HE 168/2009

Hallituksen esitys Eduskunnalle Suomen ja Espanjan välillä turvallisuusluokitellun tiedon vastavuoroisesta suojaamisesta tehdyn sopimuksen hyväksymisestä sekä laiksi mainitun sopimuksen lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Esityksessä ehdotetaan, että eduskunta hyväksyisi Suomen ja Espanjan välisen sopimuksen turvallisuusluokitellun tiedon vastavuoroisesta suojaamisesta sekä lain sopimuksen lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta.

Sopimuksen tarkoituksena on varmistaa salassa pidettävän tiedon välittäminen ja suojaaminen Suomen ja Espanjan välillä ulko-, puolustus-, turvallisuus- ja teollisuusasioissa. Kysymys on arkaluonteisista tietoaineistoista, jotka lähettävässä sopimusvaltiossa on erikseen luokiteltu korkean tietoturvallisuuden tason toteuttamista edellyttäviksi.

Sopimus tulee voimaan toiseksi seuraavan kuukauden ensimmäisenä päivänä sen jälkeen, kun jälkimmäinen ilmoitus siitä, että sopimuksen voimaansaattamiseksi tarvittavat kansalliset toimenpiteet on saatettu loppuun, on otettu vastaan. Sopimuksen voimaansaattamislaki on tarkoitettu tulemaan voimaan tasavallan presidentin asetuksella säädettävänä ajankohtana samaan aikaan kuin sopimus tulee Suomen osalta voimaan.


ESITYKSEN PÄÄASIALLINEN SISÄLTÖ  1
SISÄLLYS 2
YLEISPERUSTELUT 3
1 JOHDANTO 3
2 NYKYTILA 4
2.1 Laki kansainvälisistä tietoturvallisuusvelvoitteista 4
Lain yleinen soveltamisala 4
Lain suhde julkisuuslainsäädäntöön 4
Lain soveltaminen elinkeinonharjoittajiin 4
Lain täytäntöönpanoviranomaiset 5
Tietojen salassapito ja käytön sääntely 5
Turvallisuusluokittelu ja - toimenpiteet 5
Henkilöturvallisuus 6
Yhteisöturvallisuusselvitys 6
2.2 Turvallisuusselvityksiä koskeva lainsäädäntö 7
3 ESITYKSEN TAVOITTEET 7
4 ESITYKSEN VAIKUTUKSET 7
4.1 Vaikutukset kansalaisiin 7
4.2 Vaikutukset elinkeinoelämään 8
4.3 Taloudelliset vaikutukset 8
4.4 Vaikutukset hallintoon 8
5 ASIAN VALMISTELU 8
YKSITYISKOHTAISET PERUSTELUT 9
1 Sopimuksen sisältö ja suhde Suomen lainsäädäntöön 9
2 Lakiehdotuksen perustelut 13
3 Voimaantulo 13
4 Eduskunnan suostumuksen tarpeellisuus ja käsittelyjärjestys 13
4.1 Eduskunnan suostumuksen tarpeellisuus 13
4.2 Käsittelyjärjestys 15
LAKIEHDOTUS 16
Espanjan kanssa turvallisuusluokitellun tiedon vastavuoroisesta suojaamisesta tehdyn sopimuksen lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta 16
SOPIMUSTEKSTI 17

YLEISPERUSTELUT

1 Johdanto

Tietoturvallisuudella tarkoitetaan yleisesti ottaen kaikkia sellaisia menettelyjä, joiden avulla turvataan informaation sisällön suojaaminen ulkopuolisilta (tiedon luottamuksellisuus), tiedon muuttumattomuus (tiedon eheys) sekä tiedon käytettävyys. Tietoturvallisuuden varmistamiseksi käytetään erilaisia keinoja, joista tavallisimmat ovat henkilöstön luotettavuuden ja toimitilojen turvallisuuden varmistaminen, salassapitosäännökset ja tietojen käytön rajoittaminen vain sovittuun tarkoitukseen sekä erilaiset tietojen käsittelyyn ja siirtoon liittyvät menettelytapavaatimukset. Tietoturvallisuusvaatimukset kattavat informaation koko elinkaaren, toisin sanoen tietojen hankkimisen, muokkaamisen, käytön, luovutuksen, arkistoinnin ja hävittämisen.

Kansainväliseen yhteistyöhön liittyviin asiakirjoihin sisältyy sellaisia salassa pidettäviä tietoja, joiden luvaton paljastuminen voi aiheuttaa merkittävää ja laajalle ulottuvaa vahinkoa keskeisille yleisille eduille. Tällaisten aineistojen asianmukaisesta käsittelystä on sen vuoksi pidettävä erityistä huolta. Kysymys on Suomen luotettavuudesta kansainvälisen yhteistyön osapuolena.

Kansainvälinen tietoturvallisuusyhteistyö, johon Suomikin osallistuu, käsittää perinteisesti diplomaattiseen toimintaan samoin kuin puolustus- ja poliisihallintojen väliseen yhteistyöhön liittyvän ei-julkisen tiedonvaihdon suojaamisen. Välittömän valtiovastuun piiriin kuuluvien kysymysten lisäksi kansainvälisillä tietoturvallisuusvelvoitteilla on kuitenkin kasvava merkitys myös taloudellisen, teollisen ja teknologisen yhteistyön kannalta, joiden puitteissa yhä useammat yritystason hankkeet edellyttävät turvallisuussuojatun tiedon hyödyntämistä. Näin etenkin silloin, kun kyse on sellaisesta viranomaisen hankinnasta, jossa valtion suojattuja tietoja on annettava yritykselle kaupallisen sopimuksen toteuttamista varten. Tällaisia ovat perinteisesti olleet erityisesti puolustusalan hankinnat, mutta sektori on laajenemassa.

Pyrkimyksistä huolimatta ei kuitenkaan ole osoittautunut mahdolliseksi toteuttaa tietoturvallisuusalan monenkeskistä yleissopimusta. Pääasiallinen syy tähän ovat kansallisten lainsäädäntöjen ja hallintorakenteiden ja -tapojen eroavaisuudet, jotka puolestaan heijastelevat tietoturvallisuuden sensitiivisyyttä osana kansallista kokonaisturvallisuutta.

Yleissopimuksen puuttuminen on siten pakottanut valtiot, Suomi mukaan luettuna, etsimään kahdenvälisiä sopimusratkaisuja. Suomi on tehnyt ensimmäisen kahdenvälisen tietoturvallisuussopimuksensa Saksan liittotasavallan kanssa vuonna 2004. Sopimus tuli voimaan 16 päivänä heinäkuuta 2004 (SopS 96 ja 97/2004). Vuotta myöhemmin allekirjoitettiin Suomen ja Ranskan välinen sopimus, joka puolestaan tuli voimaan 1 päivänä elokuuta 2005 (SopS 66 ja 67/2005). Kumpikin suuri Euroopan unionin (EU) maa on Suomelle tärkeä yhteistyökumppani niin turvallisuushallinnon kuin taloudellisen vuorovaikutuksenkin aloilla.

Tietoturvallisuustarpeiden painottumista enenevässä määrin myös taloudelliseen toimintaan ilmentää Suomen ja Euroopan Avaruusjärjestön (ESA) välinen yhteistyösopimus, jäljempänä ESA:n tietoturvallisuussopimus, niin ikään vuodelta 2004 (SopS 94 ja 95/2004). Sopimuksen eräs keskeinen tavoite on turvata Suomen elinkeinoelämän mahdollisuudet osallistua tasavertaisesti muiden jäsenmaiden kanssa ESA:n turvallisuusluokiteltuihin tarjouskilpailuihin.

Mainittujen sopimusten lisäksi Suomi on tehnyt voimassa olevan tietoturvasopimuksen Slovakian (SopS 116 ja 117/2007), Viron (SopS 12 ja 13/2008), Italian (SopS 23 ja 24/ 2008), Latvian (SopS 33 ja 34/2008), Puolan (SopS 46 ja 47/2008), Bulgarian (Sops 116 ja 117/2008), Slovenian (SopS 22 ja 23/2009) ja Taekin (SopS 53 ja 54/2009) kanssa. Allekirjoittamista odottavat sopimukset Liettuan ja Alankomaiden kanssa. Vireillä on lisäksi neuvottelut tietoturvallisuussopimuksesta Ison-Britannian, Pohjoismaiden ja Luxemburgin kanssa. Hanke EU:n jäsenmaiden väliseksi turvallisuusluokitellun tiedon suojaamista koskevaksi sopimukseksi saataneen päätökseen kuluvana vuonna.

Suomen ja Espanjan välinen sopimus allekirjoitettiin Madridissa 9 päivänä kesäkuuta 2009. Sopimus on neuvoteltu pitkälti Suomen neuvottelujen pohjaksi esittämän mallisopimuksen perusteella.

2 Nykytila
2.1 Laki kansainvälisistä tietoturvallisuusvelvoitteista
Lain yleinen soveltamisala

Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) säädettiin osana Suomen ja Saksan välisen tietoturvallisuussopimuksen sekä ESA:n tietoturvallisuussopimuksen voimaansaattamista. Laki katsottiin tarpeelliseksi muun ohella sen vuoksi, että kansainvälisten sopimusten täytäntöön panemiseksi on tarve poiketa asiakirjajulkisuuteen ja -turvallisuuteen perustuvista kansallisista järjestelyistä, jotka perustuvat pääosin viranomaisten toiminnan julkisudesta annettuun lakiin (621/1999), jäljempänä julkisuuslaki.

Lakia kansainvälisistä tietoturvallisuusvelvoitteista sovelletaan erityissuojattaviin tietoaineistoihin. Näillä tarkoitetaan salassa pidettäviä asiakirjoja ja materiaaleja, jotka on toimitettu Suomen viranomaiselle ja joiden lähettäjä on kansainvälisen, Suomea sitovan sopimuksen tai muun kansainvälisen velvoitteen mukaisesti tehnyt niihin turvallisuusluokkaa koskevan merkinnän. Lakia voidaan soveltaa vain, jos kansainvälinen sopimus on saatettu Suomessa voimaan perustuslaissa säädetyllä tavalla tai jos kysymys on Suomea muutoin sitovasta kansainvälisestä velvoitteesta.

Lain soveltamisalan piiriin kuuluvia erityissuojattavia tietoaineistoja ovat lisäksi Suomen viranomaisen tai lain soveltamisalan piiriin kuuluvan elinkeinonharjoittajan laatimat asiakirjat, joista ilmenee Suomeen toimitettuihin asiakirjoihin sisältyviä tai materiaalista saatavissa olevia tietoja. Lain soveltamisalan piiriin kuuluvat niin ikään asiakirjat ja materiaalit, jotka on Suomessa tuotettu salassa pidettävän turvallisuusluokitellun tiedon perusteella.

Laissa säädettyjä turvallisuusvelvoitteita sovelletaan silloinkin, kun sopimus tai säädös, johon säännösten soveltaminen perustuu, ei enää ole voimassa (15 §). Soveltaminen jatkuu niin kauan kuin se turvallisuusluokituksen perusteena olevan yleisen edun vuoksi on tarpeen.

Lain suhde julkisuuslainsäädäntöön

Kansainvälisistä tietoturvallisuusvelvoitteista annettuun lakiin sisältyy useita kansallisten asiakirjojen tietoturvallisuudesta annetuista säännöksistä poikkeavia säännöksiä. Laissa on kuitenkin yleinen viittaussäännös julkisuuslakiin. Niiltä osin kuin suomalaisten viranomaisten asiakirjoihin sisältyy muita kuin kansainvälisten tietoturvallisuusvelvoitteiden piiriin kuuluvia tietoja kansainvälisestä yhteistyöstä, on sovellettava julkisuuslain ja sen nojalla annettuja säännöksiä. Laissa on myös erityissäännös, joka koskee päätöksentekovaltaa siinä tilanteessa, jossa tietoja pyydetään julkisuuslain nojalla erityissuojattavasta aineistosta. Julkisuuslain mukaan tiedonsaantia koskevan pyynnön voi käsitellä ja ratkaista se viranomainen, jonka hallussa asiakirja on. Tiedonsaantipyyntö voidaan kuitenkin siirtää toisen viranomaisen ratkaistavaksi julkisuuslain 15 §:ssä säädetyissä tilanteissa.

Lain soveltaminen elinkeinonharjoittajiin

Lakia sovelletaan viranomaisten lisäksi myös elinkeinonharjoittajaan ja tämän palveluksessa olevaan silloin, kun elinkeinonharjoittaja on sopimusosapuolena turvallisuusluokitellussa sopimuksessa tai osallistuu tällaista sopimusta edeltävään hankintakilpailuun tai toimii tällaisen elinkeinonharjoittajan alihankkijana (1 § 2 mom.).

Turvallisuusluokitellulla sopimuksella tarkoitetaan sopimusta, jonka toisen valtion viranomainen tai siinä kotipaikkaansa pitävä yritys taikka kansainvälinen järjestö tai toimielin aikoo tehdä tai on tehnyt kansainvälisessä tietoturvallisuusvelvoitteessa tarkoitetulla tavalla Suomessa kotipaikkaansa pitävän elinkeinonharjoittajan kanssa, jos tarjouskilpailuun osallistuminen tai sopimuksen toteuttaminen voi edellyttää pääsyä erityissuojattavaan tietoaineistoon (2 § 3 kohta).

Lain mukaan elinkeinonharjoittaja voi pyytää yhteisöturvallisuusselvityksen ja arvion tekemistä voidakseen osallistua toisen valtion viranomaisen tai siinä kotipaikkaansa pitävän yrityksen järjestämään tarjouskilpailuun riippumatta siitä, onko Suomi tehnyt kyseisen valtion kanssa sopimuksen, jossa on määräyksiä tietoturvallisuusvelvoitteista (1 § 3 mom.). Säännöksen tarkoituksena on turvata suomalaisten yritysten kilpailumahdollisuudet hankinnoissa silloinkin, kun hankintaan sovellettavissa olevaa kansainvälistä tietoturvallisuussopimusta ei ole. Useimmat valtiot kuitenkin edellyttävät kahdenvälisen tietoturvallisuussopimuksen olemassa oloa ulkomaisen turvallisuustodistuksen hyväksymiseksi.

Elinkeinonharjoittajalla ja tämän palveluksessa tai toimeksiannosta toimivalla on erityissuojattavia tietoaineistoja koskeva salassapitovelvollisuus (6 ja 7 §). Elinkeinonharjoittajalla on myös velvollisuus kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi antaa tietoja sekä sallia viranomaisen ja kansainvälisen toimielimen tai sopimusvaltion edustajan tutustuminen turvallisuusjärjestelyihinsä ja toimitiloihinsa (16 § 2 mom., 18 § 2 mom.).

Lain täytäntöönpanoviranomaiset

Laissa on säännökset niistä viranomaisista, jotka huolehtivat kansainvälisten tietoturvallisuusvelvoitteiden hoitamisesta. Kansallisena turvallisuusviranomaisena (National Security Authority, NSA) kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseen liittyvissä tehtävissä toimii ulkoasiainministeriö. Puolustusministeriö, pääesikunta ja suojelupoliisi toimivat määrättyinä turvallisuusviranomaisina (Designated Security Authority, DSA). Näille viranomaisille voi kuulua muun ohella tarjous- ja hankintamenettelyihin liittyvien asiakirjojen turvallisuusluokittelu. Henkilöturvallisuuteen liittyvien turvallisuusselvitysten laadinnasta huolehtivat suojelupoliisi ja pääesikunta. Yhteisöturvallisuusselvityksen laadinta kuuluu sen sijaan kaikilta osin pääesikunnalle.

Laissa on säännökset viranomaisia ja elinkeinonharjoittajaa koskevasta tiedonantovelvollisuudesta. Säännösten tarkoituksena on varmistaa, että toimivaltaiset turvallisuusviranomaiset voisivat saada niille kuuluvien tehtävien hoitamiseksi tarpeelliset tiedot. Viranomaiset voivat myös salassapitovelvollisuuden estämättä antaa kansainväliseen tietoturvallisuusvelvoitteeseen perustuvaa yhteistyötä varten salassa pidettäviä tietoja ulkomaiselle sopimuspuolelle. Viranomaisella on myös oikeus sallia kansainväliseen tietoturvallisuusvelvoitteeseen perustuva kansainvälisen järjestön, toimielimen tai sopimusvaltion edustajan tutustuminen viranomaisen toteuttamiin turvallisuusjärjestelyihin ja toimitiloihin riippumatta siitä, mitä turvallisuusjärjestelyjen salassapidosta säädetään taikka säädetään tai määrätään pääsystä tiloihin, joissa käsitellään tai säilytetään salassa pidettäviä tietoja.

Kansallisen turvallisuusviranomaisen on lain mukaan ilmoitettava kansainvälisessä tietoturvallisuusvelvoitteessa tarkoitetuissa tapauksissa toiselle sopimuspuolelle tietoonsa tulleesta turvallisuusluokiteltujen tietojen suojan vaarantumisesta ja tietoturvallisuutta koskevan määräyksen loukkaamisesta sekä ryhdyttävä toimenpiteisiin asian selvittämiseksi samoin kuin rangaistavaan tekoon syyllistyneen syytteeseen saattamiseksi (19 §).

Tietojen salassapito ja käytön sääntely

Erityissuojattava tietoaineisto on pidettävä salassa (6 § 1 mom.). Salassapitovelvollisuus koskee myös elinkeinonharjoittajaa tämän olleessaan hankeosapuolena turvallisuusluokitellussa sopimuksissa.

Suomen tekemissä, käytännössä kahdenvälissä sopimuksissa, jotka koskevat eri maiden viranomaisten välistä salassa pidettävien tietojen vaihtoa, on säännönmukaisesti määräys, joka rajoittaa luovutettujen tietojen käyttöä. Tämän mukaisesti erityissuojattavaa tietoaineistoa saa käyttää ja luovuttaa vain siihen tarkoitukseen, jota varten se on annettu, jollei se, joka on määritellyt aineiston turvallisuusluokan, ole antanut muuhun suostumustaan (6 § 2 mom.). Erityissuojattavien tietoaineistojen käyttöä koskee siten vahva käyttötarkoitussidonnaisuus.

Turvallisuusluokittelu ja - toimenpiteet

Laissa säädetään velvollisuudesta merkitä erityissuojattavaan tietoaineistoon sen turvallisuusluokka. Tietoaineistoon tehty merkintä turvallisuusluokasta osoittaa, minkälaisia toimenpiteitä on toteutettava aineistoa käsiteltäessä. Mitä korkeampaan turvallisuusluokkaan aineisto kuuluu, sitä tiukempia tietoturvallisuustoimenpiteitä edellytetään. Laissa on yleinen velvoite toteuttaa tietoaineiston käsittelyssä sen turvallisuusluokkaa koskevia käsittelymääräyksiä sekä valtuus säätää erityissuojattavan tietoaineiston käsittelyssä noudatettavista turvallisuusluokitusta vastaavista teknisistä turvallisuustoimenpiteistä valtioneuvoston asetuksella.

Turvallisuusluokiteltuja aineistoja käsiteltäessä on lain mukaan huolehdittava siitä, että tietoja säilytetään asianmukaisissa tiloissa. Myös tilojen turvallisuusvaatimuksista voidaan säätää asetuksella (10 §).

Lakiin kansainvälisistä tietoturvallisuusvelvoitteista on kirjattu kansainvälisissä sopimuksissa yleinen vaatimus siitä, että turvallisuusluokiteltuja tietoja viranomaisissa käytettäessä noudatetaan suurta pidättyvyyttä ja että tietoihin annetaan pääsy vain niille, jotka tarvitsevat tietoja tehtäviensä hoitamisessa. Nämä henkilöt on nimettävä etukäteen, jos sopimuksessa tätä edellytetään. Sama koskee myös 1 §:n 2 momentissa tarkoitettua elinkeinonharjoittajaa (6 § 3 mom.).

Henkilöturvallisuus

Kansainvälisessä tietoturvallisuusvelvoitteessa edellytetty henkilöturvallisuutta koskeva turvallisuusselvitys tehdään siten kuin turvallisuusselvityksistä annetussa laissa (177/2002) ja sen nojalla säädetään. Siten esimerkiksi selvityksen kohteena olevan henkilön oikeudet määräytyvät sanotun lain mukaisesti.

Kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa on kuitenkin kaksi säännöstä, jotka ovat erityissäännöksiä suhteessa turvallisuusselvityksistä annettuun lakiin. Suppea turvallisuusselvitys on mahdollista laatia muissakin kuin turvallisuusselvityksistä annetun lain 19 §:ssä luetelluissa tapauksissa, jos se on tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi (11 § 1 mom.). Toinen erityissäännös koskee viranomaisten toimivaltaa. Turvallisuusselvityksen tekee pääesikunta silloin kun turvallisuusselvityksen laatiminen on tarpeen puolustushallintoa tai puolustushankintoja koskevan kansainvälisen velvoitteen toteuttamiseksi. Muissa tapauksissa henkilöön liittyvien turvallisuusselvitysten laadinnasta huolehtii suojelupoliisi (11 § 2 mom.). Säännös on turvallisuusselvityksistä annettua lakia täsmällisempi ja siinä otetaan huomioon, minkälaisesta kansainvälisestä velvoitteesta on kysymys.

Turvallisuusselvityksistä annetun lain 10 §:n 2 momentin mukaan turvallisuusselvitykseen ei saa sisällyttää selvityksen laatineen viranomaisen arviota selvityksen kohteena olevan henkilön luotettavuudesta tai sopivuudesta virkaan tai tehtävään, ellei lain 9 §:ssä tarkoitettu valtiosopimus tai muu kansainvälinen velvoite tätä edellytä. Koska pääsääntönä on, että turvallisuusselvitys ei sisällä arviota henkilön luotettavuudesta, laissa kansainvälisistä tietoturvallisuusvelvoitteista on erikseen mainittu henkilön luotettavuuden arviointi. Tällaisen arvion tekee turvallisuusselvityksen perusteella kansallinen turvallisuusviranomainen tai, jos turvallisuusviranomaisten välillä on niin sovittu, tehtävään määrätty turvallisuusviranomainen.

Arvioinnin perusteella annetaan henkilöturvallisuutta koskeva todistus (Personal Security Clearance). Se toimitetaan tavanomaisimmin sopimuspuolen turvallisuusviranomaiselle sopimuksen osoittamalla tavalla. Laissa on myös säännökset todistuksen antamisesta henkilölle itselleen (14 §).

Yhteisöturvallisuusselvitys

Yhteisöturvallisuusselvityksellä varmistetaan elinkeinonharjoittajan toimitilojen ja käsittelykäytäntöjen asianmukaisuus sekä henkilöstön osaaminen. Elinkeinonharjoittajan luotettavuuden arvioinnilla varmistutaan erityisesti siitä, kuinka hyvin tämä pystyy huolehtimaan turvallisuusluokiteltujen tietojen suojaamisesta. Yhteisöturvallisuusmenettely ja siihen perustuva arvio toteutetaan pääosin elinkeinonharjoittajalta itseltään saatujen tietojen perusteella sekä tämän toimitilojen turvallisuuden kartoituksella, ja tarvittavista toimenpiteistä huolehditaan elinkeinonharjoittajan kanssa tehtävän sopimuksen avulla. Selvityksen laatii pääesikunta. Selvitystä laadittaessa on otettava huomioon laissa yksilöidyt seikat, muun muassa se, miten suojataan turvallisuusluokiteltuja tietoja oikeudettomalta ilmitulolta, muuttamiselta ja hävittämiseltä, ja miten estetään asiaton pääsy tiloihin, joissa turvallisuusluokiteltuja tietoja käsitellään tai joissa harjoitetaan turvallisuusluokitellussa sopimuksessa tarkoitettua toimintaa.

Pääesikunta voi tehdä lain soveltamisalan piiriin kuuluvan elinkeinonharjoittajan kanssa sopimuksen, jossa elinkeinonharjoittaja sitoutuu toimenpiteisiin kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi (13 §). Sopimuksessa voidaan yksityiskohtaisemmin määritellä ne toimenpiteet, jotka elinkeinonharjoittaja toteuttaa täyttääkseen kansainvälisistä tietoturvallisuusvelvoitteista johtuvat vaatimukset. Sopimuksessa elinkeinonharjoittaja sitoutuu myös tekemään ne mahdolliset tarkistukset toimintaansa, jotka toiminnan turvallisuuskartoituksessa on havaittu. Turvallisuusselvityksen ja mahdollisen sopimuksen jälkeen pääesikunta voi tehdä arvion elinkeinonharjoittajan luotettavuudesta ja antaa tätä koskevan turvallisuustodistuksen (Facility Security Clearance).

2.2 Turvallisuusselvityksiä koskeva lainsäädäntö

Henkilöstöturvallisuuteen liittyvistä turvallisuusselvityksistä säädetään turvallisuusselvityksistä annetussa laissa. Lain tarkoituksena on turvallisuusselvitysmenettelyä käyttämällä parantaa mahdollisuuksia ennakolta estää rikokset, jotka vakavasti vahingoittaisivat keskeisiä yleisiä tai yksityisiä etuja taikka erittäin merkittävää tietoturvallisuutta.

Turvallisuusselvitys voidaan tehdä virkaan tai tehtävään hakeutuvasta, tehtävään tai koulutukseen otettavasta taikka virkaa tai tehtävää hoitavasta henkilöstä, ja se voi olla perusmuotoinen, laaja tai suppea. Turvallisuusselvitys tehdään laissa määritellyissä tapauksissa, kuten silloin, kun Suomea sitova valtiosopimus tai muu kansainvälinen velvoite edellyttää turvallisuusselvityksen tekemistä tai sen perusteella laaditun todistuksen esittämistä.

Yksityisyyden suojan perusoikeusluonteen vuoksi turvallisuusselvitysmenettely on tarkan muotosidonnaista. Turvallisuusselvitys voidaan tehdä vain selvityksen kohteena olevan henkilön etukäteen antaman, nimenomaisen ja kirjallisen suostumuksen perusteella. Myös turvallisuusselvitysmenettelyssä käytettävät rekisterit on laissa lueteltu tyhjentävästi.

Jokaisella on oikeus saada tieto siitä, onko hänestä tehty turvallisuusselvitys tiettyä tehtävää varten. Selvityksen kohteella on myös oikeus pyynnöstä saada toimivaltaiselta viranomaiselta perusmuotoisen tai laajan turvallisuusselvityksen tiedot. Tiedonsaantioikeus ei kuitenkaan koske sellaisesta rekisteristä peräisin olevaa tietoa, johon rekisteröidyllä ei ole tarkastusoikeutta.

Turvallisuusselvityslain kokonaistarkistusta varten on asetettu oikeusministeriön työryhmä. Työryhmälle annettuun tehtävään kuuluu turvallisuusselvityslain kehittäminen siten, että se vastaa Suomea sitovia velvoitteita ja kansainvälisesti yleisesti sovellettavia käytäntöjä. Työryhmän on määrä saada työnsä päätökseen maaliskuussa 2010.

3 Esityksen tavoitteet

Esityksen tavoitteena on saattaa voimaan Suomen ja Espanjan välinen tietoturvallisuussopimus ja sillä tavoin parantaa maiden välistä yhteistyötä sekä turvata suomalaisten yritysten mahdollisuudet osallistua sellaisiin kansainvälisiin sekä Suomen ja Espanjan välisiin hankkeisiin, joiden toteuttaminen saattaa edellyttää arkaluonteisten salassa pidettävien tietojen vaihtoa.

4 Esityksen vaikutukset
4.1 Vaikutukset kansalaisiin

Sopimuksen voimaansaattamisen myötä Espanjasta Suomeen toimitettuihin turvallisuusluokiteltuihin tietoihin ja materiaaleihin sovellettaisiin lakia kansainvälisistä tietoturvallisuusvelvoitteista. Lakiin sisältyy erityissäännös, jonka mukaan toisen sopimuspuolen salassa pidettävät ja turvallisuusluokitellut asiakirjat ja niihin sisältyvät tiedot ovat myös Suomessa salassa pidettäviä. Säännös poikkeaa muodoltaan julkisuuslain yleistä etua koskevista salassapitosäännöksistä, joissa salassapito on useimmissa tapauksissa riippuvainen siitä, minkälaisia vaikutuksia tietojen antamisella olisi suojattavalle edulle. Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain mukainen salassapito on näin ollen sanamuodon mukaan kattavampi kuin yleisessä julkisuuslaissa.

Suomen ja Espanjan välisessä sopimuksessa on kysymys asiakirjoista, joita toinen sopimuspuoli pitää salassa pidettävinä ja jotka se on määritellyt ja merkinnyt korkean tietoturvallisuuden tasoa edellyttäviksi. Tällaisia asiakirjoja on säännönmukaisesti pidettävä salaisina myös julkisuuslain 24 §:n 1 momentin 2 kohdan mukaan. Merkittävimpänä erona on se, että viranomaisella ei olisi kansainvälisessä tietoturvallisuusvelvoitteessa tarkoitettuun asiakirjaan kohdistuvaa tiedonsaantipyyntöä ratkaistessaan velvollisuutta erikseen perustella tiedon antamisesta aiheutuvaa vahinkoa. Tiedonsaantipyyntö olisi muutoin käsiteltävä julkisuuslain mukaisesti. Siten viranomaisen on varmistettava, että asiakirjaan merkitty salaisuusluokka vastaa sopimuksessa sovittua. Jos luokituksen oikeellisuudesta tai siitä, minkä asiakirjan tietojen vuoksi luokitusmerkintä on tehty, syntyy epäselvyyttä, viranomaisen on otettava yhteyttä asiakirjan laatineeseen sopimuspuoleen.

Edellä olevan perusteella voidaan arvioida, että Suomen ja Espanjan välisen tietoturvallisuussopimuksen voimaansaattamista koskeva lakiehdotus ei asiallisesti vaikuta kansalaisten tiedonsaantia vähentävästi suhteessa siihen, mitä tiedonsaanti yleisen lainsäädännön mukaan on.

Henkilöturvallisuus on keskeinen tietoturvallisuuden osa-alue. Koska jo laki kansainvälisistä tietoturvavelvoitteista edellyttää turvallisuusselvityksistä annetun lain mukaisen menettelyn käyttämistä henkilöstön luotettavuuden varmistamisesta, ehdotetun voimaansaattamislain hyväksyminen ei tarkoittaisi sitä, että kansalaisten yksityisyyselämän ja henkilötietojen suojaa kavennettaisiin aikaisempaan verrattuna.

4.2 Vaikutukset elinkeinoelämään

Sopimus antaa suomalaiselle teollisuudelle, toisin kuin tähän asti, mahdollisuudet saada sellaisia tilauksia tai osallistua sellaisiin hankkeisiin, joiden toteuttaminen edellyttää pääsyä Espanjan turvallisuusluokiteltuihin tietoihin. Vastaavasti sopimus antaa Espanjan teollisuudelle, toisin kuin tähän asti, mahdollisuuden saada sellaisia tilauksia tai osallistua sellaisiin hankkeisiin, joiden toteuttaminen edellyttää pääsyä Suomen turvaluokiteltuun tietoon.

4.3 Taloudelliset vaikutukset

Esityksellä ei ole vaikutusta valtion talousarvioon eikä muitakaan vähäistä merkittävämpiä taloudellisia vaikutuksia.

Kansainvälisistä tietoturvallisuusvelvoitteista annettuun lakiin on vireillä muutos, jonka perusteella suojelupoliisi ottaisi vastatakseen muut kuin puolustushallinnon alaa koskevat yhteisöturvallisuusselvitykset. Pääesikunnan ja suojelupoliisin välillä on kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 5 § 2 momentin perusteella jo sovittu, että suojelupoliisi vastaa 1.7.2009 alkaen edellä mainituista selvityksistä. Sisäasiainministeriö on myöntänyt suojelupoliisille väliaikaiset voimavarat tehtävien hoitamiseksi. Edellä mainitusta muutoksesta aihetuvat taloudelliset, hallinnolliset ja mahdolliset muut vaikutukset tullaan käsittelemään kattavasti asianomaisen hallituksen esityksen yhteydessä.

4.4 Vaikutukset hallintoon

Esitykseen sisältyvän sopimuksen ja lain hyväksymisestä ei aiheudu hallintoa koskevia muutosvelvoitteita tai -tarpeita.

5 Asian valmistelu

Hallituksen esitys on valmisteltu virkatyönä ulkoasiainministeriössä. Sopimuksen valmisteluun ja sen neuvotteluun on osallistunut edustajia ulkoasiainministeriöstä, oikeusministeriöstä, puolustusministeriöstä sekä työ- ja elinkeinoministeriöstä.

Esityksestä on pyydetty lausunnot oikeusministeriöltä, työ- ja elinkeinoministeriöltä, puolustusministeriöltä, valtiovarainministeriöltä, sisäasiainministeriöltä, liikenne- ja viestintäministeriöltä, suojelupoliisilta, pääesikunnalta sekä Elinkeinoelämän keskusliitolta (EK).

Lausunnoissa on puollettu sopimuksen pikaista hyväksymistä ja voimaansaattamista.

YKSITYISKOHTAISET PERUSTELUT

1 Sopimuksen sisältö ja suhde Suomen lainsäädäntöön

1 artikla. Tarkoitus ja soveltamisala. Artiklassa määritellään sopimuksen tarkoitukseksi suojata Suomen ja Espanjan kesken välitetyt turvallisuusluokitellut tiedot. Artiklassa määritellään myös ne toiminnot, joihin sopimusta sovelletaan. Näitä ovat ulko-, puolustus- ja turvallisuusasiat sekä teollisuusasiat. Rajaturvallisuuden ylläpitämisen katsotaan sisältyvän edellä mainittuihin aloihin. Sopimusta sovelletaan myös sellaisten tietojen välittämiseen, jotka syntyvät tai joita tuotetaan sopimuksen soveltamisalaan kuuluvien toimintojen yhteydessä.

2 artikla. Määritelmät. Sopimuksen 2 artiklassa määritellään sopimuksen soveltamisen kannalta keskeiset käsitteet.

Turvallisuusluokitellulla tiedolla tarkoitetaan sopimuspuolten toisilleen välittämää tietoa, asiakirjaa tai aineistoa, joka on merkitty kansallisten määräysten mukaisesti asianmukaisella turvallisuusluokitusmerkinnällä. Määritelmä kattaa myös turvallisuusluokitellun tiedon pohjalta tuotetun tiedon, asiakirjan tai aineiston.

Turvallisuusluokitellulla sopimuksella tarkoitetaan sopimuspuolen lainkäyttövaltaan kuuluvien hankeosapuolten kanssa tai välillä tehtyä sopimusta tai alihankintasopimusta, taikka näitä edeltäviä neuvotteluja, johon sisältyy turvallisuusluokiteltua tietoa, pääsy tällaiseen tietoon taikka joka koskee tällaisen tiedon tuottamista. Kohta on sopusoinnussa kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 2 §:n 3 kohdan kanssa.

Lähettävällä sopimuspuolella tarkoitetaan sopimuspuolta sekä sen lainkäyttövaltaan kuuluvaa julkis- tai yksityisoikeudellista oikeushenkilöä, joka luovuttaa turvallisuusluokiteltua tietoa vastaanottavalle sopimuspuolelle. Vastaanottavalla sopimuspuolella tarkoitetaan sopimuspuolta sekä sen lainkäyttövaltaan kuuluvaa muuta valtion laitosta taikka julkis- tai yksityisoikeudellista oikeushenkilöä, jolle turvallisuusluokiteltua tietoa välitetään.

Henkilöturvallisuusselvityksellä tarkoitetaan toimivaltaisen turvallisuusviranomaisen tekemää arviota, jonka mukaan henkilölle voidaan sallia pääsy turvallisuusluokiteltuun tietoon kansallisten määräysten mukaisesti. Tässä yhteydessä henkilölle on selostettava hänen turvallisuusluokiteltua tietoa koskevat velvollisuutensa ja vastuunsa. Määräys on sopusoinnussa kansainvälisistä tietoturvavelvoitteista annetun lain 6 §:n 3 momentin ja 11 §:n kanssa.

Yhteisöturvallisuusselvityksellä tarkoitetaan toimivaltaisen turvallisuusviranomaisen tekemää arviota, jonka mukaan organisaatiolla on turvallisuuden kannalta asianmukaiset fyysiset ja organisatoriset valmiudet turvallisuusluokitellun tiedon käsittelyyn kansallisten määräysten mukaisesti. Yhteisöturvallisuudesta on säädetty kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 12 §:ssä.

3 artikla. Toimivaltaiset turvallisuusviranomaiset. Artiklan 1 kappaleessa määritellään kummankin sopimusvaltion toimivaltaiset turvallisuusviranomaiset. Suomessa kansallisena turvallisuusviranomaisena (National Security Authority, NSA) toimii kansainvälisistä tietoturvallisuusvelvoitteista annetun lain mukaan ulkoasiainministeriö, missä tehtävää hoitaa turvallisuusyksikkö. Espanjassa tehtävää hoitaa Kansallisen tiedustelukeskuksen (National Intelligence Centre) valtiosihteeri. Artiklan 2 kappale velvoittaa turvallisuusviranomaiset ilmoittamaan toisilleen kirjallisesti kansallisia turvallisuusviranomaisia koskevat muutokset. Kansalliset turvallisuusviranomaiset antavat 3 kappaleen mukaisesti toisilleen tiedoksi muut toimivaltaiset turvallisuusviranomaiset, jotka vastaavat sopimuksen täytäntöönpanosta. Suomessa nimettyinä turvallisuusviranomaisina toimivat kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 4 §:n mukaisesti pääesikunta, suojelupoliisi sekä puolustusministeriö.

4 artikla. Turvallisuusluokitukset. Artiklassa määritellään, miten Suomen ja Espanjan turvallisuusluokitusten tasot vastaavat toisiaan. Turvallisuusluokkia on kummassakin valtiossa neljä.

Korkein, ankarimpia tietoturvallisuustoimenpiteitä vaativa luokka on ”ERITTÄIN SALAINEN” (SECRETO). Suomessa luokkaan ”erittäin salainen” luetaan kuuluviksi tiedot, joiden luvaton ilmitulo voi aiheuttaa erittäin suurta vahinkoa maanpuolustukselle, turvallisuudelle, kansainvälisille suhteille tai muille yleisille eduille. Suomen kansainvälisiä suhteita suojaavat julkisuuslain 24 §:n 1 momentin 1 ja 2 kohta, maanpuolustusta momentin 10 kohta ja turvallisuutta momentin 5, 8 ja 9 kohdat. Muita määritelmässä tarkoitettuja yleisiä etuja voivat olla esimerkiksi valtionjohdon ja valtiovieraiden sekä tietojärjestelmien turvallisuusjärjestelyjen suojaaminen (24 § 1 mom. 7 kohta) sekä kansantalouden toimivuus (24 § 1 mom. 11 ja 12 kohta).

Toiseksi korkein turvallisuusluokka on ”SALAINEN” (RESERVADO). Tähän kuuluvat Suomessa tiedot, joiden luvaton ilmitulo voi aiheuttaa merkittävää vahinkoa maanpuolustukselle, turvallisuudelle, kansainvälisille suhteille tai muille yleisille eduille.

Kolmanneksi korkein turvallisuusluokka on ”LUOTTAMUKSELLINEN” (CONFIDENCIAL), jolla tarkoitetaan Suomessa tietoja, joiden luvaton ilmitulo voi aiheuttaa vahinkoa maanpuolustukselle, turvallisuudelle, kansainvälisille suhteille tai muille yleisille eduille.

Neljänteen asiakirjaluokkaan ”KÄYTTÖ RAJOITETTU” (DIFUSIÓN LIMITADA) kuuluvat tiedot, joiden luvaton ilmitulo voi aiheuttaa haittaa yleisille eduille tai heikentää viranomaisen toimintaedellytyksiä.

Artiklan 2 kappaleen mukaan vastaanottava sopimuspuoli voi muuttaa turvallisuusluokituksen tasoa tai poistaa sen vain, jos lähettävä sopimuspuoli on antanut tähän ennakolta kirjallisen suostumuksensa.

Artiklan 3 kappaleen mukaan vastaanottavalla sopimuspuolella on oikeus pyytää lähettävän sopimuspuolen toimivaltaista turvallisuusviranomaista muuttamaan turvallisuusluokitusta tai ilmoittamaan perusteet tietyn luokitustason valinnalle.

5 artikla. Turvallisuusluokitellun tiedon vastavuoroinen suojaaminen. Artiklan 1 kappale sisältää sopimuksen keskeisimmän periaatteen, jonka mukaan sopimuspuolet sitoutuvat antamaan turvallisuusluokitellulle tiedolle samantasoisen suojan kuin vastaavaan omaan kansalliseen turvallisuusluokkaan luokitellulle tiedolleen. Artiklan 2 ja 3 kappale sisältävät keskeiset tiedon vastavuoroista suojaamista koskevat sitoumukset. Turvallisuusluokiteltua tietoa ei saa luovuttaa kolmannelle osapuolelle ilman lähettävän sopimuspuolen ennakolta antamaa kirjallista suostumusta. Turvallisuusluokiteltua tietoa ei saa käyttää muuhun tarkoitukseen kuin siihen, jota varten se on välitetty. Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 6 §:ssä on salassapitovelvollisuutta koskeva erityissäännös, jonka mukaan kansainvälisen tietoturvallisuussopimuksen mukaisesti turvallisuusluokiteltu tieto on pidettävä salassa (6 § 1 mom.), eikä sitä saa luovuttaa edelleen ilman tiedon lähettäneen sopimuspuolen suostumusta ( 6 § 2 mom.). Artiklan 4 kappaleessa sallitaan pääsy turvallisuusluokiteltuun tietoon vain henkilölle, jolla on tiedonsaantitarve, lupa tiedonsaantiin ja jolle on selostettu tähän tietoon liittyvä vastuu ja velvollisuudet. Määräys on sopusoinnussa kansainvälisen tietoturvallisuusvelvoitteista annetun lain 6 §:n 3 momentin kanssa, jossa sallitaan tietoaineistoon pääsy vain niille henkilöille, jotka tarvitsevat tietoja tehtävänsä hoitamiseen. Kansainvälisen tietoturvallisuusvelvoitteen edellyttämä henkilöiden luotettavuuden varmistaminen toteutetaan Suomessa turvallisuusselvityksistä annetun lain sekä kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 11 §:n mukaisesti. Henkilöturvallisuusselvityksen laatii pääesikunta silloin, kun kysymys on puolustushallintoon liittyvästä asiasta, muutoin suojelupoliisi. Artiklan 5 kappaleen mukaan turvallisuusviranomaiset avustavat toisiaan pyynnöstä toisen sopimuspuolen alueella asuvien kansalaistensa henkilöturvallisuusselvityksiin liittyvissä menettelyissä. Artiklan 6 kappaleessa edellytetään, että sopimuspuolet varmistavat sopimuksen täytäntöönpanon valvonnan asianmukaisen toteuttamisen.

6 artikla. Turvallisuusluokitellut sopimukset. Artikla sisältää määräykset niitä tilanteita varten, joissa toinen sopimuspuoli tekee, taikka antaa luvan oman lainkäyttövaltansa piiriin kuuluvalle hankeosapuolelle tehdä, turvallisuusluokitellun sopimuksen toisen sopimuspuolen lainkäyttövallan piiriin kuuluvan hankeosapuolen kanssa.

Artiklan 1 kappaleen mukaan lähettävän sopimuspuolen turvallisuusviranomaisen on pyynnöstään saatava vastaanottavan sopimuspuolen turvallisuusviranomaiselta hankeosapuolen asiaankuuluvat turvallisuustodistukset. Määräyksellä pyritään turvaamaan lähettävän sopimuspuolen vapaa harkintavalta hankintasopimusvalmistelussa. Kuitenkin silloin, kun kyse on avoimesta tarjouskilpailusta, jota ei ole suunnattu erityisesti mihinkään maahan tai yritykseen, vastaanottavan sopimuspuolen turvallisuusviranomainen voi toimittaa lähettävän sopimuspuolen turvallisuusviranomaiselle asiaankuuluvat turvallisuustodistukset ilman tämän virallista pyyntöä. Määräyksen tarkoituksena on nopeuttaa suomalaisten tai vastavuoroisesti espanjalaisten yritysten pääsyä tarjouksen tekemiseen tarpeelliseen turvallisuusluokiteltuun tietoon, mikä puolestaan tehostaisi yritysten tarjousvalmistelua ja parantaisi niiden kilpailuasemaa. Artiklan 2 kappaleessa määrätään vastaanottavan sopimuspuolen toimivaltaisen turvallisuusviranomaisen tehtäväksi varmistaa, että hankeosapuolen toimitiloista ja henkilöstöstä on tehty asianmukaiset yhteisö- ja henkilöturvallisuusselvitykset (a kohta) ja suorittaa hankeosapuolen toimitilojen turvallisuustarkastukset (b kohta).

Artiklan 3 kappaleessa rinnastetaan alihankkijat pääsopimuksen tehneisiin hankeosapuoliin. Artiklan 4 kappaleessa edellytetään, että kussakin turvallisuusluokitellussa sopimuksessa on turvallisuutta koskeva osuus, joka sisältää luokitusohjeet.

Artiklan 5 kappale mahdollistaa toimivaltaisten turvallisuusviranomaisten tekemät turvallisuustarkastukset. Näillä tarkastuksilla pyritään varmistamaan, että hankeosapuolet täyttävät sopimuksen määräykset. Turvallisuusluokiteltuja sopimuksia koskevat kansalliset säännökset sisältyvät kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 1 § 2 momenttiin (soveltaminen elinkeinonharjoittajaan), 2 §:n 2 kohtaan (erityissuojattava tietoaineisto), 7 §:ään (vaitiolovelvollisuus ja hyväksikäyttökielto) 12 §:ään (yhteisöturvallisuusselvitys) ja 13 §:ään, jossa on säännökset hankeosapuolen antamasta sitoumuksesta turvallisuustoimenpiteiden suorittamiseen. Kansallinen sääntely vastaa sopimusvelvoitteen vaatimuksia. Velvoitteen täyttämiseksi tarpeellisesta suomalaisen viranomaisen tietojenanto-oikeudesta säädetään kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 17 §:ssä.

7 artikla. Turvallisuusluokitellun tiedon välittäminen. Artikla sisältää määräykset menettelystä siirrettäessä turvallisuusluokiteltuja tietoja sopimuspuolten kesken. Artiklan mukaan tieto välitetään diplomaattiteitse silloin, kun kyse on turvallisuusluokkaan ”LUOTTAMUKSELLINEN” taikka sitä ylempään luokkaan luokitellusta tiedosta, ellei toisin ole sovittu. Artiklan 2 kappale mahdollistaa myös muista välitystavoista sopimisen kansallisten turvallisuusviranomaisten kesken. Sähköinen välittäminen on 3 kappaleen mukaan mahdollista ainoastaan täysin salatussa muodossa silloin, kun käytetään salausmenetelmiä ja -laitteita, jotka toimivaltaiset turvallisuusviranomaiset ovat hyväksyneet. Turvallisuusluokkaan ”KÄYTTÖ RAJOITETTU” kuuluvaa tietoa voidaan välittää 4 kappaleen mukaan myös postitse tai käyttäen muuta kuljetuspalvelua ottaen huomioon lähettävän sopimuspuolen kansallisten määräysten vaatimukset. Artiklan 5 kappaleen mukaan turvallisuusviranomaisten on hyväksyttävä tapauskohtaiset järjestelyt turvallisuusluokitellun tiedon suurten erien toimittamiseksi. Turvallisuusluokkaa vastaavista käsittelyvaatimuksista on säädetty kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 9 §:ssä. Erityissuojattavan tietoaineiston käsittelyssä noudatettavista eri turvallisuusluokkia vastaavista turvallisuustoimenpiteistä voidaan säätää valtioneuvoston asetuksella.

8 artikla. Turvallisuusluokitellun tiedon kääntäminen, kopiointi ja hävittäminen.

Artikla sisältää määräykset siitä, miten eri turvallisuusluokkiin kuuluvia aineistoja saa kääntää, kopioida ja hävittää.

Artiklan 1 kappale sisältää kiellon turvallisuusluokkaan ”ERITTÄIN SALAINEN” tai ”SALAINEN” kuuluvan tiedon kääntämisestä ja kopioinnista ilman aineiston lähettäneen sopimuspuolen turvallisuusviranomaisen siihen ennakolta antamaa kirjallista lupaa. Mainittuja turvallisuusluokkia alempiin luokkiin kuuluvaan tietoa käännettäessä ja kopioitaessa noudatetaan vastaanottavan sopimuspuolen kansallisia määräyksiä. Kansalliset säännökset velvoitteen toteuttamisesta voidaan tarvittaessa säätää kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 9 §:n nojalla. Turvallisuusluokitellusta tiedosta tai sen käännöksestä saa ottaa 2 kappaleen mukaan kopioita vain tarvittavan määrän. Käännökset on teetettävä henkilöillä, joista on tehty turvallisuusselvitys (3 kappale). Artiklan 4 kappaleen mukaan luokkaan ”ERITTÄIN SALAINEN” kuuluvaa tietoa ei hävitetä, vaan se palautetaan lähettävälle sopimuspuolelle sen jälkeen, kun sopimuspuolet eivät enää katso sitä tarvittavan. Määräyksellä turvataan tiedon säilyminen esimerkiksi tilanteissa, joissa aineisto tai sen osa on arkistolainsäädännön vuoksi säilytettävä. Turvallisuusluokkaan ”SALAINEN” tai sitä alempaan turvallisuusluokkaan kuuluva tieto voidaan 5 kappaleen mukaan hävittää, jos lähettävä sopimuspuoli antaa tähän ennakolta kirjallisen suostumuksensa. Tätä alempaan turvallisuusluokkaan kuuluva tieto hävitetään kansallisten määräysten mukaisesti (6 kappale).

9 artikla. Vierailut. Artikla sisältää määräykset niistä menettelytavoista, joita noudatetaan järjestettäessä sopimuspuolen edustajille tilaisuus tutustua toisen sopimuspuolen sellaisiin toimitiloihin, joihin liittyy pääsy turvallisuusluokiteltuun tietoon. Artiklan 1 kappaleen mukaan vierailut edellyttävät isäntämaan toimivaltaisen turvallisuusviranomaisen ennakolta antamaa lupaa. Jos vierailut liittyvät ”KÄYTTÖ RAJOITETTU” luokkaan kuuluvaan tietoon, vierailut järjestetään suoraan lähettävän ja vastaanottavan organisaation kesken. Artiklan 2 kappaleen mukaan vierailun sallimisen edellytyksenä on, että vierailijalla on tiedonsaantitarve, asianmukainen henkilöturvallisuusselvitys ja lupa saada turvallisuusluokiteltua tietoa tai pääsy siihen. Kolmansien maiden kansalaisten mainitut vierailut edellyttävät 3 kappaleen mukaan sopimuspuolten keskinäistä sopimusta. Vierailupyyntö esitetään 4 kappaleen mukaan isäntämaan toimivaltaiselle turvallisuusviranomaiselle vähintään 20 päivää ennen vierailua. Kiireellisissä tapauksissa pyyntö toimitetaan vähintään kymmenen päivää ennen vierailua. Tarkemmat määräykset tiedoista, jotka on sisällytettävä vierailupyyntöön määrätään 5 kappaleessa. Vierailulupa on voimassa enintään vuoden (6 kappale). Artiklan 7 kappaleen mukaan sopimuspuolet voivat laatia luettelot henkilöistä, joilla on lupa toistuviin vierailuihin. Luettelo on voimassa enintään 12 kuukautta. Luettelon hyväksymisen jälkeen asianomaiset organisaatiot, joita vierailu koskee, voivat järjestää vierailuja suoraan keskenään. Vierailujen toteuttamiseen liittyvät säännökset ovat kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 18 §:ssä.

10 artikla. Ilmoitukset ja neuvottelut. Artikla sisältää määräykset sopimuspuolten viranomaisten välisestä yhteistyöstä sopimuksen täytäntöönpanon varmistamiseksi.

Artiklan 1 kappaleen mukaan sopimuspuolten toimivaltaiset turvallisuusviranomaiset antavat toisilleen tiedoksi turvallisuusluokitellun tiedon suojaamiseen sovellettavat kansalliset määräyksensä muutoksineen. Toimivaltaiset turvallisuusviranomaiset neuvottelevat tarvittaessa sopimuksen täytäntöönpanoon liittyvistä kysymyksistä ja kehittävät yksityiskohtaiset menettelyt sopimuksen täytäntöönpanemiseksi (2 ja 3 kappale). Artiklan 4 kappaleen mukaan sopimuspuoli sallii toisen sopimuspuolen turvallisuusviranomaisen edustajien vierailut turvallisuusjärjestelmäänsä tutustumiseksi. Vierailuilla pyritään selventämään toisen sopimuspuolen turvallisuusluokitellun tiedon turvaamista koskevia menettelyjä.

11 artikla. Riitojen ratkaiseminen. Kaikki sopimuksen tulkintaan tai soveltamiseen liittyvät sopimuspuolten väliset riidat ratkaistaan yksinomaan sopimuspuolten välisissä neuvotteluissa.

12 artikla. Tietoturvan loukkaus. Artiklan 1 kappaleen mukaan kumpikin sopimuspuoli on velvollinen ilmoittamaan viipymättä toiselle epäillystä tai todetusta turvallisuusluokitellun tiedon loukkaamisesta tai vaarantamisesta. Se sopimuspuoli, jonka lainkäyttövaltaan asia kuuluu, toteuttaa 2 kappaleen mukaan kansallisen lainsäädäntönsä mukaisesti kaikki asianmukaiset toimenpiteet rajoittaakseen tietoturvan loukkausten seurauksia sekä estääkseen loukkausten jatkumisen. Toinen sopimuspuoli avustaa pyynnöstä tutkinnassa. Toiselle sopimuspuolelle toimitetaan tieto tutkinnan tuloksista sekä loukkauksen johdosta toteutetuista toimenpiteistä. Artiklan tarkoittamien velvoitteiden täytäntöön panemiseksi tarpeelliset säännökset sisältyvät kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 19 §:ään.

13 artikla. Kustannukset. Artiklassa todetaan, että sopimuksen täytäntöönpano ei pääsääntöisesti aiheuta kustannuksia. Sopimuspuolet eivät korvaa toisilleen sopimuksesta mahdollisesti syntyneitä kustannuksia.

14 artikla. Loppumääräykset. Artiklassa on sopimuksen voimaantuloa, muuttamista, ja irtisanomista koskevat määräykset. Sopimus on tehty toistaiseksi ja sitä voidaan muuttaa sopimuspuolten yhteisestä sopimuksesta. Sopimuksen irtisanominen tulee voimaan kuuden kuukauden kuluessa irtisanomisilmoituksen vastaanottamisesta. Sopimuksen irtisanomisesta riippumatta kaikki sopimuksen mukaisesti luovutettu turvallisuusluokiteltu tieto suojataan edelleen sopimuksen määräyksiä noudattaen, kunnes lähettävä sopimuspuoli vapauttaa vastaanottavan sopimuspuolen tästä velvoitteesta.

2 Lakiehdotuksen perustelut

Suomen perustuslain 95 §:ssä edellytetään, että kansainvälisen velvoitteen lainsäädännön alaan kuuluvat määräykset saatetaan valtionsisäisesti voimaan erityisellä voimaansaattamislailla. Tällaiset määräykset tulee saattaa voimaan lailla myös silloin, kun velvoitteen johdosta ei ole tarpeen tarkistaa kansallisen lainsäädännön aineellista sisältöä. Koska Suomen ja Espanjan välisen tietoturvallisuussopimuksen velvoitteiden toteuttamiseksi ei aineellista lainsäädäntöä ole tarpeen muuttaa, esitys sisältää vain ehdotuksen blankettilaiksi.

1 §. Lakiehdotuksen 1 §:n säännöksellä saatettaisiin voimaan sopimuksen lainsäädännön alaan kuuluvat määräykset. Lainsäädännön alaan kuuluvia määräyksiä selostetaan jäljempänä eduskunnan suostumuksen tarpeellisuutta koskevassa jaksossa.

2 §. Lain voimaantulosta säädettäisiin tasavallan presidentin asetuksella. Lain on tarkoitus tulla voimaan samanaikaisesti kuin sopimus tulee Suomen osalta voimaan.

3 Voimaantulo

Suomen ja Espanjan välisen sopimuksen 14 artiklan 1 kappaleen mukaan kumpikin sopimuspuoli ilmoittaa toiselle sopimuspuolelle, kun sopimuksen voimaantulon edellyttämät kansallisen lainsäädännön mukaiset vaatimukset on saatettu päätökseen. Sopimus tulee voimaan toiseksi seuraavan kuukauden ensimmäisenä päivänä jälkimmäisen ilmoituksen vastaanottamisesta.

Sopimuksen voimaansaattamislaki on tarkoitettu tulemaan voimaan tasavallan presidentin asetuksella säädettävänä ajankohtana samaan aikaan kuin sopimus tulee Suomen osalta voimaan.

4 Eduskunnan suostumuksen tarpeellisuus ja käsittelyjärjestys
4.1 Eduskunnan suostumuksen tarpeellisuus

Perustuslain 94 §:n 1 momentin mukaan eduskunta hyväksyy sellaiset valtiosopimukset ja muut kansainväliset velvoitteet, jotka sisältävät lainsäädännön alaan kuuluvia määräyksiä. Perustuslakivaliokunnan tulkintakäytännön mukaan määräys on luettava lainsäädännön alaan kuuluvaksi, jos se koskee jonkin perustuslaissa turvatun perusoikeuden käyttämistä tai rajoittamista, jos määräys muutoin koskee yksilön oikeuksien ja velvollisuuksien perusteita, jos määräyksen tarkoittamasta asiasta on perustuslain mukaan säädettävä lailla, tai jos määräyksessä tarkoitetusta asiasta on jo voimassa lain säännöksiä taikka siitä on Suomessa vallitsevan käsityksen mukaan säädettävä lailla. Perustuslakivaliokunnan mukaan kansainvälisen velvoitteen määräys kuuluu näiden perusteiden mukaan lainsäädännön alaan siitä riippumatta, onko määräys ristiriidassa vai sopusoinnussa Suomessa lailla annetun säännöksen kanssa (kts. esimerkiksi PeVL 11/2000 vp ja PeVL 12/2000 vp).

Edellä mainituilla perusteilla esitykseen sisältyvässä sopimuksessa on lukuisia eduskunnan hyväksymistä edellyttäviä määräyksiä. Sopimuksen 1 artiklassa määrätään sopimuksen tarkoituksesta ja soveltamisalasta. Sopimuksen 2 artiklassa määritellään, mitä tarkoitetaan turvallisuusluokitellulla tiedolla, turvallisuusluokitellulla sopimuksella, henkilöturvallisuusselvityksellä ja yhteisöturvallisuusselvityksellä. Koska nämä sopimusmääräykset vaikuttavat joko suoraan tai välillisesti sopimuksen lainsäädännön alaan kuuluvien aineellisten määräysten tulkintaan ja soveltamiseen, ne edellyttävät eduskunnan hyväksymistä (PeVL 6/2001 vp).

Sopimuksen 3 artiklassa määritellään Suomen kansalliseksi turvallisuusviranomaiseksi ulkoasiainministeriö. Sopimusmääräys vastaa kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 4 §:n 1 momenttia. Määräys on siten toteava, eikä sen siten ole katsottava edellyttävän eduskunnan hyväksymistä.

Turvallisuusluokiteltua tietoa koskeva käyttörajoitus ja turvallisuusluokiteltua tietoa saavia henkilöitä koskeva rajoitus on ilmaistu sopimuksen 5 artiklassa. Artiklassa määrätään velvollisuudesta suojata sopimuksen soveltamisalan piiriin kuuluva turvallisuusluokiteltu tieto kansallisin toimenpitein, jotka rajoittavat turvallisuusluokitellun tiedon välittämistä, käyttämistä ja pääsyä siihen. Sopimuspuolet ovat 1 kappaleen mukaan velvollisia antamaan vastaanotetulle turvallisuusluokitellulle tiedolle saman suojan kuin omalle vastaavaan turvallisuusluokkaan kuuluvalle tiedolleen, mikä edellyttää vastaanotetun turvallisuusluokitellun tiedon merkitsemistä asianmukaisesti. Vastaanottava sopimuspuoli ei saa luovuttaa turvallisuusluokiteltua tietoa ilman lähettävän sopimuspuolen lupaa. Suomessa viranomaisten asiakirjojen julkisuus on pääsääntö. Jokaisella on perustuslain 12 §:n 2 momentin mukaan oikeus saada tieto viranomaisen julkisesta asiakirjasta. Tätä oikeutta voidaan rajoittaa välttämättömistä syistä vain lailla. Yleisesti sovellettavat säännökset salassapito- ja luokitusmerkinnästä on säädetty julkisuuslain 25 §:ssä. Lain 25 §:n mukaan salassa pidettävään viranomaisen asiakirjaan on tehtävä merkintä asiakirjan salassa pitämisestä, kun tällainen asiakirja annetaan asianosaiselle ja kun asiakirja on pidettävä salassa toisen tai yleisen edun vuoksi. Muihin salaisiin asiakirjoihin tehtävä merkintä on harkinnanvarainen. Julkisuuslain säännöksistä poiketen kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 6 §:n 1 momentin mukaan erityissuojattava tietoaineisto on pidettävä salassa. Lisäksi samaisen lain 8 §:ssä on säännökset turvallisuusluokan merkitsemisestä erityissuojattavaan tietoaineistoon. Sen mukaisesti erityissuojattavaan tietoaineistoon on julkisuuslain säännöksistä riippumatta tehtävä kansainvälisessä tietoturvallisuusvelvoitteessa määritelty merkintä sen osoittamiseksi, millaisia tietoturvallisuusvaatimuksia käsittelyssä on noudatettava. Sopimusmääräykset asettavat näin ollen Suomen lainsäädäntöä tiukemmat vaatimukset turvallisuusluokitellun tiedon merkitsemiselle. Määräykset edellyttävät eduskunnan hyväksymistä. Edelleen 5 artiklan 4 kappaleessa määrätään sopimuspuolten velvollisuudesta teettää asianmukainen turvallisuusselvitys henkilöistä, joilla on pääsy sopimuksessa tarkoitettuun turvallisuusluokiteltuun tietoon. Turvallisuusselvitysten laadinnassa on otettava huomioon perustuslain 10 §:n 1 momentissa säädetty yksityiselämän suoja ja velvollisuus säätää henkilötietojen suojasta lailla. Suomessa turvallisuusselvityksen kohteena olevista henkilöistä sekä selvityksessä sovellettavasta menettelystä on säädetty turvallisuusselvityksistä annetussa laissa.

Sopimuksen 6 artiklassa on määräykset turvallisuusluokitelluista sopimuksista ja niihin tarvittavista turvallisuusselvityksistä. Yhteisöturvallisuusselvitystä koskevat säännökset sisältyvät kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 12 ja 13 §:ään, joten määräyksen on katsottava kuuluvan lainsäädännön alaan.

Sopimuksen 7 artiklassa on määräykset turvallisuusluokitellun tiedon välittämisestä ja 8 artiklassa turvallisuusluokitellun tiedon kääntämisestä, kopioinnista ja hävittämisestä. Turvallisuusluokkaa vastaavista käsittelyvaatimuksista on säädetty kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 9 §:ssä. Erityissuojattavan tietoaineiston käsittelyssä noudatettavista eri turvallisuusluokkia vastaavista turvallisuustoimenpiteistä voidaan säätää valtioneuvoston asetuksella.

Sopimuksen 9 artiklassa on määräykset toisen sopimuspuolen luonnollisten henkilöiden vierailuista isäntämaana toimivan sopimuspuolen tiloihin, joissa käsitellään turvallisuusluokiteltua tietoa. Sopimuspuolen edustajien vierailuiden tarkoituksena on varmistaa sopimuksen tarkoituksen toteuttaminen turvallisuusluokiteltujen tietojen asianmukaiseksi suojaamiseksi. Tähän vierailuoikeuteen ei sisälly sellaista julkista vallan käyttöä ja tarkastusoikeutta, joka olisi ristiriidassa perustuslain kanssa (PeVL 179/1997). Sopimusmääräys luo välillisesti myös yksityisille tilausten saajille velvollisuuden sallia vierailut omiin toimitiloihinsa. Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 18 §:ssä on vastaavat säännökset vierailuja koskevan sopimusmääräyksen täytäntöönpanoon liittyvistä seikoista.

Sopimuksen 12 artiklassa edellytetään, että sopimuspuoli ilmoittaa viipymättä toiselle sopimuspuolelle, jos tietoturvaloukkauksen todetaan tapahtuneen taikka sitä epäillään. Sopimuspuolten on tutkittava turvallisuusluokitellun tiedon suojaamista koskevien säännösten rikkominen sekä ryhdyttävä mahdollisuuksien mukaan toimenpiteisiin myös kolmannessa maassa tapahtuneen tietoturvaloukkauksen suhteen. Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 19 §:ssä säädetään kansallisen turvallisuusviranomaiselle kuuluvista velvoitteista sopimusmääräyksissä tarkoitetuissa tilanteissa.

4.2 Käsittelyjärjestys

Käsittelyjärjestyksen kannalta merkityksellisiä sopimusmääräyksiä sisältyy sopimuksen 5 artiklaan, joka asettaa rajoituksia turvallisuusluokitellun tiedon tai materiaalin julkisuudelle. Sopimusmääräykset ovat merkityksellisiä perustuslain 12 §:n 2 momentin suojaaman, julkisuusperiaatteelle rakentuvan tiedonsaantioikeuden kannalta. Tätä tiedonsaantioikeutta saa rajoittaa vain lailla ja vain välttämättömistä syistä. Tällaisena välttämättömänä syynä voidaan pitää sen turvaamista, että Suomi ja suomalaiset yritykset voivat osallistua sellaisiin kansainvälisiin sekä Suomen ja Espanjan kahdenvälisiin toimintoihin ja hankkeisiin, joiden toteuttaminen edellyttää arkaluonteisen salassa pidettävien tietojen vaihtoa. Salassapitoa koskeva erityissäännös on otettu kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 6 §:ään.

Suomen ja Espanjan välillä turvallisuusluokitellun tiedon vastavuoroisesta suojaamisesta ja vaihtamisesta tehtyyn sopimukseen ei voida katsoa sisältyvän sellaisia määräyksiä, jotka koskisivat perustuslakia sen 94 §:n 2 momentissa ja 95 §:n 2 momentissa tarkoitetulla tavalla. Hallituksen näkemyksen mukaan sopimus voitaisiin näin ollen hyväksyä äänten enemmistöllä ja ehdotus sen lainsäädännön alaan kuuluvien sopimusmääräysten voimaansaattamiseksi tavallisen lain säätämisjärjestyksessä.

Edellä olevan perusteella ja perustuslain 94 §:n mukaisesti esitetään,

että Eduskunta hyväksyisi Madridissa 9 päivänä kesäkuuta 2009 Suomen tasavallan ja Espanjan kuningaskunnan välillä turvallisuusluokitellun tiedon vastavuoroisesta suojaamisesta tehdyn sopimuksen.

Koska sopimus sisältää määräyksiä, jotka kuuluvat lainsäädännön alaan, annetaan samalla Eduskunnan hyväksyttäväksi seuraava lakiehdotus:

Lakiehdotus

Laki Espanjan kanssa turvallisuusluokitellun tiedon vastavuoroisesta suojaamisesta tehdyn sopimuksen lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta

Eduskunnan päätöksen mukaisesti säädetään:

1 §

Turvallisuusluokitellun tiedon vastavuoroisesta suojaamisesta Madridissa 9 päivänä kesäkuuta 2009 Suomen tasavallan ja Espanjan kuningaskunnan välillä tehdyn sopimuksen lainsäädännön alaan kuuluvat määräykset ovat lakina voimassa sellaisina kuin Suomi on niihin sitoutunut.

2 §

Tämän lain voimaantulosta säädetään tasavallan presidentin asetuksella.


Helsingissä 2 päivänä lokakuuta 2009

Tasavallan Presidentti
TARJA HALONEN

Ulkomaankauppa- ja kehitysministeri
Paavo Väyrynen

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.