Seurattu SDK 940/2023 saakka.

1.7.2010/681

Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa

Katso tekijänoikeudellinen huomautus käyttöehdoissa.

Valtioneuvoston päätöksen mukaisesti, joka on tehty oikeusministeriön esittelystä, säädetään viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 36 §:n 1 momentin nojalla, sellaisena kuin se on laissa 495/2005:

1 luku

Yleiset säännökset

1 §
Soveltamisala

Tässä asetuksessa säädetään valtionhallinnon viranomaisten asiakirjojen käsittelyä koskevista yleisistä tietoturvallisuusvaatimuksista sekä asiakirjojen luokittelun perusteista ja luokittelua vastaavista asiakirjojen käsittelyssä noudatettavista tietoturvallisuusvaatimuksista.

2 §
Suhde muuhun lainsäädäntöön

Viranomaisen asiakirjan julkisuudesta ja asiakirjan saamista koskevan pyynnön käsittelystä sekä hyvään tiedonhallintatapaan kuuluvista yleisistä velvollisuuksista säädetään viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999). Kansainvälisten tietoturvallisuusvelvoitteiden mukaisesti turvallisuusluokitellun asiakirjan salassapitovelvollisuudesta säädetään kansainvälisistä tietoturvallisuusvelvoitteista annetun lain (588/2004) 6 §:ssä.

Tätä asetusta sovelletaan toisen maan viranomaiselta tai kansainväliseltä toimielimeltä saadun asiakirjan käsittelyyn, jollei kansainvälisestä tietoturvallisuusvelvoitteesta muuta johdu.

3 §
Määritelmät

Tässä asetuksessa tarkoitetaan:

1) valtionhallinnon viranomaisella valtion hallintoviranomaisia ja muita valtion virastoja ja laitoksia sekä tuomioistuimia ja muita lainkäyttöviranomaisia;

2) tietoturvallisuudella tietojen salassapitovelvollisuuden ja käyttörajoitusten noudattamiseksi sekä tietojen saatavuuden, eheyden ja käytettävyyden varmistamiseksi toteutettavia hallinnollisia, teknisiä ja muita toimenpiteitä ja järjestelyjä;

3) salassa pidettävällä asiakirjalla sellaista viranomaisten toiminnan julkisuudesta annetun lain 5 §:n 1 momentissa tarkoitettua asiakirjaa, joka mainitun lain tai muun lain mukaan on pidettävä salassa;

4) asiakirjan käsittelyllä asiakirjan vastaanottamista, laatimista, tallettamista, katselua, muuttamista, luovuttamista, kopiointia, siirtoa, välittämistä, hävittämistä, säilyttämistä ja arkistointia sekä asiakirjaan automaattisen tietojenkäsittelyn, äänen- ja kuvantoistolaitteiden tai muiden apuvälineiden avulla taikka muutoin kohdistuvia toimenpiteitä;

5) kansainvälisellä tietoturvallisuusvelvoitteella sellaista salassa pidettävän asiakirjan käsittelyä koskevaa ja kansainväliseen sopimukseen tai säädökseen perustuvaa velvoitetta, jota Suomen on noudatettava;

6) arkaluonteisilla henkilötiedoilla henkilötietolain (523/1999) 11 §:ssä tarkoitettuja henkilötietoja;

7) biometrisillä tunnistetiedoilla henkilön tunnistamisessa käytettäviä, henkilön yksilöiviä tietoja, jotka perustuvat luonnollisen henkilön fysiologiseen ominaisuuteen taikka käyttäytymiseen.

Ks. L viranomaisten toiminnan julkisuudesta 621/1999 5 § 1 mom. HenkilötietoL 523/1999 on kumottu TietosuojaL:lla 1050/2018. Ks. EPNAs (EU) 2016/679 (yleinen tietosuoja-asetus) 9 art.

2 luku

Yleiset tietoturvallisuusvaatimukset

4 §
Tietoturvallisuuden suunnittelun perusteet

Valtionhallinnon viranomaisen on pidettävä huolta, että tietoturvallisuuden suunnittelu hyvän tiedonhallintatavan mukaisesti perustuu viranomaisen selvityksiin ja arvioihin sen hallussa olevista asiakirjoista sekä niihin talletettujen tietojen merkityksestä ja että suunnittelussa otetaan huomioon vaatimus hyvän julkisuus- ja salassapitorakenteen toteuttamisesta tietojärjestelmissä ja että tietoturvallisuustoimenpiteet mitoitetaan ottamalla huomioon suojattavien tietojen merkitys ja käyttötarkoitus sekä asiakirjoihin ja tietojärjestelmiin kohdistuvat uhkatekijät ja tietoturvallisuustoimenpiteistä aiheutuvat kustannukset.

5 §
Tietoturvallisuuden perustason toteuttaminen

Tietoturvallisuuden toteuttamiseksi valtionhallinnon viranomaisen on huolehdittava siitä, että:

1) viranomaisen toimintaan liittyvät tietoturvallisuusriskit kartoitetaan;

2) viranomaisen käytössä on riittävä asiantuntemus tietoturvallisuuden varmistamiseksi ja että tietoturvallisuuden hoitamista koskevat tehtävät ja vastuu määritellään;

3) asiakirjojen käsittelyä koskevat tehtävät ja vastuut määritellään;

4) tietojen saanti ja käytettävyys eri tilanteissa turvataan ja luodaan menettelytavat poikkeuksellisten tilanteiden selvittämiseksi;

5) asiakirjojen ja niihin sisältyvien tietojen salassapito ja muu suoja varmistetaan antamalla pääsy asiakirjoihin vain niille, jotka tarvitsevat salassa pidettäviä tietoja tai henkilörekisteriin talletettuja henkilötietoja työtehtäviensä hoitamiseksi;

6) tietojen luvaton muuttaminen ja muu luvaton tai asiaton käsittely estetään käyttöoikeushallinnan, käytön valvonnan sekä tietoverkkojen, tietojärjestelmien ja tietopalvelujen asianmukaisilla ja riittävillä turvallisuusjärjestelyillä ja muilla toimenpiteillä;

7) asiakirjojen tietojenkäsittely- ja säilytystilat ovat riittävästi valvottuja ja suojattuja;

8) henkilöstön ja muiden asiakirjojen käsittelyyn liittyviä tehtäviä hoitavien luotettavuus varmistetaan tarvittaessa turvallisuusselvitysmenettelyn ja muiden lain perusteella käytettävissä olevien keinojen avulla;

9) henkilöstölle ja muille asiakirjojen käsittelyyn liittyviä tehtäviä hoitaville annetaan ohjeet ja koulutusta asiakirjojen ja niihin sisältyvien tietojen asianmukaisesta käsittelystä;

10) annettujen ohjeiden noudattamista valvotaan ja niiden muutostarpeita arvioidaan säännöllisesti.

Valtionhallinnon viranomaisen velvollisuudesta huolehtia tietojen suojaamisesta annettaessa salassa pidettäviä tietoja toimeksiantotehtävän suorittamista varten säädetään viranomaisten toiminnan julkisuudesta annetun lain 26 §:n 2 momentissa. Henkilörekisteriin talletettujen henkilötietojen antamisesta säädetään lisäksi henkilötietolain 32 §:n 2 momentissa.

Ks. L viranomaisten toiminnan julkisuudesta 621/1999 26 § 2 mom. HenkilötietoL 523/1999 on kumottu TietosuojaL:lla 1050/2018. Ks. EPNAs (EU) 2016/679 (yleinen tietosuoja-asetus) 32 art.

6 §
Eri käsittelyvaiheiden huomioon ottaminen

Tietoturvallisuustoimenpiteet on suunniteltava ja toteutettava siten, että ne kattavat asiakirjan kaikki käsittelyvaiheet niiden laatimisesta tai vastaanottamisesta arkistointiin tai hävittämiseen mukaan lukien asiakirjan luovuttaminen ja siirtäminen sekä käsittelyn valvonta. Suunnittelussa on pidettävä huolta siitä, että tietojenkäsittelyä koskevia velvoitteita noudatetaan myös silloin, kun tietojenkäsittelytehtävää hoidetaan viranomaisen toimeksiannosta.

7 §
Luokitteluperusteiden ja niitä vastaavien tietoturvallisuusvaatimusten noudattaminen

Jos valtionhallinnon viranomainen on päättänyt luokitella asiakirjansa tietoturvallisuuden toteuttamiseksi, luokittelussa on noudatettava 3 luvussa säädettyjä perusteita.

Valtionhallinnon viranomaisen on pidettävä huolta siitä, että sen laatimien tai saamien luokiteltujen asiakirjojen käsittelyssä noudatetaan 4 luvussa säädettyjä vaatimuksia. Mitä edellä säädetään, ei kuitenkaan estä viranomaista soveltamasta omassa toiminnassaan 4 luvussa säädettyä korkeampia tietoturvallisuusvaatimuksia.

3 luku

Asiakirjojen luokittelu

8 §
Luokituksen perusteet

Salassa pidettävät asiakirjat tai niihin sisältyvät tiedot voidaan luokitella sen mukaan, minkälaisia tietoturvallisuutta koskevia vaatimuksia niiden käsittelyssä on tarpeen noudattaa. Luokittelu voidaan suorittaa myös siten, että tietoturvallisuutta koskevat vaatimukset kohdistetaan vain sellaisiin asiakirjoihin tai sellaisiin asiakirjan käsittelyvaiheisiin, joissa erityistoimenpiteet ovat suojattavan edun vuoksi tarpeen. Luokitusta ei saa ulottaa sellaiseen asiakirjaan tai asiakirjan osiin, joissa käsittelyvaatimusten noudattaminen ei suojattavan edun vuoksi ole tarpeen.

Muu kuin salassa pidettävä asiakirja voidaan luokitella vain 9 §:n 2 momentissa tarkoitetuissa tapauksissa.

9 §
Käsittelyvaatimuksia osoittavat suojaustasot

Salassa pidettävien asiakirjojen luokittelussa käytetään seuraavia luokkia:

1) suojaustaso I, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa erityisen suurta vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle;

2) suojaustaso II, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa merkittävää vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle;

3) suojaustaso III, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle tai yksityiselle edulle;

4) suojaustaso IV, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa haittaa salassapitosäännöksessä tarkoitetulle yleiselle tai yksityiselle edulle.

Edellä 1 momentin 4 kohdassa tarkoitettuun suojaustasoon kuuluvaksi voidaan luokitella muukin kuin salassa pidettäväksi säädetty asiakirja, jos asiakirjan luovuttaminen on lain mukaan viranomaisen harkinnassa tai asiakirjaan sisältyviä tietoja saa lain mukaan käyttää tai luovuttaa vain määrättyyn tarkoitukseen ja jos tiedon oikeudeton paljastuminen voi aiheuttaa haittaa yleiselle tai yksityiselle edulle tai heikentää viranomaisen toimintaedellytyksiä.

10 §
Luokitusmerkintöjä koskevat yleiset säännökset

Suojaustasoa osoittavan merkinnän yhteyteen voidaan merkitä tieto asiakirjan salassapidosta ottaen kuitenkin huomioon, mitä viranomaisten toiminnan julkisuudesta annetun lain 25 §:ssä säädetään. Velvollisuudesta tehdä asiakirjaan salassapitomerkintä säädetään mainitussa lainkohdassa.

Tässä asetuksessa tarkoitetut merkinnät voidaan tehdä asiakirjaan liitettävään erilliseen asiakirjaan, jos merkintöjen tekeminen asiakirjaan tai merkinnän muuttaminen ei ole teknisesti mahdollista tai jos luokkaa vastaavat käsittelyvaatimukset ovat tarpeen vain tietyn lyhyehkön ajan.

Suojaustasoa osoittava merkintä on tehtävä selvästi ja oikein asiakirjaan, ja luokitus on säilytettävä vain niin kauan, kuin se suojattavan edun vuoksi on tarpeen. Kun asiakirjan luokitukselle ei enää ole perusteita lain tai tämän asetuksen mukaan tai luokitusta on tarpeen muuttaa, luokituksen poistamisesta tai muuttamisesta on tehtävä asianmukainen merkintä asiakirjaan, johon alkuperäinen luokitusta koskeva merkintä on tehty. Merkinnän tarpeellisuus ja sen osoittama suojaustasovaatimus on tarkistettava viimeistään silloin, kun viranomainen on antamassa asiakirjan ulkopuoliselle.

Jos suojaustasoon I–III kuuluva asiakirja on saatu toiselta valtionhallinnon viranomaiselta, luokitusmerkintää ei saa muuttaa ilmoittamatta asiasta asiakirjan antaneelle viranomaiselle.

11 §
Turvallisuusluokitusmerkintää koskevat erityissäännökset

Jos asiakirjan tai siihen sisältyvän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa kansainvälisille suhteille, valtion turvallisuudelle, maanpuolustukselle tai muulle yleiselle edulle viranomaisten toiminnan julkisuudesta annetun lain 24 §:n 1 momentin 2 ja 7–10 kohdassa tarkoitetulla tavalla, salassa pidettävän asiakirjan suojaustasoa koskevan merkinnän yhteyteen tai sen sijasta voidaan tehdä erityinen turvallisuusluokitusmerkintä.

Turvallisuusluokitusmerkintä tehdään:

1) suojaustasoon I kuuluvaan asiakirjaan merkinnällä "ERITTÄIN SALAINEN";

2) suojaustasoon II kuuluvaan asiakirjaan merkinnällä "SALAINEN";

3) suojaustasoon III kuuluvaan asiakirjaan merkinnällä "LUOTTAMUKSELLINEN";

4) suojaustasoon IV kuuluvaan asiakirjaan merkinnällä "KÄYTTÖ RAJOITETTU".

Turvallisuusluokitusmerkintää ei saa käyttää muissa kuin 1 momentissa tarkoitetuissa tapauksissa, ellei merkinnän tekeminen ole tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi tai asiakirja muutoin liity kansainväliseen yhteistyöhön.

Turvallisuusluokitusmerkintä merkitään ruotsiksi asiakirjoihin, jotka on laadittu ruotsinkielisinä tai käännetty ruotsiksi. Merkintä voidaan tehdä muulloinkin, jos viranomainen pitää sitä tarpeellisena. Merkintää "ERITTÄIN SALAINEN" vastaa merkintä "YTTERST HEMLIG", merkintää "SALAINEN" merkintä "HEMLIG", merkintää "LUOTTAMUKSELLINEN" merkintä "KONFIDENTIELL" ja merkintää "KÄYTTÖ RAJOITETTU" merkintä "BEGRÄNSAD TILLGÅNG".

12 §
Turvallisuusluokituksen vastaavuus kansainvälisiä tietoturvallisuusvelvoitteita toteutettaessa

Jollei kansainvälisestä tietoturvallisuusvelvoitteesta muuta johdu, turvallisuusluokitusmerkintää "ERITTÄIN SALAINEN" vastaa kansainvälisen tietoturvallisuusvelvoitteen mukainen luokka "TOP SECRET" tai sitä vastaava muun kielinen ilmaisu; merkintää "SALAINEN" vastaa "SECRET" tai sitä vastaava muun kielinen ilmaisu; merkintää "LUOTTAMUKSELLINEN" vastaa "CONFIDENTIAL" tai sitä vastaava muun kielinen ilmaisu; merkintää "KÄYTTÖ RAJOITETTU" vastaa "RESTRICTED" tai sitä vastaava muun kielinen ilmaisu.

4 luku

Luokitellun asiakirjan käsittelyä koskevat vaatimukset

13 §
Käsittelyoikeudet ja niiden luettelointi

Suojaustasoon I–III kuuluvan asiakirjan käyttöoikeus voidaan antaa vain sille, jolla työtehtäviensä vuoksi on tarve saada tietoja asiakirjasta tai muutoin käsitellä sitä ja joka tuntee asiakirjojen käsittelyä koskevat velvoitteet. Sama koskee suojaustasoon IV kuuluvaa arkaluonteisia henkilötietoja tai biometrisiä tunnistetietoja sisältävää henkilörekisteriin talletettua asiakirjaa.

Jollei kansainvälisestä tietoturvallisuusvelvoitteesta muuta johdu, valtionhallinnon viranomaisen on pidettävä luetteloa niistä työtehtävistä, joissa on oikeus käsitellä suojaustasoon I tai II kuuluvia asiakirjoja tai sellaisia suojaustasoon III tai IV kuuluvia asiakirjoja, jotka on talletettu henkilörekisteriin. Valtionhallinnon viranomainen voi pitää luetteloa myös niistä, joilla on oikeus käsitellä edellä tarkoitettuja asiakirjoja.

Valtionhallinnon viranomaisen on pidettävä huolta, että se, joka ei enää toimi työtehtävissä, joihin oikeus luokiteltujen asiakirjojen käsittelyyn perustuu, palauttaa asiakirjat tai hävittää ne asianmukaisella tavalla.

Henkilöturvallisuusselvitysten laadinnasta ja henkilöstön luotettavuuden varmistamiseksi käytettävistä muista toimenpiteistä säädetään erikseen.

14 §
Asiakirjojen säilyttämiseen ja käsittelyyn käytettäviä tiloja koskevat turvallisuusvaatimukset

Valtionhallinnon viranomaisen on pidettävä huolta, että:

1) tilat, joissa säilytetään tai muutoin käsitellään luokiteltuja asiakirjoja, suojataan asianmukaisesti lukituksella, kulunvalvonnalla ja muilla toimenpiteillä luvattoman pääsyn estämiseksi tiloihin ja siellä oleviin asiakirjoihin;

2) henkilöt, joille annetaan pääsy tiloihin, joissa säilytetään tai muutoin käsitellään suojaustasoon I tai II kuuluvia asiakirjoja, ovat tunnistettavissa;

3) suojaustasoon I ja II kuuluvat asiakirjat säilytetään sellaisessa kassakaapissa tai muussa lukittavassa kaapissa, holvissa tai tilassa, joka estää luvattoman pääsyn asiakirjaan sisältyviin tietoihin;

4) henkilöt, joille annetaan pääsy arkistoon taikka tietokonekeskukseen tai muihin tietojärjestelmien ylläpidon tai tietoliikenteen toimivuuden kannalta merkityksellisiin tiloihin, joissa säilytetään tai käsitellään suojaustasoon III kuuluvia asiakirjoja taikka suojaustasoon IV kuuluvia valtakunnalliseen henkilörekisteriin talletettuja asiakirjoja, ovat tunnistettavissa.

15 §
Asiakirjan käsittely viranomaisen toimitilojen ulkopuolella

Luokiteltuja asiakirjoja ei saa säilyttää tai muutoin käsitellä valtionhallinnon viranomaisen toimitilojen ulkopuolella, ellei viranomaisen luvasta, toimeksiannosta tai antamista ohjeista muuta johdu.

16 §
Sähköisen asiakirjan laatiminen, tallettaminen ja muokkaaminen

Valtionhallinnon viranomainen voi sallia, että suojaustasoon I tai II kuuluva asiakirja talletetaan sähköisesti tietovälineelle tai muulle laitteelle, joka:

1) ei ole liitetty tietoverkkoon, jos asiakirja talletetaan vahvasti salattuna tai jos se on muutoin vahvasti suojattu; tai

2) on liitetty vain sellaiseen viranomaisen tietoverkkoon, joka yhdistää asiakirjan tallettamiseen ja säilyttämiseen käytetyn laitteen samassa viranomaisen hallinnassa olevassa erityisvalvotussa tilassa oleviin muihin laitteisiin, jos laitteet yhdistävään tietoverkkoon ei ole luotu yhteyttä muista tietoverkoista ja asiakirjan käsittely on muutoin vahvasti suojattua.

Valtionhallinnon viranomainen voi sallia, että suojaustasoon II kuuluva asiakirja talletetaan sähköisesti viranomaisen sellaiseen tietoverkkoon liitetylle tietovälineelle tai muulle laitteelle, jonka käyttö on rajoitettu, jos asiakirja talletetaan vahvasti salattuna tai se on muutoin vahvasti suojattu ja viranomainen on muutoinkin varmistanut, että tietoverkko ja tietojenkäsittely kokonaisuudessaan täyttävät tavanomaisesti sovellettavan korkean tietoturvallisuustason vaatimukset.

Valtionhallinnon viranomainen voi sallia, että suojaustasoon III kuuluva asiakirja talletetaan viranomaisen tietoverkkoon liitetylle laitteelle, jos verkon käyttö on rajoitettu ja asiakirja talletetaan salattuna tai muutoin suojattuna siten, että tietoverkko ja tietojenkäsittely kokonaisuudessaan täyttävät tavanomaisesti sovellettavan korotetun tietoturvallisuustason vaatimukset. Sama koskee suojaustasoon IV kuuluvaa arkaluonteisia henkilötietoja tai biometrisiä tunnistetietoja sisältävää henkilörekisteriin talletettua asiakirjaa.

Laadittaessa suojaustasoon I–III kuuluvaa asiakirjaa sähköisessä muodossa ja sitä muokattaessa on pidettävä huolta, että hajasäteilystä aiheutuvia haittoja voidaan riittävästi vähentää. Jos laite on liitetty tietoverkkoon, tietoverkon on lisäksi täytettävä 1 momentin 2 kohdassa taikka 2 tai 3 momentissa säädetyt edellytykset.

17 §
Asiakirjan kopiointi

Suojaustasoon I kuuluvaa asiakirjaa ei saa kopioida ilman sen laatineen viranomaisen antamaa lupaa. Suojaustasoon I tai II kuuluvan asiakirjan kopiot on luetteloitava. Asiakirjan sähköisessä kopioinnissa tietovälineelle on lisäksi otettava huomioon, mitä 16 §:ssä säädetään asiakirjan sähköisen tallettamisen edellytyksistä.

Luokitellun asiakirjan kopioon on tehtävä sama merkintä kuin mikä on tehty alkuperäiseen asiakirjaan, jollei luokitus muutoin jo ilmene asiakirjan kopiosta. Valtionhallinnon viranomainen voi päättää, että suojaustasoon III tai IV kuuluvaan asiakirjaan ei ole tarpeen tehdä merkintää, jos asiakirjaa ei luovuteta ulkopuolisille ja asiakirjaa viranomaisessa käsittelevillä on tieto asiakirjan käsittelyssä noudatettavista vaatimuksista.

18 §
Asiakirjan välittäminen

Suojaustasoon I tai II kuuluva asiakirja on välittämistä varten pakattava asianmukaisesti sekä toimitettava henkilökohtaisesti taikka muulla viranomaisen hyväksymällä turvallisella tavalla vastaanottajalle.

Suojaustasoon I tai II kuuluvan asiakirjan lähettäminen ja vastaanottaminen on kirjattava.

19 §
Asiakirjan siirtäminen tietoverkossa

Suojaustasoon I tai II kuuluvaa asiakirjaa ei saa siirtää tietoverkossa. Tällaisen asiakirjan saa kuitenkin siirtää sellaisessa viranomaisen tietoverkossa, joka yhdistää asiakirjan tallettamiseen ja säilyttämiseen käytetyn laitteen samassa viranomaisen hallinnassa olevassa erityisvalvotussa tilassa oleviin muihin laitteisiin, jos laitteet yhdistävään tietoverkkoon ei ole luotu yhteyttä muista tietoverkoista ja käsittely on muutoinkin vahvasti suojattua.

Suojaustasoon II kuuluvan asiakirjan saa lisäksi siirtää sellaisessa viranomaisen tietoverkossa, jonka käyttö on rajoitettu, jos asiakirja on vahvasti salattu tai se on muutoin vahvasti suojattu ja valtionhallinnon viranomainen on muutoinkin varmistanut, että tietoverkko ja tietojenkäsittely kokonaisuudessaan täyttävät tavanomaisesti sovellettavan korkean tietoturvallisuustason vaatimukset.

Valtionhallinnon viranomainen voi sallia, että suojaustasoon III kuuluva asiakirja siirretään viranomaisen tietoverkossa, jonka käyttö on rajoitettu, jos viranomainen on varmistanut, että tietoverkko ja tietojenkäsittely kokonaisuudessaan täyttävät tavanomaisesti sovellettavan korotetun tietoturvallisuuden tason vaatimukset. Sama koskee suojaustasoon IV kuuluvien valtakunnalliseen henkilörekisteriin talletettujen arkaluonteisten henkilötietojen tai biometristen tunnistetietojen siirtämistä tietoverkossa. Suojaustasoon IV kuuluvan muun asiakirjan saa siirtää valtionhallinnon viranomaisen päättämällä tavalla.

20 §
Käsittelyn kirjaaminen

Suojaustasoon I–III kuuluvien asiakirjojen sekä suojaustasoon IV kuuluvien arkaluonteisia henkilötietoja tai biometrisiä tietoja sisältävien henkilörekisteriin talletettujen asiakirjojen käsittely tulee kirjata sähköiseen lokiin, tietojärjestelmään, asianhallintajärjestelmään, manuaaliseen diaariin tai asiakirjaan.

Mitä 1 momentissa säädetään, ei koske sellaisia valmisteluvaiheen versioita, jotka ovat vain niiden laatijan käytettävissä.

21 §
Arkistointi ja hävittäminen

Luokiteltujen asiakirjojen arkistoinnista säädetään arkistolaissa (831/1994).

Tarpeettomaksi käyneen suojaustasoon I tai II kuuluvan asiakirjan kopio tulee hävittää, jollei sitä palauteta asiakirjan laatineelle viranomaiselle. Hävittämisen saa suorittaa vain henkilö, jonka viranomainen on tähän tehtävään määrännyt. Asiakirjan valmisteluvaiheen versiot voi kuitenkin hävittää ne laatinut henkilö.

Paperimuotoinen asiakirja on tuhottava suojaustasoa vastaavalla tavalla. Sähköisesti talletettu asiakirja on vastaavasti tuhottava laitteesta, tietovälineeltä tai tietojärjestelmästä sekä pidettävä huolta, että tietojärjestelmien käytön yhteydessä syntyneet väliaikaistiedostot poistetaan riittävän usein, jolleivät ne poistu tietojärjestelmästä automaattisesti.

5 luku

Voimaantulo

22 §
Voimaantulo

Tämä asetus tulee voimaan 1 päivänä lokakuuta 2010.

Tällä asetuksella kumotaan viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta 12 päivänä marraskuuta 1999 annetun asetuksen (1030/1999) 2 ja 3 §.

23 §
Siirtymäsäännökset

Asiakirjoja, jotka on luokiteltu ennen asetuksen voimaantuloa, käsitellään asetuksessa säädettyjen vastaavaa suojaustasoa koskevien vaatimusten mukaisesti, jollei ole ilmeistä, että luokitukselle ei asetuksen mukaan enää ole perusteita.

Mitä 10 §:n 3 momentissa säädetään luokituksen muuttamisesta tai poistamisesta tehtävästä merkinnästä, sovelletaan ennen asetuksen voimaantuloa tehtyyn luokitukseen vain, jos luokiteltu asiakirja luovutetaan ulkopuoliselle.

Viranomaisen tietojenkäsittely on saatettava vastaamaan asetuksen 5 §:ssä säädettyjä perustason tietoturvallisuusvaatimuksia kolmen vuoden kuluessa asetuksen voimaantulosta.

Viranomaisen on saatettava luokiteltujen asiakirjojen käsittely vastaamaan 4 luvussa säädettyjä vaatimuksia viiden vuoden kuluessa siitä, kun viranomainen on päättänyt luokitella asiakirjansa.

Valtionhallinnon viranomaisen asetuksen voimaan tullessa käytössä olevien toimitilojen on täytettävä asetuksessa säädetyt vaatimukset tilojen turvallisuudelle viiden vuoden kuluessa asetuksen voimaantulosta. Sama koskee toimitiloja, jotka on otettu käyttöön ennen kuin on kulunut kaksi vuotta asetuksen voimaantulosta.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.