588/2004

Tässä laissa säädetään viranomaisten toimenpiteistä kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi.

Lakia sovelletaan myös elinkeinonharjoittajaan ja tämän palveluksessa olevaan silloin, kun elinkeinonharjoittaja on sopimusosapuolena turvallisuusluokitellussa sopimuksessa tai osallistuu tällaista sopimusta edeltävään hankintakilpailuun tai toimii tällaisen elinkeinonharjoittajan alihankkijana.

3 momentti on kumottu L:lla 19.9.2014/731 .

Tässä laissa tarkoitetaan:

Erityissuojattavan tietoaineiston julkisuudesta on voimassa, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) ja tiedonhallinnasta, mitä julkisen hallinnon tiedonhallinnasta annetussa laissa (906/2019) ja sen nojalla säädetään, jollei tässä laissa toisin säädetä. (9.8.2019/909)

Viranomaisten toiminnan julkisuudesta annettuun lakiin tai muuhun lakiin perustuvan pyynnön saada tieto erityissuojattavasta tietoaineistosta käsittelee ja ratkaisee se viranomainen, jolle tietoaineisto on toimitettu taikka jonka käsiteltäväksi asia kokonaisuudessaan kuuluu.

Ulkoasiainministeriö toimii kansainvälisten tietoturvallisuusvelvoitteiden toteuttamisessa Suomen kansallisena turvallisuusviranomaisena. Puolustusministeriö, pääesikunta, suojelupoliisi ja Viestintävirasto toimivat kansainvälisissä tietoturvallisuusvelvoitteissa tarkoitettuina määrättyinä turvallisuusviranomaisina.

Kansallisen turvallisuusviranomaisen tehtävänä on erityisesti ohjata ja valvoa, että tässä laissa tarkoitetut erityissuojattavat tietoaineistot suojataan ja niitä käsitellään asianmukaisesti.

Määrätyt turvallisuusviranomaiset huolehtivat niille tässä laissa säädetyistä ja muista niille kansainvälisistä tietoturvallisuusvelvoitteista johtuvista tehtävistä. Puolustusministeriö, pääesikunta ja suojelupoliisi toimivat kansallisen turvallisuusviranomaisen asiantuntijoina henkilöstö-, yritys- ja toimitilaturvallisuutta koskevissa asioissa sekä Viestintävirasto tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuutta koskevissa asioissa. (19.9.2014/731)

Edellä 4 §:ssä tarkoitettujen turvallisuusviranomaisten on toimittava yhteistyössä kansainvälisten tietoturvallisuusvelvoitteiden asianmukaiseksi hoitamiseksi sekä annettava toisilleen tässä tarkoituksessa tarpeellisia tietoja sen estämättä, mitä salassapitovelvollisuudesta säädetään.

Sen estämättä, mitä 4 §:n 1 momentissa sekä 11–13 §:ssä säädetään, kansallinen turvallisuusviranomainen ja tehtävään määrätyt turvallisuusviranomaiset voivat sopia tietyn tehtävän tai tehtäväkokonaisuuden hoitamisesta toisen turvallisuusviranomaisen lukuun, jos järjestely on tarpeen tehtävien hoitamiseksi tarkoituksenmukaisesti, taloudellisesti ja joutuisasti.

Erityissuojattava tietoaineisto on pidettävä salassa, jollei kansainvälisestä tietoturvallisuusvelvoitteesta muuta johdu. (22.10.2010/885)

Erityissuojattavaa tietoaineistoa saa käyttää ja luovuttaa vain siihen tarkoitukseen, jota varten se on annettu, jollei se, joka on määritellyt aineiston turvallisuusluokan, ole antanut muuhun suostumustaan.

Erityissuojattavaa tietoaineistoa käsittelevän viranomaisen on pidettävä huolta siitä, että tietoaineistoon on pääsy vain niillä, jotka tarvitsevat tietoja tehtävänsä hoitamisessa. Nämä henkilöt on nimettävä etukäteen kansainvälisessä tietoturvallisuusvelvoitteessa edellytetyissä tapauksissa. Sama koskee myös 1 §:n 2 momentissa tarkoitettua elinkeinonharjoittajaa.

Se, joka toimii 1 §:n 2 momentissa tarkoitetun elinkeinonharjoittajan palveluksessa, on velvollinen olemaan ilmaisematta, mitä hän on tässä tehtävässä saanut tietää erityissuojattavaan tietoaineistoon sisältyvistä tiedoista. Vaitiolovelvollisuuden piiriin kuuluvaa tietoa ei saa paljastaa senkään jälkeen, kun palvelussuhde on päättynyt. Edellä tarkoitettu henkilö ei saa käyttää salassa pidettäviä tietoja omaksi taikka toisen hyödyksi tai toisen vahingoksi.

Viranomaiseen palvelussuhteessa olevan ja viranomaisessa muutoin toimivan samoin kuin viranomaisen toimeksiannosta toimivan ja tämän palveluksessa olevan vaitiolovelvollisuudesta sekä siihen liittyvästä hyväksikäyttökiellosta on voimassa, mitä viranomaisten toiminnan julkisuudesta annetussa laissa säädetään.

Erityissuojattavaan tietoaineistoon on siitä riippumatta, mitä julkisen hallinnon tiedonhallinnasta annetussa laissa tai sen nojalla säädetään, tehtävä kansainvälisessä tietoturvallisuusvelvoitteessa määritelty luokittelumerkintä sen osoittamiseksi, minkälaisia tietoturvallisuusvaatimuksia sen käsittelyssä on noudatettava. Merkintä voidaan tehdä myös asiakirjaan liitettävälle lomakkeelle, joka sisältää asiakirjan yksilöintitiedot. (9.8.2019/909)

Kansainvälisen tietoturvallisuusvelvoitteen määrittelemän turvallisuusluokituksen vastaavuudesta Suomessa noudatettuun luokitukseen voidaan säätää valtioneuvoston asetuksella.

Erityissuojattavaa tietoaineistoa luotaessa, kopioitaessa, siirrettäessä, jaettaessa, säilytettäessä, hävitettäessä tai muutoin käsiteltäessä on pidettävä huolta, että tietoaineiston suojaamisesta voidaan huolehtia tietoaineiston turvallisuusluokkaa vastaavalla tavalla.

Erityissuojattavan tietoaineiston käsittelyssä noudatettavista eri turvallisuusluokkia vastaavista turvallisuustoimenpiteistä voidaan säätää valtioneuvoston asetuksella.

Erityissuojattava tietoaineisto on säilytettävä tiloissa, joissa asiakirjojen ja materiaalien sekä niihin sisältyvien tietojen suojaamisesta voidaan huolehtia kansainvälisessä tietoturvallisuusvelvoitteessa edellytetyllä tavalla.

Edellä 1 momentissa tarkoitettujen tilojen turvallisuusvaatimuksista voidaan säätää valtioneuvoston asetuksella.

Kansainvälisessä tietoturvallisuusvelvoitteessa edellytetty henkilöturvallisuusselvitys laaditaan siten kuin turvallisuusselvityslaissa (726/2014) säädetään. Henkilöturvallisuusselvitystodistuksen antaa kuitenkin kansallinen turvallisuusviranomainen, jollei erityisistä syistä muuta johdu. Selvityksen laatineen viranomaisen on salassapitosäännösten estämättä toimitettava todistuksen antamista ja siihen liittyvää harkintaa varten kansalliselle turvallisuusviranomaiselle tieto kaikista selvityksen laadinnassa ilmi tulleista selvityksen kohdetta koskevista seikoista.

Kansallisen turvallisuusviranomaisen arvioidessa henkilöturvallisuusselvitystodistuksen antamista sovelletaan, mitä turvallisuusselvityslain 11, 23 ja 32 §:ssä säädetään. Henkilöturvallisuusselvitystodistuksen voimassaoloon ja peruuttamiseen sovelletaan, mitä turvallisuusselvityslain 53–55 §:ssä säädetään. Kansallinen turvallisuusviranomainen voi haastatella selvityksen kohdetta todistuksen antamista varten.

Jos kansallinen turvallisuusviranomainen kieltäytyy antamasta henkilöturvallisuusselvitystodistusta, sen tulee ilmoittaa syyt tähän selvityksen hakijalle ja sen kohteelle annettavassa kirjallisessa päätöksessä.

Kansainvälisessä tietoturvallisuusvelvoitteessa edellytetty yritysturvallisuusselvitys laaditaan siten kuin turvallisuusselvityslaissa säädetään. Yritysturvallisuusselvitystodistuksen antaa kuitenkin kansallinen turvallisuusviranomainen, jollei erityisistä syistä muuta johdu. Selvityksen laatineen viranomaisen on salassapitosäännösten estämättä toimitettava todistuksen antamista ja siihen liittyvää harkintaa varten kansalliselle turvallisuusviranomaiselle tieto kaikista selvityksen laadinnassa ilmi tulleista selvityksen kohdetta koskevista seikoista.

Kansallisen turvallisuusviranomaisen antaman yritysturvallisuusselvitystodistuksen voimassaoloon ja peruuttamiseen sovelletaan, mitä turvallisuusselvityslain 53–55 §:ssä säädetään.

Jos kansallinen turvallisuusviranomainen kieltäytyy antamasta yritysturvallisuusselvitystodistusta, sen tulee ilmoittaa syyt tähän selvityksen hakijalle ja sen kohteelle annettavassa kirjallisessa päätöksessä.

Kansallinen turvallisuusviranomainen tallettaa antamastaan henkilöturvallisuusselvitystodistuksesta ja yritysturvallisuusselvitystodistuksesta tiedot turvallisuusselvityslaissa tarkoitettuun turvallisuusselvitysrekisteriin.

Tämän luvun säännöksiä sovelletaan niin kauan kuin se turvallisuusluokituksen perusteena olevan yleisen edun vuoksi on tarpeen silloinkin, kun sopimus tai säädös, johon säännösten soveltaminen perustuu, ei enää ole voimassa. Salassapitovelvollisuuden lakkaamisesta on voimassa, mitä viranomaisten toiminnan julkisuudesta annetussa laissa säädetään.

Viranomaisen on salassapitosäännösten estämättä annettava pyynnöstä pääesikunnalle ja suojelupoliisille tiedot, jotka ovat tarpeen kansainvälisessä tietoturvallisuussopimuksessa tarkoitetun turvallisuusselvityksen ja siihen perustuvan arvion tekemiseksi.

Edellä 1 §:n 2 ja 3 momentissa tarkoitetun elinkeinonharjoittajan on annettava toimivaltaiselle turvallisuusviranomaiselle ne tiedot, jotka ovat tarpeen turvallisuusselvityksen tai tarkastuksen tekemiseksi taikka jotka muutoin ovat tarpeen kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi, sekä annettava tätä varten selvityksen laatijoille ja tarkastajille pääsy toimitiloihinsa.

Suomen viranomaisilla on oikeus antaa toiselle sopimuspuolelle kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi välttämättömiä asiakirjoja ja tietoja sen estämättä, mitä asiakirjojen ja tietojen salassapidosta Suomen lainsäädännössä säädetään. Mitä edellä on säädetty, ei koske yksityisyyden suojan vuoksi salassa pidettäviksi säädettyjä tietoja.

Viranomaisella on oikeus sallia kansainväliseen tietoturvallisuusvelvoitteeseen perustuvan kansainvälisen järjestön, toimielimen tai sopimusvaltion edustajan tutustuminen viranomaisen toteuttamiin turvallisuusjärjestelyihin ja toimitiloihin siitä riippumatta, mitä turvallisuusjärjestelyjen salassapidosta säädetään taikka säädetään tai määrätään pääsystä tiloihin, joissa käsitellään tai säilytetään salassa pidettäviä tietoja.

Edellä 1 §:n 2 momentissa tarkoitetun elinkeinonharjoittajan on sallittava viranomaisen ja kansainvälisen toimielimen tai sopimusvaltion edustajan tutustuminen turvallisuusjärjestelyihinsä ja toimitiloihinsa, milloin se on tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi.

Kansallisen turvallisuusviranomaisen on ilmoitettava kansainvälisessä tietoturvallisuusvelvoitteessa tarkoitetuissa tapauksissa toiselle sopimuspuolelle tietoonsa tulleesta turvallisuusluokiteltujen tietojen suojan vaarantumisesta ja tietoturvallisuutta koskevan määräyksen loukkaamisesta sekä ryhdyttävä toimenpiteisiin asian selvittämiseksi samoin kuin rangaistavaan tekoon syyllistyneen syytteeseen saattamiseksi.

Rangaistus 6 §:ssä säädetyn asiakirjan salassa pitämistä koskevan velvollisuuden tai 7 §:ssä säädetyn vaitiolovelvollisuuden ja hyväksikäyttökiellon rikkomisesta tuomitaan rikoslain (39/1889) 40 luvun 5 §:n mukaan, jollei teko ole rangaistava rikoslain 38 luvun 1 tai 2 §:n mukaan tai jollei siitä muualla laissa säädetä ankarampaa rangaistusta.

Edellä 1 momentissa tarkoitettuna salassapitovelvollisuuden rikkomisena pidetään myös 13 §:ssä tarkoitetun sitoumuksen rikkomista.

Päätökseen, jolla kansallinen turvallisuusviranomainen on kieltäytynyt antamasta turvallisuusselvitystodistusta, ei saa hakea valittamalla muutosta, jollei turvallisuusselvitystodistus ole edellytyksenä sellaisen viran tai tehtävän hoitoa varten, johon valittavalla on kansainvälisen tietoturvallisuusvelvoitteen mukaan oltava turvallisuusselvitystodistus. (27.11.2020/857)

Muutoin muutoksenhaussa hallintotuomioistuimeen sovelletaan, mitä oikeudenkäynnistä hallintoasioissa annetussa laissa säädetään (808/2019) . (27.11.2020/857)

Turvallisuusselvitystodistuksen antamista ja peruuttamista koskevaan päätökseen muutosta saa hakea sekä turvallisuusselvityksen hakija että selvityksen kohde.

Tämä laki tulee voimaan 1 päivänä heinäkuuta 2004.

Ennen lain voimaantuloa voidaan ryhtyä sen täytäntöön panemiseksi tarpeellisiin toimenpiteisiin.