Lagförslag 22/2023-2024
|
|
| ||
|
| LAGFÖRSLAG nr 22/2023-2024 | ||
|
| Datum |
| |
|
| 2024-08-27 |
| |
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
| Till Ålands lagting |
| |
|
| |||
|
| |||
|
| |||
|
| |||
Informationshanteringslag för Åland
Huvudsakligt innehåll
Landskapsregeringen föreslår att lagtinget antar en informationshanteringslag för Åland. Därmed föreslås även fordrade och materiellt sammanhängande ändringar i förvaltningslagen för Åland, offentlighetslagen för Åland, landskapslagen om tillgängliga digitala tjänster och upphävande av landskapslagen om vidareutnyttjande av information från landskaps- och kommunalförvaltningen.
Syftet med lagförslaget är att främja digitaliseringen av, höja informationssäkerheten för och effektivisera den offentliga förvaltningen och dess tjänsteproduktion, möjliggöra ett bättre tillvaratagande av möjligheterna i det datadrivna samhället, tillgodose att medborgarnas rättigheter tas tillvara och att höja Ålands digitala beredskap. Vidare syftar lagförslaget till att åstadkomma en utökad elektronisk kommunikation mellan den offentliga förvaltningen och allmänheten, ett utökat och informationssäkert elektroniskt informationsutbyte inom den offentliga förvaltningen, en utvidgning av de digitala tjänster som den offentlig förvaltning tillhandahåller allmänheten och möjliggöra en utveckling av gemensamma digitala tjänster för Åland.
Avsikten är att föreslagna informationshanteringslag för Åland, samt därmed sammanhängande ändringar av befintliga lagar, ska träda i kraft den 1 januari 2025.
INNEHÅLL
2.2 Internationella avtal och EU-rätten
3. Landskapsregeringens förslag och syften
3.1 Ny informationshanteringslag för Åland
3.3 Ny reglering om elektronisk kommunikation i förvaltningsärenden
3.4 Ny reglering om användningen av kakor på den offentliga förvaltningens webbplatser
3.5 Ny reglering om automatiserade beslutsförfaranden
3.6 Följdjustering av offentlighetslagen
5.3 Verkningar för myndigheterna
5.4 Övriga samhälleliga verkningar
1. Informationshanteringslag för Åland
2. Landskapslag om ändring av offentlighetslagen för Åland
3. Landskapslag om ändring av förvaltningslagen för landskapet Åland
4. Landskapslag om ändring av landskapslagen om tillgängliga digitala tjänster
I N F O R M A T I O N S H A N T E R I N G S L A G för Åland
L A N D S K A P S L A G om ändring av offentlighetslagen för Åland
L A N D S K A P S L A G om ändring av förvaltningslagen för landskapet Åland
L A N D S K A P S L A G om ändring av landskapslagen om tillgängliga digitala tjänster
Allmän motivering
1. Inledning
Regeringen Sjögrens regeringsprogram, Ett tryggt, öppet och framtidssäkrat Åland, meddelande nr 1/2023-2024, den 11 december 2023, slår fast att det inom flera områden krävs ny och reformerad lagstiftning som tillförsäkrar ålänningarna en rättssäker och trygg vardag. Den offentlig förvaltningen på Åland behöver vara rättssäker, modern och effektiv samt fungera i samklang med övrig samhällsutveckling för att den ska vara relevant och därmed åtnjuta samhällets förtroende. Alla på Åland ska vidare ha tillgång till lagstadgade rättigheter när det gäller kommunal service. En förutsättning för myndigheternas fortsatta digitalisering är att ett moderniseringsarbete genomförs, vars syfte är att uppnå en kvalitetshöjning och effektivisering. Av regeringsprogrammet framgår vidare att en informationshanteringslag ska tas fram, i syfte att säkerställa en enhetlig, kvalitativ och informationssäker behandling av myndigheternas information. Landskapsregeringens ges rätt att samordna datalager och medborgartjänster för hela Åland, i syfte att den digitala servicenivån på Åland ska närma sig nivån i riket. Bestämmelser som möjliggör automatiserat beslutsfattande ska införas i förvaltningslagen. Samkommunal utveckling och effektiviseringsvinster ska främjas.
Landskapet saknar i dagsläget närmare lagstiftning om informationshantering, informationssäkerhet, automatiserade beslutsförfaranden, elektronisk kommunikation och elektroniskt utbyte av information och tar därmed inte till vara på digitaliseringens och automatiseringens möjligheter till en mer effektiv offentlig förvaltning och ett ändamålsenligt förvaltningsförfarande. Det finns allmän lagstiftning om styrning av arkivfunktionen och dess ingående dokumentförvaltning, framställning och registrering av handlingar, handlingars tillgängliggörande och bevarande samt handlingars offentlighet. Därtill kommer vissa närmare specialregleringar, exempelvis om hur persondata ska hanteras eller sektorsspecifik reglering av viss informationshantering. Ett behov av en allmän och närmare reglering om informationshantering och informationssäkerhet kvarstår dock.
I detta lagförslag föreslås att det på Åland stiftas en ny informationshanteringslag för Åland (informationshanteringslagen), vilken till sin utformning har haft rikets lag om informationshantering inom den offentliga förvaltningen (FFS 906/2019) (rikets informationshanteringslag) som utgångspunkt. Lagförslaget avser en allmän lag som närmare och allmänt ska reglera informationshanteringen inom den offentliga sektorn, vilken därmed inte ska tillämpas i de fall där speciallagstiftning reglerar informationshanteringen särskilt. Genom den föreslagna lagen förnyas även den åländska förvaltningsregleringen, så att den motsvarar och tar tillvara den tekniska utvecklingen och de förändrade förfarandena inom informationshanteringen, främst till följd av den ökade informationsintensiteten, i samband med upprätthållandet av samhällsfunktioner. I den föreslagna lagen införs vidare vissa närmare förpliktelser för den offentliga förvaltningen, vilka främjar vidareutnyttjandet av information, statistikframställningen och förverkligandet av offentlighetsprincipen. Lagen avser att komplettera arkivlagstiftningen, genom närmare reglering av särskilda aspekter av informationshanteringen.
Syftet med den föreslagna informationshanteringslagen är att främja kvaliteten på myndigheternas informationshantering, informationssäkerheten samt att införa ett informationssäkert och ansvarsfullt utnyttjande av myndigheternas informationsmaterial, samtidigt som myndigheterna kan fullgöra sina förvaltningsuppgifter på ett mer effektivt och resultatgivande sätt, helt i överensstämmelse med principerna för en god förvaltning.
De nya formerna för vidareutnyttjande av information och de allt mera nätverksbaserade förfarandena i samarbetet mellan olika aktörer ställer nya krav på regleringen, särskilt när det gäller en enhetligare och i större utsträckning interoperabel informationshantering mellan olika aktörer. Genom en enhetlig allmän reglering säkerställs att den offentliga förvaltningens informationshantering är kvalitativ och effektiv och av ett sådant slag att ett effektivt informationsutbyte kan ske mellan myndigheterna på ett sätt som beaktar de enskildas rättigheter. Genom en reglering med ett brett tillämpningsområde är det vidare möjligt att säkerställa en tillräckligt kvalitativ informationshantering och nivå på informationssäkerheten hos berörda offentliga aktörer.
I syfte att säkerställa en grundläggande nivå för informationssäkerheten uppställer regleringen även informationssäkerhetskrav i anslutning till beslut om utlämnande av information. Den föreslagna regleringen inverkar inte på rättigheterna när det gäller att ta del av information eller på förfarandena i anslutning därtill, utan en myndighet som lämnar ut information till andra myndigheter ska även i fortsättningen fatta beslut om utlämnande av information. Detta sker exempelvis i samband med utlämnande genom ett tekniskt gränssnitt, eller då ett tekniskt gränssnitt för första gången öppnas för en annan myndighet.
Lagförslagets informationspolitiska målsättning är att effektivisera överföringen och utnyttjandet av information mellan myndigheter, övriga aktörer, allmänheten och olika förvaltningsfunktioner. Från medborgarnas synpunkt innebär detta att sådan information om dem som myndigheterna har i sin besittning kan vidareutnyttjas i en större utsträckning. Regleringen förhindrar vidare att information i onödan och i samband med olika processer behöver efterfrågas på nytt, eftersom myndigheterna kan lämna ut informationen inom ramen för deras existerande rättigheter att få tillgång till information.
Den föreslagna regleringen skapar vidare på allmän lagnivå en grund för enhetliga förfaranden då den offentliga förvaltningen behandlar information som den redan har i sin besittning. Genom den föreslagna informationshanteringslagen skapas också en grund för genomförande av medborgarnas rättigheter i informationshänseende. Dessa rättigheter är direkt härledda ifrån Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (den allmänna dataskyddsförordningen) samt offentlighetslagen (2021:79) för Åland (offentlighetslagen). Den föreslagna informationshanteringslagen inverkar inte på innehållet i dessa rättigheter utan en effektiv och enhetlig informationshantering med tillhörande beskrivningar främjar genomförandet av registrerade aktörers, användares och parters rättigheter i informationshänseende. De offentliga aktörer som omfattas av den föreslagna lagen ska vidare, när de genomför och planerar sin informationshantering, samtidigt beakta medborgarnas rättigheter till information.
Centrala regleringsobjekt i den föreslagna informationshanteringslagen är kravställningen avseende myndigheternas organisering av informationshanteringens administrativa och tekniska genomförande samt informationssäkerhet och interoperabilitet. Ett centralt regleringsobjekt utgörs vidare av bestämmelserna om informationshantering rörande förvaltningsärenden och -tjänster samt bestämmelserna om skapande och elektronisk överföring av informationsmaterial. Genom dessa bestämmelser införs för första gången allmänna förpliktelser i fråga om användning av tekniska gränssnitt.
Vidare reglerar informationshanteringslagen, samt därtill anslutna ändringar i befintlig närliggande lagstiftning, myndigheternas tillhandahållande, planering och underhåll av digitala tjänster till allmänheten samt skyldigheter vid störningar samt information avseende dessa, en utökad elektronisk kommunikation till enskilda och myndigheter i förvaltningsärenden, användningen av kakor på den offentliga förvaltningens webbplatser och automatiserade beslutsförfaranden, Syftet med dessa förslag är att möjliggöra att landskapets offentliga förvaltning i större utsträckning än idag ska kunna dra nytta av digitaliseringens fördelar i relation till teknikutvecklingen inom informationshantering, elektronisk kommunikation och automatiserade beslutsförfaranden.
Den föreslagna regleringen gör det dessutom möjligt för landskapsregeringen att genom förordningar och allmänna riktlinjer och inom ramen för formella samarbetsgrupper förtydliga och förenhetliga utgångspunkterna för den allmänna såväl som tekniska informationshanteringen och därigenom främja interoperabiliteten inom den offentliga förvaltningen på Åland.
2. Nuläge
2.1 Åländsk lagstiftning
2.1.1 Reglering av informationshantering inom offentlig förvaltning
Det finns ingen uttömmande definition av begreppet informationshantering i åländsk lagstiftning. Med informationshantering avses i allmänhet förfaranden för allmän behandling och användning av data, samt framläggande av information på en allmän nivå i samband med insamling och upprätthållande av information, i syfte att säkerställa informationens kvalitet och användbarhet. Informationshantering utgör en del av arkivfunktionen och kan likställas med arkivfunktionens dokumentförvaltning.
Bestämmelser om informationshantering återfinns i flera allmänna lagar och i ett antal speciallagar. I lagstiftningen och i lagarnas förarbeten behandlas frågan om informationshantering på flera olika sätt, beroende på regleringsobjektet och regleringsaspekten. Förvaltningslagen (2008:9) för landskapet Åland (förvaltningslagen) utgör en grund för ordnande av informationshanteringen i förvaltningsärenden, vilken vidare kompletteras av offentlighetslagen samt arkivlagen (2004:13) för landskapet Åland (arkivlagen).
I 4–5 §§ i förvaltningslagen föreskrivs om grunderna för en god förvaltning och om de krav som ställs på behandlingsprocesserna. En ändamålsenlig organisering av informationshanteringen ingår i genomförandet av en god förvaltning, genom att den betjänar en smidig ärendebehandling, till följd av att handlingarna styrs till de rätta processerna samt att ärendebehandlingen ombesörjs. Serviceskyldigheten förutsätter vidare att en myndighet ska kunna besvara informationsförfrågningar som inkommit till den, samt att sträva efter att främja utförandet av sina uppgifter på ett resultatgivande sätt genom att ombesörja myndighetshandlingarnas tillgänglighet och användbarhet.
I 1 och 8 §§ i offentlighetslagen föreskrivs om myndigheternas skyldighet att syfta till öppenhet och en tillgänglig informationshantering i sin verksamhet, samt om skyldigheter i anslutning till ordnandet av ärendehantering och på allmän nivå. Myndigheterna ska således redan se till att deras handlingar och informationssystem samt uppgifterna i dessa är behörigen tillgängliga och att de omvandlas till ett allmänt tillgängligt elektroniskt format.
Styrningen av arkivfunktionen och dokumentförvaltningen inom den offentliga förvaltningen på Åland samt organiseringen av myndigheternas (arkivbildarnas) arkivfunktion och informationshantering regleras i arkivlagen. I arkivlagen återfinns bland annat bestämmelser om framställning, förvaring, användning och utgallring av handlingar och information. Enligt 3 § i arkivlagen har landskapsregeringen det högsta överinseendet över arkivväsendet inom landskapet. För att leda och övervaka arkivväsendet och för att säkerställa att handlingar som hör till det åländska kulturarvet bevaras och är tillgängligt för att främja forskning samt styra och utveckla arkivfunktionen upprätthåller landskapsregeringen Ålands landskapsarkiv (Landskapsarkivet).
I 4–8 §§ i arkivlagen föreskrivs om arkiv, arkivbildare, arkivfunktionen och arkivplaner. Arkiv omfattar de handlingar som har inkommit till arkivbildare på grund av dess uppgifter eller som tillkommit genom dess verksamhet. Arkivlagen är teknikneutral och gäller såväl analogt som digitalt informationsmaterial i dess olika former. Varje arkivbildare ska ha en arkivfunktion. Arkivfunktionen utgör ett ifrån rikslagstiftningen härlett begrepp, vilket används i nationell och åländsk lagstiftning och avser den funktion som styr upprättandet och hanteringen av handlingar och som har till syfte att för olikartade behov av information så ändamålsenligt som möjligt förvara den information som ingår i handlingarna. Arkivfunktionens syfte är att styra arkivbildningen och säkerställa att arkivbildningen sker på ett systematiskt sätt samt att onödig information gallras på ett kontrollerat sätt. Arkivbildaren ansvarar för planeringen av arkivfunktionen samt för dess praktiska skötsel och har en arkivplan som underställs landskapsregeringen för fastställelse. Arkivfunktionens krav ska tas i beaktande i arkivbildarens informations- och dokumentförvaltning under informationens hela livscykel. Arkivplanen är det styrdokument vilket styr myndighetens informationshantering och arkivbildning. Av arkivplanen ska det åtminstone föreskrivas om förvaringstider, förvaringssätt, vilka handlingar och uppgifter som ska bevaras varaktigt, vilka utrymmen som används för varaktig förvaring, material och metoder för framställning av handlingar och för lagring av information och vilka handlingar som kan utgallras ur arkiv. Landskapsregeringen och Landskapsarkivet beslutar i slutändan genom fastställande av en arkivplan om vilka handlingar och information som ska förvaras varaktigt.
I 9–11 §§ i arkivlagen föreskrivs om arkivbildarnas skyldigheter avseende framställning, förvaring och användning av handlingar. Framställning av handlingar och lagringen av information ska ske med användning av material och metoder som är arkivbeständiga och i utrymmen som skyddar handlingar från förstörelse, skada och obehörig användning och att förvaringsutrymmena är säkra mot brand, fukt, stöld och annan åverkan. Arkivlagen föreskriver därmed vissa kvalitetskrav avseende material, metoder och säkerhet, vilka är teknikneutrala. Handlingar vilka inte ska vidare förvaras varaktigt ska efter fastställd förvaringstid gallras i syfte att trygga datasekretessen. Överföring av handlingar till Landskapsarkivet ska ske med iakttagande av det förfarande som landskapsregeringen beslutar. I 13d–f §§ i arkivlagen regleras behandlingen av personuppgifter för arkivändamål av allmänt intresse särskilt.
Enligt 6 § 3 mom. i arkivlagen kan landskapsregeringen vidare utfärda närmare bestämmelser om 6 § 2 mom. 1–6 punkterna, det vill säga närmare bestämmelser om innehållet i en arkivplan.
I landskapsförordningen (2021:155) om arkivering av elektronisk information som ska förvaras mer än tio år och varaktigt återfinns särskilda bestämmelser om förvaring av handlingar och information som ursprungligen har skapats i elektroniskt format och som ska förvaras mer än tio år och varaktigt samt gör Riksarkivets SÄHKE2-bestämmelser om behandling, hantering och förvaring av elektronisk dokumentär information tillämpliga på Åland.
I landskapslagen (2019:7) om tillgängliga digitala tjänster (lagen om digitala tjänster) regleras att var och en på lika villkor ska kunna använda digitala tjänster som tillhandahålls av myndigheterna utifrån tillgänglighetsaspekter.
I landskapslagen (2020:26) om klienthandlingar inom socialvården föreskrivs enhetliga förfaringssätt för behandlingen av uppgifter som gäller socialvårdsklienter, i syfte att främja en korrekt skötsel av arbetsuppgifterna inom socialvården.
Genom blankettlag, landskapslagen (1993:61) om tillämpning i landskapet Åland av rikets lag om patientens ställning och rättigheter (FFS 785/1992), den så kallade patientlagen, bland annat inbegripande bestämmelser om patientens rätt till information, upprättande av plan för patienters vård, med mera.
Därtill kommer landskapslagen (2021:165) om vidareutnyttjande av information från landskaps- och kommunalförvaltningen (vidareutnyttjandelagen) och landskapslagen (2021:166) om vidareutnyttjande av information från offentliga företag (vidareutnyttjandelagen för offentliga företag).
Vidare tillkommer särregleringar avseende Ålands polismyndighet, se punkten 2.1.4 nedan.
Åland har därmed viss reglering av informationshantering, men en allmän och enhetlig definition av vad som utgör informationshantering och en närmare reglering av hur denna ska gå till saknas.
2.1.2 Reglering av informationssäkerhet och dataskydd
Allmän reglering om sekretess och hanteringen av sekretessbelagda myndighetshandlingar och uppgifter inom offentlig förvaltning återfinns i 1 och 5 kap. i offentlighetslagen. Bland annat reglerar 8 § 6 mom. anteckningar om sekretessbeläggning, 20–23 §§ handlingssekretess, tystnadsplikt, förbud mot utnyttjande samt sekretessbelagda myndighetshandlingar och skydd för intressen i rikslagstiftningen, 23 § medgivande av utlämnande av sekretessbelagda uppgifter under vissa förutsättningar, 24 § förutsättningarna för upphörande av sekretess och 25 § förutsättningarna för utlämnande av personuppgifter.
Allmän reglering av den särskilda behandlingen av känsliga personuppgifter och skydd för den registrerade återfinns därutöver i landskapslagen (2019:9) om dataskydd inom landskaps- och kommunalförvaltningen (dataskyddslagen).
I övrigt saknar Åland i dagsläget en allmän informationssäkerhetslagstiftning, innehållande kodifiering av grundläggande etablerad praxis inom modernt informationssäkerhetsarbete.
2.1.3 Reglering av användningen av kakor på den offentliga förvaltningens webbplatser
Åländsk lagstiftning om användningen av kakor på den offentliga förvaltningens webbplatser saknas i dagsläget.
Till följd av rikets reglering, samt dess genomslag inom offentlig verksamhet på Åland, bedöms dock de flesta åländska myndigheter att följa det underliggande Europaparlamentets och rådets direktiv (EG) 2002/58 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation, nedan kallat e-dataskyddsdirektivet) bestämmelser redan i dagsläget.
E-dataskyddsdirektivets bestämmelser avseende användningen av kakor är dock alltjämt i behov av genomförande inom åländsk lagstiftning för att Åland formellt ska anses ha åstadkommit ett korrekt genomförande av direktivet.
2.1.4 Reglering avseende Ålands polismyndighets informationshantering, offentlighet och dataskydd
Enligt 4 § i offentlighetslagen ska lagen inte tillämpas på Ålands polismyndighet. I 3 § 2 mom. i offentlighetslagen finns en hänvisning till landskapslagen (2021:115) om tillämpningen av lagen om offentlighet i myndigheternas verksamhet hos Ålands polismyndighet, enligt vars 1 § i lagen om offentlighet i myndigheternas verksamhet (FFS 621/1999, nedan kallad rikets offentlighetslag) tillämpas vid Ålands polismyndighet till den del myndighetens verksamhet grundar sig på landskapets lagstiftningsbehörighet. Enligt 3 § i samma lag sker detta dock med vissa avvikelser, främst avseende de bestämmelser i rikets offentlighetslag som hänvisar till rikets informationshanteringslag. Åland har vidare genom 1 § i landskapslagen (2019:74) om tillämpning på Åland av riksförfattningar om dataskydd, gjort rikets dataskyddslag (FFS 1050/2018), lagen (FFS 1054/2018) om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten samt lagen om behandling av personuppgifter i polisens verksamhet (FFS 616/2019) tillämpliga på Åland, med vissa avvikelser och tillägg. Ålands polismyndighet är vidare delvist inkluderad i tillämpningsområdet för vidareutnyttjandelagen, till den del som myndighetens verksamhet faller under landskapets lagstiftningsbehörighet. Ålands polismyndighet tillämpar arkivlagen till den del som dess verksamhet faller under Ålands lagstiftningsbehörighet och tillämpar på motsvarande sätt rikets arkivlag till de delar som faller under rikets lagstiftningsbehörighet, med beaktande av undantaget i 30 § 17 punkten i självstyrelselagen, enligt vilket samtliga handlingar och information arkiveras på Åland, om inte annat har överenskommits i samråd med landskapsregeringen.
Enligt 3 § 5 mom. i rikets informationshanteringslag begränsas dock lagens tillämpningsområde i förhållande till Åland, med innebörden att såväl Ålands polismyndighet som andra statliga myndigheter i landskapet inte tillämpar rikets informationshanteringslag till den del som myndigheternas verksamhet inom landskapet faller under rikets lagstiftningsbehörighet. Anledningen till undantaget för statliga myndigheter på Åland utgjordes av den starka behörigheten som riket bedömde att landskapet innehar inom arkivväsendet på Åland enligt 18 § 14 punkten i självstyrelselagen. I dagsläget saknar därmed Ålands polismyndighet helt reglering av grundläggande karaktär, bland annat inkluderande bestämmelser om omvandling av handlingar till elektroniskt format, överföring av information via tekniska gränssnitt och registrering av ärenden till den del som myndighetens verksamhet faller under Ålands behörighet.
Ålands polismyndighet har i samband med remissförfarandet framfört att den önskar att helt underställas rikets offentlighetslag som dess informationshanteringslag, till den del som myndighetens verksamhet faller under landskapets lagstiftningsbehörighet. Frågan är dock tämligen komplicerad och inbegriper flera större avväganden, varför den bör utredas vidare särskilt, och därmed inte kommer att beröras vidare i detta lagförslag.
2.1.5 Reglering av automatiserade beslutsförfaranden
Åländsk lagstiftning om nyttjande av automatiserade beslutsförfaranden saknas helt i dagsläget.
2.1.6 Reglering om planeringen av underhåll av digitala tjänster och användaridentifiering
Den offentliga förvaltningens tillhandahållande av digitala tjänster har avseende tillgänglighetsaspekter reglerats genom lagen om digitala tjänster. Syftet med lagen är enligt 1 § att främja tillgången till tillgängliga digitala tjänster samt innehållets tillgänglighet. Lagens 2 kap. innehåller allmänna tillgänglighetskrav för webbplatser och mobila applikationer, information om tillgängligheten samt rätt för den enskilda att få innehåll i en tillgänglig form. Lagens 2a kap. innehåller mer specifika krav avseende tjänsteleverantörer för tjänster som riktar sig till konsumenter inom persontrafiktjänster och tjänster som ger åtkomst till audiovisuella medietjänster.
Allmän åländsk lagstiftning om planering av underhåll av digitala tjänster och användaridentifiering saknas dock.
2.1.7 Reglering av elektronisk kommunikation i förvaltningsärenden
Enligt 4 § i förvaltningslagen för landskapet Åland ska myndigheterna bemöta den som uträttar ärenden hos förvaltningen jämlikt och dess åtgärder ska skydda förväntningar som är berättigade enligt rättsordningen. I enlighet med 49 § 1 mom. i förvaltningslagen ska ett beslut som en myndighet har fattat utan dröjsmål delges en part och andra kända som har rätt att söka rättelse i det eller att överklaga det genom besvär. Detsamma gäller även ett sådant beslut som inte får överklagas.
Enligt 2 mom. ska myndigheten under behandlingen av ett ärende sköta delgivningen av meddelanden, kallelser eller andra handlingar som inverkar på behandlingen av ärendet. Själva förfarandet vid delgivning framgår av förvaltningslagens 10 kapitel. Enligt 58 och 58a §§ kan bevislig och vanlig delgivning ske elektroniskt om den som saken gäller har samtyckt till att så sker.
Allmän åländsk lagstiftning om den offentliga förvaltningens principer för användandet av elektronisk kommunikation saknas därmed i dagsläget.
2.2 Internationella avtal och EU-rätten
2.2.1 Århuskonventionen
Förenta nationernas konvention om tillgång till information, allmänhetens deltagande i beslutsprocesser och tillgång till rättslig prövning i miljöfrågor (Århuskonventionen) reglerar tillgång till information, allmänhetens deltagande i beslutsprocesser och tillgång till rättslig prövning i miljöfrågor och har ratificerats av Finland.
Århuskonventionens centrala bestämmelser kan indelas i tre delar, det vill säga artiklarna 4 och 5 om tillgång till miljöinformation, artiklarna 6–8 om allmänhetens deltagande i beslut om vissa verksamheter samt artikel 9 om tillgång till rättslig prövning. Artiklarna föreskriver bland annat att varje part i beslutsprocesser om miljön informera den berörda allmänheten på ett effektivt sätt, bland annat om tillämpliga beslutsprocesser, ansökan och föreslagen verksamhet, samt vilka slags beslut som kan komma att fattas. Bestämmelserna föreskriver vidare förutsättningarna för allmänhetens deltagande och hörande i beslutsprocesserna, villkoren allmänhetens deltagande och tillgången till rättslig prövning av miljöbeslut.
2.2.2 Europakonventionen
Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) är en internationell konvention framtagen inom ramen för Europarådet och har ratificerats av Finland. I Europakonventionens artikel 6.1 föreskrivs om principerna för en rättvis rättegång, vilka även ska tillämpas vid förvaltningsförfaranden. Till en rättvis rättegång hör bland annat att den är offentlig.
Enligt Europakonventionens artikel 8.1 har var och en vidare rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. I Europadomstolens rättspraxis har skyddet för personuppgifter ansetts utgöra en väsentlig del av skyddet för privat- och familjelivet enligt artikel 8, och skyddet för personuppgifter har å andra sidan betydelse för yttrandefriheten enligt Europakonventionens artikel 10.
I Europadomstolens avgöranden understryks bland annat att det i lagstiftningen bör finnas tillräckliga garantier för att personuppgifter inte behandlas i strid med artikel 8. De uppgifter som behandlas ska vara behövliga både i fråga om innehållet och i fråga om förvaringstiden begränsade med avseende på registreringens användningsändamål. I regleringen ska dessutom ingå tillräckliga garantier för att lagstridigt utnyttjande av personuppgifterna förhindras.
2.2.3 Konvention 108
Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (konvention 108) är en internationell konvention framtagen inom ramen för Europarådet och har ratificerats av Finland. Syftet med konvention 108 är att i samband med automatisk behandling av personuppgifter, som sker inom en avtalsslutande parts territorium, ska varje individ oberoende av hans eller hennes nationalitet eller hemort garanteras sina rättigheter och grundläggande fri- och rättigheter och i synnerhet rätten till personlig integritet, så kallat dataskydd.
I konventionen 108 föreskrivs om de grundläggande principerna för dataskyddet, det vill säga behörighet, laglighet, ändamålsbundenhet, behövlighet, uppdatering samt begränsning av förvaringstiden för uppgifter i förhållande till användningsändamålet. I konventionen föreskrivs också om behandlingsförbud i fråga om vissa uppgiftsgrupper, det vill säga känsliga uppgifter, om kraven på skydd för personuppgifter, det vill säga informationssäkerhet, samt om registrerades rättigheter. Konventionen tillämpas på personregister som behandlas automatiskt och på automatisk behandling av personuppgifter inom den offentliga och privata sektorn.
Ett arbete pågår för att harmonisera konventionen med EU:s dataskyddsförordning.
2.2.4 Konventionen om tillgång till offentliga handlingar
Europarådets konvention om tillgång till officiella handlingar (konventionen om tillgång till offentliga handlingar) är en internationell konvention framtagen inom ramen för Europarådet och har ratificerats av Finland. Konventionen har dock ännu inte trätt i kraft, till följd av att tillräckligt många andra länder ännu inte har ratificerat den. Syftet med konventionen är att trygga rätten för enskilda att få tillgång till myndigheters handlingar.
I artikel 4 i konventionen om tillgång till offentliga handlingar föreskrivs om förfarandet för begäran om handlingar. Den som begär en myndighetshandling får inte bli tvingad att ange orsaken till att han eller hon vill ta del av handlingen. Personen i fråga kan förutsättas identifiera sig om det är nödvändigt för att begäran ska kunna behandlas. Enligt konventionens artikel 5 ska myndigheten så långt som möjligt hjälpa sökanden att identifiera den myndighetshandling som han eller hon begär.
I konventionens artikel 7 föreskrivs om grunderna för avgifter för utlämnande av handling. I konventionens artikel 8 föreskrivs om förfarandet vid ändringssökande. I artikel 9 föreskrivs att allmänheten ska informeras om rätten att ta del av myndighetshandlingar och att lämpliga åtgärder ska vidtas för att utbilda myndigheterna och informera om de ärenden och funktioner som de ansvarar för.
Enligt konventionens artikel 10 ska myndigheterna på eget initiativ och i den mån det är ändamålsenligt vidta de åtgärder som behövs för att offentliggöra de myndighetshandlingar som de innehar i syfte att öka transparensen och effektiviteten inom den offentliga förvaltningen och stödja ett välinformerat deltagande av allmänheten i ärenden som är av allmänt intresse.
2.2.5 Europeiska unionens stadga om de grundläggande rättigheterna
Europeiska unionens stadga om de grundläggande rättigheterna (rättighetsstadgan), syftar till att harmonisera med Europakonventionen och samlar de personliga, medborgerliga, politiska, ekonomiska och sociala rättigheter som varje invånare i EU har.
I artikel 8 i rättighetsstadgan om de grundläggande rättigheterna definieras de grundläggande kraven och elementen när det gäller skyddet för personuppgifter. Enligt bestämmelsen har var och en rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem.
Enligt rättighetsstadgan artikel 7 har var och en rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. I stadgan finns i fråga om unionens organ och inrättningar artiklar om rätten till en god förvaltning, artikel 4, och om rätten att ta del av handlingar.
2.2.6 Den allmänna dataskyddsförordningen
Den allmänna dataskyddsförordningen fastställer bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter. Förordningen tillämpas på alla slag av helt eller delvis automatiserad behandling av personuppgifter och delvis också på manuell behandling av personuppgifter. Dessutom kan den nationella dataskyddslagen eller nationell speciallagstiftning bli tillämplig jämsides med dataskyddsförordningen.
Enligt skäl 14 ska förordningen skyddas och tillämpas på fysiska personer, med avseende på behandling av deras personuppgifter. Enligt skäl 15 bör skyddet för fysiska personer vara tillämpligt på både automatiserad och manuell behandling av personuppgifter, om personuppgifterna ingår i eller är avsedda att ingå i ett register. Akter eller grupper av akter samt omslag till dessa, som inte är ordnade enligt särskilda kriterier, bör inte heller omfattas av den allmänna dataskyddsförordningens tillämpningsområde.
Enligt artikel 6 föreskrivs om laglig behandling av personuppgifter. Enligt artikel 6.1 är behandlingen laglig endast om och i den mån som åtminstone ett av ett antal villkor är uppfyllt. Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, se artikel 6.1 c, samt behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, se artikel 6.1 e.
Enligt skäl 50 bör behandling för bland annat arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål betraktas som förenlig och laglig behandling av uppgifter. Enligt skäl 52 bör undantag från förbudet att behandla särskilda kategorier av personuppgifter vidare medges för arkivändamål av allmänt intresse, vetenskapliga eller forskningsändamål samt statistiska ändamål.
Enligt artikel 6.2 får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning med hänsyn till behandling för att efterleva punkterna 1 c–e genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling inbegripet för andra specifika situationer.
Enligt skäl 45 bör behandling som grundar sig på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller behandling som krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, ha en grund i unionsrätten eller i en medlemsstats nationella rätt. Vidare föreskrivs att förordningen inte medför något krav på en särskild lag för varje enskild behandling. Det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingens krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövningen.
Enligt artikel 6.3 ska den grund för behandlingen som avses i punkterna 1 c–e fastställas i enlighet med:
a) unionsrätten, eller
b) en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.
Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkten 1 e, ska vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
Enligt skäl 45 i ingressen bör unionsrätten eller medlemsstaternas nationella rätt också reglera frågan huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse eller som ett led i myndighetsutövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentligrättslig lagstiftning eller, om detta motiveras av allmänintresset, vilket inbegriper hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster, av civilrättslig lagstiftning, exempelvis en yrkesorganisation.
Enligt artikel 5.1 a ska uppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade, det vill säga säkerställer dess laglighet, korrekthet och öppenhet. Enligt artikel 5.1 b ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål eller därmed förenlig ytterligare behandling för arkivändamål av allmänt intresse, så kallad ändamålsbegränsning. Enligt artikel 5.1 c ska personuppgifterna vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas, så kallad uppgiftsminimering. Enligt artikel 5.1 d vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål, det vill säga säkerställer dess korrekthet.
Enligt artikel 5.1 e ska vidare personuppgifter förvaras i en form som möjliggör identifiering av den registrerade endast så länge som är nödvändigt för de ändamål för vilka personuppgifterna behandlas, så kallad lagringsminimering. Enligt artikel 5.1 f ska även personuppgifter behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder, det vill säga säkerställer dess integritet och konfidentialitet.
Enligt artikel 86 får personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rät som myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med denna förordning.
Enligt skäl 154 gör förordningen det möjligt att vid tillämpningen av den ta hänsyn till principen om allmänhetens rätt att få tillgång till allmänna handlingar.
Enligt skäl 156 bör ytterligare behandling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål genomföras, när den personuppgiftsansvarige har bedömt möjligheten att uppnå dessa ändamål genom behandling av personuppgifter som inte medger eller inte längre medger identifiering av de registrerade, förutsatt att det finns lämpliga skyddsåtgärder, exempelvis pseudonymisering av personuppgifter.
I skäl 157 föreskrivs att för att underlätta vetenskaplig forskning får personuppgifter behandlas för vetenskapliga forskningsändamål, med förbehåll för lämpliga villkor och skyddsåtgärder i unionsrätten eller i medlemsstaternas nationella rätt. Enligt skäl 159 bör behandling av personuppgifter för vetenskapliga forskningsändamål i denna förordning ges en vid tolkning och omfatta exempelvis teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privat finansierad forskning. Behandlingen av personuppgifter bör dessutom ta hänsyn till unionens mål enligt artikel 179.1 i EUF-fördraget angående åstadkommandet av ett europeiskt forskningsområde. Enligt skäl 160 bör i det fall att personuppgifter behandlas för historiska forskningsändamål, denna förordning också gälla den behandlingen. Enligt skäl 162 bör i det fall att personuppgifter behandlas för statistiska ändamål, denna förordning gälla den behandlingen.
Den allmänna dataskyddsförordningen innehåller vidare en bestämmelse om automatiserat individuellt beslutsfattande. Enligt artikel 22.1 ska den registrerade ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne, eller på liknande sätt i betydande grad påverkar honom eller henne. Punkten 1 ska dock inte tillämpas, om beslutet är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och den personuppgiftsansvarige, eller tillåts enligt unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen. Dessutom är automatiserade beslut tillåtna, om de grundar sig på den registrerades uttryckliga samtycke.
Den allmänna dataskyddsförordningen ger dock lagstiftaren nationellt handlingsutrymme, inom vilket det är möjligt att föreskriva undantag från behandlingsförbud i anslutning till automatiserade individuella beslut. I sådana fall ska man dock se till att lagstiftningen i sin helhet är förenlig med den allmänna dataskyddsförordningen och att det i lagstiftningen också fastställs lämpliga skyddsåtgärder, vilka syftar till att skydda den registrerades rättigheter och friheter samt berättigade intressen. I artikel 22 specificeras det inte närmare hurdana skyddsåtgärderna ska vara när det föreskrivs om beslutsfattandet i lag.
Enligt skäl 71 bör denna form av uppgiftsbehandling under alla omständigheter omgärdas av lämpliga skyddsåtgärder, vilka bör inkludera specifik information till den registrerade och rätt till mänskligt ingripande, att framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att överklaga beslutet. De nämnda omständigheterna understryker behovet av öppenhet i behandlingen.
Enligt artikel 22.4 i får vidare automatiserat individuellt beslutsfattande inte grunda sig på särskilda kategorier av personuppgifter, såvida inte artikel 9.2 a eller g gäller och lämpliga åtgärder som ska skydda den registrerades berättigade intressen har vidtagits. Enligt artikel 9.2 a ska förbudet mot behandling av särskilda kategorier av personuppgifter inte tillämpas, om den registrerade uttryckligen har lämnat sitt samtycke till behandlingen av dessa personuppgifter. Enligt artikel 9.2 g tillämpas behandlingsförbudet inte, om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. I typiska fall föreskrivs det i speciallagstiftning inom respektive sektor om behandling av uppgifter som hör till särskilda kategorier av personuppgifter.
Enligt artikel 22 görs ingen åtskillnad mellan om det automatiserade beslutsfattandet gäller vuxna eller barn. I skäl 71 konstateras det emellertid att barn inte bör bli föremål för sådant beslutsfattande som enbart grundas på automatiserad behandling, profilering inberäknad, som har rättsverkan rörande barnet eller på liknande sätt i betydande grad påverkar barnet. Eftersom denna formulering inte används på artikelnivå har till exempel Europeiska unionens Artikel 29-arbetsgrupp för uppgiftsskydd, se s. 30 i WP251rev.01, WP 29 Riktlinjer om automatiserat individuellt beslutsfattande, ansett att den allmänna dataskyddsförordningen inte utgör ett ovillkorligt förbud mot sådan behandling som gäller barn.
Lagstiftningen upptar inga bestämmelser, med stöd av vilka automatiserat individuellt beslutsfattande som förbjuds i artikel 22, skulle kunna tillämpas när förvaltningsärenden avgörs. För att sådant beslutsfattande alls ska vara möjligt behöver en rättslig grund för det skapas genom nationell reglering.
Enligt artikel 22.2 b ska i unionsrätten eller en medlemsstats nationella rätt där behandlingen godkänns fastställas också lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen. Enligt skäl 71 bör denna form av uppgiftsbehandling under alla omständigheter dock omgärdas av lämpliga skyddsåtgärder, som bör inkludera specifik information till den registrerade och rätt till mänskligt ingripande, att framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att överklaga beslutet.
Som det har konstaterats ovan förutsätts det i dataskyddsförordningens ingress att den registrerade ska ha rätt att kräva mänskligt ingripande, det vill säga rätt att kräva att en människa tar del i behandlingen av uppgifter.
Utöver detta föreskrivs i artikel 12.5 i att all kommunikation och samtliga åtgärder som vidtas enligt artikel 22 ska tillhandahållas kostnadsfritt.
I 3 kap. föreskrivs vidare om den registrerades rättigheter. Den personuppgiftsansvarige är skyldig att dra försorg om att den registrerades rättigheter tillgodoses. Den registrerade kan utöva sina rättigheter genom att kontakta den personuppgiftsansvarige. I artikel 22.1 föreskrivs om förbud mot individuella beslut som enbart grundas på automatiserad behandling. Undantag från förbudet är möjliga att införa i en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.
De ovan beskrivna kraven förutsätter att det föreskrivs om en skyddsåtgärd som ger den registrerade möjlighet att kräva mänskligt ingripande. Skyddsåtgärden ska dessutom vara avgiftsfri, och den registrerade ska kunna rikta den till den personuppgiftsansvarige som har fattat det automatiserade beslutet.
Enligt dataskyddsförordningens ingress förutsätts det därmed att den registrerade informeras om automatiserad behandling. Artikel 29-arbetsgruppen för uppgiftsskydd har i sina riktlinjer, se s. 29 i WP251rev.01, WP 29 Riktlinjer om automatiserat individuellt beslutsfattande, bedömt skyddsåtgärden, genom att konstatera att den registrerade kan överklaga ett beslut eller framföra egna synpunkter på det, bara om denna förstår hur och på vilka grunder det har fattats.
Dessutom föreskrivs i artikel 13 i dataskyddsförordningen om information som ska tillhandahållas den registrerade, om personuppgifterna samlas in från den registrerade. I artikel 14 föreskrivs om information som ska tillhandahållas den registrerade, om personuppgifterna inte har erhållits från densamma. I artikel 13.2 f och artikel 14.2 g föreskrivs om skyldigheten att lämna den registrerade ytterligare information som krävs för att säkerställa rättvis och transparent behandling, bland annat förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.
I skälen till dataskyddsförordningen förutsätts det slutligt att den registrerade efter ett beslut som grundats på automatiserad behandling har rätt att framföra sina synpunkter, att erhålla en förklaring till det beslut som fattats efter sådan bedömning och att överklaga beslutet. Artikel 29-arbetsgruppen för uppgiftsskydd har i sina riktlinjer, se s. 26 i WP251rev.01, WP 29 Riktlinjer om automatiserat individuellt beslutsfattande, ansett att den personuppgiftsansvarige ska tillhandahålla registrerade ett enkelt sätt att utöva dessa rättigheter.
2.2.7 Öppna data-direktivet
Syftet med EU:s direktiv (EU) 2019/1024 om vidareutnyttjande av information från den offentliga sektorn (öppna data-direktivet) är att underlätta utnyttjande av informationslager som innehas av den offentliga förvaltningen också för andra ändamål än de som informationen ursprungligen har samlats in för.
Öppna data-direktivet har på Åland i huvudsak implementerats genom vidareutnyttjandelagen och vidareutnyttjandelagen för offentliga företag samt offentlighetslagen.
Huvudprincipen är att alla offentliga handlingar som hör till direktivets tillämpningsområde ska kunna vidareutnyttjas för kommersiella och icke-kommersiella ändamål i sådana fall då informationens tillgänglighet inte har begränsats nationellt. Utanför direktivets tillämpningsområde faller bland annat handlingar till vilka en tredje part har upphovsrätt.
I skäl 21 i öppna data-direktivets ingress och i artikel 1.4 konstateras det att tillämpningen av direktivet inte på något sätt ska påverka skyddsnivån för enskilda personer med avseende på behandling av personuppgifter enligt bestämmelserna i unionslagstiftningen och nationell lagstiftning.
Med offentliga myndigheter avses i direktivet statliga, regionala eller lokala myndigheter, organ som lyder under offentlig rätt, sammanslutningar av en eller flera sådana myndigheter eller av ett eller flera sådana organ som lyder under offentlig rätt. Direktivets begrepp ”organ som lyder under offentlig rätt” motsvarar det begrepp som definieras i upphandlingsdirektivet.
Enligt öppna data-direktivets artikel 3.1 ska medlemsstaterna se till att handlingar, vilka omfattas av direktivets tillämpningsområde i enlighet med artikel 1, kan vidareutnyttjas för kommersiella eller icke-kommersiella syften i enlighet med villkoren i kapitel III och IV.
I öppna data-direktivets artikel 3.2 föreskrivs emellertid att när det gäller handlingar till vilka bibliotek, inkluderande universitetsbibliotek, muséer och arkiv innehar immateriella rättigheter ska medlemsstaterna, i det fall vidareutnyttjande av sådana handlingar tillåts, se till att dessa handlingar kan vidareutnyttjas för kommersiella eller icke-kommersiella syften i enlighet med villkoren i kapitlen III och IV.
I öppna data-direktivets artikel 4.1 föreskrivs att offentliga myndigheter, på elektronisk väg, om detta är möjligt och lämpligt, ska behandla en begäran om vidareutnyttjande och ge sökanden tillgång till handlingar för vidareutnyttjande eller, om det krävs en licens, färdigställa licenserbjudande till sökanden inom en rimlig tid som överensstämmer med den tidsfrist som gäller för behandling av en begäran om tillgång till handlingar.
I öppna data-direktivets 4.2 föreskrivs att om det inte har fastställts några tidsfrister eller andra regler för tillhandahållande inom rimlig tid av handlingar ska offentliga myndigheter behandla begäran och leverera handlingarna för vidareutnyttjande till sökanden eller, om det krävs en licens, färdigställa licenserbjudandet till sökanden inom högst 20 arbetsdagar från det att begäran inkommit. Denna tidsfrist får förlängas med ytterligare 20 arbetsdagar för en begäran som är omfattande eller komplicerad. I sådana fall ska sökanden inom tre veckor efter den ursprungliga begäran underrättas om att det behövs mer tid för att handlägga den.
I öppna data-direktivets artikel 4.3 föreskrivs att i händelse av avslag ska de offentliga myndigheterna underrätta sökanden om skälen för avslaget med hänvisning till relevanta bestämmelser om tillgång till handlingar i den medlemsstaten eller till nationella bestämmelser som antagits enligt direktivet, särskilt artikel 1.2 a–c eller artikel 3. Enligt artikel 4.4 ska i alla beslut om vidareutnyttjande anges vilka möjligheter det finns för överprövning, om sökanden vill överklaga beslutet.
Enligt öppna data-direktivets artikel 5.1 ska offentliga myndigheter göra sina handlingar tillgängliga i alla befintliga format och språkversioner samt, om möjligt och lämpligt, i ett öppet och maskinläsbart format tillsammans med tillhörande metadata. Både format och metadata bör så långt det är möjligt vara förenliga med formella öppna standarder.
Enligt öppna data-direktivets artikel 5.2 ska punkten 1 inte medföra någon skyldighet för offentliga myndigheter att skapa nya handlingar eller anpassa handlingar eller att tillhandahålla utdrag för att efterleva den punkten, om detta skulle kräva orimligt stora ansträngningar och inte endast ett enkelt handgrepp.
Enligt öppna data-direktivets artikel 5.3 kan det på grundval av direktivet inte krävas av offentliga myndigheter att de ska fortsätta med framställning och lagring av en viss typ av handlingar för att dessa handlingar ska kunna vidareutnyttjas av en organisation inom den privata eller offentliga sektorn.
I öppna data-direktivets artikel 6 föreskrivs om avgiftsprinciper och i artikel 7 om öppenhet i fråga om avgiftsprinciperna.
I öppna data-direktivets artikel 8 föreskrivs om frågor i anslutning till licenser.
Enligt öppna data-direktivets artikel 10.1 ska alla gällande villkor för vidareutnyttjande av handlingar vara icke-diskriminerande för jämförbara kategorier av vidareutnyttjande.
Enligt öppna data-direktivets artikel 10.2 ska i det fall att handlingar vidareutnyttjas av en offentlig myndighet som utgångsmaterial för dess kommersiella verksamhet, som inte ryms inom myndighetens offentliga verksamhet, samma avgifter och andra villkor för tillhandahållande av handlingar tillämpas för den verksamheten som för andra användare. I direktivets artikel 11 föreskrivs om förbud mot exklusiva avtal.
2.2.8 E-dataskyddsdirektivet
E-dataskyddsdirektivet har syftet att rätten till integritet och konfidentialitet, när det gäller behandling av personuppgifter inom sektorn för elektronisk kommunikation. E-dataskyddsdirektivets artikel 4 innehåller bland annat grundläggande bestämmelser om säkerhet i samband med behandlingen av personuppgifter och integritetsskydd.
Enligt e-dataskyddsdirektivets artikel 5 ska medlemsstaterna säkerställa konfidentialitet vid kommunikation och därmed förbundna trafikuppgifter via allmänna kommunikationsnät. Konfidentialitet vid kommunikation får dock inte förhindra teknisk registrering, vilken är nödvändig för överföring av kommunikation. Kommunikation och trafikuppgifter får också lagras, om det sker i samband med sedvanlig affärsverksamhet för att tillhandahålla bevis på affärstransaktion eller annan affärskommunikation.
I artikel 5 punkten 3 regleras vidare om registrering av kakor på användarens terminalutrustning och om användningen av dessa uppgifter. Medlemsstaterna ska säkerställa att användningen av elektroniska kommunikationsnät för att lagra information eller för att få tillgång till information som är lagrad i en abonnents eller användares terminalutrustning endast är tillåten på villkor att abonnenten eller användaren i fråga har tillgång till klar och fullständig information, bland annat om ändamålen med behandlingen och erbjuds rätten att vägra sådan behandling. Ifrågavarande krav får inte förhindra teknisk registrering eller åtkomst som endast sker för att utföra eller underlätta överföringen av en kommunikation via ett elektroniskt kommunikationsnät, eller som är absolut nödvändig för att leverera en av informationssamhällets tjänster som användaren eller abonnenten uttryckligen har begärt.
I riket har artikel 5.3 genomförts genom 205 § i lagen om tjänster inom elektronisk kommunikation (FFS 917/2014), vilken indirekt kan konstateras ha fått genomslag på Åland. Åland saknar dock fortsatt egen reglering inom den offentliga förvaltningen och har därmed inte korrekt genomfört aktuellt direktiv.
2.2.9 Regleringsutvecklingen i fråga om interoperabilitet
Europaparlamentets och rådets förordning (EU) 2021/694 om inrättande av programmet för ett digitalt Europa (DIGITAL) ersatte Kommissionens tidigare ISA- och ISA2-program för digitala interoperabilitetstjänster. Genom förordningen inrättades DIGITAL-programmet, i syfte att stödja och påskynda den digitala omvandlingen av europeisk ekonomi, industri och det europeiska samhället genom ett helhetsorienterat, sektorsövergripande och gränsöverskridande stöd samt ett starkare unionsbidrag.
Programmet ska i tillämpliga fall genomföras i nära samordning med andra unionsprogram och ska syfta till att stärka och främja Europas kapacitet inom centrala områden för digital teknik genom ett storskaligt införande, bredda spridningen och genomslaget av Europas centrala digitala teknik i den privata sektorn och inom områden av allmänt intresse, och därigenom främja den digitala omvandlingen och tillgången till digital teknik.
DIGITAL-programmet har fem sammanlänkade specifika mål, vilka utgörs av högpresterande datorsystem, artificiell intelligens, cybersäkerhet och förtroende, avancerade digitala färdigheter och införande och bästa användning av digital kapacitet och interoperabilitet.
Informationen och informationssystemens interoperabilitet styrs vidare inom EU på de olika verksamhetsområdena för medlemsländerna och dessas aktörer på både direktivs- och förordningsnivå.
Europaparlamentets och rådets direktiv (EG) 2007/2 om upprättande av en infrastruktur för rumslig information i Europeiska gemenskapen (Inspire, nedan kallat Inspire-direktivet) förutsätter att medlemsstaterna ska se till att metadata skapas för rumsliga datamängder och datatjänster och att dessa metadata hålls uppdaterade. I genomförandebestämmelserna fastställs tekniska arrangemang för interoperabilitet och, när så är möjligt, harmonisering av rumsliga datamängder och datatjänster. Direktivet är genomfört på Åland genom landskapslagen (2017:54) om tillämpning på Åland av lagen om en infrastruktur för geografisk information.
Europaparlamentets och rådets direktiv (EU) 2017/1132 om vissa aspekter av bolagsrätt förutsätter vidare att medlemsstaternas centrala register, handelsregister och företagsregister är interoperabla via ett centralt system. Sammankopplingen av registren garanterar gränsöverskridande informationsutbyte och underlättar möjligheterna att få uppgifter om bolag. Direktivet är genomfört på Åland genom rikets näringsrättslagstiftning.
Europaparlamentets och rådets direktiv (EU) 2011/24 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård (patientrörlighetsdirektivet) spelar både den nationella interoperabiliteten och den gränsöverskridande interoperabiliteten mellan medlemsstaternas informationssystem och elektroniska lösningar en viktig roll. Direktivet är genomfört på Åland genom landskapslagen (1993:61) om tillämpning i landskapet Åland av lagen om patientens ställning och rättigheter.
Europaparlamentets och rådets förordning (EU) 1025/2012 om europeisk standardisering nämner interoperabilitet som ett väsentligt resultat på IKT-området.
Interoperabilitet är också en viktig delfaktor när det gäller bredbandsinfrastruktur och -tjänster enligt Europaparlamentets och rådets förordning (EU) 2021/1153 om inrättande av Fonden för ett sammanlänkat Europa. I förordningen föreskrivs framför allt om så kallade byggstenar, exempelvis om elektronisk identifiering, elektroniskt tillhandahållande av handlingar och om automatisk översättning, det vill säga om funktioner som underlättar gränsöverskridande interoperabilitet.
Kommissionen har under slutet av 2022 lagt fram ett förordningsförslag, COM(2022) 720 final, till Europaparlamentets och rådets förordning om åtgärder för en hög nivå av interoperabilitet inom den offentliga sektorn i hela unionen (akten om ett interoperabelt Europa).
Akten om ett interoperabelt Europa har tre primära mål:
1. säkerställa en konsekvent och människocentrerad EU-hållning till interoperabilitet, från beslutsfattande till genomförande av politiken,
2. inrätta en styrningsstruktur för interoperabilitet som är utformad för att offentliga förvaltningar från alla nivåer och sektorer samt privata berörda parter ska kunna samarbeta, med ett tydligt mandat att komma överens om gemensamma interoperabilitetslösningar, exempelvis ramverk, öppna specifikationer, öppna standarder, applikationer eller riktlinjer, och
3. gemensamt skapa ett ekosystem av interoperabilitetslösningar för EU:s offentliga sektor, så att offentliga förvaltningar på alla nivåer i EU och andra berörda parter kan bidra till och återanvända sådana lösningar och tillsammans skapa innovation och värde för allmänheten.
I akten om ett interoperabelt Europa ingår åtgärder för att främja gränsöverskridande interoperabilitet i nätverks- och informationssystem som används för att tillhandahålla eller förvalta offentliga tjänster i unionen, genom införande av gemensamma regler och en ram för samordning avseende den offentliga sektorns interoperabilitet, i syfte att främja utvecklingen av interoperabla transeuropeiska infrastrukturer för digitala offentliga tjänster.
Akten om ett interoperabelt Europa föreslås tillämpas på offentliga myndigheter i medlemsstaterna och på unionens institutioner, organ och byråer som tillhandahåller eller förvaltar nätverks- eller informationssystem som gör det möjligt att leverera eller förvalta offentliga tjänster elektroniskt.
2.3 Komparativ utblick
2.3.1 Sverige
Svensk informationshantering, informationssäkerhet och dataskydd är i huvudsak reglerad i dess tryckfrihetsförordning (SFS 1949:105), förvaltningslag (SFS 2017:900), offentlighets- och sekretesslag (SFS 2009:400), lag (SFS 2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen), arkivlag (SFS 1990:782) och säkerhetsskyddslag (SFS 2018:585), samt genom ett antal speciallagar som patientdatalag (SFS 2008:355), lag (SFS 2001:454) om behandling av personuppgifter inom socialtjänsten, med mera.
Strukturen och regleringsobjekten i de allmänna offentlighets-, dataskydds- och förvaltningslagarna är i allt väsentligt lik den nuvarande åländska regleringen. Regleringarna är vidare allmänt utformade och i huvudsak teknikneutrala, med tanken att det i speciallagstiftning ska regleras närmare om hur viss typ av information ska hanteras eller skyddas inom särskilda sakområden.
Den 1 september 2018 inrättade Sverige Myndigheten för digital förvaltning (Digg), i syfte att minska fragmenteringen av styrningen av svensk digital förvaltning. Myndigheten har i uppgift att stödja, samordna och följa upp digitaliseringen inom de offentliga myndigheternas och kommunernas förvaltning. Till den för digitaliseringen av den offentliga sektorn ansvariga myndighetens uppgifter hör även utvecklingen och förvaltningen av landets digitala infrastruktur, samt att driva projekt som för närvarande sköts av olika myndigheter, exempelvis öppna data och e-ID.
Sveriges regering beslutade den 24 november 2016 tillsätta en utredning för att utreda förutsättningarna för digitalisering av förvaltningen. Utredningen överlämnade den 28 mars 2018 till regeringen betänkandet, Juridik som stöd för förvaltningens digitalisering, SOU 2018:25. Utredningens huvudsakliga syfte var att kartlägga och analysera i vilken utsträckning det i Sverige förekommer lagstiftning som i onödan försvårar digital utveckling och samverkan inom den offentliga förvaltningen. Betänkandet innehåller förslag till ny och ändrad lagstiftning för att främja digitaliseringen inom den offentliga förvaltningen.
I betänkandet föreslogs ändringar i Sveriges offentlighets- och sekretesslag. Syftet med ändringarna vore att de offentliga myndigheterna kan säkerställa att medborgarna effektivare får tillgång till offentlig information, när det är fråga om automatiserade processer som berör deras rättigheter och skyldigheter. Genom ändringen skulle offentlighetsprincipen säkerställas och rättssäkerheten stärkas, då det blir möjligt att ge individen information om de algoritmer och datorprogram som påverkar beslut som berör medborgarna.
I betänkandet föreslogs även att det i Sveriges förvaltningslag införs bestämmelser om elektronisk kommunikation. Syftet med ändringarna vore att förbättra tillgängligheten till den offentliga förvaltningens elektroniska tjänster bland annat genom att ålägga myndigheterna att tillhandahålla digitala tjänster till vilka medborgarna kan sända elektroniska handlingar. Av skäl som har att göra med effektivitet och dataskydd görs det emellertid undantag från denna huvudregel. I betänkandet föreslogs det att all kommunikation från myndigheterna till enskilda ska vara elektronisk.
Sveriges regering beslutade den 14 juli 2022 att uppdra åt en särskild utredare att analysera befintlig styrning och reglering av interoperabilitet vid datadelning inom den offentliga förvaltningen och från den offentliga förvaltningen till externa aktörer. Betänkandet, En reform för datadelning, SOU 2023:96, innehåller förslag till en ny lag och förordningar om den offentliga förvaltningens interoperabilitet, med definitioner och bestämmelser om användning av nationella interoperabilitetslösningar i förhållande till datadelning inom den offentliga förvaltningen, så länge denna kan ske informationssäkert. Betänkandet föreslår vidare att ett bemyndigande införs för Digg att ta fram nya nationella interoperabilitetslösningar och föreskrifter i relation till dessa. Förslaget utgör dock inte någon motsvarighet i övrigt till rikets informationshanteringslag.
I Sverige stiftades en ny förvaltningslag år 2018 och genom den möjliggjordes automatiserat beslutsfattande. Enligt en ny bestämmelse kan ett beslut fattas av en befattningshavare ensam eller av flera gemensamt eller automatiserat. Beslutsautomation har i tilltagande utsträckning använts till exempel på socialförsäkringsområdet, och enligt lagens förarbeten finns det skäl att i lagen tydliggöra att förvaltningsbeslut kan fattas på automatiserad väg. Genom att det i lagen slås fast att beslut kan fattas automatiserat tydliggörs att det inte behövs en reglering i en specialförfattning för att en myndighet ska kunna använda denna beslutsform, se prop. 2016/17:180 s. 179. Med automatiserade beslut avses beslut som fattas maskinellt utan att någon enskild befattningshavare på myndigheten tar någon aktiv del i själva beslutsfattandet i det enskilda fallet, se prop. 2016/17:180 s. 315. Bestämmelsen utgör en rättslig grund för myndigheternas användning av automatiserat beslutsfattande, men varken den eller lagens förarbeten tar ställning till på vilket sätt användningsområdet för automatisering bör avgränsas. I lagens förarbeten behandlas inte heller bestämmelsens förhållande till den allmänna dataskyddsförordningen. Det allmänna kravet på förvaltningens lagbundenhet medför dock begränsningar för användningen av automatisering.
2.3.2 Finland
Finland har tidigare haft en närmast identisk regleringsstruktur som den i Sverige och på Åland, vari informationshanteringen i olika aspekter har varit reglerad genom främst dess arkivlag, förvaltningslag, offentlighetslag, sekretesslag, dataskyddslag, samt genom annan speciallagstiftning. År 2011 trädde lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen (FFS 634/2011) i kraft, vilken upphävdes och ersattes av den 1 januari 2020 av rikets informationshanteringslag. Genom rikets informationshanteringslag sammanställdes de allmänna bestämmelserna om hantering av livscykeln för information i en ny allmän lag, vilken reglerar informationshanteringen inom den offentliga förvaltningen, med tanke på skötseln av myndigheternas uppgifter.
Ett viktigt syfte med rikets informationshanteringslag, se propositionen, RP 284/2018 rd, var att säkerställa en enhetlig och informationssäker behandling av myndigheters informationsmaterial och att möjliggöra ett tryggt och effektivt utnyttjande av informationsmaterial samt att främja interoperabiliteten mellan informationssystem och informationslager, allt i syfte att effektivisera verksamheten inom den offentliga förvaltningen och förbättra tjänsterna.
Genom rikets informationshanteringslag skapades vidare en enhetlig grund som möjliggör för myndigheterna att bedriva sin verksamhet på ett mera resultatgivande sätt. Lagen möjliggjorde även för Finland att utmönstra en talrik flora av definitioner och särreglering i speciallagstiftning rörande informationshantering. Tanken är att speciallag i fortsättningen ska särreglera informationshantering när så krävs, men att dessa i så fall ska ske ut-över rikets informationshanteringslags bestämmelser, vilka är sekundära.
I rikets lag om tillhandahållande av digitala tjänster (FFS 306/2019) har myndigheternas skyldigheter att tillhandahålla, planera och underhålla digitala tjänster till allmänheten, samt beredskap för att hantera störningar och ge information om dessa till allmänheten, och elektronisk användaridentifiering reglerats.
Den 1 maj 2023 trädde vidare lagstiftning i kraft som införde en nationell rättsgrund för automatiserade beslutsförfaranden inom den offentliga förvaltningen i riket, i form av tillägg till dess informationshanteringslag och förvaltningslag. I förvaltningslagen (FFS 434/2003, nedan kallad rikets förvaltningslag) infördes nya bestämmelser om förutsättningarna för automatiserade beslutsförfaranden, om en rättsskyddsförutsättning och om myndigheters skyldighet att meddela en part om att ett ärende har avgjorts automatiserat. I rikets informationshanteringslag infördes bestämmelser om hur tjänsteansvaret fördelas vid automatiserade beslutsförfaranden och bestämmelser som ska främja tillgodoseendet av principen om god förvaltning bland annat med avseende på nödvändig dokumentation och information vid införande av automatiserade beslutsförfaranden.
2.4 Sammanfattande bedömning
I nuläget saknas därmed en enhetlig och närmare lagstiftning om informationshanteringen inom den offentliga förvaltningen på Åland. Den reglering som finns är utspridd på flera allmänna lagar och speciallagar, med varierande terminologi och tillämpningsområden. Informationshanteringen på Åland är förenad med ett antal olika förpliktelser, beroende på myndighetens uppgifter och den hanterade informationens karaktär. Informationshanteringen på Ålands förfaranden och praxis i övrigt har utvecklats så pass mycket och så avvikande emellan myndigheter att det i vissa avseenden inte längre finns något stöd i lagstiftningen för dessa, vilka vidare varierar kraftigt hos de olika myndigheterna.
Arkivlagens bestämmelser om arkivplaner har medfört att vissa av frågorna har behövt hanteras av enskilda myndigheter på Åland inom ramen för deras arkivfunktion. Denna hantering är dock inte enhetlig och i dagsläget saknar flertalet myndigheter fortsatt fastställda arkivplaner. Regleringen om arkivbildarnas arkivplaner utgör rent faktiskt en dokumentationsplikt, vari myndigheternas beslut om deras dokumentförvaltning regleras, utan att för den skulle uppställa särskilda kvalitetskrav i förhållande till beslutens innehåll. Landskapsregeringen har genom sin befogenhet att fastställa arkivplaner och sitt tillsynsuppdrag över arkivfunktionen en viss påverkan redan idag över den offentliga förvaltningens informationshanteringen på Åland. Denna styrning är dock begränsad, särskilt när det kommer till övergripande samordning och närmare, enhetlig samt kvalitativ reglering av informationshanteringen och informationssäkerheten inom Ålands offentliga förvaltning. Vidare saknar landskapsregeringen styrningsmöjligheter avseende utvecklingen av för den offentliga förvaltningen gemensamma informations- och kommunikationstekniska tjänster samt därmed sammanhängande frågor om teknisk interoperabilitet och informationssäkra informationsutbyten och tillgängliga digitala tjänster till allmänheten. Det finns därmed ett klart behov av en allmän och närmare reglering av den såväl administrativa som tekniska informationshanteringen och dess utveckling inom Ålands offentliga förvaltning, vilken huvudsakligen kompletterar arkiv-, offentlighets- och dataskyddslagstiftningen.
Den offentliga förvaltningens produktion av allmänna tjänster och informationstekniska tjänster sker i allt större utsträckning digitalt och uppkopplat. Informationshanteringen borde under informationens hela livscykel ses som en integrerad helhet, inom vilken de olika aktörernas ansvar emellertid är klart definierat. Det behövs även nya verktyg för styrningen av informationshanteringens förfaranden och funktioner. Informationshanteringen utgör samtidigt en omfattande helhet som kräver mångsektoriell expertis. Informationshanteringen kräver framför allt adekvat planering, informationssäkerhet, hantering av interoperabiliteten mellan informationslagren och informationssystemen, styrning av informations- och arkivbildningen samt hantering av informationsmaterial och informationslagren. För denna helhet behövs det tvärsektoriellt samarbete för att livscykeln för informationen inom den offentliga förvaltningen ska kunna utvecklas sömlöst.
En kvalitativ och effektiv informationshantering utgör en del av en god förvaltning hos myndigheterna. Även tryggandet av enskildas rättigheter och offentlighetsprincipens säkerställande förutsätter en uppdaterad och tydlig lagstiftning om den offentliga informationshanteringen på Åland. Regleringen av informationshanteringen bör därmed utgöra en integrerad helhet med beaktande av informationens hela livscykel. Förändringarna i verksamhetsmiljön förutsätter därmed ny lagstiftning som stödjer förvaltningens tekniska och verksamhetsprocessrelaterade utveckling och en kvalitativ tjänsteproduktion.
Åland skulle därför tjänas av att en ny och allmän lag om informationshantering inom offentlig förvaltning stiftas. Åland skulle vidare tjänas av att förslaget till den nya lagen kompletteras med en reglering av vissa därmed sammanhängande, i nuläget oreglerade, informationshanteringsrelaterade aspekter av den offentliga förvaltningen. Detta handlar särskilt om ett större utnyttjande av digitaliseringens fördelar genom skyldigheter för myndigheterna att tillhandahålla allmänna digitala tjänster, förtydligade skyldigheter om planering och underhåll av samt information vid störningar av digitala tjänster och säker användaridentifiering, utökad elektronisk kommunikation i förvaltningsärenden, reglering av användningen av kakor på den offentliga förvaltningens webbplatser och att den åländska lagstiftningen förbereds för införandet av automatiserade beslutsförfaranden.
Den tekniska utvecklingen av informationshanteringen och den därmed sammanhängande informationssäkerheten saknar i dagsläget tydlig styrning på Åland. Detsamma gäller för utvecklingen av för den offentliga förvaltningen gemensamma informations- och kommunikationstekniska tjänster. Ett förtydligande av att landskapsregeringen ansvarar för styrningen av såväl interoperabiliteten mellan informationssystem och informationslager samt anordnandet och produktionen av gemensamma informations- och kommunikationstekniska tjänster, ligger därmed nära till hands.
I praktiken kan landskapsregeringens ålagda styrningsansvar förväntas handläggas genom ett nära samarbete mellan dess digitaliseringsenhet och Landskapsarkivet, vilket som utgångspunkt bör organiseras utifrån respektive enhets och myndighets ansvarsområde, behörigheter och uppgifter. Enligt 3 § 4 punkten i landskapsförordningen (2023:131) om landskapsregeringens allmänna förvaltning handlägger digitaliseringsenheten ärenden vilka gäller förvaltningsövergripande digitalisering, informationsteknologi och dess utveckling. Enligt 3 § i arkivlagen har Landskapsarkivet det högsta överinseendet över arkivväsendet inom landskapet, vilket den ska leda och övervaka för att säkerställa det åländska kulturarvets bevarande och tillgänglighet, att främja forskning, att styra och utveckla arkivfunktionen samt ska motta, förvara och ordna arkivalier så att sådana är tillgängliga för myndigheter, forskare och andra. Enligt 11 § i landskapsförordningen om landskapsregeringens allmänna förvaltning handlägger Landskapsarkivet även ärenden vilka gäller arkivering av handlingar samt sköter mottagandet, förvaret och ordnandet av arkivalier samt tillhandahållandet av dessa.
I syfte att åstadkomma interoperabilitet mellan informationssystem och informationslager bör vidare landskapsregeringen bemyndigas att utfärda såväl riktlinjer om utvecklingen av informationshanteringen och interoperabiliteten inom landskapet som att genom förordning föreskriva närmare om myndigheters informations- och kommunikationstekniska tjänsters kvalitet, säkerhet, interoperabilitet och deras förenlighet med den övergripande arkitekturen samt användning av gemensamma informations- och kommunikationstekniska tjänster.
I syfte att utveckla myndigheternas digitala verksamhet och att effektivisera och förenhetliga förfaranden bör vidare myndigheter som huvudregel göras skyldiga att använda de gemensamma informations- och kommunikationstekniska tjänster som landskapsregeringen styr anordnandet av. Motsvarande skyldigheter för kommunala myndigheter bör dock anstå och i ett senare skede regleras särskilt, eventuellt i samband med införandet av specifika gemensamma informations- och kommunikationstekniska tjänster, mot bakgrund av kravet i grundlagen på lagreglering av kommunala skyldigheter.
Myndigheterna bör vidare åläggas skyldighet att tillhandahålla digitala tjänster för allmänhetens skötande av sina ärenden och elektronisk kommunikation, kopplat till en skyldighet att tillse att de digitala tjänsterna är tillräckligt interoperabla med gemensamma informations- och kommunikationstekniska tjänster och andra myndigheters digitala tjänster. Reglering av myndigheters skyldigheter att tillhandahålla, planera, underhålla samt informera vid störning av digitala tjänster samt säker användaridentifiering bör vidare införas, såväl i informationshanteringslagen som i lagen om digitala tjänster.
En utökad elektronisk kommunikation i förvaltningsärenden kan vidare åstadkommas genom att reglerna i förvaltningslagen om elektronisk delgivning kompletteras med nya bestämmelser om en presumtion om elektronisk delgivning till parter som har inlett sina ärenden vid myndigheten elektroniskt eller om mottagaren är en myndighet, så länge detta kan ske på ett informationssäkert sätt.
Användandet av kakor på den offentliga förvaltningens webbplatser förutsätts genom e-dataskyddsdirektivet och har ännu inte implementerats på Åland. Regleringen av denna fråga bör rimligtvis ske inom ramen för den nya informationshanteringslagen mot bakgrund av att det främst är en fråga om informationshantering.
Införandet av en rättslig grund för automatiserade beslutsförfaranden förutsätter vidare nya bestämmelser och ändringar i förevarande lagstiftning, i syfte att tillse att dataskyddsförordningen efterlevs. Den gällande regleringen i förvaltningslagen och lagen om rättegång i förvaltningsärenden (FFS 808/2019) om hörande av part, motivering av beslut, rättelseyrkande och sökande av ändring genomför redan skyddsåtgärder för den enskilda i dessa avseenden.
På Åland finns det dock ett motiverat behov av ytterligare reglering, beaktande dataskyddsförordningens krav och de gällande bestämmelserna om tillhandahållande av information. Den enskilda bör exempelvis alltid informeras om att ett beslut har fattats enbart på grundval av automatiserad behandling, oavsett om de personuppgifter som gäller denna har samlats in från den enskilda eller från något annat håll, och huruvida det är inom dataskyddsförordningens tillämpningsområde som den tillämpliga behandlingen försiggår. Vidare ska den enskilda ges information om hur det automatiska beslutsförfarandet har gått till, bakomliggande dokumentation och vad följderna av en sådan behandling har inneburit för den enskilda. Yttermera förutsätter dataskyddsförordningen att den enskilda ska ges lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen, innebärande att lagstiftningen måste förses med en möjlighet för den enskilda att få en mänsklig prövning av ett förvaltningsbeslut som har föregåtts av ett automatiserat beslutsförfarande.
Offentlighetslagens bestämmelser om registrering av handlingar och ärenden samt omvandling till elektroniskt format bör införlivas i informationshanteringslagen i ett särskilt kapitel, av enhetsmässiga såväl som pedagogiska skäl.
Vidareutnyttjandelagen bör vidare, av enhetlighetsmässiga och pedagogiska skäl, införlivas i informationshanteringslagen som ett särskilt kapitel.
Mot bakgrund av den komplicerade situationen för Ålands polismyndighet bör myndigheten i detta läge undantas från den nya informationshanteringslagens tillämpningsområde, med undantag för de delar som den redan omfattas av vidareutnyttjandelagen.
3. Landskapsregeringens förslag och syften
3.1 Ny informationshanteringslag för Åland
Landskapsregeringen föreslår att det stiftas en ny allmän informationshanteringslag inom den offentliga förvaltningen på Åland. Genom den föreslagna lagen sammanställs allmänna bestämmelser om myndigheternas informationshantering. Syftet med lagförslaget är att förnya, förenhetliga och samordna allmänna bestämmelser om informationshantering inom den offentliga förvaltningen samt att minska behovet av särreglering, vilket kan förväntas leda till en mer rättssäker, informationssäker, modern och effektiv offentlig förvaltning på Åland, vilken tillvaratar medborgarnas rättigheter och ger offentlighetsprincipen ett större genomslag.
Den föreslagna lagens tillämpningsområde avser de myndigheter som definieras i 4 § i offentlighetslagen. Den föreslagna lagen ska därmed även tillämpas på övriga juridiska och fysiska personer i landskapet, när de genom en landskapslag eller med stöd av en landskapslag sköter offentliga förvaltningsuppgifter. Ålands polismyndighet är därmed undantagen från lagens allmänna tillämpningsområde, med undantag för regleringen om vidareutnyttjande av information, i de delar som Ålands polismyndighets verksamhet faller under landskapets lagstiftningsbehörighet.
Den föreslagna lagen ska betraktas som en kompletterande reglering av informationshanteringen inom offentlig förvaltning, till den del som denna inte redan regleras i arkivlagen, offentlighetslagen, den allmänna dataskyddsförordningen eller dataskyddslagen.
I enlighet med den föreslagna lagens kapitelindelning föreskrivs i lagen om allmänna bestämmelser, allmän styrning av informationshanteringen inom offentlig förvaltning, informationssäkerhet, skapande och elektronisk överföring av informationsmaterial, ärendehantering, införande och användning av automatiserade beslutsförfaranden, användningen av kakor på den offentliga förvaltningens webbplatser och vidareutnyttjande av information från offentlig förvaltning. I lagförslaget ingår sammanhängande ändringar i offentlighetslagen och att vidareutnyttjandelagen upphävs, till följd av att bestämmelser om ärendehantering och vidareutnyttjande av information överförs till informationshanteringslagen.
Den föreslagna lagens 1 kap. föreskriver dess allmänna bestämmelser, vilka inför en förnyelse av terminologin i lagstiftningen om allmän informationshantering. Det är nödvändigt att definiera viktiga definitioner i lagen, då detta möjliggör en enhetlig tillämpning av en etablerad terminologi, samt återknytande till informationshanteringslagens begrepp i speciallagstiftning och förordning. Definitionerna syftar vidare till att vara allmänna och etablerade, med tanke på den framtida teknikutvecklingens behov av flexibilitet. Avsikten är vidare att i den föreslagna lagen använda sådana begrepp som inte binder eller styr lagtillämpningen exempelvis utifrån en viss terminologi, vilken hänför sig till en viss yrkeskår och ett visst förfarande. Vidare övertas definitionerna från vidareutnyttjandelagen oförändrade, i syfte att bibehålla ett korrekt genomförande av bakomliggande öppna-datadirektivet. I begreppsapparaten beaktas vidare terminologin i Europeiska unionens allmänna dataskyddsförordning.
I den föreslagna lagens 2 kap. föreskrivs om den allmänna styrningen och ordnandet av informationshanteringen inom den offentliga förvaltningen, vilken avser landskapsregeringens styrning. Landskapsregeringen kommer därmed att tilldelas ett tydligt ansvar att styra utvecklingen av informationshanteringen och interoperabiliteten mellan informationssystem och informationslager samt anordnandet och produktionen av gemensamma informations- och kommunikationstekniska tjänster. Landskapsregeringen tilldelas vidare verktyg i form av bemyndigande avseende utfärdande av allmänna riktlinjer och förordningar om informationshantering och interoperabilitet, samt den underförstådda möjligheten till tillsättande av formella samarbets- och styrorgan samt projekt. Det nya styrningsansvaret och verktygen för informationshanteringen kompletterar den styrnings- och tillsynsfunktion som redan idag tillkommer landskapsregeringen och dess landskapsarkiv genom arkivlagstiftningen. Vidare förutsätts myndigheterna att som huvudregel använda de gemensamma informations- och kommunikationstekniska tjänster som landskapsregeringen har utpekat och föreskrivit om minimianvändning av genom förordningsbemyndigandet. Vid undantag ska landskapsregeringens godkännande inhämtas. Kommunala myndigheter undantas dock från skyldigheter vilka påförs myndigheter enligt förordningsbemyndigandena i lagens 4 och 5 §§, mot bakgrund av att de inte kan påföras nya skyldigheter annat än i lag.
I den föreslagna lagens 3 kap. föreskrivs om informationssäkerhet, vilket syftar till att inom offentlig förvaltning etablera en allmän så kallad hygienreglering avseende informationssäkerhet, vilken i dagsläget helt saknas. Syftet med regleringen är att säkerställa att den offentliga förvaltningen på Åland uppfyller samma grundläggande krav på informationssäkerhet. Dessa krav främjar samhällets övergripande informationssäkerhetsnivå samtidigt som de åstadkommer en förenkling av utbytet och samarbetet mellan myndigheterna till följd av att de alla ska upprätthålla samma nivå av säkerhet. Vidare föreslås i en bestämmelse en skyldighet för en myndighet att utreda risker som hänför sig till behandlingen av informationsmaterial, utnyttjandet av informationssystem och verksamhetens kontinuitet. Vidare ska en myndighet utan dröjsmål informera dem som utnyttjar myndighetens informationsmaterial om sådana störningar i myndighetens informationshantering vilka utgör ett hinder, eller hotar utgöra ett hinder, för informationsmaterialens tillgänglighet, i enlighet med den föreslagna 3a § i lagen om digitala tjänster, se punkten 3.4 nedan.
I den föreslagna lagens 4 kap. föreskrivs om skapande och elektronisk överföring av informationsmaterial. Avsikten med regleringen är att täcka in de krav som uppkommer genom de olika behoven i samband med informationshanteringen, exempelvis på grund av offentlighetsprincipen, kraven på en effektiv organisering av verksamheten och skyddet av personuppgifter. Avsikten med bestämmelserna om planering är att effektivisera och förbättra en kvalitativ hantering av informationen under hela dess livscykel samt utnyttjandet av informationen mellan olika organisationers förvaltningsförfaranden. Enligt regleringen ska bland annat myndigheters uppgifter samt data, information och uppgifter i myndighetshandlingar och informationsmaterial, vilka kräver särskild hantering utifrån informationssäkerhetsaspekter identifieras. Informationsmaterial föreslås i första hand hanteras i elektronisk form, vilket dock inte betyder att informationen ska arkiveras elektroniskt, utan handlingar och information som ska förvaras längre än 10 år eller varaktigt ska fortsättningsvis arkiveras i fysisk form i enlighet med arkivlagstiftningen. Föreslaget syftar till att i ett första skede övergå till en mer effektiv digital förvaltning, vilket i ett senare skede kan möjliggöra elektronisk arkivering, när ett elektroniskt mellanarkiv och slutarkiv finns på plats. Användningen av tekniska gränssnitt vid informationsutbytet mellan myndigheter ska enligt den föreslagna regleringen vara det huvudsakliga sättet för överföring av information mellan myndigheter. Landskapsregeringen tillförs även ett bemyndigande att genom förordning föreskriva närmare regler om bedömningen av informationssäkerheten i myndigheters informationssystem och datakommunikation. Krav på loggning och kontroll av användarrättigheter föreslås, med hänvisning till informationssäkerheten.
I den föreslagna lagens 5 kap. föreskrivs om ärendehantering, vari fastställs förfarandena och kraven när det gäller anteckningar i ärenderegister, registrering av handlingar och ärenden samt om myndighetens skyldighet att se till att offentliga anteckningar i ärenderegister eller dess delar kan användas för produktion av information som gör det möjligt att specificera begäran om information. Genom enhetliga förfaranden främjas informationshanteringens kvalitet och förverkligandet av offentlighetsprincipen.
I den föreslagna lagens 6 kap. föreskrivs om införande och användning av automatiserade beslutsförfaranden, vilket beskrivs närmare under punkten 3.5 nedan.
I den föreslagna lagens 7 kap. föreskrivs om användningen av kakor på den offentliga förvaltningens webbplatser, vilket beskrivs närmare under punkten 3.4. nedan.
I den föreslagna lagens 8 kap. föreskrivs om vidareutnyttjande av information från offentlig förvaltning, vilket motsvarar bestämmelserna i vidareutnyttjandelagen och innebär ett genomförande av öppna data-direktivet.
I den föreslagna lagens 9 kap. föreskrivs särskilda bestämmelser om ikraftträdande och övergångsbestämmelser.
3.2 Ny reglering om tillhandahållande, planering och underhåll av digitala tjänster och användaridentifiering
Landskapsregeringen föreslår att det inom ramen för landskapslagen om digitala tjänster införs ett nytt kapitel med tre nya bestämmelser, 1a kap. jämte 3a-c §§, om planeringen av underhåll av digitala tjänster respektive användaridentifiering, samt att det införs ett antal nya definitioner i dess 2 §, i huvudsak hänförliga till regleringen av användaridentifieringsteknik.
Syftet med bestämmelserna är att den offentliga förvaltningen ytterligare ska kunna dra nyttja av digitaliseringens fördelar och skapa en effektivare offentlig förvaltning genom utökad elektronisk kommunikation, vilken dessutom ska göras mer tillgänglig för allmänheten. Planeringen och underhåll av digitala tjänster, samt information om underhåll, är i dagens digitaliserade samhälle av stor betydelse för enskilda medborgare. Detsamma gäller frågan om identifiering av användare av den offentliga förvaltningens digitala tjänster, vilken med en ökad tillgång till tekniska gränssnitt för åtkomst av information har aktualiserats på ett helt annat sätt än tidigare.
I 3a § införs en skyldighet för myndigheterna att planera och underhålla sina digitala tjänster på ett sådant sätt att tjänsternas informationssäkerhet och dataskydd säkerställs och så att det säkerställs att tjänsterna är lätta att hitta och använda. Dessutom ska myndigheterna se till att deras digitala tjänster är kompatibla med den programvara och de kommunikationsförbindelser som används allmänt. Vidare ska myndigheterna på lämpligt sätt informera om avbrotten och vid behov offentliggöra anvisningar om hur var och en kan få sina ärenden skötta på ett alternativt sätt.
I 3b § införs en skyldighet för myndigheterna bestämmelser att tillhandahålla digitala tjänster för elektronisk kommunikation med myndigheten samt därmed sammanhängande rådgivning, i den mån de har teknisk, ekonomisk och övrig förmåga till detta.
I 3c § införs en möjlighet för myndigheterna att kräva elektronisk identifiering av en användare av digitala tjänster, dock endast om det behövs för att säkerställa användarens åtkomsträttigheter i anslutning till en tjänst eller dess datainnehåll eller på grund av rättsverkningarna av en åtgärd som utförs i tjänsten.
3.3 Ny reglering om elektronisk kommunikation i förvaltningsärenden
Landskapsregeringen föreslår att det inom ramen för 9 kap. förvaltningslagen införs nya och mer utförliga bestämmelser om principerna för användningen av elektronisk kommunikation.
Syftet är att den offentliga förvaltningen ytterligare ska kunna dra nyttja av digitaliseringens fördelar och skapa en effektivare offentlig förvaltning, vilken även därigenom blir mer tillgänglig för medborgarna. I dagsläget kan elektronisk delgivning endast användas vid den enskildas samtycke till att sådan används. Förslaget inför nya grundprinciper för när elektronisk kommunikation ska användas som utgångspunkt, vilket förväntas leda till ett starkt utökat bruk av elektronisk kommunikation och delgivning till enskilda i förvaltningsärenden.
I 58 § införs en ny huvudregel om elektronisk delgivning av samtliga handlingar till parter, vilka genom ett elektroniskt webbformulär eller elektronisk post antingen har inlett sitt ärende hos myndigheten elektroniskt, i annat skede har kontaktat myndigheten genom elektronisk post eller vid annan kontakt med myndigheten har uppgivit en elektronisk postadress, ska ske genom elektronisk delgivning. Elektroniska meddelanden till parter ska skickas till den elektroniska postadress som parten själv har uppgivit vid kommunikation med myndigheten i ärendet och, för det fall att någon sådan inte har uppgivits, till den elektroniska postadress som parten nyttjade vid sin senaste kontakt med myndigheten i ärendet. En enskild part har dock en ovillkorlig rätt att när som helst meddela att denna vid framtida delgivning i ärendet, vid särskilt delgivningstillfälle eller under särskild period, inte önskar att delges handlingar från myndigheten elektroniskt, vilket ska föranleda att återstående delgivning i ärendet i stället ska ske per post. I 58a § föreskrivs att delgivning till myndigheter som huvudregel ska ske genom elektronisk delgivning.
Därutöver införs hänvisningar till 58 och 58a §§ i de befintliga bestämmelserna om bevislig och vanlig elektronisk delgivning, vars innehåll överförs till nya 58b och 58c §§.
3.4 Ny reglering om användningen av kakor på den offentliga förvaltningens webbplatser
Landskapsregeringen föreslår vidare att den föreslagna informationshanteringslagen ska innehålla en bestämmelse i ett särskilt kapitel, 7 kap., om användningen av kakor på den offentliga förvaltningens webbplatser. Bestämmelsen utgör ett genomförande av artikel 5.3 i e-dataskyddsdirektivet.
Syftet med bestämmelsen är att enhetliggöra användandet av kakor på den offentliga förvaltningens webbplatser samt att tillförsäkra användares rätt till integritet och konfidentialitet vid användning av myndigheternas digitala tjänster.
Myndigheter får registrera kakor eller annan information om användning av digitala tjänster på användarens terminalutrustning och använda informationsmaterialet, om användaren har gett sitt samtycke till detta, under förutsättningen att myndigheten har givit användaren begriplig och fullständig information om syftet med registreringen och användningen. Registrering och användning enligt bestämmelsen är tillåten endast i den omfattning som tjänsten kräver och får inte begränsa integritetsskyddet mer än vad som är nödvändigt.
3.5 Ny reglering om automatiserade beslutsförfaranden
Landskapsregeringen föreslår att det inom ramen för förvaltningslagen och informationshanteringslagen införs särskilda kapitel med bestämmelser om automatiserade beslutsförfaranden. Syftet är att reglera införandet och användandet av automatiserade beslutsförfaranden i offentlig förvaltning. Målsättningen är att Åland, när den tekniska utvecklingen är mogen inom respektive verksamhetsområde, ska kunna dra full nytta av digitaliseringens och automatiseringens fördelar.
Den gällande förvaltningslagen utarbetades under en tid då utgångspunkten var att en tjänsteman beredde, behandlade och avgjorde ärenden. Förvaltningslagens förfarandereglering är vidare i huvudsak till karaktären teknikneutral. Det föreslagna 8a kap. i förvaltningslagen bildar tillsammans med de föreslagna bestämmelserna i 6 kap. informationshanteringslagen en uttrycklig rättsgrund för införandet av automatiserade beslutsförfaranden i förvaltningsärenden. Det handlar därmed om så kallad möjliggörande lagstiftning. Införandet av automatiserade beslutsförfaranden, där så är tekniskt möjligt och rättsäkerhetsmässigt försvarbart, lämnas till den enskilda myndighetens övervägande.
Den föreslagna regleringen är i huvudsak inte avsedd att avvika från den existerande regleringen av förvaltningsförfarandet. Exempelvis bestämmelserna om utredning av ärenden, hörande av parter samt innehållet i förvaltningsbeslut, motivering av förvaltningsbeslut, rättelse av fel, besvärsanvisning och delgivning blir följaktligen tillämpliga även vid automatiserade beslutsförfaranden, om inte något annat bestäms i speciallagstiftning. Även grunderna för god förvaltning enligt 2 kap. förvaltningslagen ska fortsatt iakttas i myndigheternas automatiserade verksamhet. Myndigheterna ska alltså beakta dessa skyldigheter och övriga skyldigheter i speciallagstiftningen vid planeringen av, införandet och användandet av automatiserade beslutsförfaranden. Kraven enligt föreslagna 8a kap. förvaltningslagen utgör därmed tilläggskriterier avseende förfarandet vid behandling av ärenden när dessa avgörs i ett automatiserat beslutsförfarande.
Målsättningen är att de bestämmelser som föreslås i förvaltningslagen och informationshanteringslagen ska fungera som en allmän reglering, med stöd av vilken myndigheterna över lag kan fatta automatiserade avgöranden, när de lagenliga förutsättningarna uppfylls, utan att det behövs särskilda bestämmelser om automation i särskild speciallagstiftning. Utöver den allmänna lagstiftningen om automation ska myndigheterna således även beakta den övriga materiella lagstiftningen i den enskilda frågan som avgörs. Det kan därvid vara tal om materiell lagstiftning, vilken ger myndigheterna förvaltningsbehörighet, reglering av förvaltningsförfarandet, dataskyddslagstiftning och annan reglering som syftar till att trygga de grundläggande rättigheterna.
Den föreslagna regleringen har avgränsats till att gälla automatiserade avgöranden av förvaltningsärenden. Regleringen hänför sig därmed inte till andra faser av ärendebehandlingen såsom utredning av ärenden eller hörande av parter, utan dessa åtgärder kan myndigheterna alltjämt organisera på det sätt som de anser mest lämpligt. Den föreslagna regleringen hindrar följaktligen inte handläggare från att använda automatiserade beslutsstöd för andra behandlingsfaser i ett förvaltningsärende, eller för att ta fram ett beslutsutkast. Även vid sådan automation bör myndigheten dock beakta den övriga reglering som ingår i förvaltningslagen, speciallagstiftning och eventuell dataskyddsreglering.
I kombination med föreslagna 8a kap. i förvaltningslagen bildar 6 kap. i informationshanteringslagen en allmän regleringshelhet för automatiserat beslutsfattande, vilken ska säkerställa att kraven på god förvaltning tillgodoses, att tjänsteansvaret riktas, beslutsfattandet är transparent samt kontrollerna tillräckliga.
I 8a kap. förvaltningslagen föreskrivs bestämmelser om det tillåtna användningsområdet och rättsskyddsförutsättningen för automatiserat avgörande av ärenden. Enligt förslagen kan en myndighet avgöra ett ärende automatiserat, när det i ärendet inte ingår omständigheter, vilka myndigheten förutsätter prövning från fall till fall, eller, när de i ärendet ingående omständigheter som förutsätter prövning från fall till fall har bedömts av en tjänsteman, eller någon annan som handlägger ärendet. Automatiserade avgöranden ska grundas på behandlingsregler, vilka har utarbetats med stöd av tillämplig lag. Ett ärende som gäller begäran om rättelse eller ett jämförbart rättsmedel får inte avgöras automatiserat. Som rättsskyddsförutsättning för automatiserat avgörande föreslås att den fysiska person som är föremål för beslutet ska ha tillgång till en begäran om rättelse enligt 7 kap. förvaltningslagen eller ett jämförbart avgiftsfritt rättsskyddsmedel.
I förvaltningslagen föreslås vidare bestämmelser om myndighetens skyldighet att meddela en part om att ett ärende har avgjorts automatiserat och, om parten inte ges ett förvaltningsbeslut, de uppgifter som ligger till grund för avgörandet. I ärenden som har avgjorts automatiserat behöver inte namnet på den person anges av vilken en part vid behov kan begära ytterligare uppgifter om beslutet.
Regleringsobjektet i 6 kap. informationshanteringslagen är automatiserade beslutsförfaranden, vilka definieras i 1 kap. definitioner i lagen som en verksamhetsprocess där ett ärende avgörs automatiserat på det sätt som avses i 48a § i förvaltningslagen. 7 kap. innehåller flera skyldigheter som riktar sig till de myndigheter som utvecklar och använder automatiserade beslutsförfaranden. På det sättet skapas en kedja av tjänsteansvar som omfattar de centrala personer som medverkar i utvecklingen, införandet och övervakandet av automatiserade beslutsförfaranden.
En myndighet ska se till att automatiserade beslutsförfaranden samt deras behandlingsregler dokumenteras på ett lämpligt och täckande sätt och ska genom kvalitetssäkring säkerställa att de överensstämmer med kraven. En särskild ansvarsperson ska utses för att säkerställa överensstämmelsen med kraven. Myndigheten ska också sörja för kvalitetskontrollen av automatiserade beslutsförfaranden, vilket ska omfatta att nödvändiga uppgifter sparas om det automatiserade beslutsförfarandet och en person utses för att ansvara för kvalitetskontrollen.
Myndigheten ska utan dröjsmål vidta korrigerande åtgärder vid upptäckt av fel i det automatiserade beslutsförfarandet. Utifrån en riskbedömning ska myndigheten vidare se till att det genom lämpliga tekniska åtgärder säkerställs att de uppgifter som används i automatiserade avgöranden är uppdaterade och felfria. För att säkerställa transparensen ska myndigheten offentliggöra beslutet om införande på sin webbplats samt på webbplatsen informera om ärenden som avgörs automatiserat, om grunderna för att använda ett automatiserat beslutsförfarandet och om annat som är viktigt med tanke på de enskildas rättigheter.
Innan ett automatiserat beslutsförfarande tas i bruk ska myndigheten fatta ett beslut om införande där grunderna för införandet av verksamhetsprocessen framförs och den huvudsakliga dokumentationen som beskriver processen ingår.
3.6 Följdjustering av offentlighetslagen
I samband med informationshanteringslagens övertagande av bestämmelserna om ärendehantering och omvandling till elektroniskt format i 8 § 1–5 mom. i offentlighetslagen förtydligas och utvidgas den i paragrafen kvarvarande regleringen av anteckning om sekretessbeläggning. En uttrycklig hänvisning till den ändrade 8 § införs även samtidigt i 23 § 4 mom. 1 men., enligt vilken en anteckning om sekretessbeläggning utgör en förutsättning för utlämnande av sekretessbelagda uppgifter.
4. Lagstiftningsbehörighet
Enligt 18 § 1 punkten i självstyrelselagen har landskapet lagstiftningsbehörighet i fråga om lagtingets organisation och uppgifter samt landskapsregeringen och under denna lydande myndigheter och inrättningar. Enligt 121 § i grundlagen är Finland indelat i kommuner, vilkas förvaltning ska grunda sig på självstyrelse för kommunens invånare. Enligt 121 § 2 mom. i grundlagen utfärdas bestämmelser om de allmänna grunderna för kommunernas förvaltning och om uppgifter som åläggs kommunerna genom lag. Enligt 18 § 4 punkten i självstyrelselagen har landskapet lagstiftningsbehörighet i fråga om kommunernas förvaltning.
Enligt 18 § 14 punkten i självstyrelselagen har landskapet vidare lagstiftningsbehörighet över arkivväsendet. Enligt 30 § 17 punkten i självstyrelselagen får arkivalier härrörande från statsmyndigheter som är verksamma i landskapet föras bort från landskapet endast efter samråd med landskapsregeringen.
Grundlagsutskottet har i sitt utlåtande, se GrUU 46/2010 rd, konstaterat att enligt den etablerade tolkningspraxisen som gäller 121 § i grundlagen avser man med den i grundlagen skyddade kommunala självstyrelsen att kommuninvånarna har rätt att besluta om bland annat sin kommuns förvaltning och ekonomi. Enligt grundlagsutskottets praxis inbegriper självstyrelsen bland annat rätt för kommuninvånarna till förvaltningsorgan som de själva har valt och det går inte att genom vanlig lag göra sådana ingrepp i självstyrelsens mest centrala särdrag att den urholkas i sak, se GrUU 37/2006 rd, GrUU 22/2006 rd och GrUU 65/2002 rd. Det har dock ansetts tillåtet att stifta lagar i vanlig lagstiftningsordning om olika skyldigheter för kommuner att bedriva samarbete, se GrUU 37/2006 rd och däri hänvisad praxis samt nyligen GrUU 67/2014 rd och GrUU 75/2014 rd. Sättet att genomföra samarbetsmodeller får dock i ett helhetsperspektiv inte strida mot demokratiprincipen eller finansieringsprincipen. Omfattningen av en eventuell överföring av uppgifter samt dess inverkan på kommunernas förvaltning och demokratiprincipen samt på grunderna för kommunernas självstyrelse ska beaktas, se Högsta domstolens utlåtande gällande Ålands lagtings beslut av den 16 september 2015 om antagande av landskapslagen om en kommunalt samordnad socialtjänst och vissa landskapslagar i anknytning till den.
Det är klart att det i någon mån inkräktar på den kommunala självstyrelsen om kommuner genom lag förpliktigas till att sköta sin informationshantering på ett visst sätt. Den överföring av självstyrelse från kommunerna det nu är fråga om gäller dock enbart ett tämligen begränsat och tekniskt område av självförvaltningen och fråntar inte kommuner deras rätt till självständigt beslutsfattande om sin ekonomi.
Enligt 6 § i grundlagen är alla lika för lagen. Enligt 7 § har alla rätt till liv, personlig frihet, integritet och trygghet. Enligt 10 § är vars och ens privatliv, heder och hemfrid tryggade. Enligt 21 § i grundlagen har vidare var och en har rätt att på behörigt sätt och utan ogrundat dröjsmål få sin sak behandlad av en domstol eller någon annan myndighet som är behörig enligt lag samt att få ett beslut som gäller hans eller hennes rättigheter och skyldigheter behandlat vid domstol eller något annat oavhängigt rättskipningsorgan. Offentligheten vid handläggningen, rätten att bli hörd, rätten att få motiverade beslut och rätten att söka ändring samt andra garantier för en rättvis rättegång och god förvaltning ska tryggas genom lag. Enligt 22 § i grundlagen ska det allmänna se till att de grundläggande fri- och rättigheterna och de mänskliga rättigheterna tillgodoses.
Grundlagsutskottet har understrukit att det är viktigt med en tydlig reglering när det finns kopplingar till de grundläggande fri- och rättigheterna och som gäller fysiska personers normala dagliga aktiviteter, se stycke 12 i GrUU 70/2022 rd, s. 3 i GrUU 45/2016 rd, och s. 4 i GrUU 41/2006 rd, s. 4. Grundlagsutskottet har i sin tidigare praxis i fråga om behandling av personuppgifter understrukit den allmänna lagbundenheten och framhållit att kravet på lagbestämmelser gäller också möjligheten att ge ut uppgifter via en teknisk anslutning, se s. 2/II i GrUU 71/2014 rd och s. 5/I i GrUU 12/2002 rd. Grundlagsutskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet, se GrUU 13/2016 rd och s. 3/I i GrUU 14/2009 rd. Skyddet för privatlivet och personuppgifter bör stå i proportion till andra grundläggande och mänskliga rättigheter samt till andra vägande samhälleliga intressen som allmän säkerhet, som i extrema fall kan gå tillbaka på den personliga säkerheten som grundläggande rättighet, se s. 2/II GrUU 5/1999 rd. Lagstiftaren ska garantera skyddet för privatlivet och personuppgifter på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna, se s. 3 i GrUU 73/2018 rd. Grundlagsutskottet har vidare avgett utlåtanden i samband med rikets förslag till dess informationshanteringslag, RP 284/2018, och om införandet av automatiserade beslutsförfaranden, RP 145/2022, se GrUU 73/2018 rd och GrUU 81/2022 rd, avseende motsvarande reglering i riket.
Det huvudsakliga syftet med föreslagen informationshanteringslagstiftning har är att bättre tillvarataga och förverkliga de i grundlagen garanterade rättigheterna för medborgarna på Åland, genom åstadkommandet av en mer enhetlig och informationssäker informationshantering inom landskapets offentliga förvaltning. Särskild vikt läggs vid att genom reglering höja kvalitetsnivån på den offentliga informationshanteringen, på att sådant sätt att den tryggar en jämlik, rättssäker och god offentlig förvaltning på Åland. Därut-över har särskild uppmärksamhet lagts på att, genom en tydlig reglering av kraven för informationssäker informationshantering och elektronisk informationsöverföring samt automatiserade beslutsförfaranden, säkerställa de enskildas rättigheter avseende integritet, trygghet och konfidentialitet vid den offentliga förvaltningens nyttjande av automatiserade beslutsförfaranden, dess informationshantering i allmänhet samt tillhandahållandet av digitala tjänstelösningar till allmänheten. Landskapsregeringen bedömer därmed att föreslagen lagstiftning i tillräcklig mån har beaktat de krav och begränsningar för det offentliga maktutövandet i förhållande till enskildas rättigheter som grundlagen har uppställt.
Landskapsregeringen anser sammantaget att föreslagen lagstiftning därmed bör anses falla inom landskapets lagstiftningsbehörighet och vara förenlig med Finlands grundlag.
5. Förslagets verkningar
5.1 Allmänt
Den föreslagna informationshanteringslagens syfte är att säkerställa en enhetlig, kvalitativ och informationssäker behandling av myndigheternas information. Undersökningar i exempelvis Sverige, där frågan inte allmänt har reglerats som i riket, har visat att många aktörer inom offentlig sektor har önskat ett tydligare regelverk, anvisningar och stöd för hur information ska hanteras. Arbetsgruppens höranden har vidare indikerat att det finns en liknande efterfrågan av ett tydligare regelverk rörande informationshantering inom den åländska offentliga förvaltningen. Det finns redan i dagsläget speciallagstiftning som reglerar informationshantering och i EU:s dataskyddsförordning regleras hanteringen av personuppgifter särskilt. Även i förhållande till de bestämmelser som redan finns förväntas det underlätta den offentliga förvaltningens skötande av sina uppgifter att det finns en allmän lag som samlar de grundläggande bestämmelserna om myndigheternas informationshantering och informationssäkerhet. Det är helt klart att den föreslagna lagstiftningen innebär en utökad reglering, samtidigt som detta av landskapsregeringen anses nödvändigt. Vidare bedömer landskapsregeringen att dess målsättningar inte är möjliga att uppnå med alternativa metoder. Utökade lagkrav kan vidare underlätta för myndigheterna att ställa tydligare och högre krav på leverantörer av informations- och kommunikationstjänster, samtidigt som en gemensam lägstanivå möjliggör ett utökat utbyte av kunskap och information relevant för skötandet av myndigheternas uppgifter. Lagstiftningen förväntas dock innebär en viss merkostnad för landskaps- och kommunala myndigheter, åtminstone en initial sådan vid ikraftträdandet.
När det gäller den självstyrelsemässiga aspekten innebär inte föreslagen lagstiftning något slutgiltigt avgörande i frågan om uppkoppling till rikets olika informationssystem. Strukturellt föreslås dock den åländska lagen efterlikna rikets informationshanteringslag i de delar som avser informationssäkerhet och skapande och elektronisk överföring av informationsmaterial, i syfte att möjliggöra en utökad interoperabilitet med rikets informationssystem och informationslager. Lagstiftningen föreslås samtidigt vidare skilja sig från rikslagstiftningen på flera viktiga områden, hänförliga främst till det som landskapsregeringen har betraktat som onödigt betungande administrativa förfaranden och kontroller. Emellertid är den enda möjligheten för Åland att i framtiden avvika från rikets digitala lösningar och skapa anpassade särlösningar att det finns både en teknisk och lagstiftningsmässig kunskap inom området på Åland, vilket gynnas av förslaget.
Förslagen om myndigheternas tillhandahållande, planering, underhåll och information av avbrott avseende digitala tjänster samt elektronisk identifiering utvidgar myndigheternas skyldigheter och möjligheter avseende deras digitala tjänster, i syfte att ytterligare förbättra allmänhetens tillgänglighet och myndigheternas service. Bedömningen är att bestämmelserna inte innebär några större negativa konsekvenser för myndigheternas rutinmässiga verksamhet, då en stor del av kraven redan kan ses som självklara i myndigheternas digitala utvecklingsarbete och en del skyldigheter är ambitionsmässiga och andra kan uppfyllas på teknisk väg. Likväl är det viktigt att säkerställa en enhetlig tillgänglighets- och servicenivå på myndigheternas digitala tjänster, varför regleringen behövs.
Förslagen om elektronisk kommunikation och automatiserade beslutsförfaranden förväntas vidare bidra till en mer effektiv och tillgänglig offentlig förvaltning, vilken på ett mer resurseffektivt sätt såväl kan hantera enskildas ärenden som genomföra handlingsoffentligheten. Elektronisk kommunikation förväntas vidare innebära en miljövinst till följd av minskad papperskorrespondens, minskade kostnader för myndigheternas administration och ett försnabbat förvaltningsförfarande.
5.2 Ekonomiska verkningar
Under de senaste åren har ett flertal olika typer av cyberattacker drabbat åländska mål. Detta har i dagsläget inte orsakat några allvarligare störningar i myndigheternas tjänster, men det är likväl viktigt att arbeta preventivt för att så inte ska ske. Cyberattacker kan både få allvarliga konsekvenser, för såväl myndigheter som enskilda, samt i slutändan bli mycket kostsamma. Även om den föreslagna lagstiftningen därför inledningsvis förväntas innebära mer kostsamma administrativa och tekniska processer, så fråntar inte det behovet av att prioritera informationssäkerheten. På längre sikt kan en ökad samordning och interoperabilitet, parat med ett mer effektivt förhindrande av systemstörningar, innebära en mer effektiv förvaltning som i sin tur verkar kostnadssänkande. Det är vidare klarlagt att det på Åland, liksom i riket, behöver ske en långsiktigt och i vissa fall även stegvis implementering av lagstiftningen. Det kan inte heller betonas tillräckligt hur viktigt det är att de mer detaljerade allmänna riktlinjerna som landskapsregeringen antar behöver utformas och anpassas utifrån åländska behov.
Under remissförfarandet har flera aktörer påpekat att avsaknaden av lagstiftning försvårar myndigheternas budgetering, eftersom det i dagsläget inte finns några faktiska lagkrav att förhålla sig. En modell som fortsatt skulle bygga på frivillighet i förhållande till lagkrav skulle kunna leda till stora skillnader i myndigheternas informationshantering, såväl i effektivitets- som kvalitets- och säkerhetshänseende. Enligt förarbetena till rikets informationshanteringslag bedömdes informationssäkerhetskraven kräva 0,5–1 årsverken, och utbildningsinsatserna 0,5–5 årsverken, för en kommun i resursåtgång, beroende på kommunens storlek.
Aktuellt lagförslag innehåller betydligt färre krav på myndigheterna, inbegripande olika administrativa förfaranden och verksamhetsprocesser, än motsvarande lagstiftning i riket och förväntas därmed vara mindre kostnadsdrivande. Myndigheterna på Åland har vidare, till följd av sina nära och personliga samarbeten, stora möjligheter att minska den ekonomiska belastningen genom exempelvis gemensamt införskaffande och förvaltande av moderna och säkra informationssystem samt utbildningsinsatser och tjänster. Ett samordnat förfarande kan även förväntas att minska den administrativa, tekniska och resursmässiga bördan och att öka tillvaratagandet av kunskap och kompetensdelning.
Sammantaget bedömer landskapsregeringen, vid en grov och preliminär uppskattning, att den, närmare bestämt dess digitaliseringsenhet samt Landskapsarkivet, kommer att drabbas av de största ekonomiska verkningarna av förslaget. Detta till följd av landskapsregeringens i lagförslaget ålagda uppdrag att styra interoperabiliteten och anordnande av gemensamma informations- och kommunikationstjänster på Åland samt Digitaliseringsenhetens och Landskapsarkivets såväl interna som externa stödfunktion. Digitaliseringsenheten bedöms i enlighet därmed behöva tillföras personal motsvarande åtminstone ett årsverke till följd av föreslagen lagstiftning. För närvarande pågår redan ett informationssäkerhetsprogram vid enheten, vilket har inneburit ökade kostnader om omkring 150 000–200 000 euro per år för landskapsregeringen. En stor del av dessa ökade kostnader utgörs av konsultkostnader och hade därmed kunnat överföras direkt till finansiering av ny personal. Informationssäkerhetsprogrammet har vidare inneburit att ett behov av införskaffande av nya informations- och informationssäkerhetssystem har identifierats, om omkring 300 000–400 000 euro per år för landskapsregeringen.
Utöver de ekonomiska konsekvenser som träffar landskapsregeringen, enligt ovan, bedöms övriga landskaps- och kommunala myndigheter, för det fall att det sker en landskapsgemensam samordning av genomförandeprocessen, kräva ytterligare omkring 5–8 tillkommande årsverken för att få till stånd ett införande, upprätthållande samt efterlevnad av skyldigheterna i föreslagen informationssäkerhets- och interoperabilitetslagstiftning, inkluderat utbildningsinsatser. Därutöver kan kostnader för införskaffande och driftsättande av nya informations- och informationssäkerhetssystem förväntas tillkomma om omkring 300 000–400 000 euro per år. Totalt beräknas därmed landskapet, vid en samordnad genomförandeprocess, belastas med omkring 6–9 nya årsverken och omkring 600 000–800 000 euro per år, de fem första åren, i kostnader, för att därefter gradvis minska till ungefär hälften inom 10 år.
För det fall att en myndighet inte över huvud taget samverkar eller samordnar sitt genomförande med andra myndigheter förväntas i stället en genomsnittlig myndighet behöva åtminstone ett årsverke för att få till stånd ett införande, upprätthållande samt efterlevnad av skyldigheterna i föreslagen informationssäkerhets- och interoperabilitetslagstiftning, inkluderat utbildningsinsatser. Vidare kan en genomsnittlig myndighet därutöver förväntas drabbas av kostnader för införskaffande och driftsättande av nya informations- och informationssäkerhetssystem om omkring 100 000–200 000 euro per år. Totalt uppskattas därmed landskapet, vid en helt icke-samordnad genomförandeprocess, belastas med omkring 20–30 nya årsverken och omkring 2 000 000–4 000 000 euro per år, de fem första åren, i kostnader, för att därefter gradvis minska till ungefär hälften inom 10 år.
Landskapsregeringens påförda styrning av interoperabiliteten samt anordnandet och produktionen av gemensamma informations- och kommunikationstekniska tjänster förväntas generellt innebära en större kostnadsminskning för landskapets samlade offentliga förvaltning. Genom en centralt styrd samordning av utvecklingen av informations- och kommunikationstekniska lösningar för den offentliga förvaltningens olika behov förväntas främst synergieffekter i form av minskat antal offentliga upphandlingar och priserna på inköpta informations- och kommunikationstekniska tjänster kraftigt att gå ner. Fördelningen av de kostnader som slutligen uppstår för olika tjänster och system kan sedan antingen bäras av landskapsregeringen eller fördelas på de olika berörda myndigheterna enligt olika nyckeltal eller användaravgifter.
Sammanfattningsvis blir därmed landskapsregeringens förmåga att förvalta det påförda centrala styrningsansvaret avseende informationshanteringen samt anordnandet och produktionen av gemensamma informations- och kommunikationstekniska tjänster inom den offentliga förvaltningen på Åland centralt för utkomsten av lagförslagets ekonomiska verkningar.
De ekonomiska konsekvenserna av förslagen om tillhandahållande, planering, underhåll och information vid underhåll samt elektronisk användaridentifiering förväntas dock vara ringa. Myndigheterna arbetar redan idag med att i allt högre grad tillhandahålla digitala tjänster och att tillgängliggöra dessa. Det är vidare enbart av särskilda skäl som myndigheterna förväntas använda sig av elektronisk användaridentifiering. En stor del av de myndigheter som behöver använda sig av elektronisk identifiering har därutöver redan den typen av infrastruktur på plats, vilket gör att kostnader för anordnande av nödvändig infrastruktur inte kan förväntas tillkomma i annat än ringa omfattning.
Förslagen om utökad elektronisk kommunikation och delgivning förväntas vidare att minska den tid och de resurser som i dagsläget läggs ner på att hantera manuella pappers- och postförfaranden, samtidigt som de direkta kostnaderna för den traditionella posthanteringen kan förväntas minska i korresponderande takt. Myndigheterna har yttermera redan i dagsläget de elektroniska kommunikationskanaler som krävs för en helt elektronisk kommunikation i förvaltningsärenden, varför förslagen inte bör innebära några kostnadsökningar alls.
Förslaget om automatiserade beslutsförfaranden förväntas på sikt bidra till en mer effektiv och tillgänglig offentlig förvaltning, vilket därmed förväntas leda till ett frigörande av resurser, till följd av att personalresurser kan allokeras till annat än monotona beslutsuppgifter, ofta innebärande uppgiftskontroll vid vanligt förekommande typfall.
5.3 Verkningar för myndigheterna
Den föreslagna lagstiftningen innebär bland annat inte att definitionen av vad som ska anses vara en myndighetshandling utvidgas, utan förslaget inriktar sig på hur myndigheters information ska hanteras. Trots att en del av kraven i förslaget är nya pågår ett informationssäkerhetsarbete, av varierande kvalitet och ambition, hos myndigheterna redan i dagsläget. Syftet med förslaget är dock att förenhetliga det här arbetet, i syfte att all myndighetsinformation inom landskapet ska hanteras på ett likvärdigt och informationssäkert sätt. Säkerhetsnivån för hanteringen av den information som landskaps- och kommunala myndigheter hanterar ska således inte vara beroende av att det finns ett särskilt engagemang eller en hög eller låg ambitionsnivå vid en viss myndighet. Mer enhetligare krav än i dagsläget förväntas även underlätta för myndigheterna att, i högre utsträckning än i dagsläget, samarbeta kring informationshanteringsfrågor och därmed finna synergieffekter.
Den föreslagna lagstiftningens högre krav kan vidare förväntas leda till att myndighetsledningarna tar frågorna om informationshantering, informationssäkerhet och digitalisering på allvar och därmed tillser att ansvar och resurser allokeras för detta arbete.
Landskapsregeringen föreslås få ett tydligare ansvar för den allmänna styrningen av informationshanteringen inom landskapets offentliga förvaltning. Styrningen föreslås att ske genom att landskapsregeringen ges behörighet att utfärda allmänna riktlinjer och förordningar, vilka ska styra utvecklingen av interoperabiliteten, bedömning av informationssäkerhet och kvaliteten samt de informations- och kommunikationstekniska tjänster som landskapets myndigheter ska använda, i syfte att främja informationshanteringen och interoperabiliteten mellan informationslager och informationssystem på Åland. Uppdraget förväntas innebära utmaningar, bland annat att såväl ekonomiska som personalresurser kan behöva tillföras eller omdirigeras. Erfarenheter från närområdet visar att det är utmanande att hantera informationshanterings- och informationssäkerhetsfrågor, samt att desto mindre organisationen är, desto större är utmaningen. Om Åland ska ha en möjlighet att hänga med i utvecklingen inom informationshanterings- och säkerhetsområdet behöver landskapsregeringen ta helhetsansvaret för hela det offentliga Ålands informationshantering och utvecklingen av gemensamma informations- och kommunikationstekniska tjänster. Detta förväntas i slutändan stärka möjligheterna att följa upp, utvärdera och proaktivt vidta nya initiativ inom området.
Myndigheterna strävar redan i dagsläget efter att använda de kommunikationstjänster som används i samhället i allmänhet, samt att förlägga större serviceavbrott till tidpunkter då tjänsterna används i ringa omfattning. Det anses dock viktigt ur servicesynpunkt att myndigheterna informerar om avbrott, vid behov parat med information om hur myndighetsärenden kan skötas på andra sätt vid längre avbrott. En stor del av de myndigheter som behöver använda sig av elektronisk identifiering har redan den typen av infrastruktur i dagsläget.
Förslaget om utökad elektronisk kommunikation förväntas, förutom att kommunikationen mellan myndigheter och allmänheten blir smidigare, även leda till att kommunikationen mellan myndigheter blir mer effektiv och därmed i högre grad övergå till digitala form. Förslaget förväntas vidare bidra till att incitamenten för att ta fram gemensamma digitala tjänster av god kvalitet för såväl myndigheter som allmänheten att öka. Ytterligare kan förslagen bidra till att skapa förutsättningar för inrättandet av en gemensam medborgarportal på Åland.
Förslaget om automatiserade beslutsförfaranden förväntas även bidra till en mer effektiv och tillgänglig offentlig förvaltning.
Sammantaget förväntas förslagen leda till att myndigheterna, efter inledande igångsättnings- och utbildningsarbete, besitta en i högre grad informationssäker, digitaliserad, tillgänglig och effektiv informationshantering och allmän förvaltning, i linje med principerna om god förvaltning.
5.4 Övriga samhälleliga verkningar
Den föreslagna lagstiftningen innebär en reglering av myndigheternas informationshantering, vilket förväntas ha positiva kringeffekter för samhället. Lagstiftningen förväntas öka och förbättra medborgarnas möjligheter att få elektronisk tillgång till information om myndigheternas verksamheter och ärenden. Det är även av största vikt att allmänheten kan ges insyn i och få en förståelse och förtroende för hur myndigheterna hanterar deras information. Förslagen förväntas bidra till ett starkare genomslag av såväl principerna om god förvaltning som offentlighetsprincipen i den offentliga förvaltningen på Åland.
Ett tydligare regelverk rörande informationshanteringen förväntas även underlätta för företag som erbjuder informationstjänster till den offentliga sektorn, till följd av att dessa på ett bättre sätt än i dagsläget kan anpassa sina tjänster efter förvaltningens behov. Den offentliga sektorn är beroende av att privata företag kan tillhandahålla informations- och kommunikationstekniska system som lever upp till de krav som ställs, särskilt om den ska kunna ha någon som helst chans att hänga med i den tekniska utvecklingen. Alternativet är att den offentliga sektorn själv förväntas att själv och i god tid utveckla samtliga tekniska system som den behöver, vilket inte har visat sig vara särskilt kostnadseffektivt eller ändamålsenligt. På en liten marknad som den åländska finns det dock få privata företag som vill eller kan erbjuda alla de för offentlig verksamhet nödvändiga tjänsterna. Problematiken kan dock underlättas av att myndighetskraven blir mer enhetliga och baserar sig på internationella standarder samt korrelerar med de krav som uppställs i riket, vilket även kan göra att den åländska marknaden för offentliga myndighetstjänster mer intressant för privata tjänsteleverantörer i framtiden. Ytterligare kan den föreslagna lagstiftningen i förlängningen även bidra till en utökad integrering mellan den offentliga och privata sektorns digitala tjänster samt informations- och kommunikationstekniska system.
När det specifikt gäller förslagen om digitala tjänster, om planering och information av underhåll och vid störningar samt användning av elektronisk identifiering, är syftet med dessa att ytterligare förbättra och stärka myndigheternas service till allmänheten. Detta genom att det i lagstiftningen tydliggörs hur myndigheternas elektroniska tjänster ska finnas tillgängliga, samt genom att det tydliggörs när myndigheter kan och inte kan kräva elektronisk identifiering vid användning av e-tjänster. Myndigheternas digitala tillgänglighet och service förväntas förbättras ytterligare i och med förslaget. Det anses fördelaktigt för enskildas rättssäkerhet att det i lag finns angivet att myndigheter ska använda sig av elektronisk identifiering om det genom användande av den digitala tjänsten är möjligt att få tillgång till sekretessbelagda uppgifter.
I och med förslaget om utökad elektronisk kommunicering förväntas såväl privatpersoners som företags kontakter med förvaltningen bli simplifierade, mer tillgängliga och mer effektiva, exempelvis genom att enskilda snabbare kan få ta del av beslut, skicka in elektroniska ansökningar och att digitalt ta del av relevant information och handlingar som angår dem. Förslaget förväntas även öka incitamenten för enskilda att använda de digitala tjänster som förvaltningen tillhandahåller. Ingen kommer heller att tvingas kommunicera elektroniskt med myndigheterna i och med förslaget, så till vida de inte uppfyller de i lagen uppställda kraven samt, för det fall att de skulle uppfylla kraven, kan de alltid kräva att inte omfattas av elektronisk kommunikation. Ytterligare förstärks förutsägbarheten i myndigheternas agerande, i och med att det finns en tydligare reglering om hur myndigheterna ska kommunicera med enskilda parter. Förvaltningens miljöpåverkan förväntas även minska i takt med att mängden posthantering minskar.
Förslaget om automatiserade beslutsförfaranden förväntas därutöver bidra till en mer effektiv och tillgänglig offentlig förvaltning. Den kan även i viss mån förväntas bli mer rättvis, alltså mer saklig och opartisk, till följd av automatiserade beslutsförfaranden inte lägger ovidkommande hänsyn till sitt beslutsfattande. Till följd av rättsskyddsförutsättningen förväntas vidare enskildas rättigheter att tas tillvara, genom möjligheten till att begära ett beslut om rättelse av en tjänsteman.
Lagförslaget förväntas i övrigt inte innebära några ytterligare konsekvenser för miljön, jämställdheten eller barn.
6. Ärendets beredning
6.1 Arbetsgruppens arbete
Landskapsregeringen tillsatte den 2 februari 2021 en arbetsgrupp med uppdrag att ta fram ett underlag vilket redogjorde för behovet av ny lagstiftning avseende landskaps- och de kommunala myndigheternas informationshantering.
Arbetsgruppen överlämnade den 9 mars 2022 sitt betänkande. I betänkandet konstaterade arbetsgruppen att landskaps- och de kommunala myndigheterna inte har digitaliserats i en tillräckligt snabb takt, att en allmän lagstiftning om informationshantering saknas och att ett behov av tydligare styrning och samordning föreligger, såväl inom landskapet som i förhållande till riket.
I sitt betänkande föreslog arbetsgruppen att en ny allmän lag om informationshantering, särskilt digital sådan, tas fram. I lagen föreslogs grundläggande bestämmelser om myndigheternas informationshantering, informationssäkerhet, och interoperabilitet ingå, jämte styrning och koordinering av myndigheternas digitalisering samt myndigheternas användning av kakor. Vidare identifierade arbetsgruppen ett ytterligare behov av utredning avseende behovet av lagstiftning avseende säkerhetsklasser och säkerhetsutredningar.
Landskapsregeringen beslutade den 5 april 2022 att överföra en lagstiftningspromemoria om informationshantering inom den offentliga förvaltningen till lagberedningen för lagstiftningsåtgärder, i huvudsak överensstämmande med arbetsgruppsbetänkandets slutsatser och förslag.
6.2 Lagberedningsarbetet
Lagförslaget har beretts som tjänstemannaberedning vid lagberedningen, i samråd med arbetsgruppen och Landskapsarkivet.
Lagförslaget har utsänts på remiss till Landskapsarkivet, Ålands miljö- och hälsoskyddsmyndighet, Ålands arbetsmarknads- och studieservicemyndighet, Ålands hälso- och sjukvård, Ålands polismyndighet, Ålands ombudsmannamyndighet, Datainspektionen, Ålands statistik- och utredningsbyrå, Fordonsmyndigheten, Fastighetsverket, Ålands kulturdelegation, Ålands energimyndighet, Ålands gymnasium, Högskolan på Åland, Ålands folkhögskola, Ålands musikinstitut, Lagtingets kansli, Landskapsrevisionen, Brändö kommun, Eckerö kommun, Finströms kommun, Föglö kommun, Geta kommun, Hammarlands kommun, Jomala kommun, Kumlinge kommun, Kökar kommun, Lemland kommun, Lumparlands kommun, Mariehamns stad, Saltviks kommun, Sottunga kommun, Sunds kommun, Vårdö kommun, Ålands kommunförbund, Norra Ålands högstadiedistrikt, Södra Ålands högstadiedistrikt, Oasen boende- och vårdcenter, Ålands miljöservice, Kommunernas socialtjänst och Ålands räddningsmyndighet.
Remissinstanserna avgav 20 utlåtanden, vilka har beaktats i det fortsatta lagberedningsarbetet. Remissinstanserna har över lag omfattat eller ställt sig positiva till lagförslaget.
Detaljmotivering
1. Informationshanteringslag för Åland
1 kap. Allmänna bestämmelser
1 §. Lagens syfte. Enligt beskrivningen av lagens syfte i 1 § ska lagen för sin del främja de grundläggande rättigheterna på lagnivå. Enligt paragrafen är syftet med lagen att säkerställa en enhetlig och kvalitativ hantering samt informationssäker behandling av myndigheternas informationsmaterial så att offentlighetsprincipen förverkligas, att möjliggöra ett tryggt och effektivt utnyttjande av myndigheternas informationsmaterial så att myndigheterna kan sköta sina uppgifter och tillhandahålla tjänster i enlighet med god förvaltningssed och på ett effektivt resultatgivande sätt, att främja interoperabiliteten mellan informationssystem och informationslager, att främja vidareutnyttjandet av information från myndigheter och därigenom stimulera innovation inom produkter och tjänster samt säkra användares rätt till integritet och konfidentialitet vid användning av myndigheternas digitala tjänster. Myndigheternas verksamhet är huvudsakligen informationsintensiv. Av denna anledning är skötseln av myndighetsuppgifter och tjänsteproduktion beroende av den information som finns tillgänglig. Myndigheterna måste ha tillgång till uppdaterad information för att kunna ta tillvara enskildas intressen, rättigheter och skyldigheter. För att en myndighet ska kunna sköta sina uppgifter på ett effektivt sätt ska den ha tillgång till sådan uppdaterad information som behövs för skötandet av uppgifterna. I och med att myndigheternas verksamhet blir allt mer nätbaserad och nyttjar gemensamma informationssystem för produktion av gemensamma tjänster, ökar också behovet att koordinera de förfaranden som avser myndigheternas informationshantering.
I paragrafens 1 mom. 1 punkten föreskrivs att lagens syfte är att säkerställa en enhetlig och kvalitativ hantering av informationsmaterial. Med kvalitativ hantering av informationsmaterial avses att det har säkerställts att de informationsmaterial som myndigheterna utnyttjar är uppdaterade, felfria och lämpliga för sitt användningsändamål. I lagen föreskrivs också om de administrativa, funktionella och tekniska krav som myndigheterna ska genomföra för att säkerställa miniminivån på informationssäkerheten i samband med hantering av handlingar och informationsmaterial. Syftet med lagen är att med dessa åtgärder effektivisera förfarandena i anslutning till myndigheternas informationshantering, samt att minska behovet av flerfaldig informationshantering och reglering av informationshantering. Avsikten med lagen är också att understryka ansvarsförhållandena mellan myndigheterna när det gäller att förverkliga förfarandena inom informationshanteringen på ett enhetligt och datasäkert sätt, vilket innebär att myndigheterna särskilt, såsom nu är fallet, behöver ställa olika säkerhetskrav på varandra. Ett grundläggande syfte med informationshantering är vidare att främja offentlighetsprincipen så att myndigheternas offentliga handlingar blir lättillgängliga. Enligt grundlagens 12 § 2 mom. har var och en rätt att ta del av offentliga handlingar och upptagningar. Enligt 11 § 1 mom. i offentlighetslagen har var och en rätt att ta del av en offentlig myndighetshandling. Rätten till information enligt offentlighetslagen gäller såväl fysiska och juridiska personer som myndigheter. Enligt 17 § i offentlighetslagen ska ärenden som gäller rätten till information behandlas utan dröjsmål, vilket understryks genom ovillkorliga tidsfrister för utlämnande av handlingar. En kvalitativ och effektiv informationshantering främjar därmed målsättningen att ärenden som gäller utlämnande av information ska behandlas utan dröjsmål. En reglering som leder till en effektiv informationshantering främjar således genomförandet av offentlighetsprincipen. Den föreslagna lagen effektiviserar yttermera det elektroniska informationsutbytet mellan myndigheterna via tekniska gränssnitt och elektroniska förbindelser, men i lagen föreskrivs inte i övrigt om informationsrättigheter eller beslutsförfaranden mellan myndigheter, vilket regleras särskilt i offentlighetslagstiftningen.
Enligt paragrafens 1 mom. 2 punkten ska lagen även främja genomförandet av en god förvaltning då myndigheterna sköter sina uppgifter och producerar tjänster, i och med att informationshanteringsförfarandena förväntas bli mer effektiva. Till grunderna för en god förvaltning, enligt 4–7 §§ i förvaltningslagen, hör att förvaltningen ska vara effektiv och med gott resultat. En effektiv informationshantering i anslutning till skötsel av myndigheternas uppgifter och produktionen av tjänster förbättrar resultatet av myndighetsverksamheten. När informationshanteringen övergår från behandling och hantering av pappersdokument till en elektronisk verksamhetsmiljö måste också förfarandena i samband med informationshanteringen och informationsöverföring utvecklas. I lagen föreskrivs bland annat om myndigheternas skyldighet att planera processerna för produktion av tjänster så att de i mindre utsträckning samlar in onödig information från parter och andra berörda, om informationen redan finns tillgänglig inom ramen för befintliga informationsrättigheter via tekniska gränssnitt och elektroniska förbindelser. Till informationshanteringen hör även att organisera hanteringen av ärenden och tjänsteproduktion. Genom förfarandena för ärende- och informationshantering är det möjligt att mer effektivt styra skötseln av myndighetsuppgifterna samt att följa upp ärendehandläggnings- och tjänsteproduktionstiderna. Ett syfte med lagen är framför allt att genom effektivisering av informationshanteringen och förbättring av kvaliteten främja kvaliteten och effektiviteten i fråga om de myndighetsbeslut och tjänster som myndigheterna producerar för allmänheten.
Enligt paragrafens 1 mom. 3 punkten är det tredje centrala syftet med lagen att främja interoperabiliteten mellan informationssystem och informationslager och därigenom åstadkomma synergieffekter och en mer effektiv och digital offentlig förvaltning. Detta åstadkoms främst genom att det föreskrivs i lagen om landskapsregeringens styrningsbehörighet avseende interoperabilitet. Vidare föreslås mera bindande bestämmelser om bland annat användning av tekniska gränssnitt, i syfte att effektivisera myndigheternas utnyttjande av informationssystem och informationslager samt att minska parallell insamling av information. Interoperabiliteten mellan informationssystemen och informationslagren ska enligt förslaget främjas genom bestämmelser om planering och upprätthållande av gränssnitt samt om skyldigheten att använda gränssnitt för regelbundet informationsutbyte mellan myndigheter.
Enligt paragrafens 1 mom. 4 punkten, vilken avser genomförandet artikel 1.1 första ledet i öppna datadirektivet, är ett delsyfte med lagen även att främja vidareutnyttjande av information från offentlig sektor och stimulera innovation inom produkter och tjänster genom att fastställa minimiregler och praktiska arrangemang som underlättar vidareutnyttjande av information. Punkten motsvarar 1 § 1 mom. i vidareutnyttjandelagen. För ytterligare detaljmotivering, se LF 26/2020-2021.
Enligt paragrafens 1 mom. 5 punkten, vilken avser genomförandet av artikel 1.1 i Europaparlamentets och rådets e-dataskyddsdirektivet, är det sista syftet att säkerställa användares rätt till integritet och konfidentialitet, när det gäller behandling av personuppgifter, vid användning av myndigheternas digitala tjänster.
2 §. Definitioner. I denna paragraf definieras de viktigaste begreppen som används i lagen.
Enligt paragrafens 1 punkt avses de myndigheter som avses i 4 § i offentlighetslagen, vilka består av landskapets myndigheter förutom Ålands polismyndighet, kommunala myndigheter, till Ålands lagting ansluten förvaltning, landskapets affärsverk, samt övriga juridiska och fysiska personer då de genom en landskapslag eller med stöd av en landskapslag sköter offentliga förvaltningsuppgifter.
Enligt 4 § 2 mom. i offentlighetslagen gäller vad som sägs om en myndighet även kommittéer, arbetsgrupper, projektgrupper, utredare och andra organ eller personer som har tillsatts av en myndighet som avses i 1 mom. för att utföra en uppgift eller bereda ett ärende ska betraktas som en separat myndighet vid tillämpningen av denna lag endast då det i lag har föreskrivits om att organet eller personen ska ha en självständig ställning i förhållande till den tillsättande myndigheten. Från denna definition, samt därmed även lagens tillämpningsområde, undantas dock myndigheter som inte är administrativt självständiga i förhållande till andra myndigheter. Undantagna är alltså de myndigheter som antingen är administrativt underställda andra myndigheter eller är administrativt beroende av andra myndigheter, exempelvis nämnder, utskott och kommittéer. Skyldigheterna i denna lag faller därmed på de administrativt överordnade myndigheterna att tillse att de underställdas informationshantering är förenlig med denna lag.
Enligt paragrafens 2 punkt avses med data ostrukturerad information i maskinläsbart format, oberoende av medium. Definitionen av data är av nödvändighet beroende av definition av information och vice versa. Det föreligger dock en skillnad i bearbetningsnivå. Data utgör de grundläggande elementen och information representerar det slutgiltiga resultatet, användbart för mottagaren. Data utgör därmed ostrukturerad information. Maskinläsbart format definieras i paragrafens 18 punkt. Oberoende av medium åsyftas att data kan lagras på olika sätt, exempelvis i binära sekvenser, text, ljud, bild, rörlig bild, med mera.
Enligt paragrafens 3 punkt avses med information strukturerade data som ger mervärde och innebörd, möjliggörande förståelse eller beslutsfattande för användaren. Definitionen av information är beroende av definitionen av data, se punkten 2. Med strukturerad åsyftas att data har organiserats på ett sådant sätt att det bilder en helhet som ger mervärde och innebörd, som tillför något utöver enskilda data. Strukturen bidrar vidare med möjliggörande av förståelse och kan utgöra underlag för användarens beslutsfattande.
Enligt paragrafens 4 punkt avses med metadata data som beskriver eller på annat sätt tillför ett sammanhang eller en eller flera dimensioner till ett givet informationsmaterial. Metadata utgör därmed data eller information, enligt definitionerna i punkterna 3 och 4, om hur data eller information är strukturerat. Metadata kan exempelvis utgöra data eller information som redogör för hur denna har blivit till, på vilket sätt, när, eller andra dimensioner.
Enligt paragrafens 5 punkt avses med informationssystem en helhet bestående av databehandlingsutrustning, programvara och annan databehandling. Avsikten är att begreppet informationssystem ska vara heltäckande. Definitionen av databehandlingsutrustning motsvarar 2 § 1 punkten i lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation (FFS 1406/2011). Begreppet informationssystem innefattar således olika typer av terminalutrustning för behandling av programvaror. Programvarorna används för behandling av informationsmaterial för att utarbeta eller söka handlingar med olika sökkriterier. Begreppet informationssystem har ett nära samband med genomförande av interoperabilitet. Med interoperabilitet mellan informationssystem avses deras förmåga att utnyttja samma information eller fungera tillsammans med ett eller flera andra informationssystem via ett gränssnitt eller på något annat sådant sätt att informationens betydelse och användbarhet bevaras.
I paragrafens 6 punkt hänvisas i fråga om definitionen av myndighetshandling i denna lag till begreppet myndighetshandling i 6 § i offentlighetslagen, inbegripet undantagen från definitionen enligt 7 § i offentlighetslagen. I offentlighetslagen definieras en myndighetshandling som en handling som förvaras hos en myndighet och som antingen ska anses ha inkommit till eller upprättats av en myndighet. Begreppet handling definieras vidare i 5 § i offentlighetslagen som en framställning i skrift eller bild samt en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på något annat sätt. Definitionen av myndighetshandling innebär att föremålet för informationshanteringen i förekommande bestämmelser delvis sammankopplas med föremålet för offentlighetslagens reglering, det vill säga myndighetshandlingar. I annan lagstiftning föreskrivs om andra definitioner av begreppet handling, exempelvis arkivlagen. Dessa handlingar ingår således också i begreppet myndighetshandling, med beaktande av de i lagen föreslagna begränsningarna i fråga om tillämpningsområdet. Avsikten är att begreppet myndighetshandling som används i denna lag ska vara heltäckande och omfatta samtliga handlingar som uppkommer i samband med skötsel av myndigheters uppgifter, så som i offentlighetslagen föreskrivs om myndighetshandlingar, oberoende av vad som i speciallagstiftning föreskrivs om begreppet handlingar och hantering av sådana.
Enligt paragrafens 7 punkt avses med informationsmaterial en datauppsättning som består av myndighetshandlingar och annan motsvarande information som har samband med en viss myndighetsuppgift eller myndighetstjänst. Till skillnad ifrån ett arkiv, vilket enligt 4 § i arkivlagen omfattar handlingar vilka har inkommit till arkivbildaren på grund av dess uppgifter eller har tillkommit genom dess verksamhet, är definitionen av informationsmaterial begränsat till en särskild uppgift eller tjänst. En myndighets arkiv kan därmed förväntas inbegripa flera olika informationsmaterial, vilka härrör ifrån dess olika uppgifter och tjänster. Med sådan annan information som nämns i definitionen avses information som ingår i handlingar, det vill säga information som en myndighet i samband med skötseln av sina uppgifter har lagrat i ett informationssystem i form av dataenheter och som vid behov enligt olika kriterier kan omvandlas till handlingar. Myndigheterna har övergått till att i många avseenden hantera strukturerade dokument som skapas i samband med ärendehantering eller tjänsteproduktion i respektive hanteringsskede eller skede av tjänsteproduktionen med hjälp av informationssystemens sökkriterier. Datamängder i informationssystem kan också betraktas som sådana upptagningar enligt grundlagens 12 § 2 mom., vilka även ingår i den definition av begreppet handling som avses i 5 § i offentlighetslagen. Eftersom en handling i olika sammanhang kan betraktas som ett konkret databehandlingsobjekt är det skäl att utförligare beskriva informationshanteringen av dataenheter som ska behandlas i informationsmaterial och på ett begreppsmässigt bättre sätt information som avser hänvisningar till informationsmaterial. Att innehållet i ett informationssystem i sin helhet skulle betraktas som en handling är en främmande tanke i den verksamhetsmiljö som är föremål för regleringen och som omfattar framför allt informationshantering. Det föreslås i lagen att uppgifter som ingår i informationsmaterial definieras som information som uppkommit i samband med skötsel av myndigheters uppgifter eller tjänster och som hos myndigheterna behandlas som myndighetshandlingar då de med olika sökkriterier som programvaran möjliggör ombildas till myndighetshandlingar. Den föreslagna lagen använder begreppen myndighetshandling, informationsmaterial och informationslager i avsikt att i olika bestämmelser tydligt definiera olika ansvarsförhållanden och skyldigheter på olika nivåer. De konkreta behandlingsobjekten hos myndigheterna är enligt förslaget fortfarande de myndighetshandlingar som en myndighet behandlar i samband med skötseln av sina myndighetsuppgifter.
Enligt paragrafens 8 punkt avses med informationslager en uppsättning informationsmaterial som används för en myndighets uppgifter och verksamhet och som hanteras med hjälp av informationssystem eller manuellt. Ett informationslager kan i vissa fall likställas med ett arkiv eller ett elektroniskt mellanarkiv, beroende på hur myndighetens information är strukturerad, det vill säga om myndighetens samtliga informationsmaterial ingår i informationslagret. Ett informationslager kan bestå av såväl elektronisk information i informationssystem, exempelvis en databas som antingen är strukturerad eller ostrukturerad och vilken samlar in, aggregerar och arrangerar data från många olika källor, som annat material, exempelvis en samling handlingar i pappersform. Ett informationslager utgör således en logisk helhet bestående av informationsmaterial som uppkommer som ett resultat av att myndigheterna sköter sina uppgifter. Informationen i ett informationslager ska användas för att definiera och tillgodose parters och andra aktörers intressen, rättigheter och skyldigheter samt för att sköta myndighetsuppgifter. Begreppet informationslager har samband med genomförandet av informationshanteringen, men har även betydelse för genomförandet av interoperabiliteten.
Enligt paragrafens 9 punkt avser gemensamt informationslager ett för användning av flera aktörer planerat och upprätthållet informationslager vars uppgifter kan lämnas ut och utnyttjas för olika ändamål. Definitionen återkopplar till begreppet informationslager enligt 8 punkten. Informationen samlas in endast en gång och uppdateras vid behov, varefter den kan utnyttjas för informationstjänster av olika slag.
Enligt paragrafens 10 punkt avser begreppet informationssäkerhetsåtgärder säkerställande av informationsmaterials tillgänglighet, integritet och tillförlitlighet genom administrativa, funktionella och tekniska åtgärder. Med tekniska åtgärder avses tekniska förfaranden genom vilka det med lämpliga och tillräckliga tekniska lösningar säkerställs att informationsmaterial är tillgängliga, integrerade och tillförlitliga. Med administrativa åtgärder avses ordnande av förvaltningen av informationsmaterial så att materialen behandlas på ett tryggt sätt som betjänar myndighetsverksamheten och offentlighetsprincipen. Med funktionella åtgärder avses förfaranden varmed det i myndigheternas verksamhet säkerställs att informationsmaterial behandlas på ett tryggt sätt. Med tillgänglighet avses en egenskap varmed det säkerställs att informationsmaterial, informationssystem eller tjänster finns tillgänglig för behöriga användare och kan utnyttjas vid en önskad tidpunkt och på valfritt sätt. Med integritet avses att en uppgift är korrekt och autentisk på så sätt att informationen i dess helhet, exempelvis i fråga om ändringar som gjorts eller har skett i en handling, kan verifieras i efterhand. Med integritet avses också informationens semantiska interoperabilitet på så sätt att informationsöverföring från ett system till ett annat i samband med informationsutbyte mellan myndigheter kan genomföras med bevarande av informationens integritet genom att säkerställa informationsutbytets semantiska interoperabilitet. Med tillförlitlighet avses att nyttjandet av informationen vid behov kan begränsas så att informationen får behandlas endast av behöriga personer. Med informationssäkerhetsåtgärder avses exempelvis åtgärder för säkerställande av verksamhetens säkerhet, kommunikationssäkerheten, den fysiska säkerheten, utrustnings- och programvarusäkerheten samt informationsmaterialsäkerheten. Dessa åtgärder ska genom lagens bestämmelser om riskhantering anpassas bland annat till hotens allvarlighetsgrad, tekniska utvecklingsnivå och kostnader.
Enligt paragrafens 11 punkt avser begreppet informationshantering åtgärder baserade på behov som uppkommer i samband med en myndighets uppgifter eller i samband med dess verksamhet och som syftar till hantering av myndighetens informationsmaterial, oberoende av hur informationsmaterialet lagras och behandlas i övrigt. Med informationshantering avses hanteringen av uppgifter eller handlingar som ingår i informationsmaterial samt hantering av sådana informationsmaterial, bland annat genom insamling av metadata om behandlingsskeden, i syfte att genomföra och säkerställa styrningen och ändamålsenligheten i fråga om ärendebehandlingen samt för att säkerställa att arkivfunktionens krav säkerställs. Informationshanteringen kan likställas med dokumentförvaltning, vilken utgör en del av arkivfunktionen enligt 5 § i arkivlagen. En väsentlig del av informationshanteringen utgörs av de informationssäkerhetsåtgärder som vidtas för att säkerställa att en myndighet kan sköta sina uppgifter och förpliktelser på ett effektivt sätt, men som samtidigt skyddar genomförandet av parters och övriga användares rättigheter. Informationshanteringen avser alla behandlingsskeden i fråga om information och informationsmaterial. Det är inte fråga om ett begrepp som beskriver en organisationsstruktur, utan begreppet är funktionellt. Avsikten med en effektiv och ändamålsenlig informationshantering är att främja förverkligandet av offentlighetsprincipen och uppfylla kraven på en god förvaltning.
Enligt paragrafens 12 punkt avser begreppet informations- och kommunikationsteknisk tjänst en tjänst som helt eller huvudsakligen består i överföring, lagring, hämtning eller behandling av information via nätverks- och informationssystem. Definitionen harmoniserar med den i art. 2.13 Europaparlamentets och rådets förordning (EU) 2019/881 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten), utan att den för den skull omfattas av dennas begränsningar i tillämpningsområde och tolkning. Definitionen kan bland annat innefatta gemensamma grundläggande informationstekniska tjänster, vilka avser fysisk utrustning, program som krävs för utrustningens funktion, datakommunikations- och kommunikationstjänster samt därmed anknutna helheter av infrastruktur- och stödtjänster. Det kan även handla om gemensamma informationssystemtjänster, vilka avser sådana informationssystem och därmed anknutna tjänster som stöder skötseln av offentliga förvaltningsuppgifter eller likartad verksamhet inom olika organisationer. Det kan vidare exempelvis vara fråga om elektroniska postsystem, meddelandeförmedlingstjänster, dokumenthanteringssystem, intranät, digitala samarbetsplattformar, ärendehanteringssystem, ekonomisystem, personal- och lönesystem, informationssäkerhetssystem, geografiska informationssystem, andvändaridentifieringstjänster eller en gemensam digital ingång för tillhandahållande av information, förfaranden samt hjälp- och problemlösningstjänster.
Enligt paragrafens 13 punkt avser begreppet gemensam informations- och kommunikationsteknisk tjänst en för användning av flera aktörer planerad och upprätthållen informations- och kommunikationsteknisk tjänst vilken kan utnyttjas för olika ändamål och uppgifter. Definitionen återkopplar till begreppet informations- och kommunikationstekniska tjänst i 12 punkten och knyter an till landskapsregeringens påförda ansvar för styrningen av anordnandet och produktionen av de gemensamma tjänsterna enligt 4 § 2 mom., vilka i förordning utpekas av landskapsregeringen som gemensamma enligt 5 § 2 mom.
Enligt paragrafens 14 punkt definierar begreppet tekniskt gränssnitt en kommunikationsmetod för elektroniskt informationsutbyte mellan två eller flera informationssystem. Genomförandet av ett tekniskt gränssnitt möjliggör elektronisk och kompatibel dataöverföring mellan olika informationssystem. I ett tekniskt gränssnitt ingår också definitioner av informationsinnehåll som gör det möjligt att överföra information mellan informationssystemen. Det är fråga om integration mellan två eller flera system. Ett tekniskt gränssnitt kan bestå av en teknisk lösning för dataöverföring, om data överförs mellan informationssystem. Gränssnittet kan genomföras exempelvis som ett kommunikationsunderlag, en uppkopplad förbindelse, eller som ett filbaserat meddelande eller en satsvis dataöverföring med vissa intervall. Begreppet tekniskt gränssnitt är inte bundet till överföringsmetoden eller formatet, utan ett tekniskt gränssnitts genomförande och teknologi bestäms utifrån respektive tekniska lösning.
Enligt paragrafens 15 punkt definierar begreppet elektronisk förbindelse en begränsad vy som genomförs i ett informationssystem och möjliggör visning av informationsmaterial. I lagen föreskrivs om förutsättningarna för öppnande av en elektronisk förbindelse i en myndighets informationssystem, i situationer där en annan myndighet har rätt att få informationen och har en grund för behandling av den. Med detta nya begrepp avses uttryckligen situationer där information inte lämnas ut mellan informationssystem, utan att en annan myndighet med en begränsad vy kan ta del av uppgifter som finns i en annan myndighets informationssystem. Med genomförande av en elektronisk förbindelse avses i praktiken det sätt på vilket den myndighet som lämnar ut informationen utför en informationstjänst till en annan myndighet, då rätten att få och behandla informationen har säkerställts. Med visning avses utnyttjande och utbyte av information mellan olika informationssystem så att informationens relevans och användbarhet bevaras.
Enligt paragrafens 16 punkt definieras begreppet interoperabilitet som utnyttjande och utbyte av information mellan olika informationssystem eller informationslager, genom ett tekniskt gränssnitt, så att informationens relevans och användbarhet bevaras. I interoperabiliteten ingår dels tekniken för överföring mellan informationssystem, dels den semantiska interoperabiliteten på så sätt att den information som överförs har samma innehåll då den tolkas i olika informationssystem. I interoperabiliteten ingår också att informationens användbarhet säkerställs på så sätt att informationen finns i ett för sitt användningsändamål lämpligt format, i vilket den kan utnyttjas för planerade behandlingsåtgärder och vilket även lämpar sig för elektronisk arkivering eller elektronisk långtidsförvaring. Interoperabiliteten mellan informationslager inkluderar således kraven på interoperabilitet mellan sätten för det tekniska genomförandet, standardisering av informationslagrens begreppsinnehåll samt definition av informationsstrukturen, så att lagrens informationsmaterial av myndigheterna kan utnyttjas för planerade användningsändamål. Interoperabiliteten förutsätter definition av terminologier och informationsstrukturer, koduppsättningar och överföringsmetoder samt i anslutning därtill interoperabilitet mellan de tekniska metoderna. Definitionen tydliggör vidare att utnyttjande och utbyte av information mellan olika informationssystem ska ske genom ett tekniskt gränssnitt.
Enligt paragrafens 17 punkt avser automatiserat beslutsförfarande en verksamhetsprocess där ett ärende avgörs automatiserat på det sätt som avses i 48a § i förvaltningslagen. Med verksamhetsprocess avses en myndighets ärendehanterings- och tjänsteprocesser. I en verksamhetsprocess inleds ärendena hos en myndighet antingen på en parts eller på en myndighets initiativ. I förvaltningslagen föreskrivs uttryckligen om ärenden som har inletts av parter. Till kategorin ärenden som har inletts av myndigheter hör exempelvis tillsynsrelaterade ärenden och politiska initiativ. Behandlingsprocesserna utmynnar i allmänhet i en åtgärd som innehåller ett myndighetsbeslut och som kan vara ett förvaltningsbeslut, en registeranteckning, en allmän anvisning, ett förordnade eller någon annan motsvarande åtgärd. Tjänsteprocesser utgår för sin del från en enskilds tjänstebehov som en myndighet eller en aktör som handlar för myndighetens räkning tillgodoser genom att producera en tjänst. Ärendebehandlings- och tjänsteprocesser hör till kategorin verksamhetsprocesser som resulterar i att det uppkommer informationsmaterial för myndigheterna. I denna lag föreskrivs om hantering av informationsmaterial och uppgifter som beskriver materialen till den del som de består av handlingar eller information som kan omvandlas till myndighetshandlingar som avses i lagen. Det är därmed fråga om ett beslutsförfarande där avgörandet har grundats på behandlingsregler enligt 18 punkten och det inte har granskats och godkänts av en fysisk person. Definitionen inverkar även på tillämpningsområdet för föreslagna 6 kap., vilket motiveras närmare nedan i samband med 3 §.
Enligt paragrafens 18 punkt avser behandlingsregler av en fysisk person på förhand utarbetade regler avsedda att styra automatisk databehandling. Behandlingsreglerna ska styra behandlingen och avgörandet av förvaltningsärenden med automatisk databehandling, såsom vilka variabler som påverkar verksamhetsprocessens förlopp, samt på vilket sätt och på vilka grunder eventuella interimistiska åtgärder vidtas i ärendet, i vilket skede en fysisk person deltar i processen och hur avgörandet i ärendet kommer till. Till behandlingsreglerna hör också de regler, utifrån vilka ett ärende tas till ett automatiserat beslutsförfarande eller överförs till behandling av en fysisk person. Med behandlingsregler avses inte en kod på programmeringsspråk, utan en sakkunnigs beskrivning på ett naturligt språk av hur förutsättningarna enligt lagstiftningen omvandlas till databehandling och hur den fysiska personens roll i verksamhetsprocessen i tillämpliga delar ersätts med automatisk databehandling. För att utarbeta behandlingsregler krävs det därmed kännedom om den verksamhetsprocess som ska automatiseras, den rättsliga prövningen och förståelse för databehandlingens verksamhetsprinciper. Behandlingsreglerna kan dokumenteras i text samt visuellt, exempelvis med ett flödesschema. Behandlingsreglernas karaktär och egenskaper påverkas också av lagens 19 §, enligt vilken behandlingsreglerna ska dokumenteras och lagenligheten godkännas hos myndigheten, under beredningen av den automatiserade processen, och ska då utarbetas i en sådan form att lagenligheten kan bedömas. Den viktiga förutsättningen för behandlingsreglerna är att de ska utarbetas på förhand av en fysisk person. Detta är ett centralt instrument för mänsklig kontroll i det skede då automatiseringen av verksamhetsprocessen planeras och utvecklas. Behandlingsreglerna omvandlas sedan till egentliga krav på programvaran eller informationssystemet, genom olika krav på det automatiserade beslutsförfarandet. Bestämmelser om hur kravöverensstämmelsen säkerställs återfinns i lagens 20 §.
I paragrafens 19 punkt definieras begreppet maskinläsbart format som ett filformat som är så strukturerat att datorprogram enkelt kan identifiera, känna igen och extrahera informationsmaterial, specifika uppgifter och strukturer i en handling. Definitionen motsvarar det likalydande begreppet i 3 § i vidareutnyttjandelagen. Definitionen motsvarar artikel 2.13 i öppna data-direktivet, enligt vilket med maskinläsbart format avses ett filformat som är strukturerat på ett sådant sätt att tillämpningsprogramvara enkelt kan identifiera, känna igen och extrahera specifika uppgifter, inklusive enskilda faktauppgifter, och deras interna struktur. Maskinläsbart format innebär att både informationsmaterialets innehåll och de metadata som beskriver detsamma är i en form som kan läsas och tolkas maskinellt, så att de kan behandlas inom informationssystem. Maskinläsbart format innebär vidare att informationsmaterialet har presenterats i ett inom branschen standardiserat filformat, eller på ett sätt som annars uppfyller vedertagna krav inom branschen. Punkten genomför tillsammans med punkterna 20–25 delar av artikel 2 i öppna data-direktivet. För ytterligare detaljmotivering, se LF 26/2020-2021.
I paragrafens 20 punkt definieras gränssnitt som en regeluppsättning för dynamiskt informationsutbyte mellan programvaror. Definitionen motsvarar det likalydande begreppet i 3 § i vidareutnyttjandelagen. För ytterligare detaljmotivering, se LF 26/2020-2021.
I paragrafens 21 punkt definieras bulknedladdning som tillgång till en avgränsad informationsmängd genom elektronisk uppkoppling. Definitionen motsvarar det likalydande begreppet i 3 § i vidareutnyttjandelagen. För ytterligare detaljmotivering, se LF 26/2020-2021.
I paragrafens 22 punkt definieras forskningsdata som digital information som samlats in eller framställts inom ramen för vetenskaplig forskningsverksamhet och som inte är vetenskapliga publikationer men som används som bevis i forskningsprocesser eller som i forskarsamfundet anses nödvändiga för att validera forskningsresultat. Definitionen motsvarar det likalydande begreppet i 3 § i vidareutnyttjandelagen. Definitionen motsvarar artikel 2.9 i EU:s öppna data-direktivet, enligt vilket forskningsdata avser andra handlingar i digitalt format än vetenskapliga publikationer, som samlas in eller framställs inom ramen för vetenskaplig forskningsverksamhet och som används som bevis i forskningsprocessen eller som i forskarvärlden är allmänt accepterade som nödvändiga för att validera forskningsrön och forskningsresultat. För ytterligare detaljmotivering, se LF 26/2020-2021.
I paragrafens 23 punkt definieras rimlig avkastning på investeringar som en procentandel av den totala avgiften, utöver vad som krävs för att täcka de stödberättigade kostnaderna, som uppgår till högst fem procentenheter över Europeiska centralbankens fasta ränta. Definitionen motsvarar det likalydande begreppet i 3 § i vidareutnyttjandelagen. Definitionen motsvarar artikel 2.16 i öppna data-direktivet, enligt vilket rimlig avkastning på investeringar är en procentandel av den totala avgiften, utöver vad som krävs för att täcka de stödberättigade kostnaderna, som uppgår till högst fem procentenheter över Europeiska centralbankens fasta ränta. För ytterligare detaljmotivering, se LF 26/2020-2021.
I paragrafens 24 punkt definieras vidareutnyttjande av information som att informationen används för ett annat ändamål än för vilket myndigheten framställde informationen. Definitionen motsvarar det likalydande begreppet i 3 § i vidareutnyttjandelagen. Definitionen motsvarar artikel 2.11 i öppna data-direktivet, enligt vilket vidareutnyttjande avser personers eller rättssubjekts användning av handlingar som innehas av:
a) offentliga myndigheter för andra kommersiella eller icke-kommersiella ändamål än det ursprungliga ändamål för vilket handlingarna framställdes inom den offentliga verksamheten, med undantag för utbyte av handlingar mellan offentliga myndigheter som enbart sker i samband med deras offentliga verksamhet, eller,
b) offentliga företag för andra kommersiella eller icke-kommersiella ändamål än det ursprungliga ändamålet att tillhandahålla tjänster av allmänt intresse för vilket handlingarna framställdes, med undantag för utbyte av handlingar mellan offentliga företag och offentliga myndigheter som enbart sker i samband med offentliga myndigheters offentliga verksamhet. För ytterligare detaljmotivering, se LF 26/2020-2021.
I paragrafens 25 punkt definieras värdefulla datamängder som information som framgår av den förteckning över värdefulla dataset som har meddelats med stöd av artikel 14.1 i öppna datadirektivet. Definitionen motsvarar det likalydande begreppet i 3 § i vidareutnyttjandelagen. Definitionen motsvarar artikel 2.10 i öppna data-direktivet, enligt vilket ”värdefulla dataset” avser handlingar vars vidareutnyttjande är förknippat med stora fördelar för samhället, miljön och ekonomin, framför allt på grund av deras lämplighet för att skapa mervärdestjänster, applikationer och nya högkvalitativa och anständiga arbetstillfällen, och antalet potentiella mottagare av de mervärdestjänster och mervärdesapplikationer som bygger på dessa dataset. För ytterligare detaljmotivering, se LF 26/2020-2021.
3 §. Lagens tillämpningsområde. I denna paragraf föreskrivs om lagens tillämpningsområde.
Enligt paragrafens 1 mom. ska lagen tillämpas på informationshantering och på användning av informationssystem samt på införande och användning av automatiserade beslutsförfaranden, då myndigheter behandlar informationsmaterial, om inte något annat föreskrivs någon annanstans i lag. Lagen ska tillämpas på informationshantering och automatiserade beslutsförfaranden med beaktande av de begrepp som definieras i 2 §. Bestämmelserna i denna lag ska inte tillämpas på hantering av information som innehas av vilken myndighet som helst, utan regleringen avser sådana informationsmaterial som består av handlingar eller information varav kan skapas myndighetshandlingar. Regleringen gäller således sådana informationsmaterial och myndighetshandlingar på vilka offentlighetslagen tillämpas. Den föreslagna lagen ska vara en allmän lag om informationshantering för den offentliga förvaltningen och den ska i princip iakttas i all myndighetsverksamhet. Inom vissa verksamhetsområden, exempelvis social- och hälsovården, kan informationshanteringen medföra speciella regleringsbehov som inte kan beaktas i en allmän lag. Av denna anledning ska, om det i någon annan lag ingår bestämmelser som avviker från informationshanteringslagen, den andra lagen tillämpas i stället för den föreslagna informationshanteringslagen till den del som regleringen avviker från bestämmelserna i den. Om det i en speciallag ingår avvikande bestämmelser ska speciallagen tillämpas i dessa situationer till den del som bestämmelserna innehåller avvikelser jämfört med denna lag. Lagen kompletterar vidare arkivlagen med närmare bestämmelser om informationshanteringen i tillämpliga delar, vilket ska ges betydelse för tolkningen av relevanta bestämmelser.
I paragrafens 2 mom. regleras tillämpningsområdet för bestämmelserna om vidareutnyttjande i lagens 8 kap, vilket alltså enbart tillämpas på offentlig information hos myndigheter samt forskningsdata, om forskningsdata har tagits fram med offentlig finansiering och har gjorts tillgänglig genom ett institutionellt eller ämnesbaserat register, med beaktande av vad som föreskrivs om skydd för personuppgifter i dataskyddslagstiftningen och tredje mans immateriella rättigheter som inskränker möjligheten till vidareutnyttjande enligt rikets upphovsrättslag (FFS 404/1961). Bestämmelsen motsvarar i huvudsak 2 § 1, 3 och 4 mom. i vidareutnyttjandelagen och utgör ett led i genomförandet av öppna data-direktivet. För ytterligare detaljmotivering, se LF 26/2020-2021.
I paragrafens 3 mom. föreskrivs om annan information som undantas från 8 kap. bestämmelser om vidareutnyttjande. Bestämmelsen motsvarar 2 § 5 mom. i vidareutnyttjandelagen. För ytterligare detaljmotivering, se LF 26/2020-2021.
Genom 3 mom. 1 punkten genomförs artikel 1.2.j i öppna data-direktivet, av vilken det framkommer att direktivet inte är tillämpligt på andra kulturinstitutioner än bibliotek, museum eller arkivverk.
I 3 mom. 2 punkten genomförs artikel 1.2.k i öppna data-direktivet, enligt vilken direktivet inte är tillämpligt på information som innehas av utbildningsanstalter som bedriver högst utbildning på nivån gymnasieutbildning.
Genom 3 mom. 3 punkten genomförs artikel 1.2.l i öppna data-direktivet, enligt vilken direktivet inte är tillämpligt på andra handlingar som innehas av organisationer som bedriver eller finansierar forskning eller överför forskningsresultat än de handlingar som avses i punkten 1.c i direktivet. Enligt punkten 1.c i direktivet ska direktivet tillämpas på forskningsdata. På Åland ska således lagförslaget tillämpas på information som innehas av ÅSUB och Högskolan på Åland enbart om informationen är att betrakta som forskningsdata enligt den definition på forskningsdata som framgår av 2 § 22 punkten. Enligt 19 § 1 mom. i statistiklagen (1994:42) för landskapet Åland får dock sekretessbelagda uppgifter, vilka har erhållits eller använts för statistiska ändamål, endast lämnas till utomstående på de grunder som stadgas i lag eller med samtycke från den som uppgifterna gäller. Dessa uppgifter får emellertid inte lämnas ut för att användas vid administrativt beslutsfattande eller vid någon annan motsvarande behandling av ett ärende.
I 3 mom. 4 punkten genomförs artikel 1.2.a i öppna data-direktivet, enligt vilken direktivet inte ska tillämpas på handlingar som inte omfattas av myndigheternas offentliga verksamhet. Enligt skäl 22 i direktivet är icke-offentlig verksamhet tillhandahållandet av handlingar som framställs och prissätts på affärsmässiga grunder och i konkurrens med andra marknadsaktörer. Direktivet ska således inte tillämpas på information som en myndighet tillgängliggör som en del av myndighetens konkurrensutsatta verksamhet.
Genom 3 mom. 5 punkten genomförs artikel 2.11.a i öppna data-direktivet, enligt vilken direktivet inte ska avse utbyte av handlingar mellan myndigheter som sker i samband med deras offentliga verksamhet. Lagen är således inte tillämplig på information som myndigheter utbyter sinsemellan, som en del av skötandet av offentliga uppgifter.
Enligt paragrafens 4 mom. ska enbart vissa av lagens bestämmelser tillämpas vid Ålands polismyndighet, till den del myndighetens verksamhet grundar sig på landskapets lagstiftningsbehörighet. Bestämmelsen motsvarar i huvudsak 2 § 2 mom. i vidareutnyttjandelagen. För ytterligare detaljmotivering, se LF 26/2020-2021.
2 kap. Allmän styrning och ordnande av myndigheternas informationshantering
4 §. Allmän styrning av interoperabiliteten mellan gemensamma informationslager och informationssystem samt gemensamma informations- och kommunikationstekniska tjänster. I denna paragraf föreskrivs det om den allmänna styrningen av den interoperabiliteten mellan den offentliga förvaltningens informationslager och informationssystem samt gemensamma informations- och kommunikationstekniska tjänster. Varje myndighet svarar inom ramen för sin behörighet för införskaffandet av sina informations- och kommunikationstjänster samt upprätthållandet och utvecklingen av sina egna informationslager och informationssystem. Inom den nätverksbaserade offentliga förvaltningen har det emellertid utvecklats gemensamma informationslager och informationssystem som är avsedda antingen för myndigheternas gemensamma användning eller för allmän användning i samhället. Informationslagren och informationssystemen utnyttjas via tekniska gränssnitt för olika samhällsfunktioner. För att interoperabiliteten mellan myndigheternas informationslager ska kunna säkerställas och koordineras på landskapsnivå behövs det dock en central myndighet som styr detta arbete. Det är även av samhällsekonomiska skäl ibland nödvändigt att centralt styra anordnandet av gemensamma informations- och kommunikationstjänster. Detta kan ske i syfte att åstadkomma såväl interoperabilitet som utveckling och positiva samordningseffekter, varför det även finns ett behov av att den myndighet som är ansvarig för den allmänna styrningen ska kunna utfärda föreskrifter om tjänsternas kvalitet, tjänsternas interoperabilitet och dessas förenlighet med den övergripande arkitekturen. I den föreslagna paragrafen föreskrivs det därmed om landskapsregeringens behörighet i dessa avseenden.
Enligt paragrafens 1 mom. ska landskapsregeringen svara för den allmänna styrningen av interoperabiliteten mellan den offentliga förvaltningens gemensamma informationslager och informationssystem. Landskapsregeringen tillförs vidare behörigheten att utfärda allmänna riktlinjer för utvecklingen av informationshanteringen inom den offentliga förvaltningen, i syfte att främja interoperabiliteten mellan den offentliga förvaltningens gemensamma informationslager och informationssystem. Vidare har möjligheten att utfärda allmänna riktlinjer i praktiken betydelse för utvecklingen av de gemensamma informationslager och informationssystem som landskapets myndigheter och offentliga inrättningar ansvarar för och i vissa fall gemensamt förvaltar. Det nya styrningsansvaret och styrmedlen för informationshanteringen inom den offentliga förvaltningen på Åland kompletterar den styrnings- och tillsynsfunktion som redan idag tillkommer landskapsregeringen respektive Landskapsarkivet genom arkivlagstiftningen. Riktlinjerna innebär att andra myndigheters verksamhet, än sådana som hör till landskapsförvaltningen, kommer att styras endast indirekt, till den del som dessa övriga myndigheter utnyttjar gemensamma informationslager och informationssystem. Riktlinjer som upprättas bör vidare upprätthållas genom sammanställning av de informationsdefinitioner som behövs för säkerställande av interoperabiliteten mellan den offentliga förvaltningens informationslager och informationssystem till en gemensam tjänst, harmonisering av definitioner som uppkommer i samband med utvecklingsprojekt och sammanlänkar till definitionsarbetet på EU-nivå samt en hanteringsmodell som säkerställer definitionernas användbarhet. Utnyttjandet av riktlinjerna och utvecklingen som baseras på gemensamma definitioner förbättrar genomslaget när det gäller styrningen av interoperabiliteten. Genom landskapsregeringens allmänna styrning främjas såväl den tekniska som den semantiska interoperabiliteten. Därmed avses att de mellan informationslagrens och informationssystemen är samordnade och att de överförda informationsmaterialens format och innebörd tolkas på ett enhetligt sätt. Styrningen innebär vidare att landskapsregeringen koordinerar och styr den tekniska utvecklingen såväl som terminologiska definitionen i fråga om den offentliga förvaltningens gemensamma informationslager och informationssystem, samt upprättar allmänna riktlinjer för interoperabiliteten mellan ansvarsområdena, vilket inte endast möjliggör interoperabilitet, utan säkerställer även en överensstämmelse med arkivfunktionens krav på elektronisk arkivering och förvaring samt en samordning av offentlig förvaltnings informations- och kommunikationstjänster. I lagens 15–17 §§ föreskrivs närmare om interoperabiliteten i samband med användningen av tekniska gränssnitt. Enligt lagens 15 § ansvarar respektive myndighet för beskrivningen av informationsstrukturen. Vid planeringen av informationsöverföring mellan flera myndigheter via tekniska gränssnitt ska landskapsregeringen eller ansvariga myndigheter i samarbete med landskapsregeringen styra definitionen av de gränssnitt som möjliggör teknisk interoperabilitet. Enligt ansvaret för den allmänna styrningen kan landskapsregeringen vidare se till att det anordnas samarbetsmetoder och förfaranden för myndigheter verksamma inom landskapet. I bestämmelsen föreskrivs inte att samarbetet ska ordnas eller hur, samt inte heller om även andra aktörer kan delta i samarbetet. I praktiken kan verksamheten anordnas i formen av en arbetsgrupp, delegation eller andra samarbetsorgan, med föreskrivna mål och former. Ett organiserat samarbete kan främja utvecklingen av den offentliga förvaltningens förfaranden och tjänster genom utnyttjande av informationslager och informationssystem. Samarbetet kan framför allt gå ut på uppföljning av utvecklingen, förändringarna och konsekvenserna i fråga om den offentliga förvaltningens informationshantering. Avsikten med det tänkta samarbetet är således att följa upp bland annat utvecklingen i fråga om den offentliga förvaltningens informationshantering samt bedöma vilka konsekvenser de planerade ändringarna i fråga om den offentliga förvaltningens uppgifter, tjänstestrukturer, administrativa strukturer och informationssystem får för myndigheternas verksamhet inom den offentliga förvaltningen. I samband med tillsättningen av ett samarbetsorgan kan landskapsregeringen samtidigt besluta om samarbetsorganets uppgifter, mandatperiod och ledamöter. Avsikten är att verksamhet som sker via samarbetsorgan i fortsättningen ska utvecklas i en mera strategisk och proaktiv riktning. Digitaliseringen av informationsförvaltningen och verksamheten inom den offentliga förvaltningen innebär att det blir ännu viktigare att värna om det så kallade tväradministrativa samarbetet. Det kommer således att också i fortsättningen vara ändamålsenligt att samarbetet mellan landskapets och kommunernas myndigheter samt övriga offentligrättsliga inrättningar, organiseras i anslutning till landskapsregeringen. Det finns skäl att samarbeta också med andra aktörer som deltar i främjandet av produktionen av informations- och kommunikationstekniska tjänster inom den offentliga förvaltningens informationshantering, exempelvis statliga myndigheter som verkar inom eller gentemot landskapet, i synnerhet i frågor som berör arkivfunktionen och förvaltningen av arkivalier. Det är emellertid ändamålsenligt att överlämna åt landskapsregeringen att själv avgöra hur det närmare samarbetet ska organiseras, med hänvisning till en snabbt föränderlig verksamhetsmiljö och att ett mångsidigt utvecklingsarbete krävs.
Enligt paragrafens 2 mom. svarar landskapsregeringen för den allmänna styrningen av anordnandet och produktionen av myndigheternas gemensamma informations- och kommunikationstekniska tjänster, tjänsternas kvalitet, tjänsternas interoperabilitet och deras förenlighet med den övergripande arkitekturen. Landskapsregeringen påförs därmed ansvaret att styra framtagandet och produktionen av gemensamma informations- och kommunikationstekniska tjänster i landskapet. Ansvaret förutsätter inte att några separata styrningsstrukturer utvecklas för styrningen av tjänsterna och det föreskrivs inte heller någon särskild form för hur tjänsterna ska tillhandahållas eller om deras finansiering. Anordnandet av informations- och kommunikationstekniska tjänster bör dock ta sin utgångspunkt i att tillfredsställa den olikartade offentliga förvaltningens gemensamma behov och bör samtidigt syfta till att främja statistikframställningen och arkivändamål. Anordnandet av de gemensamma tjänsterna i ett enskilt fall bör behovsprövas gentemot vidden av allmänna eller särskilda tekniska stödbehov hos de olika myndigheterna, den mån som tjänsterna förväntas bidra till effektiviteten och produktiviteten samt god förvaltning inom den offentliga förvaltningens verksamhet och huruvida tillräckliga synergieffekter för den offentliga förvaltningen och landskapet i övrigt kan påräknas. Det kan i enskilda fall handla om arrangerandet av alltifrån stora och allmänna informations- eller kommunikationstekniska system till enskilda stödtjänster. Det skulle konkret kunna handla om ett anordnande av en gemensam medborgarportal för enskildas skötsel av sina myndighetsärenden, ett landskapsgemensamt informations- eller kommunikationssystem, en informationssäker meddelandeförmedlingstjänst för myndigheterna, ett myndighetsgemensamt elektroniskt mellanarkiv, ett myndighetsgemensamt informationslager eller en användaridentifieringstjänst för användare av myndigheters digitala tjänster. Ett av grundsyftena med bestämmelsen är i synnerhet att landskapsregeringen genom anordnande av gemensamma informations- och kommunikationstekniska tjänster ska kunna bidra till att förbättra kostnadseffektiviteten och kostnadsspridningen inom utförandet av offentliga förvaltningsuppgifter och tjänsteproduktionen inom landskapet, samtidigt som tjänsternas kvalitet, interoperabilitet och säkerhet säkerställs. Gemensamma informations- och kommunikationstekniska tjänster förväntas vidare att möjliggöra en förenkling, ett förenhetligande och ett underlättande av informationssäker kommunikation och därigenom främja den offentliga förvaltningens och dess tjänsters öppenhet och tillgänglighet, samtidigt som arkivfunktionens och statistikframställningens ändamål tillgodoses. De gemensamma tjänsterna ska vara kostnadseffektiva, allmänt tillämpliga för sitt användningsändamål, välfungerande, tillförlitliga, användarvänliga och tillgängliga samt tillhandahållas jämlikt över hela Åland. De gemensamma tjänsterna ska vara förenliga med den övergripande arkitekturen och med beskrivningarna och definitionerna av interoperabiliteten samt uppfylla nödvändiga krav på informationssäkerhet, kontinuitet, arkivering och möjliggörande av statistikframställning. Det är slutligen i sammanhanget nödvändigt att ansvarsfördelningen över samtliga delar av anordnade gemensamma informations- och kommunikationstekniska tjänsterna tydligt definieras, i syfte att möjliggöra ansvarsutkrävande vid tillbud och incidenter.
Enligt paragrafens 3 mom. kan landskapsregeringen genom förordning utfärda närmare bestämmelser om myndigheternas informations- och kommunikationstjänsters kvalitet, säkerhet, interoperabilitet och deras förenlighet med den övergripande arkitekturen. Landskapsregeringen ges därmed ett avgränsat bemyndigande att genom förordning föreskriva särskilt om krav på myndigheternas informations- och kommunikationstjänsters utformning, i syfte att åstadkomma en interoperabilitet mellan dessa och gemensamma informations- och kommunikationstekniska tjänster, informationssystem och informationslager. Kommunala myndigheters tjänster undantas dock från förordningsbemyndigandet påförda skyldigheter, se 4 mom.
Enligt paragrafens 4 mom. föreskrivs bestämmelser om kommunala myndigheters informations- och kommunikationstekniska tjänsters kvalitet, säkerhet, interoperabilitet och deras förenlighet med den övergripande arkitekturen särskilt i lag. Bestämmelsens huvudsakliga syfte är begränsande, det vill säga att den föreskriver att kommunala myndigheter genom förordning inte kan åläggas motsvarande skyldigheter som övriga myndigheter enligt bemyndigandet i paragrafens 3 mom., utan endast genom lag. Föreslagna 3a § 3 mom. i lagen om digitala tjänster innehåller dock en generell skyldighet för myndigheter, inkluderat kommunala myndigheter, att säkerställa att deras digitala tjänster är tillräckligt interoperabla med den offentliga förvaltningens gemensamma informations- och kommunikationstekniska tjänster och med andra myndigheters digitala tjänster. Förordningsbemyndigandet i 3 möjliggör dock närmare allmänna bestämmelser eller bestämmelser kopplade till specifika tjänster.
5 §. Myndigheternas användning av gemensamma informations- och kommunikationstekniska tjänster. I denna paragraf föreskrivs en huvudregel om användningsskyldighet för myndigheter avseende gemensamma informations- och kommunikationstekniska tjänster. Bestämmelsen återknyter till det styrningsansvar om den allmänna interoperabiliteten samt anordnandet och produktionen av gemensamma informations- och kommunikationstekniska tjänster som åläggs landskapsregeringen i 4 §. Syftet är att ge landskapsregeringen ett bemyndigande att styra vilka gemensamma informations- och kommunikationstjänster som myndigheter ska använda, vilka myndigheter som ska använda dessa och i vilken omfattning. För närmare beskrivning av styrningsansvaret och de tekniska tjänsterna i fråga, se detaljmotiveringarna till 2 § 12–13 punkterna och 4 §.
Enligt paragrafens 1 mom. ska myndigheterna använda av landskapsregeringen fastställda gemensamma informations- och kommunikationstekniska tjänster, om det inte nödvändigtvis finns ett behov av att använda andra tjänster i verksamheten. Om en myndighet anser att det finns ett behov av att använda andra tjänster ska den anmäla detta, innehållande en motivering av behoven till avsteg, till landskapsregeringen. Landskapsregeringen utreder frågan och fattar beslut om att antingen avslå eller bevilja myndigheten rätt att använda andra tjänster. Vid landskapsregeringens behovsprövning ska den enskilda myndighetens behov av att använda andra tjänster bedömas utifrån omständigheterna i det enskilda fallet. Ett giltigt behov skulle kunna vara att en myndighet delvis bedriver verksamhet vilken faller inom rikets lagstiftningsbehörighet, eller till stor del samverkar eller utbyter information med riksmyndigheter, och av sådan anledning har behov av att nyttja rikets motsvarande tjänster eller andra tjänster vilka är interoperabla med rikets tjänster. Ett annat giltigt behov skulle kunna vara att en myndighets verksamhet har en sådan särart att den behöver nyttja särskilda tjänster eller åtminstone andra tjänster vilka möjliggör interoperabilitet med särskilda tjänster inom dess verksamhetsområde. Att en myndighet redan under viss tid har upphandlat en tjänst skulle även kunna utgöra ett giltigt skäl till avvikelse. Landskapsregeringen bör dock i dylika fall enbart medge avsteg under en begränsad övergångsperiod, fram till dess att det upphandlade avtalet har löpt ut. Att en tjänst skulle medföra mer funktioner än en myndighet har nytta av bör dock som utgångspunkt inte medföra att ett behov av att använda andra tjänster ska anses föreligga. Det kommer oundvikligen, mot bakgrund av myndigheternas olikartade behov, förekomma att behovet och graden av nytta av en viss gemensamma informations- och kommunikationstekniska tjänst varierar hos de olika myndigheterna. Grundsyftet med anordnandet av gemensamma tjänster är att förenhetliga och höja den administrativa och tekniska kvalitetsnivån på informationshanteringen och informationssäkerheten inom landskapets offentliga förvaltning, samtidigt som den samlade kostnadsbilden sänks och kan fördelas utifrån de principer som landskapet finner lämpligast. För det fall att undantag beviljas alltför lättvindigt skulle hela syftet med de gemensamma tjänsterna förfelas och riskera att gå om intet.
Enligt paragrafens 2 mom. kan landskapsregeringen genom förordning utfärda närmare bestämmelser om utpekandet av och myndigheters minimianvändning av gemensamma informations- och kommunikationstekniska tjänster. Landskapsregeringen ges därmed bemyndigande att genom förordning utpeka tjänster som gemensamma informations- och kommunikationstekniska tjänster, såväl som att närmare föreskriva om minimianvändning av dessa samt vilka myndigheter som ska omfattas av användningsskyldigheten enligt 1 mom. Kommunala myndigheter undantas dock från skyldigheterna enligt förordningsbemyndigandet, se 3 mom.
Enligt paragrafens 3 mom. föreskrivs bestämmelser om kommunala myndigheters minimianvändning av gemensamma informations- och kommunikationstekniska tjänster särskilt i lag. Bestämmelsens huvudsakliga syfte är begränsande, det vill säga att den föreskriver att kommunala myndigheter genom förordning inte kan åläggas motsvarande skyldigheter som övriga myndigheter enligt bemyndigandet i paragrafens 2 mom., utan endast i lag.
3 kap. Informationssäkerhet
6 §. Identifiering av uppgifter som förutsätter särskild informationshantering. Enligt paragrafen ska en myndighet identifiera uppgifter som förutsätter särskild informationshantering. Bestämmelsen påför myndigheterna en allmän skyldighet att identifiera de behov av särskild informationshantering som myndigheten har. Identifieringen av dessa uppgifter förväntas att ske kontinuerligt och omprövas vid behov, dock utan krav på särskild metod eller dokumentation. Syftet med bestämmelsen är att motverka att situationer uppstår där obehöriga inom eller utanför myndigheterna utför eller får del av uppgifter som de inte har rätt, behörighet eller behov till.
Paragrafens 1 mom. ålägger myndigheter en skyldighet att identifiera de uppgifter som den sköter som förutsätter särskild informationshantering. Det kan exempelvis handla om uppgifter hos myndigheten som för deras lösande förutsätter tillgång till känsliga personuppgifter, sekretessbelagda uppgifter, säkerhetsklassificerad information, med mera. Identifieringsskyldigheten förväntas i förlängningen leda till att myndigheten tillser att myndighetsanställda med adekvat pålitlighet, behörighet, kompetens och utbildning sköter uppgifterna hos myndigheten. För att så skall kunna ske är det dock nödvändigt att dessa typer av uppgifter i första hand kartläggs.
Paragrafens 2 mom. ålägger myndigheter en skyldighet att identifiera behov av särskild informationshantering avseende data, information och uppgifter i myndighetshandlingar och informationsmaterial. Detta innebär att myndigheterna påförs en skyldighet att kontinuerligt identifiera skyddsvärda data, information och uppgifter i de informationsmaterial som den hanterar samt att upprätta samt upprätthålla någon form av informationsklassificeringsrutiner, vilka möjliggör en korrekt hantering av dessa, i såväl fysiskt som elektroniskt format. Bestämmelsen reglerar dock inte närmare hur detta ska ske. Informationsklassificering föregås i regel av en kartläggning av förekomsten av skyddsvärda data, information eller uppgifter i särskilda handlings- eller ärendetyper. Det kan handla om känsliga personuppgifter, icke-offentliga myndighetshandlingar, sekretessbelagda myndighetshandlingar, säkerhetsklassificerade myndighetshandlingar, offentliga myndighetshandlingar, med mera. Identifikationskravet och kravet på informationsklassificering kan förväntas leda till att myndigheten efter genomförd informationsklassificering, samt i enlighet med 10 § 5 punkten, begränsar tillgången, administrativt såväl som tekniskt och fysiskt, för de som saknar behörighet eller behov att befatta sig med vissa data, information, uppgifter, myndighetshandlingar, ärendetyper eller informationsmaterial. En myndighet kan vidare tänkas vilja föra logg över vilka som bereder sig tillträde till eller på annat sätt hanterar dessa enligt 12 §. Beroende på innehållet i informationsmaterialets skyddsvärde kan det även finnas andra skyddsåtgärder vilka myndigheten finner nödvändiga att vidta i syfte att säkerställa att ett särskilt skyddsintresse tillgodoses. Dessa ytterligare skyddsåtgärder överlämnas dock till myndigheten att själv bedöma behovet och lämpligheten av, i den mån detta inte redan är reglerat i annan lagstiftning. Skyddsåtgärderna ska dock inte i onödig mån inskränka på offentlighetsprincipens genomslag.
7 §. Informationssäkerheten i fråga om informationsmaterial och informationssystem. I denna paragraf föreslås bestämmelser om säkerheten i fråga om informationsmaterial och informationssystem.
I paragrafens 1 mom. föreskrivs en myndighets skyldigheter när det gäller organisering av informationssäkerheten för informationsmaterial och informationssystem. Enligt den första meningen i paragrafens 1 mom. ska en myndighet för informationsmaterial och informationssystem följa upp och säkerställa informationssäkerhetens tillstånd under deras hela livscykel, genom att identifiera de relevanta risker som är förenade med databehandlingen av informationsmaterial och informationssystem för hantering av materialet. Myndigheten ska dimensionera informationssäkerhetsåtgärderna utifrån riskbedömningen. Myndigheterna ska med stöd av bestämmelsen regelbundet bedöma de risker som är förenade med informationsmaterial och informationssystem under dessas hela livscykel. Bestämmelsen gäller sålunda bedömningen av de risker som är förenade med informationsmaterials och informationssystems livscykel från det att informationsmaterialen skapats till dess att de förstörs och likaså de risker som är förenade med anskaffning av informationssystem ända tills de tas ur bruk och förstörs eller överförs till Landskapsarkivet för varaktig förvaring. Riskbedömningen ska identifiera sådana relevanta risker som kan påverka informationsmaterialens konfidentialitet, integritet och tillgänglighet eller användningen av informationssystemen och deras feltolerans. Med relevanta risker avses risker som kan påverka en myndighets eller en användares verksamhet på ett menligt eller skadligt sätt. En myndighet bör på basis av riskbedömningen dimensionera informationssäkerhetsåtgärderna. Bestämmelsen utgör sålunda en helhet till vilken hör riskbedömning, planering av informationssäkerhetsåtgärder på basis av identifierade risker samt genomförande av informationssäkerhetsåtgärder. Riskbedömningen är inte en åtgärd av engångskaraktär utan den är en kontinuerlig verksamhet som bland annat innebär utvärdering av planer samt effekten av genomförda informationssäkerhetsåtgärder.
I paragrafens 2 mom. föreskrivs dessutom särskilt om specialkraven i anslutning till förverkligandet av informationssäkerheten. Informationssystemens feltolerans ska regelbundet säkerställas genom ett kontinuerligt och systematiskt säkerhetsarbete, i syfte att säkerställa verksamhetens kontinuitet och uppdatera informationssäkerhetsåtgärderna. Med relevanta informationssystem avses kritiska system med tanke på genomförandet av en myndighets lagstadgade uppgifter, i synnerhet i samband med produktion av tjänster för användare. Det kontinuerliga och systematiska säkerhetsarbetet ska således inte avse system som används för stödfunktioner eller andra använda system, vilka inte har någon större betydelse för skötseln av en myndighets uppgifter. Myndigheternas informationssystems funktionella användbarhet ska enligt momentet likaså säkerställas genom ett kontinuerligt och systematiskt säkerhetsarbete, både i det skede då de anskaffas och i samband med betydande underhållsåtgärder. Med funktionell användbarhet avses att det från systemanvändarnas synpunkt säkerställs att man enkelt kan lära sig använda systemet och att funktionslogiken är lätt att komma ihåg, att informationssystemets funktion stödjer de arbetsuppgifter som användaren ska utföra med hjälp av systemet och att systemets feltolerans främjas. Informationssystemets funktionella användbarhet utgör en del av säkerhetsåtgärderna eftersom systemfunktioner som är svåra att lära sig och komma ihåg och som har en besvärlig funktionslogik kan leda till att systemet används på fel sätt, så att informationssäkerheten äventyras.
Paragrafens 3 mom. syfte är att främja tillgången på information från myndigheternas informationssystem och informationsmaterial. Kraven kompletterar de som följer av 5 och 6 §§ i arkivlagen om arkivfunktionens organisering och skötsel och avser de myndigheter som i praktiken svarar för informationsmaterialens tillgänglighet. Genom bestämmelsen främjas genomförandet av en god offentlighets- och sekretesstruktur i myndigheternas informationssystem och i de databaser som bildas av informationsmaterialen. Enligt 3 mom. ska myndigheterna planera informationssystemen, strukturerna för informationslager och databehandlingen i samband med dem på ett sådant sätt att handlingsoffentligheten mödolöst kan tillgodoses. Genom bestämmelsen understryks det att informationen i en myndighets system med hjälp av informationssystemets sökfunktioner ska kunna omvandlas till myndighetsdokument. I informationssystemen och informationslagren ska ingå tillräckliga metadata för att det ska vara möjligt att med hjälp av dem enkelt i varje dokument särskilja offentliga respektive sekretessbelagda uppgifter. Syftet med bestämmelsen är att säkerställa tillgången på information i syfte att förverkliga offentlighetsprincipen, sköta myndigheternas uppgifter samt trygga sekretessintresset i fråga om sekretessbelagd information.
Enligt paragrafens 4 mom. ska myndigheterna i samband med sina upphandlingar säkerställa att det informationssystem som upphandlas innefattar lämpliga informationssäkerhetsåtgärder. Kraven kompletterar de som följer av 5 och 6 §§ i arkivlagen om arkivfunktionens organisering och skötsel. Syftet med bestämmelsen är att understryka att en myndighet i samband med upphandling av informationssystem ska planera och säkerställa ändamålsenliga informationssäkerhetsåtgärder. Då myndigheternas informationsbehandling koncentreras till informationssystem finns det skäl att i samband med anskaffningar säkerställa att de informationssystem som anskaffas uppfyller informationssäkerhetskraven, i enlighet med de informationsmaterial som ska behandlas, och att informationssystemen kan användas för att på ett resultatgivande och effektivt sätt sköta myndighetsuppgifter.
Paragrafens 5 mom. utgör ett förordningsbemyndigande för landskapsregeringen att föreskriva närmare regler om bedömningen av informationssäkerheten i myndigheters informationssystem och datakommunikation. I förordningarna kan det därmed föreskrivas hur informationssäkerheten när det gäller myndigheternas informations- och datakommunikationssystem ska bedömas i vissa situationer.
8 §. Information om och kontinuitet vid störningssituationer. Paragrafen reglerar myndigheters informationsskyldighet vid störningar i informationshanteringen och om myndigheters kontinuitetsskyldighet vid behandlingen av informationsmaterial och utnyttjandet av informationssystem. Automatiserade processer bygger i hög grad på behandling av informationsmaterial och utnyttjande av informationssystem, även om myndigheterna även annars är mycket beroende av dessa i sin verksamhet. De informationsmaterial och informationssystem som utnyttjas i automatiserade verksam-hetsprocesser är inte alltid endast myndighetens egna och därför begränsas tillämpningen av bestämmelsen inte endast till myndigheter som använder automatiserade processer.
I paragrafens 1 mom. föreskrivs det om kontinuitet vid störningssituationer. En myndighet ska i sin verksamhet förbereda sig på fel i informationssystemen eller på att deras funktion av någon annan orsak förhindras. En myndighet ska sträva efter att säkerställa att informationssystemen fungerar så störningsfritt som möjligt i alla lägen och ska därutöver bereda sig på att trygga informationsbehandlingens och den vägen verksamhetens kontinuitet också i situationer där informationssystemen inte kan användas. Detta förutsätter också förberedelse att införa alternativa sätt att sköta ärenden, om ett automatiserat beslutsförfarande inte kan utnyttjas på grund av en störning i myndighetens eget informationssystem eller i användningen av andra myndigheters informationslager som processen utnyttjar. I bestämmelsen förpliktigas myndigheter att i sitt kontinuitetsarbete särskilt uppmärksamma även kontinuiteten avseende informationshanteringen. Den föreslagna kontinuitetsskyldigheten ska endast gälla störningssituationer under normala förhållanden, alltså inte de som sker inom ramen för undantagsförhållanden. I praktiken ska en myndighet i kontinuitetsfrågor samarbeta på ett ändamålsenligt sätt med den myndighet som verkar i anslutning till den samt med andra myndigheter. En myndighet ska utreda väsentliga risker som hänför sig till behandlingen av informationsmaterial, utnyttjandet av informationssystem och kontinuiteten i den verksamhet de grundar sig på. Risker är, utöver fel i informationssystemet, exempelvis beroende av informationsmaterial och informationssystem som hanteras av andra, störningar i eltillförseln eller i kommunikationsnätens och kommunikationstjänsternas funktion samt kritiska leveranskedjor. I kontrakten med leverantörer av informationssystem och andra kontraktsparter bör utifrån en riskbedömning också aspekter som anknyter till myndighetsverksamhetens kontinuitet beaktas. Myndigheten ska utifrån riskbedömningen genom kontinuitetsplaner och förberedelser för verksamhet i störningssituationer och genom andra åtgärder se till att behandlingen av informationsmaterial, utnyttjandet av informationssystem och verksamheten fortsätter så störningsfritt som möjligt vid störningssituationer under normala förhållanden. I riskbedömningen bör beaktas kritiska informationsmaterial och informationssystem, hur kritiska och sannolika de identifierade riskerna är samt möjligheterna att trygga kontinuiteten och kostnaderna för olika kontinuitetstryggande åtgärder på olika nivåer. Förberedelse för verksamhet i störningssituationer och undantagsförhållanden och andra åtgärder kan exempelvis omfatta tekniska och strukturella förhandsförberedelser samt reserveringar av lokaler och kritiska resurser. Exempelvis genom nödvändiga förhållandelarm och uppföljning säkerställs att myndigheten får information om en störningssituation i informationssystemet så tidigt som möjligt. Efter behov ska också exempelvis effektmatningen säkerställas samt dataförbindelsernas rutter säkras. Till förhandsförberedelserna hör vidare säkerställande av kompetens genom instruktioner och kurser för personalen och genom övningar inför störningssituationer och verksamhet i undantagsförhållanden. Säkerställande av kontinuiteten i myndighetens beslutsfattande och annan verksamhet förutsätter också behovsenliga ersättararrangemang som planeras på förhand. Myndigheten ska planera hur den även i störningssituationer informerar andra myndigheter. Kommunikationsplaneringen hör till förberedelserna för verksamhet i störningssituationer och där ska särskilt informationen till de myndigheter uppmärksammas, vilkas verksamhet är beroende av att myndighetens informationssystem fungerar. När exempelvis automatiserade beslutsförfaranden stöder sig på utomstående informationslager förutsätter det säkerhet för tillgången till informationen, samt överenskomna förfaranden, för att i störningssituationer kunna hålla i gång informationssystemen, eller åtminstone kunna informera om störningar. När det gäller informationen till allmänheten ska vidare kommunikationen på förhand planeras för störningssituationer både när det gäller digitala tjänster och i övrigt tillgången till informationsmaterial. I planeringen bör också information om arrangemangen för tjänster som tillhandahålls allmänheten beaktas.
I paragrafens 2 mom. ingår en informativ hänvisning till föreslagna 3a § i lagen om digitala tjänster, vari bestämmelser om information till allmänheten om avbrott i digitala tjänster och andra elektroniska dataöverföringsmetoder återfinns. Enligt momentet ska allmänheten på lämpligt sätt i förväg informeras om avbrott i sina digitala tjänster och andra elektroniska dataöverföringsmetoder. Myndigheterna ska även vid avbrott offentliggöra anvisningar om hur var och en kan få sina ärenden skötta på ett alternativt sätt. Informationen och kommunikationen till myndigheter har framgår av motiveringen till 1 mom.
9 §. Informationsöverföring i datanät. I denna paragraf föreskrivs om de grunder på vilka en myndighet kan överföra sekretessbelagd information i ett datanät.
Enligt paragrafens 1 mom. första meningen ska myndigheterna överföra information elektroniskt i ett krypterat eller annat skyddat format, om informationen är sekretessbelagd. Enligt bestämmelsen har en myndighet prövningsrätt i fråga om överföringsmetoden för sekretessbelagd information i datanät. Överföringen kan skyddas exempelvis genom kryptering eller också kan informationen överföras i ett allmänt datanät med en oskyddad förbindelse, om den kan överföras i ett krypterat format och avkrypteras endast med en särskild PIN-kod eller ett annat lösenord.
I paragrafens 1 mom. andra meningen nämns en ytterligare förutsättning för överföring av sekretessbelagd information i ett datanät. Enligt bestämmelsen ska överföringen ordnas så att mottagaren verifieras eller identifieras på ett tillräckligt datasäkert sätt innan mottagaren kommer åt att hantera överförd sekretessbelagd information. Om överföringen mellan informationssystem sker i ett datanät ska det mottagande informationssystemet verifieras exempelvis med ett elektroniskt certifikat. Om mottagaren av sekretessbelagd information eller personuppgifter däremot är en fysisk person ska denna identifieras med någon tillförlitlig metod, exempelvis genom stark autentisering enligt föreslagna definitionen i 2 § 11 punkten i lagen om digitala tjänster. Bestämmelsen ska i fråga om identifiering tillämpas närmast i samband med informationsutbytet mellan myndigheter, eftersom identifieringskraven när det gäller digitala tjänster som erbjuds allmänheten regleras separat i 3c § i lagen om digitala tjänster.
I paragrafens 2 mom. också en informativ hänvisning till 3c § i lagen om digitala tjänster, vari det föreskrivs om förutsättningarna för identifiering av användare av digitala tjänster som erbjuds allmänheten. Bestämmelserna i den lagen gäller således bland annat elektroniska överföringsförfaranden som används vid kommunikation mellan myndigheter, exempelvis e-post, eller sådan kommunikation mellan myndigheters informationssystem som sker via tekniska gränssnitt. Däremot ska kraven som gäller informationsöverföring i datanät och därtill anslutna krypterings- eller skyddskrav, enligt vad som föreskrivs i denna lag, tillämpas även på myndigheters erbjudande av digitala tjänster till allmänheten. Den informativa hänvisningsbestämmelsen behövs således för att förtydliga förhållandet mellan lagarna så att identifierings- eller verifieringskravet uppfylls.
10 §. Tryggande av säkerheten i fråga om informationsmaterial. I denna paragraf föreskrivs om tryggande av säkerheten i fråga om informationsmaterial. I paragrafen finns en förteckning över de informationssäkerhetsåtgärder med vilka säkerheten i fråga om informationsmaterial säkerställs i alla myndigheter. Bestämmelserna gäller myndigheternas samtliga informationsmaterial. Kraven kompletterar de som följer av 9 § i arkivlagen om skydd och arkivbeständighet avseende förvarade handlingar och lagring av information.
Paragrafens 1 mom. utgör en förteckning över de obligatoriska krav som gäller genomförandet av informationssäkerhetsåtgärder.
Enligt paragrafens 1 mom. 1 punkten ska en myndighet säkerställa att informationsmaterialen är oföränderliga, till den del som detta är relevant. Säkerställandet av informationsmaterialets oföränderliga form är beroende av informationsmaterialets karaktär. Formen ska säkerställas i fråga om informationsmaterial som behandlar individers och sammanslutningars intressen, rättigheter och skyldigheter, för att de i informationsmaterialen ingående handlingarnas och övriga uppgifternas autenticitet och ursprung i efterhand ska kunna verifieras eller eventuella ändringar upptäckas. Bestämmelsen ger myndigheten prövningsmöjlighet när det gäller att säkerställa den oföränderliga formen och därför uppställs i bestämmelsen kravet att informationsmaterialens oföränderliga form ska säkerställas tillräckligt väl. Därmed avses att myndigheten i förhållande till informationsmaterialets karaktär överväger eventuella säkerhetsåtgärder. I fråga om vissa informationsmaterial är deras oföränderliga form viktig med tanke på bevisvärdet.
Enligt paragrafens 1 mom. 2 punkten ska informationsmaterialen skyddas mot tekniska och fysiska skador. Detta krav gäller bland annat förvaringsutrymmen för informationssystem och tjänster i anslutning till dem samt platser där informationsmaterial i pappersform förvaras.
I paragrafens 1 mom. 3 punkten uppställs krav på verifiering av informationsmaterialens ursprung, uppdatering och felfrihet. Dessa krav är viktiga för att säkerställa myndighetsverksamhetens behörighet samt för att förverkliga och säkerställa rättssäkerheten för de anställda och användare. Det bör anses som en självklar utgångspunkt att handlingar som har upprättats av en myndighet och dataregister som upprätthålls av en myndighet ska vara korrekta, felfria och uppdaterade.
Enligt paragrafens 1 mom. 4 punkten ska även informationsmaterialens tillgänglighet och användbarhet säkerställas. Myndigheternas verksamhet är informationsintensiv och beroende av de material som finns i informationslagren. Mot bakgrund av detta ska det säkerställas att en myndighets informationsmaterial finns tillgängliga och i en användbar form.
Enligt paragrafens 1 mom. 5 punkten ska informationsmaterialens tillgänglighet vid behov begränsas. I praktiken begränsas tillgängligheten genom exempelvis principer för åtkomst och tilldelning av användarrättigheter, beroende på vilken typ av informationsmaterial som ska hanteras. I fråga om offentliga informationsmaterial begränsas inte tillgängligheten, medan det i fråga om personuppgifter och i synnerhet när det gäller sekretessbelagd information måste vidtas åtgärder för att säkerställa att informationshanteringen sker på ett behörigt sätt. Med behörigt sätt avses vidtagande av såväl administrativa såväl som tekniska och fysiska åtgärder.
I paragrafens 1 mom. 6 punkten föreskrivs om kravet för en myndighet att se till att informationsmaterialen kan slutförvaras till behövliga delar, med vilket avses slutförvaring hos arkivverk, elektronisk arkivering, eller dylikt.
I paragrafens 2 mom. föreskrivs om grunderna för säkerheten i fråga om verksamhetslokalerna. Enligt bestämmelsen ska informationsmaterial hanteras och förvaras i verksamhetslokaler som är tillräckligt säkra med tanke på de krav som ställs på informationsmaterialets konfidentialitet, integritet och tillgänglighet. Genom bestämmelsen understryks den omständigheten att det i fråga om de lokaler som används för förvaring av informationsmaterial ska beaktas alla de informationssäkerhetskrav som gäller i fråga om sådana material.
11 §. Kontroll av åtkomst till informationssystem. Syftet med denna paragraf är att reglera grunderna för rätten att utnyttja informationssystem, så att bestämmelsen säkerställer tillträde till ett informationssystem endast för personer som har rätt att hantera systemets informationsmaterial och endast i den mån som respektive användares behov förutsätter detta. Enligt paragrafen ska systemansvariga myndighet för informationssystemet definiera principerna för åtkomst till informationssystemet, vilka ska fastställas utifrån användarnas uppgiftsrelaterade behov. Användarrättigheterna ska vidare bestämmas och tilldelas utifrån användarens uppgiftsrelaterade användningsbehov samt lägsta möjliga behörighetsnivå och de ska hållas uppdaterade. Bestämmelserna förutsätter att användarrättigheterna fastställs på förhand för varje systemanvändare. Användarrättigheterna kan vidare fastställas utifrån användarens typiska arbetsuppgifter. Rättigheterna ska också hållas uppdaterade för att tillgången till informationen ska kunna säkerställas i aktuella situationer och samtidigt förhindra att en användare, med föråldrade användarrättigheter, får tillgång till information i en större utsträckning än användarens arbetsuppgifter förutsätter. Den myndighet som ansvarar för ett informationssystem ska inte nödvändigtvis upprätthålla användarrättigheterna, utan den kan stanna vid skyldigheten att definiera principerna för åtkomst till informationssystemet. En annan myndighet än den systemansvariga, som använder ett informationssystem, kan i stället vara ansvarig för uppdatering av användarrättigheterna. Kännetecknande för sådana informationssystem är att fördelningen av ansvaret för användarrättigheterna sker i nätverksbaserade informationssystem som är i gemensam användning av flera myndigheter, exempelvis i enlighet med tjänsteproduktionsmodeller som organiserats som servicecentraler. Det är således servicecentralen som definierar principerna för åtkomst till informationssystemet, i egenskap av den myndighet som ansvarar för informationssystemet, men den myndighet som enbart använder informationssystemet som ska hålla användarrättigheterna uppdaterade.
12 §. Insamling av logginformation. Enligt paragrafen ska logginformation samlas in om användningen och utlämnande av information från dess informationssystem, om användningen förutsätter identifiering annan registrering. Med stöd av bestämmelsen behöver logginformation samlas in från alla typer av informationssystem. Logginformation ska samlas in om användningen av och utlämnandet av information i informationssystemen, men insamlingen ska vara behovsrelaterad. Om sekretessbelagd information eller personuppgifter lämnas ut från ett informationssystem via gränssnitt eller elektronisk förbindelse ska logginformation samlas från det utlämnande systemet, i syfte att säkerställa att det finns en laglig grund för utlämnandet. Dessutom ska logginformation om åtminstone användningen och utlämnande av information samlas in i informationssystem där sekretessbelagd information behandlas. Med stöd av bestämmelsen ska insamlingen av logginformation om användningen och utlämnande av information bedömas endast utifrån om informationen behövs för felutredningar eller för genomförande av en individs intressen, rättigheter, skyldigheter och rättsskydd eller för konstaterande av tjänsteansvar. Det finns skäl att i synnerhet ur dessa synvinklar bedöma behovet av logginformation, om en myndighet i ett informationssystem behandlar information som inte är sekretessbelagd eller information som kunde vara relevant med tanke på tillgodoseendet av en individs rättssäkerhet. En omständighet som inverkar på behovsprövningen är också de i den allmänna dataskyddsförordningen stadgade kraven som gäller genomförande av tekniska och organisatoriska åtgärder i syfte att skydda personuppgifter. Logginformation behöver inte med stöd av denna bestämmelse samlas in från öppna informationsmaterial, vilka finns allmänt tillgängliga på webben, exempelvis på hemsidor. Insamlingen av logginformation ska alltså baseras på ett behov som definieras av den systemansvariga myndigheten. Omfattningen och typen av logginformation som samlas in är beroende av behovsprövning. Logginformation behöver inte samlas in om det inte i denna eller i någon annan lag finns någon grund för insamlingen. Logginformationen består huvudsakligen av personuppgifter, vilket innebär att de allmänna dataskyddsbestämmelserna ska beaktas vid regleringen. Logginformationen utgör en del av säkerhetsarrangemangen när det gäller myndigheternas informationssystem, vilket kan innebära att logginformationen är sekretessbelagd med stöd av 21 § 4 punkten i offentlighetslagen, om den ligger till grund för beredningen av ett ärende och därmed utgör en myndighetshandling, om det inte är uppenbart att utlämnandet av uppgifter ur en handling inte äventyrar genomförandet av syftet med skyddsarrangemangen. Syftet med och grunden för insamling av logginformation är att genomföra informationssäkerheten i fråga om myndigheternas informationssystem så att det är möjligt att med stöd av logginformationen utreda felsituationer, säkerhetshändelser och övervaka användningen av systemen, bland annat i syfte att förverkliga rättssäkerheten och fastställa tjänsteansvaret. Syftet med logginformationen är också att dokumentera överföringar från informationssystem och samtidigt säkerställa att det funnits en laglig grund för utlämnandet. På detta sätt uppkommer informationssystemens användarloggar och överföringsloggar.
I paragrafens andra mening anges att de insamlade loggarna ska skyddas mot manipulering och obehörig åtkomst. Syftet med bestämmelsen är att säkerställa att myndigheten inte för eller förvarar loggarna på ett sådant sätt att de som obehörigen har berett sig tillgång till information, vilken de inte har rätt till eller behöver, inte ska kunna röja sina spår. Skyddandet kan ske genom att såväl administrativ som teknisk och fysisk tillgång för obehöriga förhindras.
I paragrafens tredje mening definieras logginformationens användningsändamål. Loggregistret beskriver informationssystemens och användarnas verksamhet och innehåller i regel personuppgifter. Logginformation samlas in om användningen av informationssystemen, varmed avses lagring, ändring, avräknande, optisk granskning, utlämnande eller någon annan åtgärd som avser informationen. I paragrafen föreskrivs inte om logginformationens tillgänglighet, utan den frågan bestäms med stöd av offentlighetslagen eller speciallagar. Paragrafen innehåller inte heller någon bestämmelse om förvaringstiden för logginformation, utan förvaringstiden bestäms i stället med beaktande av behovet på samma sätt som när det gäller annan förvaring av information i myndighetens arkivplan. Den kortaste förvaringstiden för logginformation är dock vanligen minst fem år, med hänvisning till de straffrättsliga preskriptionstiderna. I speciallagstiftning kan det föreskrivas särskilt om minsta förvaringstid för logginformation, i synnerhet i sådana fall varvid logginformation förvaras under en längre tid än behövligt för att fullgöra myndighetens skyldigheter. I paragrafen föreskrivs inte heller om innehållet i logginformationen, utan dess användningsbehov avgör vilka uppgifter som kan samlas in som logginformation ur ett visst informationssystem.
4 kap. Skapande och elektronisk överföring av informationsmaterial
13 §. Omvandling av informationsmaterial till elektroniskt format och materialens tillgänglighet. I denna paragraf föreskrivs om omvandling av informationsmaterial till elektroniskt format. Syftet med paragrafen är att styra myndigheterna så att de företrädelsevis behandlar sina informationsmaterial i elektroniskt format, oberoende av i vilket format materialet har inkommit i. Bestämmelsen innebär inte någon ändring av arkivlagstiftningens bestämmelser om det format som myndighetshandlingar ska förvaras och arkiveras i. Därmed ska informationsmaterial som enligt arkivlagstiftningen ska förvaras längre än 10 år eller varaktigt i fysiskt format förvaras såväl elektroniskt som fysiskt. Detta innebär även att visst elektroniskt material, vars huvudexemplar är elektroniskt, även fortsättningsvis ska skrivas ut på papper i ett fysiskt arkivexemplar för varaktig förvaring. Kravet på fysisk varaktig förvaring gäller dock inte om myndigheten av Landskapsarkivet har beviljats särskilt tillstånd för elektronisk förvaring enligt 6 § 1 mom. i förordningen om arkivering av elektronisk information som ska förvaras mer än tio år och varaktigt. Paragrafen motsvarar i övrigt i huvudsak nuvarande 8 § 4 mom. i offentlighetslagen, med vissa tillägg.
I paragrafens 1 mom. första meningen föreskrivs det att om en handling inkommer till en myndighet i annat än elektroniskt format ska den omvandlas till ett allmänt tillgängligt elektroniskt format, det vill säga kopieras elektroniskt. Tidpunkten då en inkommen handling ska omvandlas till elektroniskt format blir beroende av myndighetens prövning. Undantag kan dock göras om detta är nödvändigt för att säkerställa en informationssäker hantering av en handling till följd av sekretessbeläggning eller säkerhetsklassificering eller motsvarande.
Enligt paragrafens 1 mom. andra meningen ska en myndighet ansvara för att en till elektroniskt format omvandlad handlings tillförlitlighet och integritet säkerställs. Myndigheten ska därmed vid omvandlingen av en handling till elektroniskt format värna om den omvandlade handlingens beviskraft på så sätt att den till elektroniskt format omvandlade handlingens tillförlitlighet och integritet kan säkerställas. Av denna anledning måste myndigheten ha sådana tekniska arrangemang som behövs för att på ett tillförlitligt sätt omvandla pappershandlingar till elektroniskt format, på ett sådant sätt att den i handlingarna ingående informationens beviskraft bevaras. Den teknik som används ska garantera att omvandlade handlingars informationsinnehåll har granskats och verifierats av myndigheten. Omvandlade handlingar ska exempelvis verifieras elektroniskt genom den persons försorg som har gjort omvandlingen. Verifieringen ska vara sådan att det i efterhand är möjligt att konstatera om det har gjorts ändringar i en handling som har omvandlats till elektroniskt format. En omvandlad handling är en kopia av originalet och det är därför särskilt viktigt att säkerställa att informationsinnehållets integritet i samband med omvandlingen kontrolleras tillräckligt noggrant och att integriteten bevaras också i det elektroniska formatet. Med en omvandlad handlings beviskraft avses att det med stöd av den kan konstateras vad som har krävts av en myndighet eller vad handlingens informationsinnehåll berättigar eller förpliktar till och att handlingens informationsinnehåll inte har ändrats från det ursprungliga.
Enligt paragrafens 1 mom. tredje meningen ska myndighetshandlingar vilka en myndighet har upprättat även förvaras och vara tillgängliga i ett elektroniskt format, det vill säga att de ska antingen omvandlas eller upprättas i elektroniskt format, i syfte att möjliggöra fortsatt elektronisk behandling. Myndighetshandlingar, handlingar och information vilka ursprungligen har skapats i elektronisk format och vilka ska förvaras mer än 10 år och varaktigt ska fortsättningsvis skrivas ut på papper i ett arkivexemplar för slutarkivering.
I paragrafens 1 mom. fjärde meningen nämns situationer där det är möjligt att avvika från bestämmelsen om elektronisk förvaring av en handling vilken har inkommit till en myndighet eller som en myndighet upprättat. Avvikelse får göras från kravet på omvandling till elektroniskt format och förvaring om det är nödvändigt på grund av särskilda behandlingskrav till följd av sekretessbelagda uppgifter, övriga informationssäkerhetskrav, säkerhetsklassificeringar eller av någon annan nödvändig orsak, vilken har samband med handlingens karaktär. En sådan nödvändig orsak som avses i bestämmelsen kan ha samband med handlingens form eller innehåll, på så sätt att handlingen inte kan omvandlas till elektroniskt format, på grund av säkerhetsfaktorer eller innehållets format. En handling kan också ha ett sådant innehåll att det är nödvändigt att behandla den i pappersformat, utan att den kopieras till elektroniskt format.
I paragrafens 2 mom. föreskrivs om vissa undantag från skyldigheten att omvandla en myndighetshandling till ett sådant allmänt tillgängligt elektroniskt format. Eftersom definitionen av myndighetshandling är mycket vid kan det i vissa fall vara svårt att omvandla myndighetshandlingen till ett elektroniskt format, exempelvis om handlingen är av trä eller annat material som inte är lämpat för elektronisk omvandling, eller att handlingen är ofantligt stor. Myndigheterna ska inte heller vara skyldiga att omvandla myndighetshandlingar om detta skulle förutsätta att myndigheten måste vidta mer än rutinbetonade åtgärder. Begreppet rutinbetonade åtgärder används även i definitionen av myndighetshandling enligt 6 § 3 mom. i offentlighetslagen, avseende när en upptagning ska anses förvarad hos myndigheten. I regel ska en myndighet omvandla myndighetshandlingar som inkommer i pappersformat till en myndighet om det rör sig om ett fåtal eller tiotal sidor. Däremot är det inte skäligt att en myndighet ska vara skyldig att omvandla exempelvis omfattande handlingar i inbundet format. Vid myndighetens bedömning av vad som utgör en rutinbetonad åtgärd ska bland annat den nödvändiga arbetsinsatsen och de kostnader för en myndighet som en viss åtgärd kan föranleda beaktas. Även i öppna data-direktivets artikel 5 har behovet av undantag från krav på omvandling beaktats. Enligt artikel 5.2 ska punkten 1 inte medföra någon skyldighet för offentliga myndigheter att skapa nya handlingar eller anpassa handlingar eller att tillhandahålla utdrag för att efterleva den punkten, om detta skulle kräva orimligt stora ansträngningar och inte endast ett enkelt handgrepp.
14 §. Insamling av informationsmaterial för myndighetsuppgifter. I denna paragraf föreskrivs om metoderna för insamling av material som ska användas för skötsel av myndighetsuppgifter. Syftet med bestämmelsen är att minska myndigheternas insamling av parallella och överlappande material hos användare samt att säkerställa att myndigheterna utnyttjar uppdaterad information från ursprungliga informationskällor. I bestämmelsen föreskrivs inte om informationsrättigheter utan i stället om begränsningar i myndigheters informationsinsamling.
Enligt paragrafens 1 mom. är en myndighet skyldig att utnyttja en annan myndighets informationsmaterial om myndigheten med hjälp av dem kan sköta sina uppgifter på ett ändamålsenligt sätt, med beaktande av enskildas rättssäkerhet. Skyldigheten gäller enligt bestämmelsen situationer där en myndighet har rätt att få tillgång till en annan myndighets information via ett tekniskt gränssnitt eller en elektronisk förbindelse. Bestämmelsen innebär att en myndighet i sin planering av verksamhetsprocesser ska bedöma vilken information som den från befintliga informationslager kan få i uppdaterad form, inom ramen för sina rättigheter att få behandla information, utan att särskilt behöva be en part eller någon annan användare om informationen. Syftet med bestämmelsen är att styra förvaltningsverksamheten till ändamålsenliga verksamhetsprocesser och att samtidigt uppmärksamma parter och andra användare på vikten av rättssäkerhet vid utnyttjande och användning av information. En myndighet kan inte enbart på basis av insamlad information fatta sådana beslut rörande en användare som får direkta rättsverkningar, utan användaren måste bland annat höras före beslutsfattandet, annars måste ärendebehandlingen eller tjänsteproduktionen ordnas så att en part redan i samband med ärendebehandlingen eller tjänsteproduktionen kan säkerställa att de uppgifter som myndigheten har är korrekta. Bestämmelsen innebär således ingen ovillkorlig skyldighet för myndigheten att utnyttja en annan myndighets informationsmaterial, som den andra myndigheten behöver för skötsel av sina egna uppgifter. Avsikten med bestämmelsen är i stället att styra planeringen, i vilken de procedurkrav som gäller för ärendebehandling och tjänsteproduktion ska beaktas. Vidare kan bestämmelsen ses som ett första steg mot en informationshanteringsmodell där myndigheter, i förlängningen, inte tillåts att ånyo registrera uppgifter som redan finns tillgängliga inom andra delar av den offentliga förvaltningen.
I paragrafens 2 mom. föreskrivs om insamling av information när det är fråga om information som samlas in i form av utdrag eller intyg. I många situationer kan information som ingår i utdrag eller intyg för myndighetsbruk fås direkt från en annan myndighet via ett tekniskt gränssnitt eller en elektronisk förbindelse, exempelvis ämbetsbevis från befolkningsdatasystemet, handelsregisterutdrag från handelsregistret och fastighetsregisterutdrag från fastighetsdatasystemet. Bestämmelsen är inte ovillkorlig, utan den innehåller villkor, vilka innebär att bestämmelsen som begränsar insamling av information ska tillämpas. Med tillförlitlighet och uppdatering avses i bestämmelsen att uppdateringen av informationsmaterialen i den utlämnande myndighetens informationslager har kontrollerats och att informationens autenticitet och integritet har säkerställts i informationshanteringsprocesserna. Tillförlitligheten innebär vidare att en part ska ha möjlighet att bekanta sig med informationen i den myndighets informationslager som lämnar ut informationen till en annan myndighet. Myndigheten har i de flesta situationer möjlighet att från en annan myndighet få uppdaterad information i anslutning till olika intyg och utdrag. Det finns av denna anledning inga skäl att förutsätta eller kräva att en part ska avtvingas att lämna sådan information ånyo. En part får inte heller på något annat sätt avkrävas motsvarande information. Avsikten är att säkerställa att en part inte åläggs att på nytt inkomma med information som myndigheten redan har tillgång till. Avsikten är även att slopa förfaranden som innebär att en part ska inkomma med intyg eller utdrag som har utfärdats av en annan myndighet. Utgångspunkten är den att en myndighet, för behandlingen av ett ärende eller produktionen av en tjänst, själv ska skaffa all den information som finns i utdrag och intyg, om detta är möjligt inom ramen för myndighetens informationsrättigheter. Myndigheterna har emellertid inte i alla situationer någon möjlighet att få information i anslutning till utdrag om intyg, exempelvis när det är fråga om utländska fysiska eller juridiska personer. Avsikten med paragrafen är dock att minska onödig informationsinsamling och att effektivare utnyttja myndigheternas informationslager i myndigheternas verksamhet. En myndighet ska fortfarande be om utdrag och intyg, om den inte har rätt att få informationen direkt från en annan myndighet, eller om den inte kan kontrollera att den andra myndighetens informationslager är uppdaterat. Det kan dock finnas andra skäl till att ånyo begära in information eller handling som annars finns tillgänglig, exempelvis för att säkerställa identiteten på en viss person eller när information eller handling kan förväntas tillmätas bevisvärde i ett visst ärende eller process. I de fall som myndigheten begagnar sig av information ifrån andra myndigheter ska detta självklart framgå av ärendets dokumentation, genom registrering eller särskild anteckning, och i relevanta fall även av myndighetens beslut, i enlighet med 37 och 40 §§ i förvaltningslagen. Bestämmelsen inverkar inte heller på skyldigheter som föreskrivs någon annanstans i lag, utan den är främst tänkt att tillämpas i ansökningsärenden, vilka har inletts av parter.
15 §. Informationsöverföring mellan myndigheter via tekniska gränssnitt. I denna paragraf föreskrivs om de förutsättningar under vilka en myndighet för en annan myndighet kan öppna ett tekniskt gränssnitt för utlämnande av information, för skötsel av den andra myndighetens lagstadgade uppgifter. I paragrafen föreskrivs inte om informationsrättigheter, utan de bestämmelserna återfinns fortsatt i offentlighetslagen eller i speciallagstiftning. Avsikten med bestämmelsen är att ersätta de bestämmelser om tekniska anslutningar mellan myndigheter som ingår i speciallagstiftning. Syftet med den föreslagna paragrafen, och med 16 och 17 §§ i anslutning till denna, är att i allmän lag föreskriva om förutsättningarna för att en myndighet ska kunna lämna ut information med hjälp av tekniskt gränssnitt eller annan elektronisk förbindelse. Regleringen påverkar inte i och för sig informationsrättigheterna, utan enbart sättet för utlämnandet, så att den antingen förpliktar eller möjliggör användningen av vissa tekniska lösningar för informationsutbyte mellan myndigheter. I fortsättningen kan en myndighet lämna ut handlingar och information till en annan myndighet via ett tekniskt gränssnitt, om de förutsättningar för utlämnandet som föreskrivs i paragrafen är uppfyllda. Paragrafen möjliggör inte obegränsad tillgång till en annan myndighets informationslager och informationsmaterialen i dem, utan sådana överföringar ska övervakas med administrativa och tekniska metoder. Detta kan ske på så sätt att det i den mottagande myndighetens informationssystem säkerställs att överföringen är korrekt och behövlig exempelvis genom administrativa kontroller av användarförhållandet, den konkreta situationen eller andra verksamhetsprocesser.
Enligt paragrafens 1 mom. första meningen kan myndigheterna regelbundet via tekniska gränssnitt överföra periodisk och standardiserad elektronisk information mellan informationssystem via tekniska gränssnitt, om den mottagande myndigheten enligt lag har rätt till informationen. Denna bestämmelse gäller situationer där en myndighet regelbundet lämnar ut information från sitt informationslager till en annan myndighet för den andra myndighetens informationsbehov. I regelbundet återkommande situationer ska utlämnande av information via tekniska gränssnitt utgöra huvudregeln, vilken det kan avvikas ifrån endast om det föreskrivs i lag om detta. Skyldigheten att ordna utlämnandet av information via tekniska gränssnitt gäller dock inte situationer där information sällan lämnas ut. Med regelbundet utlämnande av information avses situationer där information regelbundet, dagligen eller varje vecka, överförs mellan myndigheter. Vid utlämnande av information via gränssnitt krävs det dessutom att informationen lämnas ut i standardiserat format, vilket innebär att den kan lämnas ut automatiskt via gränssnitt. Bestämmelsen tar inte sikte på situationer där en myndighet med stöd av informationsskyldigheten eller annars överför information till en annan myndighet genom att, exempelvis för ett meddelande, använda en teknisk tjänst eller någon annan elektronisk överföringsmetod. Det är då inte fråga om användning av tekniska gränssnitt och om överföring av information mellan informationssystem. Både den utlämnande och den mottagande myndigheten är då skyldig att se till att trafiken mellan deras informationssystem sköts med hjälp av kompatibla tekniska gränssnitt. Bestämmelsen innebär bland annat att vardera myndigheten ska se till att det i deras informationssystem kan införas de tekniska gränssnitt som behövs för informationsöverföringar. Myndigheterna ska således redan i samband med avtal om anskaffning av informationssystem beakta kraven om utlämnande av information via tekniska gränssnitt. I praktiken ska detta beaktas också i samband med skyldigheten att planera informationshanteringen, då myndigheten förnyar sina förfaranden och skaffar eller förnyar sina informationssystem. Paragrafens 1 mom. första meningen innehåller också villkoret att information kan lämnas ut via ett tekniskt gränssnitt endast om den mottagande myndigheten enligt lag har rätt till information som överförs via tekniska gränssnitt. I annan lagstiftning föreskrivs om informationsrättigheter.
Enligt paragrafens 1 mom. andra meningen kan elektronisk överföring av periodisk och standardiserad information genomföras på något annat sätt om det inte är tekniskt eller ekonomiskt ändamålsenligt att genomföra eller använda ett tekniskt gränssnitt. Denna bestämmelse ska tillämpas då det för myndigheter har uppkommit en skyldighet att lämna ut information via tekniska gränssnitt, men informationen inte kan lämnas ut via gränssnitt. Det kan exempelvis ske på grund av särskilda förutsättningar som gäller informationssäkerheten eller i en ändringssituation där det inte är ekonomiskt lönsamt att, för informationsutbyte via tekniska gränssnitt, genomföra tekniska lösningar i ett gammalt system, i slutet av sin livscykel. Om gränssnitt saknas förutsätter regleringen i praktiken att myndigheterna, i varje fall, inom övergångstiden överväger om det tekniskt eller ekonomiskt är mera ändamålsenligt att överföra information på något annat sätt än genom att bygga nya gränssnitt. Myndigheter borde emellertid sträva efter att inte sammanställa innehållet i ett ursprungligt informationslager till onödigt omfattande personuppgiftsregister i form av kopior. Överföring eller utnyttjande av informationen i ett informationslager, vilket fungerar som en ursprunglig informationskälla, bör endast ske då det finns ett konkret behov för ärendebehandling eller tjänsteproduktion. En teknisk orsak kan vidare vara olika service- och driftsavbrott eller ett driftsättandeskede för ett förnyat informationssystem.
Enligt paragrafens 1 mom. tredje meningen kan en myndighet även i andra situationer öppna ett tekniskt gränssnitt för en behörig myndighet. Syftet med den andra meningen är att möjliggöra informationsutbyte mellan myndigheters informationssystem också när det gäller andra än periodiska och standardiserade informationsöverföringar. Det är dock till denna del inte obligatoriskt att ordna med informationsöverföring mellan olika system. Här kommer sådana situationer i fråga där överföringarna inte är regelbundna, men är standardiserade till innehållet. Paragrafens 1 mom. ska inte tillämpas om myndigheternas informationsöverföringar är oregelbundna och informationsbehovet i anslutning till dem inte kan standardiseras, utan i stället varierar i olika situationer. Detta innebär att informationsbegäran ska preciseras, exempelvis genom användning av elektroniska överföringsmetoder, vilket i sin tur också innebär att informationen överförs elektroniskt eller på något annat lämpligt sätt. Dessutom hänvisas det i momentet till bestämmelserna av överföring av handlingar och information, i vilka det föreskrivs särskilt om överföring av information på annat sätt än via tekniska gränssnitt. Sådana bestämmelser är bland annat denna lags bestämmelser om elektroniska förbindelser och offentlighetslagens bestämmelser om lämnande av uppgifter som kopia eller utskrift eller i elektronisk form.
I paragrafens 2 mom. föreskrivs om ytterligare förutsättningar för att information ska kunna överföras via tekniska gränssnitt. De förutsättningar som nämns i 2 mom. innebär i praktiken skyldigheter för myndigheterna, eftersom de måste genomföras om det finns förutsättningar för att ordna informationsöverföringen via tekniska gränssnitt. Enligt momentets första mening ska informationsöverföring via tekniska gränssnitt mellan informationssystem genomföras så att det administrativt har säkerställts informationsmaterialens behövlighet och nödvändighet i det enskilda fallet. Detta särskilt med tanke på skötseln av den mottagande myndighetens uppgifter samt om överlåtelsen avser personuppgifter eller sekretessbelagd information. Bestämmelsen förutsätter att överföringen kontrolleras när den myndighet som behöver informationen behandlar ett ärende eller producerar en tjänst och informationen utlämnas via tekniska gränssnitt. Ett informationssystem som sänder en teknisk informationsbegäran ska ha en kontrollfunktion, vilken säkerställer att användaren av den myndighets informationssystem som begär informationen behandlar ett sådant ärende, eller producerar en sådan tjänst, där den begärda informationen behövs för fullgörandet av sina uppgifter. Den myndighet som begär informationen ska med hjälp av administrativ och teknisk kontroll, samt den andra myndighetens tekniska gränssnitt, kunna sammankoppla informationen från den andra myndigheten med det ärende som behandlas eller den tjänst som produceras, på basis av den överförda informationen. Momentets bestämmelser gäller särskilt situationer där överföringen avser personuppgifter eller sekretessbelagd information. I andra situationer ska således inte de ytterligare förutsättningar som föreskrivs i momentet tillämpas i fråga om överföringar via tekniska gränssnitt.
I paragrafens 3 mom. föreskrivs hur sådana informationsstrukturer som är nödvändiga för genomförande av tekniska gränssnitt ska definieras hos myndigheterna. Syftet med bestämmelsen är att främja och säkerställa interoperabiliteten mellan informationssystemen.
Enligt 3 mom. första meningen ska beskrivningen av strukturerna, när det gäller information som överförs via ett tekniskt gränssnitt, definieras av den myndighet som överför informationen. I många situationer är informationsutbytet mellan myndigheter via tekniska gränssnitt emellertid nätverksbaserat, vilket innebär att det inte nödvändigtvis på basis av den första meningen är möjligt att ange vilken myndighet som ska definiera informationsstrukturen. Sådana situationer förekommer i synnerhet i kommuner och hos andra myndigheter som sköter myndighetsuppgifter inom sitt eget område.
I paragrafens 3 mom. andra meningen föreskrivs av den anledningen om situationen att information överförs mellan flera myndigheter. I så fall ska informationsstrukturerna definieras under ledning av det landskapsregeringen, vilket innebär att det kan säkerställas att informationsstrukturerna definieras på ett koordinerat och effektivt sätt. Bestämmelsen anknyter till landskapsregeringens möjlighet att i 5 § att upprätthålla riktlinjer för utvecklingen av de gemensamma informationslagren och informationssystemen, i syfte att främja interoperabiliteten. Landskapsregeringen kan därmed, genom sitt upprättande av riktlinjer, även styra planeringen av informationsöverföring mellan flera myndigheter, vilket förbättrar möjligheten att bedöma de konsekvenser som dessa kan ha för handlingsoffentligheten och sekretessbeläggningen av myndighetshandlingar. Med uttrycket ”beskrivningen av strukturen för information” avses i momentet ett framställningssätt som gäller ett visst användningsändamål, och på basis av vilket myndigheten ska utforma den information som den lämnar ut i motsvarande syfte. Beskrivningen av informationsstrukturen består av den definition av genomförandet av informationsöverföringen, varmed bland annat de termer, begrepp och koder samt förhållandena mellan dem, som används för beskrivning av information som är föremål för överlåtelse, standardiseras. Syftet med den närmare definitionen av informationsstrukturerna är att säkerställa att informationsmaterialen är maskinläsbara och tillgängliga. Med tanke på tillgängligheten ska sådana beskrivningsmetoder och teknologier som tryggar användningen av informationen utnyttjas, med hjälp av allmänt tillgänglig och kostnadseffektiv utrustning. Den strukturella styrningen av informationsmaterialen ändrar dock inte myndigheternas ansvar för ordnande av den informationshantering som förutsätts för den uppgiftsrelaterade verksamheten.
16 §. Upprättande av elektronisk förbindelse till en myndighet. I denna paragraf föreskrivs om förutsättningarna för upprättande av en elektronisk förbindelse till en myndighet. Upprättande ger dock inte obegränsad tillgång till en myndighets informationslager eller informationsmaterial och personregister i det. Syftet med bestämmelsen är att reglera teknisk anslutning i sådana situationer där avsikten är att upprätta en separat elektronisk förbindelse till en annan myndighet, exempelvis via en tjänst på en av myndighetens hemsidor på nätet.
Enligt paragrafens 1 mom. första meningen kan en myndighet upprätta en elektronisk förbindelse till en annan myndighet för överföring av sådan information i ett informationslager som den mottagande myndigheten har rätt att få tillgång till. I paragrafen föreslås åter igen inte någon bestämmelse om informationsrätten, utan enbart om det sätt på vilket information i vissa situationer kan ges en annan myndighet för påseende. En myndighet kan således inte upprätta en elektronisk förbindelse i vilken situation som helst, utan endast då den myndighet till vilken förbindelsen upprättas har lagstadgad rätt att få tillgång till information via den elektroniska förbindelsen.
I paragrafens 1 mom. andra meningen föreskrivs om ytterligare förutsättningar för att upprätta en elektronisk förbindelse. Enbart rätten att få information räcker inte för upprättandet av en elektronisk förbindelse, utan dessutom krävs skyddsåtgärder i anslutning till informationssystemen, i syfte att elektroniska förbindelser inte ska kunna utnyttjas för obehövlig datainsamling och för att förhindra lagstridig informationsbehandling. Tilläggsförutsättningarna ska vidare vara uppfyllda i alla avseenden för att en elektronisk förbindelse ska kunna upprättas.
Den första förutsättningen är att den elektroniska förbindelsen ska begränsas till sådana behövliga eller nödvändiga uppgifter som informationsrätten förutsätter. Syftet med bestämmelsen är förhindra obehörig och obehövlig informationshantering. Upprättandet av en elektronisk förbindelse ska således först bedömas utifrån respektive myndighets informationsrättigheter, varefter möjligheten att ta del av information ska begränsas till enbart sådana uppgifter som myndigheten behöver och har rätt till, inom ramen för sina informationsrättigheter. Möjligheten att ta del av information kan därmed inte vara obegränsad och en elektronisk förbindelse får inte upprättas till vilken information som helst, utan endast efter en förhandsbedömning till vissa myndigheter. Förutsättningen gäller dock endast när det inte redan finns en förbindelse till registrerade uppgifter, vilka är avsedda särskilt för lagstadgad allmän användning eller som var och en har rätt att ta del av. I sådana situationer kan upprättandet av en elektronisk förbindelse förverkligas för en större krets av informationsberättigade aktörer, exempelvis till handelsregister, föreningsregister eller stiftelseregister. Bestämmelsen tar dock inte sikte på informationstjänster som möjliggör elektronisk förbindelse och är avsedda för allmänt bruk.
Enligt förslaget ska möjligheten till elektronisk förbindelse i enlighet med den andra förutsättningen begränsas till enskilda sökningar. Det ska därmed inte vara möjligt med hjälp av den elektroniska förbindelsemodellen att utan begränsning hämta mängder av information från en annan myndighets informationslager. Syftet med förutsättningen är att kontrollera för vilket användningsändamål den som söker informationen har gått in i en annan myndighets informationslager. Detta kan i praktiken genomföras tekniskt, så att en användare som söker information i en meny eller på något annat motsvarande sätt ska välja en lämplig grund för informationssökningen. Denna grund, inklusive användaruppgifter, ska framgå av de logguppgifter som samlas in med hjälp av den elektroniska förbindelsen. Loggningen möjliggör att det i efterhand går att ta reda på syftet med varje sökning som har gjorts med hjälp av den elektroniska förbindelsen, samt den rättsliga grunden för behandlingen. Samtidigt ska användaren i samband med varje sökning, och innan den görs, bedöma om sökningen är motiverad, med tanke på skötseln av sina uppgifter. Med hjälp av en elektronisk förbindelse ska det bara vara möjligt att göra enskilda sökningar och användaren ska varje gång avkrävas att uppge användningsändamålet särskilt. På detta sätt förhindras det även att sökningar görs automatiskt, exempelvis med hjälp av en sökrobot.
Enligt paragrafens 2 mom. ska myndigheten upprätta en elektronisk förbindelse till sitt informationslager så, att det informationssystem som möjliggör förbindelsen automatiskt identifierar avvikande informationssökning och loggar dessa i enlighet med 12 §. Avsikten med bestämmelsen är att säkerställa att det i samband med förbindelserna inrättas tillräckliga kontroller för att förhindra storskalig sökning av information i en annan myndighets informationslager. Den elektroniska förbindelsen ska genomföras så, att det informationssystem som möjliggör förbindelsen har tekniska kontrollfunktioner som identifierar avvikande informationssökningar. Det kan exempelvis vara fråga om en viss registrerad, eller en viss användares avvikande informationssökningar, till följd av deras stora antal. Genom dessa kontrollfunktioner förhindras eller begränsas omfattningen av en situation, där någon via en elektronisk förbindelse utan behörighet eller behov eftersöker information. Det informationssystem, genom vilket sökningen görs, kan då exempelvis sända ett meddelande till systemanvändaren om avvikande sökningar, i syfte att huvudanvändaren ska kunna utreda orsaken till den potentiellt omotiverat omfattande sökningen. Även detta hindrar i sin tur automatiska sökningar, exempelvis med hjälp av en sökrobot.
17 §. Överföring av informationsmaterial via tekniska gränssnitt till andra än myndigheter. I denna paragraf föreskrivs om överföring av informationsmaterial via ett tekniskt gränssnitt till andra än myndigheter. Paragrafen möjliggör sådan överföring, återigen utan att föreskriva om rättigheter till information. På grundval av paragrafen kan ingen kräva att ett tekniskt gränssnitt öppnas, utan detta blir beroende av respektive myndighets prövning och beslut. Ett tekniskt gränssnitt kan även, i enlighet med bestämmelsen, upprättas för information, vilken överförs med stöd av särskilt föreskrivna rättigheter till information och som innehåller också sekretessbelagda uppgifter eller uppgifter om särskilda persongrupper.
Enligt paragrafens 1 mom. första meningen kan en myndighet via tekniska gränssnitt överföra information till en aktör som inte är en annan myndighet, om den mottagande aktören har en lagstadgad informationsrätt att hantera denna. Bestämmelsen innebär att det även blir möjligt att via ett tekniskt gränssnitt överföra information till informationssystem utanför förvaltningen, om förutsättningarna i bestämmelsen är uppfyllda och om myndigheten anser att överföringsmetoden är ändamålsenlig. En myndighet ska, utöver informationsrätten, särskilt utreda om informationsmottagaren, med stöd av bestämmelserna om skydd för personuppgifter, har rätt att behandla eventuella överförda personuppgifter. En överföring via ett tekniskt gränssnitt kan således ske först efter det att myndigheten har bedömt att mottagaren har rätt att få och behandla information genom en sådan upprepad och kontrollerad informationsöverföring som sker via ett tekniskt gränssnitt. Bestämmelsen möjliggör informationsöverföring via tekniska gränssnitt allmänt, alltså utan att det behövs några särskilda bestämmelser om saken i speciallagstiftning. Sådana åtgärder kan ha samband exempelvis med näringsverksamhet, utvecklingsverksamhet eller forskningsverksamhet. Genom bestämmelsen möjliggörs inte vidareöverföring av information med hjälp av tekniska gränssnitt till någon annan verksamhet, utan det är en fråga som ska regleras särskilt i speciallagstiftningen.
I paragrafens 1 mom. andra meningen hänvisas till de allmänna förutsättningarna i 15 §. I praktiken ska samma krav uppfyllas i fråga om överföring av information via tekniska gränssnitt mellan myndigheters informationssystem och förvaltningsexterna informationssystem.
Enligt paragrafens 1 mom. tredje meningen ska den överlåtande myndigheten säkerställa att den mottagande aktören, vid hanteringen av informationen, vidtar motsvarande informationssäkerhetsåtgärder som en myndighet är skyldig att vidta enligt denna lag. En myndighet ska därmed med stöd av bestämmelsen utreda och säkerställa att den aktör, till vilken informationen överförs, uppfyller dessa informationssäkerhetskrav. Myndigheten kan exempelvis be om en utredning av hur informationssäkerheten har ordnats hos aktören, ställa krav på den eller förutsätta en rapport om säkerhetsrevision. Om det är fråga om information som inte är belagd med restriktioner i fråga om tillgången eller användningen, kan myndigheten även lämna ut informationen via ett tekniskt gränssnitt utan någon särskild utredning. Av denna anledning nämns i den andra meningen att myndigheten vid behov ska säkerställa informationssäkerheten. Därmed måste myndigheten bedöma vilka informationsmaterial som behöver förses med kontrollfunktioner särskilt. Om informationsmaterialet i ett informationslager är helt offentligt finns det vidare inga skäl för myndigheten att utreda grunderna för användningen av materialet eller informationssäkerhetsarrangemangen i mottagarens verksamhet. Informationen kan i sådana fall överföras öppet, utan någon särskild utredning.
5 kap. Ärendehantering samt informationshantering i samband med tjänsteproduktion
18 §. Registrering av ärenden och myndighetshandlingar. I denna paragraf föreskrivs om anteckningar i ärenderegister, registrering av handlingar och ärenden samt om myndighetens skyldighet att se till att offentliga anteckningar i ärenderegister eller dess delar kan användas för produktion av information som gör det möjligt att specificera begäran om information. Ärenderegistret är ett logiskt register bestående av metadata som uppkommer i samband med ärendebehandlingen vid en myndighet, oberoende av i vilket informationssystem viss metadata har uppkommit. Av denna anledning bildar metadata vilken enbart finns i ett informationssystem inte i alla situation ett ärenderegister. Till registret hör även metadata som uppkommer i ett operativt informationssystem och beskriver ärendebehandlingens förlopp. Ärenderegistret upprätthålls i syfte att förverkliga handlingsoffentligheten, specificera informationsbegäran, strukturera dokumentär information, organisera åtgärder i anslutning till ärendebehandlingen, följa upp offentlighetsprincipen och styra processerna. Ärenderegistret främjar således förverkligandet av offentlighetsprincipen samt uppföljningen och verifieringen av en ändamålsenlig och smidig ärendebehandling på det sätt som hör till en god förvaltning. Med ärenderegister avses myndighetsdiarier och andra motsvarande förteckningar, men till ärenderegister hör även sådana uppgifter om ärendehantering som ingår i informationssystem. Grundläggande bestämmelser om registrering av myndighetshandlingar är vidare viktiga av den orsaken att tidpunkten för inkomna myndighetshandlingars offentlighet är bunden vid när handlingarna har registrerats. Bestämmelsens 1–4 mom. och dess detaljmotiveringar motsvarar i huvudsak 8 § 1–4 mom. i offentlighetslagen. För ytterligare detaljmotivering i dessa delar, se LF 8/2020-2021.
Enligt paragrafens 1 mom. ska varje myndighet upprätthålla ett ärenderegister med information både om enskilda ärenden vid myndigheten och de myndighetshandlingar som har kommit in till eller upprättats av myndigheten. Det får finnas fler än ett ärenderegister hos en myndighet, men detta förutsätter att samtliga register uppfyller de krav som ställs i bestämmelsen. Det ska framgå tydligt ur lagen att myndigheten ska registrera både sådana myndighetshandlingar som har kommit in till och sådana som har upprättats hos myndigheten. Ärenderegistret ska också främja uppföljningen av ärendebehandlingen inom myndigheten och av att ärendena behandlas inom tre månader enligt 20 § 1 mom. i förvaltningslagen. Bestämmelser i lag om ett ärenderegister är en förutsättning för att god förvaltning ska kunna garanteras i enlighet med 21 § 2 mom. i grundlagen. Enligt bestämmelsen ska registreringen av myndighetshandlingar ske utan dröjsmål. Regeln innebär i praktiken innebär att registreringen normalt måste ske samma dag som handlingen mottagits vid myndigheten. Inför registreringen måste det avgöras bland annat om handlingen är ställd till tjänsteman i egenskap av anställd hos myndigheten eller om tjänstemannen fått handlingen i egenskap av medlem i en förening eller något liknande. Andelen handlingar som är att betrakta som enskilda torde vara större i fråga om e-posthandlingar än vad gäller pappershandlingar. Även e-posthandlingar som utgör en allmän handling ska utan dröjsmål lämnas för diarieföring och sedvanlig bedömning om offentlighet eller sekretess, i enlighet med 6 § 2 mom., jämte bestämmelserna om anteckning om sekretessbeläggning i den ändrade 8 § i offentlighetslagen. Till detta kan tilläggas att en myndighet inför registreringen måste ta ställning till om det rör sig om myndighetshandlingar, eftersom enbart myndighetshandlingar och uppgifter om sådana bör föras in i ärenderegistret. En myndighet behöver inte registrera en myndighetshandling om det är uppenbart att handlingen är av ringa betydelse för myndighetens verksamhet. Med handling som uppenbart är av ringa betydelse för myndighetens verksamhet anses i första hand ingivna eller insända handlingar av typ pressklipp, cirkulär eller reklam, vilka bara indirekt eller i mycket marginell omfattning berör myndighetens verksamhet. Även publikationer, periodiska meddelanden, möteskallelser, tillkännagivanden av andra myndigheters yttranden bör dock kunna undantas från huvudregeln att registreras. Bedömningen huruvida en handling är av ringa betydelse får avgöras från fall till fall. I vissa fall kan handlingar ha skickats till eller kommit in till fel myndighet, det vill säga handlingarna är av marginell betydelse för den myndigheten. En sådan handling behöver ändå registreras, eftersom uppgiften om att den har överförts till behörig myndighet i slutändan kan vara väsentlig för skötseln av ärendet eller för beräknandet av fatalietider. För det fall att myndighetshandlingarna anses vara av ringa betydelse för myndighetens verksamhet finns inget krav på att dessa ska hållas systematiskt ordnande. De enskilda myndigheterna bör själva kartlägga vilka olika handlingstyper som finns inom myndigheten och vid behov anta närmare anvisningar om vilka typer av handlingar som typiskt sett ska anses vara av ringa betydelse. Enligt 10 § 1 mom. i offentlighetslagen ska dock en inkommen myndighetshandling som anses vara av ringa betydelse för myndighetens verksamhet bli offentlig, trots att den inte registreras, vilket kan föranleda att någon form av strukturerad hantering avkrävs i alla fall.
I paragrafens 2 mom. föreskrivs vilka grundläggande uppgifter som ska antecknas om ett ärende i ärenderegistret. Det ärenderegister som avses i paragrafen ska både fungera som ett ärende- och handlingsdiarium, det vill säga registret ska innehålla grundläggande uppgifter både om ärenden och myndighetshandlingar. I praktiken är förekomsten av ett elektroniskt ärenderegister en förutsättning för att de i det fjärde momentet avsedda elektroniska handlingarna ska kunna hållas ordnade och sökbara.
Enligt paragrafens 2 mom. 1 punkten ska för varje ärende framgå ett ärendenummer eller motsvarande uppgift som identifierar ärendet. I bestämmelsen föreskrivs inte några särskilda kriterier för när ett ärende är så självständigt i den meningen att det ska registreras som ett separat ärende. För att sökbarheten i ärenderegistret inte ska bli svår eller vilseledande är det ändå viktigt att ärendena hålls separerade på ett logiskt och ändamålsenligt sätt.
Enligt paragrafens 2 mom. 2 punkten ska av ärendet framgå när ärendet registrerades. Denna uppgift är också väsentlig för att myndigheten ska kunna följa upp kravet på behandling av ärenden utan ogrundat dröjsmål enligt 20 § i förvaltningslagen.
Av paragrafens 2 mom. 3 punkten följer att i ärenderegistret ska det för varje ärende framgå myndighetens åtgärder i ärendet. I ärenderegistret behöver inte antecknas varje åtgärd som vidtas, utan enbart sådana som inverkar på hur ärendet kommer att avgöras eller hur det har avgjorts.
Enligt paragrafens 2 mom. 4 punkten ska ur ärenderegistret framgå vilka myndighetshandlingar som har inkommit och upprättats i ärendet. Dessa uppgifter är särskilt viktiga för att offentlighetsprincipen och insynen i de enskilda ärendena ska förverkligas i praktiken.
I paragrafens 3 mom. föreskrivs vilka grundläggande uppgifter som ska antecknas för varje myndighetshandling i ärenderegistret.
Enligt paragrafens 3 mom. 1 punkten ska framgå uppgifter som identifierar myndighetshandlingen och det ärende som handlingen hör till. Denna punkt överlappar delvis och kompletterar 4 punkten i det föregående momentet. Om myndighetshandlingen inte ansluter till något enskilt förvaltningsärende behöver uppgifterna om handlingen ändå föras in i ärenderegistret, eftersom insynen och sökbarheten behöver tryggas i förhållande till samtliga myndighetshandlingar.
I paragrafens 3 mom. 2 punkten förutsätts att det framgår ur ärenderegistret när myndighetshandlingen registrerades. Av det första momentet följer ett krav på att registreringen av myndighetshandlingarna alltid sker utan dröjsmål, förutsatt att det inte är fråga om handlingar som är av ringa betydelse för myndighetens verksamhet.
Enligt paragrafens 3 mom. 3 punkten ska det av ärenderegistret också framgå vem som har upprättat eller kommit in med en myndighetshandling. Myndighetshandlingar kommer in till en myndighet i många olika typer av ärenden, exempelvis kan det handla om ansökningar, klagomål eller utlåtanden. Det måste då framgå vem som är myndighetshandlingens avsändare. I vissa ärendetyper och enskilda fall kan det finnas grund för att sekretessbelägga avsändarens namn så att det inte framgår i samband med sökningar i ärenderegistret. Det samma kan gälla ärendebeskrivningar eller annan information som skrivs in i ärenderegistret. När det gäller myndighetshandlingar som har upprättats inom en myndighet behöver det inte nödvändigtvis framgå vilken tjänsteman eller person inom myndigheten som har upprättat handlingen, bara det framgår att det handlar om en myndighetshandling som har upprättats av myndigheten. Om det inte framgår av den enskilda myndighetshandlingen vilken tjänsteman som har upprättat handlingen bör detta klargöras och antecknas i samband med registreringen.
Paragrafens 4 mom. reglerar tillgängliggörande av elektroniska myndighetshandlingar, vilka har registrerats i ärenderegister.
I paragrafens 4 mom. första meningen regleras att de myndighetshandlingar som registreras i ärenderegistret ska förvaras och vara möjliga att ta fram i ett allmänt tillgängligt elektroniskt format. Skyldigheten kopplar till omvandlingsskyldigheten i lagens 13 §.
I paragrafens 4 mom. andra meningen regleras vidare att den elektroniska kopian av en offentlig myndighetshandling i ett ärenderegister på begäran ska kunna lämnas ut i enlighet med 18 § 3 mom. i offentlighetslagen.
I paragrafens 5 mom. föreskrivs uttryckligen om myndigheters skyldighet att se till att ett ärenderegister som uppkommer i dess verksamhet eller delarna av ett sådant register gör det möjligt att producera information utifrån offentliga anteckningar som gör det möjligt att individualisera individualiseringsbegäran i enlighet med 16 § i offentlighetslagen. Det räcker således inte att informationssystem för hanteringen av ärenden har egenskaper som gör att de kan användas för att producera en vy av ärenderegistrets offentliga anteckningar, utan informationssystem måste även kunna användas för att skapa förteckningar eller vyer som gör det möjligt att specificera en handlingsbegäran.
6 kap. Införande och användning av automatiserade beslutsförfaranden
19 §. Dokumentering av uppgiftsfördelning och behandlingsregler. I paragrafen föreskrivs om dokumentering av uppgiftsfördelning och behandlingsregler vid automatiserade beslutsförfaranden. I praktiken ska myndigheten dokumentera sin rättsliga prövning vid införandet av automatiserade beslutsförfaranden. De egentliga krav som ska dokumenteras grundas på vad som föreskrivs annanstans i lag och på förpliktelser som följer av det. Det finns separata bestämmelser om exempelvis det förfarande som ska iakttas i ärendebehandlingen, om hörandeskyldigheten och om grunderna för den rättsliga prövningen i den allmänna förvaltningslagstiftningen och i speciallagstiftningen. Primära föremål för dokumenteringen är de viktigaste omständigheterna, med tanke på tillgodoseendet av god förvaltning och rättsskyddet, samt behandlingsreglerna. Dessa ska dokumenteras i syfte att det ska gå att klarlägga enligt vilka behandlingsregler det är tänkt att processen ska genomföras och den rättsliga förhandsprövningen som det automatiserade beslutsförfarandet är ett resultat av. Föreslagna 8a kap. förvaltningslagen innehåller för sin del de bestämmelser, enligt vilka ett automatiserat beslutsförfarande får tillämpas i förvaltningsärenden.
I paragrafens 1 mom. åläggs myndigheterna att dokumentera uppgiftsfördelningen mellan de personer som ansvarar för fullgörandet av införande och användning av automatiserade beslutsförfaranden. Bestämmelsen syftar till att förpliktiga myndigheterna att dokumentera uppgiftsfördelningen mellan dem som deltar i beredningen, beslutsfattandet och kvalitetskontrollen vid automatiserade beslutsförfaranden och att specificera dessa personer, vilket också klargör vem skyldigheterna enligt 6 kap. avser. Bestämmelsen behövs för tjänstemännens och sådana andra personers rättsskydd som ansvarar för uppgifterna, eftersom det med hänvisning till tjänsteansvaret inte kan förbli oklart till vem de i lagen föreskrivna skyldigheterna hör och vem som förutsätts vidta de tjänsteåtgärder som härrör från lagens bestämmelser. Eftersom olika ansvar vid informationshantering och utvecklingen av informationssystem i typfall inte är helt tydliga, behöver det lagstiftas separat om att uppgifterna och ansvaren i anknytning till dem dokumenteras tillräckligt väl. Sådana ansvar kan delvis dokumenteras i officiella arbetsordningar, instruktioner eller förvaltningsstadgor, men i praktiken kan ansvar även vara antecknade i olika projektplaner. I lagen föreskrivs det således inte i vilka handlingar dessa ansvar ska fastställas eller vem som ska fastställa dem, utan detta ska avgöras i enlighet med myndighetens interna uppgifts- och behörighetsbestämmelser. Dessa frågor beslutas alltså inom myndigheten av ett behörigt organ, en tjänsteman eller annan. I lagen förutsätts att de allmänna ansvaren inom informationshanteringen ska vara definierade på myndighetsorganisationsnivå och utifrån det kan exempelvis bestämmelser om ansvar och uppgifter för det praktiska genomförandet av informationshanteringen utfärdas som arbetsledning. Ansvar ska fastställas entydigt, konkret och på personnivå, när ett automatiserat beslutsförfarande utvecklas och tas i bruk. En noggrant avgränsad och exakt ansvarsdefinition betonar skyldigheten att genomföra de uppgifter som föreskrivs i 6 kap.
I paragrafens 2 mom. första meningen föreskrivs att myndigheten ska säkerställa att behandlingsreglerna för ett automatiserat beslutsförfarande dokumenteras så tydligt och heltäckande att deras lagenlighet kan påvisas. För att det automatiska beslutsförfarandet ska vara lagenligt är det alltså viktigt att dessa behandlingsregler inte bara utarbetas, utan även att de dokumenteras tydligt och heltäckande, så att de viktigaste omständigheterna i behandlingsreglerna beskrivs skriftligen. Det uppstår alltså en skyldighet för myndigheten att säkerställa att dokumenteringen av behandlingsreglerna för ett automatiserat beslutsförfarande är tydlig och heltäckande. Genom bestämmelsen föreskrivs myndigheten inte nödvändigtvis en ny och direkt dokumenteringsskyldighet, eftersom en del av dokumenteringen kan ingå i dokumenteringen av ett färdigt anskaffat informationssystem och den då endast till viss del framtas av myndigheten. Myndighetens ansvar handlar om att säkerställa att dokumenteringen finns och att den uppfyller lagens krav. Myndigheten är dock skyldig att producera eller beställa dokumentering till den delen sådan inte finns att tillgå, exempelvis i informationssystemets färdiga dokumentering. I lagen ingår inte allmänna bestämmelser om att en myndighet kan överföra uppgiften att fastställa rättsligt betydande behandlingsregler för automatiserade beslutsförfaranden till privata aktörer, eller att privata aktörer för myndighetens räkning kan göra en rättslig prövning med avseende på icke-diskriminering, tillgodoseende av de grundläggande rättigheterna eller något motsvarande. Det är klart att bedömningar och dokumentering som innehåller rättslig prövning ska göras hos myndigheten, liksom även bedömningar som gäller förfaranden och behandlingsregler, om det inte särskilt föreskrivs i lag att det är möjligt att anförtro dessa uppgifter åt privata aktörer eller om de inte annars ingår i skötseln av en sådan offentlig förvaltningsuppgift som enligt lag får överlåtas åt privata aktörer. När privata aktörer utvecklar sina produkter utarbetar de däremot definitioner av teknisk karaktär och dokumentering i samband med det, så som den tekniska funktionslogiken i ett program, det tekniska genomförandet av eller den tekniska arkitekturen i ett informationssystem. Skyldigheterna enligt denna lag avser inte direkt privata aktörer, i deras arbete med att utveckla informationssystem och programvara. Myndigheten ska dock säkerställa lagenligheten även i sådan dokumentering, samt granska och på det sätt som föreskrivs i 2 mom. godkänna den, om den innehåller uppgifter som enligt denna eller någon annan lag ska dokumenteras inom ramen för det automatiserade beslutsförfarandet. Myndigheten ska definiera de viktigaste behandlingsreglerna i informationssystemet, vilka inverkar på behandlingen av ärendet, och ansvara för att det automatiserade beslutsförfarandet uppfyller villkoren i lagen och förfarandekraven. Med förfaranden avses i första meningen i momentet de dokumenterade beskrivningar, av vilka det framgår hur ett ärende behandlas automatiserat i myndighetens informationssystem. I praktiken är dessa de uppgifter som avses i 1–3 punkterna, vilka inte har samband med behandlingsreglerna, såsom grunderna för att säkerställa icke-diskriminering, för att höra en part automatiserat eller hur avgörandet motiveras, om så krävs enligt lag. Enligt de bestämmelser som föreslås i förvaltningslagen kan det i automatiserade beslutsförfaranden även förekomma behandlingsfaser där en fysisk person behandlar ärendet och beslutsförfarandet därefter går vidare till ett automatiserat avgörande av ärendet. Behandlingsreglerna kan också inverka på i vilket skede av arbetsförloppet en fysisk person deltar i behandlingen av ärendet, inom beslutsförfarandet. En överföring av ärendebehandlingen till en fysisk person kan exempelvis grundas på myndighetens riskbedömning, på uppgifter som avviker från det normala, såsom ovanligt stora eller små talvärden, eller på att en viss behandlingsfas förutsätter prövning av en fysisk person. Vidare kan ett ärende i ett automatiserat beslutsförfarande hänskjutas till en fysisk person, exempelvis för att göra en laglighetsövervakning eller kvalitetskontroll genom ett slumpmässigt urval.
I paragrafens 2 mom. andra meningen anges minimikraven avseende vad som ska framgå av behandlingsreglerna.
I paragrafens 2 mom. andra meningen 1 punkten föreskrivs att det av behandlingsreglerna särskilt ska framgå grunder hur det säkerställs att det automatiserade beslutsförfarandet är icke-diskriminerande. Detta är särskilt angeläget i de fall där automatiserat behandlade ärenden väljs ut av orsaker som anknyter till uppgifter om en viss part. Icke-diskrimineringsbedömningen påverkas av rättsprinciperna inom förvaltningen enligt 4 § i förvaltningslagen samt 6 och 22 § i grundlagen, 7 § i lagen om jämställdhet mellan kvinnor och män (FFS 609/1986), vilken är tillämplig på Åland genom 1 § i landskapslagen (1989:27) om tillämpning i landskapet Åland av lagen om jämställdhet mellan kvinnor och män, myndigheternas skyldighet att främja likabehandling enligt 5 § och förbuden mot diskriminering och repressalier i 3 kap. i diskrimineringslagen (FFS 1325/2014), vilken är tillämplig på Åland enligt 2 § i landskapslagen (2022:43) om tillämpning av diskrimineringslagen, samt internationella förpliktelser som är bindande för Åland. Urvalet till ett automatiserat beslutsförfarande får enligt annan lagstiftning i praktiken inte hänföra sig endast till en diskrimineringsgrund hos en part, såsom ålder, kön, ras eller etniskt ursprung, men som en urvalsgrund kan dock exempelvis partens ålder få inverka i godtagbara fall. Detta är av betydelse, särskilt i sådana fall där det i verksamhetsprocesserna behandlas ärenden som gäller minderåriga, då myndigheten som en godtagbar urvalsgrund i stället för automatiserad ärendebehandling kan ange manuell behandling, i syfte att trygga eller säkerställa en minderårigs rättigheter. Likaså kan personens ålder inverka på urvalet eller andra behandlingsregler i samband med beviljandet av olika förmåner. Behandlingsreglerna definieras eller bestäms utifrån annan lagstiftning och tolkningen av dem görs hos myndigheten på förhand, i det skedet då myndigheten planerar införa ett automatiserat beslutsförfarande eller ändringar i ett automatiserat beslutsförfarande som är i bruk. Den föreslagna bestämmelsen innebär att dessa grunder ska dokumenteras och ingår i behandlingsreglerna.
Av paragrafens 2 mom. andra meningen 2 punkten framgår att det av behandlingsreglerna särskilt ska framgå hur ärendet utreds tillräckligt och korrekt, inklusive hörande. Med tanke på partens rättsskydd har det särskild betydelse att myndigheten behandlar partens ärende utifrån tillräckliga, uppdaterade och felfria uppgifter. Syftet med bestämmelsen är att säkerställa att myndigheten faktiskt planerar utredningen av ett automatiserat ärende, så att de krav som ställs på en korrekt utredningsskyldighet uppfylls även i helt automatiserade verksamhetsprocesser. Enligt lagens 10 § 1 mom. ska myndigheterna genom adekvata säkerhetsåtgärder i fråga om sina informationsmaterial säkerställa att materialens ursprung, uppdatering och felfrihet har verifierats. I dataskyddslagstiftningen förutsätts å sin sida att den personuppgiftsansvarige ska se till att de personuppgifter som behandlas är exakta, med vilket bland annat avses verifiering av att uppgifterna är felfria och uppdaterade. Vidare åläggs myndigheten enligt lagens 25 § en skyldighet att på grundval av en riskbedömning se till att det genom lämpliga tekniska åtgärder säkerställs att de uppgifter som utnyttjas vid avgörandet av ärenden är uppdaterade och felfria. Enligt 26 § i förvaltningslagen ska en myndighet se till att ett ärende utreds tillräckligt och på behörigt sätt. I lagens 14 § föreskrivs om insamling av informationsmaterial för myndighetsuppgifter. I praktiken styr denna paragraf den allmänna insamlingen av myndighetsuppgifter för ärendebehandling. Av dokumenteringen ska de uppgiftskällor, med vilka avses myndigheter och andra aktörer, framgå av vilka den behandlande myndigheten inhämtar uppgifter till sin automatiserade verksamhetsprocess. Vidare ska det framgå vilka uppgifter som inhämtas från respektive källa. Förfarandena för inhämtande av uppgifter avser dokumentering av den reglering som berättigar till att inhämta uppgifter samt på vilket sätt uppgifterna fås, vilket i ett automatiserad beslutsförfarande främst kan vara fråga om att få uppgifter av en annan myndighet med hjälp av ett tekniskt gränssnitt. Om det vid användning av de tekniska gränssnitten finns behov av att inhämta uppgifter av andra än myndigheter, ska detta föreskrivas särskilt i lag. Lagens bestämmelser om användningen av tekniska gränssnitt gäller tillgång till information av myndigheter och då är den som överlåter uppgifterna enligt bestämmelserna en myndighet eller därmed jämförbar annan aktör, såsom en privat aktör som sköter en offentlig förvaltningsuppgift. Det ska enligt punkten vidare framgå av myndighetens dokumentering av behandlingsreglerna framgå grunderna för hur en parts rätt enligt 21 § i grundlagen att bli hörd tillgodoses eller på vilken grund myndigheten genom att hänvisa till en laglig grund anser att parten inte behöver höras. Bestämmelsens syfte är att kräva att myndigheten gör en medveten bedömning av att en parts rätt att bli hörd faktiskt tillgodoses. Av dokumenteringen ska arrangemanget för tillgodoseendet av hörandet framgå, såsom hur hörandet genomförs i det automatiserade beslutsförfarandet. Det handlar bland annat om hur de uppgifter som fås av parten i hörandet behandlas samt hur genmälet beaktas i den automatiserade behandlingen, eller om ärendet på grund av genmälet hänskjuts för behandling av en fysisk person hos myndigheten. I förvaltningslagen och i särlagstiftning återfinns bestämmelser om grunderna för att avvika från hörandet av parter. Om de förutsättningar som föreskrivs annanstans i lag uppfylls, ska det av dokumentationen framgå myndighetens motiveringar för att systematiskt, utifrån bestämda behandlingsregler, avvika från sin hörandeskyldighet. I praktiken, om myndigheten inte kan genomföra hörandet av en part automatiserat, ska en sådan behandlingsfas genomföras hos myndigheten genom medverkan av en fysisk person. Detta är dock inte i sig ett hinder för myndigheten att, efter omständigheter som framgår av hörandet, fatta ett automatiserat avgörande som avslutar behandlingen av ett ärende. De omständigheter som framgår av hörandet ska i varje fall beaktas på lämpligt sätt innan ärendet avgörs automatiserat. De allmänna bestämmelserna om förfarandet och tryggandet av god förvaltning gäller därmed för myndigheten även vid automatiserade avgöranden av ärenden.
I paragrafens 2 mom. andra meningen 3 punkten föreskrivs en skyldighet för myndigheten att i behandlingsreglerna dokumentera hur avgörandet motiveras, eller varför det inte behöver motiveras. Myndigheten ska på förhand planera hur motiveringarna till ett avgörande, vilket är resultatet av ett automatiserat beslutsförfarande, ska framläggas för parten, med iakttagande av god förvaltning, begripligt och klart, i syfte att parten ska ges en uppfattning om vad myndighetens avgörande har grundats på. I vilken situation och hur motiveringarna till myndighetens beslut framläggs, samt när avvikelser kan göras, avgörs av annan lagstiftning. Myndigheten ska dock även dokumentera de grunder enligt vilka den anser att motiveringarna till ett automatiserat beslut inte behöver framläggas. Syftet med denna punkt är att säkerställa att myndigheten planerar automatiseringen så att motiveringsskyldigheten tillgodoses, med beaktande av vad som föreskrivs i 21 § i grundlagen och annanstans i lag, särskilt i 40 § i förvaltningslagen. Även motiveringar som utformas automatiserat ska därmed uppfylla de krav som ställs på motiveringar annanstans i lag och motiveringarna ska vara korrekta, klara, begripliga, anknyta till relevanta omständigheter i avgörandet av respektive ärende och uppfylla de krav som ställs på tillgodoseende av rättsskyddet.
I paragrafens 3 mom. föreskrivs om myndighetens ansvar i relation till de handlingar som utgör dokumentationen. Enligt första meningen i momentet ska myndigheten i de handlingarna som utgör dokumentationen ange datum för godkännandet och den som har godkänt handlingen. I meningens bisats föreskrivs det vidare om godkännarens skyldighet att granska att handlingsinnehållet är lagenligt. För att uppfylla kravet på dokumenteringen som föreskrivs i paragrafen uppstår och samlas det hos myndigheten flera olika handlingar. För att granska innehållets lagenlighet behövs det därmed förmodligen olika slag av expertis. Därför ska den som godkänner handlingen inte endast ha en sådan ställning hos myndigheten att den för myndighetens del kan godkänna handlingens innehåll, utan även ha insikt i handlingens materiella innehåll och den lagstiftning som är av betydelse för ärendet, samt informationshanteringen i övrigt, för att den föreslagna skyldigheten i praktiken ska förverkligas. På grund av den sakkännedom som krävs ska handlingen därmed hos myndigheten godkännas av den som i praktiken har möjlighet att fullgöra den lagstadgade skyldigheten och utföra tjänsteåliggandet korrekt. Den dokumentering som avses i paragrafens 2 mom. kan omfatta en stor mängd olika handlingar och varje handling kan vid behov ha en egen separat godkännare. Vid granskning och godkännande av handlingar ska, utöver det som föreskrivs i lagen och förvaltningslagen samt annan reglering, det som beaktas i automatiserade beslutsförfaranden också dokumenteras. Sådan annan reglering kan exempelvis vara sektorsspecifik speciallagstiftning, reglering som främjar och tryggar de grundläggande rättigheterna och reglering som avser fullgörandet av internationella förpliktelser. Den som godkänner handlingen svarar därmed för tjänsteåtgärderna i anknytning till godkännandet. Handlingar kan inte godkännas av aktörer utanför myndigheten, utan enbart av sådana som omfattas av tjänsteansvarsregleringen. Å andra sidan föreskrivs det inte i lagen att godkännaren ska vara en enskild person, utan godkännaren kan alltså utgöra ett särskilt organ. En godkänd handling kan inte ändras, utan vid behov ska myndigheten utarbeta en ny version av handlingen och godkänna den. Tidigare versioner och den aktuella versionen av handlingen ska bevaras i minst fem år från det att det automatiserade beslutsförfarandet togs ur bruk. Skyldigheten att bevara handlingarna syftar till att säkerställa att utvecklingsåtgärderna vid behov kan verifieras tillräckligt länge för eventuella utredningar i frågor som gäller tjänsteansvar. Bestämmelsen om bevarande i 5 år utgör ett minsta krav på tiden för bevarandet av handlingen och inte dess gallringsfrist. Handlingar kan således bevaras en längre tid, om giltig orsak till detta föreligger. Förvaringstiden fastställs i myndighetens arkivplan. Myndigheten ska som en del av sin allmänna informationshantering försäkra sig om att de handlingar som förvaras är tillräckligt lätta att hitta till exempel för utredningen av tjänsteansvar, samt uppfylla kraven om tryggande av säkerheten enligt lagens 10 §. Handlingarna har vidare betydelse med tanke på offentligheten och öppenheten i myndigheternas verksamhet. Den tjänsteman som godkänner att handlingarna är lagenliga har en central roll i arbetet med att säkerställa lagenligheten i det automatiserade beslutsförfarandet.
Enligt paragrafens 4 mom. ska myndigheten se till att det i fråga om ett automatiserat beslutsförfarande registreras uppgifter, vilka anger enligt vilka behandlingsregler ett visst ärende har avgjorts och i hur hög grad en fysisk person har tagit del i behandlingen av ärendet. Den föreslagna bestämmelsen preciserar regleringen om insamling av logginformation i lagens 12 § och innehåller minimikraven på vilka uppgifter som ska samlas in. Enligt lagens 12 § kan myndigheten samla in även annan logginformation från automatiserade beslutsförfaranden. Uppgifterna enligt momentet kan samlas in som logginformation, metainformation om ärendebehandling i ärenderegistret, eller på annat sätt. Bestämmelsen slår alltså inte fast på vilket sätt myndigheten ska dokumentera det automatiserade beslutsförfarandets arbetsförlopp i fråga om behandlingen av varje enskilt ärende. Syftet med den föreslagna bestämmelsen är att möjliggöra och säkerställa en lämplig övervakning av det automatiserade beslutsförfarandet, att möjliggöra utredning och specificering av eventuella fel samt vid behov att rikta ansvaret för tjänsteåligganden när ärendet även har behandlats av en fysisk person. Myndigheten ska bevara de uppgifter som har sparats om de informationssystem som utför automatiserade beslutsförfaranden i minst fem år, från ingången av kalenderåret efter det år då uppgifterna registrerades. Minimitiden uppgifterna ska bevaras bygger på skyldigheterna som gäller verifiering av tjänsteansvaret. Bestämmelsen är viktig med tanke på hur tjänsteansvaret ska riktas och tillgodoseendet av partens rättsskydd. Bestämmelsen anger dock inte närmare på vilket sätt myndigheten ska kunna påvisa dessa omständigheter.
20 §. Kvalitetssäkring. Syftet med paragrafen är alltså att förplikta myndigheterna att säkerställa att ett automatiserat beslutsförfarande, när den i enlighet med lagens 19 § har godkänts vara lagenligt, efter genomförandet också fungerar så som beskrivs i dokumentationen. Syftet med paragrafen är vidare att föreskriva om skyldighet för myndigheten att säkerställa att det automatiserade beslutsförfarandet uppfyller de krav som myndigheten ställer på det, utifrån lag och sin egen verksamhet samt att det över huvud taget är användbart för sitt ändamål. Även om kvalitetssäkring av informationssystem i sig är etablerad praxis behövs bestämmelsen som en del av specificeringen av de skyldigheter som hör till tjänsteåtgärderna i anknytning till automatiserade beslutsförfaranden och i förhandskontrollen av hur processen fungerar, med ambitionen att säkerställa tillgodoseendet av en parts rättsskydd vid behandlingen av förvaltningsärenden. De automatiserade verksamhetsprocesserna genomförs med hjälp av informationssystem och det säkerställs genom kvalitetssäkring att systemen stämmer överens med kraven. Informationssystem som inte har varit färdiga för sitt ändamål, eller inte fungerar tillräckligt felfritt, kan orsaka att en korrekt ärendebehandling äventyras. Det är i sig etablerad och allmän praxis att informationssystem kvalitetssäkras innan de tas i bruk eller godkänns, men skyldigheterna i det avseendet bör föreskrivas närmare på lagnivå, i syfte att trygga god förvaltning och för att fastställa tjänsteansvaret. Regleringens betydelse framhävs av flera fall där laglighetsövervakare har konstaterat att den bakomliggande orsaken till den svaga kvaliteten eller långsamheten i myndigheternas verksamhet har varit att ett informationssystem tagits i bruk innan det varit färdigt för sitt ändamål. Den kvalitetssäkring för säkerställande av överensstämmelse med kraven enligt paragrafen avser kvalitetssäkring som görs för att godkänna ett automatiserat beslutsförfarande för ibruktagande och när ett beslutsförfarande ändras. De bestämmelser som föreslås i paragrafen ska alltså inte tillämpas på annan kvalitetssäkring som görs i olika faser av utvecklingen av ett informationssystem.
I paragrafens 1 mom. föreskrivs att en myndighet, innan ett automatiserat beslutsförfarande införs, och när förfarandet ändras under användningstiden, ska säkerställa att förfarandet motsvarar den dokumentation som avses i lagens 19 § 2 mom. Av samma skäl som ovan i fråga om 19 § gäller dokumenteringsskyldigheten inte nödvändigtvis själva myndigheten. Kvalitetssäkringen som paragrafen avser ska anses omfatta planmässig och teknisk sådan, som myndigheten själv utför, men även andra åtgärder enligt vad myndigheten anser att god förvaltning förutsätter. Utifrån de krav som ställs på beslutsförfarandet ska myndigheten planera hur kvalitetssäkringen ska utföras, genom att välja lämpliga kvalitetssäkringsmetoder och utforma ett lämpligt kvalitetssäkringsmaterial, i syfte att verifiera överensstämmelsen med kraven och ett gott språkbruk. Kvalitetssäkringsskyldigheten hänför sig uttryckligen till kvalitetssäkring utförd av myndigheten före införandet, samt när behandlingsregler ändras i automatiserade verksamhetsprocesser som är i bruk, varvid skyldigheten hänför sig till kvalitetssäkring av ändringarna i behandlingsreglerna. Följaktligen gäller kvalitetssäkringskraven inte annan kvalitetssäkring, såsom den kvalitetssäkring privata aktörer utför medan de utvecklar programvara, undersökande kvalitetssäkring för att utreda ett enstaka fel eller kvalitetssäkring i samband med utbildning för kvalitetssäkrare. Myndigheten får dock själva bestämma på vilket sätt säkerställandet ska göras och myndigheten är inte heller skyldig att säkerställa kvaliteten genom att uttryckligen själv kvalitetssäkra systemet.
I paragrafens 2 mom. föreskrivs att myndigheten genom kvalitetssäkring ska säkerställa ett gott språkbruk i automatiserat upprättade handlingar som ges till en part. I 6 § i förvaltningslagen finns bestämmelser om kravet på gott språkbruk som ska iakttas i myndighetsverksamhet, vilket avser ett sakligt, klart och begripligt språk. Eftersom handlingar kan produceras och levereras utan direkt mänsklig kontroll i samband med automatiska verksamhetsprocesser, är det nödvändigt att fastställa ett tillräckligt ansvar för att säkerställa ett gott språkbruk i sådana handlingar. Denna kvalitetssäkrings ska ske i syfte att inte i onödan äventyra parters rättsskydd på grund av felaktiga eller svårtydda myndighetshandlingar. Dessutom ska myndigheterna beakta kraven enligt språklagstiftningen på vilket språk som ska användas i handlingarna. Genom bestämmelsen främjas därför kraven på att de språkliga rättigheterna och god förvaltning tillgodoses. Bestämmelser om tillgänglighetskrav som ska iakttas i digitala tjänster, dit kravet på begriplighet hör, återfinns i 5 § i lagen om digitala tjänster.
I paragrafens 3 mom. föreskrivs att de centrala åtgärderna inom kvalitetssäkringen ska dokumenteras. I momentet föreskrivs ett särskilt krav på dokumentering vid kvalitetssäkring, enligt vilken resultaten och åtgärderna för att korrigera upptäckta fel och brister ska dokumenteras. Bestämmelsen syftar till att förpliktiga de personer som utför kvalitetssäkringen och åtgärderna, för att korrigera upptäckta fel, att dokumentera resultaten och de felaktiga funktioner som upptäckts, samt uppgifter om de åtgärder med vilka de upptäckta felen har korrigerats. Dokumentationen ska vara tillräckligt exakt och tydlig, för att det i efterhand ska kunna verifieras att kvalitetssäkringen har gjorts korrekt och vid behov utreda ansvaret i det fallet att beslutsförfarandet trots kvalitetssäkring inte fungerar i enlighet med kraven. Dokumentationen över de viktigaste åtgärderna för att säkerställa kvaliteten omfattar bland annat planer för och resultaten av kvalitetssäkringen, eller en sammanfattning av dessa och andra motsvarande handlingar, vilka beskriver vad myndigheten har gjort för att fullgöra den föreskrivna skyldigheten.
I paragrafens 4 mom. föreskrivs att myndigheten ska utse en person som ansvarar för kvalitetssäkringen av det automatiserade beslutsförfarandet. Den ansvariga för kvalitetssäkringen är inte nödvändigtvis den som utför kvalitetssäkringen, utan utgör endast den person som är rättsligt ansvarig för att kvalitetssäkringen av det automatiserade beslutsförfarandet, åter igen i syfte att möjliggöra påförande av tjänsteansvar.
21 §. Kvalitetskontroll och hantering av felsituationer. Syftet med den föreslagna paragrafen är att förpliktiga myndigheterna att kontinuerligt kontrollera kvaliteten på det automatiserade beslutsförfarandet och att de automatiserade beslutsförfarandena är korrekta. Myndighetens verksamhet ska i princip vara ändamålsenlig och felfri, men vid automatisk masshantering framhävs betydelsen av systematisk kvalitetskontroll och riskhantering, eftersom antalet ärenden som ska avgöras automatiserat potentiellt kan bli väldigt många per år. Paragrafen syftar till att säkerställa att myndigheterna ser till att automatiserade beslutsförfaranden sker korrekt och med bra kvalitet, efter att de har tagits i bruk, och att god förvaltning och rättsskyddet för den enskilda således tillgodoses, med beaktande av kraven i 21 § i grundlagen. I paragrafen åläggs myndigheten att ordna övervakningen av automatiserade beslutsförfarandens funktion och tillräckliga kontroller när beslutsförfarandena har tagits i bruk. Utöver 20 § om säkerställande av överensstämmelse med kraven på dokumentation behövs denna skyldighet, eftersom utvecklandet av ett automatiserat beslutsförfarande som helhet kan vara komplicerat och inbegripa ett flertal personer och aktörer, varvid det inte är skäligt att förvänta sig att alla fel uppdagas och korrigeras i kvalitetssäkringsskedet. En skyldighet för myndigheten att övervaka kvaliteten och finna och korrigera innehållets felfrihet behövs därför, för att säkerställa principerna om god förvaltning och fördelningen av tjänsteansvaret. Av skäl hänförliga till 118 § i grundlagen måste automatiserade beslutsförfarande vara noggrant övervakade och juridiskt kontrollerbara. Kvalitetskontrollen, så väl som kvalitetssäkringen, är allmän och etablerad praxis i utvecklingen och användningen av informationssystem, men för en god förvaltning och påförandet av tjänsteansvaret behövs ett mer preciserat ansvar.
I paragrafens 1 mom. åläggs myndigheten att övervaka kvaliteten och innehållets felfrihet i ärenden som avgörs automatiserat och att hantera de risker som är förknippande med det automatiserade beslutsförfarandet.
I paragrafens 2 mom. första meningen föreskrivs att myndigheten utan dröjsmål ska vidta korrigeringsåtgärder, om det i ett automatiserat beslutsförfarande upptäcks ett fel som kan inverka på innehållet i avgörandet. Om felet är av teknisk natur och i ett informationssystem som tillhandahålls av utomstående aktör, förpliktar bestämmelsen exempelvis myndigheten att begära en teknisk korrigering av den avtalspart som har levererat informationssystemet. Om felet är innehållsmässigt kan bestämmelsen ålägga myndigheten att exempelvis ändra behandlingsreglerna, uppdatera dokumentationen eller att fatta ett nytt beslut om införande.
I paragrafens 2 mom. andra meningen föreskrivs att fel, felets konsekvenser och åtgärderna för korrigering av felet ska dokumenteras av myndigheten. Syftet med den dokumenteringsskyldigheten är att sörja för en parts rättsskydd när ett fel har konstaterats vid ett automatiserat beslutsförfarande och att säkerställa att tjänsteansvaret fastställs på behörigt sätt.
I paragrafens 2 mom. tredje meningen föreskrivs att korrigering av fel i myndighetens avgöranden regleras särskilt. Beroende på felets karaktär ska myndigheten ta det automatiserade beslutsförfarandet eller den felaktiga delen av processen ur bruk, till dess att felet har korrigerats. Särskilda bestämmelser gäller för korrigering av fel i myndighetens avgöranden. Bestämmelser om korrigering av fel i förfarandet som ska iakttas vid förvaltningsbeslut finns bland annat i förvaltningslagen. Bestämmelser om korrigering av registeranteckningar finns i speciallagstiftningen, eller kan grundas på den allmänna dataskyddslagstiftningen. Momentet främjar tillgodoseendet av kraven på god förvaltning, särskilt uppfyllandet av kraven på korrekt behandling av ärenden.
I paragrafens 3 mom. föreskrivs att myndigheten, i syfte att säkerställa överensstämmelsen med kraven, ska utse en person som ansvarar för kvalitetskontrollen av det automatiserade beslutsförfarandet och för hanteringen av felsituationer. Ansvarspersonen ska inte nödvändigtvis utföra det egentliga kvalitetskontrolls- och felhanteringsarbetet, utan övervaka dess kvalitet och att det genomförs korrekt enligt kravställningen i lagen, vilket möjliggör påförande av tjänsteansvar.
22 §. Beslut om införande av ett automatiserat beslutsförfarande. I paragrafen föreskrivs om beslut om införande av ett automatiserat beslutsförfarande, alltså om det beslut som ska fattas innan ett automatiserat beslutsförfarande kan tas i bruk för att producera automatiserade avgöranden. Med införandet avses här inte ibruktagandet av informationssystemet. Innan ett automatiserat beslutsförfarande införs ska myndigheten säkerställa att de förutsättningar för införande uppfylls som föreskrivs i lagen, förvaltningslagen och eventuell annan speciallagstiftning. Bestämmelsen syftar till att ålägga myndigheten ansvaret för att säkerställa att de föreskrivna förutsättningarna för införande till alla delar har uppfyllts. Syftet med beslutet är att påvisa att myndigheten har utrett förutsättningarna för den automatiserade verksamhetsprocessen och att de lagstadgade grunderna för införande föreligger. Beslutet om införande kan karakteriseras som ett förberedande beslut för automatiserad ärendebehandling, med särskilda formkrav föreskrivna i lag. Beslutet om införande avgör inte direkt enskilda ärenden som gäller en parts rätt, skyldighet eller fördel. Lagenligheten i beslutet om införande, samt det förfarande och de handlingar som ligger till grund för beslutet, kan i respektive fall överklagas som en del av varje enskilt automatiserat avgörande, så som också andra omständigheter i förfarandet. Därför ska myndigheten i samband med varje enskilt automatiserat avgörande även meddela uppgifter om beslutet om införande, av vilket ska framgå grunderna för att använda automatiserat beslutsfattande i det avgjorda ärendet. Ett beslut om införande är därmed en förutsättning för ett automatiserat avgörande av ärenden hos en myndighet. Om en myndighet avgör ett ärende automatiserat i sådana fall som avses i förvaltningslagen utan att ha först ha fattat ett beslut om införande, är det fråga om ett fel i förfarandet i behandlingen av förvaltningsärendet. Följaktligen kan det egentliga beslutet i en parts ärende korrigeras, exempelvis utifrån förvaltningslagens bestämmelser om korrigering av sakfel. Ett fel i förfarandet kan vidare korrigeras genom ett rättelseförfarande. I förvaltningsdomstol bedöms sedermera fel i förfarandet i enlighet med rikets lag om rättegång i förvaltningsärenden. Grunden för överklagandet utgörs då av myndighetens fel i förfarandet i ett förvaltningsärende och inte egentligen beslutet om införandet. Om det framgår fel i myndighetens förfarande, ska myndigheten själv vidta åtgärder för att korrigera ett eventuellt felaktigt förfarande i beslutsförfarandet. I det fallet kan korrigeringen också leda till att det fattas ett nytt beslut om införande.
I paragrafens 1 mom. första meningen åläggs den myndighet som ansvarar för verksamhetsprocessen att fatta ett beslut om införande av det automatiserade beslutsförfarandet. Vidare ska ett beslut om införande enligt paragrafens 2 mom. fattas när beslutsförfarandet ändras så att myndigheten på nytt måste bedöma förutsättningarna för att använda det automatiserade beslutsförfarandet. Beslutet fattas av den myndighet som använder ett automatiserat beslutsförfarande för skötseln av sina uppgifter och som har behörighet att avgöra det ärende som behandlas i beslutsförfarandet. En sådan myndighet betecknas i bestämmelsen som den myndighet som ansvarar för verksamhetsprocessen att fatta ett beslut.
I paragrafens 1 mom. andra meningen anges en förteckning över de uppgifter som beslutet om införande åtminstone ska innehålla. Förteckningen är därmed inte uttömmande, utan ytterligare relevanta uppgifter kan framgå av beslutet.
I paragrafens 1 mom. andra meningen 1 punkten åläggs myndigheten en motiveringsskyldighet. Myndigheten ska innan en ett beslut fattas bedöma om de förutsättningar för införande av ett automatiserat beslutsförfarande uppfylls som föreskrivs i aktuell lag, förvaltningslagen, dataskyddslagstiftningen och eventuell annan tillämplig lagstiftning. I förvaltningslagens föreslagna 8a kap. föreskrivs om de allmänna förutsättningarna för automatiserade avgöranden av ärenden. I aktuell lag föreskrivs för sin del om förfarandet för införandet och dokumenteringskraven i samband med det. Vidare kan det i speciallagstiftning finnas särskilda krav på införandet av en verksamhetsprocess, såsom konsekvensbedömningar av dataskyddet som ska göras utifrån den allmänna dataskyddsförordningen, samt information som ska meddelas den registrerade om behandlingen av personuppgifter, i anknytning till ett individuellt automatiserat beslut. Beslutet om införande är myndighetens avgörande, vari myndigheten visar att det automatiserade beslutsförfarandet och de automatiserat producerade myndighetsavgörandena uppfyller kraven på rättsskydd och god förvaltning, samt de lagstadgade förutsättningarna. Motiveringarna utgör således en helhet, av vilken det framgår hur myndigheten anser att beslutsförfarandet uppfyller de i lag föreskrivna kraven på innehållet och förfarandet, samt att de är omsorgsfullt dokumenterade och kvalitetssäkrade. Motiveringarna ska vara heltäckande, i syfte att det genom dem ska kunna verifieras att myndigheten har förutsättningar för automatiserat beslutsfattande, utan att avgörandena granskas och godkänns av en fysisk person. Motiveringarna till beslut om införande är av betydelse vid utvärdering av lagenligheten och om uppfyllande av kraven på god förvaltning och rättsskydd vid användningen av ett automatiserat beslutsförfarande. Även om ett beslut om införande inte direkt påverkar parterna, kan beslutet och motiveringarna till det, i enskilda fall, inverka på det avgörande som resultatet av ett automatiserat beslutsförfarande har givit parten. Lagenligheten i beslutet om införande kan därmed bli föremål för prövning, exempelvis vid sökande av ändring eller i laglighetsövervakningen. Motiveringarna ska formuleras så att kraven på gott språkbruk enligt 6 § i förvaltningslagen uppfylls. Motiveringarna ska vara begripliga för den part som meddelas ett individuellt avgörande. Eftersom syftet med beslutet om införande också är att tillgodose vars och ens rätt enligt offentlighetsprincipen, att kunna övervaka myndigheternas verksamhet i samband med myndighetsverksamhet och utövning av offentlig makt, ska motiveringarna vidare vara begripliga för var och en.
Enligt paragrafens 1 mom. andra meningen 2 punkten ska beslutet innehålla en förteckning över de handlingar som ligger till grund för beslutet om införande. De handlingar som beslutet om ibruktagande grundar sig på är bland annat dokumentationen enligt 19 § 2 mom., den centrala dokumentationen över kvalitetskontrollen och kvalitetssäkringen, så som en plan för kvalitetskontroll och resultaten av kvalitetssäkringen, samt eventuella andra handlingar som har motsvarande betydelse med tanke på motiveringen till införandet. En förteckning över handlingarna i beslutet om införande betonar myndighetens utredningsskyldighet innan beslutet om införande fattas. Samtidigt bildar det handlingsmaterial som har ansamlats grunden för beslutet om införande. De handlingar som ligger till grund för beslutet, såsom den väsentliga dokumenteringen av hur det automatiserade beslutsförfarandet har utvecklats, ska godkännas hos myndigheten innan beslutet om införande fattas. För lagenligheten i denna dokumentation svarar godkännaren, beroende på hur uppgiftsfördelningen inom myndigheten enligt 19 § 1 mom. har fastställts och på vad som eventuellt annanstans i lag föreskrivs om ansvaret. En förteckning över de handlingar som ligger till grund för beslutet om införande främjar ytterligare handlingars offentlighet och transparensen i förvaltningsverksamheten. En part kan, om den så önskar, inom ramen för sin rätt till information, eller allmänheten i övrigt, få uppgifter om de handlingar som ligger till grund för beslutet om införande. Offentligheten i dessa handlingar avgörs dock med stöd av annan lagstiftning, så som i offentlighetslagen.
I paragrafens 1 mom. andra meningen 3 punkten åläggs myndigheten att specificera det planerade datumet för införande av det automatiserade beslutsförfarandet. Datumet för införande kan vara av betydelse vid en efterhandsbedömning av ändringar i beslutsförfarandet och ändringarnas lagenlighet. Med hjälp av datumet kan ett avgörande som har fattats vid en bestämd tidpunkt kopplas till det beslut om införande, inom ramen för vilket det automatiserade avgörandet har fattats. Ett beslutsförfarande kan inte tas i bruk före det angivna datumet. Datumet har också informativ betydelse för övervakningsmyndigheterna. Dessutom ska av beslutet framgå tidpunkten för när det har fattats.
I paragrafens 1 mom. andra meningen 4 punkten föreskrivs om att det av beslutet ska framgå vem som har fattat beslutet om införande. Beslutet fattas antingen av en enskild tjänsteman eller av ett organ, enligt hur myndigheten har fastställt behörighetsförhållandena vid beslutsfattandet, exempelvis i sin arbetsordning, förvaltningsstadga eller i projekthantering. Tjänsteansvaret enligt 118 § i grundlagen ska kunna hänföras till den tjänsteman som i situationen i fråga har varit handlingsskyldig. Uppgiften om beslutsfattaren har vidare särskild betydelse när det utreds om beslutet hos myndigheten har fattats av en behörig person eller ett behörigt organ.
I paragrafens 1 mom. andra meningen 5 punkten föreskrivs att det av beslutet ska framgå kontaktuppgifter till myndigheten, utifrån vilka var och en kan få ytterligare uppgifter från myndigheten. Det kan handla om förutsättningarna för användning av det automatiserade beslutsförfarandet, hur de har tillämpats och andra uppgifter om beslutet om införande samt vid behov framföra begäran om uppgifter som gäller de myndighetshandlingar som har legat till grund för beslutet om införande. Kontaktuppgiften ska vara sådan att myndigheten vid kontaktpunkten uttryckligen kan svara på förfrågningar om beslutet om införande, dock utan att det behöver specificeras vem som kan ge ytterligare uppgifter. I lagen föreskrivs uttryckligen att kontaktuppgiften ska vara en kontaktuppgift till myndigheten och kan därmed inte vara exempelvis kontaktuppgiften till den som har levererat informationssystemet. Kontaktuppgiften behöver inte vara densamma som framgår av det egentliga förvaltningsbeslutet, vari ett enskilt ärende har avgjorts.
I paragrafens 2 mom. föreskrivs om situationer där myndigheten ska fatta ett nytt beslut om införande. Ett nytt beslut om införande ska dessutom fattas i fråga om sådana ändringar av beslutsförfarandet som förutsätter en bedömning av de i föreslagna 48a och 48b §§ i förvaltningslagen föreskrivna förutsättningarna. Ett nytt beslut om införande ska därmed fattas när det automatiserade beslutsförfarandet ändras på ett sådant sätt, vilket påverkar förutsättningarna för införandet eller när förutsättningarna för införandet, såsom rättsläget, förändras. I bestämmelsen avses sådana ändringar som är av betydelse till exempel med tanke på förvaltningslagen eller tillämplig speciallagstiftning, så som ändringar som hänför sig till hörande, rättsskyddsförutsättningen enligt föreslagna 48b § i förvaltningslagen eller motiveringen av ett beslut. Ett nytt beslut om införande behöver inte fattas enbart på grund av mindre ändringar, eller ändringar av teknisk natur i behandlingsreglerna, exempelvis till följd av korrigeringar av tekniska fel eller årliga indexjusteringar. Även sådana ändringar ska dock dokumenteras i handlingarna på det sätt som föreskrivs i 19 §. Likaså ska kravöverensstämmelsen även för smärre ändringar säkerställas så som föreskrivs i 20 §, om ändringarna gäller förfaranden, behandlingsregler eller gott språkbruk i de handlingar som produceras automatiserat. När det sker ändringar i lagstiftningen, eller rättspraxis, eller när informationssystemen utvecklas kan det dock uppstå situationer där det görs så väsentliga ändringar i det automatiserade beslutsförfarandet, att förutsättningarna för automatisering av beslutsförfarandet måste bedömas på nytt. Om exempelvis en fas i ärendehandläggningen, för vilken det tidigare har använts en fysisk person, omvandlas till en automatiserad fas eller tvärtom, innebär detta en sådan förändring, på grund av vilken förutsättningarna för användning av beslutsförfarandet måste bedömas på nytt och att ett nytt beslut om införande därmed ska fattas. Likaså behövs det sannolikt ett nytt beslut vid ändringar i speciallagstiftning som gäller automatiserade verksamhetsprocesser. Det nya beslutet inverkar inte på avgöranden som har fattats genom beslutsförfarandet innan det nya automatiserade beslutsförfarandet infördes. Grunden för det nya beslutet är de handlingar som beskriver det aktuella förfarandet, vilket iakttas i införandeprocessen, samt behandlingsreglerna. Syftet med ett nytt beslut om införande är att ålägga myndigheten att visa att väsentliga ändringar i förutsättningarna för införandet har bedömts innan beslutsförfarandet har tagits i bruk.
I paragrafens 3 mom. föreskrivs det om minimitiden för bevarande av beslut om införande. Beslutet om införande ska bevaras i minst fem år, från ingången av det kalenderår som följer på det år då det automatiserade beslutsförfarandet togs ur bruk. Skyldigheten att bevara handlingarna syftar till att säkerställa att utvecklingsåtgärderna och den rättsliga prövningen vid behov kan verifieras tillräckligt länge för eventuella utredningar i frågor som gäller tjänsteansvar. Den minsta tiden för bevarande motsvarar den för dokumenteringen av förfaranden och behandlingsregler enligt 19 § och utgör i enlighet därmed inte gallringsfrist för handlingarna. Förvaringstiden fastställs i myndighetens arkivplan.
23 §. Informering. I paragrafen föreskrivs myndigheterna en skyldighet att offentliggöra beslut om införande och en allmän informeringsskyldighet i fråga om automatiserade avgöranden. I förvaltningslagen föreslås bestämmelser om att en myndighet, i samband med varje enskilt automatiserat avgörande, även ska meddela uppgifter om det beslut om införande, enligt vilket grunderna för användningen av automatiserat beslutsfattande i respektive avgjort ärende framgår. Vidare ska myndigheten meddela var beslutet om införande finns att tillgå.
Enligt paragrafens 1 mom. ska ett beslut om införande offentliggöras på myndighetens webbplats i det allmänna datanätet, det vill säga myndighetens hemsida. Offentliggörandet av beslut om införande främjar i ett bredare perspektiv transparensen i det automatiserade beslutsförfarandet och det automatiserade avgörandet av ärenden. Det innebär att vem som helst kan bekanta sig med grunderna för användningen av ett automatiserat beslutsförfarande och, om den så önskar, begära närmare dokumentation eller uppgifter om dessa grunder. Bestämmelsen avviker inte från bestämmelserna om sekretess. Ett beslut om införande ska offentliggöras till den del det inte innehåller sekretessbelagda uppgifter. En myndighet ska på sin webbplats offentliggöra gällande beslut om införande. Detta innebär att om myndigheten gör sådana ändringar i sin verksamhetsprocess som kräver ett nytt beslut om införande, ska den även offentliggöra det nya beslutet. Gamla beslut om införande behöver inte hållas tillgängliga på webbplatsen, men den vars ärende har avgjorts genom ett automatiserat beslutsförfarande, vilket använts med stöd av ett tidigare beslut, ska dock ha tillgång till detta gamla beslut. Myndigheten ska på sin webbplats åtminstone ha klara anvisningar om varifrån och hur den enskilde kan få tillgång till ett tidigare beslut om införande. Skyldigheten att offentliggöra ett beslut om införande påverkar inte den tid för bevarande av beslutet som föreskrivs i 22 § 3 mom. Skyldigheten att offentliggöra ett beslut fråntar alltså inte myndigheten skyldigheten att bevara beslut om införande och att meddela uppgifter om dem utifrån bestämmelser om rätt att få information, såsom de som framgår av offentlighetslagen.
I paragrafens 2 mom. åläggs myndigheterna en informeringsskyldigheten. Syftet med informeringen är att främja en öppen förvaltning, trygga genomförandet av offentlighetsprincipen och att öka förtroendet för automatiserat avgörande av ärenden. Myndigheten ska främja genomförandet av offentlighetsprincipen genom att dela information om omständigheter som är av betydelse, med hänsyn till de enskildas rättsliga ställning när det gäller automatiserat avgörande av ärenden. Informeringen tillgodoser vidare förutsägbarheten i det automatiserade avgörandet, när de enskilda redan innan ett ärende inleds kan få information om huruvida deras ärenden kan avgöras automatiserat hos myndigheten. Informeringsskyldigheten fråntar inte personuppgiftsansvariga deras skyldigheter enligt artiklarna 13 och 14 i den allmänna dataskyddsförordningen, när det gäller att informera registrerade om automatiserat individuellt beslutsfattande. Myndigheten ska särskilt se till att kraven enligt dataskyddsförordningen, om meddelande av uppgifter till registrerade, uppfylls och att uppgifterna ges i rätt tid till den registrerade. Informeringsskyldigheten enligt momentet innehåller inte bestämmelser, vilka fastställer i vilka situationer uppgifter som omfattas av informeringsskyldigheten ska framföras, exempelvis som en del av inledandet av ärendet. Momentet syftar till att främja transparensen i automatiserade verksamhetsprocesser, inte endast för enskilda berörda, utan även för samhället i stort. Samtidigt föreslås det i förvaltningslagen avseende beslutet om införande att, det i samband med ett avgörande i ett individuellt ärende, ska meddelas var beslutet om införande finns att tillgå.
I paragrafens 2 mom. första meningen om myndigheters allmänna skyldighet att informera om automatiserat avgörande av ärenden inom sitt verksamhetsområde. Informeringsskyldigheten gäller särskilt omständigheter som är centrala, med avseende på hur berördas rättsskydd tillgodoses. Myndigheten ska informera om ärenden som kan avgöras automatiserat och om grunderna för att använda ett automatiserat beslutsförfarande. Vidare har myndigheten prövningsrätt, med avseende på vad annat det är ändamålsenligt att informera om, utifrån den dokumentationen och beslutet om införande av ett automatiserat beslutsförfarande. Informeringen ska ske på ett sådant sätt att den enskilde, i fråga om användningen av ett automatiserat beslutsförfarande, får en uppfattning om på vilka grunder myndigheten avgör ärenden automatiserat och om det är sannolikt att den enskildas eget ärende kommer att behandlas automatiserat. Informeringen ska beakta kravet på gott språk-bruk i 6 § i förvaltningslagen. Informeringen ska vara begriplig och tillgänglig. Den ska beakta de språkliga rättigheterna och behoven hos grupper med särskilda behov. Det kan således inte anses tillräckligt med information enbart på webbplatsen, utan den ska finnas tillgänglig även på andra sätt. En myndighet som informerar om automatiserade avgöranden ska även berätta vilka ärenden den avgör automatiserat. Skyldigheten att informera om grunderna för användning av ett automatiserat beslutsförfarande innebär i praktiken att myndigheten på sin webbplats särskilt ska klargöra de förutsättningar för införande, vilka anges i beslutet om införande. Andra, med avseende på den enskildes rättigheter, centrala uppgifter, vilka ska informeras utifrån de handlingar som anknyter till införandet, kan exempelvis avse säkerställande av icke-diskriminering, genomförande eller icke-genomförande av hörande och tillgodoseende av utredningsskyldigheten. Den information som myndigheten producerar ska grundas på beslutet om införande och den dokumentation beslutet bygger på, eftersom den rättsliga grunden för ett automatiserat avgörande ska finnas beskrivet i det handlingsmaterial som har skapats. Informeringen ska ske separat för varje ärendegrupp. Det räcker således inte med allmänna beskrivningar med information om vilka ärenden som avgörs automatiserat.
I paragrafens 2 mom. andra meningen åläggs myndigheten vidare att på sin webbplats offentliggöra de uppgifter som har producerats. Genom bestämmelsen förpliktas myndigheten att på sin webbplats dela information om ärenden som avgörs automatiserat. De uppgifter som offentliggörs på webbplatsen ska hållas uppdaterade. Den allmänna informeringsskyldigheten i 2 mom. andra meningen är medieneutral och där fastställs inte med vilka metoder informationen ska delas. Myndigheten har alltså prövningsrätt med avseende på hur informeringsskyldigheten genomförs, när det gäller andra sätt att dela information än webbplatsen.
24 §. Användning av uppgifter i ett automatiserat beslutsförfarande. I paragrafen åläggs myndigheterna att, på grundval av en riskbedömning, se till att det genom lämpliga tekniska åtgärder säkerställs att de uppgifter som används vid automatiserat avgörande är uppdaterade och felfria. Syftet med paragrafen är att säkerställa att de uppgifter som används vid ett automatiserat beslutsförfarande är uppdaterade och felfria. Bestämmelsen ska vidare förstås så att myndigheten inte direkt åläggs att vidta lämpliga tekniska åtgärder, utan endast att säkerställa att dessa genomförs. Dessa lämpliga åtgärder ska fastställas utifrån en riskbedömning. I riskbedömningen ska sådana relevanta risker identifieras som kan påverka att de uppgifter som utnyttjas vid automatiserat avgörande är uppdaterade och felfria. Med relevanta risker avses risker som kan ha negativ eller skadlig inverkan på en enskilds rättsliga ställning. Om riskbedömningen ger vid handen att aktualiteten och felfriheten i de uppgifter som används vid automatiserat avgörande är förenade med relevanta risker, ska myndigheten utföra sådana lämpliga kontroller som kan säkerställa kvaliteten i de uppgifter som utnyttjas i det automatiserade beslutsförfarandet. Skyldigheten gäller såväl myndighetens eget informationsmaterial som vid utnyttjandet av någon annan myndighets eller aktörs information. Bestämmelsen framhäver vidare att myndigheten, redan på förhand, aktivt ska utreda och säkerställa kvaliteten i de uppgifter den utnyttjar i det automatiserade avgörandet. Med tanke på säkerställandet av en parts rättsskydd är det centralt att de uppgifter som utnyttjas är uppdaterade och felfria, så att det beslut eller avgörande som beslutsförfarandet resulterar i fattas sakligt och korrekt, utifrån ett högklassigt faktaunderlag. Myndigheten ska redan enligt 26 § i förvaltningslagen se till att ett ärende utreds tillräckligt och på behörigt sätt, samt ska i detta syfte skaffa den information och den utredning som behövs för att ärendet ska kunna avgöras. Bestämmelsen kompletterar innehållet i utredningsskyldigheten enligt förvaltningslagen vid automatiserade verksamhetsprocesser, genom att förplikta myndigheten till att rikta åtgärderna uttryckligen till säkerställande av uppgifternas kvalitet. Vid säkerställandet av en korrekt ärendebehandling ska det vidare beaktas att en myndighet, enligt denna lags 8 §, ska identifiera relevanta risker som är förenade med informationsbehandlingen och dimensionera informationssäkerhetsåtgärderna utifrån riskbedömningen. Den föreslagna paragrafen kompletterar härvidlag regleringen, så att åtgärdsskyldigheter utöver informationssäkerhetsåtgärderna också hänför sig till uppgifternas felfrihet och aktualitet. I den allmänna dataskyddsförordningens skäl 71 anses som en skyddsåtgärd vid automatiserat individuellt beslutsfattande korrigering av fel och minimering av risker för fel vid felaktigheter i personuppgifter. I artikel 5.1 d i den allmänna dataskyddsförordningen föreskrivs om korrekthetsprincipen, enligt vilken personuppgifter ska vara korrekta och om nödvändigt uppdaterade och att alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga, i förhållande till de ändamål för vilka de behandlas, raderas eller rättas utan dröjsmål. Syftet med föreslagen reglering är att säkerställa tillräckliga skyddsåtgärder vid automatiserat avgörande i enlighet med artikel 22.2 b i den allmänna dataskyddsförordningen och att införa en större noggrannhet och exakthet än vad som avses i korrekthetsprincipen i artikel 5 i förordningen, för att påvisa en tillräcklig skyldighet i anknytning till tjänsteåtgärder. I den föreslagna paragrafen betonas felminimering på förhand och åtgärder på grundval av en riskbedömning, vid behov även förhandsåtgärder. Detta mot bakgrund av att konsekvenserna av felaktiga uppgifter vid utövande av offentlig makt kan vara särskilt betydande för parten i fråga och eftersom sådana konsekvenser kan bli verkställbara genast efter avgörandet. Dessutom hänför sig automatiserat avgörande av ärenden även till andra än fysiska personer, varvid målet är att säkerställa att det också i de fallen finns tillräckliga skyddsåtgärder för att säkerställa uppgifternas felfrihet och aktualitet. I artikel 16 i den allmänna dataskyddsförordningen föreskrivs det separat om den registrerades rätt att begära avlägsnande eller rättelse av felaktiga uppgifter och bland annat i förvaltningslagen om rättelse och fel i beslut.
7 kap. Användningen av kakor på myndigheternas webbplatser
25 §. Registrering på användarens terminalutrustning av information om användning av tjänster samt användning av informationen. Genom den föreslagna paragrafen genomförs artikel 5.3 e-dataskyddsdirektivet, enligt vilken medlemsstaterna ska säkerställa att användningen av elektroniska kommunikationsnät för att lagra information, eller för att få tillgång till information som är lagrad i en användares terminalutrustning, endast är tillåten enligt vissa villkor. Villkoren är att användaren i fråga har tillgång till klar och fullständig information, bland annat om ändamålen med behandlingen, i enlighet med den allmänna dataskyddsförordningen, och erbjuds rätten att vägra sådan behandling av den dataregisteransvarige. Detta får inte förhindra någon teknisk registrering eller åtkomst, vilken endast sker för att utföra eller underlätta överföringen av en kommunikation via ett elektroniskt kommunikationsnät, eller som är absolut nödvändigt för att leverera en digital tjänst som användaren eller abonnenten uttryckligen har begärt.
Enligt paragrafens 1 mom. är registrering med hjälp av kommunikationsnät på användarens terminalutrustning av kakor och andra uppgifter, om användningen av digitala tjänster, samt användningen av dessa uppgifter, tillåten, förutsatt att den som tillhandahåller tjänsten ger användaren begripliga och fullständiga uppgifter, om ändamålet med registreringen eller användningen. Samtidigt ska användaren beredas tillfälle att förbjuda avsedd registrering eller användning. Uppgifter kan insamlas på många olika sätt om användningen av digitala tjänster. Exempel på sådana metoder är så kallade kakor. Med kakor avses data som en tjänsteleverantörs server sänder till en användares webbläsare med anmodan om att denna ska lagra uppgiften på användarens terminalutrustning och som tjänsteleverantörens server senare kan begära tillbaka. I allmänhet är det fråga om små datamängder, exempelvis korta textrader. Ändamålet med att använda kakor är i allmänhet att underlätta användningen av en tjänst, bland annat i sådana fall där användaren har gett uppgifter till exempel om vad denne är intresserad av, eller då sådan information annars har ackumulerats i samband med användningen av en tjänst. Då användaren nästa gång tar kontakt med samma tjänsteleverantörs server sänder användarens webbläsare kakor tillbaka till tjänsteleverantörens server. Kakor kan bara läsas av den server som har sänt den, det vill säga att kakor överför data mellan de tidpunkter då en viss server har använts. Kakor kan sålunda inte i allmänhet sända data från en server till en annan. Genom att ändra inställningarna på sin terminalutrustning kan användaren själv bestämma om denne tillåter att kakor lagras på sin terminalutrustning. Många digitala tjänster har dock utförts på ett sådant sätt att de inte kan användas utan att något slag av uppgifter lagras om användningen av tjänsterna. Till exempel har vissa nätbanktjänster gjorts sådana att det inte fungerar i praktiken utan något slag av kakor. Användaren kan också avlägsna kakor, vilka redan har registrerats på dennes terminalutrustning, antingen med hjälp av en i webbläsaren inbyggd funktion, genom ett särskilt avlägsnandeprogram, eller på annan väg. Om användaren avlägsnar kakor känner tjänsten inte igen användarens terminalutrustning när användaren nästa gång besöker webbplatsen nästa gång. Då strävar tjänsten till att lagra nya kakor på användarens terminalutrustning. Uppgifter som har insamlats om användaren eller om användningen av tjänsten kan tekniskt lagras, till exempel på användarens terminalutrustning, i olika slag av filer, eller på tjänsteleverantörens egen server. Det bör observeras att det föreslagna 1 mom. endast begränsar registreringen av kakor eller av andra uppgifter om användningen av en tjänst på användarens terminalutrustning. Det föreslagna 1 mom. gäller alltså inte insamling och registrering av data på något annat sätt än på användarens terminalutrustning, exempelvis data om antal besökare. På sådan verksamhet tillämpas bestämmelserna om behandling av personuppgifter, om dessa uppgifter kan förknippas med en fysisk person. Om registreringen av uppgifter om användningen av en tjänst sker med hjälp av kommunikationsnät på användarens terminalutrustning, förutsätts antingen att de i föreslagna 1 mom. avsedda uppgifterna lämnas och att möjligheten till förbud förverkligas, eller att de i 2 mom. avsedda villkoren uppfylls. I det föreslagna 1 mom. avses med den som tillhandahåller en tjänst den som utför registreringen av uppgifter om användningen av tjänsten på användarens terminalutrustning, eller som använder dessa uppgifter. I praktiken är den som enligt momentet tillhandahåller tjänster i de flesta fall någon som tillhandahåller digitala, eller elektroniska, tjänster. Vid sådana tjänster förmedlas information eller annat innehåll via kommunikationsnäten. Digitala tjänster kan utföras via olika slag av webbplatser, eller till exempel genom textmeddelanden. Nätbanktjänster, olika underhållningstjänster som förmedlar ljud, bild eller motsvarande, olika söktjänster och nyhetstjänster utgör exempel på digitala tjänster. Ändamålet med den förpliktelse att lämna uppgifter, som avses i det föreslagna 1 mom., är att garantera att användaren är medveten om de uppgifter som kommer till dennes terminalutrustning och som gäller användaren, eller dennes verksamhet. Uppgift om registreringen och möjligheten att förbjuda denna kan tillhandahållas på en gång i fråga om flera uppgifter, vilka lagras på terminalutrustningen under en och samma förbindelse. De uppgifter som ska lämnas kan samtidigt gälla annan användning än registrering, i samband med senare användning av tjänsten. De metoder som används för att ge uppgifter och erbjuda möjlighet till förbud bör vara så användarvänliga som möjligt. Användarnas terminalutrustning och de uppgifter som registrerats på denna faller inom ramen för användarens integritetsskydd. Eftersom frågan gäller intrång i användarens egen terminalutrustning, och de i den lagrade uppgifterna, ska de uppgifter som enligt det föreslagna 1 mom. ges till användaren vara klara och heltäckande, i syfte att han eller hon ska kunna bedöma om rätten till förbud ska utövas. Eftersom saken gäller en förhållandevis svårbegriplig fråga, bör utgångspunkten vara att uppgifterna ska ges på användarens eget modersmål. Genom det föreslagna 1 mom. förpliktas den som tillhandahåller en tjänst inte att lagra användarens eventuella registreringsförbud för senare användning. Den som tillhandahåller tjänster är alltså inte förpliktad att samla ett förbudsregister om dem som använder tjänsterna för att förhindra ytterligare försök att på användarens terminalutrustning lagra uppgifter om användningen av tjänsten, om den som utfärdat registreringsförbud senare kommer till tjänsteleverantörens hemsidor. Genom att erbjuda en möjlighet till förbud strävar regleringen endast efter att användaren ska ha en möjlighet att förbjuda registrering på sin terminalutrustning i samband med det enskilda tillfälle då en tjänst används.
Enligt paragrafens 2 mom. gäller bestämmelserna i det föreslagna 1 mom. inte sådan registrering eller användning av uppgifter vars uteslutande ändamål är att förmedla kommunikation via kommunikationsnäten, eller att underlätta denna förmedling, eller som är nödvändig för att tillhandahålla sådana tjänster som användaren av tjänsten uttryckligen har begärt. Undantaget åsyftar så kallade nödvändiga kakor. Registrering av uppgifter om användningen av en tjänst är därmed alltid tillåten då användaren begär en viss tjänst och då det är nödvändigt att lagra sådana uppgifter för att tillhandahålla ifrågavarande tjänst. I detta fall behöver användaren inte heller ges sådana uppgifter om ändamålet med registreringen som avses i det föreslagna 1 mom., eller erbjudas möjligheten att utfärda registreringsförbud. En sådan situation kan uppstå till exempel vid användning av nätbankstjänster. I princip anses att bestämmelserna i det föreslagna 1 mom. inte heller gäller sådan registrering eller användning av kakor, eller andra uppgifter om användningen av tjänster, vilken utförs av en sammanslutningsabonnent och som underlättar användningen av kommunikationstjänster inom kretsen av sammanslutningsabonnentens egna användare, eller som anses vara nödvändig för verksamhet som en sammanslutningsabonnent bedriver för en begränsad användarkrets.
Enligt paragrafens 3 mom. är den registrering och användning som avses i bestämmelsen tillåten endast i den omfattning som tjänsten förutsätter, och det ska utföras utan att integritetsskyddet äventyras i onödan.
8 kap. Vidareutnyttjande av information från offentlig förvaltning.
26 §. Tillgängliggörande av information för vidareutnyttjande. Paragrafen reglerar att information som undantas från tillämpningsområdet i lagens 3 § 2–3 mom. kan tillgängliggöras för vidareutnyttjande på myndighetens eget initiativ, enligt skyldighet i någon annan lag eller efter en begäran om vidareutnyttjande enligt 28 §. Paragrafen motsvarar 4 § i vidareutnyttjandelagen. Det finns således inte någon allmän skyldighet för myndigheter att aktivt tillgängliggöra all information, utan en föregående begäran om vidareutnyttjande eller utan krav i lag. Till exempel enligt landskapslagen (2017:54) om tillämpning på Åland av lagen om en infrastruktur för geografisk information, genom vilken Inspire-direktivet har genomförts på Åland, ska vissa geografiska datamängder tillgängliggöras. Enligt artikel 1.7 i öppna data-direktivet reglerar det vidareutnyttjandet även av de handlingar som omfattas av Inspire-direktivet. För ytterligare detaljmotivering, se LF 26/2020-2021.
27 §. Format. Paragrafen reglerar det format i vilket information tillgängliggörs för den som får informationen efter begäran, enligt lag eller då myndigheten på eget initiativ tillgängliggör information. Paragrafen motsvarar 5 § i vidareutnyttjandelagen. Genom bestämmelsen genomförs den tvingande regleringen i artikel 5.1 i öppna data-direktivet, enligt vilken offentliga myndigheter ska göra sina handlingar tillgängliga i befintliga format och språkversioner, och om möjligt och lämpligt, på elektronisk väg, i format som är öppna, maskinläsbara, tillgängliga, sökbara och som kan vidareutnyttjas tillsammans med tillhörande metadata. Både format och metadata ska, när så är möjligt, vara förenliga med öppna standarder. Information som finns i visst digitalt format hos en myndighet ska alltid tillhandahållas i det formatet. Att strukturera och formatera information på ett sätt som gör den lämplig för vidareutnyttjande kräver visst arbete och kan vara betungande för myndigheten. Formatkraven, att informationen inklusive beskrivningsuppgifter ska göras tillgänglig i ett allmänt maskinläsbart format, behöver enligt artikel 5.1 i öppna data-direktivet endast efterlevas om det är möjligt och lämpligt ur verksamhetssynpunkt. Uttrycket möjligt och lämpligt bör kopplas till den proportionalitetsprövning som återfinns i artikel 5.3 i. Enligt artikel 5.3 ska formatkravet i artikel 5.1 inte innebära en skyldighet att skapa nya handlingar, anpassa handlingar eller tillhandahålla utdrag om det skulle kräva oproportionerliga ansträngningar och inte endast ett enkelt handgrepp. De omständigheter som ska beaktas är att hänföra till myndighetens organisation och budget. Det kan till exempel inte krävas att kostnadskrävande teknisk utrustning anskaffas eller att personal anställs för att efterleva formatkraven. För ytterligare detaljmotivering, se LF 26/2020-2021.
28 §. Begäran om vidareutnyttjande av information. Paragrafen reglerar förfarandet vid begäran om vidareutnyttjande av information. Paragrafen motsvarar 6 § i vidareutnyttjandelagen. Bedömningen av om informationen kan utlämnas är steg ett i behandlingen av en begäran om vidareutnyttjade av information, där steg två är att ta ställning till hur, det vill säga i vilket format, informationen tillhandahålls. Det är därmed lämpligt att samma förfarande tillämpas på begäran om vidareutnyttjande av information som gällande utlämnande av myndighetshandlingar enligt offentlighetslagen. En begäran om vidareutnyttjande av information ska lämnas in till den myndighet som innehar informationen. Gällande innehållet i en begäran om vidareutnyttjande av information ska 16 § i offentlighetslagen därmed tillämpas. Begäran ska således vara tillräckligt preciserad. Behandling av begäran om vidareutnyttjande ska vidare i enlighet med 17 § i offentlighetslagen ske utan dröjsmål. För det fall att vidareutnyttjande inte medges i enlighet med begäran, ska myndigheten enligt 19 § i offentlighetslagen meddela vad vägran beror på, fråga den som lämnat in begäran om denne skriftligen vill anhängiggöra att myndigheten fattar ett överklagbart beslut och informera om de eventuella avgifter som uppbärs med anledning av behandlingen. Om personen anhängiggör att myndigheten ska fatta ett överklagbart beslut, ska myndigheten skriftligen fatta beslutet utan dröjsmål. Om myndighetens skyldigheter vid avgörande av ärenden finns närmare bestämmelser i 7 kap. i förvaltningslagen. Beträffande ändringssökande gällande begäran om vidareutnyttjande ska 26 § i offentlighetslagen tillämpas, enligt vilken ändring kan sökas genom besvär i enlighet med bestämmelserna i 25 § i självstyrelselagen och rikets lag om rättegång i förvaltningsärenden. Besvärsanvisning ska fogas till ett sådant beslut på det sätt som föreskrivs i 42 § i förvaltningslagen. För ytterligare detaljmotivering, se LF 26/2020-2021.
29 §. Data som uppdateras ofta. Paragrafen reglerar att data som uppdateras ofta på begäran ska finnas tillgänglig för vidareutnyttjande med hjälp av tekniska gränssnitt, genast efter att de har samlats in, och, om det är ändamålsenligt, för bulknedladdning, om det är fråga om information som både uppdateras ofta eller i realtid och innehållet ändras eller föråldras snabbt. Paragrafen motsvarar 7 § i vidareutnyttjandelagen.
Paragrafens 1 mom. genomför artikel 5.5 om dynamiska data i öppna data-direktivet. Dynamiska data är enligt artikel 2.8 i direktivet information i digitalt format som uppdateras ofta eller i realtid, särskilt på grund av deras volatilitet eller snabba åldrande. Data som genereras av sensorer är vanligtvis att betrakta som dynamiska data. Beträffande data som uppdateras ofta innehåller artikel 5.5 i direktivet tvingande formatkrav. Data som uppdateras ofta data ska finnas tillgängliga för vidareutnyttjande med hjälp av tekniska gränssnitt omedelbart efter att den samlats in, och i förekommande fall som bulknedladdning. I förekommande fall bör tolkas som att det är fråga om situationer då det finns en avgränsad mängd information som lämpar sig för att sammanställas i en fil för bulknedladdning. Begreppet i förekommande fall har ersatts av begreppet ändamålsenligt i lagtexten.
Paragrafens 2 mom. genomför artikel 5.6 i öppna data-direktivet. Om det skulle kräva en oproportionerlig arbetsinsats att tillgängliggöra information för vidareutnyttjande direkt efter att informationen samlats in, ska data som uppdateras ofta göras tillgänglig för vidareutnyttjande inom en sådan tidsfrist eller med sådana tekniska begränsningar som är nödvändiga och som inte försvårar vidareutnyttjandet av data som uppdateras ofta. Med oproportionerlig arbetsinsats avses att det skulle överstiga myndighetens finansiella eller tekniska kapacitet att göra data som uppdateras ofta tillgänglig direkt efter insamlingen. För ytterligare detaljmotivering, se LF 26/2020-2021.
30 §. Värdefulla datamängder. Paragrafen reglerar att värdefulla datamängder på begäran ska finnas tillgängliga för vidareutnyttjande. Informationen ska finnas tillgänglig i maskinläsbar form med hjälp av tekniska gränssnitt och, om det är ändamålsenligt, för bulknedladdning. Paragrafen motsvarar 8 § i vidareutnyttjandelagen. Värdefulla datamängder är enligt artikel 2.10 i öppna data-direktivet handlingar vars vidareutnyttjande är förknippat med stora fördelar för samhället, miljön eller ekonomin. Detta framför allt tack vare deras lämplighet för att skapa mervärdestjänster, applikationer och nya högkvalitativa och anständiga arbetstillfällen samt antalet potentiella mottagare av de mervärdestjänster och mervärdesapplikationer som bygger på dessa dataset. I bilaga I till direktivet fastställs tematiska kategorier av värdefulla datamängder: geospatial data, jordobservation och miljö, meteorologiska data, statistik, företag och företagsägande och rörlighet. Europeiska kommissionen ska i enlighet med artikel 14.1 i direktivet anta genomförandeakter i vilka det fastställs en förteckning över de värdefulla datamängderna som anges i bilaga I. I genomförandeakter får kommissionen vidare ange arrangemang för offentliggörande och vidareutnyttjande av värdefulla datamängder. Kommissionen har ännu inte antagit bestämmelser om detta.
I paragrafens 1 mom. genomförs artikel 5.8 i öppna data-direktivet, enligt vilken värdefulla datamängder ska göras tillgängliga för vidareutnyttjande i maskinläsbart format, via lämpliga API:er och i förekommande fall som bulknedladdning.
I paragrafens 2 mom. ges landskapsregeringen rätt att i landskapsförordning anta närmare bestämmelser om värdefulla datamängder och tillgång till dem, i enlighet med de genomförandeakter som kommissionen kommer att anta. För ytterligare detaljmotivering, se LF 26/2020-2021.
31 §. Avgifter. Paragrafen reglerar nivån på avgifter för offentligrättsliga prestationer som tillämpningen av kapitlet föranleder. Paragrafen motsvarar 9 § i vidareutnyttjandelagen och genomför artikel 6 i öppna data-direktivet.
Av paragrafens 1 mom. framkommer att avgifter för offentligrättsliga prestationer som tillämpningen av lagen föranleder fastställts i enlighet med annan lagstiftning. I landskapslagen (1993:27) om grunderna för avgifter till landskapet regleras grunderna för landskapsregeringens och underliggande myndigheters prestationer, enligt vars 6 § landskapsregeringen beslutar om vilka prestationer som är avgiftsbelagda och storleken på avgifterna. Landskapsregeringen antar beslut som publiceras i Ålands författningssamling som ligger till grund för uppbärande av avgifter inom den allmänna förvaltningen och hos underlydande myndigheter. Beträffande avgiftsuttag inom den kommunala förvaltningen har det som framförs i lagförslaget, LF 8/2020-2021, vid tolkningen av grundlagens 81 § ansetts att en offentligrättslig kommunal avgift kan bygga på bestämmelser i lag, men också att det är möjligt att avgift påförs direkt med stöd av den kommunala självstyrelsen, se GrUU 53/2002 rd, s. 2/II. Inom den kommunala förvaltningen antar fullmäktige avgiftsstadgor. För det fall att avgifter fastställs för vidareutnyttjande av information får avgiften inte beräknas till en högre nivå än vad som framkommer av 2 och 3 mom.
Enligt paragrafens 2 mom., vilket genomför artikel 6.1 i öppna data-direktivet, får avgift omfatta kostnader för att reproducera, tillhandahålla och sprida information samt för avidentifiering av personuppgifter och åtgärder för att skydda konfidentiell affärsinformation.
Enligt 3 mom., vilket genomför artikel 6.2.b och 6.4 i öppna data-direktivet, får bibliotek, muséer och arkivverk även uppbära avgift för att samla in, framställa och lagra information samt för att få en rimlig avkastning på investeringar. Med begreppet rimlig avkastning på investeringar avses enligt artikel 2.16 i direktivet en procentandel av den totala avgiften, utöver vad som krävs för att täcka de stödberättigade kostnaderna, som uppgår till högst 5 procentenheter över Europeiska Centralbankens fasta ränta. För ytterligare detaljmotivering, se LF 26/2020-2021.
32 §. Avgiftsfrihet. Paragrafen reglerar att värdefulla datamängder ska tillhandahållas avgiftsfritt. Paragrafen motsvarar 10 § i vidareutnyttjandelagen.
Enligt paragrafens 1 mom., vilket genomför artikel 6.6.a i öppna data-direktivet, ska värdefulla datamängder tillhandahållas avgiftsfritt. Bibliotek, museum och arkivverk får dock enligt artikel 14.4 i direktivet ta ut avgift för värdefulla datamängder. Avgiftsuttaget ska då ske i enlighet med principerna i 31 §.
Enligt 2 mom., vilket genomför artikel 6.6.b i direktivet, ska forskningsdata som omfattas av definitionen i lagen tillhandahållas avgiftsfritt. För ytterligare detaljmotivering, se LF 26/2020-2021.
9 kap. Särskilda bestämmelser
33 §. Ikraftträdande. I denna paragraf ingår en ikraftträdandebestämmelse. Landskapsregeringen föreslår att lagen ska träda i kraft den 1 januari 2025, på grund av att såväl skötseln av informationshanteringen på Åland som den reglering som finns av denna är föråldrad, samt i syfte att så snart möjligt eliminera förekommande inkonsekvenser i den nuvarande informationshanteringen.
Lagens ikraftträdande ska vidare innebära ett upphävande av vidareutnyttjandelagen, i och med att dess bestämmelser i huvudsak överflyttas till lagens 8 kap.
34 §. Övergångsbestämmelser. I den föreslagna lagen ingår övergångsbestämmelser, eftersom myndigheterna, när lagen träder i kraft, inte förväntas ha hunnit vidtaga alla åtgärder och förberedelser för tillämpning av den nya lagen och de nya bestämmelserna i den. Till den del som lagens bestämmelser motsvarar gällande lagstiftning, lagstiftning som ska upphävas eller ändras, eller om regleringen motsvarar redan gällande praxis, ska det enligt förslaget inte föreskrivas om övergångstider.
Enligt paragrafens 1 mom. ska myndigheterna försätta sin verksamhet i överensstämmelse med bestämmelsen i 8 § om information om och kontinuitet vid störningssituationer. 24 månader bedöms vara en tillräckligt lång tid för detta.
I paragrafens 2 mom. finns övergångsbestämmelser för genomförande av kraven enligt 13 § 1 mom. jämte 18 § 3 mom., enligt vilka en myndighet inom 24 månader efter det att lagen har trätt i kraft ska genomföra de förfaranden som kraven avser när det gäller att omvandla handlingar, vilka inkommer i annat än elektroniskt format, till ett allmänt tillgängligt elektroniskt format samt förvaring av och tillgänglighet till myndighetshandlingar i elektroniskt format. Genom övergångsbestämmelserna bedöms myndigheterna ges tillräckligt med tid för att säkerställa förfarandenas lagenlighet. Bestämmelserna gäller vidare endast nya informationsmaterial som uppkommer, vilket innebär att bestämmelserna inte tillämpas på informationsmaterial som har uppkommit före utgången av övergångsperioderna. Det finns heller inget hinder för att lagens bestämmelser tillämpas vid myndigheterna redan före utgången av övergångsperioden. Dessutom innehåller momentet en övergångsperiod på 24 månader som gäller bestämmelserna i 14 § om insamling av uppgifter ifrån andra myndigheter. Den föreslagna övergångsperioden på 24 månader gör det möjligt för myndigheterna att i god tid innan tidsfristens utgång se över och utveckla nya tillvägagångssätt för insamling av uppgifter.
I paragrafens 3 mom. föreskrivs om landskapsregeringens skyldighet att, inom 24 månader från det att lagen har trätt i kraft, med hjälp av tekniska gränssnitt mellan myndigheterna utreda vilka objekt som förutsätter reglering och upprätthållande av regelbunden och standardiserad informationsöverföring. Landskapsregeringen ansvarar för beredningen av regleringen som gäller utlämnande av information och att utarbeta och upprätthålla beskrivningar och definitioner av interoperabiliteten mellan informationssystem och informationslager inom den offentliga förvaltningen. Eftersom det finns sådan information som förutsätts för genomförande av den skyldighet som landskapsregeringen ska ansvara för enligt föreslagna 15 § 3 mom., kan 18 månader anses vara en tillräckligt lång tid för utredning av de objekt för definition av gränssnitten som avses i lagen.
I paragrafens 4 mom. föreskrivs om tidsfristerna för ändringar i informationssystemen när det gäller myndigheternas insamling av logginformation, utlämnande av information via tekniska gränssnitt och öppnande av elektronisk förbindelse till myndigheter. Bestämmelserna ska tillämpas på informationssystem som anskaffas efter det att lagen har trätt i kraft, vilket innebär att myndigheterna får tillräckligt med tid för att säkerställa att de krav som ställs på framtida anskaffningar motsvarar kraven enligt informationshanteringslagen. De krav gällande elektroniskt utlämnande av information som anges i lagens 15–17 §§ ska dock genomföras på informationssystem som har anskaffats innan det att lagen har trätt i kraft, i samband med uppdateringen av informationssystemens tekniska gränssnitt och elektroniska förbindelser. De ändringar som görs i samband med uppdateringar ska dock genomföras senast 48 månader efter det att lagen har trätt i kraft. De krav gällande insamling av logginformation som föreskrivs i lagens 12 § ska på samma sätt genomföras i informationssystemen senast 24 månader efter det att lagen har trätt i kraft. Övergångsbestämmelserna innebär att myndigheter enligt förmåga ska hinna förändra sina informationssystem så att de blir lagenliga inom ramen för föreskrivna tidsfrister, i samband med utveckling vid systemanskaffningar och utvecklingen under informationssystemens normala livscykel.
I paragrafens 5 mom. finns övergångsbestämmelser för förfarandena i fråga om ärendehanteringen. Myndigheterna ska inom 24 månader efter det att lagen har trätt i kraft ordna ärende- och handlingsregistreringen i enlighet med kraven i 18 §. De krav gällande registrering av handlingar vilka har inkommit till en myndighet och som myndigheten har utformat är redan baserade på de krav som föreskrivs i 8 § 1–5 mom. i offentlighetslagen och för vilka egna övergångstider gällde. För de krav som tillkommer kan övergångstiden på 24 månader, efter det att lagen har trätt i kraft, anses vara tillräcklig tidsdräkt för att myndigheterna ska förväntas klara av att implementera dessa.
2. Landskapslag om ändring av offentlighetslagen för Åland
8 §. Anteckning om sekretessbeläggning. Innehållet i den nuvarande paragrafens 1–5 mom. överförs i och med lagförslaget i huvudsak till 13 och 18 §§ i informationshanteringslagen, med vissa tillägg, varför dessa utmönstras ur bestämmelsen. Den kvarvarande regleringen i 8 § 6 mom. om anteckning om sekretessbeläggning föreslås förtydligas och utvecklas till flera nya moment.
I paragrafens nya 1 mom. 1 men. föreskrivs att en myndighet vid registrering eller när det därefter annars påkallas bör anteckna ”SEKRETESSBELAGD” på en myndighetshandling som är sekretessbelagd, i samtliga dess format. Anteckning om sekretessbeläggning utgör en frivillig åtgärd, men bestämmelsen innebär en stark anmodan om att myndigheter redan vid registrering eller så snart de får någon annan indikation ska göra en anteckning om sekretessbeläggning på en sekretessbelagd myndighetshandling, även i de fall som en sådan enbart hanteras internt inom myndigheten. Enligt 23 § 4 mom. ska dock en sekretessbelagd myndighetshandling som lämnas ut alltid ha påförts en anteckning om sekretessbeläggning enligt 8 §. Med samtliga dess format avses såväl fysiskt som elektroniskt format samt eventuella kopior. Med fördel kan även myndighetshandlingens ärende påföras en anteckning om sekretessbeläggning, även om detta inte utgör ett krav. Genom sekretessbeläggningen av en myndighetshandling tillkommer särskilda krav på informationssäkerhetsåtgärder och dess hantering, vilka främst utgörs av handlingssekretess, tystnadsplikt och utnyttjandeförbud enligt 20 §. En anteckning om sekretessbeläggning medför inte i sig rättsligt bindande effekter, eftersom sekretessbeläggningen av myndighetshandlingen och dess uppgifter följer av bestämmelser i lag, företrädelsevis enligt 21 §, och inte av myndighetens anteckning om sekretessbeläggning. Anteckningen fyller trots detta en mycket viktig funktion, med tanke på främjandet av en fortsatt korrekt informationshantering inom såväl som utanför myndigheten, vilket säkerställer informationssäkerheten. Tjänstemän vid en myndighet ska inte utan sakliga skäl få ta del av sekretessbelagda myndighetshandlingar och dessas innehåll, om dessa inte har någon koppling till de förvaltningsuppgifter som tjänstemannen ansvarar över eller är relevanta för ett ärende som den handlägger. En anteckning om sekretessbeläggning är också viktig med tanke på det senare skyddet av myndighetshandlingar, bland annat efter utlämnande eller efter överföring till arkivverk för slutförvaring. Anteckningen bör därmed, i syfte att säkerställa en genomgående korrekt hantering inom myndigheten, påföras så snart som möjligt efter det att en myndighetshandling har upprättats eller har kommit in till myndigheten i samband med registrering. Avsaknaden av en anteckning ökar risken för att en myndighetshandling lämnas ut i strid med de intressen vilka har skyddats i lag eller att dess innehåll blir föremål för otillbörlig insyn av obehöriga tjänstemän eller andra. Det föreskrivs inte närmare hur anteckningen kan eller ska göras, mot bakgrund av att myndighetshandlingar kan förvaras på olika sätt och i olika format, samt att olika ärendehanteringssystem är har olika tekniska lösningar och begränsningar i detta sammanhang. Det väsentliga är att myndighetshandlingen är förvarad och hanterad på ett sådant sätt att det tydligt framgår när en anteckning om sekretessbeläggning har gjorts och att myndighetshandlingen därmed i sin helhet eller till delar har bedömts vara sekretessbelagd. Denna information ska förmedlas på förhand till den som står i begrepp att bereda sig tillgång till myndighetshandlingen, genom ett försättsblad eller därmed jämförbar elektronisk lösning. Ett elektroniskt ärendehanteringssystem bör i enlighet därmed vara utformat på ett sådant sätt att det, om det inte påför en anteckning om sekretessbeläggning i en myndighetshandling, åtminstone kopplar en anteckning om sekretessbeläggning till den. En sådan elektronisk anteckning om sekretessbeläggning kan sedan med fördel kopplas till tillträdesrestriktioner för olika användare eller typer av användargrupper, eller loggning, vilka beivrar eller förhindrar att obehöriga bereder sig tillgång till myndighetshandlingar som är sekretessbelagda, utan giltiga skäl därtill. När en anteckning om sekretessbeläggning väl har påförts ska den dock vara korrekt och enligt bestämmelsen innehålla ordet ”SEKRETESSBELAGD”.
I paragrafens 1 mom. 2 men. föreskrivs ytterligare om en anteckning om sekretessbeläggnings minsta innehåll. I 1 punkten föreskrivs att det av anteckning ska framgå till vilka delar myndighetshandlingen och dess uppgifter är sekretessbelagda, i den mån detta går att förmedla på ett kärnfullt sätt. Detta kan bland annat ske genom angivande av vilka delar av myndighetshandlingen eller vilken typ av uppgifter som omfattas av sekretessbeläggningen. Enligt 2 punkten ska vidare tillämpliga sekretessbestämmelser framgå. Det kan i vissa fall vara så att olika uppgifter i myndighetshandlingen är sekretessbelagda enligt olika sekretessgrunder, eller att samma uppgifter omfattas av flera sekretessgrunder. Vid flera olika tillämpliga sekretessbestämmelser ska dessa vidare tydligt knytas till respektive del eller uppgift enligt, vilka anges särskilt enligt 1 punkten. Enligt 3 punkten ska anteckningens datum framgå, i syfte att förmedla när bedömningen av frågan om myndighetshandlingen är sekretessbelagd och det efterföljande påförandet av anteckningen har skett. Enligt 4 punkten ska vidare antecknande myndighet och tjänsteman framgå. Den närmare informationen syftar till att, utan att för den skulle avslöja myndighetshandlingens sekretessbelagda innehåll, förmedla dess karaktär, på så sätt att den som hanterar myndighetshandlingen på förhand kan avgöra om den har rätt eller skäl till att bereda sig tillgång till dess innehåll. Informationen underlättar vidare uppföljning av tidigare bedömningar och kontroll av anteckningens riktighet.
I paragrafens 2 mom. föreskrivs att en myndighet bör, när grund för sekretessbeläggning inte längre föreligger, avlägsna en anteckning om sekretessbeläggning genom en särskild anteckning. Av anteckningen ska anledningen till avlägsnandet, till vilka delar den avlägsnas, anteckningens datum samt antecknande myndighet och tjänsteman framgå. Genom en anteckning om avlägsnande blir det därmed tydligt för efterkommande tjänstemän eller utomstående, vilka senare ska hantera myndighetshandlingen, huruvida den fortsatt är sekretessbelagd eller inte samt varför, till vilka delar och vem som har gjort bedömningen att sekretessbeläggning inte längre föreligger. Även denna information syftar till att underlätta såväl uppföljning av tidigare bedömningar som kontroll av en antecknings riktighet. En anledning till avlägsnandet av en anteckning om sekretessbeläggning skulle kunna vara att den sekretessbelagda informationen har offentlighetsdöpts, exempelvis genom ett utlämnande av uppgifterna utan maskering eller sekretessmarkering, eller att en part själv har offentliggjort uppgifterna i något sammanhang och att det därmed inte finns kvar något skyddsvärt intresse enligt sekretessgrunden. Det kan även handla om tidsfrister eller förfaranden, efter vilka sekretessbeläggningen upphör. Det viktiga i sammanhanget är att offentlighetsprincipens genomslag inte hämmas av inaktuella eller oriktiga anteckningar om sekretessbeläggning, vilka därtill tekniskt kan medföra tillgångsrestriktioner, loggning eller längre tidsfrister för efterkommande av en begäran om utlämnande.
I paragrafens 3 mom. föreskrivs att senast när en myndighetshandling lämnas ut eller ett ärende avslutas ska en anteckning om sekretessbeläggnings riktighet kontrolleras. Kontrollen ska i första hand ske av den hos myndigheten för ärendet eller ärendetypen ansvariga tjänstemannen. Syftet med bestämmelsen är att tillse att myndighetshandlingar, vilka ska hanteras av utomstående, av andra tjänstemän vid myndigheten eller arkivverk vid slutförvaring, hanteras på ett korrekt sätt.
23 §. Utlämnande av sekretessbelagda uppgifter. Paragrafens 4 mom. 1 men. justeras för att tydliggöra att det är formenlig anteckning om sekretessbeläggning enligt 8 § som ska påföras myndighetshandlingen inför utlämnandet.
Ikraftträdande- och övergångsbestämmelser. Lagen innehåller en ikraftträdande- och övergångsbestämmelse. 24 månader efter lagens ikraftträdande bedöms utgöra tillräcklig tidsfrist för att myndigheterna ska kunna försätta sin verksamhet i överensstämmelse med det nya innehållet i 8 §.
3. Landskapslag om ändring av förvaltningslagen för landskapet Åland
8a kap. Automatiserat avgörande av ärenden.
48a §. Förutsättningar för att avgöra ärenden automatiserat. Paragrafen syftar till att skapa en behörighetsgrund för automatiserat avgörande av förvaltningsärenden och att avgränsa det automatiserade beslutsfattandet till ärenden som det med beaktande av principen om förvaltningens lagbundenhet och rättsskyddet lämpar sig för. Syftet är att genom lagstiftning införa en klar rättslig grund för automatiserat beslutsfattande inom förvaltningen i den allmänna lagstiftningen. I paragrafen föreskrivs när en myndighet får avgöra ärenden automatiserat. Med avgörande av ärenden hänvisas till 7 kap. i förvaltningslagen och däri avsett avgörande, vilket avslutar behandlingen av ett förvaltningsärende och genom vilket det beslutas om någons fördel, rätt eller skyldighet. I likhet med förvaltningslagens allmänna tillämpningsområde gäller den föreslagna regleringen i princip både beslut som gäller fysiska personer och beslut som gäller juridiska personer. Eftersom det i bestämmelsen med avgörande av ett ärende avses en åtgärd som avslutar behandlingen av ett förvaltningsärende, är regleringen i princip inte tillämplig på bland annat faktisk förvaltningsverksamhet, så som tillhandahållande av offentliga tjänster. På behandlingen av personuppgifter i samband med förvaltningsärenden tillämpas i regel den allmänna dataskyddsförordningen. Till den del automatiserat avgörande av ärenden hänför sig till fysiska personer blir förbuden i dataskyddslagstiftningen mot automatiserat individuellt beslutsfattande tillämpliga. I artikel 22 i den allmänna dataskyddsförordningen förbjuds automatiserat individuellt beslutsfattande och profilering i samband med det. Enligt artikel 22.1 ska den registrerade ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för den enskilde eller på liknande sätt i betydande grad påverkar denne. Enligt artikel 22.2 b ska artikel 22.1 inte tillämpas om beslutet tillåts enligt unionsrätten eller en medlemsstats nationella rätt, vilken den personuppgiftsansvarige omfattas av, fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen. Artikel 29-arbetsgruppen för uppgiftsskydd har i sina riktlinjer, se s. 22 i WP251rev.01, WP 29 Riktlinjer om automatiserat individuellt beslutsfattande, om begreppet beslut som grundas enbart på automatiserad behandling konstaterat att om en fysisk person gör en granskning och tar hänsyn till andra faktorer innan det slutliga beslutet fattas, är detta inte ett beslut som grundas enbart på automatiserad behandling. Vidare har arbetsgruppen konstaterat att den personuppgiftsansvarige inte kan undvika att omfattas av artikel 22 enbart genom att påstå att fysiska personer deltar i beslutsprocessen. Om någon exempelvis rutinmässigt tillämpar automatiskt genererade profiler på individer, utan att faktiskt påverka resultatet, är detta fortfarande ett beslut som grundas enbart på automatiserad behandling. Syftet med 48a § i förvaltningslagen är att utnyttja det handlingsutrymme som den allmänna dataskyddsförordningen tillåter och att genom nationell lagstiftning möjliggöra automatiserat individuellt beslutsfattande. Den allmänna dataskyddsförordningen lämnar ett nationellt handlingsutrymme inom ramen för vilket ett sådant undantag är möjligt. Då gäller det dock att se till att regleringen i sin helhet är förenlig med den allmänna dataskyddsförordningen och att i den också föreskrivs om lämpliga åtgärder för att skydda den registrerades rättigheter och friheter samt berättigade intressen. Enligt skäl 71 i förordningen bör denna form av uppgiftsbehandling under alla omständigheter omgärdas av lämpliga skyddsåtgärder, som bör inkludera specifik information till den registrerade och rätt till mänskligt ingripande, att framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att överklaga beslutet.
I paragrafens 1 mom. föreskrivs om syftet med nya 8a kap. och definitionen av automatiserat avgörande av ärenden. Samtidigt drar definitionen upp gränser för avgöranden på vilka 8a kap. ska tillämpas. Kapitlet tillämpas alltså på ärenden där en myndighet genom automatisk databehandling träffar ett avgörande som avslutar behandlingen av ett ärende, utan att avgörandet granskas och godkänns av en fysisk person. Föreslagna 8a kap. ska följaktligen inte tillämpas på vilken ärendebehandling som helst där automatisk databehandling används. Kapitlet blir tillämpligt när det avgörande som avslutar behandlingen av ett ärende träffas enbart med hjälp av automatisk databehandling, utan medverkan av en fysisk person. Även en sådan ärendebehandling kan inbegripa moment där en fysisk person deltar i beredningen av ärendet genom interimistiska åtgärder, så som moment som kräver prövning från fall till fall. I praktiken innebär granskning och godkännande av ett avgörande att den fysiska person som godkänner beslutet går igenom avgörandets sakinnehåll och felfrihet med den noggrannhet och precision som 21 § i grundlagen och 4 § och 26 § 1 mom. i förvaltningslagen förutsätter. Enbart en formell godkännandeåtgärd, utan innehållslig bedömning av avgörandet, räcker alltså inte för att ärendet inte ska omfattas av 8a kap.
I paragrafens 2 mom. föreskrivs att en myndighet kan avgöra ett ärende automatiserat, när det i ärendet inte ingår omständigheter som enligt myndighetens förhandsprövning förutsätter prövning från fall till fall, eller när de i ärendet ingående omständigheter som förutsätter prövning från fall till fall har bedömts av en tjänsteman eller någon annan som handlägger ärendet. Avgöranden ska grundas på behandlingsregler som har utarbetats med stöd av tillämplig lag och som avses i 2 § 18 punkten i informationshanteringslagen. I detta moment beskrivs den förutsättning enligt vilken en myndighet på förhand ska pröva vilka ärenden, vilka till sin natur är sådana att de kan avgöras automatiserat, och utarbeta behandlingsregler, enligt vilka dessa ärenden väljs ut och avgörs. Förutsättningen för ett automatiserat avgörande är uttryckligen att det ärende som behandlas inte kräver prövning från fall till fall. Myndigheten ska på förhand göra en prövning av i vilka ärenden prövning från fall till fall kan behövas och hur lagen då ska tolkas. Myndigheten ska beakta denna prövning när den utarbetar behandlingsreglerna. I praktiken ska myndigheten, bland alla de ärenden den behandlar, identifiera sådana som till sina väsentliga drag upprepas på samma sätt (typfall) och som enligt myndighetens bedömning alltid ska avgöras enligt samma regel. I sin enklaste form kan ett typfall identifieras direkt med stöd av tillämplig materiell lag, när lagstiftningen är tillräckligt entydig. I sådana fall där den materiella lagstiftningen, utifrån däri använda begrepp, lämpar sig för en bred palett av fall, måste myndigheten vid identifieringen av typfall på förhand också ta ställning till tolkningen av de tillämpliga bestämmelserna. Även i ärenden där den lagstiftning som ligger till grund för besluten ger mycket rum för tolkning kan det gå att identifiera typfall, där myndigheten i någon ärendegrupp har en etablerad avgörandepraxis, enligt vilken ärenden med vissa drag alltid avgörs på samma sätt. Ett typfall kan också grunda sig på granskning av gränsvärden, exempelvis så att inkomster som överstiger ett visst eurobelopp i vissa situationer alltid anses uppfylla det kriterium som lagen kräver. Det automatiserade avgörandet avgränsas så att ärenden som förutsätter prövning från fall till fall antingen lämnas utanför automatiseringen, eller så organiseras beslutsfattandet så att en tjänsteman eller någon annan som handlägger ärendet deltar i beslutet, till den del ärendet är förenat med omständigheter som förutsätter prövning från fall till fall. Automatiserat avgörande gäller å ena sidan ärenden där det enligt myndighetens förhandsprövning inte ingår omständigheter som förutsätter prövning från fall till fall. Sådana är i synnerhet till sin natur enkla ärenden där den berörda lagstiftningen är entydig, exempelvis tillståndsärenden, vilka avgörs utifrån entydiga kriterier och i vilka det inte ingår helhetsprövning. I allmänhet bedöms behovet av prövning från fall till fall utifrån den materiella lagstiftningen, men också förfarandebestämmelser i en speciallag kan inverka på prövningen. Å andra sidan kan även sådana ärenden som är förenade med prövning från fall till fall avgöras automatiserat, men där en tjänsteman eller någon annan som handlägger ärendet har bedömt de omständigheter som förutsätter prövning. Då fattas det slutliga avgörandet av ärendet automatiserat, med stöd av den bedömning tjänstemannen har matat in i informationssystemet och de övriga uppgifterna i ärendet. Om den som handlägger ärendet i det här sammanhanget i sin helhet gör den slutliga rättsliga slutledningen, enligt vilken ärendet avgörs, är det enligt definitionen i 1 mom. emellertid inte fråga om ett automatiserat avgörande. I bestämmelsen avses med tjänsteman i enlighet med förvaltningslagen också en befattningshavare i kommunen eller landskapet. Med någon annan som handlägger ärendet avses en sådan tjänsteman, förmånshandläggare eller motsvarande fysisk person till vars uppgifter det hör att avgöra ärendet i enlighet med den interna arbetsfördelningen hos myndigheten, eller den privata aktör som sköter en offentlig förvaltningsuppgift. I bestämmelsen avgränsas inte området för automatiserat avgörande enligt ärendets eller avgörandets karaktär, utan myndigheten kan avgöra också andra slags ärenden, exempelvis rätta fel i beslut i enlighet med 8 kap. i förvaltningslagen, eller avgöra att ett ärende förfaller, om de föreskrivna förutsättningarna uppfylls. Regleringen är vidare tillämplig på automatiserat påförande av sådana påföljder av straffkaraktär som påförs i förvaltningsförfarande, när de inte innefattar prövning från fall till fall eller när sådana omständigheter har bedömts av en tjänsteman eller någon annan som handlägger ärendet. Automatiserat påförande av påföljder av straffkaraktär vore följaktligen möjligt endast i bestämda fall. Automatiserat kan exempelvis sådana schematiska sanktioner påföras, vars påförandegrunder och storlek är exakt föreskrivna i lag och försummelsen eller överträdelsen av de i lag föreskrivna skyldigheterna lätt går att leda i bevis.
Enligt paragrafens 2 mom. andra meningen ska avgöranden grundas på behandlingsregler som har utarbetats med stöd av tillämplig lag. Enligt 2 § 1 mom. 18 punkten i informationshanteringslagen avses med behandlingsregler av en fysisk person på förhand utarbetade regler avsedda att styra automatisk databehandling. Utifrån behandlingsreglerna avgörs exempelvis om en förmånsansökan uppfyller de kriterier som enligt myndighetens tolkning krävs för beviljande av förmånen, eller om en förmån som kontrolleras i förmånsövervakningen bör avslutas, för att förmånstagaren inte längre uppfyller kriterierna. Eftersom avgörandet av ett ärende uttryckligen bör beskrivas i formen av en behandlingsregel, utesluter bestämmelsen sådant tekniskt genomförande som i stället för regler, exempelvis, utgår från sannolikhetstänkande, det vill säga så kallade maskininlärningstekniker. Behandlingsreglerna och förhandsprövningen av dem bör enligt 19 § i informationshanteringslagen beskrivas i det automatiserade beslutsförfarandets dokumentering. Enligt bestämmelsen ska behandlingsreglerna utarbetas med stöd av tillämplig lag. Med det betonas myndighetens skyldighet att uppfylla den i 2 § 3 mom. grundlagen föreskrivna principen för förvaltningens lagbundenhet, enligt vilken lag noggrant ska iakttas i all offentlig verksamhet. Med tillämplig lag avses i bred mening all i ärendet tillämplig rätt medräknat bland annat riksdagens lagar, Europeiska unionens rättsakter, bestämmelser på lägre nivå än lag, myndighetsföreskrifter samt rättspraxis. Tillämplig lag kan gälla materiella bestämmelser som är tillämpliga i ärendet, exempelvis förmånsreglering, eller förfarandebestämmelser, exempelvis förfaranderegleringen i förvaltningslagen och speciallagar. Kravet på att behandlingsreglerna ska grunda sig på tillämplig lag innebär också att myndigheten för urval och behandling av automatiserade ärenden endast får tillämpa regler, för vilka en acceptabel rättslig grund kan läggas fram. Myndigheten kan således inte tillämpa exempelvis behandlingsregler som leder till förvaltningsåtgärder i strid med de rättsprinciper för förvaltningen som tryggas i 4 § i förvaltningslagen. Det är vidare exempelvis inte möjligt att avvika från hörande utan att det möjliggörs i lag. Skyldigheten att dokumentera bedömningen av att behandlingsreglerna är icke-diskriminerande föreskrivs i 19 § i informationshanteringslagen. Eftersom behandlingsreglerna ska grunda sig på tillämplig lag ska myndigheten vid utarbetandet av reglerna göra en omsorgsfull bedömning av vilka ärenden som kan avgöras automatiserat, så att slutresultatet är ett lagenligt avgörande. Detta innebär i praktiken identifiering av sådana typfall där myndigheten anser det klart att slutresultatet, enligt behandlingsregeln, är lagenligt. Å andra sidan, eftersom det inte är meningen att genom den föreslagna regleringen avvika från myndigheters skyldigheter som gäller förvaltningsförfarandet, måste myndigheten planera sina automatiserade verksamhetsprocesser, så att skyldigheterna som gäller utredande av ärendet och hörande samt innehållet i och motiveringarna till beslutet fullgörs korrekt. Skyldigheten att dokumentera bedömningen av dessa omständigheter föreskrivs i 19 § i informationshanteringslagen.
Automatiserat avgörande är inte möjligt i ärenden som ska avgöras på föredragning, eftersom ett föredragningsförfarande förutsätter en föredragande och en beslutsfattare som handlar under tjänsteansvar. Den föreslagna regleringen hindrar dock inte föredraganden från att använda automatiserade beslutsstöd. Innan automatiserat avgörande tas i bruk ska myndigheten fatta ett beslut om införande, i enlighet med föreslagna 22 § i informationshanteringslagen.
I paragrafens 3 mom. ingår en informativ hänvisning, enligt vilken förutsättningarna för att införa automatiserat avgörande och det förfarande som ska iakttas vid införandet regleras i informationshanteringslagen. Hänvisningsbestämmelsen behövs, eftersom de bestämmelser som föreslås i 7 kap. informationshanteringslagen uppställer ytterligare kriterier för de situationer där ärenden kan avgöras automatiserat hos en myndighet. Kraven i informationshanteringslagen måste uppfyllas för att de ärenden som avses i 8a kap. i förvaltningslagen ska kunna avgöras automatiserat.
I paragrafens 4 mom. föreskrivs ett förbud mot att automatiserat avgöra en begäran om rättelse eller ett jämförbart rättsmedel. Bestämmelser om begäran om rättelse finns i 8 kap. förvaltningslagen. Med rättsmedel som är jämförbara med begäran om rättelse avses sådana förvaltningsinterna rättsmedel, vilka föreskrivs om i speciallagstiftning och som till sitt syfte kan jämföras med en rättelsebegäran enligt 8 kap. förvaltningslagen.
48b §. Rättsskyddsförutsättning vid automatiserade avgöranden. Paragrafen föreskriver om en rättsskyddsförutsättning vid automatiserade avgöranden, i form av att automatiserade avgöranden endast ska få nyttjas när en till alla delar avgiftsfri rätt till begäran om rättelse, eller jämförbart rättsmedel, föreligger. Syftet med införandet av rättsskyddsförutsättningen är att säkerställa att automatiserade avgöranden sker i överensstämmelse med kraven på skydd av personuppgifter enligt dataskyddslagstiftningen, vilket utvecklas nedan. Den föreslagna regleringen lämpar sig också för korrigering av fel, om kriterierna för automatiserat avgörande uppfylls.
I paragrafens 1 mom. föreskrivs att en rättsskyddsförutsättning för automatiserade avgöranden, utöver det övriga som föreskrivs i 8a kap., är att den fysiska person som avgörandet avser, avgiftsfritt till alla delar, får begära om rättelse av avgörandet eller ett därmed jämförbart rättsmedel. Begäran ska behandlas hos den myndighet som har fattat beslutet eller hos en myndighet som hör till samma personuppgiftsansvarige som den beslutande myndigheten. Rätten att begära rättelse av avgöranden framgår av tillämplig speciallagstiftning. Genom bestämmelsen genomförs de krav på skyddsåtgärder som föreskrivs i artikel 22.2 b i den allmänna dataskyddsförordningen. Artikel 22.2 b förutsätter att, då grunden för automatiserat beslutsfattande finns i en medlemsstats nationella rätt, ska lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen fastställas i lag. Enligt skäl 71 i den allmänna dataskyddsförordningen är lämpliga skyddsåtgärder åtminstone rätten till mänskligt ingripande. Eftersom den allmänna dataskyddsförordningens förutsättning om rätten till mänskligt ingripande endast konstateras i ingresskälen, men inte i själva artikeltexten, måste det avvägas hur förpliktande denna förutsättning är. EU-domstolen har gett ingresskälen avsevärd tyngd i sina domar, se exempelvis punkt 87 i mål C-203/15 och punkt 71 i mål C-454/18. Med beaktande av att den föreslagna regleringen som allmän lag blir brett tillämplig på många slag av administrativt beslutsfattande, är det för att garantera tillräckliga skyddsåtgärder motiverat att genomföra rätten till mänskligt ingripande i den förslagna bestämmelsen. Av 1 § 4 mom. i förvaltningslagen följer att det är möjligt att i en speciallag lagstifta på annat sätt om kravet i 1 mom. I det sammanhanget bör lagstiftaren se till att sådana tillräckliga skyddsåtgärder som dataskyddslagstiftningen kräver ingår i speciallagen. Vid lagstiftandet bör det bedömas hur skälet om mänskligt ingripande ska tolkas i den aktuella kontexten. Den allmänna lagstiftningen om dataskydd utgår från att utövandet av rättigheter ska vara avgiftsfritt för den registrerade. I artikel 12.5 i den allmänna dataskyddsförordningen föreskrivs att all kommunikation och samtliga åtgärder som vidtas enligt artikel 22 ska tillhandahållas kostnadsfritt. Därför ska en rättelsebegäran eller ett jämförbart rättsmedel vara en avgiftsfri åtgärd för den registrerade. Dataskyddslagstiftningen utgår från att en registrerad kan utöva sina rättigheter avseende en personuppgiftsansvarig som behandlar den registrerades personuppgifter. Eftersom beslutsfattande som grundas enbart på automatiserad behandling kan vara förenat med större risker än sedvanlig behandling av personuppgifter, ska den registrerade ha rätt att utöva sin rätt avseende den personuppgiftsansvarige som har fattat beslutet, för att rättsmedlet ska anses som sådan rätt för den registrerade som avses i dataskyddslagstiftningen. Därför ska förfarandet vid en rättelsebegäran, eller ett jämförbart rättsmedel, vara sådant att begäran behandlas av den personuppgiftsansvarige som också fattade det beslut som var grundat enbart på automatiserad behandling. Exempelvis sökande av ändring hos förvaltningsdomstolen kan inte anses tillämpligt, eftersom förvaltningsdomstolen inte är den personuppgiftsansvarige som har fattat beslutet. I Artikel 29-arbetsgruppens riktlinjer, se s. 22 och 29 i WP251rev.01, WP 29 Riktlinjer om automatiserat individuellt beslutsfattande, preciseras innehållet i den allmänna dataskyddsförordningens skäl 71, särskilt den registrerades rätt att kräva mänskligt ingripande och tillhörande förfaranden. Enligt arbetsgruppen ska granskningen utföras av någon som har den befogenhet och kompetens som krävs för att ändra beslutet. Granskaren bör dessutom göra en ingående bedömning av alla relevanta uppgifter, inbegripet eventuella kompletterande upplysningar som har lämnats av den registrerade. En rättelsebegäran kan anses lämpa sig mycket väl som sådan dataskyddsrättslig skyddsåtgärd, vilken uppfyller kraven i Artikel 29-arbetsgruppens riktlinjer. Om det inte finns bestämmelser om rätt till begäran om rättelse i speciallagstiftningen, uppfylls rättskyddsförutsättningen också av ett jämförbart lagstadgat rättsmedel. Jämförbara rättsskyddsmedel beskrivs ovan i specialmotiveringen till 48a § 4 mom. Vidare ska ett rättsskyddsmedels jämförbarhet med en begäran om rättelse bedömas utifrån de egenskaper som beskrivs i 48b § 1 mom., så som avgiftsfriheten. Det ska därmed vara ett rättsmedel som handläggs i ett förvaltningsförfarande hos den myndighet som har fattat beslutet. Den som handlägger rättsmedlet kan också vara en annan myndighet som ingår i samma personuppgiftsansvarige som den myndighet som fattade det ursprungliga avgörandet. Exempelvis begärs rättelse i en kommunal tjänsteinnehavares beslut hos en kommunal nämnd. Tjänsteinnehavaren och nämnden kan vara olika myndigheter, men tolkas höra till samma personuppgiftsansvarige. Begreppet personuppgiftsansvarig definieras i artikel 4.7 i den allmänna dataskyddsförordningen, enligt vilken den personuppgiftsansvarige är den som ensam, eller tillsammans med andra, bestämmer ändamålen och medlen för behandlingen av personuppgifter. Alternativt kan bestämmelser om den personuppgiftsansvarige utfärdas genom lag, på samma sätt som det har gjorts i fråga om flera myndigheter. Om det inte föreskrivs om den personuppgiftsansvarige i lag, bestämmer varje myndighet ensam, eller tillsammans med andra myndigheter, hur registerföringen ska organiseras i olika behandlingssituationer. Enligt dataskyddsbestämmelserna ska den registrerade i samband med behandlingen av personuppgifter informeras om vilken myndighet som är personuppgiftsansvarig. I 41 § i förvaltningslagen föreskrivs det att om rättelse av ett beslut ska begäras i ett särskilt föreskrivet rättelseförfarande innan besvär anförs, ska anvisningar om användning av ett sådant rättelseförfarande ges samtidigt med beslutet. I anvisningarna ska i enlighet med 42 § i förvaltningslagen nämnas besvärsmyndigheten samt den myndighet till vilken besvärsskriften ska lämnas in. För att den förutsättning som följer av dataskyddslagstiftningen, om att den människa som deltar i handläggningen ska ha möjlighet att ändra beslutet ska tillgodoses, måste parten i fråga kunna kräva ändring i beslutet till alla delar. Ett motsvarande rättsmedel fungerar också som den registrerades rätt att få ärendet behandlat av en fysisk person. Artikel 22.2 b i den allmänna dataskyddsförordningen förutsätter bestämmelser om skyddsåtgärder i lag. Vid utövande av den registrerades rättigheter förutsätts, enligt artikel 12 i den allmänna dataskyddsförordningen, att medlemsstaterna ska föreskriva om utövandet av den registrerades rättigheter när behandlingen grundas enbart på automatisk behandling enligt artikel 11. Med beaktande av de krav som följer av den allmänna dataskyddsförordningen bör det i lag föreskrivas om rättsmedel som är jämförbara med en begäran om rättelse och hur de ska behandlas. Eftersom paragrafen syftar till att genomföra de skyddsåtgärder som följer av dataskyddslagstiftningen har förutsättningen i 1 mom. avgränsats till att omfatta endast ärenden där parten är en fysisk person. Om både en fysisk person och en juridisk person är parter i ett ärende, ska den fysiska personen som är part ha möjlighet till ett rättsmedel enligt 1 mom.
I paragrafens 2 mom. föreskrivs ett undantag från förutsättningen enligt 1 mom. Förutsättningen tillämpas inte om en parts yrkande, som inte rör någon annan part, godkänns genom ett automatiserat avgörande. Ett centralt mål för artikel 22 i den allmänna dataskyddsförordningen är att skydda människor från sådant automatiserat beslutsfattande, där deras egenskaper bedöms på felaktiga grunder, utan att en människa kan påverka bedömningen. En part kan dock inte längre anses ha behov av dataskyddsrättsligt skydd för att få beslutet behandlat av en människa när en dennas yrkande godkänns på det sätt som har begärts. Skyddsåtgärden enligt paragrafens 1 mom. kan endast anses effektiv om begäran om rättelse eller ett jämförbart rättsmedel inte får avgöras automatiserat. Förbud som gäller detta ingår i 48a § 4 mom. Paragrafen syftar till att föreskriva ett ytterligare kriterium som ska uppfyllas för automatiserade avgöranden. Av paragrafen i sig följer inte rätten att begära rättelse och den påverkar inte heller annars de befintliga rättsmedlen. En parts rätt att begära rättelse och rätt till rättsskydd tryggas med stöd av annan lagstiftning, så som förvaltningslagen eller annan speciallag. Inte heller undantaget i 2 mom. är avsett för att avvika från rättsmedlen, utan endast från villkoret för automatiserat avgörande av ärenden i vissa situationer.
48c §. Meddelande om automatiserat avgörande. Paragrafen reglerar myndighetens informationsskyldigheter i samband med meddelande om automatiserat avgörande. Syftet med bestämmelsen är att genom att påföra myndigheten ett meddelandekrav säkerställa parters möjligheter att tillgodose sina rättigheter i förhållande till automatiserade avgöranden.
I paragrafens 1 mom. föreskrivs att det, utöver vad som föreskrivs i 39 § 1 mom. i förvaltningslagen, av ett förvaltningsbeslut ska framgå om ärendet har avgjorts automatiserat. Samtidigt ska det framgå var det beslut om införande som avses i 22 § i informationshanteringslagen finns att tillgå. Enligt 23 § 1 mom. i informationshanteringslagen ska myndigheten vidare offentliggöra ett beslut om införande på sin webbplats i det allmänna datanätet. I ett skriftligt förvaltningsbeslut kan adressen till en specifik webbplats eller, vid behov, någon annan specifik uppgift anges, om det beslut om införande som anknyter till det automatiserade avgörandet av ärendet. Från jämlikhetssynpunkt ska beslutet vara tillgängligt också på annat sätt än på myndighetens webbplats. Eftersom automatiserat avgörande och användning av automatiserade verksamhetsprocesser grundas på beslut om införande, är det motiverat att det automatiserade avgörandet upplyser om detta. Vidare ska myndigheten enligt 23 § 2 mom. i informationshanteringslagen informera om automatiserat avgörande av ärenden inom sitt verksamhetsområde på ett begripligt och tillgängligt sätt. Enligt 4 § i förvaltningslagen ska myndigheternas åtgärder skydda de förväntningar som är berättigade enligt rättsordningen. Myndigheten ska därmed öppet berätta för parter när deras ärenden har avgjorts automatiserat. En part kan bedöma det avgörande den har fått med stöd av de uppgifter myndigheten ger och därefter, exempelvis, utnyttja sin möjlighet att begära rättelse av beslutet. För automatiserade avgöranden gäller dessutom de förpliktelser enligt 39 och 40 §§ i förvaltningslagen om beslutets innehåll och motiveringen till beslutet, när det i ärendet ges ett skriftligt och motiverat förvaltningsbeslut.
I paragrafens 2 mom. föreskrivs att, för det fall att det inte meddelas något förvaltningsbeslut i ärendet med stöd av någon annan lag, ska de uppgifter som avses i 1 mom. dock meddelas parten på något annat sätt, senast när behandlingen av ärendet avslutas. Bestämmelsen syftar till att trygga partens rätt att bli informerad om att ärendet har avgjorts automatiserat, även i de fall då det av speciallagstiftningen följer att det inte ska ges något skriftligt förvaltningsbeslut i ärendet. Myndigheten kan exempelvis ge informationen i en digitaliserad tjänst när parten har inlett ärendet, eller när myndigheten meddelar att ärendet har inletts. Sådana situationer kan exempelvis vara ett positivt beslut på en ansökan om körkort och vissa för parten positiva anmälnings- och registreringsärenden, där parten med stöd av speciallag inte ska ges ett skriftligt beslut. I paragrafens 2 mom. föreskrivs även att myndigheten, om inget skriftligt förvaltningsbeslut meddelas i ärendet, ska informera parten om de uppgifter som ligger till grund för det automatiserade avgörandet. Genom bestämmelsen tryggas en parts rätt att få de konkreta uppgifter som ligger till grund för det automatiserade avgörandet i sitt ärende. Skyldigheten att meddela de uppgifter som ligger till grund för avgörandet är en annan sak än rätten enligt 13 offentlighetslagen att, i egenskap av part, på begäran få sådana myndighetshandlingar som kan ha inverkat på det beslut som gäller parten. Skyldigheten gäller alla uppgifter som det automatiserade avgörandet har grundats på, oavsett om det grundas på myndighetens egna informationslager eller uppgifter i utomstående informationslager. Med stöd av bestämmelsen har myndigheten i princip prövningsrätt, med avseende på i vilket skede av ärendets behandling uppgifterna meddelas. Myndigheten kan beakta de specifika omständigheterna i behandlingen och meddela parten uppgifterna i det skedet då de hos myndigheten är färdiga för avgörande av ärendet. Uppgifterna kan exempelvis meddelas i samband med att ärendet inleds, om de hos myndigheten är färdiga för avgörande av ärendet. När ärenden i allt högre grad börjar skötas med hjälp av digitala tjänster bör myndigheten aktivt tillhandahålla de uppgifter vilka ska meddelas med hjälp av digitala tjänster eller någon annan tillräckligt informationssäker elektronisk dataöverföringsmetod. Syftet med skyldigheten att meddela uppgifter är att säkerställa att partens rättsskydd tillgodoses vid automatiserat avgörande av ärenden. Särskilt i sådana fall där undantagen från hörandeplikten enligt 28 § 2 mom. i förvaltningslagen tillämpas, eller sådana positiva avgöranden i enlighet med 48b § 2 mom. fattas, vilka gör att kravet på rättelseförfarande inte blir tillämpligt. Då uppstår det en risk att parten inte kan bedöma huruvida det automatiserade avgörandet bygger på rätt faktaunderlag. Parten kan själv säkerställa att avgörandet är grundat på rätta och uppdaterade uppgifter, när parten meddelas de uppgifter som har använts vid det automatiserade avgörandet. Med beaktande av de automatiserade avgörandenas masskaraktär och den nätverksbaserade verksamheten i utnyttjandet av myndighetens informationslager, skapas genom den föreslagna regleringen ett förfarande genom vilket parten kan försäkra sig om, även i de fall som definieras i bestämmelsen, att det faktaunderlag som har använts i det automatiserade avgörandet är korrekt och uppdaterat. I den allmänna dataskyddsförordningens skäl 71 anses korrigering av fel och minimering av risker för fel vid felaktigheter i personuppgifter som en skyddsåtgärd vid automatiserat individuellt beslutsfattande. Syftet med att genom nationell lag föreskriva en skyldighet att meddela uppgifter är, å ena sidan, att säkerställa tillräckliga skyddsåtgärder vid automatiserat avgörande, i enlighet med artikel 22.2 b i den allmänna dataskyddsförordningen. Å andra sidan, är även andra än fysiska personer föremål för automatiserat avgörande av ärenden. Målet är därför att säkerställa att det också i de fallen finns tillräckliga skyddsåtgärder för att säkerställa uppgifternas felfrihet och aktualitet. Myndigheten ska i egenskap av personuppgiftsansvarig redan utifrån artiklarna 12, 13 och 14 i den allmänna dataskyddsförordningen informera den registrerade om behandlingen av personuppgifter. Informeringsskyldigheten gäller också olika kategorier av personuppgifter samt uppgifter om de datakällor personuppgifterna härrör ifrån. Informationsskyldigheten i den allmänna dataskyddsförordningen är dock på en mera allmän nivå än föreslagna 2 mom. Myndigheten är dock, med stöd av den allmänna dataskyddsförordningen, inte skyldig att självmant och regelbundet meddela en registrerad, i egenskap av part, information om alla de uppgifter som myndighetens avgörande grundar sig på, i ett individuellt ärende.
I paragrafens 3 mom. föreskrivs att kravet enligt 39 § 1 mom. 4 punkten i förvaltningslagen, att namnet på den person som ger ytterligare uppgifter ska anges, inte tillämpas i ett ärende som har avgjorts automatiserat. Ett undantag från detta krav föreskrivs, eftersom det vid automatiserat beslutsfattande inte alltid på förhand kan utses någon bestämd person. Undantaget gäller endast meddelande av namnet, medan det alltså i det skriftliga beslutet trots det i enlighet med 39 § 1 mom. 4 punkten ska anges kontaktuppgifter för ytterligare uppgifter om beslutet. Av den allmänna serviceskyldigheten i 5 § i förvaltningslagen kan anses följa att myndigheterna ska ordna meddelandet av ytterligare uppgifter sådant, att partens eventuella kontakt till myndigheten om ett beslut styrs till en person med tillräcklig sakkunskap att svara på partens materiella och övriga frågor om förfarandet. Dessutom föreslås det en separat bestämmelse i 22 § 1 mom. i informationshanteringslagen, om att beslutet om införande av ett automatiserat beslutsförfarande ska innehålla kontaktuppgifter till myndigheten för ytterligare uppgifter om användningen av det automatiserade beslutsförfarandet.
58 §. Elektronisk delgivning. Paragrafen inför en ny huvudregel om att delgivning av samtliga handlingar till parter som har kommunicerat med myndigheten elektroniskt, eller har uppgett kontaktuppgifter för elektronisk kommunikation, ska ske genom elektronisk delgivning. Syftet med bestämmelsen är att införa en ny presumtion om att en part ska anses ha samtyckt till elektronisk kommunikation i ett ärende, om den antingen har kommunicerat med myndigheten genom ett elektroniskt webbformulär eller elektronisk post, eller har uppgett en elektronisk postadress till myndigheten. En myndighet kan därmed, utan ytterligare uttryckt samtycke från parten, utgå ifrån att samtycket till elektronisk kommunikation även gäller under ärendet framgent, om inte annat framkommer. För det fall att parten har flera ärenden aktuella bör myndigheten därmed rimligtvis ställa fråga parten om samtycket till elektronisk kommunikation i ett av dennas ärenden även ska utsträckas till partens andra ärenden. Myndigheten kan alltså fortsatt inhämta samtycke om elektronisk delgivning på andra sätt. En förutsättning för elektronisk delgivning är dock att denna, i förhållande till handlingarnas innehåll, kan ske på ett informationssäkert sätt.
I paragrafens 1 mom. föreskrivs att delgivning av samtliga handlingar till parter, vilka genom ett elektroniskt webbformulär eller elektronisk post antingen har inlett sitt ärende hos myndigheten elektroniskt, i annat skede i ärendet har kontaktat myndigheten genom elektronisk post eller vid annan kontakt med myndigheten i ärendet har uppgivit en elektronisk postadress, ska ske genom elektronisk delgivning. Samtycket ska inte anses omfatta annat än elektronisk kommunikation och delgivning i det enskilda ärendet. Elektronisk delgivning sker därefter fortsatt genom antingen vanlig eller bevislig delgivning enligt 58b och 58c §§.
I paragrafens 2 mom. föreskrivs att elektroniska meddelanden till parter ska skickas till den elektroniska postadress som parten själv har uppgivit vid kommunikation med myndigheten i ärendet och, för det fall att någon sådan inte har uppgivits, till den elektroniska postadress som parten nyttjade vid sin senaste kontakt med myndigheten i ärendet. Bestämmelsen inför en rangordning som myndigheten ska följa när den ska bedöma vilken elektroniska postadress som den ska nyttja vid fortsatt kontakt med parten genom elektroniska meddelanden. Syftet med paragrafen är att tillse att elektronisk kommunikation i första hand sker till den av parten uppgivna elektroniska postadressen, för att undvika situationer där kommunikation sker till en postadress som parten inte förväntar sig att få meddelanden till och därmed inte aktivt bevakar. Detta riskerar att skapa situationer där parten drabbas av rättsförluster. Det är dock inte alltid som en part uttryckligt uppger vilken elektroniska postadress som den vill kontaktas igenom. En del parter kan även skicka elektroniska meddelanden från såväl privata som arbetsrelaterade elektroniska postadresser. För det fall att någon föredragen elektronisk postadress inte uttryckligt har uppgivits, exempelvis vid ärendets inledande eller vid annan kontakt med myndigheten i ärendet, ska myndighetens nyttja den elektroniska postadress som parten själv har begagnat vid sin senaste elektroniska kommunikation med myndigheten i ärendet. Vid oklarheter förväntas myndigheten, tämligen självklart, att kontakta parten på lämpligt sätt för att klarlägga frågan. I övrigt tillämpas förfarandereglerna avseende elektronisk delgivning i 58b och 58c §§.
I paragrafens 3 mom. föreskrivs att en part har en ovillkorlig rätt att när som helst meddela att denna framgent, vid särskilt tillfälle eller under särskild tidsperiod, inte önskar att delges handlingar ifrån myndigheten elektroniskt, även om förutsättningarna enligt 1 mom. har uppfyllts. Syftet med bestämmelsen är att tillförsäkra parten en ovillkorlig bestämmanderätt över frågan om hur den vill att myndigheten ska kommunicera med denna. När en part har utnyttjat sin rätt enligt 3 mom. ska myndighetens återstående delgivning i ärendet ske per post, även om parten ånyo kontaktar myndigheten på elektronisk väg. Bestämmelsen ger vidare parten möjlighet att säga bort elektronisk delgivningen i ärendet framgent, vid särskilt delgivningstillfälle eller under särskild period, vilket kan motiveras av praktiska skäl så som partens framtida eller tillfälliga brist på tillgång till digital uppkoppling, förlorad kontroll över elektronisk postadress, med mera. En parts utnyttjande av sin bestämmanderätt om att inte delges elektroniskt kan dock bara avse framtida och ej slutförd delgivning, i syfte att beivra missbruk av bestämmanderätten som syftar till att försena ärendenas handläggning eller att undandra sig delgivning. För det fall att parten i samband med utövandet av sin bestämmanderätt uppger att denna inte ska anses delgiven vid tidigare eller pågående delgivningsförfaranden, vilka har skett elektroniskt, regleras situationen i respektive bestämmelse om de olika delgivningsförfarandena.
58a §. Elektronisk delgivning till myndigheter. Bestämmelsen inför en huvudregel om elektronisk delgivning till andra myndigheter, i den mån detta kan ske informationssäkert. Syftet med bestämmelsen är att möjliggöra ett utökat nyttjande av digitaliseringens fördelar, för att åstadkomma en mer tids- och resurseffektiv offentlig förvaltning. Bestämmelsen innebär därmed att andra myndigheter ska delges enligt bevislig eller vanlig elektronisk delgivning enligt 58b och 58c §§. Bestämmelsen förutsätter vidare att delgivningen, i förhållande till handlingarnas innehåll, kan genomföras på ett informationssäkert sätt. Innehållet i de handlingar som ska delges myndigheten måste beaktas vid bedömningen om elektronisk delgivning kan användas. Det kan exempelvis vara fråga om säkerhetsbelagda uppgifter, personuppgifter, säkerhetsklassificerad information, med mera. Förutsatt att handlingarna och dess innehåll kan överföras mellan myndigheterna på ett informationssäkert sätt, eller att handlingarnas innehåll inte förutsätter någon särskild hantering, ska det inte finnas något hinder för att delgivningen sker elektroniskt. Informationssäkerheten vid elektronisk överföring av information mellan myndigheter regleras särskilt i informationshanteringslagen och annan speciallagstiftning.
58b §. Bevislig elektronisk delgivning. Paragrafen motsvarar i sak och lydelse i huvudsak den tidigare 58 §, med tillägget att bestämmelsen även ska tillämpas i de situationer som avses i 58 §. För ytterligare detaljmotivering, se LF 26/2016-2017.
58c §. Vanlig elektronisk delgivning. Paragrafen motsvarar i sak och lydelse i huvudsak den tidigare 58a §, med tillägget att bestämmelsen även ska tillämpas i de situationer som avses i 58 §. För ytterligare detaljmotivering, se LF 26/2016-2017.
Ikraftträdande- och övergångsbestämmelser. Lagen innehåller en ikraftträdandebestämmelse.
4. Landskapslag om ändring av landskapslagen om tillgängliga digitala tjänster
2 §. Definitioner. I 2 § 3 punkten harmoniseras begreppet myndighet med definitionen i 4 § i offentlighetslagen, samt blir därmed likalydande med 1 § 1 punkten i informationshanteringslagen. 4 § i offentlighetslagen undantar dock Ålands polismyndighet, varför tillägg görs om att även denna myndighet ska ingå i definitionen.
I paragrafens 10 punkt definieras digitala tjänst som en webbplats eller mobilapplikation samt funktioner i anslutning till dem.
I paragrafens 11 punkt identifieras identifieringstjänst som en tjänst för identifiering av användare av digitala tjänster genom identifieringsverktyg. Användare avser fysiska personer som använder digitala tjänster och kan i förlängningen även avse företrädare eller ombud för andra juridiska eller fysiska personer.
I paragrafens 12 punkt definieras identifieringsverktyg som ett sådant medel för elektronisk identifiering som avses i artikel 3.2 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (förordningen om elektronisk identifiering).
I paragrafens 13 punkt definieras stark autentisering som identifiering av en person, av en juridisk person eller av en fysisk person som företräder en juridisk person och verifiering av identifikatorns autenticitet och riktighet genom tillämpning av en elektronisk metod som motsvarar tillitsnivån väsentlig enligt artikel 8.2 a eller tillitsnivån hög enligt artikel 8.2 c i förordningen om elektronisk identifiering.
1a kap. Allmänna digitala tjänster
3a §. Planering och underhåll av digitala tjänster. Paragrafen innehåller bestämmelser om myndigheternas allmänna skyldigheter att planera och underhålla digitala tjänster. Syftet med bestämmelsen är att tillföra myndigheterna allmänna skyldigheter om planering, underhåll och information om störningar rörande deras digitala tjänster samt interoperabilitet och därmed i förlängningen åstadkomma en mer tillgänglig och effektiv samt god förvaltning.
Enligt paragrafens 1 mom. första meningen ska myndigheterna planera och underhålla sina digitala tjänster på ett sådant sätt att tjänsternas informationssäkerhet och dataskydd garanteras och så att tjänsterna är lätta att hitta och använda. Dessutom ska myndigheterna se till att deras digitala tjänster är interoperabla med programutbud och kommunikationsförbindelser som används allmänt. Enligt paragrafen förutsätts myndigheterna redan vid planeringen av en digital tjänst bedöma hur informationssäkerheten i anslutning till användningen ska ordnas. I paragrafen föreslås det ändå inga särskilda bestämmelser om vilka informationssäkerhetskrav som ska beaktas vid planeringen av tjänsterna, eftersom kraven förändras i och med den tekniska utvecklingen och förändringarna i omvärlden. Vidare återfinns allmänna bestämmelser om myndigheternas informationssäkerhet vid deras informationshantering i informationshanteringslagen. Myndigheterna ska genom sin planeringsdokumentation i fråga om informationssäkerheten och genom rapporter i anslutning till denna kunna visa att informationssäkerheten har garanterats genom tillräckliga informationssäkerhetsåtgärder. Denna ansvarsskyldighet kan jämställas med den allmänna dataskyddsförordningen, där det i artikel 5.2 föreskrivs att den personuppgiftsansvarige ska kunna visa att de grundläggande principerna för behandling av personuppgifter, såsom kraven på att säkerställa uppgifternas integritet och konfidentialitet, har iakttagits i den personuppgiftsansvariges verksamhet. Grundläggande krav på informationssäkerheten är exempelvis att sekretessbelagd information och annan information med begränsningar i fråga om hanteringen, exempelvis uppgifter inom särskilda kategorier av personuppgifter, överförs i datanätet med hjälp av en säker förbindelse och att tjänsteanvändarna vid behov identifieras när de loggar in på en tjänst. I informationssäkerhetskraven ingår också att försäkra sig om tillgången till en tjänst och att i förväg planera avbrott i användningen av tjänsten. I paragrafen förutsätts vidare myndigheterna att garantera tjänsteanvändarnas dataskydd. Bestämmelsen är närmast informativ eftersom särskilda bestämmelser om dataskyddskraven finns i den allmänna dataskyddsförordningen, vari en riskbaserad planering av behandlingen av personuppgifter betonas. Största delen av dataskyddskraven inom de digitala tjänsterna uppfylls genom olika informationssäkerhetsåtgärder, såsom identifiering, hantering av åtkomsträttigheter, kryptering av dataöverföring och insamling av logguppgifter. Inom dataskyddskraven betonas en minimering av informationsinsamlingen, vilket även måste beaktas inom ramen för digitala tjänster. I dataskyddskraven ingår det också att se till att myndigheterna inte i onödan behandlar personuppgifter i sina digitala tjänster. Att göra personuppgifter tillgängliga i ett datanät utgör behandling av personuppgifter och i varje enskilt fall måste myndigheten separat utreda grunden för och behovet av ett offentliggörande, se EU-domstolens dom i mål C-101/01. I bestämmelsen förutsätts det vidare att myndigheterna planerar och underhåller sina digitala tjänster på ett sådant sätt att de är lätta att hitta. Med det avses att myndigheterna ska se till att de digitala tjänsterna och datainnehållet i dem går att hitta i uppdaterad form exempelvis med hjälp av sökmotorer. Myndigheterna förutsätts också fästa vikt vid domännamnens tydlighet. Tydliga och informativa domännamn gör tjänsterna lättare att hitta och främjar genomförandet av den i 5 § i förvaltningslagen avsedda serviceprincipen, som utgör en del av en god förvaltning och som är en grundläggande fri- och rättighet. Därför bör myndigheterna, för att försäkra sig om att de digitala tjänsterna är lätta att hitta, följa allmän praxis på området när det gäller att bilda domännamn och webbadresser, i syfte att webbadresserna ska bli lätta att komma ihåg och förstå. Bestämmelsen förutsätter vidare att myndigheterna ska se till att de digitala tjänsterna är lätta att använda. Med det avses att myndigheterna ska bedöma eller kontrollera användbarheten regelbundet, särskilt innan en ny digital tjänst tas i bruk, eller när en digital tjänst i betydande grad får nya eller reviderade funktioner. Användbarheten kontrolleras eller bedöms i regel samtidigt som tillgängligheten bedöms. Tillgängligheten hänför sig till hur en digital tjänst fungerar tekniskt sett, och innehållets begriplighet och användbarhet hänför sig till hur logisk och enkel användningen av tjänsten är. Skyldigheten att garantera användbarheten gäller funktionerna av en tjänst och logiken för hur tjänsten fungerar, utgående från användarnas behov. I lagen avses med att en tjänst ska vara lätt att använda att användbarhetskraven i anslutning till användningen av digitala tjänster beaktas. Med digitala tjänsters användbarhet avses funktioner som hjälper tjänsteanvändaren att använda en tjänst för önskat ändamål, exempelvis för att uträtta ett visst ärende. De digitala tjänsterna ska vara lätta att lära sig, användningen ska vara effektiv för användaren, funktionerna i en tjänst ska följa de funktioner som allmänt används i olika andra tjänster och tjänsten ska känna igen och upplysa användaren om fel som han eller hon gör vid användningen av tjänsten. De navigeringslösningar som används i digitala tjänster för att underlätta bläddringen på en webbplats ska vara tydliga och möjliga att uppfatta för användaren.
Paragrafens 1 mom. andra meningen innehåller vidare ett krav på att myndigheterna vid planeringen och underhållet av digitala tjänster ska beakta tjänsternas kompatibilitet med programutbud och kommunikationsförbindelser som tjänsteanvändarna allmänt använder. Syftet med bestämmelsen är att se till att de digitala tjänsterna är kompatibla med användarnas webbläsare och annan stödprogramvara som behövs för användningen av tjänsterna. I praktiken ska myndigheterna kontrollera hur en digital tjänst fungerar tillsammans med ett allmänt använt programutbud. Bestämmelsen medför ingen skyldighet att kontrollera mot alla tänkbara webbläsare och olika versioner av dem, utan skyldigheten att kontrollera ska gälla de mest använda programmen på marknaden. Funktionerna i en tjänst får inte heller kopplas till egenskaperna hos en enda webbläsare eller en viss version av den. Myndigheterna ska samtidigt se till att de digitala tjänsterna fungerar tillräckligt effektivt med olika kommunikationsförbindelser. Det finns ännu inte snabba kommunikationsförbindelser överallt. Därför bör myndigheterna vid planeringen och underhållet av tjänster se till att tjänsteanvändaren kommer åt den viktigaste informationen i myndigheternas digitala tjänster med hjälp av allmänt använda program och kommunikationsförbindelser, oavsett var tjänsterna används.
Enligt paragrafens 2 mom. första meningen ska myndigheterna säkerställa tillgången till de digitala tjänster som de ansvarar för och till andra elektroniska dataöverföringsmetoder som de använder, även vid andra tider än när myndigheternas servicepunkter håller öppet. Syftet med bestämmelsen är att öka allmänhetens tillgång till den offentliga förvaltningens digitala tjänster och tillse att dessa inte utan anledning enbart kopplas till myndigheternas mottagningstider, vilka därutöver tenderar att vara tämligen inskränkta. Bestämmelsen reglerar dock inte tillgänglighållandets omfattning närmare än så, utan överlåter lämplighetsbedömningen i övrigt till myndigheterna.
Enligt paragrafens 2 mom. andra meningen ska avbrott i de digitala tjänsterna och i andra elektroniska dataöverföringsmetoder som myndigheterna begagnar sig av förläggas till tidpunkter då tjänsterna och metoderna används i ringa omfattning, samt det ska informeras om dem på ett lämpligt sätt i förväg. Syftet med bestämmelsen är att understryka myndigheternas skyldighet att i förväg förbereda sig för planerade avbrott i de digitala tjänsterna och i andra elektroniska dataöverföringsmetoder. Även i situationer där det pågår ett annat avbrott i användningen av en tjänst, vilken gör det möjligt att uträtta ärenden, ska det så långt möjligt informeras om alternativa sätt att sköta ärendena på. Om det är möjligt kan informering exempelvis ske på myndighetens allmänna webbplats, eller på någon annan webbplats med väsentlig anknytning till tjänsten i fråga. Enskilda ska ha rätt att ta del av ändamålsenliga myndighetstjänster. Vid avbrott ska myndigheten på sin webbplats offentliggöra anvisningar om hur tjänsteanvändaren på ett alternativt sätt kan sköta sina ärenden som brukar skötas med hjälp av digitala tjänster, eller någon annan elektronisk dataöverföringsmetod, och informera om hur länge avbrottet beräknas vara, i de fall som det har planerats i förväg. Myndigheten ska i förväg utarbeta allmänna anvisningar om hur kontakterna kan ordnas på ett alternativt sätt, om det förekommer störningar eller avbrott i de digitala tjänster som gör det möjligt att sköta ärenden hos myndigheten. Det blir myndighetens sak att avgöra hur de i digitala tjänster informerar om avbrott och om tjänsternas tillgänglighet. Det krav som ingår i bestämmelsen betonas ytterligare när elektroniska tjänster är det primära sättet att kommunicera med myndigheter på och tjänsterna är tillgängliga oavsett tidpunkt.
Enligt paragrafens 3 mom. ska myndigheterna se till att deras digitala tjänster är tillräckligt interoperabla med den offentliga förvaltningens gemensamma informations- och kommunikationstekniska tjänster, vilka i landskapsförordning har utpekats av landskapsregeringen i enlighet med 5 § i informationshanteringslagen för Åland, och med andra myndigheters digitala tjänster. Enligt den sistnämnda paragrafen kan landskapsregeringen styra anordnandet av gemensamma informations- och kommunikationstekniska tjänster samt i förordning föreskriva vilka dessa är och krav på myndigheternas tjänster. När myndigheterna planerar att ta i bruk nya digitala tjänster ska de alltså se till att tjänsterna är tillräckligt kompatibla med de gemensamma tjänsterna. I 5 § i informationshanteringslagen föreskrivs att myndigheter är skyldiga att använda de gemensamma tjänsterna. Syftet med det föreslagna 4 § 3 mom. är att ålägga myndigheterna att se till att de digitala tjänsterna är interoperabla, så att myndigheternas och förvaltningens gemensamma informations- och kommunikationstekniska tjänster bildar en tydlig servicehelhet för tjänsteanvändarna. Enligt den föreslagna bestämmelsen är myndigheterna också skyldiga att beakta de digitala tjänster som andra myndigheter redan tillhandahåller, och således utveckla sina digitala tjänster på ett sådant sätt att en ny tjänst fungerar smidigt tillsammans med andra digitala tjänster som redan används, och därmed bildar en sammanhängande servicehelhet. Bestämmelsen innebär att om användningen av en tjänst i regel också leder till att en annan myndighets tjänst används, ska man vid planeringen beakta de befintliga tjänsternas funktioner och den logik som styr dem, så att användaren kan sköta sitt ärende med hjälp av enhetliga funktioner i ett enhetligt förfarande. Bestämmelsen hänger samman med det allmänna kravet att tjänsterna ska vara lätta att använda och funktionellt användbara.
3b §. Tillhandahållande av digitala tjänster. I denna paragraf föreslås det bestämmelser om myndigheternas skyldigheter i fråga om tillhandahållandet av digitala tjänster. För att de offentliga tjänsterna i första hand ska bli digitala är det ytterst viktigt att myndigheterna ordnar digitala tjänster och elektronisk kommunikation som hänför sig till människors ställning, rättigheter och skyldigheter på ett sådant sätt att en digital kommunikationskanal finns att tillgå utöver andra sätt att sköta ärendena på. Det måste också på lämpligt sätt säkerställas att ärendena kan skötas via andra, alternativa kanaler och på andra sätt. En myndighet kan alltså inte enbart erbjuda den enskilda att sköta sina ärenden genom digitala tjänster, med hänvisning till att det inte skulle uppfylla kraven i fråga om rättsprinciperna för förvaltningen, särskilt proportionalitets- och jämlikhetsprinciperna samt serviceskyldigheten enligt 4–5 §§ i förvaltningslagen. Den föreslagna bestämmelsen innehåller ingen skyldighet för enskilda som vänder sig till den offentliga förvaltningen att använda digitala tjänster. Skyldigheten att tillhandahålla tjänster föreslås gälla alla myndigheter.
Enligt paragrafens 1 mom. första meningen ska myndigheterna ge alla en möjlighet att sända elektroniska meddelanden och handlingar som hänför sig till deras behov av tillgång till tjänster med hjälp av digitala tjänster eller andra elektroniska dataöverföringsmetoder. Bestämmelsen innehåller ingen avgränsning av hurdana meddelanden en enskild kan sända med hjälp av digitala tjänster eller någon annan elektronisk dataöverföringsmetod som myndigheterna tillhandahåller, utan skyldigheten är bara avsedd att gälla tillhandahållandet av en kommunikationsmöjlighet för att ge tillgång till behövliga tjänster. Meddelandena kan exempelvis hänföra sig till inledandet av ett ärende, begäran om information eller rådgivning. Enligt 16 § 2 mom. i förvaltningslagen uppfyller även ett meddelande som har sänts med en elektronisk dataöverföringsmetod kravet på skriftlig form vid inledande av ärende. Syftet med den föreslagna bestämmelsen är att förtydliga myndigheternas skyldighet att ge enskilda som vänder sig till den offentliga förvaltningen en möjlighet att sköta sina ärenden, samt övrig kommunikation med myndigheterna, elektroniskt, med hjälp av elektroniska dataöverföringsmetoder. Det är inte nödvändigtvis ändamålsenligt för alla myndigheter att utveckla egna digitala tjänster. Det kan i stället handla om att använda en meddelandeförmedlingstjänst som hör till förvaltningens gemensamma informations- och kommunikationstekniska tjänster. Det ska också vara möjligt att använda andra skyddade kommunikationslösningar, exempelvis i situationer där en enskild av en eller annan orsak inte använder en meddelandeförmedlingstjänst, förutsatt att myndigheten har möjlighet att ordna kommunikationen på något annat informationssäkert sätt än med hjälp av en meddelandeförmedlingstjänst. Meddelandeförmedlingstjänsten infördes i slutet av 2017. Den gör det möjligt för enskilda att kommunicera med myndigheterna på ett informationssäkert sätt. Bestämmelsen tar sikte på myndigheter som har en behövlig teknisk, ekonomisk och övrig förmåga. Enligt bestämmelsen ska en myndighet erbjuda var och en möjlighet att i syfte att anhängiggöra ärenden eller för behandlingen av dem sända meddelanden till en elektronisk postadress eller specificerad anordning angiven av myndigheten. Den enskilda ska dessutom erbjuda var och en möjlighet att i elektronisk form tillsända myndigheten anmälningar, som den enligt gällande bestämmelser ska tillställas, utredningar och andra motsvarande handlingar som denna har begärt samt andra meddelanden. Den föreslagna bestämmelsen är neutral i fråga om vilken elektronisk dataöverföringsmetod som ska tillämpas för att sända handlingar och meddelanden elektroniskt. Det kan vara fråga om en meddelandeförmedlingstjänst, myndighetens egna digitala tjänster eller elektronisk post, beroende på ärendets art och de uppgifter som ska avlämnas. Myndigheterna får själva avgöra på vilket sätt handlingar och meddelanden kan sändas elektroniskt, dock med beaktande av bland annat tillgänglighetskraven, dataskyddet och informationssäkerheten. Om någon inlämnar en handling eller ett annat meddelande, med hjälp av en elektronisk dataöverföringsmetod, på något annat sätt än det som myndigheten har gett anvisningar om, ska myndigheten med dock inte kunna vägra att ta emot handlingen. Den föreslagna bestämmelsen ålägger i praktiken myndigheterna att ordna sina tjänster på ett sådant sätt att enskilda, i alla situationer, har en möjlighet att sända elektroniska handlingar eller andra elektroniska meddelanden som gäller deras egna ärenden till myndigheterna i elektronisk form, om inte något annat föreskrivs i någon annan lag. Således kan en myndighet avvika från sin skyldighet endast när det i en bestämmelse på lagnivå föreskrivs något annat om hur en handling kan inlämnas.
Enligt paragrafens 1 mom. andra meningen ska myndigheterna dessutom ge alla en möjlighet att i sina ärenden för mottagande av elektroniska meddelanden och handlingar från en myndighet använda en meddelandeförmedlingstjänst eller någon annan tillräckligt informationssäker elektronisk dataöverföringsmetod, om myndigheten kan sända meddelandet eller handlingen i elektronisk form. Avsikten med bestämmelsen är att föreskriva att myndigheterna aktivt även bör ge enskilda en möjlighet att också ta emot elektroniska meddelanden och handlingar från en myndighet. I bestämmelsen tas det inte ställning till i vilka situationer en myndighet kan sända ett meddelande eller en handling i elektronisk form, vilket regleras i annan lagstiftning. I fråga om formen och sättet för lämnandet av handlingar föreskrivs det bland annat särskilt i bestämmelser om delgivning annanstans i lagstiftningen samt i offentlighetslagen. Dessutom ska myndigheten ge enskilda en möjlighet att använda en meddelandeförmedlingstjänst eller andra tillräckligt informationssäkra elektroniska dataöverföringsmetoder i situationer där myndigheten regelbundet tillsänder dem handlingar. Bestämmelsen gäller inte myndigheternas övriga allmänna kommunikation och information. En myndighet får själv bedöma i vilken grad det är ändamålsenligt att för mottagandet av allmänna meddelanden tillhandahålla en meddelandeförmedlingstjänst eller andra dataöverföringsmetoder som möjliggör elektronisk kommunikation av motsvarande slag. I bestämmelsen hänvisas det också till en tillräckligt informationssäker elektronisk dataöverföringsmetod, varvid det blir myndigheten själv som får bedöma med vilken elektronisk dataöverföringsmetod, vilken används av både den myndighet som sänder meddelandet och den enskilda som tar emot det, den elektroniska kommunikationen ska ske. Om den enskildas meddelande har sänts till myndigheten med vanlig elektronisk post eller på en blankett som återfinns i en digital tjänst, går det inte nödvändigtvis att svara på meddelandet med hjälp av samma dataöverföringsmetod. Det kan vidare vara fråga om ett meddelande som innehåller sekretessbelagda uppgifter. Då ska myndigheten svara på meddelandet i allmänna ordalag, utan att det sekretessbelagda innehållet, eller så långt möjligt på något annat sätt, exempelvis per telefon, krypterat elektroniskt postmeddelande eller brev.
Enligt paragrafens 2 mom. första meningen ska myndigheterna i sina digitala tjänster ge tydlig information om hur var och en elektroniskt kan sköta sina ärenden hos myndigheterna. Bestämmelsen förutsätter dock inte att exempelvis marknadsföring av tjänsterna görs, vilket överlåts till myndigheterna att bedöma behövligheten av. Myndigheterna ska strukturera datainnehållet på sina webbplatser på ett sådant sätt att de digitala tjänster, vilka hänför sig till enskildas kontakter med myndigheterna, är lätta att hitta. Myndigheterna ska också informera om möjligheten att använda digitala tjänster i de brev som sänds per post till enskilda. I den kommunikation som sker per post ska vidare de enskilda, enligt behov, även ges anvisningar om hur de i fortsättningen kan få del av motsvarade meddelande genom att använda digitala tjänster.
Enligt paragrafens 2 mom. andra meningen ska myndigheterna i sina digitala tjänster offentliggöra kontaktuppgifter, av vilka det framgår var allmänheten har möjlighet att få råd i användningen av en myndighets digitala tjänster. Kontaktuppgifterna kan exempelvis vara en elektronisk postadress, ett telefonnummer, en webblankett eller en chattjänst. Kontaktuppgifterna ska vara lätta att hitta med olika sökmotorer. Bestämmelsen syfte är att främja möjligheterna för grupper av enskilda med större tekniska stödbehov att kunna komma i kontakt med myndigheterna med hjälp av digitala tjänster. Enligt 5 § 2 mom. i förvaltningslagen ska myndigheterna inom ramen för sin behörighet och enligt behov ge enskilda råd i anslutning till skötseln av ett förvaltningsärende samt svara på frågor och förfrågningar som gäller uträttandet av ärenden. Rådgivningen är avgiftsfri. Avsikten med den föreslagna bestämmelsen är att se till att alla myndigheter har ordnat ett tillräckligt tekniskt stöd för användningen av de digitala tjänsterna och att det aktivt erbjuds till enskilda. Stödet kan tillhandahållas av myndigheten själv eller av myndigheten tillsammans med andra myndigheter, eller av en gemensam stödtjänst. En myndighet kan också ordna användarstödet i fråga om digitala tjänster via en privat aktör, om det finns en separat bestämmelse om det i lag. Bland annat rådgivande telefonservice har ansetts vara en offentlig förvaltningsuppgift som förutsätter en bestämmelse i lag för att kunna anförtros någon annan än en myndighet, se GrUU 11/2006 rd. Den föreslagna lagen innehåller emellertid ingen bestämmelse om en allmän möjlighet att överlåta rådgivningstjänster som gäller digitala tjänster på enskilda.
Paragrafens 3 mom. innehåller en bestämmelse om möjligheten att begränsa användningen av en digital tjänst till vissa användargrupper eller ett visst område, om det är nödvändigt för att utveckla eller kontrollera tjänstens funktion. En sådan begränsning ska vara temporär. I praktiken kan därmed en myndighet, genom att begränsa användningen till vissa användargrupper eller ett visst område, kontrollera användbarheten av vissa av myndigheternas nya tjänster, innan de har tagits i bruk i större skala. Bestämmelsen möjliggör en sådan temporär begränsning, utan att det blir fråga om ett arrangemang som är problematiskt med avseende på bestämmelserna om likabehandling av enskilda och lämplig tillgång till tjänsterna.
3c §. Elektronisk identifiering av tjänsteanvändare. I paragrafen införs en möjlighet för myndigheterna att kräva elektronisk identifiering av en användare av digitala tjänster om det behövs för att säkerställa användarens åtkomsträttigheter, i anslutning till en tjänst eller dess innehåll eller på grund av rättsverkningarna av en åtgärd som utförs i tjänsten. Bestämmelsen behövs eftersom det har saknats en tydlig laglig grund och reglering för i vilka situationer tjänsteanvändare kan behöva identifieras och säkerhetskraven på identifieringstjänsten. Avsaknaden av en identifieringsmöjlighet har utgjort ett hinder för elektronisk kommunikation med myndigheterna och möjliggörandet av elektronisk tillgång till digital information och tjänster. Genom en identifieringstjänst möjliggörs en tillräckligt säker identifiering av dem som använder digitala tjänster. I paragrafen avses med användare en fysisk person som använder en digital tjänst, antingen för att sköta sitt eget ärende eller för att företräda eller agera ombud för en annan fysisk eller juridisk persons räkning.
Enligt paragrafens 1 mom. kan myndigheterna kräva elektronisk identifiering av en användare av digitala tjänster endast om det behövs för att säkerställa användarens åtkomsträttigheter i anslutning till en tjänst eller dess innehåll eller på grund av rättsverkan i anslutning till en funktion som finns i tjänsten. Syftet med bestämmelsen är att styra myndigheterna i användningen av elektronisk identifiering och att förenhetliga grunderna och förfarandena för identifiering. Det är meningen att bestämmelsen ska vägleda myndigheterna att bedöma när en tjänsteanvändare behöver identifieras, för att åtkomsträttigheterna ska kunna utredas och säkerställas. Bestämmelsen ska dessutom ge vägledning i situationer där en tjänst möjliggör åtgärder som kan vara förknippade med betydande rättsliga verkningar för de intressen, rättigheter eller skyldigheter som en enskild har i förhållande till den offentliga förvaltningen. Avsikten med bestämmelsen är att understryka att tjänsteanvändarna inte aktivt behöver identifieras genom något särskilt identifierings- eller inloggningsförfarande för alla digitala tjänster, eller i alla situationer, utan att behovet av identifiering ska bedömas från fall till fall. Bedömningen ska ske utifrån respektive tjänst och arten av de funktioner som ingår i den. Bestämmelsen har samband med myndigheternas skyldighet att se till att de digitala tjänsternas innehåll iakttar en god offentlighets- och sekretesstruktur. Identifieringssättet anges inte i bestämmelsen, utan det får myndigheten själv avgöra i varje enskilt fall samt i enlighet med 2 mom. Avsikten med 1 mom. är inte att reglera ett krav på elektroniska underskrifter, utan det får ske genom allmänna eller särskilda förfarandebestämmelser i speciallag. I vissa fall kan identifiering eller inloggning på en digital tjänst användas för att försöka förhindra exempelvis överbelastningsattacker, men det kan inte vara den enda orsaken till att kräva elektronisk identifiering i en tjänst. Myndigheterna måste även beakta att kravet på uppgiftsminimering, i artikel 5.1 c i den allmänna dataskyddsförordningen, förutsätter en bedömning av när uppgifter samlas in i en digital tjänst på ett sådant sätt att en person behöver identifieras elektroniskt. Enligt artikel 5.1 i den förordningen ska den uppgiftsansvarige sörja för personuppgifternas integritet och konfidentialitet. För att myndigheten vid behandlingen av personuppgifter ska kunna försäkra sig om identiteten hos den som lämnar uppgifterna och om uppgifternas autenticitet, måste tjänsteanvändaren i många situationer identifieras elektroniskt på något tillförlitligt och informationssäkert sätt. Detta i syfte att autenticiteten, integriteten och konfidentialiteten hos de uppgifter som lämnas till myndigheten kan säkerställas.
I paragrafens 2 mom. föreskrivs det att om det är möjligt att få se och använda, det vill säga få elektronisk tillgång till, sekretessbelagda uppgifter i en digital tjänst ska användaren identifieras med hjälp av en identifieringstjänst, med stark autentisering och betrodda elektroniska tjänster, eller, av vägande och motiverande skäl, med hjälp av någon annan motsvarande informationssäker identifieringstjänst. Syftet med bestämmelsen är att göra kraven tydligare särskilt när det gäller användningen av stark autentisering och att samtidigt främja informationssäker kommunikation och identifieringssätt, om det i en tjänst behandlas sekretessbelagda uppgifter som användaren får se. Identifieringsmetoden kopplas inte enbart till en särskild tjänst, utan kravet på identifiering kan även uppfyllas genom någon annan metod för stark autentisering och redskap som grundar sig på en sådan metod. Stark autentisering ska användas exempelvis i tjänster där användaren kommer åt att se eller hantera uppgifter om sitt hälsotillstånd, andra uppgifter inom särskilda kategorier av personuppgifter, uppgifter om en klientrelation i socialvården, uppgifter om elevvård samt affärs- och yrkeshemligheter. Bestämmelsen hör samman med förordningen om elektronisk identifiering. Enligt förordningens artikel 6.1 ska, när det enligt nationell rätt eller enligt nationella administrativa förfaranden krävs en elektronisk identifiering där medel för elektronisk identifiering och autentisering används för att få åtkomst till en nättjänst som tillhandahålls av ett offentligt organ i en medlemsstat, de medel för elektronisk identifiering som har utfärdats i en annan medlemsstat erkännas i den första medlemsstaten för gränsöverskridande autentisering för den tjänsten via internet, förutsatt att de villkor som närmare anges i förordningen uppfylls. Det betyder att myndigheterna i planeringen av sina elektroniska identifieringslösningar inte bara ska beakta aktuell lag, utan också kraven enligt den anknytande förordningen om elektronisk identifiering. Den föreslagna bestämmelsen gör det möjligt att använda även något annat än en identifieringstjänst eller stark autentisering, om det finns en vägande grundad anledning att använda något annat identifieringssätt, när det efter inloggningen på en tjänst är möjligt att få se och behandla sekretessbelagda uppgifter. Myndigheterna ska särskilt bedöma vilka risker som är förknippade med ett sådant identifieringssätt och beakta det som i artikel 35 i dataskyddsförordningen föreskrivs om förhandsbedömning av dataskyddet. När någon annan identifiering än stark autentisering används ökar dataskyddsriskerna och en förhandsbedömning uppfyller i regel dataskyddsförordningens krav på konsekvensbedömning. Enligt 2 mom. ska således myndigheten, utifrån behovet och en riskbaserad bedömning, kunna välja det identifieringssätt som behövs för tjänsterna i fråga, exempelvis stark autentisering eller identifiering med användarnamn och lösenord. En myndighet kan inte kräva att någon identifierar sig elektroniskt för att möjliggöra elektronisk tillgång till tomma blanketter eller information som tillhandahålls allmänt i de digitala tjänsterna. En myndighet föreslås kunna kräva stark autentisering exempelvis när en användare i en tjänst kan se uppgifter om sig själv eller om en person som denna företräder med stöd av ett bemyndigande. Identifiering kan också krävas i situationer där uppgifter om användaren färdigt syns på en blankett som återfinns i tjänsten. Likaså kan identifiering krävas i situationer där en myndighet behöver försäkra sig om en persons identitet, när det i en tjänst går att vidta betydande åtgärder som kan vara förknippade med avsevärda konsekvenser för en persons intressen, rättigheter och skyldigheter. Sådana konsekvenser kan exempelvis uppkomma vid myndighetens behandling av ett ärende eller när uppgifter registreras automatiskt i myndighetens informationslager. En sådan identifieringsfunktion ska dock, i anslutning till tomma blanketter, tillämpas först när användaren har fyllt i blanketten och ämnar sända in den till myndigheten. I praktiken motsvarar en sådan funktion en elektronisk underskrift. På detta sätt säkerställer myndigheten genom identifieringen avsändarens identitet och beivrar missbruk i anslutning till användningen av en tjänst. Vid användningen av digitala tjänster ska emellertid 19 § 2 mom. i förvaltningslagen beaktas. Enligt de bestämmelserna behöver en handling som har kommit in till en myndighet inte kompletteras med en underskrift, om handlingen innehåller uppgifter om avsändaren och om det inte finns anledning att betvivla handlingens autenticitet och integritet.
2 kap. Digitala tjänsters tillgänglighet
Kapitlets namn, webbplatsers och mobila applikationers tillgänglighet, justeras till digitala tjänsters tillgänglighet, i syfte att det ska harmonisera med lagens och övriga kapitels namn, vilka nyttjar samlingsbenämningen digitala tjänster.
Ikraftträdande- och övergångsbestämmelser. Lagen innehåller en ikraftträdande- och övergångsbestämmelse. 24 månader ifrån lagens ikraftträdande bedöms utgöra en rimlig tidsfrist för att en myndighet ska kunna försätta sin verksamhet i överensstämmelse med 3a och 3b §§.
Lagtext
Landskapsregeringen föreslår att följande lagar antas.
1.
I N F O R M A T I O N S H A N T E R I N G S L A G
för Åland
I enlighet med lagtingets beslut föreskrivs:
1 kap.
Allmänna bestämmelser
1 §
Lagens syfte
Syftet med denna lag är att:
1) säkerställa en enhetlig och kvalitativ hantering samt informationssäker behandling av myndigheternas informationsmaterial så att offentlighetsprincipen förverkligas,
2) möjliggöra ett tryggt och effektivt utnyttjande av myndigheternas informationsmaterial så att myndigheterna i enlighet med god förvaltningssed kan sköta sina uppgifter och tillhandahålla användare tjänster på ett kvalitativt sätt och med gott resultat,
3) främja interoperabiliteten mellan informationssystem och informationslager,
4) främja vidareutnyttjandet av information från myndigheter och därigenom stimulera innovation inom produkter och tjänster, och
5) säkerställa användares rätt till integritet och konfidentialitet, när det gäller behandling av personuppgifter, vid användning av myndigheternas digitala tjänster.
2 §
Definitioner
I denna lag avses med:
1) myndighet de myndigheter som avses i 4 § i offentlighetslagen (2021:79) för Åland, med undantag för myndigheter som inte är administrativt självständiga i förhållande till andra myndigheter,
2) data ostrukturerad information i maskinläsbart format, oberoende av medium,
3) information strukturerade data som ger mervärde och innebörd, möjliggörande förståelse eller beslutsfattande för användaren,
4) metadata data som beskriver eller på annat sätt tillför ett sammanhang eller en eller flera dimensioner till ett givet informationsmaterial,
5) informationssystem en helhet bestående av databehandlingsutrustning, programvara och annan databehandling,
6) myndighetshandling en myndighetshandling som avses i 6 § i offentlighetslagen för Åland med de undantag vilka framgår av 7 §,
7) informationsmaterial en datauppsättning som består av myndighetshandlingar och annan motsvarande information och har samband med en viss myndighetsuppgift eller myndighetstjänst,
8) informationslager en uppsättning informationsmaterial som används för en myndighets uppgifter eller övriga verksamhet och som hanteras med hjälp av informationssystem eller manuellt,
9) gemensamt informationslager ett för användning av flera aktörer planerat och upprätthållet informationslager vars uppgifter kan lämnas ut och utnyttjas för olika ändamål,
10) informationssäkerhetsåtgärder säkerställande av informationsmaterials tillgänglighet, integritet och tillförlitlighet genom administrativa, funktionella och tekniska åtgärder,
11) informationshantering sådana åtgärder och informationssäkerhetsåtgärder baserade på behov som uppkommer i samband med en myndighets uppgifter eller övriga verksamhet, i syfte att hantera en myndighets informationsmaterial, informationen i olika behandlingsskeden och informationen i informationsmaterial, oberoende av på vilket sätt informationsmaterialet lagras och behandlas i övrigt,
12) informations- och kommunikationsteknisk tjänst en tjänst som helt eller huvudsakligen består i överföring, lagring, hämtning eller behandling av information via nätverks- och informationssystem.
13) gemensam informations- och kommunikationsteknisk tjänst en för användning av flera aktörer planerad och upprätthållen informations- och kommunikationsteknisk tjänst vilken kan utnyttjas för olika ändamål och uppgifter.
14) tekniskt gränssnitt en kommunikationsmetod för elektroniskt informationsutbyte mellan två eller flera informationssystem,
15) elektronisk förbindelse en begränsad vy som genomförs i ett informationssystem och möjliggör visning av informationsmaterial,
16) interoperabilitet utnyttjande och utbyte av information mellan olika informationssystem eller informationslager, genom ett tekniskt gränssnitt, så att informationens relevans och användbarhet bevaras,
17) automatiserat beslutsförfarande en verksamhetsprocess där ett ärende avgörs automatiserat på det sätt som avses i 48a § i förvaltningslagen (2008:9) för landskapet Åland,
18) behandlingsregler av en fysisk person på förhand utarbetade regler avsedda att styra automatisk databehandling,
19) maskinläsbart format ett filformat som är så strukturerat att datorprogram enkelt kan identifiera, känna igen och extrahera informationsmaterial, specifika uppgifter och strukturer i en handling,
20) gränssnitt en regeluppsättning för dynamiskt informationsutbyte mellan programvaror,
21) bulknedladdning tillgång till en avgränsad informationsmängd genom elektronisk uppkoppling,
22) forskningsdata digital information som samlats in eller framställts inom ramen för vetenskaplig forskningsverksamhet och som inte är vetenskapliga publikationer men som används som bevis i forskningsprocesser eller som i forskarsamfundet anses nödvändiga för att validera forskningsresultat,
23) rimlig avkastning på investeringar en procentandel av den totala avgiften, utöver vad som krävs för att täcka de stödberättigade kostnaderna, som uppgår till högst fem procentenheter över Europeiska centralbankens fasta ränta,
24) vidareutnyttjande av information att informationen används för ett annat ändamål än för vilket myndigheten framställde informationen, och
25) värdefulla datamängder datamängder om vars tillgänglighet det på grund av deras ekonomiska eller sociala betydelse föreskrivs i de genomförandeakter som avses i artikel 14.1 i Europaparlamentets och rådets direktiv (EU) 2019/1024 om öppna data och vidareutnyttjande av information från den offentliga sektorn (öppna datadirektivet).
3 §
Lagens tillämpningsområde
Denna lag ska tillämpas på informationshantering och på användning av informationssystem samt på införande och användning av automatiserade beslutsförfaranden, då myndigheter behandlar informationsmaterial, om inte något annat föreskrivs någon annanstans i lag.
Bestämmelserna i 8 kap. ska tillämpas på information som innehas av myndigheter och är offentlig i enlighet med offentlighetslagen för Åland samt på forskningsdata, om forskningsdata har tagits fram med offentlig finansiering och har gjorts tillgänglig genom ett institutionellt eller ämnesbaserat register, med beaktande av vad som föreskrivs om skydd för personuppgifter i dataskyddslagstiftningen och tredje mans immateriella rättigheter som inskränker möjligheten till vidareutnyttjande enligt upphovsrättslagen (FFS 404/1961).
Bestämmelserna i 8 kap. ska inte tillämpas på information som:
1) innehas av en annan kulturinstitution än ett bibliotek, museum eller arkivverk,
2) innehas av en sådan utbildningsverksamhet som avses i landskapslagen (2020:32) om barnomsorg och grundskola, landskapslagen (2011:13) om gymnasieutbildning, landskapslagen (1999:53) om Ålands folkhögskola, landskapslagen (1993:75) om medborgarinstitut, landskapslagen (1995:80) om Ålands musikinstitut, landskapslagen (2003:17) om Ålands Sjösäker-hetscentrum,
3) innehas av Ålands statistik- och utredningsbyrå och Högskolan på Åland och som inte utgör forskningsdata enligt 2 § 22 punkten,
4) görs tillgänglig av en myndighet i dess konkurrensutsatta verksamhet, eller
5) görs tillgänglig för utbyte av information mellan myndigheter i deras offentliga verksamhet.
Vid Ålands polismyndighet tillämpas 2 § 19–25 punkterna samt 27 och 29–32 §§ i denna lag, till den del myndighetens verksamhet grundar sig på landskapets lagstiftningsbehörighet.
2 kap.
Allmän styrning och ordnande av myndigheternas informationshantering
4 §
Allmän styrning av interoperabiliteten mellan gemensamma informationslager och informationssystem samt gemensamma informations- och kommunikationstekniska tjänster
Landskapsregeringen svarar för den allmänna styrningen av interoperabiliteten mellan myndigheternas gemensamma informationslager och informationssystem. I detta syfte kan landskapsregeringen upprätthålla allmänna riktlinjer för utvecklingen av myndigheternas informationshantering.
Landskapsregeringen svarar för styrningen av anordnandet och produktionen av myndigheternas gemensamma informations- och kommunikationstekniska tjänster.
Närmare bestämmelser om myndigheternas informations- och kommunikationstekniska tjänsters kvalitet, säkerhet, interoperabilitet och deras förenlighet med den övergripande arkitekturen kan utfärdas genom förordning av landskapsregeringen.
Bestämmelser om kommunala myndigheters informations- och kommunikationstekniska tjänsters kvalitet, säkerhet, interoperabilitet och deras förenlighet med den övergripande arkitekturen föreskrivs särskilt i lag.
5 §
Myndigheternas användning av gemensamma informations- och kommunikationstekniska tjänster
Myndigheter ska använda av landskapsregeringen fastställda gemensamma informations- och kommunikationstekniska tjänster, om det inte nödvändigtvis finns ett behov av att använda andra tjänster i verksamheten. Om en myndighet anser att det finns ett behov av att använda andra tjänster ska den anmäla detta till landskapsregeringen. Landskapsregeringen fattar beslut om myndighetens rätt att använda andra tjänster.
Närmare bestämmelser om utpekandet av och myndigheters minimianvändning av gemensamma informations- och kommunikationstekniska tjänster kan utfärdas genom förordning av landskapsregeringen.
Bestämmelser om kommunala myndigheters minimianvändning av gemensamma informations- och kommunikationstekniska tjänster föreskrivs särskilt i lag.
3 kap.
Informationssäkerhet
6 §
Identifiering av uppgifter som förutsätter särskild informationshantering
En myndighet ska identifiera de uppgifter som den sköter vilka förutsätter särskild informationshantering.
En myndighet ska identifiera data, information och uppgifter i myndighetshandlingar och informationsmaterial som förutsätter särskild informationshantering.
7 §
Informationssäkerhet i fråga om informationsmaterial och informationssystem
En myndighet ska följa upp informationssäkerhetens tillstånd i sin verksamhetsmiljö och säkerställa informationsmaterialens och informationssystemens informationssäkerhet under hela deras livscykel. Myndigheten ska identifiera relevanta risker som är förenade med informationsbehandlingen och dimensionera informationssäkerhetsåtgärderna utifrån riskbedömningen.
De med tanke på skötseln av en myndighets uppgifter relevanta informationssystemens feltolerans och funktionella användbarhet ska regelbundet säkerställas genom ett kontinuerligt och systematiskt säkerhetsarbete.
Myndigheten ska planera informationssystemen, informationslagrens strukturer och informationsbehandlingen i samband med dem på ett sådant sätt att handlingsoffentligheten utan svårighet kan genomföras.
Myndigheten ska vid sina upphandlingar säkerställa att de aktuella informationssystemen har lämpliga säkerhetsåtgärder.
Landskapsregeringen kan genom förordning föreskriva närmare regler om bedömningen av informationssäkerheten i myndigheters informations- och datakommunikationssystem.
8 §
Information om och kontinuitet vid störningssituationer
En myndighet ska utreda väsentliga risker som hänför sig till behandlingen av informationsmaterial, utnyttjandet av informationssystem och verksamhetens kontinuitet. Myndigheten ska utifrån riskbedömningen genom kontinuitetsplaner och förberedelser för verksamhet i störningssituationer samt genom andra åtgärder se till att behandlingen av informationsmaterial, utnyttjandet av informationssystem och verksamheten fortsätter så störningsfritt som möjligt i störningssituationer under normala förhållanden.
I 3a § i landskapslagen (2019:7) om digitala tjänster föreskrivs närmare om information till allmänheten som myndigheter ska ge om avbrott i de digitala tjänsterna och i andra elektroniska dataöverföringsmetoder.
9 §
Informationsöverföring i datanät
Om en myndighet överför sekretessbelagd information i det allmänna datanätet ska informationen överföras i ett krypterat eller på annat sätt skyddat format. Dessutom ska överföringen ordnas så att mottagaren verifieras eller identifieras på ett tillräckligt informationssäkert sätt, innan mottagaren kommer åt att behandla den överförda sekretessbelagda informationen.
I 3c § i landskapslagen om digitala tjänster föreskrivs närmare om identifiering av användaren i samband med användning av digitala tjänster som tillhandahålls allmänheten.
10 §
Tryggande av säkerheten i fråga om informationsmaterial
Myndigheterna ska genom adekvata säkerhetsåtgärder i fråga om sina informationsmaterial säkerställa att:
1) informationsmaterialens oföränderlighet har verifierats tillräckligt väl,
2) informationsmaterialen har skyddats mot tekniska och fysiska skador,
3) informationsmaterialens ursprung, uppdatering och felfrihet har verifierats,
4) informationsmaterialens tillgänglighet och användbarhet har verifierats,
5) informationsmaterialens tillgänglighet begränsas endast om tillgången till informationen eller rätten att behandla informationen har begränsats särskilt i lag, och
6) informationsmaterialen kan slutförvaras till behövliga delar.
Informationsmaterial ska behandlas och förvaras i verksamhetslokaler som är tillräckligt säkra enligt kraven på tillförlitlighet, integritet och tillgänglighet.
11 §
Kontroll av åtkomst till informationssystem
Den systemansvariga myndigheten ska definiera principerna för åtkomst till informationssystemet. Användarrättigheter ska definieras samt tilldelas utifrån användarens uppgiftsrelaterade användningsbehov samt lägsta möjliga behörighetsnivå.
12 §
Insamling av logginformation
En myndighet ska ombesörja att logginformation insamlas om användning och utlämnande av information från dess informationssystem, om användningen förutsätter identifiering eller annan registrering. De insamlade loggarna ska skyddas mot manipulering och obehörig åtkomst. Syftet med logginformationen är uppföljning av användningen och utlämnandet av information från informationssystem samt utredning av tekniska systemfel och säkerhetshändelser.
4 kap.
Skapande och elektronisk överföring av informationsmaterial
13 §
Omvandling av informationsmaterial till elektroniskt format och materialens tillgänglighet
Om en myndighetshandling inkommer till en myndighet i annat än elektroniskt format ska den omvandlas till allmänt tillgängligt elektroniskt format. Myndigheten ansvarar för att en till elektroniskt format omvandlad myndighetshandlings tillförlitlighet och integritet säkerställs. Myndighetshandlingar som har upprättats av en myndighet ska även förvaras elektroniskt. Undantag får göras från kravet på omvandling till elektroniskt format och elektronisk förvaring om det är nödvändigt på grund av behandlingskraven för sekretessbelagda myndighetshandlingar, övriga informationssäkerhetskrav eller av någon annan nödvändig orsak som har samband med myndighetshandlingens karaktär.
En myndighet behöver inte omvandla en myndighetshandling till ett allmänt tillgängligt elektroniskt format enligt 1 mom. om myndighetshandlingen inte kan omvandlas till ett elektroniskt format eller om den kan omvandlas enbart så att myndigheten vidtar mer än rutinbetonade åtgärder.
14 §
Insamling av informationsmaterial för myndighetsuppgifter
En myndighet ska sträva efter att utnyttja en annan myndighets informationsmaterial, om den första myndigheten har rätt att via ett tekniskt gränssnitt eller en elektronisk förbindelse få den behövliga informationen från den andra myndigheten. Vid utnyttjandet av informationen ska parters och andras rättssäkerhet tillgodoses.
Om en myndighet har rätt att från en annan myndighets informationslager via ett tekniskt gränssnitt eller en elektronisk förbindelse få tillförlitlig och uppdaterad information för skötseln av sina uppgifter, får den inte kräva att parter visar upp eller lämnar in intyg eller utdrag, om det inte är nödvändigt för utredning av ärendet.
15 §
Informationsöverföring mellan myndigheter via tekniska gränssnitt
Myndigheterna kan genomföra regelbundet återkommande och standardiserad elektronisk överföring av information mellan informationssystem via tekniska gränssnitt, om den mottagande myndigheten enligt lag har rätt till informationen. Regelbundet återkommande och standardiserad elektronisk överföring av information kan genomföras på något annat sätt, om det inte är tekniskt eller ekonomiskt ändamålsenligt att genomföra eller använda ett tekniskt gränssnitt. En myndighet kan också i andra situationer öppna ett tekniskt gränssnitt för en myndighet som har rätt till information. Det föreskrivs särskilt om överföring av myndighetshandlingar och information på annat sätt.
Utöver vad som föreskrivs i 3 kap. kan överföring av information mellan informationssystem via tekniska gränssnitt endast genomföras efter att det administrativt har säkerställts att den information som ska överföras behövs i det enskilda fallet eller är nödvändig för att den mottagande myndigheten ska kunna sköta sina uppgifter, ifall överföringen avser personuppgifter eller sekretessbelagd information.
Beskrivningen av strukturen för information som överförs via ett tekniskt gränssnitt ska definieras och uppdateras av den myndighet som lämnar ut informationen. Vid planeringen av informationsöverföring mellan flera myndigheter via tekniska gränssnitt ska beskrivningen av informationsstrukturen definieras och uppdateras under ledning av landskapsregeringen.
16 §
Upprättande av elektronisk förbindelse till en myndighet
En myndighet kan upprätta en elektronisk förbindelse till en annan myndighet till sådan information i ett informationslager som den mottagande myndigheten har rätt att få tillgång till. Utöver vad som föreskrivs i 3 kap. är en förutsättning för upprättande av en elektronisk förbindelse att:
1) förbindelsen begränsas till endast enskild sökning av sådana behövliga eller nödvändiga uppgifter som är förenliga med informationsrätten, samt att
2) informationens användningsändamål utreds i samband med sökningen.
Myndigheten ska upprätta en elektronisk förbindelse så att det informationssystem som möjliggör förbindelsen automatiskt identifierar samt loggar avvikande informationssökningar i enlighet med vad som anges i 12 §.
17 §
Överföring av informationsmaterial via tekniska gränssnitt till andra än myndigheter
En myndighet kan via ett tekniskt gränssnitt överföra information till en aktör som inte är en annan myndighet, om mottagaren uttryckligen enligt lag har rätt att få informationen och behandla den. Ett tekniskt gränssnitt kan under de förutsättningar som anges i 15 § öppnas så som föreskrivs i den paragrafen. Den utlämnande myndigheten ska vid behov säkerställa att mottagaren vid hanteringen av informationen iakttar de skyldigheter som föreskrivs i denna lag.
5 kap.
Ärendehantering
18 §
Registrering av ärenden och myndighetshandlingar
En myndighet ska upprätthålla ett ärenderegister med information om de ärenden som behandlas eller har behandlats hos myndigheten. En myndighet ska utan dröjsmål i ärenderegistret registrera sådana myndighetshandlingar som har kommit in till eller upprättats hos myndigheten. En myndighet behöver inte registrera en myndighetshandling om det är uppenbart att myndighetshandlingen är av ringa betydelse för myndighetens verksamhet.
I ärenderegistret ska för varje ärende framgå åtminstone:
1) ärendenummer eller motsvarande uppgift som identifierar ärendet,
2) när ärendet registrerades,
3) myndighetens åtgärder i ärendet, samt
4) myndighetshandlingar som inkommit och upprättats i ärendet.
I ärenderegistret ska för varje myndighetshandling framgå åtminstone
1) uppgifter som identifierar myndighetshandlingen och det ärende som myndighetshandlingen hör till,
2) när myndighetshandlingen registrerades, samt
3) vem som har upprättat eller kommit in med myndighetshandlingen.
De myndighetshandlingar som registreras i ärenderegistret ska i enlighet med 13 § omvandlas och förvaras samt vara möjliga att ta fram i ett allmänt tillgängligt elektroniskt format. Den elektroniska kopian av en offentlig myndighetshandling ska på begäran kunna lämnas ut i enlighet med 18 § 3 mom. i offentlighetslagen för Åland.
Myndigheten ska ombesörja att offentliga anteckningar i ett ärenderegister eller i en del av det kan användas för att producera information som gör det möjligt att individualisera informationsbegäranden.
6 kap.
Införande och användning av automatiserade beslutsförfaranden
19 §
Dokumentering av uppgiftsfördelning och behandlingsregler
En myndighet ska dokumentera uppgiftsfördelningen mellan de personer som ansvarar för fullgörandet av de skyldigheter som föreskrivs i detta kapitel.
Myndigheten ska säkerställa att behandlingsreglerna för ett automatiserat beslutsförfarande dokumenteras så tydligt och heltäckande att deras lagenlighet kan påvisas. Det ska av behandlingsreglerna särskilt framgå:
1) hur det säkerställs att beslutsförfarandet är icke-diskriminerande,
2) hur ärendet utreds tillräckligt och korrekt, inklusive hörande,
3) hur avgörandet motiveras eller varför det inte behöver motiveras.
I de myndighetshandlingar som utgör dokumentationen ska myndigheten ange datum för godkännandet och den som godkänt myndighetshandlingen, vars uppgift det är att granska att innehållet i myndighetshandlingen är lagenligt. Myndigheten ska bevara de godkända myndighetshandlingarna i minst fem år från ingången av det kalenderår som följer på det år då det automatiserade beslutsförfarandet togs ur bruk.
Myndigheten ska säkerställa att det i minst fem år från det att ett ärende har avgjorts kan påvisas vilka behandlingsregler som tillämpats vid det automatiserade avgörandet av ärendet och i vilka faser av behandlingen av ärendet en fysisk person deltagit.
20 §
Kvalitetssäkring
En myndighet ska innan ett automatiserat beslutsförfarande införs och när förfarandet ändras under användningstiden säkerställa att förfarandet motsvarar den dokumentation som avses i 19 § 2 mom.
Myndigheten ska säkerställa ett gott språkbruk i automatiserat upprättade myndighetshandlingar som ges till en part.
De centrala åtgärderna inom kvalitetssäkringen ska dokumenteras.
Myndigheten ska utse en person som ansvarar för kvalitetssäkringen av det automatiserade beslutsförfarandet.
21 §
Kvalitetskontroll och hantering av felsituationer
En myndighet ska övervaka kvaliteten och innehållets felfrihet i ärenden som avgörs automatiserat och efter införandet hantera de risker som är förknippade med det automatiserade beslutsförfarandet.
Myndigheten ska utan dröjsmål vidta korrigeringsåtgärder, om det i ett automatiserat beslutsförfarande upptäcks ett fel som kan inverka på innehållet i avgörandet. Ett fel som upptäckts, felets konsekvenser och åtgärderna för korrigering av felet ska dokumenteras. Särskilda bestämmelser gäller för korrigering av fel i myndighetens avgöranden.
Myndigheten ska utse en person som ansvarar för kvalitetskontrollen av det automatiserade beslutsförfarandet och för hanteringen av felsituationer.
22 §
Beslut om införande av ett automatiserat beslutsförfarande
Innan ett automatiserat beslutsförfarande införs ska den myndighet som ansvarar för verksamhetsprocessen fatta ett beslut (beslut om införande), vilket åtminstone ska innehålla:
1) de motiveringar där förutsättningarna för införandet och de tillämpade bestämmelserna anges,
2) en förteckning över de myndighetshandlingar som ligger till grund för beslutet om införande,
3) planerat datum för införandet och tidpunkten för beslutet,
4) uppgift om vem som har fattat beslutet,
5) kontaktuppgifter till myndigheten för ytterligare uppgifter om hur det automatiserade beslutsförfarandet används.
Beslut om införande ska dessutom fattas i fråga om sådana ändringar som förutsätter en ny bedömning av förutsättningarna för införandet.
Myndigheten ska bevara beslutet om införande i minst fem år från ingången av det kalenderår som följer på det år då det automatiserade beslutsförfarandet togs ur bruk.
23 §
Informering
En myndighet ska offentliggöra gällande beslut om införande på sin webbplats i det allmänna datanätet.
Myndigheten ska utifrån den dokumentation som avses i 19 § 2 mom. och beslutet om införande informera om automatiserat avgörande av ärenden inom sitt verksamhetsområde, grunderna för att använda det automatiserade beslutsförfarandet och andra uppgifter som är centrala med avseende på var och ens rättigheter. Uppgifterna ska offentliggöras på myndighetens webbplats i det allmänna datanätet.
24 §
Användning av uppgifter i ett automatiserat beslutsförfarande
En myndighet ska på grundval av en riskbedömning se till att det genom lämpliga tekniska åtgärder säkerställs att de uppgifter som används vid automatiserat avgörande är uppdaterade och felfria.
7 kap.
Användningen av kakor på myndigheternas webbplatser
25 §
Registrering på användarens terminalutrustning av information om användning av tjänster samt användning av informationen
Myndigheten får registrera kakor eller annan information om användning av digitala tjänster på användarens terminalutrustning och använda informationsmaterialet, om användaren har gett sitt samtycke till detta och om myndigheten ger användaren begriplig och fullständig information om syftet med registreringen och användningen.
Bestämmelserna i 1 mom. gäller inte sådan registrering eller användning av informationsmaterial vars enda syfte är att förmedla meddelanden via kommunikationsnät eller som är nödvändig för att myndigheten ska kunna tillhandahålla sådana tjänster som användaren av den digitala tjänsten uttryckligen har begärt.
Registrering och användning enligt denna paragraf är tillåten endast i den omfattning som tjänsten kräver och får inte begränsa integritetsskyddet mer än vad som är nödvändigt.
8 kap.
Vidareutnyttjande av information från offentlig förvaltning
26 §
Tillgängliggörande av information för vidareutnyttjande
Information som avses i 3 § 2 mom. kan tillgängliggöras för vidareutnyttjande på myndighetens eget initiativ, enligt skyldighet i någon annan lag eller efter en begäran om vidareutnyttjande enligt 28 §.
27 §
Format
Då en myndighet tillgängliggör information för vidareutnyttjande ska informationen göras tillgänglig i befintliga format och språkversioner. Om det är möjligt och lämpligt ur verksamhetssynpunkt ska informationen inklusive beskrivningsuppgifter tillgängliggöras elektroniskt i ett allmänt maskinläsbart format. Närmare bestämmelser om formatkrav för data som uppdateras ofta och värdefulla datamängder finns i 29 och 30 §§.
28 §
Begäran om vidareutnyttjande av information
En begäran om vidareutnyttjande av information lämnas in till den myndighet som innehar informationen. På förfarandet gällande begäran om vidareutnyttjande av information tillämpas 4 kap. 16, 17 och 19 §§ samt 6 kap. 26 § i offentlighetslagen för Åland beträffande innehållet i, behandlingen av, beslut om och ändringssökande gällande begäran om vidareutnyttjande av information.
29 §
Data som uppdateras ofta
Data som uppdateras ofta ska på begäran finnas tillgänglig för vidareutnyttjande med hjälp av tekniska gränssnitt genast efter att de har samlats in, och om det är ändamålsenligt, för bulknedladdning, om det är fråga om information som:
1) uppdateras ofta eller i realtid, och
2) innehållet ändras eller föråldras snabbt.
Om det skulle kräva en oproportionerlig arbetsinsats att iaktta 1 mom. ska data som uppdateras ofta göras tillgänglig för vidareutnyttjande inom en sådan tidsfrist eller med de tillfälliga tekniska begränsningar som är nödvändiga och som inte i onödan försvårar vidareutnyttjandet av dem.
30 §
Värdefulla datamängder
Värdefulla datamängder ska på begäran finnas tillgängliga för vidareutnyttjande. Informationen ska finnas tillgänglig i maskinläsbar form med hjälp av tekniska gränssnitt och, om det är ändamålsenligt, för bulknedladdning.
Landskapsregeringen kan inom lagtingets lagstiftningsbehörighet i landskapsförordning närmare föreskriva om den förteckning över värdefulla datamängder och tillgången till dessa datamängder i enlighet med vad som föreskrivs om detta i de genomförandeakter som kommissionen meddelar med stöd av artikel 14.1 i öppna datadirektivet, om inte annat föreskrivs i annan lag.
31 §
Avgifter
Avgift för offentligrättsliga prestationer som tillämpningen av detta kapitel föranleder fastställs i enlighet med annan lagstiftning. Avgiften får dock inte beräknas till en högre nivå än vad som följer av 2 eller 3 mom.
En avgift får omfatta kostnader för att reproducera, tillhandahålla och sprida information enligt detta kapitel samt för att behandla information så företagshemligheter skyddas eller så att den inte innehåller personuppgifter som avses i artikel 4.1 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter om det fria flödet av sådana uppgifter och om upphävande av direktiv (EG) 95/46 (allmän dataskyddsförordning).
En avgift som tas ut av bibliotek, museum eller arkiv får, utöver vad som anges i 2 mom., omfatta kostnader för att samla in, framställa och lagra information samt för att få en rimlig avkastning på investeringar.
32 §
Avgiftsfrihet
Värdefulla datamängder ska tillhandahållas avgiftsfritt. Bibliotek, museum eller arkiv som tillhandahåller värdefulla datamängder får dock ta ut avgift i enlighet med 31 §.
Forskningsdata som omfattas av detta kapitel ska tillhandahållas avgiftsfritt.
9 kap.
Särskilda bestämmelser
33 §
Ikraftträdande
Denna lag träder i kraft den 1 januari 2025.
Genom denna lag upphävs landskapslagen (2021:165) om vidareutnyttjande av information från landskaps- och kommunalförvaltningen.
34 §
Övergångsbestämmelser
En myndighet ska försätta sin verksamhet i överensstämmelse med 8 § inom 24 månader efter det att lagen har trätt i kraft.
Bestämmelserna i 13 § 1 mom. jämte 18 § 3 mom. ska 24 månader efter det att lagen har trätt i kraft tillämpas på sådana nya myndighetshandlingar som inkommer till en myndighet och som myndigheten upprättar. Informationsmaterial som har uppkommit innan lagen har trätt i kraft ska förvaras så som de har uppkommit före övergångstidens utgång. Myndighetshandlingars tillgänglighet enligt 18 § 3 mom. ska genomföras inom 24 månader efter det att lagen har trätt i kraft. Bestämmelserna i 14 § ska börja tillämpas 24 månader efter det att lagen har trätt i kraft.
Landskapsregeringen ska inom 24 månader efter det att lagen har trätt i kraft utreda vilka informationssystem som förutsätts för definition och upprätthållande av de gränssnitt som avses i 15 § 3 mom.
Bestämmelserna i 12 och 15–17 §§ ska tillämpas på informationssystem som anskaffas efter det att lagen har trätt i kraft. På informationssystem som anskaffats innan lagen har trätt i kraft ska tillämpas de krav på elektroniskt utlämnande av information som föreskrivs i 15–17 §§ vid uppdatering av informationssystemens tekniska gränssnitt och elektroniska förbindelser, dock senast 48 månader efter det att lagen trätt i kraft, och de krav på insamling av logginformation som förutsätts i 12 § ska tillämpas 24 månader efter det att lagen har trätt i kraft.
Myndigheternas ärendehantering ska i enlighet med de krav som föreskrivs i 18 § ordnas inom 24 månader efter det att lagen har trätt i kraft.
2.
L A N D S K A P S L A G
om ändring av offentlighetslagen för Åland
I enlighet med lagtingets beslut ändras 8 § och 23 § 4 mom. offentlighetslagen (2021:79) för Åland som följer:
8 §
Anteckning om sekretessbeläggning
En myndighet bör vid registrering eller när det därefter annars påkallas anteckna ”SEKRETESSBELAGD” på en myndighetshandling vilken är sekretessbelagd, i samtliga dess format. Av anteckningen ska följande framgå:
1) till vilka delar myndighetshandlingen och dess uppgifter är sekretessbelagda,
2) tillämpliga sekretessbestämmelser,
3) anteckningens datum, samt
4) antecknande myndighet och tjänsteman.
När grund för sekretessbeläggning inte längre föreligger bör myndigheten genom en särskild anteckning avlägsna en anteckning om sekretessbeläggning. Av anteckningen ska anledningen till avlägsnandet, till vilka delar anteckningen avlägsnas, anteckningens datum samt antecknande myndighet och tjänsteman framgå.
Senast när en myndighetshandling lämnas ut eller ett ärende avslutas ska en anteckning om sekretessbeläggnings riktighet kontrolleras.
23 §
Utlämnande av sekretessbelagda uppgifter
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
En sekretessbelagd myndighetshandling som lämnas ut ska innehålla en anteckning om sekretessbeläggning enligt 8 §. Vid utlämnandet ska myndigheten informera om förbudet mot att röja både sådana sekretessbelagda uppgifter som ingår i myndighetshandlingar och sådana som lämnas ut muntligen.
Denna lag träder i kraft den 1 januari 2025.
Bestämmelsen i 8 § ska tillämpas inom 24 månader efter det att lagen har trätt i kraft.
3.
L A N D S K A P S L A G
om ändring av förvaltningslagen för landskapet Åland
I enlighet med lagtingets beslut
ändras 58 och 58a §§ förvaltningslagen (2008:9) för landskapet Åland, sådana de lyder i landskapslagen 2017/85, samt
fogas till lagen ett nytt 8a kap., nya 48a–c, 58b och 58c §§ som följer:
8a kap.
Automatiserat avgörande av ärenden
48a §
Förutsättningar för att avgöra ärenden automatiserat
I detta kapitel föreskrivs om de förutsättningar som utöver vad som föreskrivs någon annanstans i lag ska vara uppfyllda för att en myndighet genom automatisk databehandling ska kunna träffa ett avgörande som avslutar behandlingen av ett ärende utan att avgörandet granskas och godkänns av en fysisk person.
En myndighet kan avgöra ett ärende automatiserat, när det i ärendet inte ingår omständigheter som förutsätter prövning från fall till fall eller när de i ärendet ingående omständigheter som förutsätter prövning från fall till fall har bedömts av en tjänsteman eller någon annan som handlägger ärendet. Avgöranden ska grundas på behandlingsregler som har utarbetats med stöd av tillämplig lag och förhandsprövning och som avses i 2 § 17 punkten i informationshanteringslagen ( : ) för Åland.
Bestämmelser om förutsättningarna för att införa ett automatiserat avgörande och det förfarande som ska iakttas vid införandet finns i informationshanteringslagen för Åland.
En begäran om rättelse eller ett jämförbart rättsmedel får inte avgöras automatiserat.
48b §
Rättsskyddsförutsättning vid automatiserade avgöranden
En förutsättning för automatiserade avgöranden är att den fysiska person som avgörandet avser avgiftsfritt till alla delar får begära om rättelse av avgörandet eller ett jämförbart rättsmedel som behandlas hos den myndighet som har fattat beslutet eller hos en myndighet som hör till samma personuppgiftsansvarige som den beslutande myndigheten.
Vad som föreskrivs i 1 mom. tillämpas dock inte, om en parts yrkande, som inte rör någon annan part, har godkänts genom ett automatiserat avgörande.
48c §
Meddelande om automatiserat avgörande
Utöver vad som föreskrivs i 39 § 1 mom. ska av ett förvaltningsbeslut framgå om ärendet har avgjorts automatiserat samt var det beslut om införande som avses i 22 § i informationshanteringslagen för Åland finns att tillgå.
Om det inte meddelas något förvaltningsbeslut i ärendet med stöd av någon annan lag, ska de uppgifter som avses i 1 mom. och information om vilka uppgifter som ligger till grund för det automatiserade avgörandet dock meddelas parten på något annat sätt senast när behandlingen av ärendet avslutas.
Kravet enligt 39 § 1 mom. 4 punkten på att namnet på den person som ger ytterligare uppgifter ska anges tillämpas inte i ärenden som avgörs automatiserat.
58 §
Elektronisk delgivning
Delgivning av samtliga handlingar till parter, vilka genom ett elektroniskt webbformulär eller elektronisk post antingen har inlett sitt ärende hos myndigheten elektroniskt, i annat skede i ärendet har kontaktat myndigheten genom elektronisk post eller vid annan kontakt med myndigheten i ärendet har uppgivit en elektronisk postadress, ska ske genom elektronisk delgivning.
Elektroniska meddelanden till parter ska skickas till den elektroniska postadress som parten själv har uppgivit vid kommunikation med myndigheten i ärendet och, för det fall att någon sådan inte har uppgivits, till den elektroniska postadress som parten nyttjade vid sin senaste kontakt med myndigheten i ärendet.
En part har en ovillkorlig rätt att när som helst meddela att denna framgent, vid särskilt tillfälle eller under särskild tidsperiod, inte önskar att delges handlingar ifrån myndigheten elektroniskt, även om förutsättningarna enligt 1 mom. har uppfyllts.
58a §
Elektronisk delgivning till myndigheter
Delgivning av samtliga handlingar till myndigheter ska ske genom elektronisk delgivning, i den mån detta kan ske informationssäkert.
58b §
Bevislig elektronisk delgivning
En handling som enligt lag ska sändas med post mot mottagningsbevis eller delges bevisligen på något annat sätt får, utöver situationer enligt 58 §, med partens samtycke delges också som ett elektroniskt meddelande, dock inte per telefax eller på därmed jämförbart sätt. Myndigheten ska då meddela att parten eller dennes företrädare kan hämta handlingen från en av myndigheten anvisad server, databas eller någon annan fil.
58c §
Vanlig elektronisk delgivning
Andra handlingar än de som avses i 58b § får, utöver situationer enligt 58 §, med samtycke av den som saken gäller delges som ett elektroniskt meddelande. Om det emellertid krävs för att tillgodose skyddet för den personliga integriteten eller av ett särskilt behov av skydd eller säkerhet hos den som saken gäller, eller för att trygga dennes rättigheter, ska vid delgivning av handlingar iakttas vad som i 58b § eller annars föreskrivs om delgivning.
Denna lag träder i kraft den 1 januari 2025.
4.
L A N D S K A P S L A G
om ändring av landskapslagen om tillgängliga digitala tjänster
I enlighet med lagtingets beslut
ändras 2 § 3 punkten och rubriken till 2 kap. landskapslagen (2019:7) om digitala tjänster samt
fogas till lagens 2 § nya 10–13 punkter, ett nytt 1a kap. och nya 3a–c §§ som följer:
2 §
Definitioner
I denna lag avses med
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
3) myndighet de myndigheter som avses i 4 § i offentlighetslagen (2021:79) för Åland, inkluderande Ålands polismyndighet,
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
10) digital tjänst en webbplats eller mobilapplikation samt funktioner i anslutning till dem,
11) identifieringstjänst en tjänst för identifiering av användare av digitala tjänster genom identifieringsverktyg,
12) identifieringsverktyg ett sådant medel för elektronisk identifiering som avses i artikel 3.2 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (förordningen om elektronisk identifiering), och
13) stark autentisering identifiering av en person, av en juridisk person eller av en fysisk person som företräder en juridisk person och verifiering av identifikatorns autenticitet och riktighet genom tillämpning av en elektronisk metod som motsvarar tillitsnivån väsentlig enligt artikel 8.2 a eller tillitsnivån hög enligt artikel 8.2 c i förordningen om elektronisk identifiering.
1a kap.
Allmänna digitala tjänster
3a §
Planering och underhåll av digitala tjänster
Myndigheterna ska planera och underhålla sina digitala tjänster på ett sådant sätt att tjänsternas informationssäkerhet och dataskydd säkerställs och så att det säkerställs att tjänsterna är lätta att hitta och använda. Dessutom ska myndigheterna se till att deras digitala tjänster är interoperabla med den programvara och de kommunikationsförbindelser som används allmänt.
Myndigheterna ska se till att de digitala tjänster som de ansvarar för och de andra elektroniska dataöverföringsmetoder som de använder också finns tillgängliga vid andra tider än under myndigheternas servicepunkters öppettider. Avbrott i de digitala tjänsterna och i andra elektroniska dataöverföringsmetoder ska förläggas till tidpunkter då de används i ringa omfattning. Allmänheten ska på lämpligt sätt informeras om avbrotten i förväg. Myndigheterna ska vid avbrott offentliggöra anvisningar om hur var och en kan få sina ärenden skötta på ett alternativt sätt.
Myndigheterna ska säkerställa att deras digitala tjänster är tillräckligt interoperabla med den offentliga förvaltningens gemensamma informations- och kommunikationstekniska tjänster och med andra myndigheters digitala tjänster.
3b §
Tillhandahållande av digitala tjänster
Myndigheterna ska ge alla en möjlighet att med hjälp av digitala tjänster eller andra elektroniska dataöverföringsmetoder sända elektroniska meddelanden och handlingar som hänför sig till deras behov att uträtta ärenden. Myndigheterna ska ge alla en möjlighet att i sina ärenden för mottagande av elektroniska meddelanden och handlingar från en myndighet använda en meddelandeförmedlingstjänst eller någon annan tillräckligt informationssäker elektronisk dataöverföringsmetod, om myndigheten kan sända meddelandet eller handlingen i elektronisk form.
Myndigheterna ska i sina digitala tjänster ge tydlig information om hur var och en elektroniskt kan sköta sina ärenden hos myndigheterna. Myndigheterna ska i sina digitala tjänster offentliggöra kontaktuppgifter av vilka det framgår var allmänheten har möjlighet att få råd i användningen av en myndighets digitala tjänster.
En myndighet kan temporärt begränsa användningen av en digital tjänst till vissa användargrupper eller till ett visst område, om det är nödvändigt för att utveckla eller kontrollera tjänsten.
3c §
Elektronisk identifiering av tjänsteanvändare
Myndigheterna kan kräva elektronisk identifiering av en användare av digitala tjänster om det behövs för att säkerställa användarens åtkomsträttigheter i anslutning till en tjänst eller dess innehåll eller på grund av rättsverkningarna av en åtgärd som utförs i tjänsten.
Om det är möjligt att ta del av och hantera sekretessbelagda uppgifter i en digital tjänst ska användaren identifieras med hjälp av en identifieringstjänst med stark autentisering, eller av vägande och motiverande skäl med hjälp av någon annan motsvarande informationssäker identifieringstjänst.
2 kap.
Digitala tjänsters tillgänglighet
Denna lag träder i kraft den 1 januari 2025.
En myndighet ska försätta sin verksamhet i överensstämmelse med 3a och 3b §§ inom 24 månader efter det att lagen har trätt i kraft.
|
Mariehamn den 27 augusti 2024 | |
|
L a n t r å d |
Katrin Sjögren |
|
Föredragande minister |
Ingrid Zetterman |
Parallelltexter
· Parallelltexter till landskapsregeringens lagförslag nr 22/2023-2024