588/2004

Tässä laissa säädetään viranomaisten toimenpiteistä kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi.

Lakia sovelletaan myös elinkeinonharjoittajaan ja tämän palveluksessa olevaan silloin, kun elinkeinonharjoittaja on sopimusosapuolena turvallisuusluokitellussa sopimuksessa tai osallistuu tällaista sopimusta edeltävään hankintakilpailuun tai toimii tällaisen elinkeinonharjoittajan alihankkijana.

Lain 12―14 §:ää sekä 16 §:n 2 momenttia sovelletaan myös elinkeinonharjoittajaan, joka pyytää yhteisöturvallisuusselvityksen ja arvion tekemistä voidakseen osallistua toisen valtion viranomaisen tai siellä kotipaikkaansa pitävän yrityksen järjestämään tarjouskilpailuun.

Tässä laissa tarkoitetaan:

Erityissuojattavan tietoaineiston julkisuudesta sekä sen käsittelyssä noudatettavasta hyvästä tiedonhallintatavasta on voimassa, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) ja sen nojalla säädetään, jollei tässä laissa toisin säädetä.

Viranomaisten toiminnan julkisuudesta annettuun lakiin tai muuhun lakiin perustuvan pyynnön saada tieto erityissuojattavasta tietoaineistosta käsittelee ja ratkaisee se viranomainen, jolle tietoaineisto on toimitettu taikka jonka käsiteltäväksi asia kokonaisuudessaan kuuluu.

Ulkoasiainministeriö toimii kansainvälisten tietoturvallisuusvelvoitteiden toteuttamisessa Suomen kansallisena turvallisuusviranomaisena. Puolustusministeriö, pääesikunta ja suojelupoliisi voivat toimia kansainvälisissä tietoturvallisuusvelvoitteissa tarkoitettuina määrättyinä turvallisuusviranomaisina. Suojelupoliisi ja pääesikunta huolehtivat turvallisuusselvitysten laadinnasta siten kuin 11 ja 12 §:ssä säädetään.

Tehtävänjaosta turvallisuusviranomaisten välillä voidaan säätää valtioneuvoston asetuksella.

Edellä 4 §:ssä tarkoitettujen turvallisuusviranomaisten on toimittava yhteistyössä kansainvälisten tietoturvallisuusvelvoitteiden asianmukaiseksi hoitamiseksi sekä annettava toisilleen tässä tarkoituksessa tarpeellisia tietoja sen estämättä, mitä salassapitovelvollisuudesta säädetään.

Sen estämättä, mitä 4 §:n 1 momentissa sekä 11―13 §:ssä säädetään, kansallinen turvallisuusviranomainen ja tehtävään määrätyt turvallisuusviranomaiset voivat sopia tietyn tehtävän tai tehtäväkokonaisuuden hoitamisesta toisen turvallisuusviranomaisen lukuun, jos järjestely on tarpeen tehtävien hoitamiseksi tarkoituksenmukaisesti, taloudellisesti ja joutuisasti.

Erityissuojattava tietoaineisto on pidettävä salassa.

Erityissuojattavaa tietoaineistoa saa käyttää ja luovuttaa vain siihen tarkoitukseen, jota varten se on annettu, jollei se, joka on määritellyt aineiston turvallisuusluokan, ole antanut muuhun suostumustaan.

Erityissuojattavaa tietoaineistoa käsittelevän viranomaisen on pidettävä huolta siitä, että tietoaineistoon on pääsy vain niillä, jotka tarvitsevat tietoja tehtävänsä hoitamisessa. Nämä henkilöt on nimettävä etukäteen kansainvälisessä tietoturvallisuusvelvoitteessa edellytetyissä tapauksissa. Sama koskee myös 1 §:n 2 momentissa tarkoitettua elinkeinonharjoittajaa.

Se, joka toimii 1 §:n 2 momentissa tarkoitetun elinkeinonharjoittajan palveluksessa, on velvollinen olemaan ilmaisematta, mitä hän on tässä tehtävässä saanut tietää erityissuojattavaan tietoaineistoon sisältyvistä tiedoista. Vaitiolovelvollisuuden piiriin kuuluvaa tietoa ei saa paljastaa senkään jälkeen, kun palvelussuhde on päättynyt. Edellä tarkoitettu henkilö ei saa käyttää salassa pidettäviä tietoja omaksi taikka toisen hyödyksi tai toisen vahingoksi.

Viranomaiseen palvelussuhteessa olevan ja viranomaisessa muutoin toimivan samoin kuin viranomaisen toimeksiannosta toimivan ja tämän palveluksessa olevan vaitiolovelvollisuudesta sekä siihen liittyvästä hyväksikäyttökiellosta on voimassa, mitä viranomaisten toiminnan julkisuudesta annetussa laissa säädetään.

Erityissuojattavaan tietoaineistoon on siitä riippumatta, mitä viranomaisten toiminnan julkisuudesta annetussa laissa tai sen nojalla säädetään, tehtävä kansainvälisessä tietoturvallisuusvelvoitteessa määritelty luokittelumerkintä sen osoittamiseksi, minkälaisia tietoturvallisuusvaatimuksia sen käsittelyssä on noudatettava. Merkintä voidaan tehdä myös asiakirjaan liitettävälle lomakkeelle, joka sisältää asiakirjan yksilöintitiedot.

Kansainvälisen tietoturvallisuusvelvoitteen määrittelemän turvallisuusluokituksen vastaavuudesta Suomessa noudatettuun luokitukseen voidaan säätää valtioneuvoston asetuksella.

Erityissuojattavaa tietoaineistoa luotaessa, kopioitaessa, siirrettäessä, jaettaessa, säilytettäessä, hävitettäessä tai muutoin käsiteltäessä on pidettävä huolta, että tietoaineiston suojaamisesta voidaan huolehtia tietoaineiston turvallisuusluokkaa vastaavalla tavalla.

Erityissuojattavan tietoaineiston käsittelyssä noudatettavista eri turvallisuusluokkia vastaavista turvallisuustoimenpiteistä voidaan säätää valtioneuvoston asetuksella.

Erityissuojattava tietoaineisto on säilytettävä tiloissa, joissa asiakirjojen ja materiaalien sekä niihin sisältyvien tietojen suojaamisesta voidaan huolehtia kansainvälisessä tietoturvallisuusvelvoitteessa edellytetyllä tavalla.

Edellä 1 momentissa tarkoitettujen tilojen turvallisuusvaatimuksista voidaan säätää valtioneuvoston asetuksella.

Kansainvälisessä tietoturvallisuusvelvoitteessa edellytetyn henkilön luotettavuuden arvioinnin perusteena oleva turvallisuusselvitys tehdään siten kuin turvallisuusselvityksistä annetussa laissa (177/2002) ja sen nojalla säädetään. Sen estämättä, mitä mainitun lain 19 §:ssä säädetään, turvallisuusselvitys voidaan tehdä myös suppeana turvallisuusselvityksenä, jos se on tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi.

Turvallisuusselvityksen tekee pääesikunta silloin, kun turvallisuusselvityksen laatiminen on tarpeen puolustushallintoa tai puolustushankintoja koskevan kansainvälisen velvoitteen toteuttamiseksi. Suojelupoliisi huolehtii muiden henkilöön liittyvien turvallisuusselvitysten tekemisestä.

Arvion henkilön luotettavuudesta turvallisuusselvityksen perusteella tekee kansallinen turvallisuusviranomainen tai, jos niin turvallisuusviranomaisten välillä on sovittu, tehtävään määrätty turvallisuusviranomainen.

Pääesikunta huolehtii kansainvälisen tietoturvallisuusvelvoitteen perusteella tehtävistä 1 §:n 2 momentissa tarkoitetun elinkeinonharjoittajan luotettavuuden selvittämisestä ( yhteisöturvallisuusselvitys ) sekä sen perusteella tehdystä arviosta, jollei turvallisuusviranomaisten kesken ole toisin sovittu. Selvitystä ja arviota laadittaessa on otettava huomioon, miten:

Pääesikunta voi laatia yhteisöturvallisuusselvityksen ja arvion, jos elinkeinonharjoittaja on pyytänyt sitä voidakseen osallistua toisen valtion viranomaisen tai siinä kotipaikkaansa pitävän yrityksen järjestämään tarjouskilpailuun.

Valtioneuvoston asetuksella voidaan säätää tarkemmin yhteisöturvallisuusselvityksen laadinnasta.

Pääesikunta voi tehdä 1 §:n 2 momentissa tai 12 §:n 2 momentissa tarkoitetun elinkeinonharjoittajan kanssa sopimuksen, jossa elinkeinonharjoittaja sitoutuu huolehtimaan 12 §:n 1 momentissa tarkoitetuista ja muista kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi tarpeellisista toimenpiteistä.

Turvallisuusselvityksen perusteella luotettavuutta koskevan arvion tehneen turvallisuusviranomaisen on annettava sille, jota arvio koskee, todistus arvion suorittamisesta, jos kansainvälisessä tietoturvallisuusvelvoitteessa niin edellytetään. Todistus on annettava myös elinkeinonharjoittajalle, josta arvio on tehty 12 §:n 2 momentissa tarkoitetulla tavalla.

Tämän luvun säännöksiä sovelletaan niin kauan kuin se turvallisuusluokituksen perusteena olevan yleisen edun vuoksi on tarpeen silloinkin, kun sopimus tai säädös, johon säännösten soveltaminen perustuu, ei enää ole voimassa. Salassapitovelvollisuuden lakkaamisesta on voimassa, mitä viranomaisten toiminnan julkisuudesta annetussa laissa säädetään.

Viranomaisen on salassapitosäännösten estämättä annettava pyynnöstä pääesikunnalle ja suojelupoliisille tiedot, jotka ovat tarpeen kansainvälisessä tietoturvallisuussopimuksessa tarkoitetun turvallisuusselvityksen ja siihen perustuvan arvion tekemiseksi.

Edellä 1 §:n 2 ja 3 momentissa tarkoitetun elinkeinonharjoittajan on annettava toimivaltaiselle turvallisuusviranomaiselle ne tiedot, jotka ovat tarpeen turvallisuusselvityksen tai tarkastuksen tekemiseksi taikka jotka muutoin ovat tarpeen kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi, sekä annettava tätä varten selvityksen laatijoille ja tarkastajille pääsy toimitiloihinsa.

Suomen viranomaisilla on oikeus antaa toiselle sopimuspuolelle kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi välttämättömiä asiakirjoja ja tietoja sen estämättä, mitä asiakirjojen ja tietojen salassapidosta Suomen lainsäädännössä säädetään. Mitä edellä on säädetty, ei koske yksityisyyden suojan vuoksi salassa pidettäviksi säädettyjä tietoja.

Viranomaisella on oikeus sallia kansainväliseen tietoturvallisuusvelvoitteeseen perustuvan kansainvälisen järjestön, toimielimen tai sopimusvaltion edustajan tutustuminen viranomaisen toteuttamiin turvallisuusjärjestelyihin ja toimitiloihin siitä riippumatta, mitä turvallisuusjärjestelyjen salassapidosta säädetään taikka säädetään tai määrätään pääsystä tiloihin, joissa käsitellään tai säilytetään salassa pidettäviä tietoja.

Edellä 1 §:n 2 momentissa tarkoitetun elinkeinonharjoittajan on sallittava viranomaisen ja kansainvälisen toimielimen tai sopimusvaltion edustajan tutustuminen turvallisuusjärjestelyihinsä ja toimitiloihinsa, milloin se on tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi.

Kansallisen turvallisuusviranomaisen on ilmoitettava kansainvälisessä tietoturvallisuusvelvoitteessa tarkoitetuissa tapauksissa toiselle sopimuspuolelle tietoonsa tulleesta turvallisuusluokiteltujen tietojen suojan vaarantumisesta ja tietoturvallisuutta koskevan määräyksen loukkaamisesta sekä ryhdyttävä toimenpiteisiin asian selvittämiseksi samoin kuin rangaistavaan tekoon syyllistyneen syytteeseen saattamiseksi.

Rangaistus 6 §:ssä säädetyn asiakirjan salassa pitämistä koskevan velvollisuuden tai 7 §:ssä säädetyn vaitiolovelvollisuuden ja hyväksikäyttökiellon rikkomisesta tuomitaan rikoslain (39/1889) 40 luvun 5 §:n mukaan, jollei teko ole rangaistava rikoslain 38 luvun 1 tai 2 §:n mukaan tai jollei siitä muualla laissa säädetä ankarampaa rangaistusta.

Edellä 1 momentissa tarkoitettuna salassapitovelvollisuuden rikkomisena pidetään myös 13 §:ssä tarkoitetun sitoumuksen rikkomista.

Tämä laki tulee voimaan 1 päivänä heinäkuuta 2004.

Ennen lain voimaantuloa voidaan ryhtyä sen täytäntöön panemiseksi tarpeellisiin toimenpiteisiin.