588/2004

I denna lag föreskrivs om myndigheternas åtgärder för att uppfylla internationella förpliktelser som gäller informationssäkerhet.

Lagen tillämpas också på en näringsidkare och dennas anställda i sådana fall då näringsidkaren är part i ett säkerhetsklassificerat avtal eller deltar i ett upphandlingsförfarande innan ett sådant avtal sluts eller är underleverantör för en sådan näringsidkare.

Lagens 12―14 § samt 16 § 2 mom. tillämpas också på en näringsidkare som begär en utredning över sin tillförlitlighet och en bedömning på basis av utredningen för att kunna delta i ett anbudsförfarande som ordnas av en myndighet i en annan stat eller av ett företag som har hemvist i den andra staten.

I denna lag avses med

I fråga om offentlighet för särskilt känsligt informationsmaterial och god informationshantering av materialet gäller lagen om offentlighet i myndigheternas verksamhet (621/1999) och vad som bestäms med stöd av den, om inte något annat föreskrivs i denna lag.

En på lagen om offentlighet i myndigheternas verksamhet eller på någon annan lag baserad begäran om att få uppgifter ur särskilt känsligt informationsmaterial skall handläggas och avgöras av den myndighet till vilken informationsmaterialet har sänts eller som skall behandla ärendet i dess helhet.

Utrikesministeriet är Finlands nationella säkerhetsmyndighet vid uppfyllandet av internationella förpliktelser som gäller informationssäkerhet. Försvarsministeriet, huvudstaben och skyddspolisen kan verka som sådana utsedda säkerhetsmyndigheter som avses i internationella förpliktelser som gäller informationssäkerhet. Skyddspolisen och huvudstaben ser till att säkerhetsutredningar görs i enlighet med 11 och 12 §.

Föreskrifter om uppgiftsfördelningen mellan säkerhetsmyndigheterna kan utfärdas genom förordning av statsrådet.

De säkerhetsmyndigheter som avses i 4 § skall samarbeta för att på ett ändamålsenligt sätt uppfylla internationella förpliktelser som gäller informationssäkerhet samt i detta syfte utbyta information, utan hinder av bestämmelserna om sekretess.

Utan hinder av vad som föreskrivs i 4 § 1 mom. samt i 11―13 § kan den nationella säkerhetsmyndigheten och de utsedda säkerhetsmyndigheterna avtala om att sköta en viss uppgift eller ett visst uppgiftsområde för den andra säkerhetsmyndighetens räkning, om ett sådant arrangemang behövs för att uppgifterna skall kunna skötas på ett ändamålsenligt, ekonomiskt och flexibelt sätt.

Särskilt känsligt informationsmaterial skall sekretessbeläggas.

Särskilt känsligt informationsmaterial får användas och lämnas ut endast för angivet ändamål, om inte den som bestämt materialets säkerhetsklass har samtyckt till något annat.

En myndighet som hanterar särskilt känsligt informationsmaterial skall se till att endast personer som behöver informationen för skötsel av sina uppgifter har tillgång till materialet. Dessa personer skall i de fall som den internationella förpliktelsen som gäller informationssäkerhet förutsätter namnges på förhand. Detsamma gäller näringsidkare som avses 1 § 2 mom.

Den som är anställd hos en näringsidkare som avses 1 § 2 mom. är skyldig att hemlighålla vad han eller hon i detta uppdrag fått veta om uppgifter som ingår i särskilt känsligt informationsmaterial. Information som omfattas av tystnadsplikten får inte heller röjas efter att anställningen upphört. En person som avses ovan får inte använda sekretessbelagd information för att skaffa sig själv eller någon annan fördel eller för att skada någon annan.

I fråga om tystnadsplikten för den som är anställd hos eller annars verkar hos en myndighet, den som verkar på uppdrag av en myndighet eller är anställd hos den som utför uppdraget samt i fråga om förbud mot utnyttjande i samband därmed gäller vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet.

Särskilt känsligt informationsmaterial skall oberoende av vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet eller med stöd av den förses med en sådan anteckning om säkerhetsklass som anges i en internationell förpliktelse som gäller informationssäkerhet och som anger vilka säkerhetskrav som skall iakttas vid hanteringen av materialet. Anteckningen kan göras också på en till handlingen fogad blankett som specificerar handlingen.

Föreskrifter om hur säkerhetsklasserna i en internationell förpliktelse som gäller informationssäkerhet motsvarar de säkerhetsklasser som iakttas i Finland kan utfärdas genom förordning av statsrådet.

När särskilt känsligt informationsmaterial produceras, kopieras, översänds, distribueras, lagras, utplånas eller hanteras i något annat avseende, skall det sörjas för att materialet skyddas på ett sätt som motsvarar säkerhetsklassen.

Föreskrifter om sådana mot olika säkerhetsklasser svarande säkerhetsåtgärder som skall vidtas vid hantering av särskilt känsligt informationsmaterial kan utfärdas genom förordning av statsrådet.

Särskilt känsligt informationsmaterial skall förvaras i utrymmen där det är möjligt att skydda handlingarna och materialen samt informationen i dem i enlighet med en internationell förpliktelse som gäller informationssäkerhet.

Föreskrifter om säkerhetskrav för sådana utrymmen som avses i 1 mom. kan utfärdas genom förordning av statsrådet.

En säkerhetsutredning som läggs till grund för bedömning av en persons tillförlitlighet, enligt vad som förutsätts i en internationell förpliktelse som gäller informationssäkerhet, skall göras på det sätt som föreskrivs i lagen om säkerhetsutredningar (177/2002) och med stöd av den. Utan hinder av 19 § i nämnda lag är det också möjligt att göra en säkerhetsutredning som en begränsad säkerhetsutredning, om en sådan behövs för att uppfylla den internationella förpliktelsen om informationssäkerhet.

Säkerhetsutredningen skall göras av huvudstaben då en sådan utredning behövs för att uppfylla en internationell förpliktelse som gäller försvarsförvaltningen eller anskaffningar av försvarsmateriel. Skyddspolisen ser till att andra säkerhetsutredningar som avser personer görs.

På basis av säkerhetsutredningen bedöms en persons tillförlitlighet av den nationella säkerhetsmyndigheten eller, om så har avtalats mellan säkerhetsmyndigheterna, av den för uppgiften utsedda säkerhetsmyndigheten.

Huvudstaben svarar med stöd av en internationell förpliktelse som gäller informationssäkerhet för utredningen av en sådan näringsidkares tillförlitlighet som avses i 1 § 2 mom. ( säkerhetsutredning som gäller sammanslutning ) samt för bedömningen på basis av utredningen, om något annat inte har avtalats mellan säkerhetsmyndigheterna. Vid utredningen och bedömningen skall det beaktas hur

Huvudstaben kan göra en säkerhetsutredning som gäller en sammanslutning samt en bedömning då en näringsidkare har bett om en sådan för att kunna delta i ett anbudsförvarande som ordnas av en myndighet i en annan stat eller av ett företag som har hemvist i den andra staten.

Närmare föreskrifter om säkerhetsutredning som gäller sammanslutning kan utfärdas genom förordning av statsrådet.

Huvudstaben kan med en näringsidkare som avses i 1 § 2 mom. eller i 12 § 2 mom. ingå ett avtal om att näringsidkaren förbinder sig att vidta sådana åtgärder som avses i 12 § 1 mom. samt andra åtgärder som är nödvändiga för att uppfylla internationella förpliktelser som gäller informationssäkerhet.

En säkerhetsmyndighet som på basis av en säkerhetsutredning har gjort en bedömning av en persons tillförlitlighet skall ge den som bedömningen avser ett intyg över bedömningen, om en internationell förpliktelse som gäller informationssäkerhet förutsätter detta. Ett sådant intyg skall ges också en näringsidkare som har varit föremål för en sådan bedömning som avses i 12 § 2 mom.

Bestämmelserna i detta kapitel skall tillämpas så länge det är nödvändigt på grund av det allmänna intresse som säkerhetsklassificeringen baserar sig på, också då den överenskommelse eller den författning som tillämpningen av bestämmelserna baserar sig på inte längre är i kraft. I fråga om när sekretessen upphör gäller vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet.

Utan hinder av sekretessbestämmelserna skall en myndighet på begäran ge huvudstaben och skyddspolisen information som behövs för sådan säkerhetsutredning som avses i en internationell överenskommelse om informationssäkerhet och för en bedömning som baseras på en sådan utredning.

En näringsidkare som avses i 1 § 2 och 3 mom. skall ge den behöriga säkerhetsmyndigheten den information som behövs för en säkerhetsutredning eller inspektion eller som annars behövs för att uppfylla internationella förpliktelser som gäller informationssäkerhet, samt i detta syfte ge utredare och inspektörer tillträde till sina verksamhetsutrymmen.

Finska myndigheter har rätt att till en annan fördragsslutande part lämna ut handlingar och information som behövs för uppfyllande av en internationell förpliktelse som gäller informationssäkerhet, utan hinder av vad som i finsk lagstiftning föreskrivs om sekretessbeläggning av handlingar och uppgifter. Vad som föreskrivs ovan gäller inte uppgifter som är sekretessbelagda för tryggande av integritetsskyddet.

En myndighet har rätt att inom ramen för en internationell förpliktelse som gäller informationssäkerhet låta representanter för internationella organisationer och organ samt för fördragsslutande stater bekanta sig med sina säkerhetsarrangemang och verksamhetsutrymmen oberoende av vad som föreskrivs om sekretessbeläggning av säkerhetsarrangemangen eller vad som bestäms eller föreskrivs om tillträde till utrymmen där sekretessbelagd information hanteras eller förvaras.

En näringsidkare som avses i 1 § 2 mom. skall tillåta att representanter för myndigheter, internationella organ och fördragsslutande stater bekantar sig med näringsidkarens säkerhetsarrangemang och verksamhetsutrymmen, när det är nödvändigt för att uppfylla en internationell förpliktelse som gäller informationssäkerhet.

Den nationella säkerhetsmyndigheten skall i sådana fall som avses i en internationell förpliktelse som gäller informationssäkerhet underrätta den andra fördragsslutande parten om sådant äventyrande av skyddet för säkerhetsklassificerad information och om sådant överträdande av en bestämmelse om informationssäkerhet som myndigheten fått kännedom om, samt vidta åtgärder för att utreda ärendet och för att väcka åtal mot den som gjord sig skyldig till en straffbar gärning.

Straff för brott mot skyldigheten att sekretessbelägga handlingar enligt 6 § och för brott mot tystnadsplikten och förbudet mot utnyttjandet enligt 7 § döms ut enligt 40 kap. 5 § i strafflagen (39/1889), om inte gärningen utgör brott enligt 38 kap. 1 eller 2 § i strafflagen eller om inte strängare straff för gärningen föreskrivs någon annanstans i lag.

Som brott mot tystnadsplikten enligt 1 mom. anses också brott mot en förbindelse som avses i 13 §.

Denna lag träder i kraft den 1 juli 2004.

Åtgärder som verkställigheten av lagen förutsätter får vidtas innan lagen träder i kraft.