Beaktats t.o.m. FörfS 519/2017.

24.6.2004/588

Lag om internationella förpliktelser som gäller informationssäkerhet

Se anmärkningen för upphovsrätt i användningsvillkoren.

I enlighet med riksdagens beslut föreskrivs:

1 kap

Allmänna bestämmelser

1 §
Lagens tillämpningsområde

I denna lag föreskrivs om myndigheternas åtgärder för att uppfylla internationella förpliktelser som gäller informationssäkerhet.

Lagen tillämpas också på en näringsidkare och dennas anställda i sådana fall då näringsidkaren är part i ett säkerhetsklassificerat avtal eller deltar i ett upphandlingsförfarande innan ett sådant avtal sluts eller är underleverantör för en sådan näringsidkare.

3 mom. har upphävts genom L 19.9.2014/731. (19.9.2014/731)

2 §
Definitioner

I denna lag avses med

1) internationell förpliktelse som gäller informationssäkerhet sådana bestämmelser i internationella överenskommelser som är bindande för Finland som gäller åtgärder för skydd av särskilt känsligt material samt andra förpliktelser för Finland som skall iakttas av Finland och gäller nämnda åtgärder,

2) särskilt känsligt informationsmaterial sådana sekretessbelagda handlingar och material samt sådan information som kan fås ur dem samt sådana handlingar och material som producerats utifrån dessa handlingar och material samt denna information och som har säkerhetsklassificerats enligt en internationell förpliktelse som gäller informationssäkerhet,

3) säkerhetsklassificerat avtal ett avtal som en myndighet i en annan stat eller ett företag som har hemvist i den andra staten eller en internationell organisation eller ett internationellt organ, på det sätt som avses i en internationell förpliktelse som gäller informationssäkerhet, har för avsikt att ingå eller har ingått med en näringsidkare som har hemvist i Finland, om deltagande i ett anbudsförfarande eller fullgörande av ett avtal kan förutsätta tillgång till särskilt känsligt informationsmaterial.

3 §
Förhållande till annan lagstiftning

I fråga om offentlighet för särskilt känsligt informationsmaterial och god informationshantering av materialet gäller lagen om offentlighet i myndigheternas verksamhet (621/1999) och vad som bestäms med stöd av den, om inte något annat föreskrivs i denna lag.

En på lagen om offentlighet i myndigheternas verksamhet eller på någon annan lag baserad begäran om att få uppgifter ur särskilt känsligt informationsmaterial skall handläggas och avgöras av den myndighet till vilken informationsmaterialet har sänts eller som skall behandla ärendet i dess helhet.

2 kap

Säkerhetsmyndigheterna och samarbetet mellan dem

4 § (22.10.2010/885)
Säkerhetsmyndigheterna och deras uppgifter

Utrikesministeriet är Finlands nationella säkerhetsmyndighet vid uppfyllandet av internationella förpliktelser som gäller informationssäkerhet. Försvarsministeriet, huvudstaben, skyddspolisen och Kommunikationsverket är sådana utsedda säkerhetsmyndigheter som avses i internationella förpliktelser som gäller informationssäkerhet.

Den nationella säkerhetsmyndigheten har till uppgift att i synnerhet styra och övervaka att det särskilt känsliga informationsmaterial som avses i denna lag skyddas och att det hanteras på ett lämpligt sätt.

De utsedda säkerhetsmyndigheterna utför de uppgifter som föreskrivs för dem i denna lag och andra uppgifter som följer av internationella förpliktelser som gäller informationssäkerhet. Försvarsministeriet, huvudstaben och skyddspolisen är den nationella säkerhetsmyndighetens sakkunniga i ärenden som gäller personalsäkerhet, företagssäkerhet och lokalsäkerhet samt Kommunikationsverket i ärenden som gäller informationssäkerhet i fråga om informationssystem och datakommunikation. (19.9.2014/731)

5 §
Informationsutbyte och samarbete mellan säkerhetsmyndigheterna

De säkerhetsmyndigheter som avses i 4 § skall samarbeta för att på ett ändamålsenligt sätt uppfylla internationella förpliktelser som gäller informationssäkerhet samt i detta syfte utbyta information, utan hinder av bestämmelserna om sekretess.

Utan hinder av vad som föreskrivs i 4 § 1 mom. samt i 11–13 § kan den nationella säkerhetsmyndigheten och de utsedda säkerhetsmyndigheterna avtala om att sköta en viss uppgift eller ett visst uppgiftsområde för den andra säkerhetsmyndighetens räkning, om ett sådant arrangemang behövs för att uppgifterna skall kunna skötas på ett ändamålsenligt, ekonomiskt och flexibelt sätt.

3 kap

Åtgärder som gäller informationssäkerhet

6 §
Sekretess och användning av information

Särskilt känsligt informationsmaterial ska sekretessbeläggas, om inte annat följer av en internationell förpliktelse som gäller informationssäkerhet. (22.10.2010/885)

Särskilt känsligt informationsmaterial får användas och lämnas ut endast för angivet ändamål, om inte den som bestämt materialets säkerhetsklass har samtyckt till något annat.

En myndighet som hanterar särskilt känsligt informationsmaterial skall se till att endast personer som behöver informationen för skötsel av sina uppgifter har tillgång till materialet. Dessa personer skall i de fall som den internationella förpliktelsen som gäller informationssäkerhet förutsätter namnges på förhand. Detsamma gäller näringsidkare som avses 1 § 2 mom.

7 §
Tystnadsplikt och förbud mot utnyttjande

Den som är anställd hos en näringsidkare som avses 1 § 2 mom. är skyldig att hemlighålla vad han eller hon i detta uppdrag fått veta om uppgifter som ingår i särskilt känsligt informationsmaterial. Information som omfattas av tystnadsplikten får inte heller röjas efter att anställningen upphört. En person som avses ovan får inte använda sekretessbelagd information för att skaffa sig själv eller någon annan fördel eller för att skada någon annan.

I fråga om tystnadsplikten för den som är anställd hos eller annars verkar hos en myndighet, den som verkar på uppdrag av en myndighet eller är anställd hos den som utför uppdraget samt i fråga om förbud mot utnyttjande i samband därmed gäller vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet.

8 §
Anteckning om säkerhetsklass

Särskilt känsligt informationsmaterial skall oberoende av vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet eller med stöd av den förses med en sådan anteckning om säkerhetsklass som anges i en internationell förpliktelse som gäller informationssäkerhet och som anger vilka säkerhetskrav som skall iakttas vid hanteringen av materialet. Anteckningen kan göras också på en till handlingen fogad blankett som specificerar handlingen.

Föreskrifter om hur säkerhetsklasserna i en internationell förpliktelse som gäller informationssäkerhet motsvarar de säkerhetsklasser som iakttas i Finland kan utfärdas genom förordning av statsrådet.

9 §
Mot säkerhetsklassen svarande hanteringskrav

När särskilt känsligt informationsmaterial produceras, kopieras, översänds, distribueras, lagras, utplånas eller hanteras i något annat avseende, skall det sörjas för att materialet skyddas på ett sätt som motsvarar säkerhetsklassen.

Föreskrifter om sådana mot olika säkerhetsklasser svarande säkerhetsåtgärder som skall vidtas vid hantering av särskilt känsligt informationsmaterial kan utfärdas genom förordning av statsrådet.

10 §
Säkerhetskrav som gäller utrymmen

Särskilt känsligt informationsmaterial skall förvaras i utrymmen där det är möjligt att skydda handlingarna och materialen samt informationen i dem i enlighet med en internationell förpliktelse som gäller informationssäkerhet.

Föreskrifter om säkerhetskrav för sådana utrymmen som avses i 1 mom. kan utfärdas genom förordning av statsrådet.

11 § (19.9.2014/731)
Intyg över säkerhetsutredning av person, dess giltighet och återkallelse

En sådan säkerhetsutredning av person som förutsätts i en internationell förpliktelse som gäller informationssäkerhet ska göras på det sätt som föreskrivs i säkerhetsutredningslagen (726/2014). Ett intyg över säkerhetsutredning av person utfärdas dock av den nationella säkerhetsmyndigheten, om inte något annat följer av särskilda skäl. För utfärdandet av intyg och prövningen i anslutning till detta ska den myndighet som gjort utredningen trots sekretessbestämmelserna lämna den nationella säkerhetsmyndigheten information om alla sådana omständigheter som vid utredningen framkommit i fråga om den som utredningen gäller.

När den nationella säkerhetsmyndigheten bedömer huruvida ett intyg över säkerhetsutredning av person ska utfärdas, hur länge ett intyg över säkerhetsutredningen ska vara giltigt och huruvida ett intyg ska återkallas ska den tillämpa 11, 23, 32 samt 53–55 § i säkerhetsutredningslagen. För utfärdande av ett intyg kan den nationella säkerhetsmyndigheten intervjua den som utredningen gäller.

Om den nationella säkerhetsmyndigheten vägrar att utfärda ett intyg över säkerhetsutredning av person, ska den meddela skälen för detta i ett skriftligt beslut som ges till den som ansökt om utredningen och den som utredningen gäller.

12 § (19.9.2014/731)
Intyg över säkerhetsutredning av företag, dess giltighet och återkallelse

En säkerhetsutredning av företag som förutsätts i en internationell förpliktelse som gäller informationssäkerhet ska göras på det sätt som föreskrivs i säkerhetsutredningslagen. Ett intyg över säkerhetsutredning av företag utfärdas dock av den nationella säkerhetsmyndigheten, om inte något annat följer av särskilda skäl. För utfärdandet av intyg och prövningen i anslutning till detta ska den myndighet som gjort utredningen trots sekretessbestämmelserna lämna den nationella säkerhetsmyndigheten information om alla sådana omständigheter som vid utredningen framkommit i fråga om den som utredningen gäller.

I fråga om giltighet för och återkallelse av ett intyg över säkerhetsutredning av företag som den nationella säkerhetsmyndigheten utfärdat tillämpas 53–55 § i säkerhetsutredningslagen.

Om den nationella säkerhetsmyndigheten vägrar att utfärda ett intyg över säkerhetsutredning av företag, ska den meddela skälen för detta i ett skriftligt beslut som ges till den som ansökt om utredningen och den som utredningen gäller.

13 § (19.9.2014/731)

13 § har upphävts genom L 19.9.2014/731.

14 § (19.9.2014/731)
Anteckning av uppgifter om intyg i registret över säkerhetsutredningar

Den nationella säkerhetsmyndigheten ska i det register över säkerhetsutredningar som avses i säkerhetsutredningslagen föra in uppgifter om de intyg över säkerhetsutredning av person och de intyg över säkerhetsutredning av företag som den har utfärdat.

15 §
Giltigheten av förpliktelser som gäller informationssäkerhet

Bestämmelserna i detta kapitel skall tillämpas så länge det är nödvändigt på grund av det allmänna intresse som säkerhetsklassificeringen baserar sig på, också då den överenskommelse eller den författning som tillämpningen av bestämmelserna baserar sig på inte längre är i kraft. I fråga om när sekretessen upphör gäller vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet.

4 kap

Särskilda bestämmelser

16 §
Informationsskyldighet

Utan hinder av sekretessbestämmelserna skall en myndighet på begäran ge huvudstaben och skyddspolisen information som behövs för sådan säkerhetsutredning som avses i en internationell överenskommelse om informationssäkerhet och för en bedömning som baseras på en sådan utredning.

En näringsidkare som avses i 1 § 2 och 3 mom. skall ge den behöriga säkerhetsmyndigheten den information som behövs för en säkerhetsutredning eller inspektion eller som annars behövs för att uppfylla internationella förpliktelser som gäller informationssäkerhet, samt i detta syfte ge utredare och inspektörer tillträde till sina verksamhetsutrymmen.

17 §
Rätt att lämna ut sekretessbelagd information

Finska myndigheter har rätt att till en annan fördragsslutande part lämna ut handlingar och information som behövs för uppfyllande av en internationell förpliktelse som gäller informationssäkerhet, utan hinder av vad som i finsk lagstiftning föreskrivs om sekretessbeläggning av handlingar och uppgifter. Vad som föreskrivs ovan gäller inte uppgifter som är sekretessbelagda för tryggande av integritetsskyddet.

18 §
Besök av representanter för internationella organ och för fördragsslutande stater

En myndighet har rätt att inom ramen för en internationell förpliktelse som gäller informationssäkerhet låta representanter för internationella organisationer och organ samt för fördragsslutande stater bekanta sig med sina säkerhetsarrangemang och verksamhetsutrymmen oberoende av vad som föreskrivs om sekretessbeläggning av säkerhetsarrangemangen eller vad som bestäms eller föreskrivs om tillträde till utrymmen där sekretessbelagd information hanteras eller förvaras.

En näringsidkare som avses i 1 § 2 mom. skall tillåta att representanter för myndigheter, internationella organ och fördragsslutande stater bekantar sig med näringsidkarens säkerhetsarrangemang och verksamhetsutrymmen, när det är nödvändigt för att uppfylla en internationell förpliktelse som gäller informationssäkerhet.

19 §
Utredning av och anmälan om förseelser

Den nationella säkerhetsmyndigheten skall i sådana fall som avses i en internationell förpliktelse som gäller informationssäkerhet underrätta den andra fördragsslutande parten om sådant äventyrande av skyddet för säkerhetsklassificerad information och om sådant överträdande av en bestämmelse om informationssäkerhet som myndigheten fått kännedom om, samt vidta åtgärder för att utreda ärendet och för att väcka åtal mot den som gjord sig skyldig till en straffbar gärning.

20 §
Straffbestämmelser

Straff för brott mot skyldigheten att sekretessbelägga handlingar enligt 6 § och för brott mot tystnadsplikten och förbudet mot utnyttjandet enligt 7 § döms ut enligt 40 kap. 5 § i strafflagen (39/1889), om inte gärningen utgör brott enligt 38 kap. 1 eller 2 § i strafflagen eller om inte strängare straff för gärningen föreskrivs någon annanstans i lag.

Som brott mot tystnadsplikten enligt 1 mom. anses också brott mot en förbindelse som avses i 13 §.

20 a § (19.9.2014/731)
Andringssökande

Beslut som den nationella säkerhetsmyndigheten fattat med stöd av denna lag får överklagas genom besvär hos förvaltningsdomstolen så som föreskrivs i förvaltningsprocesslagen (586/1996). (11.11.2016/932)

Ett beslut genom vilket den nationella säkerhetsmyndigheten har vägrat utfärda ett intyg över säkerhetsutredning får överklagas genom besvär endast om intyget över säkerhetsutredningen är en förutsättning för skötseln av en sådan tjänst eller ett sådant uppdrag, för vilka den som väljs enligt internationella förpliktelser som gäller informationssäkerhet ska ha ett intyg över säkerhetsutredning.

Ett beslut som gäller att utfärda eller återta ett intyg över säkerhetsutredning får överklagas såväl av den som ansökt om säkerhetsutredningen som av den som utredningen gäller.

5 kap

Ikraftträdandebestämmelser

21 §
Ikraftträdande

Denna lag träder i kraft den 1 juli 2004.

Åtgärder som verkställigheten av lagen förutsätter får vidtas innan lagen träder i kraft.

RP 66/2004, FvUB 11/2004, RSv 95/2004

Ikraftträdelsestadganden:

22.10.2010/885:

Denna lag träder i kraft den 1 november 2010.

Åtgärder som krävs för verkställigheten av denna lag får vidtas innan lagen träder i kraft.

RP 53/2010, FvUB 13/2010, RSv 135/2010

29.12.2011/1534:

Denna lag träder i kraft den 1 januari 2012.

RP 76/2011, FsUB 3/2011, RSv 106/2011, Europaparlamentets och rådets direktiv 2009/81/EG (32009L0081); EUT nr L 216, 20.8.2009, s. 76-136

19.9.2014/731:

Denna lag träder i kraft den 1 januari 2015.

RP 57/2013, FvUB 16/2014, RSv 79/2014

11.11.2016/932:

Denna lag träder i kraft den 1 januari 2017.

RP 122/2016, FvUB 14/2016, RSv 109/2016

Finlex ® är en offentlig och gratis internettjänst för rättsligt material som ägs av justitieministeriet.
Innehållet i Finlex produceras och upprätthålls av Edita Publishing Ab. Varken justitieministeriet eller Edita svarar för eventuella fel i innehållet i databaserna, för den omedelbara eller medelbara skada som orsakas av att felaktig information används eller för avbrott i användningen av eller andra störningar i Internet.