn yhdenvertaisuutta koskevan sekä perustuslain 21 §:ssä säädetyn oikeusturvaa ja hyvää hallintoa koskevien perusoikeuksien kannalta. Ehdotus vaikuttaa myös perustuslain 118 §:ssä säädetyn virkavastuun tosiasialliseen toteuttamiseen. Tiedonhallintalakiin ehdotetaan lisäksi säännöstä, jota on arvioitava perustuslain 124 §:n kannalta (julkisen hallintotehtävän antaminen yksityiselle).  

11.2  Lainalaisuusperiaate, julkisen toiminnan lakisidonnaisuus ja virkavastuu

Perustuslain 2 §:n 3 momentissa säädetään hallinnon lainalaisuusperiaatteesta, jonka mukaan julkisen vallan käytön tulee perustua lakiin. Perustuslain 80 §:n 1 momentin mukaan yksilön oikeuksien ja velvollisuuksien perusteista on säädettävä lailla. Lisäksi perustuslain 2 §:n 3 momentin mukaan kaikessa julkisessa toiminnassa on noudatettava tarkoin lakia. Julkisen vallan käyttöön liittyvän lainalaisuusperiaatteen toteuttamiseen vaikuttaa myös yksilötasolle kohdistettu virkavastuusääntely. Perustuslain 118 §:n 1 momentin mukaan virkamies vastaa virkatoimiensa lainmukaisuudesta. Virkamies on myös vastuussa sellaisesta monijäsenisen toimielimen päätöksestä, jota hän on toimielimen jäsenenä kannattanut. 

Sääntely tarkoittaa, että julkisen vallan käyttäjällä on oltava viime kädessä toiminnalleen perusteena toimivaltasäännös. Yksilötasolla julkisen vallan käyttäjä vastaa siitä, että hänen tehtäviensä hoidossa noudatetaan tarkoin lakia. 

Perustuslain 118 §:n 3 momentin ensimmäisen virkkeen mukaan jokaisella, joka on kärsinyt oikeudenloukkauksen tai vahinkoa virkamiehen tai muun julkista tehtävää hoitavan henkilön lainvastaisen toimenpiteen tai laiminlyönnin vuoksi, on oikeus vaatia tämän tuomitsemista rangaistukseen sekä vahingonkorvausta julkisyhteisöltä taikka virkamieheltä tai muulta julkista tehtävää hoitavalta sen mukaan kuin lailla säädetään. Perustuslain 8 §:ssä säädetty rikosoikeudellinen laillisuusperiaate sisältää lain täsmällisyyteen kohdistuvan erityisen vaatimuksen. Sen mukaan kunkin rikoksen tunnusmerkistö on ilmaistava laissa riittävällä täsmällisyydellä siten, että lain sanamuodon perusteella on ennakoitavissa, onko jokin teko tai laiminlyönti rangaistavaa (PeVL 7/2019 vp, s. 11).  

Perustuslakivaliokunnan mukaan perustuslain säännökset hallinnon lainalaisuusperiaatteesta sekä virkamiehen vastuusta ilmentävät virkamieshallinnon periaatetta (PeVL 19/1985 vp, s. 3/II, PeVL 70/2018 vp, s. 4). Valiokunnan käytännössä on lisäksi vakiintuneesti katsottu esimerkiksi, että annettaessa julkinen hallintotehtävä muun kuin viranomaisen tehtäväksi oikeusturvan ja hyvän hallinnon vaatimusten toteutumisen varmistaminen edellyttää muun muassa, että asian käsittelyssä noudatetaan hallinnon yleislakeja ja että asioita käsittelevät toimivat virkavastuulla (PeVL 26/2017 vp, s. 49, PeVL 33/2004 vp, s. 7/II, PeVL 46/2002 vp, s. 10). Perustuslakivaliokunta on arvioidessaan automaattista päätöksentekoa kiinnittänyt huomiota hallinnon lainalaisuuteen ja virkavastuuseen (esimerkiksi PeVL 62/2018 vp, s. 8—9 ja PeVL 7/2019 vp, s. 11). 

Hallituksen esityksessä ehdotetaan säädettäväksi niistä perusteista, joilla lainalaisuusperiaatteesta johtuvat vaatimukset tulevat täytetyksi viranomaisessa ratkaistaessa asioita automaattisesti. Esityksessä säädettäisiin myös siitä, miten automaattisesti ratkaistavien asioiden toimintaprosessin kehittämisessä, käyttöönotossa ja käytössä virkavastuu kohdentuu virkamieheen tai muuhun julkista hallintotehtävää hoitavaan henkilöön. Ehdotus sisältää tiedonhallintalain 6 a luvussa täsmälliset velvollisuudet, joita olisi noudatettava, jotta automatisoidun asian ratkaisun mahdollistava toimintaprosessi voitaisiin ottaa käyttöön. Siten sääntely muodostaisi kokonaisuuden, jossa säädettäisiin automatisoituun toimintaprosessiin ja sillä tehtäviin automatisoituihin ratkaisuihin liittyvistä erityisistä toimintavelvollisuuksista, jotka olisi kohdennettava viranomaisessa tiettyihin nimettyihin henkilöihin, joiden vastuut ja velvollisuuksien täyttäminen voidaan jälkikäteen todentaa. Virkavastuun kohdentaminen perustuisi yhtäältä laissa säädettyihin vaatimuksiin ja toisaalta viranomaisessa tehtävään automatisoidun toimintaprosessin kehittämiseen, käyttöönottoon ja käyttöön liittyvien vastuiden määrittelyyn. Ehdotetun sääntelyn perusteella määräytyisivät ne tehtävät ja niihin sisältyvät velvollisuudet, joiden toteuttamisesta nimetty henkilö olisi virkavastuussa.  

Perustuslakivaliokunta on pitänyt selvänä, ettei päätöksenteon siirtäminen automaattiseen käsittelyyn saa johtaa siihen, että virkavastuuta koskevat perustuslain säännökset menettävät merkityksensä. Hyväksyttävänä ei ole voitu pitää sitä, että virkavastuun toteutuminen olisi näennäistä tai keinotekoista (PeVL 7/2019 vp, s. 11). 

Kun päätös ratkaistaan automaattisesti, päätöksen muodostaminen ei tapahdu virkamiehen myötävaikutuksella. Päätös voidaan muodostaa ja antaa automaattisesti toimintaprosessin tuloksena. Automatisoidut toimintaprosessit muodostavat asiaan ratkaisun ennalta määriteltyjen käsittelysääntöjen perusteella. Nämä käsittelysäännöt on laadittava viranomaisessa ennakkoon, ennen yksittäisen asian käsittelyä, virkavalmisteluna. Tätä lakiin ja sen tulkintaan perustuvien käsittelysääntöjen määrittelyä ja laatimista voidaan luonnehtia julkisen vallan käyttöön liittyväksi valmistelevaksi tehtäväksi, jonka perusteella teknisesti käsittelysäännöt koodataan automatisoiduksi toimintaprosessiksi. Tällöin automatisoidussa toimintaprosessissa tuotettu ratkaisu perustuu viranomaisessa määriteltyihin käsittelysääntöihin eikä automatisoitu toimintaprosessi toimi itsenäisesti ratkaisuja tuottaessaan. Tällaisessa tilanteessa lainalaisuusperiaatteen mukaisesti julkisen vallan käyttö perustuu lakiin ja sen tulkintaan perustuviin käsittelysääntöihin ja automatisoidun toimintaprosessin käyttö hallintolaissa, tiedonhallintalaissa ja muissa erityislaeissa säädettyihin edellytyksiin. Käsittelysäännöt ja niitä koskeva harkinta viranomaisen olisi dokumentoitava tiedonhallintalain 28 a §:n mukaisesti ja automatisoidun toimintaprosessin käyttöönoton edellytykset olisi arvioitava ja dokumentoitava tiedonhallintalain 28 d §:n mukaisesti käyttöönottopäätöksessä.  

Ehdotettu sääntely sisältäisi yksityiskohtaisia velvollisuuksia dokumentoinnin laativille henkilöille, jotka lähtökohtaisesti olisivat virkamiehiä. Viranomaisen tulisi määritellä tiedonhallintalain 28 a §:n 1 momentin nojalla ne henkilöt, jotka hoitavat ehdotetun lain 6 a luvussa tarkoitettuja tehtäviä. Säännöksen perusteella on siten kohdistettavissa viranomaisen tekemän sisäisen määräyksen perusteella ne virkamiehet tai muut julkista tehtävää hoitavat henkilöt, jotka olisivat velvollisia noudattamaan tiedonhallintalain 6 a luvun säännöksiä sekä samalla ottamaan huomioon myös muualla laissa säädetyt vaatimukset asiankäsittelystä viranomaisessa. Tiedonhallintalaissa säädettäisiin myös velvollisuuksia kohdennetusti tiettyihin tehtäviin. Esimerkiksi tiedonhallintalain 28 a §:n mukaan käsittelysäännöt olisi hyväksyttävä erikseen viranomaisessa. Hyväksyjän tulisi tarkastaa, että käsittelysääntöjä sisältävien asiakirjojen sisältö täyttää tiedonhallintalaissa tai muussa laissa säädetyt vaatimukset. Muulla lainsäädännöllä tarkoitettaisiin asian ratkaisemiseen vaikuttavaa menettelysääntelyä sekä aineellista sääntelyä. Puolestaan käyttöönottopäätöksen valmistelu olisi kohdistettu esittelijälle, jonka virkavastuun perusteista on säädetty perustuslain 118 §:n 2 momentissa ja johon sisältyisi mahdollisuus esittää eriävä mielipide. Käyttöönottopäätöksen esittelijän tehtävänä olisi varmistaa, että käyttöönotolle on laissa säädetyt perustelut ja että käyttöönottopäätös täyttää sille 28 d §:ssä säädetyt vaatimukset. Esittelijä vastaa myös muusta käyttöönottopäätöksen asianmukaisesta valmistelusta, kuten sen varmistamisesta että viranomainen on todennut automatisoidun toimintaprosessin vaatimusten mukaiseksi testitulosten perusteella 28 b §:n 4 momentin mukaisesti ja että laadunvalvonnasta on laadittu tiedonhallintalain 28 c §:ssä tarkoitettu suunnitelma.  

Kokonaisvastuu automatisoidun toimintaprosessin käyttöönotosta kohdistuisikin käyttöönottopäätöksen esittelijään ja ratkaisijaan, mutta tiedonhallintalain 6 a luku sisältäisi myös kohdennettuja velvollisuuksia vaatimustenmukaisuuden varmistamisesta, laadunvalvonnasta ja virheiden korjaamisesta. Näihin tehtäviin olisi ehdotetun lain mukaan nimettävä vastuuhenkilöt sekä henkilöt, jotka toteuttaisivat säädettyjä velvollisuuksia. Ehdotetun sääntelyn perusteella virkavastuu voitaisiinkin kohdentaa tiedonhallintalain 6 a luvun mukaisia tehtäviä hoitaviin henkilöihin, joille säädettäisiin täsmällisiä toimintavelvollisuuksia tehtäviä hoitaessaan. Siten ehdotetun sääntelyn perusteella virkavastuun toteutuminen ei jäisi näennäiseksi, vaan perustuslain 118 §:ssä säädetyt virkavastuuseen liittyvät perusteet ja muualla laissa säädetyt virkatoimia ja virkavastuuta määrittävät säännökset tulisivat sovellettavaksi ratkaistaessa automaattisesti hallintoasioita. 

Virkavastuun tosiasiallisen toteutumisen varmistamiseksi tiedonhallintalain 28 i §:ssä ehdotetaan säädettäväksi rikosoikeudellisen virkavastuun ulottamisesta samassa laajuudessa julkisyhteisön työntekijöihin kuin virkamiehiin. Rikoslaissa on säädetty perusteista, joiden mukaisesti julkisyhteisön työntekijään sovelletaan julkisen vallan käyttäjänä rikosoikeudellista virkavastuusta määritteleviä rikoslain 40 luvun säännöksiä siten kuin virkamieheen. Rikoslain 40 luvun 11 §:n 5 kohdan b alakohdan mukaan julkista valtaa käyttäväksi henkilöksi katsotaan se, jonka lain tai asetuksen nojalla taikka viranomaiselta lain tai asetuksen nojalla saadun toimeksiannon perusteella kuuluu osallistua a kohdassa tarkoitetun päätöksen valmisteluun tekemällä päätösesitys tai -ehdotus, laatimalla selvitys tai suunnitelma, ottamalla näyte tai suorittamalla tarkastus taikka muulla vastaavalla tavalla. Tiedonhallintalain 6 a luku sisältää tehtäviä ja niihin liittyviä velvollisuuksia, joissa valmistellaan sinällään julkisen vallan käyttöä tarkoittavia päätöksiä ja muita ratkaisuja, jotka on tehty automatisoidussa toimintaprosessissa. Ehdotettu sääntely ei kaikilta osin luo suoraa sidosta yksittäisen päätöksen valmistelutoimiin ja sitä kautta julkisen vallan käyttöön. Julkisen vallan käyttöä ei ole mahdollista tyhjentävästi kytkeä tiettyyn päätökseen ja sen valmisteluun osallistuneeseen yksilöön automaattisessa päätöksenteossa samalla tavalla kuin virkamiehen tekemässä päätöksenteossa. Automaattisen päätöksenteon luonteen vuoksi julkisen vallan käyttö kohdistuisi yksittäisen päätöksen sijaan suureen joukkoon automaattisesti tuotettuja päätöksiä, jotka perustuisivat viranomaisen tunnistamiin käsittelemiensä asioiden joukosta olennaisilta piirteiltään samanlaisina toistuviin asioihin (tyyppitapauksiin), jotka viranomaisen arvion mukaan tulee ratkaista aina saman säännön mukaisesti.  

Julkisen vallan käyttöä sisältäviä tehtäviä ja sellaisia valmistelutehtäviä, joihin ei välttämättä sisälly julkisen vallan käyttöä, ei myöskään ole mahdollista automaattisen päätöksenteon asiayhteydessä aina erotella toisistaan rikosoikeudellisen laillisuusperiaatteen edellyttämällä täsmällisyydellä ilman niitä täsmentävää sääntelyä. Esimerkiksi tiedonhallintalaissa tarkoitettua automatisoitua toimintaprosessia toteuttavan tietojärjestelmän hyväksymistestauksessa voi olla kyse sekä viranomaisen tietojärjestelmän testaamisesta, jossa ei olisi kyse julkisen vallan käytöstä, että automatisoidun toimintaprosessin vaatimustenmukaisuuden varmistamisesta tiedonhallintalain 28 b §:n mukaisesti, jossa taas olisi kyse automaattisen päätöksenteon valmistelevasta toimesta, johon voi sisältyä julkisen vallan käyttöä. Testausta suorittavan henkilön näkökulmasta olisi kuitenkin oltava tarpeeksi selvää, mikä osa tällaisesta testaustehtävästä on rikosoikeudellisen virkavastuun piirissä. Lisäksi esimerkiksi tiedonhallintalain 28 a §:ssä tarkoitetun dokumentaation tuottamiseen voi liittyä monia erilaisia tehtäviä ja työvaiheita, kuten dokumentaation kirjoittamista, katselmointia, muuntamista muodosta toiseen tai kääntämistä kieleltä toiselle, minkä lisäksi dokumentaatio voi perustua myös viranomaiskoneiston ulkopuolella tuotettuihin asiakirjoihin (esimerkiksi valmisohjelmisto, jonka viranomainen hankkii). Näissä tilanteissa rajanveto julkisen vallan käytön osalta ei aina ole selvää ja täsmällistä, minkä vuoksi dokumentaation sisällön lainmukaisuuteen liittyvä vastuu kytkettäisiin selkeästi säännöstasolla virkavastuulla toimivaan dokumentaation hyväksyjään. 

Jotta rikosoikeudellinen virkavastuu olisi riittävästi ennakoitavissa rikosoikeudellisen laillisuusperiaatteen mukaisesti ja perustuslakivaliokunnan edellyttämällä tavalla tosiasiallisesti, on välttämätöntä, että julkisyhteisön työntekijöiden vastuuasemasta säädetään selkeästi ja täsmällisesti erikseen 28 i §:ssä. Viranomaisissa työskentelee työsuhteisia henkilöitä asiantuntijoina tietojärjestelmien kehittämistehtävissä suhteellisen runsaasti. Ei ole pidetty tarkoituksenmukaisena, että viranomaiset joutuisivat virkavastuun tosiasialliseen toteutumiseen liittyvistä syistä muuttamaan palvelussuhteita teknisluonteisissa, mutta julkisen vallan käyttöön vaikuttavissa tehtävissä työsuhteisista virkasuhteisiksi esimerkiksi testausta suorittavien henkilöiden osalta. Ehdotetulla sääntelyllä on myös vaikutuksensa julkisyhteisön työntekijän oikeusturvaan. Perustuslain 8 §:ssä säädetyn rikosoikeudellisen laillisuusperiaatteen kannalta katsottuna sääntelyn tulee olla täsmällistä ja ennakoitavaa (PeVL 7/2019 vp, s. 11).  

Hallituksen esityksen 28 j §:ssä ehdotetaan säädettäväksi, että viranomainen voisi siirtää eräitä tiedonhallintalain 6 a lukuun ehdotettavia tehtäviä viranomaiskoneiston ulkopuolelle. Perustuslain 124 §:n soveltamista koskevassa perustuslakivaliokunnan lausuntokäytännössä on vakiintuneesti vaadittu, että oikeusturvan ja hyvän hallinnon vaatimusten toteutumisen varmistaminen perustuslain 124 §:n tarkoittamassa merkityksessä edellyttää muun muassa asioita käsittelevien henkilöiden toimivan rikosoikeudellisella virkavastuulla (esim. PeVL 26/2017 vp). Perustuslakivaliokunnan lausuntokäytännössä virkavastuusääntelyn täsmälliselle muotoilulle ei ole esitetty tarkempia edellytyksiä (ks. PeVL 17/2021 vp). Tavanomaisesti virkavastuusta on tämänkaltaisissa sääntely-yhteyksissä säädetty laajemmin kuin pelkästään julkisen vallan käyttöön rajoittuen. Valiokunta on kuitenkin kiinnittänyt huomiota virkavastuusääntelyn johdonmukaisuuteen ja tarpeeseen vastaisuudessa arvioida julkista hallintotehtävää hoitavan virkavastuun laajuutta. Valiokunnan käsityksen mukaan tällaisen arvioinnin on syytä ulottua laajemmalle kuin yksittäiseen lainsäädäntöhankkeeseen, ja se on sopivimmin tehtävissä valtioneuvoston piirissä (PeVL 17/2021 vp, kappale 82). Tällaisen yleisarvioinnin vielä puuttuessa virkavastuusäännös on päädytty muotoilemaan sosiaali- ja terveydenhuollon järjestämisestä annetun lain 20 §:ää mukaillen: lain 28 j §:ssä ehdotetaan säädettäväksi siitä, että rikosoikeudellista virkavastuuta koskevia säännöksiä sovellettaisiin yksityiseen julkista hallintotehtävää hoitavaan henkilöön sekä viitattavaksi vahingonkorvauslakiin. 

Perustuslain 2 §:n 3 momentti sekä 21 § edellyttävät, että toimivaltainen viranomainen ilmenee laista. Perustuslakivaliokunta on käytännössään suhtautunut pidättyvästi mahdollisuuteen poiketa toimivaltaista viranomaista koskevista lain säännöksistä. Valiokunta on etenkin perusoikeuskytkentäisen sääntelyn yhteydessä pitänyt välttämättömänä, että toimivaltainen viranomainen ilmenee laista yksiselitteisesti tai muuten täsmällisesti tai että ainakin viranomaisten toimivaltasuhteiden lähtökohdat samoin kuin toimivallan siirtämisen edellytykset ilmenevät laista riittävän täsmällisesti (PeVL 49/2014 vp, s. 4/II, PeVL 9/2014 vp, s. 3/II, PeVL 3/2014 vp, s. 4/I, PeVL 32/2012 vp, s. 6 ja PeVL 2/2012 vp, s. 3). Tiedonhallintalain 6 a luvun tehtäviä hoidettaessa toimivaltainen viranomainen on toimintaprosessista vastaava viranomainen eli viranomainen, jonka tehtävien hoitamiseksi automatisoitua prosessia käytetään ja jolla on toimivalta ratkaista toimintaprosessissa käsiteltävä asia. Toimivaltainen viranomainen määräytyisi kussakin laissa säädetyn tietyn hallintoasian ratkaisemiseen toimivallan luovan sääntelyn perusteella. Ehdotetussa sääntelyssä ei ole myöskään kyse siitä, että viranomainen antaisi toimivaltaansa tietojärjestelmälle, vaan tietojärjestelmillä automatisoidussa toimintaprosessissa ratkaistavat asiat perustuisivat viranomaisen määrittelemiin käsittelysääntöihin, joiden mukaisesti asiasta muodostetaan määriteltyjen käsittelyvaiheiden, käsittelysääntöjen ja käsiteltyjen tietojen perusteella ratkaisu.  

Perustuslakivaliokunta on katsonut, että automatisoidun päätöksentekomenettelyn tulee olla perustuslain 118 §:stä johtuvista syistä tarkasti valvottua ja oikeudellisesti kontrolloitavissa. Siihen on voitava liittää viime kädessä myös virkamiehiin kohdistuva vastuu virkatoimista (PeVL 7/2019 vp, s. 11). Ehdotettu tiedonhallintalain 6 a luvun lähestymistapa perustuu eräänlaiseen audit trail -periaatetta myötäilevään aukottomaan dokumentointiketjuun, johon automatisoitu asian ratkaisu perustuu. Ehdotetun sääntelyn perusteella automatisoidun toimintaprosessin kehittämisestä, käyttöönotosta ja käytöstä kertyisi vaiheittain dokumentaatio. Tämän perusteella automatisoituun asian ratkaisemiseen johtaneet perusteet ja niihin liittyvät vastuut pystyttäisiin todentamaan jälkikäteen. Samalla sääntely toisi läpinäkyvyyttä automatisoidun päätöksenteon perusteisiin ja vastuiden jakautumiseen. Dokumentointi mahdollistaisi jälkikäteisen vastuiden selvittämisen ja laillisuusvalvonnan sekä toteuttaisi hallinnon avoimuutta ja edistäisi julkisuusperiaatteen toteutumista. Lisäksi ehdotetun 28 c §:n nojalla viranomaisen tulisi järjestää automatisoidussa toimintaprosessissa tapahtuvan käsittelyn laadunvalvonta, jota olisi toteutettava laadunvalvontasuunnitelman mukaisesti. Ehdotettu sääntely muodostaisi kokonaisuuden, jossa automatisoitu asian ratkaiseminen olisi kontrolloitua ja valvottua.  

11.3  Oikeusturva ja hyvä hallinto

Perustuslain 21 §:n 2 momentin mukaan hyvän hallinnon takeista säädetään tarkemmin lailla. Hallintolaki on keskeinen hyvän hallinnon takeita turvaava laki. Hallintolaissa säädetään muun muassa hallinnon oikeusperiaatteista, asian vireilletulosta, asian selvittämisestä ja asianosaisen kuulemisesta, asian ratkaisemisesta ja hallintopäätöksen perustelemisesta sekä tiedoksiannosta. Hallintolakiin sisältyy sääntelyä myös päätöksessä olevan virheen korjaamisesta ja oikaisuvaatimuksesta. Muutoksenhausta hallintoasiassa säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa. Hyvää hallintoa turvaavat lisäksi muut hallinnon yleislait kuten julkisuuslaki, kielilaki ja tiedonhallintalaki. Erityislainsäädännössä on hallintolakia täydentävää tai siitä poikkeavaa sääntelyä. 

Perustuslakivaliokunta on kiinnittänyt perustuslain 21 §:n ja julkisen vallan käytön lakiperustaisuuden näkökulmasta huomiota siihen, ettei automaattisessa päätöksenteossa massaluonteisessakaan toiminnassa saa vaarantaa hyvän hallinnon vaatimuksia tai asianosaisen oikeusturvaa (PeVL 49/2017 vp, s. 5, PeVL 35/2005 vp, s. 2/I, PeVL 7/2019 vp). Valiokunta on todennut, että myös hallintolain 1 §:n tarkoitussäännöksessä painotetaan hyvän hallinnon perusteiden ja oikeusturvan ensisijaisuutta suhteessa hallinnon tuloksellisuuteen (PeVL 7/2019 vp). Hallintolakia koskevassa ehdotuksessa on lähtökohtana, että muualla hallintolaissa ja muussa lainsäädännössä säädetyt hallintomenettelyä koskevat säännökset tulevat sovellettavaksi myös silloin, kun asia ratkaistaan automaattisesti. Viranomaisen on toteutettava automatisoitu toimintaprosessinsa siten, että muun muassa asianosaisen kuulemista koskeva velvoite sekä muut asianmukaisen käsittelyn ja hyvän hallinnon periaatteet toteutuvat. Ehdotetun tiedonhallintalain 28 a §:n mukaan viranomaisen olisi varmistettava, että automatisoituun toimintaprosessiin sisältyvät menettelytavat ja käsittelysäännöt sekä niitä koskeva etukäteinen harkinta on dokumentoitu. Dokumentaatiosta on ilmettävä muun muassa perusteet asianosaisen kuulemisen toteuttamisesta automaattisesti tai kuulematta jättämisestä ja asian ratkaisuun liittyvien perustelujen muodostaminen tai perusteluvelvollisuudesta poikkeaminen. Ehdotetun tiedonhallintalain 28 d §:n mukaan automatisoidun toimintaprosessin käyttöönottoa koskevaan päätökseen on sisällyttävä muun muassa perustelut käyttöönoton edellytyksistä. Perusteluissa tulisi osoittaa, että automatisoidun toimintaprosessin on arvioitu täyttävän lainsäädännössä säädetyt vaatimukset siten, että toimintaprosessista tuotettavat viranomaisen ratkaisut täyttävät oikeusturvalle ja hyvälle hallinnolle säädetyt vaatimukset. Tiedonhallintalaissa säädettäväksi ehdotettu dokumentointivelvollisuus sekä testaamista ja laadunvalvontaa koskevat säännökset muodostaisivat oikeusturvan ja hyvän hallinnon kannalta kontrolleja siten, että viranomaisten toiminnassa varmistettaisiin perustuslain 21 §:stä johtuvien vaatimusten toteutuminen niin automatisoitua toimintaprosessia kehitettäessä, käyttöönotettaessa kuin käytettäessä.  

Toisin kuin lausuntojen PeVL 51/2016 vp ja PeVL 29/2018 vp taustalla olevissa hallituksen esityksissä, käsillä olevassa esityksessä on kysymys hallintoasian ratkaisemisesta automaattisesti. Automaattisesti ratkaistaviin asioihin soveltuisivat hallintolain normaalit menettelyvelvoitteet kuten asianosaisen kuuleminen ja päätöksen perusteleminen. Perustuslain 21 §:ssä turvattua oikeutta hyvään hallintoon konkretisoi erityisesti hallintolaki, joka tulee sovellettavaksi myös hallintoasian automaattisessa käsittelyssä ja ratkaisemisessa. Ehdotetulla automaattista päätöksentekoa koskevalla sääntelyllä ei myöskään muutettaisi kussakin asiassa olevaa mahdollisuutta jälkikäteisen oikeusturvan keinoihin. Muutoksenhakuoikeus päätökseen määrittyisi voimassaolevan, muun kuin ehdotetun hallintolain 8 b luvun perusteella. 

Tiedonhallintalain 28 b §:ssä säädettäisiin viranomaisen velvollisuudesta testata automatisoitu toimintaprosessi ja 28 c §:ssä säädettäisiin viranomaisen velvollisuudesta tarkkailla automatisoidun toimintaprosessin laatua ja sisällöllistä virheettömyyttä. Viranomaisen olisi ryhdyttävä viipymättä korjaaviin toimenpiteisiin, jos automatisoidussa toimintaprosessissa havaitaan virhe, jolla voi olla vaikutus toimintaprosessissa ratkaistuihin asioihin. 

Perustuslain 21 §:stä johtuvista syistä 2. lakiehdotuksen 28 d §:ssä säädettäisiin, että käyttöönottopäätöksen on sisällettävä tiedot päätöksentekijästä ja esittelijästä. Ehdotus palvelisi myös virkavastuun yksilöintiin liittyvää vaatimusta. 

11.4  Automaattisen päätöksenteon sallittu käyttöala

Ehdotettu sääntely ei vaikuttaisi viranomaisen aineelliseen toimivaltaan esimerkiksi sen suhteen, millaisia asioita viranomainen voi ratkaista tai millä perusteilla asiat on ratkaistava. Hallinnon lainalaisuuteen, hyvään hallintoon ja virkavastuun toteutumiseen liittyvistä syistä sääntelyllä asetettaisiin edellytyksiä sille, millä tavoin ja millaisissa asioissa viranomainen voi ratkaista toimivaltaansa kuuluvan asian automaattisesti.  

Perustuslakivaliokunta totesi potilasvakuutuslakiin ehdotettua automaattista päätöksentekoa koskevaa säännöstä arvioidessaan, että automaattista päätöksentekoa koskevassa sääntelyssä tuli täsmällisemmin säätää, millaisin perustein asioita voidaan valikoida automaattisen päätöksenteon piiriin (PeVL 70/2018 vp, s. 3). Ehdotus toteuttaisi täsmällisyys- ja tarkkarajaisuusedellytystä erityisesti tapauskohtaista harkintaa edellyttävien asioiden poissulun ja käsittelysääntöjä koskevan edellytyksen kautta.  

Ehdotuksen mukaan automaattisesti ratkaistavista asioista säädettäisiin hallintolain 53 e §:ssä, jonka mukaan viranomainen voisi ratkaista automaattisesti asian, johon ei sisälly seikkoja, jotka viranomaisen etukäteisen harkinnan mukaan edellyttäisivät tapauskohtaista harkintaa, tai johon sisältyvät tapauskohtaista harkintaa edellyttävät seikat virkamies tai muu asian käsittelijä on arvioinut. Ratkaisemisen olisi perustuttava sovellettavan lain perusteella laadittuihin käsittelysääntöihin. Käsittelysäännön käsite määriteltäisiin tiedonhallintalain 2 §:n 1 momentin 16 kohdassa, jonka mukaan käsittelysäännöllä tarkoitetaan luonnollisen henkilön ennalta laatimia automaattisen tietojenkäsittelyn ohjaamiseen tarkoitettuja sääntöjä. 

Ehdotuksessa on otettu huomioon perustuslakivaliokunnan toteamus siitä, että automatisoitu päätöksenteko ei sovellu sellaiseen hallinnolliseen päätöksentekoon, joka edellyttää päätöksentekijän käyttävän laajaa harkintavaltaa (PeVL 7/2019 vp, s. 9). Ehdotuksen mukaan tapauskohtaista harkintaa edellyttävää asiaa ei voitaisi ratkaista automaattisesti tai vaihtoehtoisesti virkamiehen olisi arvioitava asiassa tapauskohtaista harkintaa edellyttävät seikat. Ehdotetusta pykälästä ilmenee periaate, jonka mukaan viranomaisen on tehtävä etukäteinen harkinta siitä, mitkä asiat ovat luonteeltaan sellaisia, että ne voidaan ratkaista automaattisesti, ja laadittava käsittelysäännöt, joiden perusteella asiat valitaan ja ratkaistaan. Käytännössä viranomaisen olisi tunnistettava käsittelemiensä asioiden joukosta olennaisilta piirteiltään samanlaisina toistuvat asiat (tyyppitapaukset), jotka viranomaisen arvion mukaan tulee ratkaista aina samojen käsittelysääntöjen mukaisesti. Lähtökohta on yhtenevä hallintolain 6 §:ssä säädetyn tasapuolisen kohtelun periaatteen kanssa. Periaate edellyttää, että viranomaisen ratkaisutoiminta on johdonmukaista siten, että harkinnan kohteena olevia tosiseikkoja arvioidaan samankaltaisissa tapauksissa samoin perustein (HE 72/2002 vp, s. 59). Yhdenvertainen kohtelu lain edessä on turvattu myös perustuslain 6 §:n 1 momentissa.  

Tapauskohtaista harkintaa edellyttävien asioiden poissulku ja käsittelysääntöjä koskeva edellytys yhdessä rajaavat automaattisesti ratkaistavat asiat sellaisiin, jotka ovat siinä määrin kaavamaisia ja yksiselitteisiä, että ne ovat kuvattavissa käsittelysääntöinä. Asian ratkaisemisen edellyttämää tapauskohtaista harkintaa ei voisi automatisoida esimerkiksi autonomista tekoälyjärjestelmää käyttämällä. 

Koska ehdotuksessa on kysymys hallinnon yleislainsäädännöstä, jonka on tarkoitus soveltua laajasti eri hallinnonaloilla, laissa ei ole mahdollista määritellä asiakohtaisesti, milloin automaattista ratkaisemista voidaan käyttää. Sen sijaan sääntely velvoittaisi automaattisia ratkaisuja tekevän viranomaisen määrittelemään ja dokumentoimaan ratkaistavat asiat etukäteen, mikä tekisi automaattisesta ratkaisemisesta ennakoitavaa ja valvottavissa olevaa. 

Tiedonhallintalain 28 a §:n mukaan viranomaisen tulisi dokumentoida käytetyt menettelytavat ja käsittelysäännöt sekä niitä koskeva etukäteinen harkinta. Siten viranomaisen tulisi osoittaa osana dokumentointivaatimuksen täyttymistä, että ratkaistaessa asioita automatisoidusti käsittely tapahtuu suunnitelmallisesti noudattaen kulloinkin asiankäsittelyyn sovellettavaa lainsäädäntöä yhdenvertainen kohtelu huomioiden. Tiedonhallintalain 28 e §:n mukaan viranomaisen olisi julkaistava voimassa oleva käyttöönottopäätös yleisessä tietoverkossa verkkosivustollaan ja tiedotettava asioiden automaattisesta ratkaisemisesta toimialallaan, automatisoidun toimintaprosessin käytön perusteista ja muista asiakkaan oikeuksien kannalta keskeisistä tiedoista toimintaprosessin dokumentaatioon ja käyttöönottopäätökseen perustuen. Lisäksi hallintolain 53 g §:n mukaan asianosaiselle tulisi ilmoittaa, jos asia on ratkaistu automaattisesti sekä antaa tieto siitä, missä julkisen hallinnon tiedonhallinnasta annetun lain 28 d §:ssä tarkoitettu käyttöönottopäätös on saatavilla. Ehdotetut dokumentointi- ja informointivelvoitteet tekisivät automaattisesta ratkaisemisesta läpinäkyvää ja ennakoitavaa. Velvollisuus käsittelysääntöjen dokumentoimiseen mahdollistaisi tehokkaan laillisuusvalvonnan. Lokakuussa 2022 voimaan tulevan valtioneuvoston oikeuskanslerin ja eduskunnan oikeusasiamiehen tehtävien jaosta annetun lain (330/2022) 2 §:n mukaan hallinnon automaattisten järjestelmien kehittämistä ja ylläpidon yleisiä perusteita koskeva valvonta on keskitetty valtioneuvoston oikeuskanslerille. 

Hallintolain 53 e §:n 4 momentin mukaan oikaisuvaatimusta tai siihen rinnastuvaa vaatimusta ei voisi ratkaista automaattisesti. Perustuslakivaliokunta on todennut, että oikaisuvaatimusmenettelyn tarkoituksena on ”osaltaan toteuttaa perustuslain 21 §:n 2 momentissa tarkoitettuja hyvän hallinnon takeita. Oikaisuvaatimussääntelyä on syytä tarkastella myös siitä näkökulmasta, että se voi muodostaa asiallisesti – joskaan ei muodollisesti – osan hallinto-oikeudellisen muutoksenhakujärjestelmän kokonaisuudesta. Valiokunta on aiemmin katsonut, että oikaisuvaatimusmenettelyä voidaan tältä kannalta pitää tavallaan muutoksenhaun ensimmäisenä vaiheena, vaikka kysymys ei olekaan tuomioistuimessa tapahtuvasta lainkäytöstä, minkä vuoksi se ei voi täyttää perustuslain 21 §:n 1 momentin vaatimusta siitä, että jokaisella on oikeus saada oikeuksiaan ja velvollisuuksiaan koskeva päätös tuomioistuimen tai muun riippumattoman lainkäyttöelimen käsiteltäväksi (PeVL 32/2012 vp, s. 3/II).” (PeVL 55/2014 vp). Oikaisuvaatimuksen, siihen rinnastuvan vaatimuksen ja hallintokantelun oikeusturvaan liittyvä luonne edellyttää, että tällaisen asian tutkii luonnollinen henkilö. Näiden asioiden ratkaiseminen usein myös edellyttää sellaista harkintaa, joka ei ole automatisoitavissa.  

Oikaisuvaatimuksen automatisointia koskevasta kiellosta on tietyissä erikseen arvioiduissa tilanteissa mahdollista säätää erityislaissa poikkeus hallintolain 5 §:n 1 momentin mukaisesti, jos perustuslaista, erityisesti hyvän hallinnon ja oikeusturvan vaarantumattomuudesta, tai tietosuojasääntelystä ei katsota seuraavan tälle estettä. Erityislain säätämisen yhteydessä tulee arvioida tietosuojaoikeudellisten suojatoimien riittävyys, kun huomioidaan se, että hallintolain 53 f §:ssä ehdotetaan säädettäväksi asian automatisoinnin edellytykseksi oikaisuvaatimusmenettely, jonka käsittelee luonnollinen henkilö, ellei kyse ole 53 f §:n 2 momentissa tarkoitetusta tilanteesta. 

Ehdotetun hallintolain 53 e §:n 2 momentin automaattisen ratkaisemisen käyttöalaan voitaisiin katsoa soveltuvan myös joidenkin rangaistusluontoisten hallinnollisten seuraamusten määräämisen. Hallinnollisiin seuraamuksiin voi kuitenkin liittyä esimerkiksi erityistä oikeasuhteisuuden arvioimisen tarvetta, joka tällöin sisältäisi tapauskohtaista harkintaa ja siten esimerkiksi muut kuin kaavamaiset sanktiot jäisivät suoraan automaattisen ratkaisemisen käyttöalan ulkopuolelle. 

Perustuslakivaliokunta on todennut, että hallinnollista seuraamusmaksua koskevan asian käsittelyssä on otettava soveltuvin osin otettava huomioon mahdolliset rinnasteisuudet rikosoikeudelliseen rangaistukseen. Esimerkiksi perustuslain 8 §:ssä säädetty rikosoikeudellinen laillisuusperiaate ja Euroopan ihmisoikeussopimuksen 6 artiklan 2 kohdan mukainen syyttömyysolettama on otettava huomioon rangaistusluonteista seuraamusta määrättäessä (PeVL 32/2005 vp, s. 3/II). Lisäksi soveltuvin osin on huomioitava myös Euroopan ihmisoikeussopimuksen 7. lisäpöytäkirjan 4 artiklan mukainen kaksoisrangaistavuuden kielto (ks. esim. PeVL 17/2013 vp) sekä perustuslain 21 §:ssä turvattu oikeudenmukaisen oikeudenkäynnin ja hyvän hallinnon takeisiin kuuluva henkilön oikeus olla todistamatta itseään vastaan eli itsekriminointisuoja (ks. esim. PeVL 34/2012 vp, PeVL 46/2001 vp). Hallinnollisia sanktioita määrättäessä on annettava lisäksi erityistä painoarvoa asianosaisen oikeudelle tulla kuulluksi ja saada perusteltu päätös (ks. PeVL 35/2005 vp, s. 2). Edellä mainitut erityiset oikeusturvaedellytykset on pitänyt ottaa kuitenkin huomioon jo hallinnollisista seuraamuksista säädettäessä. 

11.5  Yhdenvertaisuus

Perustuslain 6 §:n 1 momentin mukaan ihmiset ovat yhdenvertaisia lain edessä. Säännös ilmaisee paitsi vaatimuksen oikeudellisesta yhdenvertaisuudesta myös ajatuksen tosiasiallisesta tasa-arvosta. Yhdenvertaisuussäännös kohdistuu myös lainsäätäjään. Lailla ei voida mielivaltaisesti asettaa kansalaisia tai kansalaisryhmiä toisia edullisempaan tai epäedullisempaan asemaan. Toisaalta lainsäädännölle on ominaista, että se kohtelee tietyn hyväksyttävän yhteiskunnallisen intressin vuoksi ihmisiä eri tavoin edistääkseen muun muassa tosiasiallista tasa-arvoa (ks. HE 309/1993 vp, s. 42—43 ja esim. PeVL 55/2016 vp, s. 2).  

Automaattisen päätöksenteon olisi ehdotuksen mukaan perustuttava viranomaisen ennalta määrittelemiin käsittelysääntöihin, joiden muodostamisessa viranomaisen on huomioitava muun muassa yhdenvertaisuutta koskevat säännökset ja syrjinnän kielto. 

Tietojärjestelmä käsittelee samanlaiset tapaukset aina samalla tavalla, kun päätös tehdään automaattisesti ja päätös perustuu tiettyihin etukäteen määriteltyihin käsittelysääntöihin. Tämä pienentää inhimillisen virheen todennäköisyyttä ja mahdollisuutta tehdä päätös syrjivin perustein. Automaattisessa päätöksenteossa painottuu päätöksentekoperusteiden etukäteinen arviointi. Hallituksen esityksen 2. lakiehdotus sisältää automaattisten prosessien suunnitteluun ja valvontaan kohdistuvia vaatimuksia, joiden tarkoituksena on varmistaa järjestelmän huolellinen ja lain mukainen toteuttaminen. Viranomaisen tulisi dokumentoida erikseen, miten se on varmistanut määriteltyjen käsittelysääntöjen syrjimättömyyden. Viranomaisen tulisi siten arvioida erikseen, miten syrjimättömyys on varmistettu automatisoidussa toimintaprosessissa. Siten sääntely muodostaisi erään suojakeinon torjua syrjintää, joka mahdollisesti voisi tapahtua käsittelysääntöjä määriteltäessä. Viranomaisen olisi dokumentoinnillaan varmistettava ja siten kontrolloitava käsittelysääntöjen lainmukaisuus erityisesti syrjimättömyyden osalta. 

Yleistä yhdenvertaisuussäännöstä täydentää perustuslain 6 §:n 2 momentin sisältämä syrjintäkielto, jonka mukaan ketään ei saa ilman hyväksyttävää perustetta asettaa eri asemaan sukupuolen, iän, alkuperän, kielen, uskonnon, vakaumuksen, mielipiteen, terveydentilan, vammaisuuden tai muun henkilöön liittyvän syyn perusteella. Säännöksessä luetellut erotteluperusteet ovat syrjintäkiellon ydinaluetta. Luettelo ei ole kuitenkaan tyhjentävä, vaan eri asemaan asettaminen on kielletty myös muun henkilöön liittyvän syyn perusteella. 

Automaattisessa päätöksenteossa on potentiaalisesti tunnistettavissa riski syrjivistä päätöksistä esimerkiksi käytettäessä harkinnanvaraisen seikan arvioinnin perustana tilastotietoja, joiden nojalla tehdään yksilöä koskevia olettamuksia sukupuolen tai muun kielletyn syrjintäperusteen nojalla ilman, että yksilöllisiä olosuhteita otetaan huomioon (esim. yhdenvertaisuus- ja tasa-arvolautakunnan ratkaisu 216/2017). Ehdotettu lainsäädäntö ei kuitenkaan sallisi päätöksenteon perustumista tällaiseen tilastolliseen päättelymekanismiin, minkä vuoksi automaatiosta ehdotuksen mukaisesti toteutettuna ei seuraa mainitun kaltaista syrjintäriskiä. Puolestaan ikään tai muuhun tekijään liittyvä valikointi voi tapahtua ainoastaan laissa säädetyn perusteella. Perustuslakivaliokunnan lausuntokäytännössä on todettu, etteivät henkilöihin kohdistuvat erottelut saa olla mielivaltaisia eivätkä erot saa muodostua kohtuuttomiksi. Tällaisen sääntelyn on oltava tarkkarajaista ja täsmällistä (ks. PeVL 57/2016 vp, s. 3 ja siinä viitatut). Hallituksen esityksen lakiehdotuksissa ei säädettäisi perusteita sille, miten automatisoiduissa toimintaprosesseissa tehdään valikointia erilaisiin käsittelyvaiheisiin. Tällainen valikointi tapahtuisi erikseen säädetyn perusteella. 

11.6  Yksityiselämän ja henkilötietojen suoja

Perustuslain 10 §:n mukaan jokaisen yksityiselämä on turvattu. Yksityiselämän käsite voidaan ymmärtää henkilön yksityistä piiriä koskevaksi yleiskäsitteeksi. Yksityiselämän suojan lähtökohtana on, että yksilöllä on oikeus elää omaa elämäänsä ilman viranomaisten tai muiden ulkopuolisten tahojen mielivaltaista tai aiheetonta puuttumista hänen yksityiselämäänsä (HE 309/1993 vp). 

Henkilötietojen suoja kuuluu osana perustuslain 10 §:n 1 momentilla turvattuun yksityiselämän suojaan. Henkilötietojen suojasta on mainitun perustuslain säännöksen mukaan säädettävä lailla. Perustuslakivaliokunnan käytännön mukaan lainsäätäjän liikkuma-alaa rajoittaa tämän säännöksen lisäksi myös se, että henkilötietojen suoja osittain sisältyy samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuuden kannalta (ks. esim. PeVL 1/2018 vp, s. 3). 

Perustuslakivaliokunta on aiemmin pitänyt henkilötietojen suojan kannalta tärkeinä sääntely-kohteina muun ohella rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa ja rekisteröidyn oikeusturvaa (PeVL 51/2006 vp, PeVL 20/2006 vp, PeVL 11/2005 vp). Valio-kunta on kuitenkin tarkistanut kantaansa yleisen tietosuoja-asetuksen johdosta, ja sen mukaan lähtökohtaisesti on riittävää, että henkilötietojen suojaa ja käsittelyä koskeva sääntely on yh-teensopivaa tietosuoja-asetuksen kanssa (PeVL 14/2018 vp, s. 4). Henkilötietojen suojan toteuttaminen tulisi ensisijaisesti taata yleisen tietosuoja-asetuksen ja sitä täydentävän kansallisen yleislain nojalla (PeVL 14/2018 vp). Lisäksi valiokunnan mukaan kansallisen erityislainsäädännön säätämistä tulisi välttää sekä varata sellaisen säätäminen vain tilanteisiin, joissa se on yh-täältä sallittua tietosuoja-asetuksen kannalta ja toisaalta välttämätöntä henkilötietojen suojan toteuttamiseksi (PeVL 2/2018 vp, s. 5). Perustuslakivaliokunnan mukaan myös sääntelyn selkeyden vuoksi kansallisen erityislainsäädännön säätämiseen tulee jatkossa suhtautua pidättyvästi ja rajata säätäminen vain välttämättömään (PeVL 14/ 2018 vp, s. 3—5). Erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksen edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely (PeVL 14/2018 vp, s. 5, PeVL 13/2017 vp, s. 5 ja PeVL 3/2017 vp, s. 5). 

Perustuslakivaliokunta on niin ikään lausunnossaan (PeVL 7/2019 vp) katsonut tarpeelliseksi muun ohella tarkoin varmistua ehdotetun automatisoitua päätöksentekoa koskevan sääntelyn yhteensopivuudesta yleisessä tietosuoja-asetuksessa edellytetyn kanssa. 

Tietosuoja-asetuksen 22 artiklan 1 kohdan mukaan rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. Artiklan 2 kohdan b alakohdan mukaan edellä olevaa 1 kohtaa ei sovelleta, jos päätös on hyväksytty rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Rikosasioiden tietosuojadirektiivin 11 artiklan 1 kohdan mukaan jäsenvaltioiden on säädettävä siitä, että päätös, joka perustuu pelkästään automatisoituun käsittelyyn, kuten profilointiin, ja jolla on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai joka vaikuttaa häneen merkittävästi, on kielletty, jollei sitä ole sallittu rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa on otettu huomioon rekisteröidyn oikeuksia ja vapauksia koskevat asianmukaiset suojatoimet, vähintään oikeus vaatia, että käsittelyyn osallistuu rekisterinpitäjän puolesta ihminen. 

Ehdotettu sääntely olisi mahdollista tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan liikkumavaran puitteissa. Kansallista sääntelyä olisi pidettävä myös välttämättömänä edellytyksenä sille, että automatisoituja yksittäispäätöksiä voitaisiin tehdä, ja tietosuoja-asetuksessa säädetystä kiellosta voitaisiin poiketa.  

Rikosasioiden tietosuojalain 13 §:llä on pantu täytäntöön rikosasioiden tietosuojadirektiivin 11 artikla. Pykälän mukaan, jollei laissa toisin säädetä, päätöstä ei saa tehdä pelkästään automatisoidun henkilötietojen käsittelyn perusteella, jos päätöksellä on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai se on muutoin hänen kannaltaan merkittävä. Pykälän säännöskohtaisissa perusteluissa (HE 31/2018 vp, s. 43) todetaan, että automatisoidun yksittäispäätöksen tekeminen olisi ehdotetun säännöksen mukaan sallittua ainoastaan, jos muualla laissa niin säädetään. Käytännössä tällaisesta automatisoidusta päätöksenteosta tulisi siten säätää aina erityislainsäädännössä. Tällaisen lainsäädännön tulee täyttää direktiivin 11 artiklassa säädetyt vaatimukset muun muassa rekisteröidyn oikeudesta vaatia, että käsittelyyn osallistuu rekisterinpitäjän toimesta luonnollinen henkilö. Sääntelyn olisi myös oltava yhteensopivaa direktiivin 11 artiklan 1 kohdan sääntelyn kanssa, jotta automatisoituja yksittäispäätöksiä voitaisiin tehdä direktiivin soveltamisalalla suoritettavassa henkilötietojen käsittelyssä.  

Ehdotetun sääntelyn arvioidaan olevan yhteensopivaa rikosasioiden tietosuojadirektiivin 11 artiklan 1 kohdan kanssa. Sääntely mahdollistaisi automatisoidut yksittäispäätökset hallintoasioissa, kun henkilötietojen käsittelyä suoritetaan rikosasioiden tietosuojalain soveltamisalalla.  

11.7  Arkaluonteiset tiedot

Perustuslakivaliokunta on arvioinut arkaluonteisten tietojen käsittelyä pitäen lähtökohtana, että yksityiselämän suojaan kohdistuvia rajoituksia on arvioitava kulloisessakin sääntely-yhteydessä perusoikeuksien yleisten rajoitusedellytysten valossa (ks. PeVL 42/2016 vp, s. 2—3 ja siinä viitatut lausunnot). Merkityksellistä on ollut, että valiokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa henkilötietojen käsittelystä säädettäessä erityisesti se, että henkilötietojen suoja osittain sisältyy perustuslain 10 §:n 1 momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on tämän vuoksi arvioinut erityisesti arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp, s. 2/I), minkä johdosta esimerkiksi tällaisia tietoja sisältävien rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta (PeVL 29/2016 vp, s. 4—5 ja esimerkiksi PeVL 21/2012 vp, PeVL 47/2010 vp sekä PeVL 14/2009 vp). Valiokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevan sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (ks. esim. PeVL 38/2016 vp, s. 3).  

Perustuslakivaliokunta on painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia. Valiokunnan mielestä arkaluonteisia tietoja sisältäviin laajoihin tietokantoihin liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (PeVL 13/2016 vp, s. 4, PeVL 14/2009 vp, s. 3/I). Myös EU:n yleisen tietosuoja-asetuksen mukaan erityisiä henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Valiokunta on tämän johdosta kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (ks. esim. PeVL 3/2017 vp, s. 5). Tällaista rajausta on valiokunnan uudemmassa käytännössä pidetty säätämisjärjestyskysymyksenä (ks. esim. PeVL 15/2018 vp, s. 40).  

Perustuslakivaliokunnan mukaan arkaluonteisten tietojen käsittelyä koskevaa sääntelyä on tietosuoja-asetuksen mahdollistamissa puitteissa edelleen syytä arvioida myös aiemman sääntelyn lakitasoisuutta koskevan käytännön pohjalta. Yleistä tietosuoja-asetusta yksityiskohtaisemman lakitasoisen sääntelyn tarve tulee kuitenkin perustella myös tietosuoja-asetuksen puitteissa tapauskohtaisesti. Sääntelyn tarpeen osalta on syytä kiinnittää huomiota myös asetuksessa omaksuttuun riskiperusteiseen lähestymistapaan. Valiokunta painottaa, että myös arkaluonteisten henkilötietojen käsittelyä koskevan sääntelyn kohdalla on syytä pyrkiä selkeään ja ymmärrettävään lainsäädäntöön (PeVL 14/2018 vp, s. 5–6).  

Perustuslakivaliokunnan lausuntokäytännössä arkaluonteisiin tietoihin kuuluviksi luetaan sekä erityisiin henkilötietoryhmiin kuuluvien tiedot, että perustuslakivaliokunnan lausuntokäytännössä omaksumat ns. valtiosääntöisesti arkaluonteiset tiedot. Valtiosääntöisesti arkaluonteisina tietoina perustuslakivaliokunta on pitänyt ainakin sosiaalihuollon asiakastietoja (PeVL 15/2018 vp, s. 38), luonnollisen henkilön yksityiskohtaisia tilitietoja (PeVL 48/2018 vp) ja maksukorttitietoja (PeVL 36/2020 vp, s. 3–4). Rikostuomioihin ja rikoksiin liittyvät henkilötiedot voidaan myös lukea valtiosääntöisesti arkaluonteisiksi (PeVL 15/2018 vp, s. 38). Niiden käsittelystä säädetään erikseen tietosuoja-asetuksen 10 artiklassa, jossa edellytetään asianmukaisten suojatoimien säätämistä.  

Hallintolakiin, tiedonhallintalakiin, digitaalisten palvelujen tarjoamisesta annettuun lakiin tai rikosasioiden tietosuojalakiin ehdotetut muutokset eivät itsessään mahdollistaisi erityisiin henkilötietoryhmiin kuuluvien tietojen ja valtiosääntöisesti arkaluonteisten tietojen käsittelyä, vaan näiden tietojen käsittelystä tulee säätää muualla, kuten eri hallinnonalojen osalta erityislainsäädännössä tyypillisesti tehdäänkin. Mikäli arkaluonteisten tietojen käsittely olisi erityislainsäädännössä sallittua, voitaisiin niitä käsitellä myös automaattisessa päätöksenteossa, jos ehdotetun lain automaattiselta käsittelyltä edellytettävät vaatimukset täyttyisivät. Kuitenkin näissä yhteyksissä rekisteröidyn oikeuksia arvioidaan erikseen tietosuojalainsäädännössä säädetyn tietosuojan vaikutustenarvioinnin yhteydessä, jolloin myös tarve riittävistä suojatoimista tulee arvioida osana automaattisen päätöksenteon käyttöönottoa. Koska automaattisessa päätöksenteossa olisi lähtökohtaisesti kyse korkeariskisestä käsittelystä, olisi rekisterinpitäjän kiinnitettävä arvioinnissaan huomiota suunniteltujen suojatoimien riittävyyteen erityisesti silloin, kun käsittely kohdistuisi arkaluonteisiin tietoihin. 

11.8  Käsittelyn suojatoimet automaattisessa päätöksenteossa

Kuten edellä on todettu, perustuslakivaliokunta on edellyttänyt, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksen edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely (PeVL 14/2018 vp, s. 5, PeVL 13/2017 vp, s. 5 ja PeVL 3/2017 vp, s. 5).  

Yleisen tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan mukaan unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa käsittely hyväksytään, on vahvistettava myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Tietosuoja-asetuksen johdanto-osan 71 perustelukappaleen mukaan tällaiseen käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia suojatoimia, joihin olisi ainakin kuuluttava käsittelystä ilmoittaminen rekisteröidylle ja tämän oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen, oikeus esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös. 

Rikosasioiden tietosuojadirektiivin 11 artiklan 1 kohdan mukaan jäsenvaltioiden on säädettävä siitä, että päätös, joka perustuu pelkästään automatisoituun käsittelyyn, kuten profilointiin, ja jolla on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai joka vaikuttaa häneen merkittävästi, on kielletty, jollei sitä ole sallittu rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa on otettu huomioon rekisteröidyn oikeuksia ja vapauksia koskevat asianmukaiset suojatoimet, vähintään oikeus vaatia, että käsittelyyn osallistuu rekisterinpitäjän puolesta ihminen. Direktiivin johdanto-osan 38 perustelukappaleen mukaan tällaiseen käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia suojatoimia, joihin kuuluisivat tällaisesta käsittelystä ilmoittaminen rekisteröidylle ja oikeus ihmisen suorittamaan interventioon, erityisesti jotta rekisteröity voisi esittää oman kantansa, saada selvityksen kyseisen arvioinnin jälkeen tehdystä päätöksestä tai riitauttaa päätöksen. 

Euroopan unionin tuomioistuin on antanut johdanto-osan perustelukappaleille painoarvoa ratkaisuissaan (esimerkiksi tuomioistuimen ratkaisu C-203/15, kohta 87 ja ratkaisu C-454/18, kohta 71). Ehdotetun ja voimassa olevan sääntelyn on siten oltava tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin johdanto-osien perustelukappaleissa mainittujen suojatoimien kanssa yhteensopivaa, jotta korkean riskin käsittelyn sallivaa sääntelyä on kansallisen liikkumavaran puitteissa mahdollista antaa. 

Hallintolakia koskevan lakiehdotuksen 53 f §:n 1 momentissa ehdotetaan, että automaattisen ratkaisemisen edellytyksenä olisi, että luonnollinen henkilö, johon päätös on kohdistettu voi kaikilta osin vaatia ratkaisuun oikaisua maksutta 7 a luvun mukaisella oikaisuvaatimuksella tai siihen rinnastuvalla vaatimuksella, joka käsitellään päätöksen tehneessä viranomaisessa tai sen kanssa samaan rekisterinpitäjään kuuluvassa viranomaisessa. Mahdollisuutta vaatia oikaisua ei kuitenkaan edellytettäisi, jos automaattisella ratkaisulla hyväksyttäisiin asianosaisen vaatimus, joka ei koskisi toista asianosaista. 

Koska pykälän tarkoituksena on tietosuojasääntelystä seuraavan suojatoimen toteuttaminen, 1 momentin edellytys on rajattu vain asioihin, joissa on asianosaisena luonnollinen henkilö. Jos asiassa on asianosaisena sekä luonnollinen henkilö että oikeushenkilö, asianosaisena olevalla luonnollisella henkilöllä olisi oltava mahdollisuus 1 momentissa tarkoitettuun oikeussuojakeinoon. Pykälässä on tarkoitus säätää lisäedellytyksestä, jonka on täytyttävä, jotta automaattisia ratkaisuja voidaan tehdä. Pykälästä itsessään ei seuraa oikeutta oikaisuvaatimukseen eikä se muutenkaan vaikuta olemassa oleviin oikeussuojakeinoihin. Asianosaisen muutoksenhakuoikeus ja oikeus oikeusturvaan määräytyvät muun lainsäädännön perusteella. 

Oikaisuvaatimus toimisi tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin edellyttämänä suojatoimena, joka toteuttaisi rekisteröidyn oikeuden vaatia ihmisen osallistumista tietojen käsittelyyn. EU:n tietosuojatyöryhmä on suuntaviivoissaan (WP 29 Suuntaviivat automatisoiduista yksittäispäätöksistä, WP251rev.01s. 29) katsonut, että ”uudelleentarkastelun suorittavalla henkilöllä on oltava asianmukaiset valtuudet ja valmiudet muuttaa päätöstä. Hänen olisi arvioitava perusteellisesti kaikkia merkityksellisiä tietoja, rekisteröidyn toimittamat lisätiedot mukaan luettuna.” 

Tietosuoja-asetuksen 12 artiklan 5 kohdassa säädetään, että kaikki 22 artiklaan perustuvat tiedot ja toimenpiteet ovat maksuttomia. Puolestaan rikosasioiden tietosuojadirektiivin 12 artiklan 4 kohdassa edellytetään jäsenvaltioiden säätävän siitä, että kaikki 11 artiklan nojalla tehdyt ilmoitukset tai toteutetut toimet ovat maksuttomia. Edellä selostetun vuoksi oikaisuvaatimuksen tai siihen rinnastuvan vaatimuksen olisi oltava rekisteröidylle maksuton toimenpide. 

Tietosuoja-asetuksen 3 luvussa säädetään rekisteröidyn oikeuksista. Rekisterinpitäjällä on velvollisuus huolehtia rekisteröidyn oikeuksien toteuttamisesta. Rekisteröity voi käyttää oikeuksiaan olemalla yhteydessä rekisterinpitäjään. Tietosuoja-asetuksen 22 artiklan 1 kohdassa ja rikosasioiden tietosuojadirektiivin 11 artiklan 1 kohdassa säädetään kiellosta tehdä pelkästään automatisoituun käsittelyyn perustuvia yksittäispäätöksiä, josta voidaan poiketa rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä. 

Rekisteröidyllä olisi ehdotetun lain mukaan mahdollisuus saada automaattisesti ratkaistu asia rekisterinpitäjän käsiteltäväksi uudelleen hakemalla asiaan oikaisua tai käyttämällä muuta vastaavaa maksutonta oikeussuojakeinoa. Koska rekisteröidyn oikeuksien käyttämistä koskeva pyyntö tulee osoittaa sille rekisterinpitäjälle, joka on käsitellyt henkilötietoja pelkästään automaattisesti, toimisi oikaisuvaatimus tai muu vastaava oikeussuojakeino rekisteröidyn oikeutena saada asia ihmisen käsiteltäväksi. Tämän vuoksi esimerkiksi muutoksenhakua tuomioistuimeen ei voitaisi pitää soveltuvana, koska muutoksenhaku olisi erillinen prosessi, jossa asia käsiteltäisiin kokonaan uudelleen eri rekisterinpitäjän toimesta.  

Oikaisuvaatimuksen arvioidaan täyttävän EU:n tietosuojatyöryhmän suuntaviivoissa asetetut edellytykset sekä soveltuvan erityisen hyvin tietosuojaoikeudelliseksi rekisteröidyn oikeudeksi saada asia ihmisen käsiteltäväksi, koska mahdollinen uudelleentarkastelu suoritettaisiin maksutta päätöksen tehneen rekisterinpitäjän toimesta. Ehdotettu 53 f §:n 1 momentti toteuttaisi myös perustuslain 21 §:ssä turvattua oikeutta oikeusturvaan ja hyvään hallintoon. Pykälän 1 momentin suojatoimea voidaan pitää tehokkaana vain, jos oikaisuvaatimusta tai siihen rinnastuvaa vaatimusta ei voida ratkaista automaattisesti. Tätä koskeva kielto sisältyisi 53 e §:n 4 momenttiin.  

Pykälän 2 momentissa säädettäisiin poikkeus 1 momentin edellytyksestä. Edellytystä ei sovellettaisi, kun automaattisella ratkaisulla hyväksytään asianosaisen vaatimus, joka ei koske toista asianosaista. Keskeinen tietosuoja-asetuksen 22 artiklan ja rikosasioiden tietosuojadirektiivin 11 artiklan taustalla oleva tavoite on ihmisen suojaaminen sellaiselta automaattiselta päätöksenteolta, jossa hänen ominaisuuksiaan arvioidaan virheellisillä perusteilla ilman ihmisen mahdollisuutta vaikuttaa tähän arvioon. Kun asianosaisen vaatimus hyväksytään vaaditulla tavalla, ei asianosaisella voida katsoa enää olevan tietosuojaoikeudellisen suojan tarvetta saada päätöstä ihmisen käsiteltäväksi. Muutoksenhakuoikeus päätökseen määrittyy muun kuin hallintolain 8 b luvun perusteella. 

11.9  Käsittelystä ilmoittaminen rekisteröidylle

Tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin johdanto-osassa edellytetään, että automaattisen käsittelyn yhteydessä käsittelystä olisi ilmoitettava rekisteröidylle. EU:n tietosuojatyöryhmä on suuntaviivoissaan (WP 29 Suuntaviivat automatisoiduista yksittäispäätöksistä, WP251rev.01 s. 29) katsonut, että rekisteröity pystyy riitauttamaan päätöksen tai esittämään siitä kantansa vain, jos hän ymmärtää täysin, miten se on tehty ja millä perustein. 

Ehdotetun hallintolain 53 g §:n 1 momentissa säädettäisiin viranomaiselle velvoite merkitä automaattisesti ratkaistuun hallintopäätökseen tieto siitä, että asia on ratkaistu automaattisesti. Puolestaan pykälän 2 momentti velvoittaisi antamaan tiedon automaattisesta käsittelystä asianosaiselle käsittelyn aikana, jos asiassa ei anneta kirjallista hallintopäätöstä. Pykälän säännöskohtaisissa perusteluissa on arvioitu, että säännös olisi tietosuoja-asetuksen ja rikosasioiden direktiivin johdanto-osan perustelukappaleissa tarkoitettu suojatoimi, jolla toteutettaisiin käsittelyn ilmoittaminen rekisteröidylle.  

Lisäksi tietosuoja-asetuksen 13 artiklassa säädetään rekisteröidylle toimitettavista tiedoista, kun henkilötietoja kerätään rekisteröidyltä. Tietosuoja-asetuksen 14 artiklassa säädetään rekisteröidylle toimitettavista tiedoista, kun tietoja ei ole saatu rekisteröidyltä. Tietosuoja-asetuksen 13 artiklan 2 kohdan f alakohdassa ja 14 artiklan 2 kohdan g alakohdassa säädetään velvollisuudesta toimittaa rekisteröidylle lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi automaattisen päätöksenteon, muun muassa 22 artiklan 1 ja 4 kohdassa tarkoitetun profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle. Mainitut voimassa olevat säännökset vahvistavat rekisteröidyn informoiduksi tulemista automaattisesta käsittelystä, kun pelkästään automaattiseen käsittelyyn perustuvaa päätöksentekoa tehdään tietosuoja-asetuksen soveltamisalalla.  

11.10  Rekisteröidyn oikeus esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös

Tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin johdanto-osien perustelukappaleissa edellytetään, että rekisteröidyllä tulee olla automaattiseen käsittelyyn perustuvan päätöksen jälkeen oikeus esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös. EU:n tietosuojatyöryhmä on suuntaviivoissaan (WP 29 Suuntaviivat automatisoiduista yksittäispäätöksistä, WP251rev.01, s. 26) katsonut, että rekisterinpitäjän on tarjottava rekisteröidylle yksinkertainen tapa käyttää näitä oikeuksia. Hallintolain säännökset asianosaisen kuulemisesta, päätöksen perustelemisesta ja oikaisuvaatimuksesta toteuttavat nämä suojatoimet. Lisäksi julkisuuslain 11 §:ssä on säädetty asianosaisen tiedonsaantioikeudesta ja 12 §:ssä jokaisen oikeudesta saada tieto itseään koskevasta asiakirjasta. Julkisuuslain sääntely edistää myös tietosuojalainsäädännössä mainittujen suojatoimien toteuttamista.  

11.11  Julkisuusperiaate

Perustuslain 12 §:n 2 momentin mukaan viranomaisen hallussa olevat asiakirjat ja muut tallenteet ovat julkisia, jollei niiden julkisuutta ole välttämättömien syiden vuoksi lailla erikseen rajoitettu. Jokaisella on oikeus saada tieto julkisesta asiakirjasta ja tallenteesta. Perustuslain 21 §:n 2 momentissa turvataan käsittelyn julkisuus ja oikeus saada perusteltu päätös. 

Perustuslakivaliokunta kiinnitti ns. perustulokokeilun yhteydessä huomiota lailla säätämisen vaatimuksen johdosta tuolloin ehdotettuun otantamenettelyyn ja sen läpinäkyvyyteen. Kyseessä oli niin sanottu kokeilulaki, johon liittyi kysymys perustulokokeilun kohdejoukon tasapuolisesta kohtelusta. Hallituksen esityksen säätämisjärjestysperusteluissa viitattiin siihen, että valinta kokeilun piiriin kuulumisesta tehtäisiin satunnaisotannalla ja satunnaistamisen ohjelmakoodi julkaistaisiin ennen poiminnan suorittamista. Ohjelmakoodin julkaisemisesta ei ollut otettu säännöstä ehdotettuun lakiin. Valiokunnan mukaan sekä lailla säätämisen vaatimus että tarkkarajaisuuden ja täsmällisyyden vaatimukset edellyttivät, että otannan perusteista säädetään laissa. Lisäksi laissa oli syytä säätää otantamenettelyyn liittyvän ohjelmistokoodin julkaisemisesta ja julkisuudesta (PeVL 51/2016 vp, s. 5). 

Lentoliikenteen matkustajarekisteritietojen profilointikäyttöä koskeneen lakiehdotuksen arvioinnin yhteydessä perustuslakivaliokunta katsoi, että hallintovaliokunnan oli perustuslain 12 §:n 2 momentista ja 21 §:stä johtuvista syistä tarkasteltava huolellisesti ehdotettujen kriteerien ja niitä mahdollisesti soveltavien automatisoitujen menettelyjen algoritmien suhdetta julkisuuslakiin ja tarvittaessa selkeytettävä sääntelyä (PeVL 29/2018 vp, s. 5).  

Maahanmuuttohallinnon henkilötietolakia koskevassa lausunnossaan perustuslakivaliokunta arvioi lakiehdotukseen sisältynyttä vaatimusta siitä, että viranomaisen on julkistettava automatisoidussa päätöksentekomenettelyssä lopulliseen päätökseen johtanut algoritmi. Ehdotukseen ei sisältynyt algoritmin määritelmää. Perustuslakivaliokunta painotti, että algoritmin julkisuuden asianmukainen toteutuminen yksityiselle ymmärrettävässä muodossa edellyttää, että laissa on tarkkarajaisesti ja täsmällisesti määritelty, mitä algoritmilla automatisoidussa päätöksenteossa tarkoitetaan (PeVL 7/2019 vp, s. 10). Algoritmin julkistamisella ja siitä erillisen selvityksen antamisella tavoiteltiin yleisestä tietosuoja-asetuksesta seuraavien velvoitteiden täyttämistä (HE 18/2019 vp, s. 101). 

Edellä kuvatuissa perustuslakivaliokunnan lausunnoissa PeVL 51/2016 vp ja PeVL 29/2018 vp oli kysymys erityislakiin liittyvistä tilanteista, joissa ohjelmakoodin tai algoritmin julkistamisella oli yhdenvertaisuusperiaatteeseen kytkeytyvä erityinen merkitys. Lausunnossa PeVL 7/2019 vp oli kysymys lain tarkkarajaisuudesta ja täsmällisyydestä silloin, kun algoritmin julkaisemisesta oli nimenomaisesti ehdotettu säädettävän (tämä peruste liittyy myös lausuntoon PeVL 51/2016 vp). 

Tiedonhallintalakia koskevan ehdotuksen 28 a §:n mukaan viranomaisen olisi laadittava automatisoidun toimintaprosessin kehittämisen olennainen dokumentaatio, johon sisältyisi muun muassa tieto toimintaprosessin kunkin vaiheen käsittelysäännöistä. Tiedonhallintalain 28 d §:n mukaan viranomaisen olisi tehtävä automatisoidun toimintaprosessin käyttöönotosta nimenomainen päätös, johon sisältyisi tieto muun muassa käyttöönottopäätöksen perusteena olevista asiakirjoista ja perustelut käyttöönoton edellytyksistä. Tiedonhallintalain 28 a ja 28 d §:ssä tarkoitettujen asiakirjojen julkisuus ratkaistaisiin julkisuuslain tai mahdollisen erityislain perusteella. Tyypillisesti kysymys olisi julkisista asiakirjoista. Joissain tapauksissa asiakirjoihin voisi sisältyä esimerkiksi tietojärjestelmän tietoturvallisuutta koskevia tietoja, jotka olisivat salassa pidettäviä julkisuuslain 24 §:n 1 momentin 7 kohdan perusteella tai julkisuuslain 24 §:n 1 momentin 15 kohdassa tarkoitetun valvontasalaisuuden perusteella.  

Tiedonhallintalain 28 e §:n mukaan viranomaisen on julkaistava voimassa oleva käyttöönottopäätös yleisessä tietoverkossa verkkosivustollaan. Viranomaisen on tiedotettava asioiden automaattisesta ratkaisemisesta, automatisoidun toimintaprosessin käytön perusteista ja muista asiakkaan oikeuksien kannalta keskeisistä tiedoista toimintaprosessin dokumentaatioon ja käyttöönottopäätökseen perustuen. Tiedot on julkaistava yleisessä tietoverkossa viranomaisen verkkosivustolla. Esityksen valmistelussa on arvioitu, että ohjelmistokoodin julkaisuun sisältyy merkittäviä väärinkäyttöriskejä ja tietojenkäsittelyn turvallisuuteen liittyviä riskejä. Toisaalta ohjelmistokoodi ei ole itsessään helposti ymmärrettävää kuin tietyille alan asiantuntijoille, joten ohjelmistokoodin julkaisu ei palvele myöskään yleisön tiedonsaantia automatisoidun päätöksenteon perusteista eikä edistä muutenkaan hallinnon toimintaan kohdistuvaa yleisön valvontaa. Ohjelmistokoodin julkisuus määräytyy julkisuuslain perusteella. 

Hallintolakiin ja tiedonhallintalakiin ehdotetulla sääntelyllä turvataan automaattisen päätöksenteon julkisuus yleislakiin soveltuvalla tavalla.  

11.12  Julkisen hallintotehtävän antaminen yksityiselle ja virkamieshallinnon periaate

Perustuslain 124 §:n mukaan julkinen hallintotehtävä voidaan antaa muulle kuin viranomaiselle vain lailla tai lain nojalla, jos se on tarpeen tehtävän tarkoituksenmukaiseksi hoitamiseksi eikä vaaranna perusoikeuksia, oikeusturvaa tai muita hyvän hallinnon vaatimuksia. Merkittävää julkisen vallan käyttöä sisältäviä tehtäviä voidaan kuitenkin antaa vain viranomaiselle. 

Perustuslakivaliokunta on todennut, että julkinen hallintotehtävä voidaan antaa muulle kuin viranomaiselle myös lain nojalla tehtävällä sopimuksella (PeVL 50/2017 vp, PeVL 26/2017 vp, s. 48, PeVL 11/2004 vp, s. 2, PeVL 11/2002 vp, s. 5). Perustuslakivaliokunnan käytännössä on katsottu, että oikeusturvan ja hyvän hallinnon vaatimusten toteutumisen varmistaminen perustuslain 124 §:n tarkoittamassa merkityksessä edellyttää, että asian käsittelyssä noudatetaan hallinnon yleislakeja ja että asioita käsittelevät toimivat virkavastuulla (PeVL 33/2004 vp, s. 7, PeVL 46/2002 vp, s. 10). Perustuslakivaliokunnan mukaan lakiin ei ole perustuslain 124 §:n takia välttämätöntä yleensä sisällyttää viittausta hallinnon yleislakeihin, sillä hallinnon yleislakeja sovelletaan niiden sisältämien soveltamisalaa, viranomaisten määritelmää tai yksityisen kielellistä palveluvelvollisuutta koskevien säännösten nojalla myös yksityisiin niiden hoitaessa julkisia hallintotehtäviä (PeVL 42/2005 vp, s. 3). Jos sellaista sääntelyn selkeyden vuoksi kuitenkin pidetään tarpeellisena, on viittauksen oltava vastakohtaispäätelmän vuoksi kattava (PeVL 11/2006 vp, s. 3, PeVL 42/2005 vp, s. 3). Perustuslakivaliokunta on kuitenkin edellyttänyt säädettäväksi julkisen hallintotehtävän hoitoon liittyen virkavastuusta laissa (PeVL 50/2017 vp, 3, PeVL 26/2017 vp, s. 49—50, PeVL 16/2016 vp, s. 2—3, PeVL 8/2014 vp, s. 5). Perustuslain 124 §:n mukaan merkittävä julkisen vallan käyttöön liittyvä julkinen hallintotehtävä voidaan antaa vain viranomaiselle. Merkittävänä julkisen vallan käyttämisenä on pidettävä esimerkiksi itsenäiseen harkintaan perustuvaa oikeutta käyttää voimakeinoja tai puuttua muuten merkittävällä tavalla yksilön perusoikeuksiin (HE 1/1998 vp, s. 179 ja PeVL 28/2001 vp, s. 5—6). 

Julkisen hallintotehtävän antamisen yksityiselle tulee täyttää myös tarkoituksenmukaisuusvaatimus, joka on oikeudellinen edellytys, jonka täyttymistä tulee arvioida tapauskohtaisesti kunkin viranomaisorganisaation ulkopuolelle annettavaksi ehdotetun julkisen hallintotehtävän kohdalla erikseen. Tällöin on otettava huomioon muun muassa hallintotehtävän luonne (PeVL 5/2014 vp, s. 3). Tarkoituksenmukaisuusarvioinnissa tulee perustuslain esitöiden mukaan kiinnittää huomiota hallinnon tehokkuuden ja muiden hallinnon sisäisiksi luonnehdittavien tarpeiden ohella myös yksityisten henkilöiden ja yhteisöjen tarpeisiin (HE 1/1998 vp, s. 179). Valiokunta on käytännössään katsonut, että tarkastus voi esimerkiksi valvonnan kohteina oleviin seikkoihin liittyvien ammatillisten ja teknisten erityispiirteiden vuoksi olla joissakin tilanteissa tarkoituksenmukaista suorittaa viranomaisen siihen valtuuttaman asiantuntijan toimesta (PeVL 40/2002 vp, s. 3). Valiokunnan mukaan tarpeellisuusvaatimus voi täyttyä myös esimerkiksi silloin, kun tarkastuksen tekeminen edellyttää osaamista tai resursseja, joita viranomaisella ei ole (PeVL 29/2013 vp, s. 2). 

Hallituksen esityksen 2. lakiehdotuksessa ehdotetaan säädettäväksi viranomaiselle erilaisia tehtäviä. Koska kyse olisi viranomaisen lakisääteisistä tehtävistä, olisivat tehtävät lähtökohdiltaan julkisia hallintotehtäviä tiedonhallintalakia sovellettaessa. Lisäksi säädettäväksi ehdotetut tehtävät olisivat osin myös julkisen vallan käyttöön liittyviä avustavia tehtäviä, jotka on katsottu julkisiksi hallintotehtäviksi (PeVL 30/2012 vp, s. 4). Hallituksen esityksen 2. lakiehdotuksen 28 j §:ssä ehdotetaan säädettäväksi mahdollisuudesta antaa yksityiselle eräitä ehdotettavaan lakiin sisältyviä viranomaiselle kuuluvia tehtäviä. Viranomainen voisi antaa yksityisen hoidettavaksi ehdotetun 28 b §:ssä tarkoitettuja testaamiseen liittyviä tehtäviä, muttei kuitenkaan testauksesta vastuussa olevan henkilön tehtävää. Käytännössä testaaminen voi vaatia erilaista teknisluonteista asiantuntemusta, jollaista viranomainen voisi hankkia tarkoituksenmukaisuusharkintansa pohjalta yksityisiltä. Lisäksi viranomainen voisi hankkia 28 c §:ssä tarkoitettujen teknisten virheiden korjaamiseen asiantuntemusta yksityisiltä silloin, kun se on tarkoituksenmukaisuusharkinnan perusteella tarpeellista. Ehdotetut tehtävät eivät sisällä merkittävän julkisen vallan käyttöä ja kysymys on resursoinnista, jollaista viranomainen ei tarvitse jatkuvasti siten, että tällaisten resurssien hankkiminen viranomaiseen palvelussuhteeseen olisi tarkoituksenmukaista. Ehdotus sisältää myös täsmällisen säännöksen siitä, että näiden tehtävien hoitamisen yhteydessä rikosoikeudellinen virkavastuu tulee kattavasti sovellettavaksi esimerkiksi tilanteissa, joissa testauksessa on laiminlyöty testaamiseen liittyviä velvollisuuksia. 

Perustuslakivaliokunnan mukaan perustuslain säännökset hallinnon lainalaisuusperiaatteesta sekä valtion ja virkamiehen vastuusta ilmentävät virkamieshallinnon periaatetta (PeVL 19/1985 vp, s. 3/II). Automaattisessa ratkaisemissa on kyse hallintomenettelyn toteuttamisesta ja lainsäädännön soveltamisesta, eli virkamieshallinnon ytimessä olevasta toiminnasta, automaattisen tietojenkäsittelyn avulla. Kun julkisessa hallinnossa otetaan käyttöön digitalisaation myötä uusia välineitä, on olemassa mahdollisuus, että näiden välineiden ja niitä toimittavien osapuolten rooli korostuu julkisen vallan käytössä ja julkisen hallintotehtävän hoitamisessa. Tästä syystä on katsottu tarpeelliseksi turvata virkamieshallinnon periaatteen toteutuminen myös automaattisessa ratkaisemisessa säätämällä riittävällä tarkkuudella ja täsmällisyydellä siitä, mitä dokumentaatiota viranomaisen on hyväksyttävä ja mitä vastuita ja velvollisuuksia sille kohdistuu, kun automaattista ratkaisemista kehitetään, otetaan käyttöön ja valvotaan.  

Automatisoituja ratkaisuja tuotetaan pääsääntöisesti tietojärjestelmillä. Tietojärjestelmien kehittäminen julkisen hallinnon käyttöön voi olla monimutkainen ja monivaiheinen prosessi, jossa tietojärjestelmää kehittävän yksityisen toimijan ja tietojärjestelmän hankkineen viranomaisen vastuunjako ei välttämättä ole selvää. Viranomaisella ei välttämättä ole tietojärjestelmien toimintaperiaatteiden ja kehittämismenetelmien syvää asiantuntemusta, minkä vuoksi sen ja tietojärjestelmää toimittavan yksityisen välille voi syntyä joissakin kysymyksissä epätasapaino.  

Valmistelussa ei kuitenkaan ole katsottu tarkoituksenmukaiseksi säätää tarkkoja vaatimuksia itse tietojärjestelmän kehittämiselle, koska tietojärjestelmiä on erilaisia hyvin erilaisiin käyttötarkoituksiin. Lisäksi olemassa olevien tietojärjestelmien kohdalla on tehty jo mittavia investointeja ja tehty tiettyjä valintoja esimerkiksi kehittämismenetelmien osalta. Tietoteknologia itsessään on myös nopeasti kehittyvää, jolloin siihen kohdistuva sääntely voi vanheta nopeasti. Samoista syistä ei ole myöskään katsottu tarkoituksenmukaiseksi velvoittaa viranomaisia kehittämään automaattiseen ratkaisemiseen käytettävää tietojärjestelmää kokonaan itse. Tietojärjestelmien kehittäminen alusta loppuun ei myöskään ole viranomaisen ydintoimintaa, jolloin tietojärjestelmien kehittämisen elinkaareen kohdistuvat tarkat vaatimukset aiheuttaisivat huomattavia kustannuksia.  

Edellä mainituista syistä ehdotuksessa onkin pyritty varmistamaan virkamieshallinnon periaatteen toteutuminen ja julkisen vallan käytön pysyminen sen sisällä ratkaisulla, jossa viranomaiselle asetettavat tehtävät eivät kytkeydy suoraan tietojärjestelmän tuottamiseen, vaan siihen, miten viranomainen hyödyntää tietojärjestelmiä automaattisessa ratkaisemisessa ja miten tämä hyödyntäminen on dokumentoitava. Ehdotetun myötä automaattiseen ratkaisemiseen käytettävän tietojärjestelmän kehittäminen ja tuottaminen itsessään ei olisi julkinen hallintotehtävä. Viranomaisen olisi edelleen mahdollista hankkia tietojärjestelmä yksityiseltä toimijalta omiin tarpeisiinsa, mutta viranomaisen olisi aina tehtävä automaattiseen päätöksentekoon liittyvä oikeudellinen harkinta. Lisäksi viranomaisen olisi tarkistettava ja hyväksyttävä tietojärjestelmän avulla toteutettu automaattinen ratkaiseminen, valvottava sen toimintaa ja tiedotettava siitä. Viranomaisen olisi näihin velvoitteisiin liittyen mahdollista antaa yksityiselle vain laissa säädettyjä avustavia tehtäviä, joiden luonne olisi tekninen.  

11.13  Tiedonhallintalautakunnan tarkastusoikeus

Hallituksen esityksen 2. lakiehdotuksessa ehdotetaan säädettäväksi julkisen hallinnon tiedonhallintalautakunnalle oikeus tehdä tarkastuksia käyttöönottopäätökseen liittyvään asiakirja-aineistoon osana 28 g §:ssä säädetyn arviointitehtävän toteuttamista. Ehdotus on merkityksellinen perustuslain 10 §:ssä säädetyn yksityiselämän suojaan liittyvän kotirauhan kannalta katsottuna.  

Perustuslakivaliokunta on käytännössään katsonut, että kotirauhan piiriin kohdistuvat tarkastusvaltuudet merkitsevät oikeutta puuttua merkittävällä tavalla perustuslaissa jokaiselle turvattuun kotirauhan suojaan eikä tällaista valtuutta voida näin ollen antaa yksityiselle tavallisella lailla. Valiokunta on tarkastuksen mahdollistavan lainsäädännön yhteydessä vakiintuneesti edellyttänyt erikseen säädettäväksi siitä, että pysyväisluonteiseen asumiseen käytettävään tilaan kohdistuvan tarkastuksen voi toimittaa vain viranomainen (ks. esim. PeVL 62/2010 vp, s. 6 ja PeVL 46/2001 vp, s. 4—5). Tiedonhallintalautakunnan tarkastustehtäviin ei liittyisi kotirauhan piiriin kohdistuvaa tarkastusta, vaan tarkastukset toimitettaisiin viranomaisen toimitiloissa. Selvyyden vuoksi lakiin ehdotetaan kuitenkin säädettäväksi, ettei tarkastusta voida suorittaa pysyväisluonteiseen asumiseen tarkoitetuissa tiloissa. Tiedonhallintalautakunnalle ei myöskään esitetä mahdollisuutta antaa tarkastustehtävää yksityiselle, vaan tarkastukset toimittaisi lautakunnan sihteeristöstä nimetty henkilö tai henkilöt, joita voisi avustaa Digi- ja väestötietoviraston virkamiehistö.  

Edellä mainituilla perusteilla lakiehdotukset voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä. 

Hallitus pitää kuitenkin suotavana, että perustuslakivaliokunta antaisi asiasta lausunnon.