Beaktats t.o.m. FörfS 945/2019.

19.9.2014/726

Säkerhetsutredningslag

Se anmärkningen för upphovsrätt i användningsvillkoren.

I enlighet med riksdagens beslut föreskrivs:

1 kap

Allmänna bestämmelser

1 §
Lagens syfte

Syftet med denna lag är att främja möjligheterna att förebygga verksamhet som kan medföra skada för statens säkerhet, försvaret, Finlands internationella förbindelser, den allmänna säkerheten eller något annat med dessa jämförbart allmänt intresse eller enskilda ekonomiska intressen av synnerligen stor betydelse eller säkerhetsarrangemang för skyddet av dessa intressen.

2 §
Lagens tillämpningsområde och förhållande till annan lagstiftning

I denna lag föreskrivs om

1) förutsättningarna för säkerhetsutredningar och om förfarandet vid genomförande av sådana,

2) vilka uppgifter som ska användas för en säkerhetsutredning,

3) samtycke av och rätt till information för den som utredningen gäller,

4) uppgiftsskyldigheten för den som ansöker om säkerhetsutredning och den som utredningen gäller,

5) giltigheten av säkerhetsutredningar och intyg över säkerhetsutredningar samt om återkallelse av intyg,

6) samkörning av personregister för att kontrollera att den som utredningen gäller är oförvitlig och tillförlitlig och om de åtgärder som ska genomföras med anledning av samkörningen.

Särskilda bestämmelser gäller för arbetsgivarens rätt att samla in och lagra uppgifter om arbetssökande och om dem som sökt en tjänst eller står i anställningsförhållande till arbetsgivaren, om kontroll av brottslig bakgrund hos personer som arbetar med barn samt om utredning av brottslig bakgrund inom ramen för en myndighets åtgärder när den beviljar tillstånd eller godkännanden.

3 §
Definitioner

I denna lag avses med

1) säkerhetsutredning av person en sådan utredning av en fysisk persons bakgrund som görs i enlighet med denna lag för att säkerställa att han eller hon är oförvitlig eller tillförlitlig,

2) säkerhetsutredning av företag utredning som görs i enlighet med denna lag för att bedöma ett företags och dess ansvarspersoners tillförlitlighet samt företagets informationssäkerhetsnivå och förmåga att sköta åtaganden,

3) säkerhetsutredning säkerhetsutredning av person eller av företag,

4) den som utredningen gäller den person eller det företag som det har begärts en säkerhetsutredning om,

5) myndighet i 4 § i lagen om offentlighet i myndigheternas verksamhet (621/1999) avsedda organisationer, organ och personer,

6) företag fysiska personer som bedriver näringsverksamhet och andra enheter som enligt 3 § 1 mom. 1–5 punkten i företags- och organisationsdatalagen (244/2001) ska registreras i företags- och organisationsdatasystemet,

7) företags ansvarsperson den som enligt ett offentligt myndighetsregister är bolagsman, ansvarig bolagsman, verkställande direktör, styrelseledamot eller ersättare, prokurist eller firmatecknare i ett företag,

8) arbetsgivare en myndighet eller ett företag som håller på att utse en person till ett anställningsförhållande eller som en person står i anställningsförhållande till,

9) närstående far eller mor, make, sambo eller barn till den som utredningen gäller,

9 a) utländska bindningar i fråga om den som utredningen gäller medborgarskap vid tidpunkten för utredningen och tidigare medborgarskap, verksamhet i en annan stats tjänst, deltagande i näringsverksamhet i en annan stat, förmögenhet i en annan stat, närstående personer som är medborgare i en annan stat, andra kontinuerliga och fasta kontakter med en annan stats medborgare samt andra bindningar till en annan stat eller dess medborgare och sammanslutningar, (19.12.2017/949)

10) internationell förpliktelse som gäller informationssäkerhet krav och säkerhetsarrangemang som ingår i internationella överenskommelser eller rättsregler som är bindande för Finland och som ska iakttas för informationssäker hantering av sekretessbelagda handlingar,

11) klassificerad handling en i 5 § 1 mom. i lagen om offentlighet i myndigheternas verksamhet avsedd handling där det med stöd av vad som föreskrivs i eller med stöd av lagen om informationshantering inom den offentliga förvaltningen (906/2019) eller med stöd av lagen om internationella förpliktelser som gäller informationssäkerhet (588/2004) har gjorts en anteckning om säkerhetsklass som anger vilka krav i fråga om informationssäkerhet som ska iakttas vid hanteringen av handlingen. (9.8.2019/910)

11 punkten har ändrats genom L 910/2019, som träder i kraft 1.1.2020. Den tidigare formen lyder:

11) klassificerad handling en i 5 § 1 mom. i lagen om offentlighet i myndigheternas verksamhet avsedd handling där det med stöd av vad som föreskrivs i eller med stöd av den lagen eller med stöd av lagen om internationella förpliktelser som gäller informationssäkerhet (588/2004) har gjorts eller kan göras en klassificeringsanteckning om skyddsnivå som anger vilka krav i fråga om informationssäkerhet som ska iakttas vid hanteringen av handlingen.

Vad som i 1 mom. 6 punkten föreskrivs om företag och i 7 punkten om företags ansvarspersoner ska på motsvarande sätt tillämpas också på stiftelser eller föreningar som inte bedriver näringsverksamhet, samt på dessa stiftelsers eller föreningars styrelsemedlemmar och på dem som enligt stiftelseregistret eller föreningsregistret har rätt att teckna stiftelsens eller föreningens namn.

Vad som i denna lag föreskrivs om sekretessbelagda eller klassificerade handlingar ska också tillämpas på uppgifter som har fåtts i muntlig form eller kan fås genom observationer, om en handling med sådana uppgifter skulle vara sekretessbelagd eller skulle kunna klassificeras i enlighet med de bestämmelser som avses i 1 mom. 11 punkten. (9.8.2019/910)

3 mom. har ändrats genom L 910/2019, som träder i kraft 1.1.2020. Den tidigare formen lyder:

Vad som i 1 mom. 11 punkten föreskrivs om klassificerade handlingar ska också tillämpas på uppgifter som har fåtts i muntlig form eller kan fås genom observationer, om en handling med sådana uppgifter skulle kunna klassificeras i enlighet med de bestämmelser som avses i den punkten.

2 kap

Ställning och rättigheter för den som utredningen gäller

4 §
Meddelande om säkerhetsutredning

Den som har för avsikt att ansöka om en säkerhetsutredning av en person som ska utses till ett anställningsförhållande eller ett uppdrag ska meddela detta i den annons som gäller tillsättandet av tjänsten eller uppdraget eller på något annat lämpligt sätt. Detsamma gäller utbildningsanordnare, om det är meningen att en säkerhetsutredning av person ska begäras om den som antas till utbildning.

Den som har för avsikt att ansöka om en säkerhetsutredning av ett företag med vilket ett upphandlingsavtal avses bli ingånget ska meddela detta i upphandlingsannonsen eller i anbudsförfrågan. Om det inte är frågan om försvars- och säkerhetsupphandling enligt lagen om offentlig försvars- och säkerhetsupphandling (1531/2011) får upplysningen om denna avsikt också lämnas på annat sätt.

Bestämmelserna i 1 och 2 mom. tillämpas inte, om den som utredningen gäller själv ansöker om säkerhetsutredning.

5 §
Samtycke av den som utredningen gäller

En allmän förutsättning för att en säkerhetsutredning och en kontroll av tillförlitligheten enligt 51 § i anslutning till en säkerhetsutredning ska kunna genomföras är att den som utredningen gäller på förhand har gett sitt skriftliga samtycke till detta.

Av samtyckeshandlingen ska det framgå att den som utredningen gäller före sitt samtycke har informerats om syftet med säkerhetsutredningen och kontrollen av tillförlitligheten och hur dessa används, om databehandlingen i samband med säkerhetsutredningen och kontrollen av tillförlitligheten samt om sin rätt att ta del av utredningens innehåll.

Samtycke till en säkerhetsutredning av person kan ges så att samtycket täcker alla de situationer där det under det anställningsförhållande eller uppdrag som angivits i samtycket behöver göras en säkerhetsutredning eller utfärdas ett intyg över säkerhetsutredning av person. Samtycke kan också ges så att det omfattar alla arbetsuppgifter inom ett visst förvaltningsområde.

Om den som utredningen gäller själv ansöker om säkerhetsutredning, ska han eller hon i stället för en samtyckeshandling lämna en anmälan med de uppgifter som avses i 2 mom.

6 §
Rätt att få information om säkerhetsutredning

Var och en har rätt att få information av den behöriga myndigheten om huruvida det har gjorts en säkerhetsutredning om honom heller henne eller det företag vars talan han eller hon för. Den som utredningen gäller har rätt att av den behöriga myndigheten på begäran få de uppgifter som finns i utredningen.

Den som ansökt om säkerhetsutredningen ska informera den som utredningen gäller om utredningens resultat. Om utredningen har getts i skriftlig form, ska utredningen ges för påseende eller på begäran överlämnas i form av en kopia.

Bestämmelserna i 1 och 2 mom. tillämpas inte, om informationen har sitt ursprung i personregister som en registrerad enligt lag inte har rätt till insyn i.

Om den behöriga myndigheten vägrar att lämna informationen, ska den i ett skriftligt beslut till den som begärt informationen uppge skälen för detta.

7 §
Anmärkningsrätt för den som utredningen gäller

Den person som en säkerhetsutredning gäller har rätt att göra anmärkningar om sådant som framkommit i samband med en intervju eller vid kontroll av uppgifterna på blanketten för personuppgifter enligt 28 §.

Den behöriga myndigheten ska anteckna en anmärkning som gjorts av den som utredningen gäller i hans eller hennes säkerhetsutredning, om inte uppgiften genast rättas med anledning av anmärkningen eller anmärkningen måste betraktas som uppenbart ogrundad.

Om den behöriga myndigheten vägrar anteckna anmärkningen i säkerhetsutredningen, ska myndigheten meddela den som utredningen gäller orsaken till detta i ett skriftligt beslut.

Särskilda bestämmelser gäller för rättelse av uppgifter i register.

8 §
Tillämpning av bestämmelserna på närstående

Vad som i detta kapitel föreskrivs om samtycke, rätt till information och anmärkningsrätt för den som utredningen gäller ska också tillämpas på en närstående till honom eller henne, om en säkerhetsutredning görs om den närstående med stöd av 29 §.

3 kap

Behöriga myndigheter och styrning av deras prövningsrätt

9 §
Behöriga myndigheter

Skyddspolisen fattar beslut om huruvida en säkerhetsutredning av person eller en säkerhetsutredning av företag ska göras, om inte huvudstaben med stöd av 3 mom. beslutar om huruvida en säkerhetsutredning ska göras. Uppdrag enligt denna lag kan vid skyddspolisen skötas av kontaktpersoner som anvisats av huvudstaben. (11.11.2016/931)

2 mom. har upphävts genom L 11.11.2016/931. (11.11.2016/931)

Huvudstaben fattar beslut om huruvida en säkerhetsutredning av person ska göras, om den som utredningen gäller arbetar eller kommer att arbeta inom försvarsmakten eller sköter ett uppdrag på förordnande av försvarsmakten eller om säkerhetsutredningen hänför sig till verksamhet eller upphandling inom försvarsmakten. Huvudstaben fattar beslut om huruvida en säkerhetsutredning ska göras av ett företag som sköter eller kommer att sköta ett uppdrag på förordnande av försvarsmakten eller av ett företag som hänför sig till upphandling inom försvarsmakten. Huvudstaben kan delegera kontrollen av de registeruppgifter som behövs för en säkerhetsutredning till en enhet inom försvarsmakten under dess tillsyn som den utser, och i detta syfte ge tillträde till de register som används vid kontrollen. Huvudstaben kan även ge denna enhet rätt att underrätta en enhet inom försvarsmakten som ansökt om en säkerhetsutredning av en person om att registeruppgifterna inte uppvisar något som skulle vara negativt med tanke på personens tillförlitlighet.

Kommunikationsverket gör som ett led i en säkerhetsutredning av företag en utredning om nivån på informationssäkerheten i informationssystem och datakommunikation.

Trots vad som föreskrivs ovan kan de behöriga myndigheterna i enskilda fall komma överens om att en myndighet gör en säkerhetsutredning eller en del av den i en annan myndighets ställe eller utfärdar intyg över säkerhetsutredningen.

10 §
Myndighetens prövning i fråga om säkerhetsutredning

En säkerhetsutredning görs inte, om det finns en giltig motsvarande säkerhetsutredning om den som utredningen gäller, om inte något annat följer av särskilda skäl.

Om det inte i lag har föreskrivits om skyldighet att skaffa säkerhetsutredning eller intyg över en säkerhetsutredning, görs säkerhetsutredningarna med de resurser som den behöriga myndigheten har till sitt förfogande och med hänsyn till

1) behovet att uppfylla internationella förpliktelser som gäller informationssäkerhet,

2) vilken allmän betydelse den säkerhetsutredning som ansökan gäller har för att trygga informationssäkerheten inom den offentliga förvaltningen eller för att skydda vitala samhällsfunktioner eller synnerligen viktiga enskilda intressen,

3) likabehandling av dem som ansökt om säkerhetsutredning och av dem som utredningarna gäller.

11 §
Omständigheter som ska beaktas vid säkerhetsutredning av person

Om det vid en säkerhetsutredning av person framkommer att han eller hon har dömts till straff genom ett lagakraftvunnet avgörande eller med stöd av 3 kap. 4 § 1 eller 2 mom. i strafflagen (39/1889) inte har tilldömts straff, ska den behöriga myndigheten vid prövning av utredningens resultat särskilt beakta

1) den tid som förflutit från tidpunkten för gärningen,

2) hur gammal den som utredningen gäller var vid tidpunkten för gärningen,

3) huruvida gärningen har upprepats och den likgiltighet för andras rättigheter eller bristande omdöme som detta visar på,

4) påföljdernas stränghet,

5) gärningens art eller betydelse i förhållande till den arbetsuppgift som utredningen görs för.

Bestämmelserna i 1 mom. tillämpas också vid bedömning av uppgifter om beslut som polisväsendet i sin verksamhet fattat i fråga om den som utredningen gäller eller om åtgärder som polisväsendet i sin verksamhet riktat mot honom eller henne.

Den behöriga myndigheten ska vid bedömningen av utredningens resultat i fråga om betydelsen av de utländska bindningarna till den som utredningen gäller särskilt fästa vikt vid

1) betydelsen av den personens utländska bindningar med tanke på det uppdrag som föranleder utredningen,

2) de utländska bindningarnas karaktär, varaktighet och kontinuitet,

3) sannolikheten för att bindningarna utsätter den personen för risk att bli utnyttjad eller utsatt för påtryckningar, mutförsök eller annan osaklig påverkan,

4) sannolikheten för att de utländska bindningarna på något annat sätt än vad som avses i 3 punkten är ägnade att äventyra den personens möjligheter och förmåga att på ett oberoende och också annars tillförlitligt sätt sköta sina förpliktelser i det uppdrag som föranleder utredningen.

(19.12.2017/949)

Bestämmelser om begränsning av användningen av information i vissa fall finns i 32 §. (19.12.2017/949)

12 §
Nämnden för bedömningskriterier

I anslutning till justitieministeriet finns det en av statsrådet tillsatt nämnd för bedömningskriterier. Nämnden består av företrädare för det ministerium som har ansvar för den allmänna styrningen av informationssäkerheten inom den offentliga förvaltningen och företrädare för försvarsförvaltningen, utrikesförvaltningen och övriga förvaltningsområden som är centrala för skyddet av allmänna intressen, fackorganisationerna och näringslivet samt medlemmar som företräder den behövliga juridiska sakkunskapen.

Som underlag för de behöriga myndigheternas beslut samt för främjande av en enhetlig och konsekvent tolkningspraxis ska nämnden behandla och lägga fram allmänna tolkningsrekommendationer om

1) vilka arbetsuppgifter det med med hänsyn till de i lag angivna kriterierna kan göras en säkerhetsutredning för,

2) hur det är ändamålsenligt att bedöma olika slags uppgifter om en gärning med tanke på skötseln av olika slags arbetsuppgifter och om behovet att intervjua den som utredningen gäller i samband med bedömningen,

3) vilka omständigheter som kan påverka utfärdandet av intyg över säkerhetsutredning,

4) återkallelse av en säkerhetsutredning och intyget över den,

5) övriga åtgärder för att i utredningsförfarandet säkerställa enhetlig och jämlik behandling av dem som ansöker om säkerhetsutredning och av dem som utredningen gäller.

Utöver vad som föreskrivs i 2 mom. ska nämnden för bedömningskriterier ge skyddspolisen ett utlåtande med anledning av en ansökan som avses i 22 §.

13 §
Samarbete mellan behöriga myndigheter

De behöriga myndigheterna ska bedriva samarbete sinsemellan för att skapa ett enhetligt sätt att utforma säkerhetsutredningarna och intygen över dem och för att skapa en enhetlig praxis för tillämpningen av rekommendationerna från nämnden för bedömningskriterier.

4 kap

Säkerhetsutredning av person

Utförligheten av en säkerhetsutredning av person
14 §
Normala, omfattande och begränsade säkerhetsutredningar av personer

En säkerhetsutredning av person kan göras som en begränsad, en normal eller en omfattande säkerhetsutredning så som föreskrivs i detta kapitel.

Ansökan om säkerhetsutredning av person
15 §
Rätt att ansöka om säkerhetsutredning av person

Om inte något annat följer av internationella förpliktelser som gäller informationssäkerhet eller om inte något annat föreskrivs i lag, får säkerhetsutredning av person sökas av arbetsgivaren till den som utredningen gäller eller av den som står för förordnandet av det uppdrag eller arbetsuppgifter inom det uppdrag som den som utredningen gäller kommer att sköta eller sköter. Om utredningen görs i fråga om någon som ska antas till utbildning, är det utbildningsanordnaren som ska ansöka om säkerhetsutredning.

Säkerhetsutredning av person kan göras också på ansökan av någon annan än den som avses i 1 mom., om en säkerhetsutredning förutsätts i en internationell organisations eller ett internationellt organs stadgar eller i en annan stats lag och om utredningen behövs för att den som utredningen gäller ska kunna

1) utses att sköta uppdrag i en internationell organisation eller i ett internationellt organ eller i en annan stat,

2) inleda företagsverksamhet i en annan stat.

16 §
Statsförvaltningsmyndigheters skyldighet att ansöka om säkerhetsutredning av person

Genom förordning av statsrådet får det föreskrivas att en statsförvaltningsmyndighet ska skaffa en säkerhetsutredning av en sådan person som annat än tillfälligt har rätt att hantera handlingar som hör till säkerhetsklass I eller II eller andra sekretessbelagda handlingar, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i sådana handlingar kan orsaka särskilt stor eller betydande skada för de allmänna intressen som avses i sekretessbestämmelsen, eller som annars sköter sådana arbetsuppgifter där han eller hon genom att röja sekretessbelagda uppgifter eller begå någon annan lagstridig gärning, på ett betydande sätt kan äventyra statens säkerhet, försvaret, internationella förbindelser, beredskap för undantagsförhållanden, befolkningsskyddet eller vitala samhällsfunktioner eller säkerhetsarrangemang för skyddet av nämnda intressen. (9.8.2019/910)

1 mom. har ändrats genom L 910/2019, som träder i kraft 1.1.2020. Den tidigare formen lyder:

Genom förordning av statsrådet får det föreskrivas att en statsförvaltningsmyndighet ska skaffa en säkerhetsutredning av en sådan person som annat än tillfälligt har rätt att hantera handlingar på skyddsnivå I eller II eller som annars sköter sådana arbetsuppgifter där han eller hon genom att röja sekretessbelagda uppgifter eller begå någon annan lagstridig gärning, på ett betydande sätt kan äventyra statens säkerhet, försvaret, internationella förbindelser, beredskap för undantagsförhållanden, befolkningsskyddet eller vitala samhällsfunktioner eller säkerhetsarrangemang för skyddet av nämnda intressen.

Bestämmelser om när intyg över säkerhetsutredning av person krävs för utnämning till en tjänst finns i statstjänstemannalagen (750/1994).

17 §
Ansökan om säkerhetsutredning av person och uppgifter som ska lämnas för behandlingen av ansökan

En säkerhetsutredning av person ska sökas skriftligt. Ansökan ska åtföljas av en samtyckeshandling enligt 5 § 2 mom. eller, om personen själv ansöker om en säkerhetsutredning, en redogörelse enligt 5 § 4 mom.

Ansökan om säkerhetsutredning av person ska innehålla följande uppgifter:

1) namnet på den som utredningen gäller och hans eller hennes personbeteckning, eller, om personbeteckning saknas, personens födelsetid och födelseplats, samt hans eller hennes hemkommun, kontaktinformation, medborgarskap och yrke samt ändringar i namnet, personbeteckningen eller medborgarskapet,

2) den tjänst eller det uppdrag som den som utredningen gäller ska utses till eller som han eller hon sköter,

3) sådan information om tjänsten eller uppdraget som behövs när förutsättningarna för säkerhetsutredningen prövas,

4) huruvida avsikten är att före utnämningen, på det sätt som särskilt föreskrivs i lag, be den som utredningen gäller visa upp ett intyg över narkotikatest, skaffa kreditupplysningar om honom eller henne eller låta honom eller henne genomgå läkarundersökning.

När en normal eller omfattande säkerhetsutredning av person söks ska ansökan åtföljas av uppgifter om vilka orter den som utredningen gäller har varit bosatt på eller vistats en längre tid på under högst de tio senaste åren samt matrikelutdrag eller någon annan utredning om utbildning och tjänste- och arbetsavtalsförhållanden under minst de tio senaste åren. Uppgifter som motsvarar matrikelutdrag behöver inte visas upp i fråga om den som redan är anställd hos den behöriga myndigheten eller inom myndighetens förvaltningsområde, om den behöriga myndigheten kan skaffa uppgifterna på tjänstens vägnar. När en omfattande säkerhetsutredning av person söks ska en blankett för personuppgifter enligt 28 § fogas till ansökan eller ges in separat.

Den som ansöker om en säkerhetsutredning av person ska utöver vad som föreskrivs ovan på begäran av den behöriga myndigheten lämna uppgifter som enligt denna lag ska beaktas vid bedömningen av förutsättningarna för att en säkerhetsutredning ska göras eller för att ett intyg över säkerhetsutredningen ska utfärdas.

Förutsättningar för säkerhetsutredning av person
18 §
Överensstämmelse med säkerhetskraven som en allmän förutsättning

En allmän förutsättning för säkerhetsutredning av person är att sökanden genom tekniska eller andra åtgärder har begränsat tillgången till uppgifter som skyddas och har sett till att lokaler och informationssystem är skyddade samt har vidtagit andra behövliga åtgärder för att genomföra informationssäkerhet och andra säkerhetsarrangemang.

Överensstämmelse med kraven enligt 1 mom. kan påvisas genom ett intyg utfärdat av ett godkänt bedömningsorgan som avses i lagen om bedömningsorgan för informationssäkerhet (1405/2011), genom ett intyg utfärdat i enlighet med lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation (1406/2011), genom en säkerhetsplan eller på något annat sätt som den behöriga myndighet som beslutar att säkerhetsutredning ska göras godkänner.

Bestämmelserna ovan tillämpas inte, om en säkerhetsutredning av person görs med stöd av 19 § 2 mom. eller 21 § 2 mom. eller om den som utredningen gäller sköter arbetsuppgifter som avses i 43 § 1 mom. 2 punkten.

19 §
När får en normal säkerhetsutredning av person göras

En normal säkerhetsutredning av person får göras i fråga om den som ska utses till ett anställningsförhållande eller uppdrag eller som arbetar i ett anställningsförhållande eller med ett uppdrag och som

1) får rätt att annat än tillfälligt hantera myndighetshandlingar som ska säkerhetsklassificeras i säkerhetsklasserna II eller III, eller annars sköter sådana uppgifter där han eller hon genom att röja sekretessbelagd information eller begå någon annan lagstridig gärning, på ett betydande sätt kan äventyra statens säkerhet, försvaret, internationella förbindelser, beredskapen för undantagsförhållanden, befolkningsskyddet eller vitala samhällsfunktioner eller säkerhetsarrangemang för skyddet av nämnda intressen, (9.8.2019/910)

1 punkten har ändrats genom L 910/2019, som träder i kraft 1.1.2020. Den tidigare formen lyder:

1) får rätt att annat än tillfälligt hantera myndighetshandlingar som kan eller ska säkerhetsklassificeras på skyddsnivåerna II eller III, eller annars sköter sådana uppgifter där han eller hon genom att röja sekretessbelagd information eller begå någon annan lagstridig gärning, på ett betydande sätt kan äventyra statens säkerhet, försvaret, internationella förbindelser, beredskapen för undantagsförhållanden, befolkningsskyddet eller vitala samhällsfunktioner eller säkerhetsarrangemang för skyddet av nämnda intressen,

2) sköter arbetsuppgifter vid riksdagens kansli, republikens presidents kansli, riksdagens justitieombudsman eller statens revisionsverk och i sina arbetsuppgifter får information som kan jämföras med information som avses i 1 punkten eller får permanent tillträde till riksdagens eller dess ämbetsverks lokaler,

3) arbetar med uppgifter som direkt stöder statsledningen och där särskild tillförlitlighet kan förutsättas,

4) arbetar med uppgifter där man kan skada funktionen hos den infrastruktur som är nödvändig för ett fungerande samhälle eller den kritiska produktionens kontinuitet,

5) i egenskap av ett informationssystems huvudanvändare eller med beaktande av sina övriga befogenheter kan skada sådana informationssystem som är centrala med tanke på myndigheternas verksamhet och de grundläggande samhällsfunktionerna eller skada informationssäkerheten i dessa informationssystem,

6) i sina arbetsuppgifter har tillgång till information som om den röjs eller blir föremål för annan hantering eller annan obehörig verksamhet kan förorsaka allvarlig skada för samhällsekonomin eller fungerande finans- och försäkringssystem eller för näringsverksamhet av nationell betydelse.

En normal säkerhetsutredning av person får göras också i syfte att uppfylla en internationell förpliktelse som gäller informationssäkerhet samt på ansökan av en person inför ett uppdrag i en internationell organisation eller i ett internationellt organ i enlighet med 15 § 2 mom., eller när han eller hon håller på att utses eller antas

1) till uppgifter inom försvarsförvaltningen, som studerande vid Försvarshögskolan, till utbildning enligt lagen om frivilligt försvar (556/2007), till uppgifter inom Försvarsutbildningsföreningen eller till krishanteringsuppdrag och fredsbevarande uppdrag som genomförs som internationellt samarbete eller till utbildnings- och övningsverksamhet som hänför sig till krishantering och fredsbevarande uppdrag,

2) som studerande vid Polishögskolan eller till uppgifter inom gränsbevakningsväsendet,

3) till utbildning som syftar till att utbilda personer för uppgifter inom utrikesförvaltningen.

En normal säkerhetsutredning av person görs också på en sådan ansökan som skyddspolisen handlägger med stöd av 24 § 1 mom. eller har godkänt att förfarandet med säkerhetsutredning ska tillämpas på i enlighet med 22 §.

20 §
När får en omfattande säkerhetsutredning av person göras

En omfattande säkerhetsutredning av person får göras endast i fråga om den som

1) i sina arbetsuppgifter får rätt att annat än tillfälligt hantera handlingar som hör till säkerhetsklass I eller II eller andra sådana sekretessbelagda handlingar där obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i sådana handlingar kan orsaka särskilt stor eller betydande skada för de allmänna intressen som avses i sekretessbestämmelsen, (9.8.2019/910)

1 punkten har ändrats genom L 910/2019, som träder i kraft 1.1.2020. Den tidigare formen lyder:

1) i sina arbetsuppgifter får rätt att annat än tillfälligt hantera klassificerade handlingar på skyddsnivå I eller II,

2) sköter sådana uppgifter där han eller hon genom att röja sekretessbelagda uppgifter eller begå någon annan lagstridig gärning kan skada statens säkerhet, försvaret eller Finlands internationella förbindelser,

3) behöver ett intyg över säkerhetsutredning av person på grund av en internationell förpliktelse som gäller informationssäkerhet eller för att kunna utses till uppdrag inom en internationell organisation eller ett internationellt organ.

21 §
När får en begränsad säkerhetsutredning av person göras

En begränsad säkerhetsutredning av person får göras i fråga om den som ska utses till ett anställningsförhållande eller ett uppdrag eller som arbetar i ett anställningsförhållande eller med ett uppdrag och som

1) får rätt att hantera myndighetshandlingar som hör till säkerhetsklass III eller IV eller andra sådana sekretessbelagda handlingar där obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i sådana handlingar kan orsaka skada eller olägenhet för de allmänna eller enskilda intressen som avses i sekretessbestämmelsen, (9.8.2019/910)

1 punkten har ändrats genom L 910/2019, som träder i kraft 1.1.2020. Den tidigare formen lyder:

1) får rätt att hantera myndighetshandlingar på skyddsnivåerna III och IV,

2) arbetar med att framställa pass eller identitetskort eller andra sådana intyg som utfärdas av en myndighet, om det ställs ett särskilt krav på tillförlitlighet,

3) får permanent tillträde till en myndighets lokaler eller områden som är stängda för allmänheten och där självständigt utför byggnads-, installations-, underhålls- eller bevakningsuppgifter eller andra med dem jämförbara uppgifter, om obehörig användning av information som kan fås om en lokal eller ett område eller en lagstridig gärning där kan äventyra den allmänna säkerheten, statens säkerhet eller något annat betydande allmänt intresse,

4) har tillträde till för allmänheten stängda lokaler på flygplatser eller i hamnar eller på andra trafikområden av betydelse för fortsatta och säkra trafikförbindelser inom och utom landet eller till platser som är av betydelse för allmänt fungerande datakommunikationsförbindelser eller el- och energiproduktion,

5) deltar i transport av kärnämnen eller har tillträde till en kärnanläggning eller genom tillträde till det område där en kärnanläggning byggs har tillgång till uppgifter om faktorer som inverkar på kärnanläggningens säkerhet eller har tillträde till platser där kärnämnen används eller lagras eller till platser där strålkällor används eller lagras och där mängden radioaktiva ämnen motsvarar eller överskrider den aktivitetsnivå för slutna strålkällor med hög aktivitet som avses i strålskyddslagstiftningen,

6) har arbetsuppgifter som anknyter till tillverkning eller transport av sprängämnen eller på något annat sätt kan komma i besittning av en betydande mängd sprängämnen eller andra sådana ämnen som genom obehörig hantering kan förorsaka skada på ett vidsträckt område eller för en stor mängd människor,

7) kan komma i besittning av en betydande mängd ämnen som kan användas som biologiska vapen, kemiska vapen eller toxinvapen,

8) arbetar med sådana uppgifter som hör till eller stöder samhällsteknisk service, livsmedelsförsörjning eller läkemedelsförsörjning och där man kan förorsaka allvarlig fara för allmänhetens hälsotillstånd eller säkerhet,

9) har tillträde till en central för penningräkning eller arbetar inom penningtillverkning, sköter för arbetsgivarens eller för arbetsgivarens kunders räkning värdetransporter eller i andra med dem jämförbara förhållanden självständigt och utan fortlöpande övervakning hanterar kvalitativt eller kvantitativt betydande egendom, såsom pengar, värdepapper eller värdeföremål,

10) på grund av sin ställning får rättigheter att överföra arbetsgivarens eller arbetsgivarens kunders medel eller ändra uppgifter om dem och om utövande av rättigheterna i strid med bemyndiganden eller anvisningar kan förorsaka allmän skada för finans- eller försäkringssystemets tillförlitlighet eller betydande skada för ett finansiellt institut eller en försäkringsanstalt eller deras kunder.

En begränsad säkerhetsutredning får göras också i fråga om en person som

1) avses bli utsedd till civila krishanteringsuppdrag enligt lagen om civilpersonals deltagande i krishantering (1287/2004) eller antagen till utbildnings- eller övningsverksamhet som hänför sig till civil krishantering,

2) arbetar med lednings- eller sakkunniguppgifter inom Nödcentralverkets förvaltning eller med jouruppgifter vid en nödcentral eller med lednings- eller sakkunniguppgifter inom polis- eller räddningsväsendets förvaltning eller med uppgifter inom räddningsverksamheten,

3) avses bli antagen till sådan utbildning enligt lagen om Räddningsinstitutet (607/2006) som leder till yrkesinriktad examen inom räddningsväsendet eller nödcentralsverksamheten, till utbildning för räddningsväsendets befäl som leder till yrkeshögskoleexamen eller till utbildning vid Brottspåföljdsområdets utbildningscentral,

4) har ansökt om kompetensbrev för laddare eller sökt sig till utbildning för ansvarig föreståndare, utbildare i användningen av maktmedel, skytteinstruktör, väktare, utbildare av ordningsvakter eller ordningsvakt eller utbildning för säkerhetsskyddsuppgifter enligt lagen om privata säkerhetstjänster (1085/2015). (21.8.2015/1100)

En begränsad säkerhetsutredning görs i fråga om dem som sköter eller ska utses till sådana arbetsuppgifter som skyddspolisen i enlighet med 22 § har godkänt för förfarandet med säkerhetsutredning eller som skyddspolisen i enlighet med 24 § har överfört för att handläggas som begränsad säkerhetsutredning.

22 §
Godkännande av att förfarandet med säkerhetsutredning tillämpas i fråga om vissa arbetsuppgifter

Utöver vad som föreskrivs i 19 och 21 § får skyddspolisen på ansökan av ett företag fatta beslut om att godkänna tillämpning av förfarandet med normal eller begränsad säkerhetsutredning av person när någon som vid företaget eller vid ett företag som är dess underentreprenör utses till eller sköter arbetsuppgifter där han eller hon

1) får sådana rättigheter att använda arbetsgivarens eller arbetsgivarens kunders informationssystem som, om de utövas på obehörigt sätt, kan avbryta eller på ett betydande sätt äventyra informationssystemets funktion så att detta orsakar ett omfattande avbrott i produktionsverksamheten eller på något annat därmed jämförbart sätt förorsakar arbetsgivaren eller arbetsgivarens kunder betydande ekonomisk skada,

2) får tillgång till sådan information om arbetsgivarens eller arbetsgivarens samarbetspartners företagshemligheter, teknologiska utvecklingsarbete eller utnyttjandet av det som, om informationen överlåts, används eller annars hanteras på obehörigt sätt, förorsakar arbetsgivaren, arbetsgivarens kunder eller samarbetspartner betydande ekonomisk skada. (10.8.2018/622)

Utöver vad som föreskrivs i 18 § förutsätts det för skyddspolisens beslut om godkännande av förfarandets tillämplighet

1) att företaget på grund av branschen i fråga eller sin verksamhet kan bli föremål för företagsspionage, eller

2) att en utredning behövs för skyddet av ytterst viktiga enskilda ekonomiska intressen.

Skyddspolisen ska innan den fattar ett beslut enligt 1 mom. begära ett utlåtande av nämnden för bedömningskriterier om en ansökan som ett företag lämnat in till skyddspolisen.

4 mom. har upphävts genom L 11.11.2016/931. (11.11.2016/931)

Åtgärder vid säkerhetsutredning av person
23 §
Användning och kontroll av registeruppgifter samt intervju med den som utredningen gäller

En säkerhetsutredning av person görs genom att registeruppgifter om den personen kontrolle-ras på det sätt som föreskrivs i detta kapitel samt vid behov genom att personen intervjuas om sin situation i allmänhet, vistelse utomlands, utländska bindningar och andra sådana omständigheter som är av särskild betydelse för bedömningen av personens oberoende och tillförlitlighet i andra avseenden med tanke på de arbetsuppgifter som föranleder utredningen. (19.12.2017/949)

Den behöriga myndigheten har trots sekretessbestämmelserna rätt att av andra myndigheter få och för säkerhetsutredningen använda uppgifter med vars hjälp det kan säkerställas att registeruppgifterna inte är föråldrade eller annars vilseledande.

Vid genomförandet av en omfattande säkerhetsutredning av person är det också möjligt att utreda personens ekonomiska ställning och utländska bindningar samt personens närstående vid en normal säkerhetsutredning av person i enlighet med 25 §. (19.12.2017/949)

24 § (11.11.2016/931)
Rätt för skyddspolisen att fatta beslut om nivån på en säkerhetsutredning av person

Trots vad som föreskrivs i 19 och 21 § kan skyddspolisen handlägga en ansökan om begränsad säkerhetsutredning av person som en normal säkerhetsutredning av person, om det behövs för att trygga statens säkerhet eller den allmänna säkerheten. I detta syfte kan skyddspolisen samköra identifieringsuppgifterna om den som utredningen gäller i det i 48 § avsedda registret över säkerhetsutredningar med skyddspolisens funktionella informationssystem.

Skyddspolisen kan handlägga en ansökan om normal säkerhetsutredning av person som begränsad säkerhetsutredning av person, om det är ändamålsenligt och en normal säkerhetsutredning inte behöver göras med hänsyn till statens säkerhet eller den allmänna säkerheten.

Informationskällor
25 §
Informationskällor vid normal säkerhetsutredning av person

En säkerhetsutredning av person får bygga enbart på registeruppgifter som finns i

1) befolkningsdatasystemet,

2) straffregistret och näringsförbudsregistret och i bötesregistrets uppgifter om bötesstraff,

3) det i justitieförvaltningens riksomfattande informationssystem ingående rikssystemet för behandling av diarie- och ärendehanteringsuppgifter bland uppgifterna om brottmål som är eller har varit föremål för åtalsprövning eller i registret över avgöranden och meddelanden om avgöranden bland uppgifterna om avgöranden i brottmål,

4) polisens personregister som innehåller sådana uppgifter som avses i 5 § 1 och 2 mom., 6 och 11 §, 12 § 1 mom., 48 § 1 mom. och 49 § i lagen om behandling av personuppgifter i polisens verksamhet (616/2019), (10.5.2019/634)

5) registret för militärrättsvården och säkerhetsdataregistret som förs av huvudstaben, (15.3.2019/340)

6) Gränsbevakningsväsendets personregister som innehåller sådana uppgifter som avses i 7 §, 8 § 1 och 2 mom. och 9, 13 och 14 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet (639/2019) och sådana uppgifter som behandlas för skötseln av tillsynsuppgifter enligt 15 § i den lagen, (10.5.2019/649)

7) uppgifter som avses i 7 § 1 och 2 mom. och 8 § i lagen om behandling av personuppgifter inom Tullen (650/2019), (10.5.2019/656)

8) register som gäller yrkesutövare eller näringsidkare samt deras handlingsbehörighet,

9) register som förs av en myndighet som övervakar i lag föreskriven verksamhet och vilka innehåller uppgifter om handlingsbehörigheten för ett företags ansvarsperson,

10) utlänningsregistret och visumregistret,

11) utsökningsregistret och kreditupplysningsregistret,

12) register som förs av myndigheter i en annan stat och som motsvarar de register som avses i 1–3 punkten,

13) uppgifter i register som förs av en myndighet i en annan stat och som motsvarar de register som nämns i 4 punkten, om registeruppgifterna

a) motsvarar uppgifter som kan föras in i de register som nämns i 4 punkten,

b) har erhållits av en annan medlemsstat i Europeiska unionen, på grundval av en internationell förpliktelse som gäller informationssäkerhet eller ur ett sådant myndighetsregister i en annan stat som motsvarar kraven ovan, och

c) lagras i ett personregister som den behöriga myndigheten för.

För en normal säkerhetsutredning får användas en anmälan som centralkriminalpolisen gjort utifrån sådana uppgifter om persongrupper i polisens personregister som avses i 7 § 2 mom. i lagen om behandling av personuppgifter i polisens verksamhet. Anmälan ska innehålla sådana uppgifter som skyddspolisen behöver för att bedöma informationens betydelse. Centralkriminalpolisen får göra en anmälan, om

1) den som utredningen gäller, utifrån de uppgifter som avses i 8 § i lagen om behandling av personuppgifter i polisens verksamhet, har återkommande kontakter av permanent natur med sådana personer som enligt domstolsbeslut ansetts ha deltagit i en organiserad kriminell sammanslutnings verksamhet eller som i en pågående förundersökning eller åtalsprövning misstänkts ha deltagit i sådan verksamhet, om kontakterna kan göra den som utredningen gäller mottaglig för extern osaklig påverkan och därmed riskera skyddet för ett intresse som ligger till grund för säkerhetsutredningen,

2) centralkriminalpolisen utifrån de uppgifter som avses i 8 § i lagen om behandling av personuppgifter i polisens verksamhet och andra eventuella upplysningar anser att det föreligger grundad anledning att misstänka att den som utredningen gäller gjort sig skyldig till deltagande i en organiserad kriminell sammanslutnings verksamhet och det är nödvändigt att förmedla informationen för att skydda ett intresse som ligger till grund för säkerhetsutredningen mot åtgärder eller påverkan från organiserade kriminella sammanslutningars sida eller för att förebygga brott, eller

3) det i de uppgifter som avses i 8 § i lagen om behandling av personuppgifter i polisens verksamhet, i fråga om den som utredningen gäller, finns flera sådana anteckningar som till sin natur och sitt innehåll är betydande för bedömningen av personens tillförlitlighet och som sammantagna ger centralkriminalpolisen grundad anledning att misstänka att den som utredningen gäller kan äventyra skyddet för sådana sekretessbelagda handlingar och uppgifter i dem som personen fått i den arbetsuppgift som ligger till grund för utredningen och som hör till säkerhetsklass I eller II eller där obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i sådana handlingar i övrigt kan orsaka särskilt stor eller betydande skada för de allmänna intressen som avses i sekretessbestämmelsen, och därmed gynna organiserade kriminella sammanslutningars åtgärder, om det är nödvändigt att förmedla informationen för att skydda statens viktiga säkerhetsintressen mot åtgärder eller påverkan från organiserade kriminella sammanslutningars sida eller för att förebygga brott. (9.8.2019/910)

3 punkten har ändrats genom L 910/2019, som träder i kraft 1.1.2020. Den tidigare formen lyder:

3) det i de uppgifter som avses i 8 § i lagen om behandling av personuppgifter i polisens verksamhet, i fråga om den som utredningen gäller, finns flera sådana anteckningar som till sin natur och sitt innehåll är betydande för bedömningen av personens tillförlitlighet och som sammantagna ger centralkriminalpolisen grundad anledning att misstänka att den som utredningen gäller kan äventyra skyddet för de handlingar på skyddsnivåerna I och II och uppgifterna i dem som personen fått i den arbetsuppgift som ligger till grund för utredningen och därmed gynna organiserade kriminella sammanslutningars åtgärder, om det är nödvändigt att förmedla informationen för att skydda statens viktiga säkerhetsintressen mot åtgärder eller påverkan från organiserade kriminella sammanslutningars sida eller för att förebygga brott.

(10.5.2019/634)

Vid en normal säkerhetsutredning är det möjligt att utreda en persons utländska bindningar, om utredningen görs

1) för ett uppdrag som avses i 19 § 1 mom. 1 punkten eller för att uppfylla en internationell förpliktelse som gäller informationssäkerhet, eller

2) om en person som håller på att antas till

a) Försvarshögskolan för studier som leder till officerstjänst,

b) Polisyrkeshögskolan för studier som syftar till polisuppdrag eller till en yrkeshögskoleexamen för räddningsbranschen,

c) Gräns- och sjöbevakningsskolan för studier som leder till gränsbevakartjänst, eller

d) utbildning för uppdrag inom utrikesförvaltningen.

(19.12.2017/949)

Utländska bindningar kan med samtycke av den som utredningen gäller utredas också om en behörig myndighet anser att det behövs på grund av information som framkommit vid utredningen och på grund av det uppdrag som föranleder utredningen. (19.12.2017/949)

26 §
Uppgifter ur register som förs av utländska myndigheter

Den som är föremål för en säkerhetsutredning av person och som före utredningen har bott utomlands utan avbrott mer än fem år under de tio senaste åren kan för att säkerställa en heltäckande säkerhetsutredning visa upp ett intyg från en utländsk myndighet över sådana registeruppgifter enligt 25 § 1 mom. 1–3 punkten som han eller hon kan få för detta ändamål enligt lagstiftningen i landet i fråga.

Vad som föreskrivs i 1 mom. är inte tillämpligt på

1) inhämtande av utredning från sådana länder där den behöriga myndigheten i enlighet med internationella avtal eller rättsregler kan skaffa uppgifterna på tjänstens vägnar,

2) en person som under den tid som avses i 1 mom. har varit anställd utomlands hos ett företag eller en myndighet eller hos en internationell organisation eller ett internationellt organ.

Utifrån den information som skyddspolisen inhämtat i sin verksamhet ska skyddspolisen genom ett allmänt datanät eller på annat lämpligt sätt informera om de behöriga myndigheter i andra stater som i enlighet med lagstiftningen i staten i fråga svarar för utredningar om personers bakgrund eller för förande av de register som anlitas i samband med utredningarna samt ge ut dessa myndigheters kontaktinformation.

27 § (19.12.2017/949)
Informationskällor vid omfattande säkerhetsutredning av person

Vid en omfattande säkerhetsutredning av person är det utöver vad som föreskrivs i 25 § 1 och 2 mom. möjligt att utreda

1) näringsverksamhet som personen bedriver eller deltar i,

2) personens förmögenhet och skulder samt andra ekonomiska bindningar,

3) personens familje- och släktskapsförhållanden,

4) personens utländska bindningar.

28 § (19.12.2017/949)
Blankett för personuppgifter och kontroll av uppgifterna på blanketten

Den person som en omfattande säkerhetsutredning gäller ska som underlag för utredningen lämna en anmälan om personuppgifter av vilken framgår

1) näringsverksamhet som personen bedrivit eller deltagit i under de tio senaste åren,

2) personens förmögenhet och skulder samt andra ekonomiska bindningar,

3) personens familje- och släktskapsförhållanden,

4) personens utländska bindningar.

Utöver vad som föreskrivs i 25 och 57 § får den behöriga myndigheten kontrollera de givna uppgifterna och för detta ändamål skaffa information

1) som ingår i Skatteförvaltningens offentliga beskattningsuppgifter,

2) ur register som har inrättats för allmänt bruk och som innehåller offentliga uppgifter som beskriver bedrivande av näringsverksamhet eller egendom,

3) från kreditinstitut och finansiella institut, om den som utredningen gäller har gett sitt tillstånd till det,

4) för utredning av utländska bindningar från ett sådant land eller ett sådant internationellt organ från vilket den behöriga myndigheten i enlighet med internationella överenskommelser eller regelverk kan få information för utredningsförfarandet.

Vad som i 1 mom. 4 punkten föreskrivs om anmälan om utländska bindningar och i 2 mom. 4 punkten om den behöriga myndighetens informationskällor ska tillämpas också då en persons utländska bindningar utreds vid en normal säkerhetsutredning.

Den behöriga myndigheten ska ge den som utredningen gäller tillfälle att yttra sig om omständigheter som framkommit vid granskningen av de uppgifter som den personen lämnat.

28 a § (19.12.2017/949)
Anmälan från den som genomgått en säkerhetsutredning om förändrade utländska bindningar

Den vars utländska bindningar har utretts vid en säkerhetsutredning av person är skyldig att utan obefogat dröjsmål till den myndighet som gjort utredningen anmäla nya eller förändrade utländska bindningar. Sådan anmälningsskyldighet föreligger inte om säkerhetsutredningen av person eller intyget över utredningen inte längre är i kraft.

28 b § (19.12.2017/949)
Den behöriga myndighetens skyldighet att informera om utländska bindningar

Om den behöriga myndigheten anser att det av en i 28 a § avsedd anmälan från den som genomgått en säkerhetsutredning framgår uppgifter som skulle ha kunnat påverka intyget över säkerhetsutredningen eller säkerhetsutredningens resultat, ska den behöriga myndigheten efter att ha hört den som genomgått utredningen och trots sekretessbestämmelserna underrätta den som ansökt om utredningen.

Den behöriga myndigheten ska före den underrättelse som avses i 1 mom. utreda om den som genomgått en säkerhetsutredning av person fortfarande är i den arbetsgivares anställning som ansökt om utredningen eller arbetar i uppgifter på uppdrag av sökanden eller om den som genomgått en säkerhetsutredning av person studerar vid den läroanstalt som ansökt om utredningen eller deltar i utrikesförvaltningens utbildning.

Oberoende av 1 mom. ska uppföljningens resultat meddelas den som i enlighet med 48 § 5 mom. i registret över säkerhetsutredningar har gjort en anteckning om utredningsobjektets anställningsförhållande, om det inte anmälts att anställningsförhållandet avslutats.

29 §
När en omfattande säkerhetsutredning av person utsträcks till närstående

Om det är absolut nödvändigt för att syftet med en omfattande säkerhetsutredning av person ska uppnås, får utredningen i enskilda fall utsträckas till att gälla också närstående till den som utredningen gäller.

30 §
Informationskällor vid begränsad säkerhetsutredning av person

Vid en begränsad säkerhetsutredning av person ska de register som avses i 25 § 1 mom. 1–10 punkten användas som informationskällor, med undantag för skyddspolisens funktionella informationssystem och huvudstabens säkerhetsdataregister.

31 §
Specialbestämmelser om försvarsmakten och skyddspolisen

Utöver vad som föreskrivs i 25 § får huvudstaben när den gör säkerhetsutredningar av personer som ska utses till eller sköter arbetsuppgifter inom försvarsmakten använda uppgifter som kan fås ur värnpliktsregistret och ur registret över krishanteringspersonal.

Uppgifter om hälsotillstånd och tjänsteduglighet i värnpliktsregistret får beaktas i en säkerhetsutredning endast om det är nödvändigt för att trygga andras personliga säkerhet.

Vad som i 1 och 2 mom. föreskrivs om huvudstaben gäller också skyddspolisen när den gör en säkerhetsutredning av en person som ska utses till uppgifter inom skyddspolisen.

32 §
Begränsning av användningen av uppgifter i säkerhetsutredning av person

Vid en säkerhetsutredning av person får följande uppgifter inte användas:

1) sådana angivelser eller polisanmälningar eller andra motsvarande uppgifter som getts in till polisen enligt vilka han eller hon har begått eller kommer att begå ett brott, om ingen förundersökning har inletts på basis av uppgifterna,

2 punkten har upphävts genom L 10.5.2019/634. (10.5.2019/634)

3) uppgifter om brottsliga gärningar som begåtts tio år tidigare, om inte uppgifterna kan fås ur straffregistret,

4) uppgifter om gärningar som han eller hon har begått innan han eller hon fyllt femton år, om det inte är nödvändigt att uppgifterna används i syfte att skydda andras personliga säkerhet inom försvarsmakten.

För att information om ett ärende som är föremål för förundersökning eller anhängigt hos åklagaren ska få användas förutsätts det att

1) det utreds i vilken fas av handläggningen ärendet befinner sig och av hurdan kvalitet de uppgifter är som utpekar den som utredningen gäller som gärningsman,

2) det är nödvändigt att uppgifterna används på grund av de särskilda krav som hänför sig till de arbetsuppgifter med tanke på vilka utredningen görs och på grund av den misstänkta gärningens karaktär.

Sådana uppgifter om en persons hälsotillstånd som ingår i de uppgifter som avses i 5 § 1 och 2 mom., 6 och 11 §, 12 § 1 mom., 48 § 1 mom. och 49 § i lagen om behandling av personuppgifter i polisens verksamhet, får beaktas när en utredning görs endast om det är nödvändigt för att trygga andras personliga säkerhet och uppgifterna baserar sig på ett läkarintyg eller andra anteckningar av en legitimerad yrkesutbildad person inom hälso- och sjukvården eller på uppgifter som han eller hon lämnat muntligt med stöd av lag, och det inte råder oklarhet om att uppgifterna är korrekta. Vad som föreskrivs ovan i detta moment hindrar inte den behöriga myndigheten från att fästa arbetsgivarens uppmärksamhet på behovet att vidta åtgärder som avses i 17 § 2 mom. 4 punkten i denna lag. (10.5.2019/634)

5 kap

Säkerhetsutredningar av företag

33 §
Rätt att ansöka om säkerhetsutredning av företag

Säkerhetsutredning av företag får sökas

1) av den som behöver en utredning för att fullgöra en i eller med stöd av lag föreskriven skyldighet eller en skyldighet som följer av en internationell förpliktelse som gäller informationssäkerhet,

2) av den myndighet som ämnar ingå avtal med det företag som utredningen gäller, om företaget i samband med avtalet får eller det med anledning av avtalet uppkommer handlingar som hör till säkerhetsklass I–III eller andra sekretessbelagda handlingar, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i dessa handlingar kan orsaka skada för de allmänna eller enskilda intressen som avses i sekretessbestämmelsen, (9.8.2019/910)

2 punkten har ändrats genom L 910/2019, som träder i kraft 1.1.2020. Den tidigare formen lyder:

2) av den myndighet som ämnar ingå avtal med det företag som utredningen gäller, om företaget i samband med avtalet får eller det med anledning av avtalet uppkommer handlingar på skyddsnivå I–III,

3) i de fall som avses i 2 punkten av en enhet som på uppdrag av en myndighet svarar för upphandling inom statsförvaltningen eller av en enhet som tillhandahåller statsförvaltningen gemensamma eller för omfattande bruk avsedda informations- och kommunikationstekniska tjänster,

4) av den myndighet som övervakar verksamhet som avses i 21 § 1 mom. 5 och 6 punkten.

I de fall som avses i 36 § 2 mom. kan en säkerhetsutredning av företag göras på begäran av företaget i fråga.

34 § (9.8.2019/910)
Statsförvaltningsmyndigheters skyldighet att ansöka om säkerhetsutredning av företag

Genom förordning av statsrådet får det föreskrivas att en statsförvaltningsmyndighet ska skaffa en säkerhetsutredning i fråga om ett företag som i syfte att fullfölja ett avtal med statsförvaltningsmyndigheten tar emot handlingar som hör till säkerhetsklass I–III eller andra sekretessbelagda handlingar, om obehörigt avslöjande eller obehörig användning av sekretessbelagda uppgifter i dessa handlingar kan orsaka skada för de allmänna eller enskilda intressen som avses i sekretessbestämmelsen.

34 § har ändrats genom L 910/2019, som träder i kraft 1.1.2020. Den tidigare formen lyder:

34 §
Statsförvaltningsmyndigheters skyldighet att ansöka om säkerhetsutredning av företag

Genom förordning av statsrådet får det föreskrivas att en statsförvaltningsmyndighet ska skaffa en säkerhetsutredning i fråga om ett företag som i syfte att fullfölja ett avtal med statsförvaltningsmyndigheten tar emot klassificerade handlingar på skyddsnivåerna I–III.

35 §
Ansökan om säkerhetsutredning av företag

En ansökan om säkerhetsutredning av företag ska innehålla följande uppgifter:

1) namnet på och andra identifieringsuppgifter om samt kontaktuppgifter till den som utredningen gäller,

2) de underleverantörer med vilka den som utredningen gäller ämnar ingå avtal om genomförandet av det projekt som säkerhetsutredningen görs med anledning av, underentreprenörens andel i genomförandet av projektet samt de uppgifter om underleverantören som avses i 1 punkten,

3) utredning om att förutsättningarna enligt 36 § för säkerhetsutredning av företag är uppfyllda,

4) information om huruvida det är meningen att med hjälp av säkerhetsutredningen påvisa att företaget når upp till en viss informationssäkerhetsnivå och, om så är fallet, information om bedömningsgrunden,

5) information om huruvida det över företagets eller underleverantörens lokaler, informationssystem och andra säkerhetsarrangemang har gjorts en bedömning utförd av ett godkänt bedömningsorgan som avses i lagen om bedömningsorgan för informationssäkerhet och, om så är fallet, en kopia av det intyg som utfärdats över bedömningen.

Ansökan ska åtföljas av en handling med företagets samtycke till att en säkerhetsutredning görs, om inte företaget självt gör ansökan.

36 §
Förutsättningar för säkerhetsutredning av företag

En säkerhetsutredning av företag får göras, om en utredning behövs för att bedöma företaget, när

1) en sådan utredning förutsätts eller möjliggörs i lag eller med stöd av lag eller för att uppfylla en internationell förpliktelse som gäller informationssäkerhet,

2) en myndighet håller på att ingå ett avtal med ett företag och myndighetens sekretessbelagda handlingar kommer att överlämnas till företaget i samband med detta, (9.8.2019/910)

2 punkten har ändrats genom L 910/2019, som träder i kraft 1.1.2020. Den tidigare formen lyder:

2) en myndighet håller på att ingå ett avtal med ett företag och myndighetens klassificerade handlingar kommer att överlämnas till företaget i samband med detta,

3) den myndighet som övervakar verksamheten begär en säkerhetsutredning om ett företag som bedriver verksamhet som avses i 21 § 1 mom. 5 eller 6 punkten eller som i egenskap av underentreprenör ska medverka i ett projekt där företaget eller dess arbetstagare har tillgång till de uppgifter eller tillträde till de lokaler eller områden som avses i de punkterna. (11.11.2016/931)

En säkerhetsutredning av företag får göras, om en säkerhetsutredning förutsätts i en internationell organisations eller ett internationellt organs stadgar eller i en annan stats lag och om utredningen behövs för att den som utredningen gäller ska kunna

1) bli utsedd att delta i ett projekt som ordnas eller annars organiseras av en internationell organisation eller ett internationellt organ eller bli utsedd att delta i ett upphandlingsförfarande som ordnas i en annan stat,

2) inleda företagsverksamhet i en annan stat.

En säkerhetsutredning av företag kan utsträckas också till ett företag som är underleverantör till den som utredningen gäller till den del förutsättningarna enligt 1 mom. uppfylls också i fråga om underleverantören och den behöriga myndigheten anser att utredningen behövs.

Genom förordning av statsrådet får det föreskrivas att en säkerhetsutredning av företag får göras också för att skydda sådan information om företagshemligheter eller teknologiskt utvecklingsarbete vid företaget som om den användes, hanterades och överläts på ett obehörigt sätt skulle förorsaka företaget betydande ekonomisk skada eller om det ligger i allmänt intresse att skydda informationen. (10.8.2018/622)

37 §
Informationskällor vid säkerhetsutredning av företag

Vid en säkerhetsutredning av företag får följande uppgifter användas:

1) uppgifter om företaget, dess ägare och deras nationalitet, om sådana uppgifter finns tillgängliga,

2) sådana uppgifter om företaget som avses i 6 § 1 mom. i lagen om kundinformationssystemet för företagstjänster (240/2007),

3) uppgifter om företagets verksamhet, antalet anställda och andra omständigheter som allmänt beskriver personalen,

4) kreditupplysningar om företaget och dess ansvarspersoner,

5) sådana uppgifter om företagets förmögenhet som finns i register som inrättats för allmänt bruk eller som fås ur andra offentliga källor eller som företaget självt lämnar för utredningen,

6) uppgifter i utsökningsregistret, offentliga uppgifter som fås från skattemyndighetens informationssystem samt uppgifter om skattefordringar eller uppgifter från en försäkringsanstalt om försummelse av en sådan fordran som baserar sig på en lagstadgad försäkring och som enligt lagen om verkställighet av skatter och avgifter (706/2007) är direkt utsökbar,

7) uppgifter i utlänningsregistret,

8) uppgifter om penninginstitut och kreditinstitut, om företaget gett sitt samtycke till att uppgifterna används eller lämnat uppgifterna,

9) uppgifter om straff och vite som företaget har dömts till eller förelagts samt om brott som riktats mot företaget.

Utöver vad som föreskrivs i 1 mom. 3 punkten ska 4 kap. iakttas när det gäller informationskällor för sådana säkerhetsutredningar av ett företags ansvarspersoner som görs som ett led i en säkerhetsutredning av själva företaget.

L om kundinformationssystemet för företagstjänster 240/2007 har upphävts genom L om kundinformationssystemet för företagstjänster 293/2017.

38 §
Handläggning av säkerhetsutredningar av företag

Vid en säkerhetsutredning av företag ska det med hjälp av uppgifterna i ansökan och de informationskällor som avses i 37 § samt genom inspektion av företaget och dess lokaler samt dess informationssystem och datakommunikation utredas hur företaget kan se till att

1) information skyddas mot att bli obehörigen röjd, ändrad eller utplånad,

2) obehörigt tillträde förhindras till lokaler där information hanteras eller annan sådan verksamhet bedrivs som utredningen görs i syfte att skydda,

3) personalen får behövlig handledning och utbildning.

Om syftet med en säkerhetsutredning av företag är att visa att företaget når upp till en viss informationssäkerhetsnivå, ska det klarläggas huruvida kraven för den nivån är uppfyllda.

En säkerhetsutredning av företag får också genomföras partiellt, om det behövs för att uppfylla en internationell förpliktelse som gäller informationssäkerhet eller om det annars är befogat för att syftet med säkerhetsutredningen ska uppnås.

39 §
Inspektioner vid säkerhetsutredning av företag och myndighetens rätt till information

Det företag som en säkerhetsutredning gäller ska lämna den myndighet som gör utredningen de uppgifter som behövs för att säkerhetsutredningen ska kunna göras samt för detta ändamål ge dem som gör utredningen och utför inspektioner tillträde till sina lokaler.

Den behöriga myndigheten kan i behövlig omfattning inspektera de säkerhetsarrangemang som har vidtagits för att skydda företagets lokaler, informationssystem och datakommunikation samt övriga säkerhetsarrangemang. Inspektioner får inte utföras i lokaler och utrymmen som används för boende av permanent natur.

40 §
Förbindelse av företag

Den behöriga myndigheten kan när den gör en säkerhetsutredning av företag och upprättar ett intyg över utredningen förutsätta att näringsidkaren förbinder sig att sörja för att informationssäkerhetsnivån bevaras och anmäla förändringar som inverkar på informationssäkerhetsnivån, samt att för övervakning av att informationssäkerhetsnivån bevaras ge myndigheten tillstånd att komma in i företagets lokaler och lämna uppgifter som behövs för kontrollen.

6 kap

Avslutande av ett förfarande med säkerhetsutredning och behandling av uppgifter som erhållits vid förfarandet

41 §
Avslutad säkerhetsutredning

Sökanden ska underrättas skriftligt om att säkerhetsutredningen har avslutats och om innehållet i utredningen eller ges ett i 43 eller 46 § avsett intyg över säkerhetsutredningen.

Om det utifrån säkerhetsutredning av person inte föreligger någon skyldighet att utfärda ett intyg och om det under utredningen inte framkommer något sådant som den myndighet som gjort utredningen anser vara av betydelse med tanke på tillförlitligheten hos den som utredningen gäller, får myndigheten trots bestämmelsen i 1 mom. muntligt informera sökanden om saken.

42 §
Verkningarna av och innehållet i en säkerhetsutredning

En säkerhetsutredning binder inte den för vars räkning utredningen har gjorts.

En säkerhetsutredning får innehålla sekretessbelagda uppgifter endast i sådan form och i sådan omfattning som i det aktuella fallet behövs för att syftet med utredningen ska uppnås och det är uppenbart att lämnandet av uppgifterna inte äventyrar statens säkerhet eller andra i 1 § avsedda allmänna intressen. Om uppgifter om ett brottmål under behandling tas in i en säkerhetsutredning, ska det samtidigt uppges i vilken fas av behandlingen ärendet befinner sig när säkerhetsutredningen lämnas.

En säkerhetsutredning av person får inte innehålla myndighetens bedömning av hans eller hennes oförvitlighet, tillförlitlighet eller lämplighet för en tjänst eller ett uppdrag.

Den behöriga myndigheten får i samband med att en säkerhetsutredning av person överlämnas fästa arbetsgivarens uppmärksamhet på behovet att vidta åtgärder enligt 17 § 2 mom. 4 punkten.

43 §
Utfärdande av intyg över säkerhetsutredning av person

Den behöriga myndighet som har gjort en säkerhetsutredning av en enskild person ska utfärda ett intyg över säkerhetsutredningen, om det vid utredningsförfarandet inte har framkommit skäl till varför personen inte skulle kunna utses till de arbetsuppgifter som utredningen gjorts för och om ett intyg över säkerhetsutredning behöver utfärdas

1) enligt vad som föreskrivs i eller med stöd av lag eller på grund av ett sådant uppdrag som avses i 15 § 2 mom.,

2) i syfte att förhindra onödiga säkerhetsutredningar, när den som utredningen gäller arbetar som laddare eller med service-, installations- eller bevakningsuppgifter eller andra sådana uppgifter där han eller hon på grund av arbetsuppgifternas karaktär regelbundet måste arbeta i sådana lokaler eller på sådana områden för vilka det gäller att de som arbetar där ska bli föremål för säkerhetsutredning.

Den nationella säkerhetsmyndigheten utfärdar i enlighet med lagen om internationella förpliktelser som gäller informationssäkerhet sådana intyg över säkerhetsutredning av person som behövs för att uppfylla internationella förpliktelser som gäller informationssäkerhet.

I de fall som avses i 1 mom. 2 punkten kan intyget också utfärdas som ett identitetskort. Skyddspolisen fastställer identitetskortets form och innehåll efter att ha hört huvudstaben och med beaktande av 44 §.

Om den behöriga myndigheten vägrar att utfärda ett intyg över säkerhetsutredning av person, ska den i ett skriftligt beslut till den som ansökt om utredningen och till den som utredningen gäller uppge skälen för detta.

44 §
Innehållet i ett intyg över säkerhetsutredning av person

I ett intyg över säkerhetsutredning av person antecknas den som utredningen gäller, datum, utfärdaren och de arbetsuppgifter för vilka intyget har utfärdats.

Vid behov antecknas i intyget

1) intygets giltighetstid,

2) att det vid utredningsförfarandet inte framkommit skäl till varför personen inte skulle kunna utses till de arbetsuppgifter som ligger till grund för ansökan,

3) till vilka säkerhetsklassificerade handlingar eller andra sekretessbelagda handlingar vilkas obehöriga avslöjande eller obehöriga användning kan orsaka skada eller olägenhet för de intressen som avses i sekretessbestämmelsen som den som utredningen gäller kan ges tillgång till, (9.8.2019/910)

3 punkten har ändrats genom L 910/2019, som träder i kraft 1.1.2020. Den tidigare formen lyder:

3) på vilka skyddsnivåer de handlingar får vara klassificerade som den som utredningen gäller ges tillgång till,

4) uppgifter om omständigheter som förutsätts i internationella förpliktelser som gäller informationssäkerhet.

45 §
Behandling av personuppgifter som erhållits vid säkerhetsutredning av person

Den för vars räkning en säkerhetsutredning av person har gjorts ska se till att de personuppgifter som ingår i säkerhetsutredningen kan behandlas endast av personer som oundgängligen behöver dem för skötseln av sina arbetsuppgifter och att uppgifterna i utredningen och i intyget över säkerhetsutredningen inte används för något annat ändamål än det som nämnts i ansökan. Detsamma gäller den som har mottagit en säkerhetsutredning eller ett intyg över säkerhetsutredning av den person som utredningen gäller. Vad som föreskrivs ovan utgör inget hinder för att uppgifterna i en säkerhetsutredning om en arbetssökande behandlas när denne intervjuas av arbetsgivaren, om inte något annat följer av 6 § 3 mom.

Sökanden ska förstöra det skriftliga meddelandet om en säkerhetsutredning omedelbart när det inte längre behövs för det ändamål som nämnts i ansökan om utredning, dock senast sex månader efter det att sökanden mottog meddelandet.

Bestämmelser om hemlighållande av säkerhetsutredningar av person och av uppgifterna i dem finns i 59 §.

46 §
Utfärdande av intyg över säkerhetsutredning av företag

Den behöriga myndighet som har gjort en säkerhetsutredning av ett företag ska ge sökanden ett intyg över säkerhetsutredningen, om företaget uppfyller de krav på informationssäkerhet som ligger till grund för utredningen. Intyget ska också ges till den som utredningen gäller.

Den nationella säkerhetsmyndigheten utfärdar i enlighet med lagen om internationella förpliktelser som gäller informationssäkerhet sådana intyg över säkerhetsutredning av företag som behövs för att uppfylla internationella förpliktelser som gäller informationssäkerhet.

Om en säkerhetsutredning av företag har gällt uteslutande säkerheten i informationssystem och datakommunikation, får Kommunikationsverket som har gjort utredningen utfärda ett intyg över den.

Om den behöriga myndigheten vägrar att utfärda ett intyg över säkerhetsutredning av företag, ska den i ett skriftligt beslut till den som ansökt om utredningen och till den som utredningen gäller uppge skälen för detta.

47 §
Innehållet i ett intyg över säkerhetsutredning av företag

I ett intyg över säkerhetsutredning av företag antecknas

1) den som utredningen gäller och utfärdaren,

2) intygets giltighetstid, om den har fastställts,

3) vilka omständigheter som varit föremål för utredningen och som bedömningen grundat sig på samt vilket resultat utredningen gett i fråga om dem,

4) vid behov i fråga om vilka säkerhetsklassificerade handlingar eller andra handlingar vilkas obehöriga avslöjande eller obehöriga användning kan orsaka skada för de intressen som avses i sekretessbestämmelsen företaget uppfyller kraven på hantering, (9.8.2019/910)

4 punkten har ändrats genom L 910/2019, som träder i kraft 1.1.2020. Den tidigare formen lyder:

4) vid behov för vilka skyddsnivåer företaget uppfyller kraven på hantering av klassificerade handlingar,

5) uppgifter om omständigheter som förutsätts i den internationella förpliktelse som gäller informationssäkerhet som föranlett utredningen.

Om det behövs för ändamålet med en säkerhetsutredning av företag, ska i intyget antecknas att det vid utredningen inte framkommit skäl till varför företaget inte skulle kunna utses till det uppdrag som ligger till grund för ansökan.

7 kap

Registret över säkerhetsutredningar och databehandling som hänför sig till det

48 §
Registret över säkerhetsutredningar och dess ändamål samt registrering av uppgifter

Skyddspolisen ska i egenskap av huvudansvarig registerförare föra register över säkerhetsutredningar för att onödiga säkerhetsutredningar ska kunna undvikas, för att uppgifter ska kunna förmedlas mellan de behöriga myndigheterna samt för att tillförlitligheten och oförvitligheten hos dem som utredningarna gäller ska kunna kontrolleras. Varje myndighet som för in uppgifter i registret svarar för att uppgifterna är korrekta.

Den behöriga myndigheten ska utan dröjsmål registrera att en ansökan om säkerhetsutredning kommit in, namnet på den som utredningen gäller och andra identifieringsuppgifter, utredningens omfattning samt uppgifter om resultatet av utredningen eller att ett intyg över säkerhetsutredning utfärdats och dess giltighet och återkallelse samt uppgifter om arbetsgivaren för den som en säkerhetsutredning av person gäller, om dessa uppgifter är tillgängliga. Den nationella säkerhetsmyndigheten ska registrera uppgifter om de intyg över säkerhetsutredning av person och av företag som den utfärdat i enlighet med vad som förutsätts i en internationell förpliktelse som gäller informationssäkerhet.

Trots vad som föreskrivs ovan får skyddspolisen registrera uppgifter om sina anställda och huvudstaben uppgifter om anställda hos försvarsmakten till behövliga delar så att uppgifterna inte är tillgängliga för andra, om ett utlämnande av dessa uppgifter till utomstående kan äventyra myndighetens verksamhet och skötseln av arbetsuppgifter inom dess verksamhetsområde.

Kommunikationsverket får registrera uppgifter om

1) de intyg som det har utfärdat enligt lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation och de uppgifter som antecknats i intygen,

2) de bedömningsorgan som har godkänts i enlighet med lagen om bedömningsorgan för informationssäkerhet,

3) intyg utfärdade av godkända bedömningsorgan så som föreskrivs i lagen om bedömningsorgan för informationssäkerhet.

Den som beslutat att anställa en person som genomgått en säkerhetsutredning av person ska, om information för utredningen har hämtats ur registret över säkerhetsutredningar med stöd av 50 § 2 mom., underrätta skyddspolisen om sitt beslut. Skyddspolisen ska underrättas också när en sådan anställning avslutas. Underrättelsen kan lämnas genom en anteckning i registret över säkerhetsutredningar eller annars elektroniskt på ett sätt som skyddspolisen godkänner. (19.12.2017/949)

49 §
Avförande av uppgifter ur registret över säkerhetsutredningar

De uppgifter som förts in i registret över säkerhetsutredningar ska avföras senast tre år efter det att en ny motsvarande säkerhetsutredning har gjorts eller giltigheten för en säkerhetsutredning eller ett intyg över säkerhetsutredning har upphört eller de arbetsuppgifter för vilka säkerhetsutredningen gjordes har upphört eller intyget över säkerhetsutredning har återkallats. På avförande av uppgifter tillämpas i övrigt personuppgiftslagen (523/1999).

PersonuppgiftsL(523/1999 har upphävts genom DataskyddsL 1050/2019.

50 §
Utlämnande av uppgifter ur registret över säkerhetsutredningar

Skyddspolisen lämnar trots sekretessbestämmelserna med hjälp av teknisk anslutning uppgifter ur registret över säkerhetsutredningar till huvudstaben. Huvudstaben får, på ett sätt som skyddspolisen godkänner, till tjänstemän som utsetts av försvarsmaktens enheter vidarebefordra uppgifter som behövs för bedömning av behovet att skaffa en säkerhetsutredning eller för behandling av vistelse- och besökstillstånd som avses i 15 § i lagen om försvarsmakten (551/2007). (11.11.2016/931)

Skyddspolisen får trots sekretessbestämmelserna på ett sätt som den godkänner med hjälp av teknisk anslutning lämna följande uppgifter ur registret över säkerhetsutredningar till en av republikens presidents kansli, av riksdagens kansli, av ett ministerium eller av ett ämbetsverk inom inrikesministeriets förvaltningsområde utsedd tjänsteman för att behovet att skaffa en säkerhetsutredning ska kunna bedömas: (11.11.2016/931)

1) uppgifter om ett företag av vilket det gjorts en säkerhetsutredning och om det intyg som utfärdats över säkerhetsutredningen,

2) uppgifter om en säkerhetsutredning av person där det inte framkommit information som inverkar negativt på personens tillförlitlighet eller över vilken det har utfärdats ett intyg som fortfarande är giltigt,

3) uppgifter om intyg som utfärdats över en myndighets informationssystem eller datakommunikation och andra uppgifter som avses i 48 § 4 mom.,

4) uppgifter om vem som gjort säkerhetsutredningen i de fall som avses i 1–3 punkten och om tidpunkten för säkerhetsutredningen samt om intygets giltighetstid.

Skyddspolisen får trots sekretessbestämmelserna med hjälp av teknisk anslutning lämna centralkriminalpolisen uppgifter om ansökan om säkerhetsutredning för att samköras med uppgifterna i informationssystemet för misstänkta med tanke på de anmälningar som avses i 25 § 2 mom. och på prövning i fråga om dem. Centralkriminalpolisen ska utplåna de uppgifter som fåtts genom samkörningen omedelbart efter det att behovet av anmälan har prövats eller anmälan har sänts till skyddspolisen.

I de fall som avses i 2 mom. får uppgifter inhämtas med hjälp av teknisk anslutning endast om sådana personer och företag som gett sitt samtycke till att en säkerhetsutredning görs för att bli utsedda till ett anställningsförhållande eller ett uppdrag som säkerhetsutredning enligt denna lag ska göras för, eller om personer vilkas vistelse- eller besökstillstånd behandlas vid en i 1 mom. avsedd enhet inom försvarsmakten.

51 §
Kontroll av oförvitligheten och tillförlitligheten med hjälp av samkörning av personregister

Skyddspolisen får samköra uppgifterna i registret över säkerhetsutredningar med uppgifter i informationssystemet för polisärenden samt med uppgifter om anhängiga brottmål och avgöranden i brottmål i justitieförvaltningens riksomfattande informationssystem i syfte att klarlägga om säkerhetsutredningar eller intyg som utfärdats över dem fortfarande ska få vara giltiga. (11.11.2016/931)

Uppgifterna om en person av vilken det har gjorts en omfattande säkerhetsutredning får samköras med uppgifter i de personregister ur vilka uppgifter enligt 28 § 2 mom. kan skaffas för att kontrollera uppgifterna på blanketten för personuppgifter.

Skyddspolisen ska utplåna de uppgifter som uppkommit till följd av samkörningen omedelbart när de åtgärder som avses i 52 § har slutförts, dock senast ett år efter samkörningen av registren. Samkörda uppgifter får användas eller lämnas ut bara i de fall som avses i 52 § eller för att behandla ett avgörande som träffats med stöd av den paragrafen eller ett fullföljdsärende med anledning av avgörandet.

Bestämmelser om det samtycke som krävs av den som utredningen gäller för samkörning av registeruppgifter finns i 5 §.

52 §
Åtgärder på grundval av kontrollen

Om det utifrån den kontroll som avses i 51 § framkommer att en person eller ett företag eller dess ansvarsperson misstänks för att eller genom beslut av domstol konstateras ha gjort sig skyldig till en brottslig gärning, ska skyddspolisen trots sekretessbestämmelserna informera den myndighet som gjort säkerhetsutredningen om saken.

Om det på basis av de uppgifter som erhållits vid kontrollen framkommer att en person misstänks för att eller genom beslut av domstol konstateras ha gjort sig skyldig till en gärning som skulle ha kunnat inverka på utfärdandet av ett intyg över säkerhetsutredning eller på säkerhetsutredningens innehåll, ska den behöriga myndigheten trots sekretessbestämmelserna, efter att ha hört den som utredningen gäller, informera den som ansökt om säkerhetsutredning av personen eller det ministerium som i enlighet med 48 § 5 mom. har registrerat att den som utredningen gäller har anställts, om inte det har meddelats att anställningsförhållandet har upphört. Innan arbetsgivaren eller uppdragsgivaren informeras ska det klarläggas om den som utredningen gäller fortfarande är anställd hos den arbetsgivare, fullgör den uppdragsgivares uppgifter eller studerar vid den läroanstalt som ansökt om säkerhetsutredning.

Om det på basis av de uppgifter som erhållits vid kontrollen framkommer att ett företags ansvarsperson eller ett företag misstänks för att eller genom beslut av domstol konstateras ha gjort sig skyldig till en gärning som skulle ha inverkat på utfärdandet av ett intyg över säkerhetsutredning av företag, ska den behöriga myndigheten trots sekretessbestämmelserna, efter att ha hört den som utredningen gäller, informera den som ansökt om en säkerhetsutredning av företaget i fråga.

Om ett intyg över säkerhetsutredning har utfärdats i syfte att uppfylla internationella förpliktelser som gäller informationssäkerhet, ska den nationella säkerhetsmyndighet som svarar för att internationella förpliktelser som gäller informationssäkerhet uppfylls, utan dröjsmål informeras om de omständigheter som avses i 1 mom.

När åtgärder övervägs och 1–4 mom. tillämpas ska vid bedömning av betydelsen av uppgifterna om brottsmisstanke och brottslig gärning hänsyn tas till vad som i 32 § och annars i lag föreskrivs om beaktande av olika slags uppgifter vid säkerhetsutredningar.

8 kap

Giltigheten av säkerhetsutredningar och intyg över säkerhetsutredning

53 §
Giltighetstiden för säkerhetsutredningar och intyg över säkerhetsutredning

En säkerhetsutredning gäller tills vidare, dock högst fem år. Detsamma gäller det intyg som utfärdas över säkerhetsutredningen, om inte intyget har utfärdats för ett tidsbegränsat uppdrag eller för ett uppdrag inom ett visst projekt eller om inte den behöriga myndigheten på grund av särskilda omständigheter relaterade till utredningen beslutar något annat.

54 §
Ny säkerhetsutredning och utfärdande av nytt intyg över säkerhetsutredning

En säkerhetsutredning som gäller tills vidare kan på initiativ av den myndighet som gjort utredningen, på ansökan av den som ansökt om utredning eller på ansökan av den som utredningen gäller göras på nytt, om det behövs för att uppfylla en internationell förpliktelse som gäller informationssäkerhet eller på grund av sådana förändringar i arbetsuppgifterna för den som utredningen gäller, eller i hans eller hennes situation, som enligt denna lag ska beaktas när en utredning görs.

Ett intyg över säkerhetsutredning av person får utfärdas på basis av registret över säkerhetsutredningar utan att någon ny utredning görs, om inte något annat följer av den kontroll som genomförts i enlighet med 51 §.

55 §
Återkallelse av intyg över säkerhetsutredning

Den behöriga myndigheten får på eget initiativ eller på ansökan av den som ansökt om en säkerhetsutredning av person, på ansökan av arbetsgivaren till den som utredningen gäller eller på ansökan av den som utredningen gäller återkalla ett med stöd av denna lag utfärdat intyg över säkerhetsutredning av person, om den som utredningen gäller

1) inte längre arbetar med de uppgifter för vilka intyget har utfärdats,

2) enligt en anmälan som gjorts utifrån en internationell förpliktelse som gäller informationssäkerhet har försummat för honom eller henne bindande krav som gäller informationssäkerhet i de arbetsuppgifter för vilka han eller hon fått intyget i Finland,

3) utifrån en kontroll enligt 51 § misstänks ha gjort sig skyldig till en gärning som skulle ha varit ett hinder för utfärdande av intyget, eller det på grund av andra förändrade omständigheter inte längre skulle kunna utfärdas ett intyg över säkerhetsutredning för honom eller henne.

Ett intyg över säkerhetsutredning av företag kan återkallas, om verksamheten vid det företag som utredningen gäller inte längre uppfyller de krav som har legat till grund för intyget eller om dess ansvarsperson misstänks ha gjort sig skyldig till en gärning som avses i 1 mom. 2 punkten och företaget inte har avhjälpt bristerna inom utsatt tid.

Innan den behöriga myndigheten fattar ett beslut enligt 1 eller 2 mom. ska den höra den som utredningen gäller samt vid behov den som ansökt om säkerhetsutredning eller arbetsgivaren.

Den behöriga myndigheten får i sitt beslut om att återkalla ett intyg över säkerhetsutredning bestämma att beslutet ska följas även om det överklagas, om inte den myndighet som ska pröva överklagandet bestämmer något annat.

9 kap

Särskilda bestämmelser

56 §
Dataombudsmannens rätt att utöva tillsyn

Dataombudsmannen har rätt att ta del av en säkerhetsutredning som har gjorts med stöd av denna lag för att kontrollera att behandlingen av personuppgifter är laglig.

Bestämmelser om dataombudsmannens rätt att utöva tillsyn och få information om behandlingen av personuppgifter finns i 39 § i personuppgiftslagen.

PersonuppgiftsL har upphävts genom DataskyddsL 1050/2019. Se DataskyddsL 3 kap.

57 §
Myndigheternas rätt att få information

Trots vad som i lag föreskrivs om tystnadsplikt ska

1) myndigheterna till de enligt denna lag behöriga myndigheterna lämna ut uppgifter som dessa kan använda när säkerhetsutredningar görs och därtill hörande kontroll genomförs,

2) de behöriga myndigheterna i syfte att göra en enskild säkerhetsutredning utbyta uppgifter som är tillgängliga enligt denna lag.

För att göra säkerhetsutredningar av personer och säkerhetsutredningar av företag samt i samband med kontroll enligt 51 § har den behöriga myndigheten rätt att få information av den registeransvarige för kreditupplysningsregistret.

De uppgifter som avses i 1 och 2 mom. får lämnas ut också med hjälp av teknisk anslutning.

58 §
Anmälnings- och åtgärdsskyldighet för arbetsgivaren och ett företag som fått ett intyg över säkerhetsutredning av företaget

Arbetsgivaren på vars ansökan över en arbetstagare har gjorts en säkerhetsutredning av person eller på basis av vilken det har utfärdats ett intyg över säkerhetsutredning av person ska anmäla om att anställningsförhållandet har upphört till den myndighet som gjort säkerhetsutredningen av person eller har utfärdat intyget över säkerhetsutredning av person.

Om intyget över säkerhetsutredning av person har återkallats, ska arbetsgivaren på vars ansökan intyget över säkerhetsutredning har utfärdats se till att intyget över säkerhetsutredning av person returneras till den myndighet som har utfärdat intyget.

Om ett intyg över säkerhetsutredning av företag har återkallats, ska det företag som utredningen gäller returnera det intyg över säkerhetsutredning av företag som företagit erhållit till den myndighet som har utfärdat intyget.

59 §
Sekretess

I ett ärende som har samband med en säkerhetsutredning ska på sekretess och förbud mot att utnyttja i fråga om den som har erhållit uppgifterna med stöd av lag, tillämpas bestämmelserna i 22–24 § i lagen om offentlighet i myndigheternas verksamhet även i de fall när någon annan än en myndighet enligt 4 § i den lagen har erhållit handlingarna och uppgifterna.

Utöver vad som föreskrivs i 1 mom. ska ett företag som mottagit ett intyg över säkerhetsutredning av företag, företagets ansvarspersoner, de som är anställda vid företaget och de som utför arbetsuppgifter på uppdrag av företaget hemlighålla sådant de fått kännedom om i samband med de arbetsuppgifter med avseende på vilka ett intyg över säkerhetsutredning av företag har utfärdats eller visats upp.

60 §
Avgifter för säkerhetsutredningar

För säkerhetsutredningar som de behöriga myndigheterna gör med stöd av denna lag och för Kommunikationsverkets sakkunniguppgifter i samband med säkerhetsutredningar av företag tas det hos sökanden ut en avgift med iakttagande av lagen om grunderna för avgifter till staten (150/1992). Den som utredningen gäller svarar dock för kostnaderna i samband med genomförande av en säkerhetsutredning av företag, om utredningen har gjorts på ansökan av en myndighet.

2 mom. har upphävts genom L 11.11.2016/931. (11.11.2016/931)

61 §
Hänvisning till straffbestämmelser

Till straff för brott mot tystnadsplikten enligt 59 § döms enligt 38 kap. 1 eller 2 § i strafflagen, om inte gärningen utgör brott enligt 40 kap. 5 § i strafflagen eller om inte strängare straff för den föreskrivs någon annanstans i lag. Som brott mot tystnadsplikten enligt 1 mom. betraktas också brott mot en förbindelse som avses i 40 §.

Bestämmelser om straff för personregisterbrott finns i 38 kap. 9 § i strafflagen och om straff för personregisterförseelse i 48 § 2 mom. i personuppgiftslagen.

62 §
Ändringssökande

En behörig myndighets beslut enligt denna lag får överklagas genom besvär hos förvaltningsdomstolen så som föreskrivs i förvaltningsprocesslagen (586/1996).

En behörig myndighets beslut genom vilket den vägrat göra en säkerhetsutredning eller ett beslut som skyddspolisen fattat i ett ärende som avses i 22 § får inte överklagas genom besvär. Ett beslut om vägran att utfärda intyg över säkerhetsutredning får överklagas genom besvär bara om intyget enligt lag eller en bestämmelse som utfärdats med stöd av lag är ett villkor för att någon ska kunna utses till en tjänst eller väljas till ett uppdrag eller för skötseln av en sådan tjänst eller ett sådant uppdrag där den som utses eller väljs enligt en internationell förpliktelse som gäller informationssäkerhet ska ha ett intyg över säkerhetsutredning.

Ett beslut som gäller utfärdande och återkallelse av ett intyg över säkerhetsutredning får överklagas av den som ansökt om säkerhetsutredning och av den som utredningen gäller.

En myndighet vars beslut förvaltningsdomstolen har upphävt eller ändrat får för att bevara en enhetlig tillämpning av lagen överklaga förvaltningsdomstolens beslut.

FörvaltningsprocessL 586/1996 har upphävts genom L om rättegång i förvaltningsärenden 808/2019 som gäller fr.o.m. 1.1.2020.

10 kap

Ikraftträdande- och övergångsbestämmelser

63 §
Ikraftträdande

Denna lag träder i kraft den 1 januari 2015. Genom denna lag upphävs lagen om säkerhetsutredningar (177/2002).

Åtgärder som krävs för verkställigheten av denna lag får vidtas innan lagen träder i kraft.

64 §
Övergångsbestämmelser

På ärenden som har anhängiggjorts före ikraftträdandet av denna lag tillämpas den lag som gällde vid ikraftträdandet. Det register över säkerhetsutredningar som avses i 48 § och den tillhörande databehandlingen ska sättas i lagenligt skick inom två år från ikraftträdandet.

Uppgifter om sådana säkerhetsutredningar som överlämnats med stöd av den lag om säkerhetsutredningar (177/2002) som upphävs och sådana intyg som utfärdats med stöd av lagen om internationella förpliktelser som gäller informationssäkerhet får överföras till registret över säkerhetsutredningar, om utredningarna har överlämnats och intygen utfärdats tidigast tre år före denna lags ikraftträdande.

Innan registret över säkerhetsutredningar har satts i lagenligt skick får de behöriga myndigheterna trots sekretessbestämmelserna till varandra även på elektronisk väg lämna ut eller annars behandla sådana uppgifter om i 3 mom. avsedda säkerhetsutredningar och intyg som behövs för att fullgöra skyldigheterna enligt 10 § i denna lag.

RP 57/2013, FvUB 16/2014, RSv 79/2014

Ikraftträdelsestadganden:

21.8.2015/1100:

Denna lag träder i kraft den 1 januari 2017.

RP 22/2014, FvUVB 57/2014, RSv 351/2014

11.11.2016/931:

Denna lag träder i kraft den 1 januari 2017.

På sådana ansökningar om säkerhetsutredningar som var anhängiga när lagen trädde i kraft tillämpas de bestämmelser om avgifter för säkerhetsutredningar som gällde vid lagens ikraftträdande.

RP 122/2016, FvUB 14/2016, RSv 109/2016

19.12.2017/949:

Denna lag träder i kraft den 1 januari 2018.

RP 70/2017, FvUB 23/2017, RSv 122/2017

10.8.2018/622:

Denna lag träder i kraft den 15 augusti 2018.

RP 49/2018, EkUB 11/2018, RSv 70/2018, Europaparlamentets och rådets direktiv 2016/943/EU (32016L0943); EUVL L 157, 15.6.2016, s. 1

15.3.2019/340:

Denna lag träder i kraft den 1 april 2019.

RP 13/2018, GrUU 52/2018, FsUB 3/2018, RSv 231/2018

10.5.2019/634:

Denna lag träder i kraft den 1 juni 2019.

RP 242/2018, FvUB 39/2018, GrUU 51/2018, RSv 318/2018

10.5.2019/649:

Denna lag träder i kraft den 1 juni 2019.

RP 241/2018, FvUB 40/2018, RSv 314/2018

10.5.2019/656:

Denna lag träder i kraft den 1 juni 2019.

RP 259/2018, FvUB 41/2018, RSv 321/2018, Europaparlamentets och rådets direktiv (EU) 2016/680 (32016L0680); EUT L 119, 4.5.2016, s. 89

9.8.2019/910:

Denna lag träder i kraft den 1 januari 2020.

RP 284/2018, FvUB 38/2018, RSv 320/2018

Finlex ® är en offentlig och gratis internettjänst för rättsligt material som ägs av justitieministeriet.
Innehållet i Finlex produceras och upprätthålls av Edita Publishing Ab. Varken justitieministeriet eller Edita svarar för eventuella fel i innehållet i databaserna, för den omedelbara eller medelbara skada som orsakas av att felaktig information används eller för avbrott i användningen av eller andra störningar i Internet.