7.1
Förvaltningslagen
8 b kap. Automatiserat avgörande av ärenden
Den gällande förvaltningslagen har utarbetats under en tid då utgångspunkten var att en tjänsteman bereder, behandlar och avgör ärenden. Av motiveringarna till regeringens proposition om förvaltningslagen framgår det att lagen är avsedd att också vara tillämplig på så kallat massförfarande (RP 72/2002 rd, s. 40). Förvaltningslagens förfarandereglering är i huvudsak till karaktären teknikneutral, och innehåller exempelvis inte bestämmelser om att ärenden ska inledas, handlingar lämnas in eller ärenden hanteras i någon bestämd form. I bestämmelserna om delgivning föreskrivs t.ex. om delgivning per post, medan det i lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003) föreskrivs om elektronisk delgivning. I den lagen jämställs elektronisk och skriftlig form. Nya 8 b kap. i förvaltningslagen bildar tillsammans med de föreslagna bestämmelserna i lagen om informationshantering en uttrycklig rättsgrund för automatiserat avgörande av förvaltningsärenden. Det handlar om möjliggörande lagstiftning. Införandet av automatiserade verksamhetsprocesser där det är möjligt lämnas till myndighetens övervägande.
Den föreslagna regleringen är i huvudsak inte avsedd att avvika från regleringen om förvaltningsförfarande. T.ex. bestämmelserna om utredning av ärenden, hörande av parter samt innehållet i förvaltningsbeslut, motivering av förvaltningsbeslut, rättelse av fel, besvärsanvisning, delgivning och omprövning blir följaktligen tillämpliga också vid automatiserat beslutsfattande, om inte något annat bestäms i en speciallag. Också grunderna för god förvaltning enligt 2 kap. i förvaltningslagen ska iakttas i myndigheternas verksamhet. Myndigheterna ska alltså beakta dessa skyldigheter och motsvarande skyldigheter i speciallagstiftningen vid planeringen av automatiserade verksamhetsprocesser. Kraven enligt föreslagna 8 b kap. utgör tilläggskriterier avseende förfarandet vid behandling av ärenden när ärenden avgörs i en automatiserad verksamhetsprocess.
Meningen är att de bestämmelser som föreslås i förvaltningslagen och lagen om informationshantering ska fungera som allmän reglering med stöd av vilken myndigheterna överlag kan göra automatiserade avgöranden när de lagenliga förutsättningarna uppfylls utan att det behövs bestämmelser om automation separat i sektorlagstiftningen. Utöver den allmänna lagstiftningen om automation ska myndigheterna beakta den övriga lagstiftningen i frågan. Sådan är bland annat den materiella lagstiftning som ger myndigheterna behörighet (exempelvis förmånslagarna), regleringen om förvaltningsförfarande (exempelvis förvaltningslagen och språklagen), sektorsspecifik särskild förfarandelagstiftning, dataskyddslagstiftningen och annan reglering som tryggar de grundläggande rättigheterna (exempelvis diskrimineringslagen och jämställdhetslagen).
Automatiserat avgörande bör i princip grundas på allmän lag. Av nödvändiga orsaker kan det dock vara befogat att i speciallagstiftningen avvika från de kriterier som föreskrivs i allmän lag. En sådan avvikelse ska alltid begränsas till det nödvändiga och bedömas ur rättsskyddsperspektiv och med tanke på skyddet för personuppgifter.
Den föreslagna regleringen har avgränsats till att gälla automatiserat avgörande av ärenden. Regleringen hänför sig inte till andra faser av ärendebehandlingen såsom utredning av ärenden eller hörande av parter, utan dessa åtgärder kan myndigheterna alltjämt organisera på det sätt de anser lämpligt. Den föreslagna regleringen hindrar följaktligen inte till exempel handläggare från att använda automatiserat beslutsstöd för andra behandlingsfaser i ett förvaltningsärende eller för att ta fram ett beslutsutkast. Också vid sådan automation bör myndigheten beakta den övriga reglering som ingår i förvaltningslagen, speciallagstiftning och eventuell dataskyddsreglering.
Enligt 2 § 2 mom. i förvaltningslagen tillämpas lagen hos statliga myndigheter, välfärdsområdenas och välfärdssammanslutningarnas myndigheter, kommunala myndigheter och självständiga offentligrättsliga inrättningar samt hos riksdagens ämbetsverk och republikens presidents kansli. Enligt 2 § 3 mom. tillämpas lagen vid statens affärsverk, vid offentligrättsliga föreningar samt på enskilda då de sköter offentliga förvaltningsuppgifter. I föreslagna 8 b kap. avses med myndigheter i enlighet med den begreppsapparat som används i förvaltningslagen både de myndigheter som avses i 2 mom. och de aktörer som avses i 3 mom.
53 e §. Förutsättningar för att avgöra ärenden automatiserat.Paragrafen syftar till att skapa en behörighetsgrund för automatiserat avgörande av förvaltningsärenden och att avgränsa det automatiserade beslutsfattandet till ärenden som det med beaktande av principen om förvaltningens lagbundenhet och rättsskyddet lämpar sig för. Meningen är att lagstifta en klar rättslig grund för automatiserat beslutsfattande inom förvaltningen i den allmänna lagstiftningen.
I paragrafen föreskrivs när en myndighet får avgöra ärenden automatiserat. Med avgörande av ärenden hänvisas till 7 kap. i förvaltningslagen (”Avgörande av ärenden”) och där avsett avgörande som avslutar behandlingen av ett förvaltningsärende och genom vilket det beslutas om någons fördel, rätt eller skyldighet. Sådana avgöranden fattas exempelvis i ärenden som gäller ansökan om förmån (t.ex. sociala förmåner), skyldigheter (t.ex. beskattning) eller tillstånd (t.ex. körkort). I likhet med förvaltningslagens allmänna tillämpningsområde gäller den föreslagna regleringen i princip både beslut som gäller fysiska personer och beslut som gäller juridiska personer. Eftersom det i bestämmelsen avses med avgörande av ett ärende en åtgärd som avslutar behandlingen av ett förvaltningsärende, är regleringen i princip inte tillämplig t.ex. på faktisk förvaltningsverksamhet, såsom tillhandahållande av offentliga tjänster. Av orsaker som hänför sig till skyddet av personuppgifter föreskrivs i 53 f § en rättsskyddsförutsättning som gäller den fysiska person som beslutet avser.
Den föreslagna regleringen lämpar sig också för korrigering av fel, om kriterierna för automatiserat avgörande uppfylls. En begäran om omprövning eller ett jämförbart rättsmedel får dock inte med stöd av den föreslagna regleringen avgöras automatiserat.
På behandlingen av personuppgifter i samband med förvaltningsärenden tillämpas i regel den allmänna dataskyddsförordningen. Dataskyddsförordningen tillämpas exempelvis på beviljande av studiestöd enligt 23 § i lagen om studiestöd (65/1994), sedvanlig inkomstbeskattning av personkunder enligt 7, 10 och 26 § i lagen om beskattningsförfarande (1558/1995) och anteckning i befolkningsdatasystemet vid flyttning inom samma kommun enligt 9 a § 3 mom. i lagen om hemkommun (201/1994). På behandlingen tillämpas dock dataskyddslagen avseende brottmål om behandlingen gäller verksamhet som avses i lagens 1 §. Förvaltningsärenden som omfattas av området för dataskyddslagen avseende brottmål är bland annat vissa ärenden i anknytning till verkställighet av straffrättslig påföljd, t.ex. beviljande av betalningstid enligt 14 § i lagen om verkställighet av böter (672/2002) och brukspenning, sysselsättningspenning och lön enligt 9 kap. 6 § i fängelselagen (767/2005). I 13 § 2 mom. i dataskyddslagen avseende brottmål föreslås en bestämmelse som inom lagens tillämpningsområde gör automatiserat avgörande av förvaltningsärenden möjligt.
Till den del automatiserat avgörande av ärenden hänför sig till fysiska personer blir förbuden i dataskyddslagstiftningen mot automatiserat individuellt beslutsfattande tillämpliga. I artikel 22 i den allmänna dataskyddsförordningen förbjuds automatiserat individuellt beslutsfattande och profilering i samband med det. Enligt artikel 22.1 ska den registrerade ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne. Enligt artikel 22.2 b ska artikel 22.1 inte tillämpas om beslutet tillåts enligt unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen.
Artikel 29-arbetsgruppen för uppgiftsskydd har i sina riktlinjer (WP 29 Riktlinjer om automatiserat individuellt beslutsfattande, WP251rev.01, s. 22) om begreppet beslut som grundas enbart på automatiserad behandling konstaterat följande: ”Om en fysisk person gör en granskning och tar hänsyn till andra faktorer innan det slutliga beslutet fattas är detta inte ett beslut som ”grundas enbart” på automatiserad behandling.” Vidare har arbetsgruppen konstaterat att ”den personuppgiftsansvarige kan inte undvika att omfattas av artikel 22 enbart genom att påstå att fysiska personer deltar i beslutsprocessen. Om någon t.ex. rutinmässigt tillämpar automatiskt genererade profiler på individer utan att faktiskt påverka resultatet är detta fortfarande ett beslut som grundas enbart på automatiserad behandling.”
Enligt 13 § i dataskyddslagen avseende brottmål får ett beslut, om inte något annat föreskrivs i lag, inte fattas enbart på grundval av automatiserad behandling av personuppgifter, om beslutet har negativa rättsverkningar för den registrerade eller beslutet annars är betydande för den registrerade. På grund av de bestämmelser i förvaltningslagen och i 13 § i dataskyddslagen avseende brottmål som visar att de är subsidiära fogas en ny klargörande bestämmelse till 13 § 2 mom. i dataskyddslagen avseende brottmål.
Syftet med 53 e § i förvaltningslagen är att utnyttja det handlingsutrymme som den allmänna dataskyddsförordningen tillåter och att genom nationell lagstiftning möjliggöra automatiserat individuellt beslutsfattande. Den allmänna dataskyddsförordningen lämnar ett nationellt handlingsutrymme inom ramen för vilket ett sådant undantag är möjligt. Då gäller det dock att se till att regleringen i sin helhet är förenlig med den allmänna dataskyddsförordningen och att i den också föreskrivs om lämpliga åtgärder för att skydda den registrerades rättigheter och friheter samt berättigade intressen. Enligt skäl 71 i förordningen bör denna form av uppgiftsbehandling under alla omständigheter omgärdas av lämpliga skyddsåtgärder, som bör inkludera specifik information till den registrerade och rätt till mänskligt ingripande, att framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att överklaga beslutet.
I paragrafens 1 mom. föreskrivs om syftet med nya 8 b kap. och definitionen av automatiserat avgörande av ärenden.
I momentet definieras vad som avses med automatiserat avgörande. Samtidigt drar definitionen upp gränser för avgöranden på vilka 8 b kap. ska tillämpas. Kapitlet tillämpas på ärenden där en myndighet genom automatisk databehandling träffar ett avgörande som avslutar behandlingen av ett ärende, utan att avgörandet granskas och godkänns av en fysisk person. Föreslagna 8 b kap. ska följaktligen inte tillämpas på vilken ärendebehandling som helst där automatisk databehandling används. Kapitlet blir tillämpligt när det avgörande som avslutar behandlingen av ett ärende träffas enbart med hjälp av automatisk databehandling utan medverkan av en fysisk person. Också en sådan ärendebehandling kan inbegripa faser där en fysisk person deltar i beredningen av ärendet genom interimistiska åtgärder, såsom faser som kräver prövning från fall till fall. I praktiken innebär granskning och godkännande av ett avgörande att den fysiska person som godkänner beslutet går igenom avgörandets sakinnehåll och felfrihet med den noggrannhet och precision som 21 § i grundlagen och 6 § och 31 § 1 mom. i förvaltningslagen förutsätter. Enbart en formell godkännandeåtgärd utan innehållslig bedömning av avgörandet räcker alltså inte för att ärendet inte ska omfattas av 8 b kap.
I paragrafens 2 mom. föreskrivs att en myndighet kan avgöra ett ärende automatiserat, när det i ärendet inte ingår omständigheter som enligt myndighetens förhandsprövning förutsätter prövning från fall till fall eller när de i ärendet ingående omständigheter som förutsätter prövning från fall till fall har bedömts av en tjänsteman eller någon annan som handlägger ärendet. Avgöranden ska grundas på behandlingsregler som har utarbetats med stöd av tillämplig lag och som avses i 2 § 16 punkten i lagen om informationshantering.
I detta moment beskrivs den förutsättning enligt vilken en myndighet på förhand ska pröva vilka ärenden som till sin natur är sådana att de kan avgöras automatiserat och utarbeta behandlingsregler enligt vilka dessa ärenden väljs ut och avgörs. I praktiken ska myndigheten bland alla de ärenden den behandlar identifiera sådana som till sina väsentliga drag upprepas på samma sätt (typfall) och som enligt myndighetens bedömning alltid ska avgöras enligt samma regel.
I sin enklaste form kan ett typfall identifieras direkt med stöd av tillämplig materiell lag, när lagstiftningen är tillräckligt entydig. I sådana fall där den materiella lagstiftningen utifrån där använda begrepp lämpar sig för en bred palett av fall, måste myndigheten vid identifieringen av typfall på förhand också ta ställning till tolkningen av de tillämpliga bestämmelserna. Också i ärenden där den lagstiftning som ligger till grund för besluten ger mycket rum för tolkning (exempelvis trafikförsäkringslagen och skadeståndslagen som den bygger på) kan det gå att identifiera typfall där myndigheten (eller i fråga om lagstadgade försäkringar privata aktörer som sköter offentliga förvaltningsuppgifter) i någon ärendegrupp har en etablerad avgörandepraxis, enligt vilken ärenden med vissa drag alltid avgörs på samma sätt. Ett typfall kan också grunda sig på granskning av gränsvärden t.ex. så att inkomster som överstiger ett visst eurobelopp i vissa situationer alltid anses uppfylla det kriterium som lagen kräver.
Det automatiserade avgörandet avgränsas så att ärenden som förutsätter prövning från fall till fall antingen lämnas utanför automatiseringen eller så organiseras beslutsfattandet så att en tjänsteman eller någon annan som handlägger ärendet deltar i beslutet till den del ärendet är förenat med omständigheter som förutsätter prövning från fall till fall. Automatiserat avgörande gäller å ena sidan ärenden där det enligt myndighetens förhandsprövning inte ingår omständigheter som förutsätter prövning från fall till fall. Sådana är i synnerhet till sin natur enkla ärenden där den berörda lagstiftningen är entydig (exempelvis tillståndsärenden som avgörs utifrån entydiga kriterier och i vilka det inte ingår helhetsprövning). I allmänhet bedöms behovet av prövning från fall till fall utifrån den materiella lagstiftningen, men också förfarandebestämmelser i en speciallag kan inverka på prövningen. Exempelvis kan den s.k. urvalsbestämmelsen i 26 § 6 mom. i lagen om beskattningsförfarande inverka inskränkande på skattemyndighetens utredningsskyldighet och på det sättet minska behovet av prövning från fall till fall.
Å andra sidan kan också sådana ärenden avgöras automatiserat som är förenade med prövning från fall till fall, men där en tjänsteman eller någon annan som handlägger ärendet har bedömt de omständigheter som förutsätter prövning. En sådan bedömning kan t.ex. hänföra sig till de kriterier för ett avdrag som krävs i skattedeklarationen och som beskattningstjänstemän bedömer utifrån de motiveringar den skattskyldige för fram. Då fattas det slutliga avgörandet av ärendet automatiserat med stöd av den bedömning tjänstemannen har matat in i informationssystemet och de övriga uppgifterna i ärendet. Om den som handlägger ärendet i det här sammanhanget i sin helhet gör den slutliga rättsliga slutledningen, enligt vilken ärendet avgörs, är det enligt definitionen i 1 mom. emellertid inte fråga om ett automatiserat avgörande.
I bestämmelsen avses med tjänsteman i enlighet med förvaltningslagen också en befattningshavare i kommunen eller välfärdsområdet. Med någon annan som handlägger ärendet avses en sådan tjänsteman, förmånshandläggare eller motsvarande fysisk person till vars uppgifter det hör att avgöra ärendet i enlighet med den interna arbetsfördelningen hos myndigheten eller den privata aktör som sköter en offentlig förvaltningsuppgift.
I bestämmelsen avgränsas inte området för automatiserat avgörande enligt ärendets eller avgörandets karaktär, till exempel i förmånsbeslut eller beskattningsbeslut, utan myndigheten kan avgöra också andra slags ärenden, exempelvis rätta fel i beslut i enlighet med 8 kap i förvaltningslagen eller avgöra att ett ärende förfaller, om de föreskrivna förutsättningarna uppfylls.
Regleringen är tillämplig också på automatiserat påförande av sådana påföljder av straffkaraktär som påförs i förvaltningsförfarande då när de inte innefattar prövning från fall till fall eller när sådana omständigheter har bedömts av en tjänsteman eller någon annan som handlägger ärendet. Automatiserat påförande av påföljder av straffkaraktär vore följaktligen möjligt endast i bestämda fall. Automatiserat kan exempelvis sådana schematiska sanktioner påföras vars påförandegrunder och storlek är exakt föreskrivna i lag och försummelsen eller överträdelsen av de i lag föreskrivna skyldigheterna lätt går att leda i bevis.
Enligt andra meningen i momentet ska avgöranden grundas på behandlingsregler som har utarbetats med stöd av tillämplig lag. Enligt föreslagna 2 § 1 mom. 16 punkten i lagen om informationshantering avses med behandlingsregler av en fysisk person på förhand utarbetade regler avsedda att styra automatisk databehandling. Utifrån behandlingsreglerna avgörs t.ex. om en förmånsansökan uppfyller de kriterier som enligt myndighetens tolkning krävs för beviljande av förmånen, eller om en förmån som kontrolleras i förmånsövervakningen bör avslutas för att förmånstagaren inte längre uppfyller kriterierna. Eftersom avgörandet av ett ärende uttryckligen bör beskrivas i formen av en behandlingsregel, utesluter bestämmelsen sådant tekniskt genomförande som i stället för regler t.ex. utgår från sannolikhetstänkande (s.k. maskininlärningstekniker). Behandlingsreglerna och förhandsprövningen av dem bör enligt 28 a § i lagen om informationshantering beskrivas i den automatiserade verksamhetsprocessens dokumentering.
Enligt bestämmelsen ska behandlingsreglerna utarbetas med stöd av tillämplig lag. Med det betonas myndighetens skyldighet att uppfylla den i 2 § 3 mom. i grundlagen föreskrivna principen för förvaltningens lagbundenhet enligt vilken lag noggrant ska iakttas i all offentlig verksamhet. Med tillämplig lag avses i bred mening all i ärendet tillämplig rätt medräknat bland annat riksdagens lagar, Europeiska unionens rättsakter, bestämmelser på lägre nivå än lag, myndighetsföreskrifter samt rättspraxis. Tillämplig lag kan gälla materiella bestämmelser som är tillämpliga i ärendet (exempelvis förmånsreglering) eller förfarandebestämmelser (exempelvis förfaranderegleringen i förvaltningslagen och speciallagar).
Kravet på att behandlingsreglerna ska grunda sig på tillämplig lag innebär också att myndigheten för urval och behandling av automatiserade ärenden endast får tillämpa regler för vilka en acceptabel rättslig grund kan läggas fram. Myndigheten kan således inte tillämpa exempelvis behandlingsregler som leder till förvaltningsåtgärder i strid med de rättsprinciper för förvaltningen som tryggas i 6 § i förvaltningslagen eller diskrimineringsförbudet i 8 § i diskrimineringslagen, och det är t.ex. inte möjligt att avvika från hörande utan att det möjliggörs i lag. Skyldigheten att dokumentera bedömningen av att behandlingsreglerna är icke-diskriminerande föreskrivs i 28 a § i lagen om informationshantering.
Eftersom behandlingsreglerna ska grunda sig på tillämplig lag ska myndigheten vid utarbetandet av reglerna göra en omsorgsfull bedömning av vilka ärenden som kan avgöras automatiserat så att slutresultatet är ett lagenligt avgörande. Detta innebär i praktiken identifiering av sådana typfall där myndigheten anser det klart att slutresultatet enligt behandlingsregeln är lagenlig. Å andra sidan, eftersom det inte är meningen att genom den föreslagna regleringen avvika från myndigheters skyldigheter som gäller förvaltningsförfarande, måste myndigheten planera sina automatiserade verksamhetsprocesser så att skyldigheterna som gäller utredande av ärendet och hörande samt innehållet i och motiveringarna till beslutet fullgörs korrekt. Skyldigheten att dokumentera bedömningen av dessa omständigheter föreskrivs i 28 a § i lagen om informationshantering.
Automatiserat avgörande är inte möjligt i ärenden som ska avgöras på föredragning eftersom ett föredragningsförfarande förutsätter en föredragande och en beslutsfattare som handlar under tjänsteansvar. Den föreslagna regleringen hindrar dock inte föredraganden från att använda automatiserat beslutsstöd.
Innan automatiserat avgörande tas i bruk ska myndigheten fatta ett beslut om införande i enlighet med föreslagna 28 d § i lagen om informationshantering.
I paragrafens 3 mom. ingår en informativ hänvisning enligt vilken förutsättningarna för att införa automatiserat avgörande och det förfarande som ska iakttas vid införandet regleras i lagen om informationshantering. Hänvisningsbestämmelsen behövs, eftersom de bestämmelser som föreslås i 6 a kap. i lagen om informationshantering bildar ytterligare kriterier för de situationer där ärenden kan avgöras automatiserat hos en myndighet. Kraven i lagen om informationshantering måste uppfyllas för att de ärenden som avses i 8 b kap. i förvaltningslagen ska kunna avgöras automatiserat.
I paragrafens 4 mom. föreskrivs ett förbud att automatiserat avgöra en begäran om omprövning eller ett jämförbart rättsmedel.
Bestämmelser om begäran om omprövning finns i 7 a kap. i förvaltningslagen. Med rättsmedel som är jämförbara med begäran om omprövning avses sådana förvaltningsinterna rättsmedel som föreskrivs i speciallagstiftning och som till sitt syfte kan jämföras med en omprövningsbegäran enligt 7 a kap. i förvaltningslagen. Sådana rättsmedel är bland annat den omprövningsbegäran som föreskrivs i 137 § i kommunallagen (410/2015), den omprövningsbegäran som ingår i skattelagstiftningen (exempelvis 63 § i lagen om beskattningsförfarande) och den självrättelse som används i socialskyddslagstiftningen (exempelvis 17 kap. 3 § i sjukförsäkringslagen (1224/2004)). Sådan rättelse av fel i beslut som avses i 8 kap. i förvaltningslagen ska inte betraktas som ett rättsmedel jämförbart med omprövningsbegäran.
Grundlagsutskottet har konstaterat ”att syftet med omprövningsförfarandet enligt grundlagsutskottets mening är att bidra till att genomföra garantierna för god förvaltning enligt 21 § 2 mom. i grundlagen. Omprövningsförfarandet bör bedömas också med avseende på att den i sak – om också inte formellt – kan utgöra en del av hela det förvaltningsrättsliga systemet för att söka ändring.” ”Utskottet har tidigare ansett att omprövningsförfarandet på sätt och vis kan ses som det första steget i processen för att söka ändring, fastän det inte handlar om rättskipning i domstol. Därför kan det inte uppfylla kravet i grundlagens 21 § att var och en har rätt att få ett beslut som gäller hans eller hennes rättigheter och skyldigheter behandlat vid domstol eller något annat oavhängigt rättskipningsorgan” (GrUU 32/2012 rd, s. 3/II, GrUU 55/2014 rd).
Automatiserat avgörande av en begäran om omprövning och jämförbara rättsmedel förbjuds eftersom deras rättsskyddskaraktär i allmänhet förutsätter att en fysisk person undersöker sådana rättsmedel. Avgörande av dessa ärenden förutsätter ofta också sådan prövning som inte kan automatiseras. Dessutom kan den myndighet som behandlar begäran om omprövning enligt 49 f § i förvaltningslagen förbjuda att beslutet verkställs eller bestämma att verkställigheten ska avbrytas.
Inom vissa förvaltningsområden och i vissa ärendegrupper kan det emellertid finnas situationer där det inte kan anses att partens rättsskydd äventyras av att begäran avgörs automatiserat. Annanstans i lag kan också grunderna för en begäran om omprövning ha avgränsats, vilket inte är fallet i det omprövningsförfarande som avses i 7 a kap. i förvaltningslagen. Det är följaktligen möjligt att i vissa separat bedömda situationer i enlighet med 5 § 1 mom. i förvaltningslagen föreskriva undantag från förbudet mot automatisering av en omprövningsbegäran, om det anses att grundlagen, särskilt äventyrande av god förvaltning och rättsskydd, eller dataskyddslagstiftningen inte ställer hinder för detta. När en speciallag stiftas bör också de dataskyddsrättsliga skyddsåtgärdernas tillräcklighet utvärderas, med beaktande av att en möjlighet till omprövningsförfarande i 53 f § i förvaltningslagen föreslås som förutsättning för automatiserat avgörande.
53 f §. Rättsskyddsförutsättning vid automatiserade avgöranden.I paragrafens 1 mom. föreskrivs att en förutsättning för automatiserade avgöranden utöver det övriga som föreskrivs i 8 b kap. är att den fysiska person som avgörandet avser avgiftsfritt till alla delar får begära omprövning av avgörandet genom en omprövningsbegäran enligt 7 a kap. eller ett jämförbart rättsmedel som behandlas hos den myndighet som har fattat beslutet eller hos en myndighet som hör till samma personuppgiftsansvarige som den beslutande myndigheten.
Genom bestämmelsen genomförs de krav på skyddsåtgärder som föreskrivs i artikel 22.2 b i den allmänna dataskyddsförordningen och i artikel 11.1 i dataskyddsdirektivet. Artikel 22.2 b i dataskyddsförordningen förutsätter att då grunden för automatiserat beslutsfattande finns i en medlemsstats nationella rätt ska lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen fastställas i lag. Enligt skäl 71 i den allmänna dataskyddsförordningen är lämpliga skyddsåtgärder åtminstone rätten till mänskligt ingripande. Artikel 11.1 i dataskyddsdirektivet förutsätter för sin del att medlemsstaterna i sin lagstiftning fastställer lämpliga skyddsåtgärder, åtminstone rätten till mänskligt ingripande från den personuppgiftsansvariges sida.
Eftersom den allmänna dataskyddsförordningens förutsättning om rätten till mänskligt ingripande endast konstateras i ingresskälen, men inte i själva artikeltexten, måste det avvägas hur förpliktande denna förutsättning är. EU-domstolen har gett ingresskälen avsevärd tyngd i sina domar (exempelvis domstolens dom i mål C-203/15, punkt 87, och C-454/18, punkt 71). Med beaktande av att den föreslagna regleringen som allmän lag blir brett tillämplig på många slag av administrativt beslutsfattande, är det för att garantera tillräckliga skyddsåtgärder motiverat att genomföra rätten till mänskligt ingripande i den förslagna bestämmelsen. Av 5 § 1 mom. i förvaltningslagen följer att det är möjligt att i en speciallag lagstifta på annat sätt om kravet i 1 mom. I det sammanhanget bör man se till att sådana tillräckliga skyddsåtgärder som dataskyddslagstiftningen kräver ingår i speciallagen. Vid lagstiftandet bör det bedömas hur skälet om mänskligt ingripande ska tolkas i den aktuella kontexten.
Den allmänna lagstiftningen om dataskydd utgår från att utövandet av rättigheter ska vara avgiftsfritt för den registrerade. I artikel 12.5 i dataskyddsförordningen föreskrivs att all kommunikation och samtliga åtgärder som vidtas enligt artikel 22 ska tillhandahållas kostnadsfritt. I artikel 12.4 i dataskyddsdirektivet förutsätts att medlemsstaterna ska föreskriva att alla meddelanden eller åtgärder som vidtas enligt artikel 11 ska tillhandahållas kostnadsfritt. Därför ska en omprövningsbegäran eller ett jämförbart rättsmedel vara en avgiftsfri åtgärd för den registrerade.
Dataskyddslagstiftningen utgår från att en registrerad kan utöva sina rättigheter avseende en personuppgiftsansvarig som behandlar den registrerades personuppgifter. Eftersom beslutsfattande som grundas enbart på automatiserad behandling kan vara förenat med större risker än sedvanlig behandling av personuppgifter ska den registrerade ha rätt att utöva sin rätt avseende den personuppgiftsansvarige som har fattat beslutet, för att rättsmedlet ska anses som sådan rätt för den registrerade som avses i dataskyddslagstiftningen. Därför ska förfarandet vid en omprövningsbegäran eller ett jämförbart rättsmedel vara sådant att begäran behandlas av den personuppgiftsansvarige som också fattade det beslut som var grundat enbart på automatiserad behandling. Exempelvis sökande av ändring hos förvaltningsdomstolen kan inte anses tillämpligt, eftersom förvaltningsdomstolen inte är den personuppgiftsansvarige som har fattat beslutet.
I Artikel 29-arbetsgruppens riktlinjer (WP 29 Riktlinjer om automatiserat individuellt beslutsfattande, WP251rev.01, s. 22 och 29) preciseras innehållet i den allmänna dataskyddsförordningens skäl 71, särskilt den registrerades rätt att kräva mänskligt ingripande och tillhörande förfaranden. Enligt arbetsgruppen ska granskningen utföras av någon som har den befogenhet och kompetens som krävs för att ändra beslutet. Granskaren bör dessutom göra en ingående bedömning av alla relevanta uppgifter, inbegripet eventuella kompletterande upplysningar som lämnats av den registrerade. En omprövningsbegäran enligt 7 a kap. i förvaltningslagen kan anses lämpa sig mycket väl som sådan dataskyddsrättslig skyddsåtgärd som uppfyller kraven i Artikel 29-arbetsgruppens riktlinjer.
Om det inte finns bestämmelser om en begäran om omprövning, uppfylls rättskyddsförutsättningen också av ett jämförbart lagstadgat rättsmedel. Jämförbara rättsskyddsmedel beskrivs ovan i specialmotiveringen till 53 e § 4 mom. Vidare ska ett rättsskyddsmedels jämförbarhet med en begäran om omprövning bedömas utifrån de egenskaper som beskrivs i 53 f § 1 mom., såsom avgiftsfriheten. Det ska vara ett rättsmedel som handläggs i ett förvaltningsförfarande hos den myndighet som har fattat beslutet.
Den som handlägger rättsmedlet kan också vara en annan myndighet som ingår i samma personuppgiftsansvarige som den myndighet som fattade det ursprungliga avgörandet. Exempelvis begärs omprövning i en kommunal tjänsteinnehavares beslut hos en kommunal nämnd. Tjänsteinnehavaren och nämnden kan vara olika myndigheter, men tolkas höra till samma personuppgiftsansvarige. Begreppet personuppgiftsansvarig definieras i artikel 4.7 i den allmänna dataskyddsförordningen och i 3 § 1 mom. 6 punkten i dataskyddslagen avseende brottmål, enligt vilka den personuppgiftsansvarige är den som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Alternativt kan bestämmelser om den personuppgiftsansvarige utfärdas genom lag på samma sätt som det har gjorts i fråga om flera myndigheter. Om det inte föreskrivs om den personuppgiftsansvarige i lag, bestämmer varje myndighet ensam eller tillsammans med andra myndigheter hur registerföringen ska organiseras i olika behandlingssituationer. Enligt dataskyddsbestämmelserna ska den registrerade i samband med behandlingen av personuppgifter informeras om vilken myndighet som är personuppgiftsansvarig. I 46 § i förvaltningslagen föreskrivs det att om omprövning av ett beslut ska begäras i ett särskilt föreskrivet omprövningsförfarande innan besvär anförs, ska anvisningar om användning av ett sådant omprövningsförfarande ges samtidigt med beslutet. I anvisningarna skall i enlighet med 47 § nämnas besvärsmyndigheten samt den myndighet till vilken besvärsskriften skall lämnas in.
För att den förutsättning som följer av dataskyddslagstiftningen om att den människa som deltar i handläggningen ska ha möjlighet att ändra beslutet ska tillgodoses, måste parten ifråga kunna kräva ändring i beslutet till alla delar. Både en omprövningsbegäran och ett jämförbart rättsmedel ska vara avgiftsfria.
Ovan i specialmotiveringen till 53 e § 4 mom. förklaras vad som avses med ett rättsmedel som är jämförbart med en begäran om omprövning. Ett motsvarande rättsmedel fungerar också som den registrerades rätt att få ärendet behandlat av en fysisk person.
Rätten att söka ändring i ett avgörande genom förvaltningsklagan uppfyller inte förutsättningarna enligt 1 mom. om förvaltningsförfarande och samma myndighet. Inte heller en sådan rättelse av fel som föreskrivs i 8 kap. i förvaltningslagen är ett sådant rättsmedel eftersom rättelse av fel enligt 50 och 51 § i lagen har avgränsats till att gälla endast bestämda situationer och uppfyller därmed inte kravet att omprövning av avgörandet ska kunna begäras till alla delar.
Artikel 22.2 b i den allmänna dataskyddsförordningen och artikel 11.2 i dataskyddsdirektivet förutsätter bestämmelser om skyddsåtgärder i lag. I artikel 12 i den allmänna dataskyddsförordningen föreskrivs detaljerat förfarandet vid utövande av den registrerades rättigheter och i artikel 12 i dataskyddsdirektivet förutsätts att medlemsstaterna ska föreskriva om utövandet av den registrerades rättigheter när behandlingen grundas enbart på automatisk behandling enligt artikel 11. Dessutom har grundlagsutskottet betonat de hot en hög risk medför och konstaterat att ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser (GrUU 14/2018 rd, s. 5). Med beaktande av de krav som följer av den allmänna dataskyddsförordningen, dataskyddsdirektivet och grundlagsutskottets utlåtandepraxis bör det i lag föreskrivas om rättsmedel som är jämförbara med en begäran om omprövning och hur de ska behandlas.
Eftersom paragrafen syftar till att genomföra de skyddsåtgärder som följer av dataskyddslagstiftningen har förutsättningen i 1 mom. avgränsats till att omfatta endast ärenden där parten är en fysisk person. Om både en fysisk person och en juridisk person är parter i ett ärende, ska den fysiska personen som är part ha möjlighet till ett rättsmedel enligt 1 mom.
I paragrafens 2 mom. föreskrivs ett undantag från förutsättningen enligt 1 mom. Förutsättningen tillämpas inte, om en parts yrkande, som inte rör någon annan part, godkänns genom ett automatiserat avgörande. Ett centralt mål som ligger till grund för artikel 22 i den allmänna dataskyddsförordningen och artikel 11 i dataskyddsdirektivet är att skydda människor från sådant automatiserat beslutsfattande där deras egenskaper bedöms på felaktiga grunder utan att en människa kan påverka bedömningen. När en parts yrkande godkänns på det sätt som begärts kan parten inte längre anses ha behov av dataskyddsrättsligt skydd för att få beslutet behandlat av en människa.
Skyddsåtgärden enligt paragrafens 1 mom. kan anses effektiv endast om begäran om omprövning eller ett jämförbart rättsmedel inte får avgöras automatiserat. Förbud som gäller detta ingår i 53 e § 4 mom.
Paragrafen syftar till att föreskriva ett ytterligare kriterium som ska uppfyllas för automatiserade avgöranden. Av paragrafen i sig följer inte rätt att begära omprövning och den påverkar inte heller annars de befintliga rättsmedlen. En parts rätt att begära omprövning och rätt till rättsskydd tryggas med stöd av annan lagstiftning. I lag bestäms särskilt när det är möjligt att begära omprövning av ett beslut (49 b § 1 mom. i förvaltningslagen). Inte heller undantaget i 2 mom. är avsett för att avvika från rättsmedlen utan endast från villkoret för automatiserat avgörande av ärenden i vissa situationer.
53 g §. Meddelande om automatiserat avgörande. I paragrafens 1 mom. föreskrivs att det utöver vad som föreskrivs i 44 § 1 mom. av ett förvaltningsbeslut ska framgå om ärendet har avgjorts automatiserat. Samtidigt ska det framgå var det beslut om införande som avses i 28 d § i lagen om informationshantering finns att tillgå. Enligt föreslagna 28 e § 1 mom. i lagen om informationshantering ska myndigheten offentliggöra ett beslut om införande på sin webbplats i det allmänna datanätet. I ett skriftligt förvaltningsbeslut kan adressen till en specifik webbplats eller vid behov någon annan specifik uppgift anges om det beslut om införande som anknyter till det automatiserade avgörandet av ärendet. Från jämlikhetssynpunkt ska beslutet vara tillgängligt också på annat sätt än på myndighetens webbplats. Eftersom automatiserat avgörande och användning av automatiserade verksamhetsprocesser grundas på beslut om införande är det motiverat att det automatiserade avgörandet upplyser om det. Vidare ska myndigheten enligt 28 e § 2 mom. i lagen om informationshantering informera om automatiserat avgörande av ärenden inom sitt verksamhetsområde på ett begripligt och tillgängligt sätt. Enligt 6 § i förvaltningslagen ska myndigheternas åtgärder skydda förväntningar som är berättigade enligt rättsordningen. Myndigheten ska öppet berätta för sina kunder när deras ärenden har avgjorts automatiserat. En part kan bedöma det avgörande den fått med stöd av de uppgifter myndigheten ger och t.ex. utnyttja sin möjlighet att begära omprövning av beslutet. För automatiserade avgöranden gäller dessutom de förpliktelser enligt förvaltningslagens 44 § om beslutets innehåll och 45 § om motiveringen till beslutet när det i ärendet ges ett skriftligt och motiverat förvaltningsbeslut.
I paragrafens 2 mom. föreskrivs att om det inte meddelas något förvaltningsbeslut i ärendet med stöd av någon annan lag, ska de uppgifter som avses i 1 mom. dock meddelas parten på något annat sätt senast när behandlingen av ärendet avslutas. Bestämmelsen syftar till att trygga partens rätt att bli informerad om att ärendet har avgjorts automatiserat också i de fall, då det av speciallagstiftningen följer att det inte ges något skriftligt förvaltningsbeslut i ärendet. Myndigheten kan t.ex. ge informationen i en digitaliserad tjänst när parten har inlett ärendet eller när myndigheten meddelar att ärendet har inletts. Sådana situationer kan t.ex. vara ett positivt beslut på en ansökan om körkort och vissa för parten positiva anmälnings- och registreringsärenden där parten med stöd av speciallag inte ges ett skriftligt beslut.
I paragrafens 2 mom. föreskrivs också att myndigheten, om inget skriftligt förvaltningsbeslut meddelas i ärendet, ska informera parten om de uppgifter som ligger till grund för det automatiserade avgörandet. Genom bestämmelsen tryggas en parts rätt att få de konkreta uppgifter som ligger till grund för det automatiserade avgörandet i sitt ärende. Skyldigheten att meddela de uppgifter som ligger till grund för avgörandet är en annan sak än rätten enligt offentlighetslagen att på begäran i egenskap av part få sådana myndighetshandlingar som kan ha inverkat på det beslut som gäller parten.
Skyldigheten gäller alla uppgifter som det automatiserade avgörandet grundas på, oavsett om det grundas på myndighetens egna informationslager eller uppgifter i utomstående informationslager. Med stöd av bestämmelsen har myndigheten i princip prövningsrätt med avseende på i vilket skede av ärendets behandling uppgifterna meddelas. Myndigheten kan beakta de specifika dragen i behandlingen och meddela parten uppgifterna i det skedet då de hos myndigheten är färdiga för avgörande av ärendet. Uppgifterna kan meddelas t.ex. i samband med att ärendet inleds, om de hos myndigheten är färdiga för avgörande av ärendet. Myndigheten ska när den meddelar uppgifterna också beakta 5 § i lagen om digitala tjänster, med stöd av vilken myndigheterna ska ge alla en möjlighet att i sina ärenden för mottagande av elektroniska meddelanden och handlingar från en myndighet använda en sådan meddelandeförmedlingstjänst som avses i lagen om förvaltningens gemensamma stödtjänster för e-tjänster eller någon annan tillräckligt informationssäker elektronisk dataöverföringsmetod, om myndigheten kan sända meddelandet eller handlingen i elektronisk form. När ärenden i allt högre grad börjar skötas med hjälp av digitala tjänster, bör myndigheten aktivt tillhandahålla de uppgifter som ska meddelas med hjälp av digitala tjänster eller någon annan tillräckligt informationssäker elektronisk dataöverföringsmetod.
Syftet med skyldigheten att meddela uppgifter är att säkerställa att partens rättsskydd tillgodoses vid automatiserat avgörande av ärenden. Särskilt i sådana fall där undantagen från hörandeskyldigheten enligt 34 § 2 mom. i förvaltningslagen tillämpas eller sådana positiva avgöranden i enlighet med 53 f § 2 mom. fattas som gör att kravet på omprövningsförfarande inte blir tillämpligt, uppstår det en risk att parten inte kan bedöma huruvida det automatiserade avgörandet bygger på rätt faktaunderlag. Exempelvis fattas det inget skriftligt förvaltningsbeslut om en registeranteckning i befolkningsdataregistret, om registreringen görs i enlighet med anmälan eller den motsvarar den registrerades begäran. När parten meddelas de uppgifter som har använts vid det automatiserade avgörandet kan parten själv säkerställa att avgörandet är grundat på rätta och uppdaterade uppgifter. Med beaktande av automatiserade avgörandens masskaraktär och den nätverksbaserade verksamheten i utnyttjandet av myndighetens informationslager, skapas genom den föreslagna regleringen ett förfarande genom vilket parten kan försäkra sig om, också i de fall som definieras i bestämmelsen, att det faktaunderlag som har använts i det automatiserade avgörandet är rätt och uppdaterat.
I den allmänna dataskyddsförordningens skäl 71 anses som en skyddsåtgärd vid automatiserat individuellt beslutsfattande korrigering av fel och minimering av risker för fel vid felaktigheter i personuppgifter. Syftet med att genom nationell lag föreskriva en skyldighet att meddela uppgifter är å ena sidan att säkerställa tillräckliga skyddsåtgärder vid automatiserat avgörande i enlighet med artikel 22.2 b i den allmänna dataskyddsförordningen. Å andra sidan är även andra än fysiska personer föremål för automatiserat avgörande av ärenden, så målet är att säkerställa att det också i de fallen finns tillräckliga skyddsåtgärder för att säkerställa uppgifternas felfrihet och aktualitet.
Myndigheten ska i egenskap av personuppgiftsansvarig redan utifrån artiklarna 12, 13 och 14 i den allmänna dataskyddsförordningen informera den registrerade om behandlingen av personuppgifter. Informeringsskyldigheten gäller också olika kategorier av personuppgifter samt uppgifter om de datakällor personuppgifterna härrör från. Informationsskyldigheten i den allmänna dataskyddsförordningen är dock på en mera allmän nivå än föreslagna 2 mom. Myndigheten är med stöd av den allmänna dataskyddsförordningen inte skyldig att självmant och regelbundet meddela en registrerad i egenskap av part information om alla de uppgifter som myndighetens avgörande grundar sig på i ett individuellt ärende.
I paragrafens 3 mom. föreskrivs att kravet enligt 44 § 1 mom. 4 punkten i förvaltningslagen på att namnet på den person som ger ytterligare uppgifter ska anges inte tillämpas i ett ärende som har avgjorts automatiserat. Ett undantag från detta krav föreskrivs, eftersom det vid automatiserat beslutsfattande inte alltid på förhand kan utses någon bestämd person. Undantaget gäller endast meddelande av namnet, medan det alltså i det skriftliga beslutet trots det i enlighet med 44 § 1 mom. 4 punkten ska anges kontaktuppgifter för ytterligare uppgifter om beslutet. Av serviceprincipen i 7 § och bestämmelsen om rådgivning i 8 § i förvaltningslagen kan anses följa att myndigheterna ska ordna meddelandet av ytterligare uppgifter så att kundens eventuella kontakt till myndigheten om ett beslut styrs till en person med tillräcklig sakkunskap att svara på kundens materiella frågor och frågor om förfarandet. Dessutom föreslås det en separat bestämmelse i 28 d § 1 mom. i lagen om informationshantering om att beslutet om införande av en automatiserad verksamhetsprocess ska innehålla kontaktuppgifter till myndigheten för ytterligare uppgifter om användningen av den automatiserade verksamhetsprocessen.
Ikraftträdande- och övergångsbestämmelser. Lagrummet innehåller en ikraftträdandebestämmelse och övergångsbestämmelser.
7.2
Lagen om informationshantering inom den offentliga förvaltningen
2 §. Definitioner. Till lagens 2 § 1 mom. föreslås två nya punkter för att definiera centrala begrepp med tanke på automatiserat avgörande. På grund av tilläggen görs en teknisk ändring i punkt 14.
I paragrafens nya punkt 15 i 1 mom. definieras en automatiserad verksamhetsprocess. En process som resulterar i automatiserat avgörande av ärenden kallas som regleringsobjekt i lagen om informationshantering för automatiserad verksamhetsprocess. I lagen om informationshantering definieras redan tidigare en verksamhetsprocess som en myndighets ärendebehandlings- eller tjänsteprocess. I definitionen hänvisas till föreslagna nya 53 e § i förvaltningslagen där det föreskrivs om förutsättningarna för att avgöra ärenden automatiserat. En automatiserad verksamhetsprocess är alltså en myndighets ärendebehandlings- eller tjänsteprocess som resulterar i ett sådant automatiserat avgörande som avses i 53 e § i förvaltningslagen. Definitionen inverkar också på tillämpningsområdet för föreslagna 6 a kap. som motiveras närmare nedan i samband med den föreslagna ändringen i 3 §.
I paragrafens nya punkt 16 i 1 mom. definieras behandlingsregler. Med behandlingsregler avses av en fysisk person på förhand utarbetade regler avsedda att styra automatisk databehandling. De ska styra behandlingen och avgörandet av förvaltningsärenden i automatisk databehandling, såsom vilka variabler som påverkar verksamhetsprocessens förlopp samt på vilket sätt och på vilka grunder eventuella interimistiska åtgärder vidtas i ärendet, i vilket skede en fysisk person deltar i processen och hur avgörandet i ärendet där kommer till. Till behandlingsreglerna hör också de regler utifrån vilka ett ärende tas till en automatiserad verksamhetsprocess eller flyttas bort för behandling av en fysisk person.
Med behandlingsregler avses inte en kod på programmeringsspråk, utan en sakkunnigs beskrivning på ett naturligt språk av hur förutsättningarna enligt lagstiftningen omvandlas till databehandling och hur den fysiska personens roll i verksamhetsprocessen i tillämpliga delar ersätts med automatisk databehandling. För att utarbeta behandlingsregler krävs det alltså kännedom om den verksamhetsprocess som ska automatiseras, rättslig prövning och förståelse för databehandlingens verksamhetsprinciper. Behandlingsreglerna kan dokumenteras på ett naturligt språk men också visuellt, t.ex. med ett flödesschema. Behandlingsreglernas karaktär och egenskaper påverkas också av föreslagna 28 a §, enligt vilken behandlingsreglerna ska dokumenteras och lagenligheten godkännas hos myndigheten under beredningen av den automatiserade processen och ska då utarbetas i en sådan form att lagenligheten kan bedömas.
Det centrala med behandlingsreglerna är att de ska utarbetas på förhand av en fysisk person. Detta är ett centralt instrument för mänsklig kontroll i det skede då automatiseringen av verksamhetsprocessen planeras och utvecklas. Behandlingsreglerna omvandlas till egentliga krav på programvaran eller informationssystemet genom olika krav på den automatiserade verksamhetsprocessen. Bestämmelser om hur kravöverensstämmelsen säkerställs finns i 28 b §.
3 §. Lagens tillämpningsområde och begränsningar i det. Det föreslås att lagens 3 § 1 mom. ändras så att där föreskrivs om tillämpningsområdet för föreslagna nya 6 a kap. Samtidigt korrigeras ett skrivfel i hänvisningen till universitetslagen. Till momentet fogas en ny mening, enligt vilken bestämmelserna i 6 a kap. ska tillämpas på utveckling, införande och upprätthållande av automatiserade verksamhetsprocesser, alltså en sådan verksamhetsprocess som resulterar i automatiserat avgörande av ärenden enligt 53 e § i förvaltningslagen. Automatiserade verksamhetsprocesser definieras närmare i nya 2 § 1 mom. 15 punkten. Nya 6 a kap. ska inte tillämpas på annan informationshantering eller andra verksamhetsprocesser än sådana som innehåller automatiserat avgörande av ärenden. Bestämmelserna om automatiserade verksamhetsprocesser i 6 a kap. i lagen om informationshantering ska följaktligen tillämpas på sådant automatiserat avgörande som möjliggörs i 8 b kap. i förvaltningslagen. Av betydelse för tolkningen av tillämpningsområdet är att verksamhetsprocessen innehåller automatiserat avgörande av ärenden enligt 53 e §, att det automatiserade avgörandet uppfyller förutsättningarna enligt 53 e och 53 f § och att ärendet avgörs automatiserat. Myndigheterna kan också ha andra automatiserade verksamhetsprocesser men ett ärende avgörs inte automatiserat när det granskas och godkänns av en fysisk person. I sådana fall är det inte fråga om ett automatiserat avgörande av ärenden enligt 8 b kap. i förvaltningslagen och 6 a kap. i lagen om informationshantering tillämpas inte på verksamhetsprocessen. Nya 6 a kap. i lagen om informationshantering innehåller således tilläggskrav på verksamhetsprocesser och införandet av dem när verksamhetsprocessen omfattas av tillämpningsområdet för 8 b kap. i förvaltningslagen.
Det föreslås att paragrafens 4 mom. ändras så att nya 6 a kap. också tillämpas på privatpersoner, privaträttsliga sammanslutningar och sådana offentligrättsliga samfund som inte är myndigheter till den del dessa sköter offentliga förvaltningsuppgifter. Eftersom förvaltningslagens bestämmelser och nya 8 b kap. som föreslås i lagen också gäller andra som sköter offentliga förvaltningsuppgifter än sådana som verkar som myndigheter, är det motiverat att utsträcka också regleringen av automatiserade verksamhetsprocesser i lagen om informationshantering till dessa aktörer. Detta är nödvändigt för att säkerställa lagenligheten i automatiserat avgörande och förvaltningskundernas rättsskydd också hos andra än myndigheter och för att fastställa tjänsteansvaret. Grundlagsutskottet har förutsatt att den allmänna förvaltningslagstiftningen tillämpas vid skötseln av offentliga förvaltningsuppgifter (t.ex. GrUU 46/2002 rd, s. 9). Vidare enligt grundlagsutskottets ställningstagande (GrUB 25/1994 rd) omfattar bestämmelserna om de grundläggande fri- och rättigheterna också annan offentlig verksamhet än sådan som äger rum i statens namn och ett enskilt rättssubjekts verksamhet som kan jämställas med myndighetsverksamhet är också offentlig verksamhet med tanke på de grundläggande fri- och rättigheterna. Den föreslagna regleringen har en fast koppling till tryggandet av de grundläggande fri- och rättigheterna.
Vidare föreslås i 4 mom. tekniska korrigeringar för att förtydliga att de för myndigheter och informationshanteringsenheter förpliktande bestämmelser som räknas upp i momentet, ordalydelsen till trots, också gäller privata aktörer som sköter offentliga förvaltningsuppgifter eller sådana offentligrättsliga samfund som inte verkar som informationshanteringsenheter eller myndigheter.
I paragrafens 5 mom. görs ändringar som är nödvändiga för att de statliga myndigheterna på Åland ska kunna avgöra ärenden automatiserat när de sköter uppgifter som hör till riksmyndigheterna.
Det föreslås att första meningen i paragrafens 5 mom. förtydligas så att omnämnandet av landskapsmyndigheterna och de kommunala myndigheterna i landskapet stryks. Lagstiftningsbehörigheten i fråga om landskapet Åland är med stöd av självstyrelselagen för Åland fördelad mellan riket och landskapet och därför är bestämmelsen i 5 mom. om landskapsmyndigheter och kommunala myndigheter obehövlig. Till den delen påverkar en ändring av momentet inte nuläget, men regleringstekniskt blir grunderna för behörighetsfördelningen tydligare. Även framöver bestäms tillämpningen av lagen om informationshantering på landskapets och kommunens verksamhet utifrån självstyrelselagen.
Dessutom föreslås det till momentet en andra mening, enligt vilken lagens 13 a § och 6 a kap. ska tillämpas på statliga myndigheter på Åland när de sköter sådana myndighetsuppgifter som hör till rikets lagstiftningsbehörighet och som innebär automatiserat avgörande av ärenden enligt 53 e § i förvaltningslagen.
Enligt gällande 3 § 5 mom. i informationshanteringslagen tillämpas lagen inte på statliga myndigheter i landskapet Åland. Eftersom förvaltningslagen blir tillämplig på statliga myndigheter på Åland när de sköter uppgifter som hör till riksmyndigheterna, är det nödvändigt att också de förutsättningar som föreskrivs i 13 a § och 6 a kap. i lagen om informationshantering tillämpas på de statliga myndigheterna på Åland vid automatiserade avgöranden. Om föreslagna 13 a § och 6 a kap. i lagen om informationshantering inte tillämpades på statliga myndigheter på Åland när de sköter uppgifter som hör till riksmyndigheterna och tillämpar förvaltningslagen i riket, skulle man hamna i en situation där statliga myndigheter inte kan avgöra ärenden automatiserat på Åland i enlighet med förvaltningslagen. Tillämpningen av 6 a kap. i lagen om informationshantering påverkas dock av bestämmelserna i speciallagstiftningen om uppgiftsfördelningen mellan riksmyndigheterna och de åländska myndigheterna t.ex. när det gäller ansvaret i fråga om informationssystem. När en automatiserad verksamhetsprocess införs bör det separat bedömas hur behörighetsförhållandena mellan riksmyndigheterna och åländska myndigheter som sköter uppgifter som hör till riksmyndigheterna faktiskt ska skötas. Vid behov ska dessa behörighetsförhållanden avgöras genom speciallagstiftning.
I tillämpningen av lagen om informationshantering har det visat sig utvecklingsbehov med avseende på de statliga myndigheterna i landskapet Åland och de myndigheter som sköter uppgifter som hör till riksmyndigheterna bland annat vad gäller ärendehantering och datasäkerhetsreglering. För att utreda en bredare tillämpning av lagen om informationshantering i dessa situationer krävs det en separat och grundlig beredning och därför föreslås i detta sammanhang inte en breddning av tillämpningsområdet.
13 a §.Information om och beredskap för störningssituationer. Till lagen om informationshantering föreslås en ny 13 a § om myndigheters informationsskyldighet vid störningar i informationshanteringen och om informationshanteringsenheters beredskapsskyldighet vid behandlingen av informationsmaterial och utnyttjandet av informationssystem. Automatiserade processer bygger i hög grad på behandling av informationsmaterial och utnyttjande av informationssystem, även om myndigheterna också annars är mycket beroende av dessa i sin verksamhet. De informationsmaterial och informationssystem som utnyttjas i automatiserade verksamhetsprocesser är inte alltid endast myndighetens egna och därför begränsas tillämpningen av bestämmelsen inte endast till myndigheter som använder automatiserade processer.
Enligt paragrafens 1 mom. ska en myndighet utan dröjsmål informera dem som utnyttjar myndighetens informationsmaterial om sådana störningar i myndighetens informationshantering som utgör ett hinder, eller hotar utgöra ett hinder, för informationsmaterialens tillgänglighet. Myndigheten ska meddela hur länge störningen eller hotet om störning beräknas pågå och, i den mån det är möjligt, ange ersättande sätt att utnyttja myndighetens informationsmaterial. Myndigheten ska även meddela att störningen eller hotet om störning har upphört.
Informationshanteringsenheternas och myndigheternas verksamhet samt i synnerhet deras automatiserade verksamhetsprocesser är i hög grad beroende av deras egna och andra myndigheters informationssystem och informationens tillgänglighet. Också många andra samhällssektorer, liksom även enskilda personer, behöver myndigheternas informationsmaterial i sina dagliga aktiviteter. Därför är det viktigt att informationen om eventuella störningar och hur länge störningen pågår samt om alternativa sätt att utnyttja informationsmaterialet når dem som utnyttjar materialen. Kravet i bestämmelsen accentueras ytterligare när elektroniska tjänster blir det primära sättet att kommunicera med myndigheter och när tjänsterna är tillgängliga oavsett tidpunkt och de är beroende av att myndigheternas informationsmaterial är tillgängligt.
Det blir myndighetens sak att avgöra hur man informerar om avbrott och om tjänsternas tillgänglighet. Informationen kan kommuniceras t.ex. på myndighetens allmänna webbplats eller på någon annan webbplats som väsentligen anknyter till saksammanhanget. Sättet att informera beror på vem man informerar. För etablerade samarbetspartner och sådana som är väsentligen beroende av myndigheternas informationsmaterial kan informationen vara mera målinriktad än informationen till fysiska personer.
Myndigheten ska också, i den mån det är möjligt, ange ersättande sätt att utnyttja myndighetens informationsmaterial. Vidare ska avbrottets beräknade längd anges – alltså uppgift om när informationsmaterialet beräknas vara normalt tillgängligt igen.
I föreslagna 2 mom. ingår en informativ hänvisning till 4 § 2 mom. i lagen om digitala tjänster där det finns bestämmelser om information till allmänheten om avbrott i digitala tjänster och andra elektroniska dataöverföringsmetoder. Enligt momentet ska allmänheten på lämpligt sätt i förväg informeras om avbrott i sina digitala tjänster och andra elektroniska dataöverföringsmetoder. Myndigheterna ska också vid avbrott offentliggöra anvisningar om hur var och en kan få sina ärenden skötta på ett alternativt sätt.
I paragrafens 3 mom. föreskrivs det om beredskap för störningssituationer. En informationshanteringsenhet ska i sin verksamhet förbereda sig på fel i informationssystemen eller på att deras funktion av någon annan orsak förhindras. En informationshanteringsenhet ska sträva efter att säkerställa att informationssystemen fungerar så störningsfritt som möjligt i alla lägen och ska därutöver bereda sig på att trygga informationsbehandlingens och den vägen verksamhetens kontinuitet också i situationer där informationssystemen inte kan användas. Detta förutsätter också beredskap att införa alternativa sätt att sköta ärenden, om en automatiserad verksamhetsprocess inte kan utnyttjas på grund av en störning i myndighetens eget informationssystem eller i användningen av andra myndigheters informationslager som processen utnyttjar.
Paragrafen innehåller delvis motsvarande reglering som redan finns i 12 § i beredskapslagen. Bestämmelser om beredskapsskyldighet finns också i den sektorsspecifika speciallagstiftningen. I bestämmelsen förpliktigas informationshanteringsenheter och andra som sköter offentliga förvaltningsuppgifter att i sin beredskap särskilt uppmärksamma också beredskapen i informationshanteringen. Utöver beredskapen under undantagsförhållanden enligt beredskapslagen och andra lagar ska den föreslagna beredskapsskyldigheten också gälla störningssituationer under normala förhållanden. Paragrafen ska med anledning av 3 § 4 mom. tillämpas också på privatpersoner, privaträttsliga sammanslutningar och sådana offentligrättsliga samfund som inte är myndigheter till den del dessa sköter offentliga förvaltningsuppgifter.
Bestämmelsen är förpliktande för informationshanteringsenheter som också ska se till beredskapsplaneringen under normala förhållanden. I praktiken ska en informationshanteringsenhet i beredskapsfrågor samarbeta på ett ändamålsenligt sätt med den myndighet som verkar i anslutning till den samt med andra myndigheter.
En informationshanteringsenhet ska utreda väsentliga risker som hänför sig till behandlingen av informationsmaterial, utnyttjandet av informationssystem och kontinuiteten i den verksamhet de grundar sig på. Risker är utöver fel i informationssystemet t.ex. beroende av informationsmaterial och informationssystem som hanteras av andra, störningar i eltillförseln eller i kommunikationsnätens och kommunikationstjänsternas funktion samt kritiska leveranskedjor och deras beredskapsnivå. I kontrakten med leverantörer av informationssystem och andra kontraktsparter bör utifrån en riskbedömning också aspekter som anknyter till myndighetsverksamhetens kontinuitet beaktas.
Informationshanteringsenheten ska utifrån riskbedömningen genom beredskapsplaner och förberedelser för verksamhet i störningssituationer och genom andra åtgärder se till att behandlingen av informationsmaterial, utnyttjandet av informationssystem och verksamheten fortsätter så störningsfritt som möjligt i störningssituationer under normala förhållanden samt under sådana undantagsförhållanden som avses i beredskapslagen.
I riskbedömningen bör beaktas kritiska informationsmaterial och informationssystem, hur kritiska och sannolika de identifierade riskerna är samt möjligheterna att trygga kontinuiteten och kostnaderna för olika kontinuitetstryggande åtgärder på olika nivåer.
Förberedelse för verksamhet i störningssituationer och undantagsförhållanden och andra åtgärder kan t.ex. omfatta tekniska och strukturella förhandsförberedelser samt reserveringar av lokaler och kritiska resurser. Exempelvis genom nödvändiga förhållandelarm och uppföljning säkerställs att myndigheten får information om en störningssituation i informationssystemet så tidigt som möjligt. Efter behov ska också t.ex. effektmatningen säkerställas samt dataförbindelsernas rutter säkras. Till förhandsförberedelserna hör också säkerställande av kompetens genom instruktioner och kurser för personalen och genom övningar inför störningssituationer och verksamhet i undantagsförhållanden. Säkerställande av kontinuiteten i myndighetens beslutsfattande och annan verksamhet förutsätter också behovsenliga ersättararrangemang som planeras på förhand.
Också planeringen av kommunikationen under undantagsförhållanden ingår i beredskapen. Myndigheten ska planera hur den också i störningssituationer informerar andra myndigheter på det sätt som avses i 1 mom. Kommunikationsplaneringen hör till förberedelserna för verksamhet i störningssituationer och under undantagsförhållanden och där ska särskilt informationen till de myndigheter uppmärksammas vilkas verksamhet är beroende av att myndighetens informationssystem fungerar. När exempelvis automatiserat beslutsfattande stöder sig på utomstående informationslager förutsätter det säkerhet om tillgången till informationen samt överenskomna förfaranden för att i störningssituationer hålla i gång informationssystemen, eller åtminstone informera om störningar. Också när det gäller informationen till allmänheten ska kommunikationen med stöd av föreslagna 3 mom. på förhand planeras för störningssituationer och för undantagsförhållanden både när det gäller digitala tjänster och i övrigt tillgången till informationsmaterial – i planeringen bör också information om arrangemangen för tjänster som tillhandahålls allmänheten beaktas.
I paragrafens 4 mom. ingår en informativ hänvisning till beredskapslagen.
14 §. Informationsöverföring i datanät. I paragrafens 2 mom. görs en sådan teknisk ändring att författningssamlingsnumret för lagen om tillhandahållande av digitala tjänster stryks, eftersom den lagen framöver nämns första gången i lagens 13 a §.
26 §. Uppgifter som ska registreras i ärenderegister. Det föreslås sådana ändringar i paragrafen som behövs för att ordna en automatiserad verksamhetsprocess och också annars ärendehanteringen vid elektronisk ärendebehandling så att de centrala omständigheterna i ärendebehandlingen kan fastställas i efterhand i ärendehanteringen.
Det föreslås att paragrafens 4 mom. ändras så att det till momentet läggs en ny punkt 4 enligt vilken i fråga om en handling som upprättats av en myndighet ska registreras åtminstone tidpunkten då handlingen skickats och sättet att skicka den. Uppgifterna ska registreras i ärenderegistret om myndigheten skickar en handling till en utomstående, såsom till en part eller en annan myndighet. I en automatiserad verksamhetsprocess ska kontrolluppgifter samlas in, bland annat om utgående och inkommande handlingstrafik. Därför ska, om en handling som upprättats av en myndighet skickas till någon aktör, tidpunkten då handlingen skickats registreras i ärenderegistret för att verifiera när sändningen har ägt rum. I ärenderegistret ska också antecknas sättet att skicka handlingen, med vilket avses det sätt på vilket handlingen har skickats, såsom per post, per e-post eller på något annat motsvarande sätt. Tidpunkten då en handling skickas och sättet att skicka den är centrala för uppföljningen av olika tidsfrister som anknyter till förvaltningskundernas rättsskydd, såsom tidsfrister i en begäran om utredning eller lagstadgade tidsfrister i anknytning till delgivning. Av den anledningen gäller de föreslagna ändringarna alla aktörer inom tillämpningsområdet för lagen om informationshantering och inte enbart de handlingar som sänds i samband med automatiserade verksamhetsprocesser.
Det föreslås att paragrafens 5 mom. ändras så att det till momentet fogas två nya punkter 4 och 5. Tilläggen behövs för att åtgärderna i anknytning till ett automatiserat avgörande av ärenden ska kunna verifieras i ärenderegistret, men eftersom tilläggen är centrala också rent allmänt för förvaltningskundernas rättsskydd, avgränsas de inte till att endast gälla lösningar som har producerats automatiserat. Enligt nya punkt 4 ska i ärenderegistret registreras tidpunkten för det myndighetsavgörande som avslutade ärendets behandling. Bestämmelsen avser i typiska fall administrativa beslut, men avgörandet av ett ärende kan också vara en registeranteckning, ett utlåtande eller något annat myndighetsavgörande i ett förvaltningsärende som avslutar ärendets egentliga behandling i myndigheten. Registreringen av tidpunkten då ett ärende avslutas är viktigt för att säkerställa vilken reglering som gällde vid tidpunkten för avgörandet, vilken version av den automatiserade verksamhetsprocessen som var i bruk vid avgörandet och om en eventuell maximitid för behandlingen har iakttagits. Enligt nya punkt 5 ska delgivningssättet för de handlingar som myndigheten skickat vid behov också framgå av ärenderegistret. Myndigheten kan delge handlingarna per post, elektroniskt eller som allmän delgivning. Bestämmelser om delgivningssättet finns annanstans i lag, såsom i förvaltningslagen och i lagen om elektronisk kommunikation i myndigheternas verksamhet. Delgivningssättet har betydelse bland annat vid beräkningen av tidsfrister. Exempelvis beräknas tidsfristen vid delgivning per post och elektroniskt på olika grunder. Delgivningssättet ska registreras vid behov, om handlingen i förvaltningsärenden skickas i delgivningssyfte. Registreringen av delgivningssättet behövs i automatiserade verksamhetsprocesser för att det ur ärenderegistret ska kunna verifieras hur t.ex. ett förvaltningsbeslut automatiskt har delgivits parten. Eftersom de nya 4 och 5 punkterna läggs till, görs en teknisk ändring i punkt 3.
6 a kap. Informationshantering i samband med utveckling och användning av automatiserade verksamhetsprocesser
Det föreslås att ett nytt 6 a kap. fogas till lagen om informationshantering. Det är motiverat med ett eget kapitel för de föreslagna bestämmelserna eftersom kapitlets bestämmelser är avsedda att gälla endast automatiserade verksamhetsprocesser.
28 a §. Väsentlig dokumentering av utvecklingen av en automatiserad verksamhetsprocess. I paragrafen föreskrivs om väsentlig dokumentering av utvecklingen av en automatiserad verksamhetsprocess. I praktiken ska myndigheten dokumentera sin rättsliga prövning för införandet av en automatiserad verksamhetsprocess. De egentliga krav som ska dokumenteras grundas på vad som föreskrivs annanstans i lag och på förpliktelser som följer av det. Det finns separata bestämmelser t.ex. om det förfarande som ska iakttas i ärendebehandlingen, om hörandeskyldigheten och om grunderna för den rättsliga prövningen i den allmänna lagstiftningen och i speciallagstiftningen. Föremål för dokumenteringen är de viktigaste omständigheterna med tanke på tillgodoseendet av god förvaltning och rättsskyddet samt behandlingsreglerna, för att det ska gå att reda ut med vilka behandlingsregler det är tänkt att processen ska genomföras och som slutresultat av vilken rättslig förhandsprövning den automatiserade processen är planerad att fungera. Förvaltningslagen innehåller för sin del de bestämmelser med stöd av vilka ett automatiserat avgörande av ärenden får tillämpas i förvaltningsärenden samt de viktigaste bestämmelserna om behandlingen av förvaltningsärenden.
I paragrafens 1 mom. åläggs myndigheterna att dokumentera uppgiftsfördelningen i samband med utveckling, användning och övervakning av verksamhetsprocessens automatisering. Bestämmelsen syftar till att förpliktiga myndigheterna att dokumentera uppgiftsfördelningen mellan dem som deltar i beredningen, beslutsfattandet och kvalitetskontrollen vid automatiserat beslutsfattande och att specificera dessa personer, vilket också klargör vem skyldigheterna enligt 6 a kap. avser. Bestämmelsen behövs för tjänstemännens och sådana andra personers rättsskydd som har ansvar för uppgiften, eftersom det vid fastställandet av tjänsteansvar inte kan bli oklart till vem de i lagen föreskrivna skyldigheterna hör och vem som förutsätts vidta de tjänsteåtgärder som härrör från lagens bestämmelser. Eftersom olika ansvar vid informationshantering och utvecklingen av informationssystem i typfall inte är tydliga, behöver det lagstiftas separat om att uppgifterna och ansvaren i anknytning till dem dokumenteras tillräckligt väl. Sådana ansvar kan delvis dokumenteras i officiella arbetsordningar, instruktioner eller förvaltningsstadgor, men i praktiken kan ansvar också vara antecknade i den informationshanteringsmodell som föreskrivs i lagen om informationshantering eller i olika projektplaner. I lagen föreskrivs det således inte i vilka handlingar dessa ansvar ska fastställas eller vem som ska fastställa dem, utan detta ska avgöras i enlighet med myndighetens interna uppgifts- och behörighetsbestämmelser. Dessa frågor besluts alltså inom myndigheten av ett behörigt organ, en tjänsteman eller annan funktionär.
I 4 § 2 mom. 1 punkten i lagen om informationshantering föreskrivs att en informationshanteringsenhets ledning ska ombesörja att ansvaren för de uppgifter i anslutning till informationshanteringen som föreskrivs i den och i annan lag har definierats vid enheten. Därmed förutsätts det redan enligt den befintliga lagstiftningen att de allmänna ansvaren inom informationshanteringen ska vara definierade på myndighetsorganisationsnivå och utifrån det kan exempelvis bestämmelser om ansvar och uppgifter för det praktiska genomförandet av informationshanteringen utfärdas som arbetsledning. Bestämmelsen syftar till att i förhållande till 4 § 2 mom. precisera att ansvaret ska fastställas entydigt, konkret och på personnivå, när en automatiserad verksamhetsprocess utvecklas och tas i bruk. En noggrant avgränsad och exakt ansvarsdefinition betonar skyldigheten att genomföra de uppgifter som föreskrivs i 6 a kap.
I första meningen i paragrafens 2 mom. föreskrivs myndigheten en skyldighet att säkerställa att de förfaranden och behandlingsregler som ingår i en automatiserad verksamhetsprocess samt förhandsprövningen av dem har dokumenterats tydligt och heltäckande. Med förhandsprövningen betonas att den prövning som sker i genomförandet av den automatiserade verksamhetsprocessen ska göras före införandet och inte först sedan när den är i bruk och att det är myndigheten som gör denna prövning.
Det uppstår en skyldighet för myndigheten att säkerställa att dokumenteringen av utvecklingen av automatiserade verksamhetsprocesser är tydlig och heltäckande, varvid det av den skapade dokumenteringen ska framgå hur det har definierats att den automatiserade verksamhetsprocessen ska fungera i produktionsbruk och hurdan förhandsprövning de automatiserade verksamhetsprocesserna bygger på. Vidare ska myndigheten säkerställa att dokumenteringen är aktuell och alltså motsvarar verksamhetsprocessens verksamhet. Det är av betydelse att ombesörja uppgifternas aktualitet bland annat för att det av dokumenteringen ska gå att verifiera vilka behandlingsregler som gäller under en viss bestämd tidpunkt och som avgörandet av ärenden i den automatiserade verksamhetsprocessen grundas på.
Genom bestämmelsen föreskrivs myndigheten ingen direkt dokumenteringsskyldighet, eftersom en del av dokumenteringen kan ingå i dokumenteringen av ett färdigt anskaffat informationssystem och den då endast till en del produceras av myndigheten. Myndighetens ansvar handlar om att säkerställa att dokumenteringen finns och att den uppfyller lagens krav. Myndigheten är skyldig att producera eller beställa dokumentering till den delen sådan inte finns att tillgå t.ex. i informationssystemets färdiga dokumentering. Dokumenteringen av den rättsliga förhandsprövningen har central koppling till utövning av offentlig makt och myndigheten kan inte ge privata aktörer sådana uppgifter utan en uttrycklig bestämmelse på lagnivå som beaktar begränsningarna enligt 124 § i grundlagen. I denna lag föreslås inte allmänna bestämmelser om att en myndighet kan överföra uppgiften att fastställa rättsligt betydande behandlingsregler för automatiserade verksamhetsprocesser till privata aktörer eller att privata aktörer för myndighetens räkning kan göra en rättslig prövning med avseende på icke-diskriminering, tillgodoseende av de grundläggande rättigheterna eller något motsvarande. Det är klart att bestämningar och dokumentering som innehåller rättslig prövning ska göras hos myndigheten, liksom även bestämningar som gäller förfaranden och behandlingsregler, om det inte särskilt föreskrivs i lag att det är möjligt att anförtro dessa uppgifter åt privata aktörer eller om de inte annars ingår i skötseln av en sådan offentlig förvaltningsuppgift som enligt lag får överlåtas åt privata aktörer. När privata aktörer utvecklar sina produkter utarbetar de däremot definitioner av teknisk karaktär och dokumentering i samband med det, såsom den tekniska funktionslogiken i ett färdigprogram, det tekniska genomförandet av eller den tekniska arkitekturen i ett informationssystem, och skyldigheterna enligt denna lag avser inte direkt privata aktörer i deras arbete med att utveckla informationssystem och program. Myndigheten ska dock säkerställa lagenligheten också i sådan dokumentering samt granska och på det sätt som föreskrivs i 3 mom. godkänna den, om den innehåller uppgifter som enligt denna eller någon annan lag ska dokumenteras om verksamhetsprocessen.
Myndigheten ska definiera de viktigaste behandlingsreglerna i informationssystemet som inverkar på behandlingen av ärendet och ansvara för att den automatiserade verksamhetsprocessen uppfyller villkoren i lagen och förfarandekraven. Med förfaranden avses i första meningen i momentet de dokumenterade beskrivningar av vilka det framgår hur ett ärende behandlas automatiserat i myndighetens informationssystem. I praktiken är dessa de uppgifter som avses i punkterna 1–9 som inte har samband med behandlingsreglerna, såsom grunderna för att höra en part automatiserat eller funktioner som gäller kvalitetskontroll av verksamhetsprocessen,
Enligt det som föreslås i förvaltningslagen kan det i automatiserade verksamhetsprocesser också förekomma behandlingsfaser där en fysisk person behandlar ärendet och verksamhetsprocessen därefter går vidare till ett automatiserat avgörande av ärendet. Behandlingsreglerna kan också inverka på i vilket skede av arbetsförloppet en fysisk person deltar i behandlingen av ärendet inom verksamhetsprocessen. En överföring av ärendebehandlingen till en fysisk person kan exempelvis grundas på myndighetens riskbedömning, på uppgifter som avviker från det normala såsom ovanligt stora eller små talvärden, eller på att en viss behandlingsfas förutsätter prövning av en fysisk person. Vidare kan ett ärende i en automatiserad verksamhetsprocess hänskjutas till en fysisk person t.ex. för att göra en laglighetsövervakning eller kvalitetskontroll genom ett slumpmässigt urval.
I andra meningen i paragrafens 2 mom. anges minimikraven på dokumentering av innehållet. Enligt 1 punkten i momentet ska myndigheten dokumentera varje fas i verksamhetsprocessen som inverkar på ärendets avgörande. Bestämmelsen syftar till att säkerställa att det viktigaste innehållet i myndighetens verksamhetsprocess i utvecklingsfasen beskrivs tillräckligt väl för att man ska få en uppfattning om det arbetsförlopp genom vilket det automatiserade avgörandet enligt plan ska bli till och vilka bestämmelser behandlingsfaserna bygger på.
I 2 punkten i momentet föreskrivs en skyldighet att dokumentera behandlingsreglerna i varje fas av verksamhetsprocessen. För att ett ärende ska kunna behandlas och avgöras automatiserat hos myndigheten, ska myndigheten fastställa med vilka behandlingsregler ärendet behandlas i den automatiserade verksamhetsprocessen samt vilka alternativ och variabler respektive behandlingsfas planenligt kan innehålla. Enligt föreslagna 53 e § i förvaltningslagen ska behandlingsreglerna utarbetas med stöd av tillämplig lag och enligt föreslagna 2 § 1 mom. 16 punkten i lagen om informationshantering ska behandlingsreglerna alltid utarbetas av en fysisk person. Om det i ett automatiserat avgörande av ett ärende ingår orsaker som anknyter till en part som leder till urval ska också sådana urvalsregler beskrivas i behandlingsreglerna och dessutom grunderna för sådant urval dokumenteras.
I 3 punkten i momentet föreskrivs ytterligare separat att det i dokumentationen ska framföras grunder för hur myndigheten säkerställer att de behandlingsregler som används är icke-diskriminerande i de fall där automatiserat behandlade ärenden väljs ut av orsaker som anknyter till en part. Icke-diskrimineringsbedömningen påverkas av rättsprinciperna inom förvaltningen enligt 6 § i förvaltningslagen, 6 och 22 § i grundlagen, jämställdhetslagen, myndigheternas skyldighet att främja likabehandling enligt 5 § i diskrimineringslagen, förbuden mot diskriminering och repressalier i 3 kap. i diskrimineringslagen samt internationella förpliktelser som är bindande för Finland. Urvalet till en automatiserad verksamhetsprocess får enligt annan lagstiftning i praktiken inte hänföra sig endast till en diskrimineringsgrund hos en part, såsom ålder, kön, ras eller etniskt ursprung, men som en urvalsgrund kan dock t.ex. partens ålder få inverka i godtagbara fall. Detta är av betydelse särskilt i sådana fall där det i verksamhetsprocesserna behandlas ärenden som gäller minderåriga och då myndigheten som en godtagbar urvalsgrund i stället för automatiserad ärendebehandling kan ange manuell behandling för att trygga eller säkerställa en minderårigs rättigheter. Likaså kan personens ålder inverka på urvalet eller andra behandlingsregler i samband med beviljandet av olika förmåner. Behandlingsreglerna definieras eller bestäms utifrån annan lagstiftning och tolkningen av dem görs hos myndigheten på förhand i det skedet då myndigheten planerar införa en automatiserad verksamhetsprocess eller ändringar i en automatiserad verksamhetsprocess som är i bruk. Den föreslagna bestämmelsen innebär att dessa grunder ska dokumenteras och ingå i dokumentationen av verksamhetsprocessen. Säkerställandet av icke-diskriminering är dock ett väsentligt krav riktat till utvecklingsarbetet och kan anses som ett betydelsefullt föremål för dokumentering med tanke på de grundläggande fri- och rättigheterna med vilket det också kan säkerställas att myndigheten i utvecklingsskedet faktiskt utövar prövning av på vilka grunder som anknyter till en part urval kan göras i verksamhetsprocesserna.
Utifrån 4 punkten i momentet ska av myndighetens dokumentering av en automatiserad verksamhetsprocess framgå grunderna för hur en parts rätt enligt 21 § i grundlagen att bli hörd tillgodoses eller på vilken grund myndigheten genom att hänvisa till en laglig grund anser att parten inte behöver höras. Bestämmelsens syfte är att kräva att myndigheten gör en medveten bedömning av att en parts rätt att bli hörd faktiskt tillgodoses. Av dokumenteringen ska arrangemanget för tillgodoseendet av hörandet framgå, såsom hur hörandet genomförs i den automatiserade processen, på vilket språk hörandet sker i respektive fall, hur de uppgifter som fås av parten i hörandet behandlas samt hur genmälet beaktas i den automatiserade behandlingen, eller om ärendet på grund av genmälet hänskjuts för behandling av en fysisk person hos myndigheten. I förvaltningslagen och annanstans i lagstiftningen finns bestämmelser om grunderna för att avvika från hörandet av parter. Om de förutsättningar som föreskrivs annanstans i lag uppfylls, ska av dokumentationen framgå myndighetens motiveringar för att systematiskt utifrån bestämda behandlingsregler avvika från sin hörandeskyldighet. I praktiken, om myndigheten inte kan genomföra hörandet av en part automatiserat, ska en sådan behandlingsfas genomföras hos myndigheten med medverkan av en fysisk person. Detta är dock inte i sig ett hinder för myndigheten att efter omständigheter som framgår av hörandet träffa ett automatiserat avgörande som avslutar behandlingen av ett ärende. De omständigheter som framgår av hörandet ska i varje fall beaktas på lämpligt sätt innan ärendet avgörs automatiserat. De allmänna bestämmelserna om förfarandet och tryggandet av god förvaltning gäller myndigheten också vid automatiserat avgörande av ärenden.
I 5 punkten i momentet föreskrivs om dokumentering av de uppgifter som behövs för att ett ärende ska kunna avgöras. Enligt gällande 5 § 3 mom. i lagen om informationshantering ska informationshanteringsenheten bedöma konsekvenserna av sådana förändringar i informationshanteringen som väsentligen inverkar på informationshanteringsmodellen i samband med att informationssystem tas i bruk. I det sammanhanget ska informationshanteringsenheten bedöma de uppgifter som behandlas och ändringar i dem. I 20 § i lagen om informationshantering föreskrivs om insamling av informationsmaterial för myndighetsuppgifter. I praktiken styr denna paragraf insamlingen av myndighetsuppgifter för ärendebehandling. Den föreslagna bestämmelsen i punkt 5 kompletterar det som redan tidigare föreskrivs i lagen om informationshantering om att planer och genomförande av behandlingen och hanteringen av uppgifter ska dokumenteras och det samtidigt ska säkerställas att det vid användning av automatiserade förfaranden för avgörande av ärenden säkerställs att ärendebehandlingen är korrekt. Av dokumenteringen ska de uppgiftskällor, med vilka avses myndigheter och andra aktörer, framgå av vilka den behandlande myndigheten inhämtar uppgifter till sin automatiserade verksamhetsprocess. Vidare ska det framgå vilka uppgifter som inhämtas från respektive källa. Förfarandena för inhämtande av uppgifter avser dokumentering av den reglering som berättigar till att inhämta uppgifter samt på vilket sätt uppgifterna fås, vilket i en automatiserad verksamhetsprocess främst kan vara fråga om att få uppgifter av en annan myndighet med hjälp av ett tekniskt gränssnitt. Om det vid de tekniska gränssnitten finns behov av att inhämta uppgifter av andra än myndigheter, ska detta särskilt föreskrivas i lag. Bestämmelserna i lagen om informationshantering om användningen av tekniska gränssnitt gäller tillgång till information av myndigheter och då är den som överlåter uppgifterna enligt bestämmelserna en myndighet eller därmed jämförbar annan aktör, såsom en privat aktör som sköter en offentlig förvaltningsuppgift.
I 6 punkten i momentet föreskrivs om skyldigheten att i utvecklingsskedet dokumentera hur kvaliteten i de uppgifter som inhämtas för ärendets avgörande har säkerställts. Med tanke på partens rättsskydd har det särskild betydelse att myndigheten behandlar partens ärende utifrån uppdaterade och felfria uppgifter. Syftet med bestämmelsen är att säkerställa att myndigheten faktiskt planerar utredningen av ett automatiserat ärende så att de krav som ställs på en korrekt utredningsskyldighet uppfylls också i helt automatiserade verksamhetsprocesser. Enligt 15 § 1 mom. i lagen om informationshantering ska myndigheterna genom adekvata säkerhetsåtgärder i fråga om sina informationsmaterial säkerställa att materialens ursprung, uppdatering och felfrihet har verifierats. I dataskyddslagstiftningen förutsätts å sin sida att den personuppgiftsansvarige ska se till att de personuppgifter som behandlas är exakta, med vilket bland annat avses verifiering av att uppgifterna är felfria och uppdaterade. Vidare innehåller lagförslaget en ny 28 h § där myndigheten åläggs en skyldighet att säkerställa att de uppgifter som utnyttjas vid avgörandet av ärenden är uppdaterade och felfria. Enligt förvaltningslagen ska en myndighet se till att ett ärende utreds tillräckligt och på behörigt sätt. Innehållet i den föreslagna 6 punkten bestäms bland annat utifrån de nämnda bestämmelserna.
I 7 punkten i momentet föreskrivs en skyldighet att dokumentera de behandlingsregler med vilka beslutsmotiveringarna framläggs för en part i den handling som anger myndighetens avgörande, såsom i ett förvaltningsbeslut. Myndigheten ska på förhand planera hur motiveringarna till ett avgörande som är resultatet av en automatiserad verksamhetsprocess ska framläggas för parten med iakttagande av god förvaltning, begripligt och klart, och så att parten får en uppfattning om vad myndighetens avgörande är grundat på. I vilken situation och hur motiveringarna till myndighetens beslut framläggs och när avvikelser kan göras, avgörs utifrån annan lagstiftning. Det språk på vilket ett beslut delges avgörs i enlighet med språklagstiftningen. Myndigheten ska dock dokumentera också de grunder på vilka den anser att motiveringarna till ett automatiserat beslut inte behöver framläggas. Syftet med denna punkt är att säkerställa att myndigheten planerar automatiseringen så att motiveringsskyldigheten tillgodoses med beaktande av vad som föreskrivs i 21 § i grundlagen och annanstans i lag, särskilt i förvaltningslagen. Också motiveringar som formas automatiserat ska uppfylla de krav som ställs på motiveringar annanstans i lag och motiveringarna ska vara korrekta, klara, begripliga, anknyta till variablerna i avgörandet av respektive ärende och uppfylla de krav som ställs på tillgodoseende av rättsskyddet.
I 8 punkten i momentet föreskrivs en skyldighet att dokumentera de funktioner som möjliggör kvalitetskontroll av verksamhetsprocessen. Bestämmelsen kompletterar skyldigheten enligt 28 c § till kvalitetskontroll vid automatiserade verksamhetsprocesser i produktionsbruk. Syftet med den föreslagna bestämmelsen är att betona myndighetens skyldighet att planera hur kvalitetskontrollen tekniskt kan genomföras i informationssystem som innehåller automatiserade verksamhetsprocesser.
I 9 punkten i momentet föreskrivs krav på dokumentering av informationssäkerhetsåtgärder. Kravet på dokumentering av informationssäkerhetsåtgärder ingår i den informationshanteringsmodell som föreskrivs i 5 § 2 mom. i gällande lag om informationshantering. Syftet med den föreslagna tilläggsregleringen är att betona betydelsen av informationssäkerhetsåtgärder i genomförandet av automatiserade verksamhetsprocesser, särskilt eftersom det i automatiserade verksamhetsprocesser behandlas och produceras eventuellt till och med stora mängder uppgifter av olika slag.
I paragrafens 3 mom. förskrivs om krav och ansvar i anknytning till dokumenteringen. Enligt första meningen i momentet ska myndigheten i dokumentationshandlingarna ange versionsnummer, datum för godkännandet och den som godkänt handlingen. I meningen föreskrivs det också om godkännarens skyldighet att granska att handlingsinnehållet är lagenligt. För att uppfylla kravet på dokumentering som föreskrivs i paragrafen uppstår och samlas det hos myndigheten flera olika handlingar och för att granska innehållets lagenlighet behövs det olika slag av expertis. Därför ska den som godkänner handlingen inte endast ha en sådan ställning hos myndigheten att den för myndighetens del kan godkänna handlingens innehåll utan också ha insikt i handlingens materiella innehåll och den lagstiftning som är av betydelse för ärendet för att den föreslagna skyldigheten i praktiken ska förverkligas. På grund av den sakkännedom som krävs ska handlingen alltså hos myndigheten godkännas av den som i praktiken har möjlighet att fullgöra den lagstadgade skyldigheten och utföra tjänsteåliggandet korrekt. Den dokumentering som avses i paragrafens 2 mom. kan omfatta en stor mängd olika handlingar och varje handling kan vid behov ha en egen separat godkännare. Vid granskning och godkännande av handlingar ska utöver det som föreskrivs i lagen om informationshantering och förvaltningslagen sådant beaktas som föreskrivs i andra lagar och som ska beaktas i automatiserade verksamhetsprocesser och också dokumenteras. Sådan annan reglering kan till exempel vara sektorsspecifik speciallagstiftning, reglering som främjar och tryggar de grundläggande rättigheterna och reglering som gäller internationella förpliktelser.
Den som godkänner handlingen svarar för tjänsteåtgärderna i anknytning till godkännandet. Handlingar kan inte godkännas av aktörer utanför myndigheten, utan av sådana som omfattas av tjänsteansvarsreglering antingen utifrån vad som föreskrivs i denna eller någon annan lag. Å andra sidan föreskrivs det inte i lagen att godkännaren ska vara en enskild person, utan godkännaren kan också vara ett organ.
En godkänd handling kan inte ändras, utan vid behov ska myndigheten utarbeta en ny version av handlingen och godkänna den. Tidigare versioner och den mest aktuella versionen av handlingen ska bevaras i minst fem år från det att den automatiserade verksamhetsprocessen togs ur bruk. Skyldigheten att bevara handlingarna syftar till att säkerställa att utvecklingsåtgärderna vid behov kan verifieras tillräckligt länge för eventuella utredningar i frågor som gäller tjänsteansvar. Bestämmelsen om bevarandetiden är ett minimikrav på tiden för bevarandet. Handlingar kan bevaras en längre tid, om det finns en orsak till det.
28 b §. Testning för att säkerställa överensstämmelse med kraven och gott språkbruk. I paragrafen föreskrivs med avseende på införande av automatiserade verksamhetsprocesser om de grunder för att säkerställa överensstämmelse med kraven som är nödvändiga för att säkerställa att processerna fungerar på det sätt som fastställts på förhand och att en verksamhetsprocess inte tas i bruk innan den är helt färdig. Syftet med paragrafen är alltså att förplikta myndigheterna att säkerställa att en automatiserad verksamhetsprocess, när den i enlighet med 28 a § har godkänts vara lagenlig, efter genomförandet också fungerar så som beskrivs i dokumentationen. Även om testning av informationssystem i sig är etablerad praxis behövs bestämmelsen som en del av specificeringen av de skyldigheter som hör till tjänsteåtgärderna i anknytning till automatiserade verksamhetsprocesser och i förhandskontrollen av hur processen fungerar med ambitionen att säkerställa tillgodoseendet av en parts rättsskydd vid behandlingen av förvaltningsärenden. De automatiserade verksamhetsprocesserna genomförs med hjälp av informationssystem och det säkerställs genom testning att systemen stämmer överens med kraven. Informationssystem som inte har varit färdiga för sitt ändamål eller inte fungerar tillräckligt felfritt har i många av de fall som laglighetsövervakare behandlat varit orsaken till att en korrekt ärendebehandling har äventyrats, bland annat AOA 1137/4/04, AOA 645/4/04, EOA 2071/4/05 och EOA 33/2/06. Det är i sig etablerad och allmän praxis att informationssystem testas innan de tas i bruk eller godkänns, men skyldigheterna i det avseendet bör föreskrivas närmare på lagnivå för att trygga god förvaltning och för att fastställa tjänsteansvaret.
Den testning för säkerställande av överensstämmelse med kraven enligt paragrafen avser testning som görs för att godkänna en automatiserad verksamhetsprocess för ibruktagning och när en verksamhetsprocess ändras. Betecknande nog kallas denna testningsfas godkännandetestning. De bestämmelser som föreslås i paragrafen ska alltså inte tillämpas på annan testning som görs i olika faser av utvecklingen av ett informationssystem. Det kan inte förutsättas att en myndighet deltar i sådan testning av färdigprogram som har gjorts innan den har anskaffats, och inte heller i testning av teknisk natur efter anskaffningen. Myndigheten måste dock oundvikligen ställa krav på systematisk testning och dokumentering när den gör en offentlig upphandling där upphandlingsobjektet är ett informationssystem som innehåller eller genomför en automatiserad verksamhetsprocess. Sådant säkerställande av testningshelheten hör till de åtgärder i samband med upphandling som en myndighet även annars är skyldig att göra med avseende på alla sina informationssystem oavsett om de behandlar ärenden i automatiserade verksamhetsprocesser. Förslaget gäller dock endast säkerställande av automatiserade verksamhetsprocessers överensstämmelse med kraven. Bestämmelser om allmänna krav för användning av informationssystem finns förutom i lagen om informationshantering också annanstans i lag.
Med krav avses i paragrafen olika tekniska och funktionsrelaterade krav som myndigheten ställer på automatiserade processer utifrån de förfaranden och behandlingsregler som anges i 28 a §. Kraven är inte nödvändigtvis sådana som har sin upprinnelse direkt i lagen utan även andra i anknytning till verksamhetsprocessens förfaranden och behandlingsregler som inverkar på de avgöranden den automatiserade verksamhetsprocessen resulterar i. Kraven kan framgå förutom av dokumentationen enligt 28 a § också av andra handlingar som gäller exempelvis upphandling av informationssystem samt andra tekniska specifikationer och beskrivningar i anknytning till den automatiserade processen. Dessa krav kan t.ex. ha samband med myndighetens arbetsförlopp, organiseringen av verksamheten eller användargränssnitten vars egenskaper inte kommer från lagstiftningen men där det är viktigt att de fungerar rätt och med bra kvalitet för att myndigheten ska kunna genomföra den automatiserade processen korrekt. Det är inte heller ändamålsenligt att lagstifta om säkerställande av lagenligheten genom testning eftersom det i allmänhet inte kan krävas att den som utför testningen har lämplig sakkunskap för ändamålet. Lagenligheten i förfaranden och behandlingsregler granskas av den som godkänner dokumentationen och som avses i 28 a 3 mom. I typfallet utarbetar tjänstemän som begriper sig på lagstiftning och myndighetsverksamhet tillsammans med tekniska experter som kan vara företrädare för privata aktörer de krav som ska ställas på verksamhetsprocessen (eller det informationssystem där processen genomförs) mot vilka slutresultatet av utvecklingen sedan testas.
Enligt paragrafens 1 mom. ska en myndighet se till att testningen för godkännande eller ändring har gjorts planmässigt så att den säkerställer att verksamhetsprocessen fungerar i överensstämmelse med de fastställda kraven. I första meningen i 1 mom. förpliktas myndigheter att innan en automatiserad verksamhetsprocess införs eller när de behandlingsregler som hör ihop med en automatiserad verksamhetsprocess ändras se till att det säkerställs att de förfaranden och behandlingsregler som ingår i verksamhetsprocessen överensstämmer med kraven och att handlingar som produceras i den automatiserade verksamhetsprocessen för att ges till en part uppfyller kraven på gott språkbruk. Säkerställandet ska ske genom testning. Med införande avses i det här sammanhanget inte ibruktagning av informationssystemet utan av den automatiserade verksamhetsprocessen vilket inte nödvändigtvis är direkt kopplat till att eller sker samtidigt som informationssystemet tas i bruk. Förfarandena och behandlingsreglerna är desamma som det hänvisas till i 28 a §.
Utifrån de krav som ställs på verksamhetsprocessen ska myndigheten planera hur testningen ska utföras genom att välja lämpliga testningsmetoder och utforma ett lämpligt testningsmaterial för att verifiera överensstämmelsen med kraven och ett gott språkbruk. Testningsskyldigheten hänför sig uttryckligen till testning utförd av myndigheten före införandet samt när behandlingsregler ändras i automatiserade verksamhetsprocesser som är i bruk varvid skyldigheten hänför sig till testning av ändringarna i behandlingsreglerna. Följaktligen gäller testningskraven inte annan testning, såsom den testning privata aktörer utför medan de utvecklar färdigprogram, undersökande testning för att utreda ett enstaka fel eller testning i samband med utbildning för testare.
Föremålet för testning är utöver förfaranden och behandlingsregler ett gott språkbruk i de handlingar som för parten produceras i den automatiserade verksamhetsprocessen, såsom begäran om utredning och förrättningshandlingar. I 9 § i förvaltningslagen finns bestämmelser om kravet på gott språkbruk som ska iakttas i myndighetsverksamhet. Eftersom handlingar kan produceras och levereras utan direkt mänsklig kontroll i samband med automatiska verksamhetsprocesser är det nödvändigt att fastställa ett tillräckligt ansvar för att säkerställa ett gott språkbruk i sådana handlingar i syfte att inte i onödan äventyra kundens rättsskydd på grund av felaktiga eller svårtydda handlingar. Dessutom ska myndigheterna beakta kraven enligt språklagstiftningen på vilket språk som ska användas i handlingarna. När det gäller brister som gäller språket i handlingar som produceras av informationssystem finns det t.ex. ett avgörande av riksdagens justitieombudsman EOA 2523/4/08 som gällde ett föreläggande av ordningsbot delvis på finska till en svenskspråkig part. Polisen angav som orsak att informationssystemet inte var helt färdigt. Genom bestämmelsen främjas därför kraven på att de språkliga rättigheterna och god förvaltning tillgodoses. Bestämmelser om tillgänglighetskrav som ska iakttas i digitala tjänster, dit kravet på begriplighet hör, finns i lagen om digitala tjänster.
I momentets andra mening betonas testningens planmässighet och att lämpliga testningsmetoder och testmaterial ska användas vid testningen. Bestämmelsen lämnar det dock till myndighetens bedömning vilka testningsmetoder och testmaterial som i respektive fall är lämpliga, eftersom det finns flera sätt att ta sig an testning och nya sätt utvecklas ständigt. Testningsmetoderna ska dock vara sådana att det i tillräcklig utsträckning kan säkerställas att alla krav tillgodoses. Testningen syftar till en skälig säkerhet om att den automatiserade verksamhetsprocessen fungerar i enlighet med de på förhand fastställda kraven och lagenligt och att den uppfyller kravet på korrekt ärendebehandling. Det kan inte krävas att automatiseringen av verksamhetsprocessen och testningen av kravöverensstämmelsen är perfekta och därför föreskrivs det i 28 c § om kvalitetskontroll av verksamhetsprocessen och om korrigering av fel.
I tredje meningen i 1 mom. föreskrivs ett särskilt krav på dokumentering vid testning, enligt vilken testresultaten och åtgärderna för att korrigera upptäckta fel och brister ska dokumenteras. Bestämmelsen syftar till att förplikta de personer som utför testningen och åtgärderna för att korrigera upptäckta fel att dokumentera testresultaten och de felaktiga funktioner som upptäckts samt uppgifter om de åtgärder med vilka de upptäckta felen har korrigerats. Dokumentationen ska vara tillräckligt exakt och tydlig för att det i efterhand ska kunna verifieras att testningen har gjorts korrekt och vid behov ansvaren utredas i det fallet att verksamhetsprocessen trots testning inte fungerar i enlighet med kraven. Den föreslagna bestämmelsen ska säkerställa att en automatiserad verksamhetsprocess införs korrekt och att ansvaren har fastställts.
I paragrafens 2 mom. åläggs myndigheten för att säkerställa överensstämmelsen med kraven att utse en ansvarig person som ska se till att testningen utförs i enlighet med 1 mom. och dokumenteras korrekt. Ansvarspersonen ansvarar för arbetsledningen av testningen för att säkerställa att automatiserade verksamhetsprocesser och automatiserat producerade handlingar överensstämmelser med kraven. Ansvarspersonen ska inte nödvändigtvis delta i den egentliga testningen utan övervaka testningens kvalitet och att den genomförs korrekt. Ansvarspersonens tjänsteansvar hänför sig uttryckligen till den i paragrafen avsedda testningen för godkännande och ändringar, så ansvarspersonens lagstadgade uppgift är inte att övervaka all testning som anknyter till funktionsrelaterad och teknisk testning av automatiserade verksamhetsprocesser, och ansvarspersonen är inte heller ansvarig t.ex. för testningen i samband med utvecklingen av färdigprogram. Till ansvarspersonen kan också höra uppgifter som anknyter till övervakningen av andra testningsfaser, om myndigheten ger personen sådana uppgifter. De ingår emellertid inte i skötseln av de uppgifter eller den övervakning av testning som föreskrivs i denna lag.
I paragrafens 3 mom. föreskrivs om skyldigheter för den som utför testningen enligt 1 mom. Bestämmelsen gäller alltså inte testare som testar annat än den testning som myndigheten i enlighet med 1 mom. gör för att fullgöra skyldigheten att säkerställa överensstämmelsen med kraven och gott språkbruk. Den som utför testningen ska använda den testningsmetod som myndigheten har specificerat i testningsplanen, och utföra testningen med det testmaterial som specificeras i planen. Testaren ska alltså utföra testningen på det sätt som den myndighet som ansvarar för verksamhetsprocessen har beslutat så att kraven enligt 1 mom. kan uppfyllas. Testningen har en central roll i säkerställandet av automatiserade verksamhetsprocessers överensstämmelse med kraven och bristfällig testning kan bland annat leda till att en förvaltningskunds rättsskydd äventyras, myndighetens övervakningsintresse äventyras eller myndighetens funktionsförmåga och servicenivå försämras. Till den del testningen görs automatiserat är testningsautomation en testningsmetod bland andra och skyldigheten hänför sig till den person som utför den automatiserade testningen. I bestämmelsen förutsätts ytterligare att den som utför testningen ska dokumentera testningsresultaten omsorgsfullt. Syftet med momentet är att sådana specificerade skyldigheter som i testningen bildar tjänsteåtgärder hänförs till den som utför testningen så att det i efterhand kan bedömas hur de har iakttagits. I lagen föreskrivs särskilt att bestämmelser om straffrättsligt tjänsteansvar tillämpas på den som sköter biträdande uppgifter i testningen, oavsett om det är fråga om ett tjänsteförhållande eller ett uppdragsförhållande, om en sådan biträdande uppgift har anförtrotts en privat aktör.
I paragrafens 4 mom. föreskrivs att myndigheten utifrån testresultaten ska fastställa kravöverensstämmelsen i förfaranden och behandlingsregler för verksamhetsprocesser och gott språkbruk i handlingar som ska ges till en part. Myndigheten åläggs att efter slutförd testning sätta sig in i testresultaten och utifrån dem skriftligen fastställa att den automatiserade verksamhetsprocessen uppfyller de uppställda kraven och fungerar i enlighet med förhandsspecifikationerna. Enbart testning är inte tillräckligt, utan myndigheten ska också behandla de observationer som görs i testningen och bedöma deras eventuella konsekvenser för verksamhetsprocessens överensstämmelse med kraven och lämplighet att tas i bruk. På det sättet kopplas tjänsteansvaret till myndighetens skyldighet att säkerställa att verksamhetsprocessen är färdig för sitt ändamål och inte halvfärdig. Orsaken till att kraven på god förvaltning inte har fullgjorts eller myndighetens åtgärder varit felaktiga har i många av de fall som laglighetsövervakarna har studerat varit att halvfärdiga informationssystem har tagits i bruk, t.ex. OA 1137/4/04, AOA 645/4/04, EOA 2071/4/05, EOA 33/2/06, EOA 206/4/11, EOA 2357/2/11 och OKV/1453/1/2018.
I paragrafen betonas skyldigheterna med avseende på testning såväl vad gäller planeringen, utförandet av testningen, övervakningen som bedömningen av testningens slutresultat. Fastställandet av kravöverensstämmelsen ingår som en viktig beståndsdel i lämpliga förberedelser för att införa en verksamhetsprocess och till den hänför sig således i den föreslagna paragrafen särskilda skyldigheter som ska utföras som tjänsteåtgärder varvid också tjänsteansvaret beaktas i de åtgärder som säkerställer en korrekt ärendebehandling.
28 c §. Kvalitetskontroll och hantering av felsituationer. Paragrafen syftar till att säkerställa att myndigheterna ser till att automatiserade verksamhetsprocesser sker korrekt och med bra kvalitet efter att de tagits i bruk och att således god förvaltning och rättsskyddet tillgodoses med beaktande av kraven i 21 § i grundlagen. I paragrafen åläggs myndigheten att ordna övervakningen av automatiserade verksamhetsprocessers funktion och tillräckliga kontroller när verksamhetsprocessen har tagits i bruk. Utöver 28 b § om säkerställande av överensstämmelse med kraven behövs denna skyldighet eftersom utvecklandet av en automatiserad verksamhetsprocess som helhet kan vara komplicerat och inbegripa ett flertal personer och aktörer varvid det inte är skäligt att förvänta sig att alla fel uppdagas och korrigeras i testningsskedet. En skyldighet för myndigheten att finna och korrigera fel behövs därför för att säkerställa principerna om god förvaltning och fördelningen av tjänsteansvaret. Grundlagsutskottet har påpekat (GrUU 7/2019 rd) att det automatiserade beslutsförfarandet av skäl som beror på 118 § i grundlagen måste vara noggrant övervakat och juridiskt kontrollerbart. Syftet med den föreslagna regleringen om testning och kvalitetskontroll är att uppfylla de krav som grundlagsutskottet lyft fram om automatiserat beslutsförfarande. Också kvalitetskontrollen, såsom testningen, är allmän och etablerad praxis i utvecklingen och användningen av informationssystem, men för en god förvaltning och riktandet av tjänsteansvaret behövs en exakt reglering.
I paragrafens 1 mom. åläggs myndigheten att övervaka kvaliteten och innehållets felfrihet i ärenden som avgörs automatiserat och att hantera riskerna i anknytning till automatiseringen efter att den tagits i bruk. Ansvaret för kvalitetskontrollen ska kopplas till planen för kvalitetskontroll som myndigheten godkänner och som åtminstone ska innehålla de för kvalitetskontrollen viktigaste åtgärderna. Genom att förutsätta en plan ska det säkerställas att myndighetens kvalitetskontroll är planmässig och dokumenterad. Av planen för kvalitetskontroll ska det framgå hur det efter att verksamhetsprocessen har införts ges akt på kvaliteten hos ärenden som avgjorts automatiserat och att avgörandena är innehållsmässigt korrekta. Med kvalitet avses att verksamhetsprocessen fungerar i enlighet med lagen och de på förhand specificerade kraven och resulterar i avgöranden som uppfyller kraven på korrekt ärendebehandling. Planen för kvalitetskontroll är inte en engångsplan utan ska upprätthållas efter behov genom ändringar, korrigeringar och uppdateringar. Godkännandet av själva planen för kvalitetskontroll åläggs myndigheten, så i utarbetandet av planen kan också t.ex. företrädare för det företag som levererar informationssystemet delta, eftersom planen delvis kan vara av teknisk natur och anknyta till informationssystemets egenskaper och funktioner.
Enligt förslaget ska i planen för kvalitetskontroll ingå uppgifter om kvalitetskontrollens ansvar, hur det efter införandet ges akt på kvaliteten hos ärenden som avgjorts automatiserat och särskilt på att de är innehållsmässigt korrekta samt hur risker som anknyter till verksamhetsprocessen hanteras. Planen för kvalitetskontroll är bindande för myndigheten så att kvalitetskontrollen ska utföras i enlighet med planen. Det lämnas till myndighetens övervägande på vilket sätt kvalitetskontrollen utförs, men planen ska innehålla konkreta och upprepade åtgärder med vilka det kan verifieras vilka beslut och andra avgöranden som har fattats i den automatiserade verksamhetsprocessen och om de producerade handlingarna till sakinnehållet överensstämmer med kraven. Kvalitetskontrollen kan innehålla granskning av händelseloggar samt kvalitetskontroll av de uppgifter som behandlas i verksamhetsprocessen. Kvalitetskontrollen ska särskilt innehålla sådan processkontroll där det går att uppdaga eventuellt missbruk eller annan obstruktion som utnyttjar verksamhetsprocessen. Till kvalitetskontrollen hör likaså kontroll utifrån sampel av innehållets kvalitet och gott språkbruk i de handlingar som produceras.
I 2 mom. föreskrivs det om ordnandet av kvalitetskontrollen. Enligt förslaget ska myndigheten för kvalitetskontrollen utse en ansvarig person, som ska säkerställa att kvalitetskontrollen genomförs i enlighet med den plan för kvalitetskontroll som myndigheten har godkänt. Ansvarspersonen kan också själv delta i kvalitetskontrollen. Bestämmelsen syftar till att anvisa ansvaret för genomförandet av kvalitetskontrollen hos myndigheten och så peka ut de personer som utför kvalitetskontroll. Myndigheten ska genom arbetsledningens förordnande eller som en del av planen för kvalitetskontroll specificera de personer som utför kvalitetskontrollen. De personer som deltar i kvalitetskontrollen ska definieras i planen för kvalitetskontroll.
Enligt föreslagna 3 mom. ska myndigheten se till att det i fråga om en automatiserad verksamhetsprocess registreras uppgifter som anger enligt vilka behandlingsregler den automatiserade processen har framskridit i behandlingen av respektive ärende och i hur hög grad en fysisk person har tagit del i verksamhetsprocessen. Den föreslagna bestämmelsen preciserar regleringen om insamling av logginformation i 17 § i lagen om informationshantering och innehåller minimikraven på vilka uppgifter som ska samlas in. Enligt 17 § i lagen om informationshantering kan myndigheten samla in också annan logginformation från automatiserade verksamhetsprocesser. Uppgifterna enligt momentet kan samlas in som logginformation, metainformation om ärendebehandling i ärenderegistret eller på annat sätt. Bestämmelsen slår alltså inte fast på vilket sätt myndigheten ska dokumentera den automatiserade verksamhetsprocessens arbetsförlopp i fråga om behandlingen av varje enskilt ärende. Syftet med den föreslagna bestämmelsen är att möjliggöra och säkerställa en lämplig övervakning av den automatiserade verksamhetsprocessen, att utreda och specificera eventuella fel samt vid behov att rikta ansvaret för tjänsteåligganden när ärendet också har behandlats av en fysisk person.
Myndigheten ska bevara de uppgifter som har sparats om de informationssystem som utför automatiserade verksamhetsprocesser i minst fem år från ingången av kalenderåret efter det år då uppgifterna registrerades. Minimitiden uppgifterna ska bevaras bygger på skyldigheterna som gäller verifiering av tjänsteansvaret. Bevarandetiden kan vara längre, om myndigheten utifrån 21 § i lagen om informationshantering bedömer det behövligt att bevara uppgifterna.
I paragrafens 4 mom. föreskrivs om de åtgärder myndigheten ska vidta, om det i en automatiserad verksamhetsprocess upptäcks funktioner som orsakar fel. Myndigheten åläggs att utan dröjsmål vidta korrigeringsåtgärder, om det upptäcks fel som kan inverka på ärenden som avgörs genom verksamhetsprocessen. Myndigheten ska dokumentera fel som upptäckts efter att verksamhetsprocessen införts, åtgärder för korrigering av felet och korrigeringens inverkan på myndighetens avgöranden som träffas genom verksamhetsprocessen. De åtgärder som avses i bestämmelsen kan avse t.ex. korrigering av tekniska fel, ändring av verksamhetsprocessens behandlingsregler och korrigering av avgöranden som redan har fattats i verksamhetsprocessen, såsom innehållet i ett förvaltningsbeslut eller en felaktig registeranteckning. Beroende på felets karaktär ska myndigheten ta den automatiserade verksamhetsprocessen eller den felaktiga delen av processen ur bruk, tills felet kan korrigeras. Särskilda bestämmelser gäller för korrigering av fel i myndighetens avgöranden. Bestämmelser om korrigering av fel i förfarandet som ska iakttas vid förvaltningsbeslut finns i förvaltningslagen. Bestämmelser om korrigering av registeranteckningar finns i speciallagstiftningen eller kan grundas på den allmänna dataskyddslagstiftningen. Momentet främjar tillgodoseendet av kraven på god förvaltning, särskilt uppfyllandet av kraven på korrekt behandling av ärenden.
28 d §. Beslut om införande av en automatiserad verksamhetsprocess. I paragrafen föreskrivs om införandet av en automatiserad verksamhetsprocess, alltså om det beslut som ska fattas innan en automatiserad verksamhetsprocess kan tas i bruk för att producera automatiserade avgöranden. Med införandet avses här inte ibruktagningen av informationssystemet. Innan en automatiserad verksamhetsprocess införs ska myndigheten säkerställa att de förutsättningar för införande uppfylls som föreskrivs i lagen om informationshantering, förvaltningslagen och eventuell speciallagstiftning. Bestämmelsen syftar till att ålägga myndigheten ansvaret för att säkerställa att de föreskrivna förutsättningarna för införande till alla delar uppfylls. Syftet med beslutet är att påvisa att myndigheten har utrett förutsättningarna för den automatiserade verksamhetsprocessen och att de lagstadgade grunderna för införande föreligger. Beslutet om införande kan karakteriseras som ett förberedande beslut för automatiserad ärendebehandling med särskilda formkrav föreskrivna i lagen om informationshantering. Som ett beslut som gäller den förberedande fasen kan beslutet om införande enligt 6 § 2 mom. i lagen om rättegång i förvaltningsärenden inte överklagas. Beslutet om införande avgör inte direkt i enskilda fall något ärende som gäller en parts rätt, skyldighet eller fördel. Lagenligheten i beslutet om införande samt det förfarande och de handlingar som ligger till grund för beslutet kan i respektive fall överklagas som en del av varje enskilt automatiserat avgörande så som också annars omständigheterna i förfarandet. Därför ska myndigheten i samband med varje enskilt automatiserat avgörande meddela uppgifter också om beslutet om införande av vilket ska framgå grunderna för att använda automatiserat beslutsfattande i det avgjorda ärendet.
Ett beslut om införande är en förutsättning för automatiserat avgörande av ärenden hos en myndighet. Om en myndighet avgör ett ärende automatiserat i sådana fall som avses i förvaltningslagen utan att ha fattat ett beslut om införande, är det fråga om ett fel i förfarandet i behandlingen av ett förvaltningsärende. Följaktligen kan det egentliga beslutet i en parts ärende korrigeras t.ex. utifrån förvaltningslagens bestämmelser om korrigering av sakfel. Ett fel i förfarandet kan korrigeras också i ett omprövningsförfarande. I förvaltningsdomstolen bedöms fel i förfarandet i enlighet med lagen om rättegång i förvaltningsärenden. Grunden för överklagandet är då myndighetens fel i förfarandet i ett förvaltningsärende och inte egentligen beslutet om införande. Om det framgår fel i myndighetens förfarande, ska myndigheten själv vidta åtgärder för att korrigera ett eventuellt felaktigt förfarande i verksamhetsprocessen. I det fallet kan korrigeringen också leda till att det fattas ett nytt beslut om införande.
I första meningen i paragrafens 1 mom. åläggs den myndighet som ansvarar för verksamhetsprocessen att fatta ett beslut om införande av den automatiserade verksamhetsprocessen. Vidare ska ett beslut om införande enligt paragrafens 2 mom. fattas när verksamhetsprocessen ändras så att myndigheten på nytt måste bedöma förutsättningarna för att använda den automatiserade verksamhetsprocessen. Beslutet fattas av den myndighet som använder en automatiserad process för skötseln av sina uppgifter och som har behörighet att avgöra det ärende som behandlas i verksamhetsprocessen. En sådan myndighet betecknas i bestämmelsen som den myndighet som svarar för verksamhetsprocessen.
I andra meningen i paragrafens 1 mom. förutsätts att beslutet om införande fattas på föredragning. Det är nödvändigt eftersom det i beslutsberedningen krävs särskild kompetens när det gäller beslutets korrekthet och laglighet. Vidare är det nödvändigt att beslutet fattas på föredragning på grund av den automatiserade verksamhetsprocessens karaktär, särskilt automatiserade avgörandens masskaraktär och brist på mänsklig kontroll. Grundlagsutskottet har dessutom ansett att det ter sig som ett imaginärt och konstlat arrangemang att rikta tjänsteansvaret enbart till överdirektören för ämbetsverket (GrUU 7/2019 rd, s. 11), även om det i fallet i fråga främst handlade om att det var oklart vad överdirektörens ansvar egentligen gick ut på.
Föredraganden för beslutet ansvarar för beslutet om införande med föredragandens ansvar i enlighet med 118 § 2 mom. i grundlagen. Föredraganden ska bereda beslutet och utarbeta motiveringarna till beslutet om införande och på det sättet säkerställa att införandet uppfyller de lagstadgade förutsättningarna. Momentet innehåller en förteckning över de uppgifter som myndigheten ska inkludera i beslutet om införande. Förteckningen är inte uttömmande utan regleringen tar upp minimikraven på innehållet i ett beslut om införande. Enligt 1 punkten i momentet ska den verksamhetsprocess som beslutet om införande gäller framgå av beslutet. Den verksamhetsprocessen ska uttryckas i samma form som den har specificerats i informationshanteringsmodellen och i beslutet anges alltså verksamhetsprocessens beteckning. Enligt 2 punkten i momentet ska den myndighet som svarar för verksamhetsprocessen framgå av beslutet. Den myndighet som fattar beslutet om införande är inte nödvändigtvis i alla situationer ansvarig för de informationssystem där ett ärende behandlas i en automatiserad verksamhetsprocess. Sådana situationer förekommer bland annat när det gäller informationssystem som produceras av en servicecentral som är organiserad som en separat myndighet.
I 3 punkten i momentet åläggs myndigheten en motiveringsskyldighet. Myndigheten ska innan en ett beslut fattas bedöma om de förutsättningar för införande av en automatiserad verksamhetsprocess uppfylls som föreskrivs i förvaltningslagen, lagen om informationshantering, dataskyddslagstiftningen och eventuellt annanstans i lag. I förvaltningslagen föreskrivs om de allmänna förutsättningarna för automatiserat avgörande av ärenden. I lagen om informationshantering föreskrivs för sin del om förfarandet för införande och dokumenteringskraven i samband med det. Vidare kan det i speciallagstiftning finnas särskilda krav på införandet av en verksamhetsprocess, såsom konsekvensbedömningar av dataskyddet som ska göras utifrån den allmänna dataskyddsförordningen samt information som ska meddelas den registrerade om behandlingen av personuppgifter i anknytning till ett automatiserat individuellt beslut. Beslutet om införande är myndighetens avgörande där myndigheten visar att den automatiserade verksamhetsprocessen och de automatiserat producerade myndighetsavgörandena uppfyller kraven på rättsskydd och god förvaltning samt de lagstadgade förutsättningarna. Motiveringarna utgör således en helhet, av vilken det framgår hur myndigheten anser att verksamhetsprocessen uppfyller de i lag föreskrivna kraven på innehållet och förfarandet och att de är omsorgsfullt dokumenterade och testade.
Motiveringarna ska vara täckande för att det genom dem ska kunna verifieras att myndigheten har förutsättningar för automatiserat beslutsfattande utan att avgörandena granskas och godkänns av en fysisk person. Motiveringarna till beslut om införande är av betydelse vid utvärdering av lagenligheten i användningen av en automatiserad verksamhetsprocess. Det handlar också om uppfyllande av kraven på god förvaltning och rättsskydd. Även om ett beslut om införande inte direkt påverkar parterna, kan beslutet och motiveringarna till det i enskilda fall inverka på det avgörande som resultatet av en automatiserad verksamhetsprocess ger parten. Då måste man t.ex. vid sökande av ändring eller i laglighetsövervakningen bedöma om de krav uppfylls som lagen ställer på myndighetens förfarande när det gäller ett avgörande som är producerat genom en automatiserad verksamhetsprocess. Motiveringarna ska formuleras så att kraven på gott språkbruk enligt 9 § i förvaltningslagen uppfylls. Motiveringarna ska vara begripliga för den part som meddelas ett individuellt avgörande. Eftersom syftet med beslutet om införande också är att tillgodose vars och ens rätt enligt offentlighetsprincipen att övervaka myndigheternas verksamhet i samband med myndighetsverksamhet och utövning av offentlig makt ska motiveringarna vara begripliga för var och en.
Enligt 4 punkten i momentet ska beslutet innehålla en förteckning över de handlingar som ligger till grund för beslutet om införande. Sådana handlingar är dokumenteringen om förfaranden och behandlingsregler enligt 28 a §, verifieringen av kravöverensstämmelsen i automatiserade verksamhetsprocesser enligt 28 c § 4 mom., planen för kvalitetskontroll enligt 28 c § 1 mom. samt eventuella andra handlingar med motsvarande betydelse för bedömningen och prövningen i fråga om införandet. En förteckning över handlingarna i beslutet om införande betonar myndighetens utredningsskyldighet innan beslutet om införande fattas. Å andra sidan bildar det handlingsmaterial som har ansamlats grunden för beslutet om införande. De handlingar som ligger till grund för beslutet, såsom den väsentliga dokumenteringen av hur den automatiserade verksamhetsprocessen har utvecklats, ska godkännas hos myndigheten innan beslutet om införande fattas. För lagenligheten i denna dokumentation svarar godkännaren, beroende på hur uppgiftsfördelningen inom myndigheten enligt 28 a § 1 mom. har fastställts och på vad som eventuellt annanstans i lag föreskrivs om ansvaret. Den väsentliga dokumenteringen kan vara så detaljerad och kräva sådan specialkunskap att sådan detaljinsikt i allt det som konstaterats i de handlingar som ligger till grund för beslutet inte nödvändigtvis kan krävas av föredraganden för beslutet om införande som av den som godkänner dokumenteringen. Den som föredrar beslutet om införande ska dock fastställa att den nödvändiga dokumenteringen föreligger, se till att dokumenteringen framgår av beslutet och kontrollera att det av dokumenteringen inte framgår några hinder för införandet. Föredraganden ska till exempel försäkra sig om att de olika behandlingsfaserna och behandlingsreglerna är dokumenterade, att det finns en godkänd plan för kvalitetskontroll och att det av testningsresultaten inte framgår något hinder för införande av den automatiserade verksamhetsprocessen.
En förteckning över de handlingar som ligger till grund för beslutet om införande främjar också handlingars offentlighet och transparensen i förvaltningsverksamheten. En part kan, om den så önskar, inom ramen för sin rätt att få information, eller allmänheten i övrigt, få uppgifter om de handlingar som ligger till grund för beslutet om införande. Offentligheten i dessa handlingar avgörs dock med stöd av annan lagstiftning.
I 5 punkten i momentet åläggs myndigheten att specificera det planerade datumet för införande av verksamhetsprocessen. Datumet för införande kan vara av betydelse vid en efterhandsbedömning av ändringar i verksamhetsprocessen och ändringarnas lagenlighet. Med hjälp av datumet kan ett avgörande som har fattats vid en bestämd tidpunkt kopplas till det beslut om införande inom ramen för vilket det automatiserade avgörandet har fattats. En verksamhetsprocess kan inte tas i bruk före det angivna datumet. Datumet har också informativ betydelse för övervakningsmyndigheterna. Dessutom ska av beslutet framgå när det har fattats.
I 6 punkten i momentet föreskrivs om att ange vem som har fattat beslutet om införande som tjänsteuppdrag. Beslutet fattas antingen av en enskild tjänsteman eller ett organ enligt hur myndigheten har fastställt behörighetsförhållandena vid beslutsfattande, till exempel i sin arbetsordning, förvaltningsstadga eller projekthantering. Tjänsteansvaret enligt 118 § i grundlagen ska kunna hänföras till den tjänsteman som i situationen i fråga har varit handlingsskyldig. Uppgiften om beslutsfattaren har betydelse när man utreder om beslutet hos myndigheten har fattats av en behörig person eller ett behörigt organ. Beslutet fattas på föredragning varvid den föredragande ska ha sakkunskap att bereda beslutsförslaget.
I 7 punkten i momentet föreskrivs att det av beslutet ska framgå kontaktuppgifter till myndigheten, där var och en kan få ytterligare uppgifter om förutsättningarna för användning av den automatiserade verksamhetsprocessen, hur de har tillämpats och andra uppgifter om beslutet om införande samt vid behov framföra begäran om uppgifter som gäller de handlingar som har legat till grund för beslutet om införande. Kontaktuppgiften ska vara sådan att man där uttryckligen kan svara på förfrågningar om beslutet om införande, medan där inte behöver specificeras vem som ger ytterligare uppgifter. I lagen föreskrivs uttryckligen att kontaktuppgiften ska vara en kontaktuppgift till myndigheten och kan alltså t.ex. inte vara kontaktuppgiften till den som har levererat informationssystemet. Kontaktuppgiften behöver inte vara densamma som framgår av det egentliga förvaltningsbeslutet där ett enskilt ärende har avgjorts. I förvaltningslagen föreskrivs särskilt om innehållet i det beslutet.
I paragrafens 2 mom. föreskrivs om situationer där myndigheten ska fatta ett nytt beslut om införande. Enligt föreslagna 2 mom. ska beslut om införande dessutom fattas i fråga om sådana ändringar av verksamhetsprocessen som förutsätter en bedömning av de i 53 e och 53 f § i förvaltningslagen föreskrivna förutsättningarna. Av olika orsaker kan det bli ändringar i verksamhetsprocessen som dock inte har någon inverkan på förutsättningarna för användningen av den automatiserade verksamhetsprocessen. På grund av sådana ändringar behöver något nytt beslut om införande inte fattas. Smärre ändringar är t.ex. indexförändringar, formeländringar och ändringar som beror på tekniska felsituationer. Också sådana ändringar ska dokumenteras och ändringarna versioneras i handlingarna på det sätt som föreskrivs i 28 a §. Likaså ska kravöverensstämmelsen också hos smärre ändringar säkerställas så som föreskrivs i 28 b §, om ändringarna gäller förfaranden, behandlingsregler eller gott språkbruk i de handlingar som produceras automatiserat. När det sker ändringar i lagstiftningen eller rättspraxis eller när informationssystemen utvecklas kan det dock uppstå situationer där det görs så väsentliga ändringar i den automatiserade verksamhetsprocessen att förutsättningarna för automatisering av verksamhetsprocessen måste bedömas på nytt. Om t.ex. en fas för vilken det tidigare har använts en fysisk person omvandlas till en automatiserad fas eller tvärtom, innebär detta en sådan förändring på grund av vilken förutsättningarna för användning av verksamhetsprocessen måste bedömas på nytt och ett nytt beslut om införande fattas. Likaså behövs det sannolikt ett nytt beslut vid ändringar i speciallagstiftningen som gäller automatiserade verksamhetsprocesser. Det nya beslutet inverkar inte på avgöranden som gjorts i verksamhetsprocessen innan den nya automatiserade verksamhetsprocessen infördes. Grunden för det nya beslutet är de handlingar och versioner av dem som beskriver det aktuella förfarandet som iakttas i införandeprocessen samt behandlingsreglerna. De handlingar som ligger till grund för det nya beslutet om införande kan således ha ändrats till versionsnumreringen i förhållande till det tidigare beslutet också av andra skäl, så de versionsnummer som framgår av besluten om införande i de handlingar som ligger till grund för beslutet följer inte nödvändigtvis på varandra. Utgångspunkten kan anses vara att en ny nummerserie inleds i versionsnumreringen när ett nytt beslut om införande fattas, t.ex. så att de ändringar som har gjorts inom ramen för det tidigare beslutet börjar med versionsnummer 1 och de handlingar som ligger till grund för det nya beslutet med versionsnummer 2 och så vidare, dock så att det av varje beslut om införande utan avbrott ska gå att verifiera vilka handlingar som ligger till grund för det nya beslutet. Syftet med ett nytt beslut om införande är att ålägga myndigheten att visa att väsentliga ändringar i förutsättningarna för införandet har bedömts innan de tagits i bruk.
I paragrafens 3 mom. föreskrivs det om minimitiden för bevarande av beslut om införande. Beslutet om införande ska bevaras i minst fem år från ingången av det kalenderår som följer på det år då den automatiserade verksamhetsprocessen togs ur bruk. Skyldigheten att bevara handlingarna syftar till att säkerställa att utvecklingsåtgärderna och den rättsliga prövningen vid behov kan verifieras tillräckligt länge för eventuella utredningar i frågor som gäller tjänsteansvar. Bevarandetiden motsvarar bevarandetiden för dokumenteringen av förfaranden och behandlingsregler enligt 28 a §.
28 e §. Informering om en automatiserad verksamhetsprocess. I paragrafen föreskrivs myndigheterna en skyldighet att offentliggöra beslut om införande och en allmän informeringsskyldighet i fråga om automatiserade avgöranden. I förvaltningslagen föreslås bestämmelser om att en myndighet i samband med varje enskilt automatiserat avgörande också ska meddela uppgifter om det beslut om införande av vilket grunderna för användningen av automatiserat beslutsfattande i respektive avgjort ärende framgår. Vidare ska myndigheten meddela var beslutet om införande finns att tillgå.
Enligt förslaget i paragrafens 1 mom. ska ett beslut om införande offentliggöras på myndighetens webbplats i det allmänna datanätet. Offentliggörandet av beslut om införande främjar i ett bredare perspektiv transparensen i den automatiserade verksamhetsprocessen och det automatiserade avgörandet av ärenden när vem som helst kan bekanta sig med grunderna för användningen av en automatiserad verksamhetsprocess och, om den så önskar, begära närmare dokumentation eller uppgifter om dessa grunder. Bestämmelsen avviker inte från bestämmelserna om sekretess. Ett beslut om införande ska offentliggöras till den del det inte innehåller sekretessbelagda uppgifter.
En myndighet ska på sin webbplats offentliggöra gällande beslut om införande. Detta innebär att om myndigheten gör sådana ändringar i sin verksamhetsprocess som kräver ett nytt beslut om införande, ska den offentliggöra också det nya beslutet. Gamla beslut om införande behöver inte hållas tillgängliga på webbplatsen, men den vars ärende har avgjorts genom en automatiserad verksamhetsprocess som använts med stöd av ett tidigare beslut ska dock ha tillgång till detta gamla beslut. Myndigheten ska på sin webbplats åtminstone ha klara anvisningar om varifrån och hur man kan få ett tidigare beslut om införande. Skyldigheten att offentliggöra ett beslut om införande påverkar inte den tid för bevarande av beslutet som föreskrivs i 28 d § 3 mom. Skyldigheten att offentliggöra ett beslut fråntar alltså inte myndigheten skyldigheten att bevara beslut om införande och att meddela uppgifter om dem utifrån bestämmelser om rätt att få information, såsom offentlighetslagen.
I paragrafens 2 mom. föreskrivs som komplement till offentlighetslagens 20 § 2 mom. om myndigheters allmänna skyldighet att informera om automatiserat avgörande av ärenden inom sitt verksamhetsområde. Informeringsskyldigheten gäller särskilt omständigheter som är centrala med avseende på hur förvaltningskunders rättsskydd tillgodoses. Myndigheten ska informera om ärenden som kan avgöras automatiserat och om grunderna för att använda en automatiserad verksamhetsprocess. Vidare har myndigheten prövningsrätt med avseende på vad annat det är ändamålsenligt att informera om utifrån den väsentliga dokumenteringen och beslutet om införande av en automatiserad verksamhetsprocess. Informeringen ska ske på ett sådant sätt att kunden i fråga om användningen av en automatiserad verksamhetsprocess får en uppfattning om på vilka grunder myndigheten avgör ärenden automatiserat och om det är sannolikt att kundens eget ärende kommer att behandlas automatiserat. Informeringen ska beakta kravet på gott språkbruk i 9 § i förvaltningslagen. Informeringen ska vara begriplig och tillgänglig. Den ska beakta de språkliga rättigheterna och behoven hos grupper med särskilda behov. Det kan således inte anses tillräckligt med information enbart på webbplatsen, utan den ska finnas tillgänglig även på andra sätt.
En myndighet som informerar om automatiserade avgöranden ska berätta vilka ärenden den avgör automatiserat. Skyldigheten att informera om grunderna för användning av en automatiserad verksamhetsprocess innebär i praktiken att myndigheten på sin webbplats särskilt ska klargöra de förutsättningar för införande som anges i beslutet om införande. Andra med avseende på kundens rättigheter centrala uppgifter som ska informeras utifrån de handlingar som anknyter till införandet kan t.ex. gälla säkerställande av icke-diskriminering, genomförande eller icke-genomförande av hörande och tillgodoseende av utredningsskyldigheten. Den information som myndigheten producerar ska grundas på beslutet om införande och den dokumentation beslutet bygger på eftersom den rättsliga grunden för automatiserat avgörande ska finnas beskrivet i det handlingsmaterial som har skapats. Informeringen ska ske separat för varje ärendegrupp. Det räcker således inte med allmänna beskrivningar med information om vilka ärenden som avgörs automatiserat.
I den andra meningen i paragrafens 2 mom. åläggs myndigheten vidare att på sin webbplats offentliggöra de uppgifter som producerats. Genom bestämmelsen förpliktas myndigheten att på sin webbplats dela information om ärenden som avgörs automatiserat. De uppgifter som offentliggörs på webbplatsen ska hållas uppdaterade. Den allmänna informeringsskyldigheten i första meningen i paragrafens 2 mom. är medieneutral och där fastställs inte med vilka metoder informationen ska delas. Myndigheten har alltså prövningsrätt med avseende på hur informeringsskyldigheten genomförs när det gäller andra sätt att dela information än webbplatsen.
Bestämmelser om myndigheternas skyldighet att producera och dela information finns i 20 § i offentlighetslagen. Syftet med att informera om frågor som gäller beslut om införande är att komplettera det kravet. Syftet med informeringen är att främja en öppen förvaltning, trygga genomförandet av offentlighetsprincipen och att öka förtroendet för automatiserat avgörande av ärenden. Myndigheten ska främja genomförandet av offentlighetsprincipen genom att dela information om omständigheter som är av betydelse med tanke på förvaltningskunders rättsliga ställning när det gäller automatiserat avgörande av ärenden. Informeringen tillgodoser också förutsägbarheten i det automatiserade avgörandet när förvaltningskunderna redan innan ett ärende inleds kan få information om huruvida deras ärenden kan avgöras automatiserat hos myndigheten.
Informeringsskyldigheten fråntar inte personuppgiftsansvariga deras skyldigheter enligt artiklarna 13 och 14 i den allmänna dataskyddsförordningen när det gäller att informera registrerade om automatiserat individuellt beslutsfattande. Myndigheten ska särskilt se till att kraven enligt dataskyddsförordningen om meddelande av uppgifter till registrerade uppfylls och att uppgifterna ges i rätt tid till den registrerade. Informeringsskyldigheten enligt momentet innehåller inte bestämmelser som fastställer i vilka situationer uppgifter som omfattas av informeringsskyldigheten ska framföras t.ex. som en del av inledandet av ärendet. Momentet syftar till att främja transparensen i automatiserade verksamhetsprocesser, inte endast för förvaltningskunder, utan även för samhället i stort. Å andra sidan föreslås det i förvaltningslagen avseende beslutet om införande att det i samband med ett avgörande i ett individuellt ärende ska meddelas var beslutet om införande finns att tillgå.
28 f §.Ändring av behandlingsreglerna för en automatiserad verksamhetsprocess. I paragrafen föreskrivs det om skydd mot obehörig ändring av en automatiserad verksamhetsprocess och om de förfaranden som ska iakttas när en process ändras. En myndighet ska se till att de behandlingsregler som används i en automatiserad verksamhetsprocess är skyddade mot obehörig ändring. Med skydd avses utöver de sedvanliga informationssäkerhetsåtgärderna (exempelvis tryggande av informationens integritet, tillträdeshantering och uppdaterade användarrättigheter) att myndigheten särskilt ska se till att ändringar i informationssystemets behandlingsregler enbart kan göras efter att de planerats på förhand och på ett kontrollerat sätt.
Vidare föreskrivs det i artikeln en skyldighet att spara och bevara uppgifter om ändringar i behandlingsreglerna i minst fem år från ingången av kalenderåret efter det år då uppgifterna registrerades. De uppgifter som ska sparas från ändringar i verksamhetsprocessen är i huvudsak personuppgifter, så i behandlingen av dem ska den allmänna regleringen om dataskydd beaktas. Meningen med att spara och bevara uppgifterna är att det i efterhand ska kunna påvisas hurdana ändringar som har gjorts i behandlingsreglerna, när och av vem. Så görs det möjligt att upptäcka och utreda fel i informationssystemets funktioner och säkerställs lagenligheten i den automatiserade verksamhetsprocessen och det avgörande som avslutar behandlingen av ett ärende, partens rättsskydd och fördelningen av tjänsteansvaret.
I paragrafen föreskrivs inte om tillgången till logginformation, utan det avgörs utifrån offentlighetslagen eller speciallagar. I bestämmelsen föreskrivs inte heller vilken aktör som i praktiken ska utföra sparandet eller bevarandet, eftersom detta i hög grad påverkas av hur utvecklingen och användningen av informationssystemet har arrangerats. I varje fall ska myndigheten säkerställa att dokumenteringen av ändringar i behandlingsreglerna görs utan avbrott och att myndigheten är personuppgiftsansvarig med avseende på de uppgifter som ska bevaras. Uppgifterna om ändringar kan sparas automatiskt, det vill säga genom att logginformation om ändringar i behandlingsreglerna samlas i programkoden, eller så kan ändringarna dokumenteras i kronologisk ordning och exakt beskrivna. Gjorda ändringar ska dokumenteras och testas så som föreskrivs i föreslagna 28 a och 28 b §.
28 g §. Bedömning av beslut om införande. I paragrafen åläggs informationshanteringsnämnden uppgiften att bedöma om det i 28 d § avsedda beslutet om införande och de handlingar som ligger till grund för beslutet stämmer överens med kraven i lagen om informationshantering. Vidare ska nämnden bedöma iakttagandet av de förfaranden som föreskrivs i kapitlet utifrån de uppgifter som framgår av handlingarna och vid behov genom kontroller. I 10 och 11 § i lagen om informationshantering åläggs informationshanteringsnämnden en bedömningsuppgift som inbegriper laglighetsbedömning av de statliga förvaltningsmyndigheternas, de kommunala myndigheternas och välfärdsområdesmyndigheternas verksamhet med avseende på hur kraven i lagen om informationshantering uppfylls. Den nya bedömningsuppgiften som föreslås gäller också andra myndigheter som omfattas av tillämpningsområdet för lagen om informationshantering och andra som sköter offentliga förvaltningsuppgifter. Informationshanteringsnämnden ska verka som övervakande myndighet med avseende på hur kraven i lagen om informationshantering på dokumentering av den automatiserade verksamhetsprocessen uppfylls genom att göra bedömningar på basis av de beslut om införande som lämnats in. I bedömningsuppgiften ingår också som en väsentlig beståndsdel myndighetens rådgivningsskyldighet i frågor inom dess behörighetsområde samt behörighet att ge anvisningar om hur beslut om införande fattas och handlingar i samband med det upprättas. I lagen föreslås dock inte separata bestämmelser om kringuppgifter i anknytning till en sådan bedömning, eftersom myndigheten inom ramen för sin lagfästa uppgift får utfärda anvisningar också utan särskilt bemyndigande. Bestämmelser om utfärdande av anvisningar bidrar dessutom till att gränsen blir oklar mellan dels förpliktande rättsregler, dels rekommenderande anvisningar, varvid sådan reglering inte har ansetts nödvändig eller acceptabel (se t.ex. GrUU 6/2003 rd, s. 4/I, GrUU 20/2004 rd, s. 4/I och GrUU 30/2005 rd, s. 6/II). Den föreslagna nya uppgiften ändrar inte karaktären i informationshanteringsnämndens gällande uppgifter.
I paragrafens 1 mom. åläggs myndigheter att lämna in beslut om införande till informationshanteringsnämnden för kännedom. Beslutet ska lämnas in inom sju dagar från det att beslutet fattades. Bestämmelsen syftar till att övervaka att kraven på automatiserade verksamhetsprocesser enligt lagen om informationshantering uppfylls genom extern övervakning i informationshanteringsnämnden som fungerar som sakkunnigmyndighet för informationshantering. Kraven enligt lagen om informationshantering gäller införandeförfarandet och dokumenteringen och till vissa delar också till användningen av automatiserade verksamhetsprocesser. Dessutom ingår det i någon mån skyddsbestämmelser i regleringen.
I momentet föreskrivs också att informationshanteringsnämnden utifrån de inlämnade besluten om införande separat ska besluta om genomförande av bedömningar i enskilda fall. Således bedömer nämnden inte alla inlämnade beslut om införande, utan nämndens sekretariat avgör vilka beslut om införande som behöver bedömas inom ramen för nämndens bedömningsuppgift. Av tredje meningen i det föreslagna 1 mom. följer att nämnden ska fatta beslut om huruvida ett beslut om ibruktagande ska tas upp för bedömning. Bestämmelser om behandling utan dröjsmål och delgivning av beslut finns i förvaltningslagen. Utifrån förslaget beslutar informationshanteringsnämnden om genomförande av bedömningar i enskilda fall. Följaktligen grundas bedömningarna på nämndens beslut och är inte bundna t.ex. till nämndens årliga bedömningsplan. Den föreslagna regleringen är inte avsedd som ett förfarande för förhandsgodkännande, utan som övervakning och kontroll av att de särskilda kraven på automatiserade verksamhetsprocesser iakttas genom att informationshanteringsnämnden efter prövning utför sin bedömningsuppgift. Bedömningsförfarandet påverkar inte de ansvar som uppkommer för myndigheten utifrån den övriga regleringen i 6 a kap.
Informationshanteringsnämnden övervakar inte lagenligheten i innehållet i den automatiserade verksamhetsprocessen eller hur förutsättningarna för införandet uppfylls enligt annan lagstiftning, såsom förvaltningslagen. Denna uppgift sköts i enlighet med deras uppgiftsfördelning av de högsta laglighetsövervakarna – justitiekanslern vid statsrådet och riksdagens justitieombudsman. Dataombudsmannen övervakar för sin del i enlighet med sina uppgiftsbefogenheter och behörigheter enligt artiklarna 55–59 i den allmänna dataskyddsförordningen och annan lag den personuppgiftsansvariges behandling av personuppgifter i anknytning till automatiserade verksamhetsprocesser. Huruvida ett ärende har behandlats korrekt kan även bedömas i domstol. Informationen om vilka processer som har automatiserats hos vilka myndigheter ska vara tillgänglig för laglighetsövervakningen hos informationshanteringsnämnden. Uppgiften att bedöma beslut om införande ska vara en separat uppgift för informationshanteringsnämnden och omfatta en större grupp informationshanteringsenheter och i dem verksamma myndigheter än nämndens övriga uppgifter. Bedömningsuppgiften omfattar alla de myndigheter och med dem jämförbara aktörer inom lagens tillämpningsområde som inför automatiserade verksamhetsprocesser i förvaltningsärenden och som omfattas av bestämmelserna i föreslagna 6 a kap.
Bedömningsuppgiften utsträcker sig t.ex. inte till domstolarnas rättskipning eller till de högsta laglighetsövervakarnas laglighetsövervakningsverksamhet. Eftersom det i förvaltningslagen föreslås bestämmelser om förutsättningarna för automatiserat avgörande av ärenden uttryckligen i förvaltningsärenden, föreslås i paragrafen ingen separat avgränsande bestämmelse avseende domstolarna. I paragrafen har dock i 5 mom. för tydlighetens skull de högsta laglighetsövervakarna lämnats utanför tillämpningen av paragrafen.
I paragrafens 2 mom. föreskrivs behörighet för informationshanteringsnämnden att utföra sin bedömningsuppgift. Nämnden föreskrivs rätt att få nödvändiga uppgifter ur handlingar som ligger till grund för beslut om införande. Med hjälp av dessa handlingar ska nämnden utreda om dokumentationen av de handlingar som ligger till grund för beslutet om införande har gjorts i enlighet med lagen och om de förfaranden som föreskrivs i lagen har iakttagits vid införandet.
I paragrafens 3 mom. föreskrivs nämnden rätt att förrätta inspektion i de fall där det nödvändigtvis krävs för genomförande av en bedömningsuppgift. Informationshanteringsnämnden har då rätt att förrätta inspektion i en informationshanteringsenhets och den myndighetens lokaler som verkar i anslutning till enheten med undantag för utrymmen som används för boende av permanent natur. Informationshanteringsenheten och den myndighet som verkar i anslutning till den ska bistå vid förrättandet av inspektionen genom att för inspektören lägga fram de handlingar som behövs. Informationshanteringsnämnden utser inom sekretariatet de personer som ska förrätta inspektionen. De sekreterare som har förordnats att förrätta inspektion ska i enskilda inspektioner utöva behörigheter som tillkommer nämnden, såsom att upprätta nödvändiga informationsförfrågningar och kontakter, behandla de handlingar som fås samt förrätta inspektionerna och upprätta inspektionsprotokollen. Vidare föreslås att informationshanteringsnämnden kan besluta bemyndiga en tjänsteman vid Myndigheten för digitalisering och befolkningsdata att bistå vid förrättande av inspektionen. En bemyndigad tjänsteman vid Myndigheten för digitalisering och befolkningsdata har samma befogenheter som informationshanteringsnämndens inspektör. Tjänstemannen vid Myndigheten för digitalisering och befolkningsdata kan inte självständigt förrätta inspektioner, utan endast bistå den inspektör som har utsetts av informationshanteringsnämnden. Å andra sidan får resurser från Myndigheten för digitalisering och befolkningsdata utnyttjas endast till den del en sådan tillräckligt insatt person finns att tillgå som också har tid för uppgiften att bistå inspektionen. Genom den föreslagna lagen föreslås inga tilläggsresurser för Myndigheten för digitalisering och befolkningsdata, eftersom bestämmelsen är möjliggörande, men inte förutsätter att myndigheten producerar utöver den resurs den har till förfogande för att producera sakkunnigtjänster för informationshanteringsnämnden.
I paragrafens 4 mom. föreskrivs nämnden behörighet att i genomförandet av bedömningsuppgiften uppmärksamgöra myndigheten på väsentliga dokumentationsbrister den upptäcker. Nämnden ger inte administrativ vägledning om ringa brister, men i sådana fall där någon handling saknas helt eller till innehållet uppenbart inte är helt färdig eller är bristfällig, kan nämnden uppmärksamgöra myndigheten på bristerna. Informationshanteringsnämnden kan därutöver också utsätta en tidsfrist inom vilken myndigheten ska meddela vilka åtgärder den har vidtagit med anledning av uppmärksamgörandet. Genom bestämmelsen åläggs myndigheterna ansvaret att reagera på nämndens uppmärksamgöranden och samtidigt effektiveras kontrollen av att myndigheten åtgärdar de väsentligaste bristerna. I sig är nämndens administrativa vägledning inte bindande för myndigheten. Om däremot väsentliga brister lämnas oåtgärdade, kan saken bli bedömd av andra övervakningsmyndigheter.
28 h §.Användning av uppgifter i en automatiserad verksamhetsprocess. I paragrafen åläggs myndigheterna säkerställa att de uppgifter som används vid automatiserat avgörande är uppdaterade och felfria. En myndighet ska vidta lämpliga åtgärder för teknisk verifiering av att de uppgifter som utnyttjas vid automatiserat avgörande av ärenden är uppdaterade och felfria. Dessa lämpliga åtgärder ska fastställas utifrån en riskbedömning. I riskbedömningen ska sådana relevanta risker identifieras som kan påverka att de uppgifter som utnyttjas vid automatiserat avgörande är uppdaterade och felfria. Med relevanta risker avses risker som kan ha negativ eller skadlig inverkan på en förvaltningskunds rättsliga ställning. Om riskbedömningen ger vid handen att aktualiteten och felfriheten i de uppgifter som används vid automatiserat avgörande är förenade med relevanta risker, ska myndigheten utföra sådana lämpliga kontroller som kan säkerställa kvaliteten i de uppgifter som utnyttjas i den automatiserade verksamhetsprocessen. Skyldigheten gäller såväl myndighetens eget informationsmaterial som utnyttjandet av någon annan myndighets eller aktörs information. Bestämmelsen framhäver också att myndigheten redan på förhand aktivt ska utreda och säkerställa kvaliteten i de uppgifter den utnyttjar i det automatiserade avgörandet. Med tanke på säkerställandet av en parts rättsskydd är det centralt att de uppgifter som utnyttjas är uppdaterade och felfria så att det beslut eller avgörande som verksamhetsprocessen resulterar i fattas sakligt korrekt utifrån ett högklassigt faktaunderlag. Myndigheten ska redan enligt 31 § i förvaltningslagen se till att ett ärende utreds tillräckligt och på behörigt sätt, och i detta syfte skaffa den information och den utredning som behövs för att ärendet ska kunna avgöras. Bestämmelsen kompletterar innehållet i utredningsskyldigheten enligt förvaltningslagen vid automatiserade verksamhetsprocesser genom att förplikta till att rikta åtgärderna uttryckligen till säkerställande av uppgifternas kvalitet. Vid säkerställandet av en korrekt ärendebehandling ska också bestämmelsen i gällande 13 § 1 mom. i lagen om informationshantering beaktas om att en informationshanteringsenhet ska identifiera relevanta risker som är förenade med informationsbehandlingen och dimensionera informationssäkerhetsåtgärderna utifrån riskbedömningen. Den föreslagna paragrafen kompletterar härvidlag regleringen så att åtgärdsskyldigheter utöver informationssäkerhetsåtgärderna också hänför sig till uppgifternas felfrihet och aktualitet. Uppgifternas kvalitet och felaktigheter i dem har haft en central roll i flera av laglighetsövervakarnas avgöranden (bl.a. OKV/1242/1/2013, EOAK/5362/019 och EOAK/5571/2020).
I den allmänna dataskyddsförordningens skäl 71 anses som en skyddsåtgärd vid automatiserat individuellt beslutsfattande korrigering av fel och minimering av risker för fel vid felaktigheter i personuppgifter. I artikel 5.1 d i den allmänna dataskyddsförordningen föreskrivs om korrekthetsprincipen, enligt vilken personuppgifter ska vara korrekta och om nödvändigt uppdaterade och att alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Syftet med nationell reglering är att säkerställa tillräckliga skyddsåtgärder vid automatiserat avgörande i enlighet med artikel 22.2 b i den allmänna dataskyddsförordningen och att vara mera noggrann och exakt än vad som avses i korrekthetsprincipen i artikel 5 i förordningen för att påvisa en tillräcklig skyldighet i anknytning till tjänsteåtgärder. I den föreslagna paragrafen betonas felminimering på förhand och åtgärder på grundval av en riskbedömning, vid behov även förhandsåtgärder, eftersom konsekvenserna av felaktiga uppgifter vid utövande av offentlig makt kan vara särskilt betydande för parten i fråga och eftersom sådana konsekvenser kan bli verkställbara genast efter avgörandet.
Dessutom hänför sig automatiserat avgörande av ärenden även till andra än fysiska personer, och då är målet att säkerställa att det också i de fallen finns tillräckliga skyddsåtgärder för att säkerställa uppgifternas felfrihet och aktualitet.
I artikel 16 i den allmänna dataskyddsförordningen föreskrivs det separat om den registrerades rätt att begära avlägsnande eller rättelse av felaktiga uppgifter och annanstans i lag om rättelse av fel i beslut.
28 i §.Offentligt anställda arbetstagares tjänsteansvar. I paragrafen föreslås bestämmelser om ett breddande av offentligt anställda arbetstagares straffrättsliga tjänsteansvar så att dess omfattning inte ska vara beroende av i vilket anställningsförhållande en person utför de uppgifter som föreskrivs i 6 a kap. Paragrafen behövs eftersom det i de uppgifter som utvecklar och upprätthåller informationssystemen hos myndigheterna i stort mått finns både personer i tjänsteförhållande och personer i arbetsförhållande
I 40 kap. 12 § 2 mom. i strafflagen föreskrivs om de tjänstebrottsbestämmelser som tillämpas på offentligt anställda arbetstagare. Om offentligt anställda arbetstagare utövar offentlig makt, tillämpas enligt paragrafens 1 mom. samma bestämmelser om tjänstebrott på arbetstagare som på tjänstemän. I den föreslagna regleringen anknyter en del av uppgifterna, såsom utförande av testning, endast indirekt till utövning av offentlig makt. Å andra sidan, även om en tjänsteman utför sådana uppgifter som endast indirekt anknyter till utövning av offentlig makt blir lagstiftningen om tjänstebrott tillämplig på tjänstemannen oavsett tjänsteuppgifter. Som person som utövar offentlig makt betraktas enligt 40 kap. 11 § 5 b-punkten i strafflagen även den som enligt lag eller förordning eller enligt ett uppdrag som han eller hon med stöd av lag eller förordning fått av en myndighet ska delta i beredningen av sådana beslut som avses ovan genom att göra framställningar eller förslag till beslut, utarbeta utredningar eller planer, ta prover eller utföra inspektioner eller på något annat motsvarande sätt. Strafflagens definition av en person som utövar offentlig makt täcker inte nödvändigtvis alla de åtgärder som i det här kapitlet föreslås som uppgifter för anställda hos myndigheter. För att tjänsteansvaret som straffansvar faktiskt ska realiseras vid utveckling och införande av automatiserade verksamhetsprocesser och ansvaret vara klart förutsägbart, är det motiverat att separat lagstifta om att de personer som verkar i uppgifter som genomför den i 6 a kap. i lagen om informationshantering föreslagna regleringen täckande ska omfattas av det straffrättsliga tjänsteansvaret så som det tillämpas på tjänstemän. Genom detta säkerställs också att det inte uppstår luckor i regleringen avseende det faktiska förverkligandet av tjänsteansvaret vid utveckling och användning av automatiserade verksamhetsprocesser.
I paragrafen föreslås bestämmelser om att offentligt anställda arbetstagare hos myndigheter ska verka under en tjänstemans straffrättsliga tjänsteansvar vid utförande av sådana uppgifter i anknytning till en automatiserad verksamhetsprocess som föreskrivs i 6 a kap. En breddning av tjänsteansvaret grundar sig på att de uppgifter som anknyter till en automatiserad verksamhetsprocess kan inverka på slutresultatet av ett ärende som avgörs automatiserat och därmed på utövning av offentlig makt.
Enligt 40 kap. 12 § 1 mom. i strafflagen ska bestämmelserna om tjänstemän i 40 kap. även tillämpas på personer som sköter offentliga förtroendeuppdrag och på personer som utövar offentlig makt. Enligt 40 kap. 12 § 2 mom. tillämpas 1–3, 5 och 14 § i kapitlet, med undantag för avsättningspåföljden, även på offentligt anställda arbetstagare. Uppgifter i anknytning till automatiserade verksamhetsprocesser handlar inte nödvändigtvis, åtminstone inte direkt, om utövning av offentlig makt, eller ens om direkta förberedande uppgifter, men verksamhetsprocessens kvalitet har central betydelse för riktigheten i slutresultatet av det automatiserade avgörandet. Med beaktande av de beskrivna begränsningarna i tillämpningsområdet i strafflagen utsträcker sig t.ex. 40 kap. 9 och 10 § i strafflagen om brott mot tjänsteplikt inte nödvändigtvis till sådana uppgifter som gäller utveckling och införande av automatiserade verksamhetsprocesser och som sköts av andra än tjänstemän, men ändå av personer som är anställda hos myndigheten. Därför föreslås bestämmelser om att tjänsteansvaret för tjänstemän ska gälla alla uppgifter som anknyter till automatiserade verksamhetsprocesser. För tydlighetens skull konstateras att den straffrättsliga påföljden inte omfattar avsättningspåföljd.
28 j §. Anförtroende av uppgifter åt en privat aktör samt tjänsteansvar. I paragrafen föreskrivs en möjlighet att åt en privat aktör anförtro skötseln av sådana i lagen föreslagna uppgifter som är riktade till myndigheter. Bestämmelsen är avsedd att tillämpas och tolkas endast i samband med tillämpning av föreslagna 6 a kap. Eftersom uppgifterna enligt förslaget i princip åläggs myndigheterna, bör anförtroendet av vissa uppgifter åt privata aktörer i denna regleringskontext av orsaker som härrör från 124 § i grundlagen möjliggöras separat. Därmed tar förslaget till reglering inte ställning till hur offentliga förvaltningsuppgifter bedöms i annat utvecklingsarbete i samband med informationssystem eller verksamhetsprocesser vid tillämpning av andra bestämmelser i lagen om informationshantering eller i annan lag. Till en del är uppgifterna tekniska och biträdande till karaktären, men anknyter till utövning av offentlig makt och tryggande av de grundläggande fri- och rättigheterna. En överföring av dessa uppgifter utanför myndighetsmaskineriet måste föreskrivas i lag, om uppgifterna anknyter till utövning av offentlig makt och är riktade till myndigheten (GrUU 30/2012 rd).
Enligt paragrafen får en myndighet överföra skötseln av en biträdande uppgift med anknytning till testning enligt 28 b § och korrigering av tekniska fel enligt 28 c § till en privat aktör med tillräckliga tekniska förutsättningar och kunskaper för detta. Det är fråga om uppgifter av teknisk karaktär som också kräver tekniskt kunnande och som anknyter till den uppgiftshelhet som i förslaget föreskrivs myndigheten. Regleringen möjliggör inte delegering till privata aktörer av sådana uppgifter för vilka myndigheten ska utse en ansvarsperson. Följaktligen kan uppgiften som ansvarig för testning inte utifrån det föreslagna anförtros åt privata aktörer, eftersom det inte är en biträdande uppgift för säkerställande av överensstämmelse med kraven. Likaså hör det till personer som är anställda hos myndigheten att fastställa testningens slutresultat. I praktiken kan privata aktörer delta i planeringen av testningsmetoderna, utformandet av testmaterialet och testningen. Privata aktörer kan ges i uppgift att utföra en testning som myndigheten så som beskrivs ovan har definierat och övervakar.
När det gäller korrigeringen av fel ska det enligt 28 c § 1 mom. av planen för kvalitetskontroll framgå hur det ges akt på kvaliteten och på att innehållet är korrekt hos ärenden som avgjorts automatiserat, hur upptäckta fel korrigeras och hur risker som anknyter till verksamhetsprocessen hanteras efter att den tagits i bruk. Myndigheten ska också för kvalitetskontrollen utse en ansvarig person som är anställd hos myndigheten för att säkerställa att kvalitetskontrollen genomförs i enlighet med planen för kvalitetskontroll. Privata aktörer kan ges i uppgift att utföra biträdande uppgifter av teknisk karaktär för att korrigera fel utifrån det som myndigheten har fastställt om hur fel ska korrigeras.
I den föreslagna paragrafen föreskrivs också att privat anställda som sköter dessa uppgifter handlar under straffrättsligt tjänsteansvar för tjänstemän vid skötseln av uppgifterna. Ytterligare ingår det i bestämmelsen en informativ hänvisning till skadeståndslagen. Sålunda inverkar skötsel av uppgifterna som privata tjänster inte på bedömningen eller förverkligandet av tjänsteansvaret. För tydlighetens skull konstateras att den straffrättsliga påföljden inte omfattar avsättningspåföljd.
Ikraftträdande- och övergångsbestämmelser. Lagrummet innehåller en ikraftträdandebestämmelse och övergångsbestämmelser.