588/2004

I denna lag föreskrivs om myndigheternas åtgärder för att uppfylla internationella förpliktelser som gäller informationssäkerhet.

Lagen tillämpas också på en näringsidkare och dennas anställda i sådana fall då näringsidkaren är part i ett säkerhetsklassificerat avtal eller deltar i ett upphandlingsförfarande innan ett sådant avtal sluts eller är underleverantör för en sådan näringsidkare.

3 mom. har upphävts genom L 19.9.2014/731 . (19.9.2014/731)

I denna lag avses med

I fråga om offentlighet för särskilt känsligt informationsmaterial gäller lagen om offentlighet i myndigheternas verksamhet (621/1999) och i fråga om informationshantering gäller lagen om informationshantering inom den offentliga förvaltningen (906/2019) och vad som föreskrivs med stöd av den, om inte något annat föreskrivs i denna lag. (9.8.2019/909)

En på lagen om offentlighet i myndigheternas verksamhet eller på någon annan lag baserad begäran om att få uppgifter ur särskilt känsligt informationsmaterial skall handläggas och avgöras av den myndighet till vilken informationsmaterialet har sänts eller som skall behandla ärendet i dess helhet.

Utrikesministeriet är Finlands nationella säkerhetsmyndighet vid uppfyllandet av internationella förpliktelser som gäller informationssäkerhet. Försvarsministeriet, huvudstaben, skyddspolisen och Kommunikationsverket är sådana utsedda säkerhetsmyndigheter som avses i internationella förpliktelser som gäller informationssäkerhet.

Den nationella säkerhetsmyndigheten har till uppgift att i synnerhet styra och övervaka att det särskilt känsliga informationsmaterial som avses i denna lag skyddas och att det hanteras på ett lämpligt sätt.

De utsedda säkerhetsmyndigheterna utför de uppgifter som föreskrivs för dem i denna lag och andra uppgifter som följer av internationella förpliktelser som gäller informationssäkerhet. Försvarsministeriet, huvudstaben och skyddspolisen är den nationella säkerhetsmyndighetens sakkunniga i ärenden som gäller personalsäkerhet, företagssäkerhet och lokalsäkerhet samt Kommunikationsverket i ärenden som gäller informationssäkerhet i fråga om informationssystem och datakommunikation. (19.9.2014/731)

De säkerhetsmyndigheter som avses i 4 § skall samarbeta för att på ett ändamålsenligt sätt uppfylla internationella förpliktelser som gäller informationssäkerhet samt i detta syfte utbyta information, utan hinder av bestämmelserna om sekretess.

Utan hinder av vad som föreskrivs i 4 § 1 mom. samt i 11–13 § kan den nationella säkerhetsmyndigheten och de utsedda säkerhetsmyndigheterna avtala om att sköta en viss uppgift eller ett visst uppgiftsområde för den andra säkerhetsmyndighetens räkning, om ett sådant arrangemang behövs för att uppgifterna skall kunna skötas på ett ändamålsenligt, ekonomiskt och flexibelt sätt.

Särskilt känsligt informationsmaterial ska sekretessbeläggas, om inte annat följer av en internationell förpliktelse som gäller informationssäkerhet. (22.10.2010/885)

Särskilt känsligt informationsmaterial får användas och lämnas ut endast för angivet ändamål, om inte den som bestämt materialets säkerhetsklass har samtyckt till något annat.

En myndighet som hanterar särskilt känsligt informationsmaterial skall se till att endast personer som behöver informationen för skötsel av sina uppgifter har tillgång till materialet. Dessa personer skall i de fall som den internationella förpliktelsen som gäller informationssäkerhet förutsätter namnges på förhand. Detsamma gäller näringsidkare som avses 1 § 2 mom.

Den som är anställd hos en näringsidkare som avses 1 § 2 mom. är skyldig att hemlighålla vad han eller hon i detta uppdrag fått veta om uppgifter som ingår i särskilt känsligt informationsmaterial. Information som omfattas av tystnadsplikten får inte heller röjas efter att anställningen upphört. En person som avses ovan får inte använda sekretessbelagd information för att skaffa sig själv eller någon annan fördel eller för att skada någon annan.

I fråga om tystnadsplikten för den som är anställd hos eller annars verkar hos en myndighet, den som verkar på uppdrag av en myndighet eller är anställd hos den som utför uppdraget samt i fråga om förbud mot utnyttjande i samband därmed gäller vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet.

Särskilt känsligt informationsmaterial ska oberoende av vad som föreskrivs i lagen om informationshantering inom den offentliga förvaltningen eller med stöd av den förses med en sådan anteckning om säkerhetsklass som anges i en internationell förpliktelse som gäller informationssäkerhet och som anger vilka säkerhetskrav som skall iakttas vid hanteringen av materialet. Anteckningen kan göras också på en till handlingen fogad blankett som specificerar handlingen. (9.8.2019/909)

Föreskrifter om hur säkerhetsklasserna i en internationell förpliktelse som gäller informationssäkerhet motsvarar de säkerhetsklasser som iakttas i Finland kan utfärdas genom förordning av statsrådet.

När särskilt känsligt informationsmaterial produceras, kopieras, översänds, distribueras, lagras, utplånas eller hanteras i något annat avseende, skall det sörjas för att materialet skyddas på ett sätt som motsvarar säkerhetsklassen.

Föreskrifter om sådana mot olika säkerhetsklasser svarande säkerhetsåtgärder som skall vidtas vid hantering av särskilt känsligt informationsmaterial kan utfärdas genom förordning av statsrådet.

Särskilt känsligt informationsmaterial skall förvaras i utrymmen där det är möjligt att skydda handlingarna och materialen samt informationen i dem i enlighet med en internationell förpliktelse som gäller informationssäkerhet.

Föreskrifter om säkerhetskrav för sådana utrymmen som avses i 1 mom. kan utfärdas genom förordning av statsrådet.

En sådan säkerhetsutredning av person som förutsätts i en internationell förpliktelse som gäller informationssäkerhet ska göras på det sätt som föreskrivs i säkerhetsutredningslagen (726/2014) . Ett intyg över säkerhetsutredning av person utfärdas dock av den nationella säkerhetsmyndigheten, om inte något annat följer av särskilda skäl. För utfärdandet av intyg och prövningen i anslutning till detta ska den myndighet som gjort utredningen trots sekretessbestämmelserna lämna den nationella säkerhetsmyndigheten information om alla sådana omständigheter som vid utredningen framkommit i fråga om den som utredningen gäller.

När den nationella säkerhetsmyndigheten bedömer huruvida ett intyg över säkerhetsutredning av person ska utfärdas, hur länge ett intyg över säkerhetsutredningen ska vara giltigt och huruvida ett intyg ska återkallas ska den tillämpa 11, 23, 32 samt 53–55 § i säkerhetsutredningslagen. För utfärdande av ett intyg kan den nationella säkerhetsmyndigheten intervjua den som utredningen gäller.

Om den nationella säkerhetsmyndigheten vägrar att utfärda ett intyg över säkerhetsutredning av person, ska den meddela skälen för detta i ett skriftligt beslut som ges till den som ansökt om utredningen och den som utredningen gäller.

En säkerhetsutredning av företag som förutsätts i en internationell förpliktelse som gäller informationssäkerhet ska göras på det sätt som föreskrivs i säkerhetsutredningslagen. Ett intyg över säkerhetsutredning av företag utfärdas dock av den nationella säkerhetsmyndigheten, om inte något annat följer av särskilda skäl. För utfärdandet av intyg och prövningen i anslutning till detta ska den myndighet som gjort utredningen trots sekretessbestämmelserna lämna den nationella säkerhetsmyndigheten information om alla sådana omständigheter som vid utredningen framkommit i fråga om den som utredningen gäller.

I fråga om giltighet för och återkallelse av ett intyg över säkerhetsutredning av företag som den nationella säkerhetsmyndigheten utfärdat tillämpas 53–55 § i säkerhetsutredningslagen.

Om den nationella säkerhetsmyndigheten vägrar att utfärda ett intyg över säkerhetsutredning av företag, ska den meddela skälen för detta i ett skriftligt beslut som ges till den som ansökt om utredningen och den som utredningen gäller.

13 § har upphävts genom L 19.9.2014/731 .

Den nationella säkerhetsmyndigheten ska i det register över säkerhetsutredningar som avses i säkerhetsutredningslagen föra in uppgifter om de intyg över säkerhetsutredning av person och de intyg över säkerhetsutredning av företag som den har utfärdat.

Bestämmelserna i detta kapitel skall tillämpas så länge det är nödvändigt på grund av det allmänna intresse som säkerhetsklassificeringen baserar sig på, också då den överenskommelse eller den författning som tillämpningen av bestämmelserna baserar sig på inte längre är i kraft. I fråga om när sekretessen upphör gäller vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet.

Utan hinder av sekretessbestämmelserna skall en myndighet på begäran ge huvudstaben och skyddspolisen information som behövs för sådan säkerhetsutredning som avses i en internationell överenskommelse om informationssäkerhet och för en bedömning som baseras på en sådan utredning.

En näringsidkare som avses i 1 § 2 och 3 mom. skall ge den behöriga säkerhetsmyndigheten den information som behövs för en säkerhetsutredning eller inspektion eller som annars behövs för att uppfylla internationella förpliktelser som gäller informationssäkerhet, samt i detta syfte ge utredare och inspektörer tillträde till sina verksamhetsutrymmen.

Finska myndigheter har rätt att till en annan fördragsslutande part lämna ut handlingar och information som behövs för uppfyllande av en internationell förpliktelse som gäller informationssäkerhet, utan hinder av vad som i finsk lagstiftning föreskrivs om sekretessbeläggning av handlingar och uppgifter. Vad som föreskrivs ovan gäller inte uppgifter som är sekretessbelagda för tryggande av integritetsskyddet.

En myndighet har rätt att inom ramen för en internationell förpliktelse som gäller informationssäkerhet låta representanter för internationella organisationer och organ samt för fördragsslutande stater bekanta sig med sina säkerhetsarrangemang och verksamhetsutrymmen oberoende av vad som föreskrivs om sekretessbeläggning av säkerhetsarrangemangen eller vad som bestäms eller föreskrivs om tillträde till utrymmen där sekretessbelagd information hanteras eller förvaras.

En näringsidkare som avses i 1 § 2 mom. skall tillåta att representanter för myndigheter, internationella organ och fördragsslutande stater bekantar sig med näringsidkarens säkerhetsarrangemang och verksamhetsutrymmen, när det är nödvändigt för att uppfylla en internationell förpliktelse som gäller informationssäkerhet.

Den nationella säkerhetsmyndigheten skall i sådana fall som avses i en internationell förpliktelse som gäller informationssäkerhet underrätta den andra fördragsslutande parten om sådant äventyrande av skyddet för säkerhetsklassificerad information och om sådant överträdande av en bestämmelse om informationssäkerhet som myndigheten fått kännedom om, samt vidta åtgärder för att utreda ärendet och för att väcka åtal mot den som gjord sig skyldig till en straffbar gärning.

Straff för brott mot skyldigheten att sekretessbelägga handlingar enligt 6 § och för brott mot tystnadsplikten och förbudet mot utnyttjandet enligt 7 § döms ut enligt 40 kap. 5 § i strafflagen (39/1889) , om inte gärningen utgör brott enligt 38 kap. 1 eller 2 § i strafflagen eller om inte strängare straff för gärningen föreskrivs någon annanstans i lag.

Som brott mot tystnadsplikten enligt 1 mom. anses också brott mot en förbindelse som avses i 13 §.

Ett beslut genom vilket den nationella säkerhetsmyndigheten har vägrat utfärda ett intyg över säkerhetsutredning får inte överklagas genom besvär, om inte intyget över säkerhetsutredningen är en förutsättning för skötseln av en sådan tjänst eller ett sådant uppdrag för vilka den som väljs, enligt internationella förpliktelser som gäller informationssäkerhet, ska ha ett intyg över säkerhetsutredning. (27.11.2020/857)

Vid sökande av ändring i förvaltningsdomstol tillämpas i övrigt lagen om rättegång i förvaltningsärenden (808/2019) . (27.11.2020/857)

Ett beslut som gäller att utfärda eller återta ett intyg över säkerhetsutredning får överklagas såväl av den som ansökt om säkerhetsutredningen som av den som utredningen gäller.

Denna lag träder i kraft den 1 juli 2004.

Åtgärder som verkställigheten av lagen förutsätter får vidtas innan lagen träder i kraft.