Automaattinen päätöksenteko yleislaeissa ja yleisessä tietosuoja-asetuksessa

Automaattisella ratkaisumenettelyllä ja palveluautomaatiolla voidaan tehostaa organisaatioiden toimintaa ja palvelujen tarjontaa. Henkilötietojen käsittelyn vaatimustenmukaisuuden ja riskienhallinnan korostuminen on muun muassa johtanut automaattisen päätöksenteon sääntelytarpeeseen ja valtiosääntöisten kysymysten ratkaisemiseen.

Lainsäädännössä ei ole aikaisemmin säädetty hallintopäätösten tekemisestä automaattisesti. Hallinnon lainalaisuus- ja lakisidonnaisuusperiaatteesta säädetään perustuslain 2 §:n 3 momentissa, jonka mukaan julkisen vallan käytön tulee perustua lakiin ja kaikessa julkisessa toiminnassa on noudatettava tarkoin lakia. Automaattisen päätöksenteon käyttöönotto on tuonut muutoksia hallintolakiin (434/2003) ja tiedonhallintalakiin (906/2019) sekä digipalvelulakiin (306/2019) palveluautomaation, eli niin sanottujen chatbottien osalta. Lait tulivat voimaan 1.5.2023 siirtymäsäännöksineen.

Hallinnon lainalaisuus tarkoittaa automaattisen päätöksenteon kannalta sitä, että automaattisia päätöksiä tekevissä järjestelmissä olisi varmistuttava, että tehdyt päätökset ovat lain mukaisia ja että ne noudattavat tiedonhallintalaista tulevia menettelysäännöksiä. Samaan aikaan automaattisesta päätöksenteosta säännellään myös EU:n yleisessä tietosuoja-asetuksessa (GDPR) henkilötietojen käsittelyn osalta. Lisäksi EU:ssa on valmisteilla tekoälyasetus, joka tulee asettamaan velvoitteita muun muassa tekoälyjärjestelmien kehittäjille ja niitä käyttäville organisaatioille.

Hallinnossa hämmennystä on osittain herättänyt se, sovelletaanko automaattiseen päätöksentekoon hallintolakia ja tiedonhallintalaista tulevia menettelysäännöksiä vai GDPR:stä tulevia vaatimuksia? Kysymykseen on osittain helppo vastata, jos on selkeästi tunnistettavissa, että organisaatio tekee hallintolain 53 e § mukaisia hallintopäätöksiä, jolloin kyseisiin päätöksiin tulevat tiedonhallintalain 6 a luvun säännökset sovellettavaksi.

Haasteena on hallintolain mukaisiin hallintopäätöksiin ikään kuin rinnastettavat päätökset. Hallintolain säännös automaattisesta päätöksenteosta mahdollistaa automaattisen päätöksenteon viranomaisissa, jolloin voidaan poiketa EU:n tietosuojasääntelyyn sisältyvästä automaattisten päätösten kiellosta. Tämä ei kuitenkaan tarkoita sitä, etteikö GDPR:n mukaisia säännöksiä, kuten tietosuojaperiaatteita, tulisi huomioida ja soveltaa edelleen henkilötietojen käsittelyssä ja hallintolain mukaisissa automaattisissa päätöksenteon menettelyissä.  Automaattista ratkaisumenettelyä suunniteltaessa on muun muassa huomioitava, että rekisterinpitäjän on arvioitava ennen automaattisen ratkaisumenettelyn käyttöönottoa tarve tietosuojasääntelyn edellyttämälle vaikutusten arvioinnille. 

Hallintopäätösten ratkaiseminen automaattisessa päätösmenettelyssä edellyttää, että kyseinen menettely katsotaan sisältyväksi hallintolaissa määriteltyihin ja sallittuihin hallintopäätöksiin. Toisaalta, mikäli automaattinen menettely ei sisälly hallintolain sallimaan hallintopäätösten alaan, tulee henkilötietojen käsittelyn osalta arvioida erikseen automaattisen päätöksenteon oikeusperuste, eli sallittavuus GDPR:stä, sillä tällöin henkilötietojen käsittelyn oikeusperustetta ei ole mahdollista perustaa hallintolakiin. Mikäli viranomaisessa tai julkista hallintotehtävää hoitavassa organisaatiossa on epäselvyyttä päätöksien luonteesta, tulee organisaation ensiksi tunnistaa sekä kuvata kyseessä olevat päätöstä koskevat prosessit ja päättää sen jälkeen kuuluvatko kyseiset päätökset hallintolain hallintopäätöstä koskevaan soveltamisalaan, vai kenties GDPR:ssä tarkoitettuihin automaattisiin päätöksiin. Epäselvyyden ratkaiseminen voi jopa edellyttää toimialakohtaista erityissääntelyä. 

Olennaista hallintolain mukaisissa päätöksissä ja tiedonhallintalain menettelyjen haltuunotossa on muun muassa käsittelysääntöjen ja tehtävänjaon määrittely ja dokumentointi, sekä käyttöönottopäätöksen teko. Tehtäväjaossa on muun muassa huomioitava tiedonhallintalain 28 a §. Virkavastuun ei tulisi henkilöityä yksittäiseen asian ratkaisijaan, vaan kohdistua ratkaisumenettelyn käyttöönottoon ja käytön eri vaiheisiin sekä eri tasoille organisaatiossa kohdentuviin tehtäväalueisiin. Myös laadunvarmistuksesta ja valvonnasta on huolehdittava ja kuvattava prosessit tiedonhallintamalliin. Organisaatioiden tulee myös yhteensovittaa tiedonhallintalaista ja GDPR:stä tulevat muut kuin käsittelyn oikeusperustetta koskevat velvoitteet myös siinä tapauksessa, että kyseessä on hallintolain mahdollistama automaattisessa menettelyssä ratkaistava hallintopäätös.

Me KPMG:llä tarjoamme laaja-alaista osaamista ja moniammatillisen tiimin automaattista ratkaisumenettelyä ja palveluautomaatiota koskeviin kysymyksiin ja tuen tarpeisiin. Kehitämme ja tuemme organisaatioita automaattisten ratkaisumenettelyjen vaatimuksenmukaisuuden toteuttamisessa.

Ota yhteyttä, niin keskustellaan lisää!

Miina Arajärvi
+358 50 4630 079

Jere Lehtioksa
+358 40 6351 136

Karoliina Vesa
+358 40 5668 469

etunimi.sukunimi@kpmg.fi