588/2004

Given i Nådendal den 24 juni 2004

Lag om internationella förpliktelser som gäller informationssäkerhet

I enlighet med riksdagens beslut föreskrivs:

1 kap.

Allmänna bestämmelser

1 §
Lagens tillämpningsområde

I denna lag föreskrivs om myndigheternas åtgärder för att uppfylla internationella förpliktelser som gäller informationssäkerhet.

Lagen tillämpas också på en näringsidkare och dennas anställda i sådana fall då näringsidkaren är part i ett säkerhetsklassificerat avtal eller deltar i ett upphandlingsförfarande innan ett sådant avtal sluts eller är underleverantör för en sådan näringsidkare.

Lagens 12―14 § samt 16 § 2 mom. tillämpas också på en näringsidkare som begär en utredning över sin tillförlitlighet och en bedömning på basis av utredningen för att kunna delta i ett anbudsförfarande som ordnas av en myndighet i en annan stat eller av ett företag som har hemvist i den andra staten.

2 §
Definitioner

I denna lag avses med

1) internationell förpliktelse som gäller informationssäkerhet sådana bestämmelser i internationella överenskommelser som är bindande för Finland som gäller åtgärder för skydd av särskilt känsligt material samt andra förpliktelser för Finland som skall iakttas av Finland och gäller nämnda åtgärder,

2) särskilt känsligt informationsmaterial sådana sekretessbelagda handlingar och material samt sådan information som kan fås ur dem samt sådana handlingar och material som producerats utifrån dessa handlingar och material samt denna information och som har säkerhetsklassificerats enligt en internationell förpliktelse som gäller informationssäkerhet,

3) säkerhetsklassificerat avtal ett avtal som en myndighet i en annan stat eller ett företag som har hemvist i den andra staten eller en internationell organisation eller ett internationellt organ, på det sätt som avses i en internationell förpliktelse som gäller informationssäkerhet, har för avsikt att ingå eller har ingått med en näringsidkare som har hemvist i Finland, om deltagande i ett anbudsförfarande eller fullgörande av ett avtal kan förutsätta tillgång till särskilt känsligt informationsmaterial.

3 §
Förhållande till annan lagstiftning

I fråga om offentlighet för särskilt känsligt informationsmaterial och god informationshantering av materialet gäller lagen om offentlighet i myndigheternas verksamhet (621/1999) och vad som bestäms med stöd av den, om inte något annat föreskrivs i denna lag.

En på lagen om offentlighet i myndigheternas verksamhet eller på någon annan lag baserad begäran om att få uppgifter ur särskilt känsligt informationsmaterial skall handläggas och avgöras av den myndighet till vilken informationsmaterialet har sänts eller som skall behandla ärendet i dess helhet.

2 kap.

Säkerhetsmyndigheterna och samarbetet mellan dem

4 §
Den nationella säkerhetsmyndigheten och de utsedda säkerhetsmyndigheterna

Utrikesministeriet är Finlands nationella säkerhetsmyndighet vid uppfyllandet av internationella förpliktelser som gäller informationssäkerhet. Försvarsministeriet, huvudstaben och skyddspolisen kan verka som sådana utsedda säkerhetsmyndigheter som avses i internationella förpliktelser som gäller informationssäkerhet. Skyddspolisen och huvudstaben ser till att säkerhetsutredningar görs i enlighet med 11 och 12 §.

Föreskrifter om uppgiftsfördelningen mellan säkerhetsmyndigheterna kan utfärdas genom förordning av statsrådet.

5 §
Informationsutbyte och samarbete mellan säkerhetsmyndigheterna

De säkerhetsmyndigheter som avses i 4 § skall samarbeta för att på ett ändamålsenligt sätt uppfylla internationella förpliktelser som gäller informationssäkerhet samt i detta syfte utbyta information, utan hinder av bestämmelserna om sekretess.

Utan hinder av vad som föreskrivs i 4 § 1 mom. samt i 11―13 § kan den nationella säkerhetsmyndigheten och de utsedda säkerhetsmyndigheterna avtala om att sköta en viss uppgift eller ett visst uppgiftsområde för den andra säkerhetsmyndighetens räkning, om ett sådant arrangemang behövs för att uppgifterna skall kunna skötas på ett ändamålsenligt, ekonomiskt och flexibelt sätt.

3 kap.

Åtgärder som gäller informationssäkerhet

6 §
Sekretess och användning av information

Särskilt känsligt informationsmaterial skall sekretessbeläggas.

Särskilt känsligt informationsmaterial får användas och lämnas ut endast för angivet ändamål, om inte den som bestämt materialets säkerhetsklass har samtyckt till något annat.

En myndighet som hanterar särskilt känsligt informationsmaterial skall se till att endast personer som behöver informationen för skötsel av sina uppgifter har tillgång till materialet. Dessa personer skall i de fall som den internationella förpliktelsen som gäller informationssäkerhet förutsätter namnges på förhand. Detsamma gäller näringsidkare som avses 1 § 2 mom.

7 §
Tystnadsplikt och förbud mot utnyttjande

Den som är anställd hos en näringsidkare som avses 1 § 2 mom. är skyldig att hemlighålla vad han eller hon i detta uppdrag fått veta om uppgifter som ingår i särskilt känsligt informationsmaterial. Information som omfattas av tystnadsplikten får inte heller röjas efter att anställningen upphört. En person som avses ovan får inte använda sekretessbelagd information för att skaffa sig själv eller någon annan fördel eller för att skada någon annan.

I fråga om tystnadsplikten för den som är anställd hos eller annars verkar hos en myndighet, den som verkar på uppdrag av en myndighet eller är anställd hos den som utför uppdraget samt i fråga om förbud mot utnyttjande i samband därmed gäller vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet.

8 §
Anteckning om säkerhetsklass

Särskilt känsligt informationsmaterial skall oberoende av vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet eller med stöd av den förses med en sådan anteckning om säkerhetsklass som anges i en internationell förpliktelse som gäller informationssäkerhet och som anger vilka säkerhetskrav som skall iakttas vid hanteringen av materialet. Anteckningen kan göras också på en till handlingen fogad blankett som specificerar handlingen.

Föreskrifter om hur säkerhetsklasserna i en internationell förpliktelse som gäller informationssäkerhet motsvarar de säkerhetsklasser som iakttas i Finland kan utfärdas genom förordning av statsrådet.

9 §
Mot säkerhetsklassen svarande hanteringskrav

När särskilt känsligt informationsmaterial produceras, kopieras, översänds, distribueras, lagras, utplånas eller hanteras i något annat avseende, skall det sörjas för att materialet skyddas på ett sätt som motsvarar säkerhetsklassen.

Föreskrifter om sådana mot olika säkerhetsklasser svarande säkerhetsåtgärder som skall vidtas vid hantering av särskilt känsligt informationsmaterial kan utfärdas genom förordning av statsrådet.

10 §
Säkerhetskrav som gäller utrymmen

Särskilt känsligt informationsmaterial skall förvaras i utrymmen där det är möjligt att skydda handlingarna och materialen samt informationen i dem i enlighet med en internationell förpliktelse som gäller informationssäkerhet.

Föreskrifter om säkerhetskrav för sådana utrymmen som avses i 1 mom. kan utfärdas genom förordning av statsrådet.

11 §
Utredningar som gäller personsäkerhet samt bedömningar

En säkerhetsutredning som läggs till grund för bedömning av en persons tillförlitlighet, enligt vad som förutsätts i en internationell förpliktelse som gäller informationssäkerhet, skall göras på det sätt som föreskrivs i lagen om säkerhetsutredningar (177/2002) och med stöd av den. Utan hinder av 19 § i nämnda lag är det också möjligt att göra en säkerhetsutredning som en begränsad säkerhetsutredning, om en sådan behövs för att uppfylla den internationella förpliktelsen om informationssäkerhet.

Säkerhetsutredningen skall göras av huvudstaben då en sådan utredning behövs för att uppfylla en internationell förpliktelse som gäller försvarsförvaltningen eller anskaffningar av försvarsmateriel. Skyddspolisen ser till att andra säkerhetsutredningar som avser personer görs.

På basis av säkerhetsutredningen bedöms en persons tillförlitlighet av den nationella säkerhetsmyndigheten eller, om så har avtalats mellan säkerhetsmyndigheterna, av den för uppgiften utsedda säkerhetsmyndigheten.

12 §
Säkerhetsutredningar som gäller sammanslutningar samt bedömningar

Huvudstaben svarar med stöd av en internationell förpliktelse som gäller informationssäkerhet för utredningen av en sådan näringsidkares tillförlitlighet som avses i 1 § 2 mom. (säkerhetsutredning som gäller sammanslutning) samt för bedömningen på basis av utredningen, om något annat inte har avtalats mellan säkerhetsmyndigheterna. Vid utredningen och bedömningen skall det beaktas hur

1) säkerhetsklassificerad information skyddas mot att bli obehörigen röjd, ändrad eller utplånad,

2) obehörigt tillträde kan förhindras till utrymmen där säkerhetsklassificerad information hanteras eller verksamhet bedrivs enligt ett säkerhetsklassificerat avtal,

3) handledningen och utbildningen av personalen är ordnad.

Huvudstaben kan göra en säkerhetsutredning som gäller en sammanslutning samt en bedömning då en näringsidkare har bett om en sådan för att kunna delta i ett anbudsförvarande som ordnas av en myndighet i en annan stat eller av ett företag som har hemvist i den andra staten.

Närmare föreskrifter om säkerhetsutredning som gäller sammanslutning kan utfärdas genom förordning av statsrådet.

13 §
Förbindelse om att vidta säkerhetsåtgärder

Huvudstaben kan med en näringsidkare som avses i 1 § 2 mom. eller i 12 § 2 mom. ingå ett avtal om att näringsidkaren förbinder sig att vidta sådana åtgärder som avses i 12 § 1 mom. samt andra åtgärder som är nödvändiga för att uppfylla internationella förpliktelser som gäller informationssäkerhet.

14 §
Säkerhetsintyg

En säkerhetsmyndighet som på basis av en säkerhetsutredning har gjort en bedömning av en persons tillförlitlighet skall ge den som bedömningen avser ett intyg över bedömningen, om en internationell förpliktelse som gäller informationssäkerhet förutsätter detta. Ett sådant intyg skall ges också en näringsidkare som har varit föremål för en sådan bedömning som avses i 12 § 2 mom.

15 §
Giltigheten av förpliktelser som gäller informationssäkerhet

Bestämmelserna i detta kapitel skall tillämpas så länge det är nödvändigt på grund av det allmänna intresse som säkerhetsklassificeringen baserar sig på, också då den överenskommelse eller den författning som tillämpningen av bestämmelserna baserar sig på inte längre är i kraft. I fråga om när sekretessen upphör gäller vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet.

4 kap.

Särskilda bestämmelser

16 §
Informationsskyldighet

Utan hinder av sekretessbestämmelserna skall en myndighet på begäran ge huvudstaben och skyddspolisen information som behövs för sådan säkerhetsutredning som avses i en internationell överenskommelse om informationssäkerhet och för en bedömning som baseras på en sådan utredning.

En näringsidkare som avses i 1 § 2 och 3 mom. skall ge den behöriga säkerhetsmyndigheten den information som behövs för en säkerhetsutredning eller inspektion eller som annars behövs för att uppfylla internationella förpliktelser som gäller informationssäkerhet, samt i detta syfte ge utredare och inspektörer tillträde till sina verksamhetsutrymmen.

17 §
Rätt att lämna ut sekretessbelagd information

Finska myndigheter har rätt att till en annan fördragsslutande part lämna ut handlingar och information som behövs för uppfyllande av en internationell förpliktelse som gäller informationssäkerhet, utan hinder av vad som i finsk lagstiftning föreskrivs om sekretessbeläggning av handlingar och uppgifter. Vad som föreskrivs ovan gäller inte uppgifter som är sekretessbelagda för tryggande av integritetsskyddet.

18 §
Besök av representanter för internationella organ och för fördragsslutande stater

En myndighet har rätt att inom ramen för en internationell förpliktelse som gäller informationssäkerhet låta representanter för internationella organisationer och organ samt för fördragsslutande stater bekanta sig med sina säkerhetsarrangemang och verksamhetsutrymmen oberoende av vad som föreskrivs om sekretessbeläggning av säkerhetsarrangemangen eller vad som bestäms eller föreskrivs om tillträde till utrymmen där sekretessbelagd information hanteras eller förvaras.

En näringsidkare som avses i 1 § 2 mom. skall tillåta att representanter för myndigheter, internationella organ och fördragsslutande stater bekantar sig med näringsidkarens säkerhetsarrangemang och verksamhetsutrymmen, när det är nödvändigt för att uppfylla en internationell förpliktelse som gäller informationssäkerhet.

19 §
Utredning av och anmälan om förseelser

Den nationella säkerhetsmyndigheten skall i sådana fall som avses i en internationell förpliktelse som gäller informationssäkerhet underrätta den andra fördragsslutande parten om sådant äventyrande av skyddet för säkerhetsklassificerad information och om sådant överträdande av en bestämmelse om informationssäkerhet som myndigheten fått kännedom om, samt vidta åtgärder för att utreda ärendet och för att väcka åtal mot den som gjord sig skyldig till en straffbar gärning.

20 §
Straffbestämmelser

Straff för brott mot skyldigheten att sekretessbelägga handlingar enligt 6 § och för brott mot tystnadsplikten och förbudet mot utnyttjandet enligt 7 § döms ut enligt 40 kap. 5 § i strafflagen (39/1889), om inte gärningen utgör brott enligt 38 kap. 1 eller 2 § i strafflagen eller om inte strängare straff för gärningen föreskrivs någon annanstans i lag.

Som brott mot tystnadsplikten enligt 1 mom. anses också brott mot en förbindelse som avses i 13 §.

5 kap.

Ikraftträdandebestämmelser

21 §
Ikraftträdande

Denna lag träder i kraft den 1 juli 2004.

Åtgärder som verkställigheten av lagen förutsätter får vidtas innan lagen träder i kraft.

RP 66/2004
FvUB 11/2004
RSv 95/2004

Nådendal den 24 juni 2004

Republikens President
TARJA HALONEN

Justitieminister
Johannes Koskinen

Finlex ® är en offentlig och gratis internettjänst för rättsligt material som ägs av justitieministeriet.
Innehållet i Finlex produceras och upprätthålls av Edita Publishing Ab. Varken justitieministeriet eller Edita svarar för eventuella fel i innehållet i databaserna, för den omedelbara eller medelbara skada som orsakas av att felaktig information används eller för avbrott i användningen av eller andra störningar i Internet.