588/2004

Annettu Naantalissa 24 päivänä kesäkuuta 2004

Laki kansainvälisistä tietoturvallisuusvelvoitteista

Eduskunnan päätöksen mukaisesti säädetään:

1 luku

Yleiset säännökset

1 §
Lain soveltamisala

Tässä laissa säädetään viranomaisten toimenpiteistä kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi.

Lakia sovelletaan myös elinkeinonharjoittajaan ja tämän palveluksessa olevaan silloin, kun elinkeinonharjoittaja on sopimusosapuolena turvallisuusluokitellussa sopimuksessa tai osallistuu tällaista sopimusta edeltävään hankintakilpailuun tai toimii tällaisen elinkeinonharjoittajan alihankkijana.

Lain 12―14 §:ää sekä 16 §:n 2 momenttia sovelletaan myös elinkeinonharjoittajaan, joka pyytää yhteisöturvallisuusselvityksen ja arvion tekemistä voidakseen osallistua toisen valtion viranomaisen tai siellä kotipaikkaansa pitävän yrityksen järjestämään tarjouskilpailuun.

2 §
Määritelmät

Tässä laissa tarkoitetaan:

1) kansainvälisellä tietoturvallisuusvelvoitteella sellaista Suomea sitovaan kansainväliseen sopimukseen sisältyvää määräystä sekä sellaista muuta Suomea koskevaa velvoitetta, jota Suomen on noudatettava ja joka koskee erityissuojattavan aineiston suojaamiseksi tarvittavia toimenpiteitä;

2) erityissuojattavalla tietoaineistolla sellaisia salassa pidettäviä asiakirjoja ja materiaaleja sekä asiakirjoista ja materiaaleista saatavissa olevia tietoja sekä näiden perusteella tuotettuja asiakirjoja ja materiaaleja, jotka kansainvälisen tietoturvallisuusvelvoitteen mukaisesti on turvallisuusluokiteltu;

3) turvallisuusluokitellulla sopimuksella sopimusta, jonka toisen valtion viranomainen tai siellä kotipaikkaansa pitävä yritys taikka kansainvälinen järjestö tai toimielin aikoo tehdä tai on tehnyt kansainvälisessä tietoturvallisuusvelvoitteessa tarkoitetulla tavalla Suomessa kotipaikkaansa pitävän elinkeinonharjoittajan kanssa, jos tarjouskilpailuun osallistuminen tai sopimuksen toteuttaminen voi edellyttää pääsyä erityissuojattavaan tietoaineistoon.

3 §
Suhde muuhun lainsäädäntöön

Erityissuojattavan tietoaineiston julkisuudesta sekä sen käsittelyssä noudatettavasta hyvästä tiedonhallintatavasta on voimassa, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) ja sen nojalla säädetään, jollei tässä laissa toisin säädetä.

Viranomaisten toiminnan julkisuudesta annettuun lakiin tai muuhun lakiin perustuvan pyynnön saada tieto erityissuojattavasta tietoaineistosta käsittelee ja ratkaisee se viranomainen, jolle tietoaineisto on toimitettu taikka jonka käsiteltäväksi asia kokonaisuudessaan kuuluu.

2 luku

Turvallisuusviranomaiset ja niiden välinen yhteistyö

4 §
Kansallinen turvallisuusviranomainen ja määrätyt turvallisuusviranomaiset

Ulkoasiainministeriö toimii kansainvälisten tietoturvallisuusvelvoitteiden toteuttamisessa Suomen kansallisena turvallisuusviranomaisena. Puolustusministeriö, pääesikunta ja suojelupoliisi voivat toimia kansainvälisissä tietoturvallisuusvelvoitteissa tarkoitettuina määrättyinä turvallisuusviranomaisina. Suojelupoliisi ja pääesikunta huolehtivat turvallisuusselvitysten laadinnasta siten kuin 11 ja 12 §:ssä säädetään.

Tehtävänjaosta turvallisuusviranomaisten välillä voidaan säätää valtioneuvoston asetuksella.

5 §
Turvallisuusviranomaisten välinen tietojenvaihto ja yhteistyö

Edellä 4 §:ssä tarkoitettujen turvallisuusviranomaisten on toimittava yhteistyössä kansainvälisten tietoturvallisuusvelvoitteiden asianmukaiseksi hoitamiseksi sekä annettava toisilleen tässä tarkoituksessa tarpeellisia tietoja sen estämättä, mitä salassapitovelvollisuudesta säädetään.

Sen estämättä, mitä 4 §:n 1 momentissa sekä 11―13 §:ssä säädetään, kansallinen turvallisuusviranomainen ja tehtävään määrätyt turvallisuusviranomaiset voivat sopia tietyn tehtävän tai tehtäväkokonaisuuden hoitamisesta toisen turvallisuusviranomaisen lukuun, jos järjestely on tarpeen tehtävien hoitamiseksi tarkoituksenmukaisesti, taloudellisesti ja joutuisasti.

3 luku

Tietoturvallisuustoimenpiteet

6 §
Salassapitovelvollisuus ja tietojen käyttö

Erityissuojattava tietoaineisto on pidettävä salassa.

Erityissuojattavaa tietoaineistoa saa käyttää ja luovuttaa vain siihen tarkoitukseen, jota varten se on annettu, jollei se, joka on määritellyt aineiston turvallisuusluokan, ole antanut muuhun suostumustaan.

Erityissuojattavaa tietoaineistoa käsittelevän viranomaisen on pidettävä huolta siitä, että tietoaineistoon on pääsy vain niillä, jotka tarvitsevat tietoja tehtävänsä hoitamisessa. Nämä henkilöt on nimettävä etukäteen kansainvälisessä tietoturvallisuusvelvoitteessa edellytetyissä tapauksissa. Sama koskee myös 1 §:n 2 momentissa tarkoitettua elinkeinonharjoittajaa.

7 §
Vaitiolovelvollisuus ja hyväksikäyttökielto

Se, joka toimii 1 §:n 2 momentissa tarkoitetun elinkeinonharjoittajan palveluksessa, on velvollinen olemaan ilmaisematta, mitä hän on tässä tehtävässä saanut tietää erityissuojattavaan tietoaineistoon sisältyvistä tiedoista. Vaitiolovelvollisuuden piiriin kuuluvaa tietoa ei saa paljastaa senkään jälkeen, kun palvelussuhde on päättynyt. Edellä tarkoitettu henkilö ei saa käyttää salassa pidettäviä tietoja omaksi taikka toisen hyödyksi tai toisen vahingoksi.

Viranomaiseen palvelussuhteessa olevan ja viranomaisessa muutoin toimivan samoin kuin viranomaisen toimeksiannosta toimivan ja tämän palveluksessa olevan vaitiolovelvollisuudesta sekä siihen liittyvästä hyväksikäyttökiellosta on voimassa, mitä viranomaisten toiminnan julkisuudesta annetussa laissa säädetään.

8 §
Turvallisuusluokan merkitseminen

Erityissuojattavaan tietoaineistoon on siitä riippumatta, mitä viranomaisten toiminnan julkisuudesta annetussa laissa tai sen nojalla säädetään, tehtävä kansainvälisessä tietoturvallisuusvelvoitteessa määritelty luokittelumerkintä sen osoittamiseksi, minkälaisia tietoturvallisuusvaatimuksia sen käsittelyssä on noudatettava. Merkintä voidaan tehdä myös asiakirjaan liitettävälle lomakkeelle, joka sisältää asiakirjan yksilöintitiedot.

Kansainvälisen tietoturvallisuusvelvoitteen määrittelemän turvallisuusluokituksen vastaavuudesta Suomessa noudatettuun luokitukseen voidaan säätää valtioneuvoston asetuksella.

9 §
Turvallisuusluokkaa vastaavat käsittelyvaatimukset

Erityissuojattavaa tietoaineistoa luotaessa, kopioitaessa, siirrettäessä, jaettaessa, säilytettäessä, hävitettäessä tai muutoin käsiteltäessä on pidettävä huolta, että tietoaineiston suojaamisesta voidaan huolehtia tietoaineiston turvallisuusluokkaa vastaavalla tavalla.

Erityissuojattavan tietoaineiston käsittelyssä noudatettavista eri turvallisuusluokkia vastaavista turvallisuustoimenpiteistä voidaan säätää valtioneuvoston asetuksella.

10 §
Tiloihin liittyvät turvallisuusvaatimukset

Erityissuojattava tietoaineisto on säilytettävä tiloissa, joissa asiakirjojen ja materiaalien sekä niihin sisältyvien tietojen suojaamisesta voidaan huolehtia kansainvälisessä tietoturvallisuusvelvoitteessa edellytetyllä tavalla.

Edellä 1 momentissa tarkoitettujen tilojen turvallisuusvaatimuksista voidaan säätää valtioneuvoston asetuksella.

11 §
Henkilöturvallisuusselvitykset ja arviot

Kansainvälisessä tietoturvallisuusvelvoitteessa edellytetyn henkilön luotettavuuden arvioinnin perusteena oleva turvallisuusselvitys tehdään siten kuin turvallisuusselvityksistä annetussa laissa (177/2002) ja sen nojalla säädetään. Sen estämättä, mitä mainitun lain 19 §:ssä säädetään, turvallisuusselvitys voidaan tehdä myös suppeana turvallisuusselvityksenä, jos se on tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi.

Turvallisuusselvityksen tekee pääesikunta silloin, kun turvallisuusselvityksen laatiminen on tarpeen puolustushallintoa tai puolustushankintoja koskevan kansainvälisen velvoitteen toteuttamiseksi. Suojelupoliisi huolehtii muiden henkilöön liittyvien turvallisuusselvitysten tekemisestä.

Arvion henkilön luotettavuudesta turvallisuusselvityksen perusteella tekee kansallinen turvallisuusviranomainen tai, jos niin turvallisuusviranomaisten välillä on sovittu, tehtävään määrätty turvallisuusviranomainen.

12 §
Yhteisöturvallisuusselvitykset ja arviot

Pääesikunta huolehtii kansainvälisen tietoturvallisuusvelvoitteen perusteella tehtävistä 1 §:n 2 momentissa tarkoitetun elinkeinonharjoittajan luotettavuuden selvittämisestä (yhteisöturvallisuusselvitys) sekä sen perusteella tehdystä arviosta, jollei turvallisuusviranomaisten kesken ole toisin sovittu. Selvitystä ja arviota laadittaessa on otettava huomioon, miten:

1) suojataan turvallisuusluokitellut tiedot oikeudettomalta ilmitulolta, muuttamiselta ja hävittämiseltä;

2) estetään asiaton pääsy tiloihin, joissa turvallisuusluokiteltuja tietoja käsitellään tai joissa harjoitetaan turvallisuusluokitellussa sopimuksessa tarkoitettua toimintaa;

3) henkilöstön ohjauksesta ja koulutuksesta huolehditaan.

Pääesikunta voi laatia yhteisöturvallisuusselvityksen ja arvion, jos elinkeinonharjoittaja on pyytänyt sitä voidakseen osallistua toisen valtion viranomaisen tai siinä kotipaikkaansa pitävän yrityksen järjestämään tarjouskilpailuun.

Valtioneuvoston asetuksella voidaan säätää tarkemmin yhteisöturvallisuusselvityksen laadinnasta.

13 §
Sitoumus turvallisuustoimenpiteiden suorittamisesta

Pääesikunta voi tehdä 1 §:n 2 momentissa tai 12 §:n 2 momentissa tarkoitetun elinkeinonharjoittajan kanssa sopimuksen, jossa elinkeinonharjoittaja sitoutuu huolehtimaan 12 §:n 1 momentissa tarkoitetuista ja muista kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi tarpeellisista toimenpiteistä.

14 §
Turvallisuustodistus

Turvallisuusselvityksen perusteella luotettavuutta koskevan arvion tehneen turvallisuusviranomaisen on annettava sille, jota arvio koskee, todistus arvion suorittamisesta, jos kansainvälisessä tietoturvallisuusvelvoitteessa niin edellytetään. Todistus on annettava myös elinkeinonharjoittajalle, josta arvio on tehty 12 §:n 2 momentissa tarkoitetulla tavalla.

15 §
Tietoturvallisuusvelvoitteiden voimassaolo

Tämän luvun säännöksiä sovelletaan niin kauan kuin se turvallisuusluokituksen perusteena olevan yleisen edun vuoksi on tarpeen silloinkin, kun sopimus tai säädös, johon säännösten soveltaminen perustuu, ei enää ole voimassa. Salassapitovelvollisuuden lakkaamisesta on voimassa, mitä viranomaisten toiminnan julkisuudesta annetussa laissa säädetään.

4 luku

Erinäiset säännökset

16 §
Tiedonantovelvollisuus

Viranomaisen on salassapitosäännösten estämättä annettava pyynnöstä pääesikunnalle ja suojelupoliisille tiedot, jotka ovat tarpeen kansainvälisessä tietoturvallisuussopimuksessa tarkoitetun turvallisuusselvityksen ja siihen perustuvan arvion tekemiseksi.

Edellä 1 §:n 2 ja 3 momentissa tarkoitetun elinkeinonharjoittajan on annettava toimivaltaiselle turvallisuusviranomaiselle ne tiedot, jotka ovat tarpeen turvallisuusselvityksen tai tarkastuksen tekemiseksi taikka jotka muutoin ovat tarpeen kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi, sekä annettava tätä varten selvityksen laatijoille ja tarkastajille pääsy toimitiloihinsa.

17 §
Oikeus salassa pidettävien tietojen luovuttamiseen

Suomen viranomaisilla on oikeus antaa toiselle sopimuspuolelle kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi välttämättömiä asiakirjoja ja tietoja sen estämättä, mitä asiakirjojen ja tietojen salassapidosta Suomen lainsäädännössä säädetään. Mitä edellä on säädetty, ei koske yksityisyyden suojan vuoksi salassa pidettäviksi säädettyjä tietoja.

18 §
Kansainvälisen toimielimen ja sopimusvaltion edustajien vierailut

Viranomaisella on oikeus sallia kansainväliseen tietoturvallisuusvelvoitteeseen perustuvan kansainvälisen järjestön, toimielimen tai sopimusvaltion edustajan tutustuminen viranomaisen toteuttamiin turvallisuusjärjestelyihin ja toimitiloihin siitä riippumatta, mitä turvallisuusjärjestelyjen salassapidosta säädetään taikka säädetään tai määrätään pääsystä tiloihin, joissa käsitellään tai säilytetään salassa pidettäviä tietoja.

Edellä 1 §:n 2 momentissa tarkoitetun elinkeinonharjoittajan on sallittava viranomaisen ja kansainvälisen toimielimen tai sopimusvaltion edustajan tutustuminen turvallisuusjärjestelyihinsä ja toimitiloihinsa, milloin se on tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi.

19 §
Rikkomusten selvittäminen ja niistä ilmoittaminen

Kansallisen turvallisuusviranomaisen on ilmoitettava kansainvälisessä tietoturvallisuusvelvoitteessa tarkoitetuissa tapauksissa toiselle sopimuspuolelle tietoonsa tulleesta turvallisuusluokiteltujen tietojen suojan vaarantumisesta ja tietoturvallisuutta koskevan määräyksen loukkaamisesta sekä ryhdyttävä toimenpiteisiin asian selvittämiseksi samoin kuin rangaistavaan tekoon syyllistyneen syytteeseen saattamiseksi.

20 §
Rangaistussäännökset

Rangaistus 6 §:ssä säädetyn asiakirjan salassa pitämistä koskevan velvollisuuden tai 7 §:ssä säädetyn vaitiolovelvollisuuden ja hyväksikäyttökiellon rikkomisesta tuomitaan rikoslain (39/1889) 40 luvun 5 §:n mukaan, jollei teko ole rangaistava rikoslain 38 luvun 1 tai 2 §:n mukaan tai jollei siitä muualla laissa säädetä ankarampaa rangaistusta.

Edellä 1 momentissa tarkoitettuna salassapitovelvollisuuden rikkomisena pidetään myös 13 §:ssä tarkoitetun sitoumuksen rikkomista.

5 luku

Voimaantulosäännökset

21 §
Voimaantulo

Tämä laki tulee voimaan 1 päivänä heinäkuuta 2004.

Ennen lain voimaantuloa voidaan ryhtyä sen täytäntöön panemiseksi tarpeellisiin toimenpiteisiin.

HE 66/2004
HaVM 11/2004
EV 95/2004

Naantalissa 24 päivänä kesäkuuta 2004

Tasavallan Presidentti
TARJA HALONEN

Oikeusministeri
Johannes Koskinen

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.