Kuvaus
Tiedonhallintapolitiikan tausta
Mikkelin kaupunginvaltuusto hyväksyi päätöksellään 9.11.2020 § 89 kaupungin hallintosäännön 7 lukuun muutokset, joiden perusteella kaupunginhallitukselle, asiakirjahallintoa ja arkistotointa johtavalle viranhaltijalle sekä lautakunnille ja liikelaitosten johtokunnille asetettiin uusia tiedonhallintaan liittyviä vastuita ja velvoitteita. Muutokset tehtiin hallintosääntöön 1.1.2020 voimaan tulleen julkisen hallinnon tiedonhallinnasta annetun lain (906/2019) vuoksi, jonka toimeenpano kaupungissa edellytti lain 4 §:ssä tarkoitetun tiedonhallintayksikön johdon määrittämistä. Mikkelin kaupunki on kyseisessä laissa tarkoitettu tiedonhallintayksikkö, jonka johtona toimii hallintosääntömuutoksen johdosta kaupunginhallitus.
Tiedonhallintalain mukaisesti tiedonhallintayksikön johdon tulee huolehtia, että lain 4.2 §:n mukaiset vastuut on määritelty tiedonhallintayksikössä. Tämän lisäksi kaupungin hallintosäännön 69 §:n mukaisesti kaupunginhallituksen tulee määrittää siinä mainitut tiedonhallintaan sekä asiakirjahallintoon ja arkistotoimeen liittyvät toimintamallit ja vastuut. Hallintosäännön mukaisesti kaupunginhallitus vastaa myös hyvän tiedonhallintatavan ja hyvän henkilötietojen käsittelyn toteuttamisesta sekä tiedonhallintapolitiikasta. Kaupunginvaltuuston päätöksen 9.11.2020 § 89 perusteluissa esitettiin, että kaupunginhallitus määrittelisi tiedonhallintapolitiikan, joka korvaisi aiemman tietoturva- ja tietosuojapolitiikan ja johon yhdistettäisiin myös määräykset ja ohjeet asianhallinnasta, tietoaineistojen säilyttämisestä sekä arkistoinnista. Tiedonhallintapolitiikassa kaupunginhallitus voisi määritellä tiedonhallintalain ja kaupungin hallintosäännön edellyttämät toimintamallit ja vastuut.
Asiakirjahallinnon ja arkistotoimen toimintaohjeet ja vastuut määriteltiin viimeksi, hallintosäännössä ja konserni- ja elinvoimapalveluiden toimintasäännössä mainittuja vastuita lukuun ottamatta, kaupunginhallituksen päätöksellä 24.5.2004 § 290, jolloin kaupunginhallitus hyväksyi Mikkelin kaupungin arkistotoimen toimintaohjeen, joka tuli voimaan 1.7.2004. Arkistotoimen toimintaohje on muuttuneeseen toimintaympäristöön nähden vanhentunut, ja sitä on tarpeellista ajantasaistaa ja uudistaa.
Mikkelin kaupungin tietosuojaan ja tietoturvaan liittyvät periaatteet, toimintamallit ja vastuut määriteltiin viimeksi kaupunginhallituksen päätöksellä 15.10.2018 § 372, jolloin kaupunginhallitus hyväksyi Mikkelin kaupungin tietoturva- ja tietosuojapolitiikan. Tietoturva- ja tietosuojapolitiikka oli päivitetty versio kaupunginhallituksen päätöksellä 15.12.2014 § 463 hyväksytystä tietoturvapolitiikasta. Uuteen politiikkaan lisättiin tietosuojaa koskevat periaatteet, toimintamallit ja vastuut Euroopan unionin yleisen tietosuoja-asetuksen (2016/679) voimaan tulon vuoksi. Peruskaupungin lisäksi voimassa olevaa tietoturva- ja tietosuojapolitiikkaa sovelletaan konserniyhteisöissä samalla tavoin, kuin aiempaa tietoturvapolitiikkaa. Kaupunginhallitus oli päättänyt 4.12.2017 § 203 tietosuoja-asetuksen mukaisten velvoitteiden täyttämiseksi ja valvomiseksi perustaa kaupunkikonsernin tietoturva- ja tietosuojatyöryhmän. Tietoturva- ja tietosuojatyöryhmän puheenjohtajana toimii kaupungin tietosuojavastaava, jonka kaupunginhallitus nimesi päätöksellään 26.3.2018 § 135.
Arkistotoimen toimintaohjeen ja tietoturva- ja tietosuojapolitiikan lisäksi tiedonhallintaan liittyvistä asioista on annettu erillisiä ohjeita myös sisäisen valvonnan ja riskienhallinnan ohjeessa sekä konserniohjeessa.
Mikkelin kaupungin sisäisen valvonnan ja riskienhallinnan ohje, jonka uusimman version kaupunginhallitus hyväksyi päätöksellään 21.6.2021 § 276, sisältää oman lukunsa tietohallintoon, tietoturvaan ja tietosuojaan liittyvästä riskienhallinnasta. Siitä huolimatta, että tiedonhallintapolitiikassa määrättäisiin myös tietoturvaan ja tietosuojaan liittyvästä riskienhallinnasta, ei sisäisen valvonnan ja riskienhallinnan ohjeeseen ehdotettaisi tässä yhteydessä muutoksia, koska on tarkoituksenmukaista, että kyseinen ohje sisältää myös ohjeistuksen tietoturvan ja tietosuojan riskienhallinnasta, jotka kuuluvat osaksi laajempaa riskienhallintaa.
Mikkelin kaupungin konserniohje, jonka uusimman version kaupunginvaltuusto hyväksyi päätöksellään 7.6.2021 § 82, sisältää oman alaluvun arkistoinnista ja asiakirjojen säilyttämisestä tytär- ja osakkuusyhteisöissä. Konserniohjeen kyseisen alaluvun mukaan yhteisön olisi tehtävä päätös siitä, mihin sen pysyvästi säilytettävät asiakirjat sijoitetaan sen jälkeen, kun yhtiö ei toiminnassaan enää niitä tarvitse, jonka lisäksi sen olisi noudatettava kaupungin antamia ohjeita, jos sijoituspaikkana olisi kaupunginarkisto. Tämä konserniohjeen kohta on perustunut Kuntaliiton vanhaan suositukseen siitä, että konserniyhteisöjen arkistot sijoitettaisiin kunnanarkistoon ja se kaipaisi päivitystä. Konserniohjeen päivittäminen kuuluu kuitenkin kaupunginvaltuuston toimivaltaan, jonka lisäksi julkisuus- ja arkistolainsäädäntöön on oletettavasti tulossa tulevina vuosina muutoksia, jotka on syytä odottaa ennen ohjeen päivittämistä.
Tiedonhallintapolitiikan tarkoitus, soveltamisala ja tiedonhallinnan vastuiden määrittäminen
Tiedonhallintapolitiikka tulisi korvaamaan aiemman tietoturva- ja tietosuojapolitiikan sekä arkistotoimen toimintaohjeen. Koska kaupunkikonsernin ohjeistus on pyritty tiivistämään konserniohjeeseen, ehdotettaisiin että tiedonhallintapolitiikka ei sisältäisi määräyksiä tai ohjeita, jotka koskisivat konserniyhteisöjä, lukuun ottamatta politiikassa erikseen määriteltyjä tilanteita. Tältä osin tiedonhallintapolitiikan soveltamisala olisi suppeampi, kuin sitä edeltäneen tietoturva- ja tietosuojapolitiikan. Kaupunkikonsernin tietoturva- ja tietosuojatyöryhmän työskentelyyn tällä muutoksella ei olisi vaikutusta, koska kaupunginhallitus on päättänyt sen toiminnasta aikoinaan erillisellä päätöksellä.
Tiedonhallintapolitiikka jakaantuisi yhdeksään päälukuun. Pääluvuissa käsiteltäisiin tiedonhallintapolitiikkaa yleisesti, tiedonhallinnan periaatteita, tavoitteita ja riskienhallintaa, tiedonhallinnan vastuita, tiedonhallinnan kuvauksia sekä siitä tiedottamista ja toimintaa häiriötilanteissa. Tämän lisäksi se sisältäisi erilliset ohjeluvut asiakirjahallinnosta ja arkistotoimesta sekä tietosuojasta ja tietoturvasta. Viimeiset luvut olisivat luonteeltaan informatiivisia ja niissä kerrottaisiin tiedonhallinnan määritelmiä ja käsitteitä sekä tietoa kansallisista toimijoista ja keskeisistä säädöksistä. Viimeisessä luvussa esitettäisiin tiedonhallintapolitiikan versiohistoria ja voimaantulotiedot.
Ensimmäisessä pääluvussa käsiteltäisiin politiikan tarkoitusta ja soveltamisalaa. Luvussa määriteltäisiin, että politiikka on kaupunginhallituksen, tiedonhallintayksin johdon tiedonhallintaa koskeva strateginen kannanotto, ja se sisältäisi määräyksiä ja ohjeita tiedonhallinnan järjestämisestä, suunnittelusta, ylläpidosta ja kehittämisestä sekä vastuiden määrittämisestä. Ensimmäisen pääluvun kaksi viimeistä alalukua sisältäisivät tietoja siitä, mitkä kaupungin toimintaympäristöön liittyvät tekijät ja säädökset vaikuttavat erityisesti kaupungin tiedonhallintaan ja sen toteuttamiseen.
Toisessa pääluvussa käsiteltäisiin tiedonhallinnan periaatteita, tavoitteita ja riskienhallinnan kehittämistä. Kaupungin tiedonhallinnan periaatteena olisi, että sillä edistetään ja mahdollistetaan tiedon hyödyntämistä päätöksenteossa, julkisuusperiaatteen ja avoimuuden toteutumista viranomaistoiminnassa, toiminnan ja palveluiden laadukkuutta, tehokkuutta ja tuloksellisuutta, tietoaineistojen käsittelyn sekä tieto- ja viestintäteknisten palveluiden turvallisuutta, henkilötietojen suojaa sekä kulttuuriperinnöllisesti ja tutkimusarvoltaan arvokkaiden tietoaineistojen säilymistä. Tiedonhallintaan liittyvän työn tavoitteena olisi puolestaan suunnitella, ylläpitää ja kehittää Mikkelin kaupungin omistaman tiedon käsittelyä mukaan lukien tiedon muodostamista, keräämistä, hyödyntämistä, julkaisemista, suojaamista, turvaamista, säilyttämistä ja arkistointia sekä parantaa toiminnan jatkuvuutta, laatua, luotettavuutta, tieto- ja viestintäteknisten palveluiden riskienhallintaa, tuloksellisuutta ja edistää tiedonhallinnan saattamista kiinteäksi osaksi kaupungin johtamista. Näiden perustavoitteiden lisäksi politiikassa ehdotettaisiin myös muita tavoitteita ja tarkemmat tietosuoja- ja tietoturvatyön tavoitteet omana taulukkonaan. Tiedonhallinnan riskienhallinnan kehittämistä koskevaan alalukuun lisättäisiin tietoturva- ja tietosuojapolitiikan vastaavaan osioon nähden se, että riskienhallinnassa olisi otettava tietosuojan ja tietoturvan lisäksi huomioon myös asiakirjahallinnon ja arkistotoimen vaatimukset.
Kolmas pääluku käsittelisi tiedonhallinnan vastuita, jotka koskevat kaupunginhallitusta, toimielimiä, esimiehiä ja henkilöstöä. Kolmas pääluku, kuten ensimmäinen ja toinen pääluku olisi muotoiltu aiemman tietoturva- ja tietosuojapolitiikan pohjalta, mutta tiedonhallintapolitiikkaan olisi lisätty asiakirjahallintoa ja arkistotointa koskevia vastuita sekä tiedonhallintalain velvoittamia vastuita.
Kaupunginhallitukselle tai toimielimille ei varsinaisesti tulisi uusia vastuita, vaan politiikassa koottaisiin yhteen mitä vastuita lainsäädäntö ja kaupungin hallintosääntö asettavat niille tiedonhallinnan osalta. Kaupunginjohtajan roolia tosin täsmennettäisiin siltä osin, että tämä vastaisi omalta osaltaan kaupunginhallituksen tiedonhallintaa koskevien päätösten ja linjausten toimeenpanosta kaupungissa, koska kuntalain (410/2015) 38 §:n ja kaupungin hallintosäännön 2 §:n mukaisesti kaupunginjohtaja johtaa kaupunginhallituksen alaisena hallintoa, taloutta ja toimintaa. Lisäksi ehdotettaisiin, että lautakuntien ja liikelaitosten johtokuntien alaisten organisaatioyksiköiden tiedonhallinnan ja asiakirjahallinnon vastuuhenkilöt määräytyisivät suoraan tiedonhallintapolitiikkaan mukaisesti, jos nämä eivät toisin hallintosäännön 71 §:n perusteella päättäisi.
Tiedonhallinnan asiantuntija- ja järjestämisvastuut, jotka kaupunginhallituksen tulee tiedonhallintalain 4.2 §:n ja kaupungin hallintosäännön 69 §:n mukaisesti määritellä tiedonhallintayksikössä, määriteltäisiin politiikassa ehdotetulla tavalla. Tiedonhallinnan järjestäminen kaupungissa edellyttää tiedonhallinnan asiantuntemuksen lisäksi toimivaltaa tehdä hankintoja, päättää määrärahojen käytöstä ja tehdä henkilöstöä koskevia päätöksiä, koska tiedonhallinnan toteuttaminen on riippuvaista siitä, millaisia tietojärjestelmiä kaupungille hankintaan, millaisia päivityksiä niihin tehdään ja miten tiedonhallintaan liittyvään työhön on resursoitu henkilöstöä. Kaupungissa tiedonhallinnan asiantuntijatehtävissä toimivilla henkilöillä ei ole toimivaltaa tehdä taloutta tai henkilöstöä koskevia päätöksiä, joten näille ei voi asettaa tiedonhallinnan järjestämisvastuuta tässä mielessä.
Asiantuntijavastuut tiedonhallinnassa määriteltäisiin asiakirjahallintoa ja arkistotointa johtavalle viranhaltijalle, asianhallinnan asiantuntijatehtävissä työskenteleville henkilöille, tietohallinnolle ja tietosuojavastaavalle sekä tietyiltä osin tietojärjestelmien pääkäyttäjille, tiedonhallintayhteyshenkilöille ja arkistovastaaville tiedonhallintapolitiikassa ehdotetulla tavalla. Järjestämisvastuut tiedonhallinnassa määriteltäisiin toimielimille ja esimiesviranhaltijoille tiedonhallintapolitiikassa ehdotetulla tavalla sen mukaisesti, millaista toimivaltaa näillä on tehdä päätöksiä taloudesta, lähinnä hankinnoista, ja henkilöstöstä. Tämä toimintamalli perustuu kaupungin olemassa olevaan toimintaympäristöön.
Palvelualuejohtajilla ja tulosaluejohtajilla olisi aiempien tietosuojaan ja tietoturvaan liittyvien vastuiden lisäksi vastuu tiedonhallinnasta laajemmin omilla palvelu- ja tulosalueillaan.
Organisaatioyksiköiden käytännön tiedonhallintatyöstä huolehtiminen ehdotettaisiin toteutettavan niin, että tulosalueiden johtavien viranhaltijoiden tulisi nimetä tarpeellinen määrä tiedonhallintayhteyshenkilöitä omilta tulosalueiltaan. Samoin, jos tulosalueilla on lähiarkistoja, joissa säilytetään analogisessa muodossa olevia asiakirjoja, tulisi tulosalueiden johtavien viranhaltijoiden nimetä tarpeellinen määrä arkistovastaavia niistä huolehtimaan. Tiedonhallintayhteyshenkilöt, arkistovastaavat ja tietojärjestelmien pääkäyttäjät voisivat olla samoja henkilöitä, mikäli tämä olisi tarkoituksenmukaista toiminnan kannalta ja useassa tilanteessa näin voi ollakin. Tulosalueiden johtavien viranhaltijoiden vastuulla olisi varmistaa, että tiedonhallintayhteyshenkilöillä olisi riittävät aineelliset ja ajalliset resurssit tiedonhallinnan tehtävien hoitamiseen. Tiedonhallintayhteyshenkilöiden ja arkistovastaavien vastuulla olisi tuntea toimialansa erityispiirteet ja lainsäädäntö, seurata niiden kehittymistä ja kommunikoida niistä asiakirjahallintoa ja arkistotointa johtavalle viranhaltijalle, tietohallinnolle ja tietosuojavastaavalle. Yhteyshenkilöiden ja arkistovastaavien tehtävänä olisi myös valvoa omalta osaltaan tiedonhallinnan toimintatapojen ja ohjeiden noudattamista sekä raportoida mahdollisista kehittämistarpeista. Arkistovastaavien tehtäviin kuuluisi lisäksi näiden organisaatioyksiköiden lähiarkistoista huolehtimisesta.
Tiedonhallinnan koordinoimiseksi yli palvelualuerajojen ehdotettaisiin kaupunkiin perustettavaksi tiedonhallintatyöryhmä, jonka tehtävänä olisi ohjata ja kehittää tiedonhallintaa yleisellä tasolla. Tiedonhallintatyöryhmään kuuluisi asiakirjahallintoa ja arkistotointa johtava viranhaltija, tietohallintopäällikkö, it-arkkitehdit ja tietosuojavastaava.
Tietojärjestelmien omistajien ja pääkäyttäjien vastuut olisivat lähestulkoon samat kuin aiemmassa tietoturva- ja tietosuojapolitiikassa, lukuun ottamatta muutamia muutoksia. Lähtökohtaisena ehdotuksena olisi, että tietojärjestelmien omistajina toimisivat tulosalueiden tai tulosyksiköiden esimiehet riippuen siitä, mikä organisaatioyksikkö on tehnyt päätöksen tietojärjestelmän hankinnasta tai minkä organisaatioyksikön toimialaan tietojärjestelmä kuuluu. Tietojärjestelmän pääkäyttäjän vastuisiin lisättäisiin, että tietojärjestelmän omistajan valtuuttamana tämän tulisi huolehtia siitä, että tietojärjestelmälle laaditaan käyttöohjeita, tietosuoja- ja tietoturvaohjeet ja että tietojärjestelmän käytöstä pidetään tarvittaessa koulutuksia. Tietojärjestelmän omistajan olisi kuitenkin varattava pääkäyttäjälle tarvittava työaika näiden tehtävien hoitamiseen.
Esimiesten vastuut olisivat pitkälti samat, kuin aiemmassa tietoturva- ja tietosuojapolitiikassa, mutta nyt epäkohtien ja kehitystarpeiden raportointivelvollisuus koskisi tietosuojan ja tietoturvan lisäksi asiakirjahallintoa ja arkistotointa ja samalla vastuut liittyisivät yleisestikin laajemmin tiedonhallintaan. Lisäksi ehdotettaisiin, että tiedonhallinnan koulutusten turvaamiseksi esimiesten tulisi lähtökohtaisesti kartoittaa yksikkönsä tiedonhallinnan koulutustarpeet koulutus- ja henkilöstösuunnitelmaan. Koulutustarpeet tulisi esittää joko henkilöstöpalveluille tai sille asiantuntijayksikölle, jolta koulutusta tarvitaan, koulutusten järjestämiseksi.
Viranhaltijoiden ja työntekijöiden yleiset vastuut olisivat nämäkin pääasiassa samanlaiset, kuin aiemmassa tietoturva- ja tietosuojapolitiikassa, mutta koskisivat laajemmin tiedonhallintaa. Tiedonhallintapolitiikassa kuitenkin täsmennettäisiin, että viranhaltijat ja työntekijät ovat vastuussa näillä käsittelyssä ja hallussa olevista asiakirjoista ja asiakirjallisista tiedoista sekä niiden käytettävyyden ja säilymisen varmistamisesta. Jokaisella viranhaltijalla ja työntekijällä olisi vastuu asiakirjojen ja niitä vastaavien tietojen ohjeiden mukaisesta käsittelystä ja säilyttämisestä sekä talteenotosta tietojärjestelmiin tai sijoittamisesta arkistotiloihin. Tämä vaatimus on ollut eri muodossa kirjattuna aiemmassa arkistotoimen toimintaohjeessa. Epäkohtien ja kehitystarpeiden raportointivelvollisuus koskisi tietosuojan ja tietoturvan lisäksi asiakirjahallintoa ja arkistotointa.
Tiedonhallintapolitiikassa lisättäisiin tietoturva- ja tietosuojapolitiikan vastaavaan hankintoja koskevaan osioon nähden määräys ja ohje siitä, että silloin, kun hankittavaan tieto- ja viestintätekniseen palveluun sovelletaan tiedonhallintalakia, on kaupungin huolehdittava sopimuksin siitä, että palveluntuottajat järjestävät palvelun tietoturvallisuuden ja tietoaineistojen turvallisuuden tiedonhallintalain edellyttämällä tavalla. Sopimuksin olisi lisäksi huolehdittava siitä, että palvelut täyttävät myös muut tiedonhallintalain ja muiden viranomaisten tiedonhallintaa koskevien säädösten edellyttämät vaatimukset. Tämän lisäksi tarjouspyynnöissä ja sopimuksissa olisi huomioitava asiakirjahallintoon ja arkistotoimeen liittyvät vaatimukset silloin, kun palvelussa muodostuu tai siinä käsitellään viranomaisten asiakirjoja tai niitä vastaavia tietoja.
Tiedonhallinnan kuvaukset ja niihin liittyvät vastuut
Tiedonhallintapolitiikan neljännessä pääluvussa annettaisiin määräykset ja ohjeet tiedonhallinnan kuvauksista, joita kaupungissa tulisi laatia ja yllä pitää. Tässä yhteydessä kaupunginhallitus määrittäisi kaupungin hallintosäännön 69 §:ssä tarkoitetun vastuun tiedonhallintamallin, tiedonhallinnan muutosvaikutusten arvioinnin sekä asiakirjajulkisuutta koskevan kuvauksen koostamisesta ja ylläpidosta.
Tiedonhallintamallin laatisi ja sitä ylläpitäisi tiedonhallintatyöryhmä. Kaupungin esimiehet ja henkilöstö olisivat velvollisia antamaan työryhmälle näiden tarvitsemat välttämättömät tiedot tiedonhallintamallin ylläpitämiseksi ja omalta osaltaan osallistumaan sen laadintaan liittyvään työhön. Tiedonhallintamallille tulisi asettaa jonkinlainen hyväksymiskäytäntö, koska sen pitäisi olla tiedonhallintayksikön johdon eli kaupunginhallituksen linjausten mukainen. Jotta toiminta olisi tehokasta ja tarkoituksenmukaista, ja jotta tiedonhallintamalli samalla nauttisi tiedonhallintayksikön johdon hyväksyntää, ehdotettaisiin tiedonhallintapolitiikassa, että tiedonhallintamallin hyväksyisi kaupunginjohtaja.
Tiedonhallinnan muutosvaikutusten arviointien tekeminen olisi hallinnollisesta muutoksesta tai tietojärjestelmämuutoksesta, jolla on vaikutusta kaupungin tiedonhallintaan, vastuussa olevan organisaatioyksikön esimiehen vastuulla, koska tällä on paras kuva omaan toimialaansa liittyen siitä, millainen muutos on kyseessä. Tarvittaessa arvioinnissa apuna toimisi tiedonhallintatyöryhmä.
Asiakirjajulkisuuskuvauksen laatijaksi ja ylläpitäjäksi ehdotettaisiin asiakirjahallintoa ja arkistotointa johtavaa viranhaltijaa. Kaupungin esimiehet, henkilöstö, tietohallintopäällikkö, tietohallinto ja tietosuojavastaava olisivat velvollisia antamaan kuvauksen laatijalle tämän tarvitsemat välttämättömät tiedot kuvauksen ylläpitämiseksi ja omalta osaltaan osallistumaan sen laadintaan liittyvään työhön sekä informoimaan kuvauksen ylläpitäjää hallinnollisista ja tietojärjestelmiin kohdistuvista muutoksista, joilla on vaikutusta kuvauksen sisältöön.
Edellä mainittujen tiedonhallintalain edellyttämien kuvausten lisäksi määrättäisiin ja ohjeistettaisiin tiedonhallintapolitiikassa vielä tietosuojaselosteiden, tiedonohjaussuunnitelmien ja tietotilinpäätöksen laadinnasta ja ylläpidosta.
Tietosuojaselosteen laatimisesta ja ajan tasalla pitämisestä vastaisi palveluprosessin omistaja. Tietosuojavastaava antaisi tarkempia ohjeita tietosuojaselosteiden laadinnasta, ylläpidosta ja tietosisällöstä.
Tiedonohjaussuunnitelmien hyväksyminen ja käyttöön vahvistaminen on määrätty tehtäväksi asiakirjahallintoa ja arkistotointa johtavalle viranhaltijalle kaupungin hallintosäännön 70 §:ssä. Mikkelin kaupungissa tiedonohjaussuunnitelmien laatimisen aloittamisen ja Kuntien yhteisen tehtäväluokituksen käyttämisen tiedonohjaussuunnitelmien taustalla hyväksyi kaupunginhallitus päätöksellään 2.5.2011 § 153. Tiedonohjaussuunnitelmia on tällä hetkellä kaupungilla käytössä esimerkiksi asianhallintajärjestelmässä, sähköisessä arkistossa ja Lupapiste-palvelussa. Tiedonohjaussuunnitelmien laadinta ja ylläpito ehdotettaisiin tietojärjestelmien pääkäyttäjien vastuulle, vaikkakin asiakirjahallintoa ja arkistotointa johtava viranhaltija hyväksyisi ne ja vahvistaisi ne käyttöön ja olisi tarvittaessa apuna niiden laadinnassa. Ehdotettu toimintatapaa vastaa tämän hetken käytäntöä.
Tietotilinpäätöksestä oli mainintoja aiemmassa tietoturva- ja tietosuojapolitiikassa, mutta siinä ei annettu varsinaisesti määräyksiä tällaisen kuvauksen muodostamisesta. Mikkelin kaupungin ensimmäinen tietotilinpäätös laadittiin vuodelta 2019, ja kaupunginhallitus merkitsi sen tiedoksi päätöksellään 8.6.2020 § 205. Ehdotuksena olisi, että kaupunginhallitukselle tuotaisiin vuosittain tilinpäätöskäsittelyn yhteydessä tiedoksi tietotilinpäätös. Tietotilinpäätöksen kokoaisi tietosuojavastaava. Tiedonhallintatyöryhmä sekä kaupungin esimiehet ja henkilöstö olisivat velvollisia avustamaan tietosuojavastaavaa tietotilinpäätöksen kokoamisessa omalta osaltaan.
Tiedonhallintapolitiikassa annettaisiin vielä ohjeet tiedonhallinnasta tiedottamisesta sekä toiminnasta häiriötilanteissa. Erona tietoturva- ja tietosuojapolitiikkaan olisi, että nyt viestinnän vastuut koskisivat tietohallinnon, tietosuojavastaavan ja kaupungin viestinnän lisäksi myös asiakirjahallintoa ja arkistotointa johtavaa viranhaltijaa, tiedonhallintayhteyshenkilöitä, arkistovastaavia sekä tietojärjestelmien omistajia ja pääkäyttäjiä. Häiriötilanteita koskevat ohjeet olisivat puolestaan muutamia sananmuotoja lukuun ottamatta samat, kuin tietoturva- ja tietosuojapolitiikassa.
Tiedonhallinnan ohjeet
Tiedonhallintapolitiikan viidennessä pääluvussa annettaisiin asiakirjahallinnon ja arkistotoimen toimintaohjeet, jotka korvaisivat vuoden 2004 arkistotoimen toimintaohjeen. Uudet toimintaohjeet olisi muotoiltu soveltuvilta osin vanhemman arkistotoimen toimintaohjeen sekä aiempien tietopalvelusihteerien tekemien luonnosten perusteella, mutta niitä on muutettu joiltain osin paljonkin, jotta ne vastaisivat nykyistä lainsäädäntöä ja muuttunutta toimintaympäristöä. Asiakirjahallinnon ja arkistotoimen toimintaohjeet olisivat luonteeltaan määräyksiä ja ohjeita, jotka koskisivat kaupunkia ja sen liikelaitoksia, jonka lisäksi asiakirjahallintoa ja arkistotointa johtava viranhaltija voisi antaa niitä tarkentavia ja täydentäviä määräyksiä ja ohjeita. Asiakirjahallinnon ja arkistotoimen vastuista annettaisiin määräykset tiedonhallintapolitiikan kolmannessa luvussa, koska ne sisältyvät tiedonhallinnan yleisempiin vastuisiin, mutta tässä luvussa niihin tehtäisiin vielä joitain täsmennyksiä. Keskeisimmät muutokset asiakirjahallinnon ja arkistotoimen toimintaohjeisiin esitetään alla.
Arkistonmuodostussuunnitelmien laadintaan liittyviä vastuita laajennettaisiin hieman, jotta työ ei kävisi liian raskaaksi yksittäisille henkilöille. Arkistonmuodostussuunnitelmat laadittaisiin yhteistyössä arkistonmuodostajan alaisen organisaatioyksikön esimiehen, tiedonhallintayhteyshenkilöiden, arkistovastaavien, tarvittaessa muun henkilöstön sekä asiakirjahallintoa ja arkistotointa johtavan viranhaltijan kanssa. Tiedonhallintayhteyshenkilöt ja arkistovastaavat vastaisivat omien organisaatioyksiköidensä arkistonmuodostussuunnitelmien laatimisesta ja ylläpitämisestä.
Aiemmassa arkistotoimen toimintaohjeessa oli joitain kohtia asiakirjojen kirjaamisesta. Nykyään asiakirjojen kirjaamisesta säädetään tiedonhallintalaissa, jossa on säännöksiä asianhallinnasta eli asioiden, asiankäsittelyn ja niihin liittyvien asiakirjojen rekisteröinnistä asiarekisteriin. Asiarekisteri on kuitenkin käsitteenä laajempi kuin vain asianhallintajärjestelmä. Se on looginen kokonaisuus, joka muodostuu asianhallintajärjestelmässä, operatiivisissa tietojärjestelmissä sekä osittain myös manuaalisesti käsittelyssä olevista asioista. Ehdotuksena olisi, että asiarekisteröintiin käytettäisiin ensisijaisesti kaupungin asianhallintajärjestelmää. Tämä johtuisi siitä, että järjestelmä on nimensä mukaisesti tarkoitettu asianhallintaan ja ehdotettu toimintatapa vastaisi myös tämän hetken käytäntöä kaupungissa.
Käsittelyyn tulleet tai otetut asiat avattaisiin asianhallintajärjestelmään kaupungin kirjaamossa. Aiemman arkistotoimen toimintaohjeen aikana kaupungin kirjaamotoiminnot olivat hajautettuja, mutta niitä alettiin keskittämään kaupunginjohtajan päätöksen 6.7.2011 § 26 johdosta. Nykyään kaupungin kirjaamo toimii osana asianhallintatiimiä. Kirjaamo rekisteröi ja tallentaa kaupungille saapuneet asiakirjat asianhallintajärjestelmään. Mikäli asiakirjat saapuisivat suoraan muuhun organisaatioyksikköön kuin kirjaamoon, tulisi asiakirjat vastaanottaneen organisaatioyksikön rekisteröidä ja tallentaa asiakirjat asianhallintajärjestelmään. Organisaatioyksiköt voisivat sopia kaupungin kirjaamon kanssa myös toisenlaisesta työnjaosta, mikäli tämä olisi toiminnan kannalta tarkoituksenmukaista. Viranhaltijoiden ja työntekijöiden tulisi rekisteröidä ja tallentaa laatimansa asiakirjat asianhallintajärjestelmään niitä koskeville asioille, ellei työnjaosta asiakirjojen rekisteröinnissä ja tallentamisessa olisi kaupungin kirjaamon kanssa toisin sovittu. Edellä esitetyt toimintatavat vastaavat nykyään käytössä olevia toimintatapoja. Asianhallintajärjestelmän pääkäyttäjä vastaisi tiedonohjaussuunnitelman luokituksen ylläpidosta ja kehittämisestä yhdessä asiakirjahallintoa ja arkistotointa johtavan viranhaltijan kanssa.
Operatiivisissa tietojärjestelmissä tapahtuvassa asiarekisteröinnissä asiat avattaisiin ja asiakirjat rekisteröitäisiin ja tallennettaisiin tietojärjestelmään sen omistavan yksikön ohjeiden ja käytänteiden mukaisesti siten, että niissä otettaisiin huomioon asiakirjahallinnon ja arkistotoimen vaatimukset. Asiarekisteröintiä tapahtuu kaupungilla tällä hetkellä asianhallintajärjestelmän lisäksi muun muassa Lupapiste-palvelussa ja Daisy-toiminnanohjausjärjestelmässä.
Edelliseen arkistotoimen toimintaohjeeseen verrattuna suurin muutos on tullut tiedonhallintalain myötä, jonka 19 ja 30 §:n mukaisesti viranomaisten asiakirjojen ja niitä vastaavien tietojen pääasiallinen säilytysmuoto olisi 1.1.2022 alkaen sähköinen, käytännössä digitaalinen. Kansallisarkisto on puolestaan antanut uuden määräyksen arkistoitavien asiakirjojen muodosta (KA/15906/07.01.01.00/2021), jonka perusteella 1.1.2022 alkaen muodostuneet viranomaisen asiakirjat arkistoidaan lähtökohtaisesti sähköisessä, käytännössä digitaalisessa muodossa. Tämä tarkoittaa sitä, että viranomaisten laatimat ja sille saapuneet asiakirjat säilytettäisiin ja arkistoitaisiin lähtökohtaisesti digitaalisessa muodossa. Aiemmin tilanne on ollut jokseenkin päinvastainen, koska arkistolaki on tullut voimaan aikana, jolloin vielä valtaosa asiakirjoista muodostui analogisessa muodossa taikka tulostettiin paperille tai tuotettiin mikrofilmille niiden säilyttämistä varten.
Mikkelin kaupungin viranomaisen asiakirjoja ja niitä vastaavia tietoja, jotka ovat muodostuneet 1.1.2022 alkaen, säilytettäisiin tiedonhallintalain mukaisesti lähtökohtaisesti sähköisessä muodossa. Tätä ajankohtaa aikaisemmin muodostuneet asiakirjat ja niitä vastaavat tiedot säilytettäisiin siten kuin ne ovat muodostuneet tai kuten kaupungin arkistonmuodostussuunnitelmissa tai muissa ohjeissa on määrätty, jollei niitä myöhemmin muutettaisi digitaaliseen muotoon. Asiakirjoja säilytettäisiin lähtökohtaisesti niissä kaupungin tietojärjestelmissä, joissa ne muodostuvat tai joihin ne on tallennettu taikka digitoitu osana asianhallinnan tai palvelujen tiedonhallinnan toteuttamista. Edellytyksenä tietoaineistojen digitaaliselle säilyttämiselle olisi, että tietojärjestelmät täyttäisivät tiedonhallintalain mukaiset tietoturvallisuusvaatimukset. Politiikassa määriteltäisiin vielä tarkemmin erilaiset tilanteet ja poikkeukset asiakirjojen säilyttämisessä ja digitoinnissa.
Politiikassa annetaan vielä erilliset määräykset ja ohjeet pitkäaikaisesti säilytettävistä ja arkistoitavista asiakirjoista. Pitkäaikaissäilytettävillä asiakirjoilla viitataan asiakirjoihin, jotka ovat määräajan säilytettäviä, mutta joilla on pitkät säilytysajat. Tällaisia asiakirjoja ovat muun muassa henkilöstön palkkakortit, joita tulee säilyttää eläkkeiden selvittämiseen liittyvien syiden vuoksi tyypillisesti vähintään 50-75 vuotta. Arkistoitavilla asiakirjoilla viitataan asiakirjoihin, jotka tulee lainsäädännön tai Kansallisarkiston määräysten mukaisesti säilyttää pysyvästi yleisen edun mukaista arkistointitarkoitusta varten. Arkistointi ei tässä kohtaa tarkoita arkikielen sanaa arkistointi, joka usein tarkoittaa asiakirjojen säilytykseen asettamista. Yleisen tietosuoja-asetuksen ja tiedonhallintalain myötä arkistoinnilla tarkoitetaan asiakirjojen säilyttämistä kulttuuriperintö- ja tutkimustarkoituksiin sen jälkeen, kun niiden säilytysaika alkuperäisessä käyttötarkoituksessa on päättynyt. Kaupunki ei voi itsenäisesti päättää mitä asiakirjoja arkistoidaan, vaan arkistoinnista joko säädetään lailla tai Kansallisarkisto määrää arkistoitavat asiakirjat arkistolain nojalla. Asiakirjojen pysyvällä säilyttämisellä tarkoitetaan puolestaan niiden säilyttämistä niiden alkuperäisessä käyttötarkoituksessa pysyvästi, jolloin tietoja ei varsinaisesti arkistoida. Asiakirjojen ja niitä vastaavien tietojen pysyvästä säilyttämisestä säädetään lailla.
Asiakirjoja ja niitä vastaavia tietoja, jotka ovat muodostuneet 1.1.2022 alkaen, ja jotka on säädetty tai määrätty pysyvästi säilytettäväksi tai arkistoitavaksi, säilytettäisiin tiedonhallintalain mukaisesti lähtökohtaisesti sähköisessä muodossa, ellei toisin olisi säädetty tai määrätty. Kansallisarkiston arkistolain nojalla pysyvästi säilytettäviksi eli arkistoitaviksi määräämien digitaalisessa muodossa olevien asiakirjojen kohdalla olisi huomioitava, että tietojärjestelmät, joissa arkistoitavia asiakirjoja pitkäaikaissäilytetään tai johon ne siirretään pitkäaikaissäilytystä varten, täyttäisivät tiedonhallintalain mukaisten tietoturvallisuusvaatimusten lisäksi julkista hallintoa koskevat arkistointivaatimukset. Tällä hetkellä tämä tarkoittaa Kansallisarkiston määräyksen Sähköisten asiakirjallisten tietojen käsittely, hallinta ja säilyttäminen (AL 9815/07.01.01.00/2008) eli SÄHKE2-määräyksen noudattamista, mutta määräys tultaneen kumoamaan lähivuosina, jonka jälkeen se muuttuu suositukseksi.
Kansallisarkiston arkistolain nojalla pysyvästi säilytettäviksi eli arkistoitaviksi määräämiä asiakirjoja ja niitä vastaavia tietoja voidaan säilyttää yksinomaan digitaalisessa muodossa lähtökohtaisesti kaupungin asianhallintajärjestelmässä, sähköisessä arkistossa taikka muissa julkisen hallinnon arkistointivaatimukset täyttävissä tietojärjestelmissä. Asianhallintajärjestelmällä ja sähköisellä arkistolla viitataan CaseM-asianhallintajärjestelmään ja SARKK -sähköiseen arkistoon. Kyseiset tietojärjestelmät täyttävät Kansallisarkiston SÄHKE2-määräyksen vaatimukset, jonka lisäksi Kansallisarkisto on myöntänyt päätöksellään Mikkelin kaupungin pysyvästi säilytettävien, asianhallintajärjestelmään ja arkistointijärjestelmään sisältyvien asiakirjatietojen sähköinen säilyttäminen (AL/7130/07.01.01.03.02/2016) Mikkelin kaupungille sähköisen säilyttämisen luvan. Lupa koskee kyseisiin tietojärjestelmiin tallennettuja arkistolain nojalla pysyvästi säilytettäväksi eli arkistoitavaksi määrättyjä asiakirjoja, jotka ovat muodostuneet vuodesta 2015 alkaen. Muissa tietojärjestelmissä olevien arkistoitavien asiakirjojen kohdalla tulisi tietojärjestelmien kehittämiseen varattujen määrärahojen puitteissa kehittää ratkaisuja, joilla arkistoitavaksi määrätyt asiakirjat ja niitä vastaavat tiedot voidaan siirtää arkistointivaatimukset täyttäviin tietojärjestelmiin. Politiikassa määriteltäisiin vielä tarkemmin erilaiset tilanteet ja poikkeukset pitkäaikaisesti säilytettävien ja arkistoitavien asiakirjojen säilyttämisessä ja digitoinnissa.
Mikäli ennen 1.1.2022 muodostuneita arkistolain nojalla pysyvästi säilytettävien eli arkistoitavien asiakirjojen analogiset versiot haluttaisiin tuhota niiden digitoinnin jälkeen, olisi digitoinnissa noudatettava Kansallisarkiston antamia hävittämiseen tähtäävän digitoinnin vaatimuksia, jonka lisäksi analogisten versioiden tuhoamista varten olisi anottava hävittämislupaa Kansallisarkistolta arkistolain mukaisesti. Politiikassa ehdotetaan, että tällaisen hakemuksen voisi tehdä asiakirjahallintoa ja arkistotointa johtava viranhaltija. Mikäli Kansallisarkisto myöntäisi hävittämisluvan, ehdotettaisiin, että kaupunginhallitus ratkaisisi päätöksellään, tuhotaanko aineistot luvan mukaisesti, koska päätös olisi sen verran merkittävä, että tällainen toimivalta olisi syytä pidättää kaupunginhallituksella tiedonhallintayksikön johtona.
Analogisessa muodossa olevia määräajan säilytettäviä asiakirjoja säilytettäisiin lähtökohtaisesti organisaatioyksiköiden lähiarkistotiloissa. Arkistovastaavien tehtävänä olisi järjestää ja pitää järjestyksessä lähiarkistot. Organisaatioyksikön muu henkilöstö olisi velvollinen noudattamaan asiakirjojen järjestämisessä ja lähiarkistoon siirtämisessä arkistovastaavan, organisaatioyksikön esimiehen sekä asiakirjahallintoa ja arkistotointa johtavan viranhaltijan antamia ohjeita. Mikäli organisaatioyksikössä olisi epäjärjestykseen joutuneita asiakirjoja, olisi ne järjestettävä tai palautettava alkuperäiseen järjestykseen lähiarkistossa. Analogisessa muodossa olevat pysyvästi säilytettävät ja arkistoitavat asiakirjat tulisi puolestaan siirtää organisaatioyksiköistä kaupunginarkistoon, kun organisaatioyksiköt eivät enää aktiivisesti tarvitsisi niitä tehtäviensä hoidossa. Organisaatioyksiköiden esimiehet, arkistovastaavat ja asiakirjahallintoa ja arkistotointa johtava viranhaltija voisivat sopia ajankohdasta, jolloin siirto toteutettaisiin. Organisaatioyksiköiden hallussa olevia pysyvästi säilytettäviä ja arkistoitavia asiakirjoja voitaisiin säilyttää pidempään yksiköissä, mikäli yksiköillä on niihin kohdistuvaa jatkuvaa tarvetta tehtäviensä hoidossa ja yksiköillä on käytössään riittävän turvalliset lähiarkistotilat näiden asiakirjojen säilyttämistä varten. Kaupunginarkistoon siirrettävistä asiakirjoista tehtäisiin luovutusluettelo, johon merkittäisiin arkistoyksikön tarkkuudella luovutettavat asiakirjat. Luovutusluettelon laatisi asiakirjat siirtävä organisaatioyksikkö, ja sen hyväksyisi asiakirjahallintoa ja arkistotointa johtava viranhaltija.
Politiikan asiakirjahallintoa ja arkistotointa koskevassa ohjeluvussa annettaisiin vielä ohjeet kaupunginarkistosta, asiakirjojen tuhoamisesta, käsittelystä ja suojaamisesta.
Kaupunginarkistosta lainsäädännön puitteista luovutettavista asiakirjoista tulisi laatia luovutusluettelot, jotka hyväksyisi asiakirjahallintoa ja arkistotointa johtava viranhaltija. Kaupunginarkiston tietopalvelusta huolehtisi lähtökohtaisesti kaupunginarkiston henkilöstö, mutta erityisestä syystä tietopalvelusta voisi huolehtia myös muu organisaatioyksikkö. Kaupunginarkistosta huolehtii tällä hetkellä asianhallintatiimi muiden työtehtäviensä ohessa. Kaupunginhallituksen tulisi viimekädessä huolehtia siitä, että kaupunginarkistolla olisi riittävät henkilöstöresurssit kaupunginarkiston hoitamiseen. Kaupunginhallituksen vastuu juontuu arkistolaista ja kaupungin hallintosäännön 69 §:stä.
Analogisessa muodossa olevien määräajan säilytettävien asiakirjojen tuhoamisesta huolehtisivat arkistovastaavat. Kaupunginarkistoon siirrettyjen määräajan säilytettävien asiakirjojen tuhoamisesta huolehtisi kaupunginarkiston henkilöstö. Tuhottavista asiakirjoista tulisi laatia hävittämisluettelo. Hävittämisluettelo laadittaisiin aiemman arkistotoimen toimintaohjeen tapaan yli kymmenen vuotta säilytettävistä asiakirjoista ja kaikista kirjanpidon asiakirjoista. Hävittämisluettelon laatisi tuhoamisen suorittanut henkilö, jonka tämä tai tämän tulosalueen johtava viranhaltija hyväksyisi asiakirjahallintoa ja arkistotointa johtavan viranhaltijan kanssa. Kaupunginarkistosta tuhottavien määräajan säilytettävien asiakirjojen hävittämisluettelon hyväksyisi asiakirjahallintoa ja arkistotointa johtava viranhaltija. Hävittämisluettelo tai vastaava asiakirja tulisi laatia myös digitaalisessa muodossa olevista asiakirjoista, mikäli tietojärjestelmässä ei olisi tuhoamistoiminnallisuutta, jossa hävittämisluettelo muodostuu automaattisesta asiakirjojen ja niitä vastaavien tietojen tuhoamisen yhteydessä.
Kuudennessa pääluvussa annettaisiin tietosuojan ja tietoturvan toimintaohjeet. Pääluvun viimeiset kolme alalukua olisivat sisällöllisesti lähes samanlaisia, kuin aiemman tietoturva- ja tietosuojapolitiikan vastaavat luvut. Ohjeisiin olisi kuitenkin lisätty tietoturvallisuuden vaatimukset viranomaistoiminnassa, jotka esitettäisiin kuudennen pääluvun ensimmäisessä alaluvussa. Tiedonhallintayksikön ja siinä toimivien viranomaisten olisi huolehdittava, että sen omistamien tai hankkimien tietojärjestelmien ja tietoaineistojen tietoturvallisuus varmistetaan tiedonhallintalain 4 luvun vaatimusten mukaisesti. Tietoturvallisuudessa olisi huomioitava myös, mitä erityislainsäädännössä siitä säädetään. Alaluvussa esitettäisiin vielä tarkentavasti tiedonhallintalain edellyttämät tietoturvallisuusvaatimukset, jotta ne kävisivät ilmi myös kaupungin tiedonhallintapolitiikasta. Tietohallinto ja tietosuojavastaava voisivat tehdä tiedonhallintapolitiikkaan perustuen tarkentavia ohjeita tietoturvasta ja tietosuojasta sekä tieto- ja viestintäteknisistä palveluista, koska tällaisten ohjeiden tarvitsee olla usein tapauskohtaisia ja joskus myös tietojärjestelmäspesifejä, jonka vuoksi yksityiskohtaisia ohjeita ei voida tiedonhallintapolitiikassa tarkoituksenmukaisella tavalla antaa.
Tiedonhallintapolitiikan viimeiset pääluvut olisivat luonteeltaan informatiivisia. Seitsemännessä pääluvussa kerrottaisiin tiedonhallinnan määritelmistä ja käsitteistä. Määritelmät ja käsitteet on johdettu lainsäädännöstä silloin, kun niistä on ollut selkeitä määritelmiä, ja muissa tapauksissa ne on johdettu alan vakiintuneista termistöistä. Kahdeksannessa pääluvussa kerrottaisiin tiedonhallinnan kansallisista viranomaistoimijoista ja tiedonhallintaan olennaisesti vaikuttavista säädöksistä. Yhdeksännessä eli viimeisessä pääluvussa esitettäisiin tiedot tiedonhallintapolitiikan versioista ja voimaantulosta.
Hyväksyttäväksi ehdotettava tiedonhallintapolitiikka on liitteenä.