Esityksessä ehdotetaan, että eduskunta hyväksyisi Tanskan, Suomen, Islannin, Norjan, ja Ruotsin välisen yleisen turvallisuussopimuksen turvallisuusluokitellun tiedon vastavuoroisesta suojaamisesta ja vaihtamisesta sekä lain sopimuksen lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta.

Sopimuksen tarkoituksena on suojata turvallisuusluokiteltua tietoa, jota kaksi tai useampi sopimuspuolena oleva Pohjoismaa vaihtaa keskenään tai jota Pohjoismaiden lainkäyttövaltaan kuuluvat hankeosapuolet vaihtavat keskenään ulko-, puolustus-, turvallisuus- ja poliisiasioissa tai tiede-, elinkeino- ja teknologiayhteistyössä tai jota tuotetaan tai syntyy vaihdettavan tiedon perusteella. Kysymys on erityissuojattavista tietoaineistoista, jotka lähettävässä sopimusvaltiossa on erikseen luokiteltu korkeaa tietoturvallisuuden tasoa edellyttäviksi.

Sopimus tulee voimaan kolmantenakymmenentenä päivänä siitä päivästä, jona viimeinen allekirjoittajahallitus on tallettanut ratifioimis- tai hyväksymiskirjansa. Sopimuksen voimaantuloon saakka sopimuspuoli voi ilmoittaa ratifioimis- tai hyväksymiskirjaansa tallettaessaan tai myöhemmin, että se katsoo sopimuksen sitovan sitä sen suhteissa muuhun sopimuspuoleen, joka on tehnyt samanlaisen ilmoituksen. Ilmoitukset tulevat voimaan kolmantenakymmenentenä päivänä siitä päivästä, jona ne on vastaanotettu. Esityksessä ehdotetaan, että Suomi jättäisi mainitun ilmoituksen. Sopimuksen voimaansaattamislaki on tarkoitettu tulemaan voimaan tasavallan presidentin asetuksella säädettävänä ajankohtana samaan aikaan kuin sopimus tulee voimaan.

---

Tietoturvallisuudella tarkoitetaan yleisesti ottaen kaikkia sellaisia menettelyjä, joiden avulla turvataan informaation sisällön suojaaminen ulkopuolisilta (tiedon luottamuksellisuus), tiedon muuttumattomuus (tiedon eheys) sekä tiedon käytettävyys. Tietoturvallisuuden varmistamiseksi käytetään erilaisia keinoja, joista tavallisimmat ovat henkilöstön luotettavuuden ja toimitilojen turvallisuuden varmistaminen, salassapitosäännökset ja tietojen käytön rajoittaminen vain sovittuun tarkoitukseen sekä erilaiset tietojen käsittelyyn ja siirtoon liittyvät menettelytapavaatimukset. Tietoturvallisuusvaatimukset kattavat informaation koko elinkaaren, toisin sanoen tietojen hankkimisen, muokkaamisen, käytön, luovutuksen, arkistoinnin ja hävittämisen.

Kansainväliseen yhteistyöhön liittyviin asiakirjoihin sisältyy salassa pidettäviä tietoja, joiden luvaton paljastuminen voi aiheuttaa merkittävää ja laajalle ulottuvaa vahinkoa keskeisille yleisille eduille. Tällaisten aineistojen asianmukaisesta käsittelystä on sen vuoksi pidettävä erityistä huolta. Kysymys on Suomen luotettavuudesta kansainvälisen yhteistyön osapuolena.

Kansainvälinen tietoturvallisuusyhteistyö, johon Suomikin osallistuu, käsittää perinteisesti diplomaattiseen toimintaan samoin kuin puolustus- ja poliisihallintojen väliseen yhteistyöhön liittyvän ei-julkisen tiedonvaihdon suojaamisen. Välittömän valtiovastuun piiriin kuuluvien kysymysten lisäksi kansainvälisillä tietoturvallisuusvelvoitteilla on kasvava merkitys myös taloudellisen, teollisen ja teknologisen yhteistyön kannalta. Yhä useampiin yritystason hankkeisiin liittyy turvallisuussuojatun tiedon hyödyntämistä. Näin on etenkin silloin, kun kyse on sellaisesta viranomaisen hankinnasta, jossa valtion suojattuja tietoja on annettava yritykselle kaupallisen sopimuksen toteuttamista varten. Tällaisia ovat perinteisesti olleet erityisesti puolustusalan hankinnat, mutta sektori on laajenemassa.

Pyrkimyksistä huolimatta ei ole osoittautunut mahdolliseksi toteuttaa tietoturvallisuusalan monenkeskistä yleissopimusta. Pääasiallinen syy tähän on kansallisten lainsäädäntöjen ja hallintorakenteiden ja -tapojen eroavaisuudet, jotka puolestaan heijastelevat tietoturvallisuuden sensitiivisyyttä osana kansallista kokonaisturvallisuutta.

Yleissopimuksen puuttuminen on siten pakottanut valtiot, Suomi mukaan luettuna, etsimään kahdenvälisiä sopimusratkaisuja. Suomi on tehnyt ensimmäisen kahdenvälisen tietoturvallisuussopimuksensa Saksan liittotasavallan kanssa vuonna 2004. Sopimus tuli voimaan 16 päivänä heinäkuuta 2004 (SopS 96 ja 97/2004). Vuotta myöhemmin allekirjoitettiin Suomen ja Ranskan välinen sopimus, joka puolestaan tuli voimaan 1 päivänä elokuuta 2005 (SopS 66 ja 67/2005). Kumpikin suuri Euroopan unionin (EU) jäsenvaltio on Suomelle tärkeä yhteistyökumppani niin turvallisuushallinnon kuin taloudellisen vuorovaikutuksenkin aloilla.

Tietoturvallisuustarpeiden painottumista enenevässä määrin myös taloudelliseen toimintaan ilmentää Suomen ja Euroopan Avaruusjärjestön (ESA) välinen yhteistyösopimus, jäljempänä ESA:n tietoturvallisuussopimus, niin ikään vuodelta 2004 (SopS 94 ja 95/2004). Sopimuksen eräs keskeinen tavoite on turvata Suomen elinkeinoelämän mahdollisuudet osallistua tasavertaisesti muiden jäsenvaltioiden kanssa ESA:n turvallisuusluokiteltuihin tarjouskilpailuihin. Tietoturvallisuussopimus on tehty myös Länsi-Euroopan unionin (WEU) kanssa (SopS 41 ja 42/1998) ja Eurooppalaisen puolustusmateriaaliyhteistyöjärjestön (OCCAR) kanssa (SopS 109 ja 110/2008).

Mainittujen sopimusten lisäksi Suomi on tehnyt voimassaolevan tietoturvallisuussopimuksen Slovakian (SopS 116 ja 117/2007), Viron (SopS 12 ja 13/2008), Italian (SopS 23 ja 24/ 2008), Latvian (SopS 33 ja 34/2008), Puolan (SopS 46 ja 47/2008), Bulgarian (SopS 116 ja 117/2008), Slovenian (SopS 22 ja 23/2009), Taekin (SopS 53 ja 54/2009) ja Espanjan (SopS 38 ja 39/2010) kanssa. Allekirjoittamista odottaa sopimus Alankomaiden kanssa. Vireillä on lisäksi neuvottelut tietoturvallisuussopimuksesta Ison-Britannian, Luxemburgin ja Sveitsin kanssa. Myös EU:n jäsenvaltioiden välillä on vireillä hanke turvallisuusluokitellun tiedon suojaamista koskevaksi sopimukseksi.

Tanskan, Suomen, Islannin, Norjan ja Ruotsin välinen yleinen turvallisuussopimus allekirjoitettiin Oslossa 7 päivänä toukokuuta 2010.

Lain yleinen soveltamisala

Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) säädettiin osana Suomen ja Saksan välisen tietoturvallisuussopimuksen sekä ESA:n tietoturvallisuussopimuksen voimaansaattamista. Laki katsottiin tarpeelliseksi muun ohella sen vuoksi, että kansainvälisten sopimusten täytäntöön panemiseksi on tarve poiketa asiakirjajulkisuuteen ja -turvallisuuteen perustuvista kansallisista järjestelyistä, jotka perustuvat pääosin viranomaisten toiminnan julkisuudesta annettuun lakiin (621/1999), jäljempänä julkisuuslaki.

Lakia kansainvälisistä tietoturvallisuusvelvoitteista sovelletaan erityissuojattaviin tietoaineistoihin. Näillä tarkoitetaan salassa pidettäviä asiakirjoja ja materiaaleja sekä niihin sisältyviä tietoja, jotka on kansainvälisen turvallisuusvelvoitteen mukaisesti turvallisuusluokiteltu. Erityissuojattavaa tietoaineistoa ovat näin ollen Suomen viranomaiselle toimitetut asiakirjat ja niihin sisältyvät tiedot, joihin lähettäjä on kansainvälisen, Suomea sitovan sopimuksen tai muun kansainvälisen velvoitteen mukaisesti tehnyt turvallisuusluokkaa koskevan merkinnän. Lakia voidaan soveltaa vain, jos kansainvälinen sopimus on saatettu Suomessa voimaan perustuslaissa säädetyllä tavalla tai jos kysymys on Suomea muutoin sitovasta kansainvälisestä velvoitteesta.

Lain soveltamisalan piiriin kuuluvia erityissuojattavia tietoaineistoja ovat lisäksi Suomen viranomaisen tai lain soveltamisalan piiriin kuuluvan elinkeinonharjoittajan laatimat asiakirjat, joista ilmenee Suomeen toimitettuihin asiakirjoihin sisältyviä tai materiaalista saatavissa olevia tietoja. Lain soveltamisalan piiriin kuuluvat niin ikään asiakirjat ja materiaalit, jotka on Suomessa tuotettu salassa pidettävän turvallisuusluokitellun tiedon perusteella.

Laissa säädettyjä turvallisuusvelvoitteita sovelletaan silloinkin, kun sopimus tai säädös, johon säännösten soveltaminen perustuu, ei enää ole voimassa (15 §). Soveltaminen jatkuu niin kauan kuin se turvallisuusluokituksen perusteena olevan yleisen edun vuoksi on tarpeen.

Lain suhde julkisuuslainsäädäntöön

Kansainvälisistä tietoturvallisuusvelvoitteista annettuun lakiin sisältyy useita kansallisten asiakirjojen tietoturvallisuudesta annetuista säännöksistä poikkeavia säännöksiä. Laissa on kuitenkin yleinen viittaussäännös julkisuuslakiin. Niiltä osin kuin suomalaisten viranomaisten asiakirjoihin sisältyy muita kuin kansainvälisten tietoturvallisuusvelvoitteiden piiriin kuuluvia tietoja kansainvälisestä yhteistyöstä, on sovellettava julkisuuslain ja sen nojalla annettuja säännöksiä. Laissa on myös erityissäännös, joka koskee päätöksentekovaltaa siinä tilanteessa, jossa tietoja pyydetään julkisuuslain nojalla erityissuojattavasta aineistosta. Julkisuuslain mukaan tiedonsaantia koskevan pyynnön voi käsitellä ja ratkaista se viranomainen, jonka hallussa asiakirja on. Tiedonsaantipyyntö voidaan kuitenkin siirtää toisen viranomaisen ratkaistavaksi julkisuuslain 15 §:ssä säädetyissä tilanteissa.

Lain soveltaminen elinkeinonharjoittajiin

Lakia sovelletaan viranomaisten lisäksi myös elinkeinonharjoittajaan ja tämän palveluksessa olevaan silloin, kun elinkeinonharjoittaja on sopimusosapuolena turvallisuusluokitellussa sopimuksessa tai osallistuu tällaista sopimusta edeltävään hankintakilpailuun tai toimii tällaisen elinkeinonharjoittajan alihankkijana (1 § 2 mom.).

Turvallisuusluokitellulla sopimuksella tarkoitetaan sopimusta, jonka toisen valtion viranomainen tai siinä kotipaikkaansa pitävä yritys taikka kansainvälinen järjestö tai toimielin aikoo tehdä tai on tehnyt kansainvälisessä tietoturvallisuusvelvoitteessa tarkoitetulla tavalla Suomessa kotipaikkaansa pitävän elinkeinonharjoittajan kanssa, jos tarjouskilpailuun osallistuminen tai sopimuksen toteuttaminen voi edellyttää pääsyä erityissuojattavaan tietoaineistoon (2 § 3 kohta).

Lain mukaan elinkeinonharjoittaja voi pyytää yhteisöturvallisuusselvityksen ja arvion tekemistä voidakseen osallistua toisen valtion viranomaisen tai siinä kotipaikkaansa pitävän yrityksen järjestämään tarjouskilpailuun riippumatta siitä, onko Suomi tehnyt kyseisen valtion kanssa sopimuksen, jossa on määräyksiä tietoturvallisuusvelvoitteista (1 § 3 mom.). Säännöksen tarkoituksena on turvata suomalaisten yritysten kilpailumahdollisuudet hankinnoissa silloinkin, kun hankintaan sovellettavissa olevaa kansainvälistä tietoturvallisuussopimusta ei ole. Useimmat valtiot kuitenkin edellyttävät kahdenvälisen tietoturvallisuussopimuksen olemassa oloa ulkomaisen turvallisuustodistuksen hyväksymiseksi.

Elinkeinonharjoittajalla ja tämän palveluksessa tai toimeksiannosta toimivalla on erityissuojattavia tietoaineistoja koskeva salassapitovelvollisuus (6 ja 7 §). Elinkeinonharjoittajalla on myös velvollisuus kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi antaa tietoja sekä sallia viranomaisen ja kansainvälisen toimielimen tai sopimusvaltion edustajan tutustuminen turvallisuusjärjestelyihinsä ja toimitiloihinsa (16 § 2 mom., 18 § 2 mom.).

Lain täytäntöönpanoviranomaiset

Laissa on säännökset (4 §) niistä viranomaisista, jotka huolehtivat kansainvälisten tietoturvallisuusvelvoitteiden hoitamisesta. Kansallisena turvallisuusviranomaisena (National Security Authority, NSA) kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseen liittyvissä tehtävissä toimii ulkoasiainministeriö. Puolustusministeriö, pääesikunta, suojelupoliisi ja Viestintävirasto toimivat määrättyinä turvallisuusviranomaisina (Designated Security Authority, DSA). Näille viranomaisille voi kuulua muun ohella tarjous- ja hankintamenettelyihin liittyvien asiakirjojen turvallisuusluokittelu.

Henkilöturvallisuuteen liittyvien turvallisuusselvitysten laadinnasta huolehtivat suojelupoliisi ja pääesikunta (11 §). Yhteisöturvallisuusselvityksen laadinta kuuluu lain mukaan suojelupoliisille, paitsi silloin, kun kyse on puolustukseen liittyvästä hankinnasta, jolloin selvitysten tekemisestä huolehtii pääesikunta (12 §). Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 5 § 2 momentin mukaan kansallinen turvallisuusviranomainen ja tehtävään määrätyt turvallisuusviranomaiset voivat sen estämättä, mitä muun muassa toimivallasta yhteisöturvallisuusselvitysten laadinnasta säädetään, sopia tietyn tehtävän tai tehtäväkokonaisuuden hoitamisesta toisen turvallisuusviranomaisen lukuun, jos järjestely on tarpeen tehtävien hoitamiseksi tarkoituksenmukaisesti, taloudellisesti ja joutuisasti.

Laissa ei aiemmin määritelty viranomaista, jonka tehtävänä olisi arvioida tietojärjestelmien ja tietoliikennejärjestelyjen turvallisuutta. Eduskunnan 1 päivänä lokakuuta 2010 hyväksymässä kansainvälisistä tietoturvallisuusvelvoitteista annetun lain muuttamisesta annetun lain (8852010) 4 §:n 1 momentissa Viestintävirasto nimettiin määrätyksi turvallisuusviranomaiseksi.

Laissa kansainvälisistä tietoturvallisuusvelvoitteista on säännökset viranomaisia ja elinkeinonharjoittajaa koskevasta tiedonantovelvollisuudesta (16 §). Säännösten tarkoituksena on varmistaa, että toimivaltaiset turvallisuusviranomaiset voisivat saada niille kuuluvien tehtävien hoitamiseksi tarpeelliset tiedot. Viranomaiset voivat myös salassapitovelvollisuuden estämättä antaa kansainväliseen tietoturvallisuusvelvoitteeseen perustuvaa yhteistyötä varten salassa pidettäviä tietoja ulkomaiselle sopimuspuolelle (17 §). Viranomaisella on myös oikeus sallia kansainväliseen tietoturvallisuusvelvoitteeseen perustuva kansainvälisen järjestön, toimielimen tai sopimusvaltion edustajan tutustuminen viranomaisen toteuttamiin turvallisuusjärjestelyihin ja toimitiloihin riippumatta siitä, mitä turvallisuusjärjestelyjen salassapidosta säädetään taikka säädetään tai määrätään pääsystä tiloihin, joissa käsitellään tai säilytetään salassa pidettäviä tietoja (18 §).

Kansallisen turvallisuusviranomaisen on lain mukaan ilmoitettava kansainvälisessä tietoturvallisuusvelvoitteessa tarkoitetuissa tapauksissa toiselle sopimuspuolelle tietoonsa tulleesta turvallisuusluokiteltujen tietojen suojan vaarantumisesta ja tietoturvallisuutta koskevan määräyksen loukkaamisesta sekä ryhdyttävä toimenpiteisiin asian selvittämiseksi samoin kuin rangaistavaan tekoon syyllistyneen syytteeseen saattamiseksi (19 §).

Tietojen salassapito ja käytön sääntely

Aiemmin laki kansainvälisistä tietoturvallisuusvelvoitteista lähti siitä, että erityissuojattava tietoaineisto on pidettävä salassa (6 § 1 mom.). Salassapitovelvollisuus koskee myös elinkeinonharjoittajaa tämän ollessa hankeosapuolena turvallisuusluokitellussa sopimuksessa.

Suomen tekemissä, käytännössä kahdenvälissä sopimuksissa, jotka koskevat eri maiden viranomaisten välistä salassapidettävien tietojen vaihtoa, on säännönmukaisesti määräys, joka rajoittaa luovutettujen tietojen käyttöä. Tämän mukaisesti erityissuojattavaa tietoaineistoa saa käyttää ja luovuttaa vain siihen tarkoitukseen, jota varten se on annettu, jollei se, joka on määritellyt aineiston turvallisuusluokan, ole antanut muuhun suostumustaan (6 § 2 mom.). Erityissuojattavien tietoaineistojen käyttöä koskee siten vahva käyttötarkoitussidonnaisuus.

Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 6 §:n 1 momenttia muutettiin lokakuussa 2010 siten, että tiedon salassapito on riippuvainen kunkin sopimuksen tai kansainvälisen velvoitteen sisällöstä (HE 53/2010 vp – EV 135/2010 vp.). Lainmuutos oli edellytyksenä muun muassa kyseessä olevan Pohjoismaiden välisen yleisen turvallisuussopimuksen hyväksymiselle ja voimaansaattamiselle Suomessa, koska sopimus ei edellytä tiedon ehdotonta salassapitoa. Muutos on tullut voimaan 1 päivänä marraskuuta 2010.

Turvallisuusluokittelu ja -toimenpiteet

Laissa säädetään velvollisuudesta merkitä erityissuojattavaan tietoaineistoon sen turvallisuusluokka. Tietoaineistoon tehty merkintä turvallisuusluokasta osoittaa minkälaisia toimenpiteitä aineistoa käsiteltäessä on noudatettava (8 §). Mitä korkeampaan turvallisuusluokkaan aineisto kuuluu, sitä tiukempia tietoturvallisuustoimenpiteitä edellytetään. Laissa on yleinen velvoite toteuttaa tietoaineiston käsittelyssä sen turvallisuusluokkaa koskevia käsittelymääräyksiä sekä valtuus säätää erityissuojattavan tietoaineiston käsittelyssä noudatettavista turvallisuusluokitusta vastaavista teknisistä turvallisuustoimenpiteistä valtioneuvoston asetuksella (9 §). Tietoturvallisuudesta valtionhallinnossa annetun valtioneuvoston asetuksen (681/2010), jäljempänä tietoturvallisuusasetus, 11 §:ssä on säädetty turvallisuusluokitusmerkintää koskevista erityissäännöksistä ja 12 §:ssä turvallisuusluokituksen vastaavuudesta.

Turvallisuusluokiteltuja aineistoja käsiteltäessä on lain mukaan huolehdittava siitä, että tietoja säilytetään asianmukaisissa tiloissa. Tilojen turvallisuusvaatimuksista on säädetty tietoturvallisuusasetuksen 14 §:ssä.

Lakiin kansainvälisistä tietoturvallisuusvelvoitteista on kirjattu kansainvälisissä sopimuksissa yleinen vaatimus siitä, että turvallisuusluokiteltuja tietoja viranomaisissa käsiteltäessä noudatetaan suurta pidättyvyyttä ja että tietoihin annetaan pääsy vain niille, jotka tarvitsevat tietoja tehtäviensä hoitamisessa. Nämä henkilöt on nimettävä etukäteen, jos sopimuksessa tätä edellytetään. Sama koskee myös 1 §:n 2 momentissa tarkoitettua elinkeinonharjoittajaa (6 § 3 mom.).

Henkilöturvallisuus

Kansainvälisessä tietoturvallisuusvelvoitteessa edellytetty henkilöturvallisuutta koskeva turvallisuusselvitys tehdään siten kuin turvallisuusselvityksistä annetussa laissa (177/2002) ja sen nojalla säädetään. Siten esimerkiksi selvityksen kohteena olevan henkilön oikeudet määräytyvät sanotun lain mukaisesti.

Kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa on kuitenkin kaksi säännöstä, jotka ovat erityissäännöksiä suhteessa turvallisuusselvityksistä annettuun lakiin. Suppea turvallisuusselvitys on mahdollista laatia muissakin kuin turvallisuusselvityksistä annetun lain 19 §:ssä luetelluissa tapauksissa, jos se on tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi (11 § 1 mom.). Toinen erityissäännös koskee viranomaisten toimivaltaa. Turvallisuusselvityksen tekee pääesikunta silloin, kun turvallisuusselvityksen laatiminen on tarpeen puolustushallintoa tai puolustushankintoja koskevan kansainvälisen velvoitteen toteuttamiseksi. Muissa tapauksissa henkilöön liittyvien turvallisuusselvitysten laadinnasta huolehtii suojelupoliisi (11 § 2 mom.). Turvallisuusselvityksistä annetun lain 10 §:n 2 momentin mukaan turvallisuusselvitykseen ei saa sisällyttää selvityksen laatineen viranomaisen arviota selvityksen kohteena olevan henkilön luotettavuudesta tai sopivuudesta virkaan tai tehtävään, ellei lain 9 §:ssä tarkoitettu valtiosopimus tai muu kansainvälinen velvoite tätä edellytä. Koska pääsääntönä on, että turvallisuusselvitys ei sisällä arviota henkilön luotettavuudesta, laissa kansainvälisistä tietoturvallisuusvelvoitteista on erikseen mainittu henkilön luotettavuuden arviointi. Tällaisen arvion tekee turvallisuusselvityksen perusteella kansallinen turvallisuusviranomainen tai, jos turvallisuusviranomaisten välillä on niin sovittu, tehtävään määrätty turvallisuusviranomainen (11 § 3 mom.).

Arvioinnin perusteella annetaan henkilöturvallisuutta koskeva todistus (Personal Security Clearance Certificate). Se toimitetaan tavanomaisimmin sopimuspuolen turvallisuusviranomaiselle sopimuksen osoittamalla tavalla. Laissa kansainvälisistä tietoturvallisuusvelvoitteista on myös säännökset todistuksen antamisesta henkilölle itselleen (14 §).

Yhteisöturvallisuusselvitys

Yhteisöturvallisuusselvityksellä varmistetaan elinkeinonharjoittajan toimitilojen ja käsittelykäytäntöjen asianmukaisuus sekä henkilöstön osaaminen. Elinkeinonharjoittajan luotettavuuden arvioinnilla varmistutaan erityisesti siitä, kuinka hyvin tämä pystyy huolehtimaan turvallisuusluokiteltujen tietojen suojaamisesta. Yhteisöturvallisuusmenettely ja siihen perustuva arvio toteutetaan pääosin elinkeinonharjoittajalta itseltään saatujen tietojen perusteella sekä tämän toimitilojen turvallisuuden kartoituksella, ja tarvittavista toimenpiteistä huolehditaan elinkeinonharjoittajan kanssa tehtävän sopimuksen avulla. Selvityksen laatii puolustushallinnon alaan kuuluvissa asioissa pääesikunta ja muulloin suojelupoliisi. Selvitystä laadittaessa on otettava huomioon kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa yksilöidyt seikat, muun muassa se, miten suojataan turvallisuusluokiteltuja tietoja oikeudettomalta ilmitulolta, muuttamiselta ja hävittämiseltä, ja miten estetään asiaton pääsy tiloihin, joissa turvallisuusluokiteltuja tietoja käsitellään tai joissa harjoitetaan turvallisuusluokitellussa sopimuksessa tarkoitettua toimintaa (12 §).

Pääesikunta voi tehdä lain soveltamisalan piiriin kuuluvan elinkeinonharjoittajan kanssa sopimuksen, jossa elinkeinonharjoittaja sitoutuu toimenpiteisiin kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi (13 §). Sopimuksessa voidaan yksityiskohtaisemmin määritellä ne toimenpiteet, jotka elinkeinonharjoittaja toteuttaa täyttääkseen kansainvälisistä tietoturvallisuusvelvoitteista johtuvat vaatimukset. Sopimuksessa elinkeinonharjoittaja sitoutuu myös tekemään ne mahdolliset tarkistukset toimintaansa, jotka toiminnan turvallisuuskartoituksessa on havaittu. Turvallisuusselvityksen ja mahdollisen sopimuksen jälkeen pääesikunta voi tehdä arvion elinkeinonharjoittajan luotettavuudesta ja antaa tätä koskevan turvallisuustodistuksen (Facility Security Clearance Certificate). Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 13 §:n muutosesityksen johdosta vastaava sitoutumismenettely tulee toteutumaan myös suojelupoliisin suorittamissa yhteisöturvallisuusselvityksissä.

Henkilöstöturvallisuuteen liittyvistä turvallisuusselvityksistä säädetään turvallisuusselvityksistä annetussa laissa. Lain tarkoituksena on turvallisuusselvitysmenettelyä käyttämällä parantaa mahdollisuuksia ennakolta estää rikokset, jotka vakavasti vahingoittaisivat keskeisiä yleisiä tai yksityisiä etuja taikka erittäin merkittävää tietoturvallisuutta.

Turvallisuusselvitys voidaan tehdä virkaan tai tehtävään hakeutuvasta, tehtävään tai koulutukseen otettavasta taikka virkaa tai tehtävää hoitavasta henkilöstä, ja se voi olla perusmuotoinen, laaja tai suppea. Turvallisuusselvitys tehdään laissa määritellyissä tapauksissa, kuten silloin, kun Suomea sitova valtiosopimus tai muu kansainvälinen velvoite edellyttää turvallisuusselvityksen tekemistä tai sen perusteella laaditun todistuksen esittämistä.

Yksityisyyden suojan perusoikeusluonteen vuoksi turvallisuusselvitysmenettely on tarkan muotosidonnaista. Turvallisuusselvitys voidaan tehdä vain selvityksen kohteena olevan henkilön etukäteen antaman, nimenomaisen ja kirjallisen suostumuksen perusteella. Myös turvallisuusselvitysmenettelyssä käytettävät rekisterit on laissa lueteltu tyhjentävästi.

Jokaisella on oikeus saada tieto siitä, onko hänestä tehty turvallisuusselvitys tiettyä tehtävää varten. Selvityksen kohteella on myös oikeus pyynnöstä saada toimivaltaiselta viranomaiselta perusmuotoisen tai laajan turvallisuusselvityksen tiedot. Tiedonsaantioikeus ei kuitenkaan koske sellaisesta rekisteristä peräisin olevaa tietoa, johon rekisteröidyllä ei ole tarkastusoikeutta.

Turvallisuusselvityslain kokonaistarkistusta varten on asetettu oikeusministeriön työryhmä. Työryhmälle annettuun tehtävään kuuluu turvallisuusselvityslain kehittäminen siten, että se vastaa Suomea sitovia velvoitteita ja kansainvälisesti yleisesti sovellettavia käytäntöjä. Työryhmän tavoitteena on antaa hallituksen esitys asiasta vuonna 2011.

Esityksen tavoitteena on saattaa voimaan Tanskan, Suomen, Islannin, Norjan ja Ruotsin välinen tietoturvallisuussopimus ja sillä tavoin parantaa Pohjoismaiden välistä yhteistyötä sekä turvata suomalaisten yritysten mahdollisuudet osallistua sellaisiin kansainvälisiin sekä Suomen ja muiden Pohjoismaiden välisiin hankkeisiin, joiden toteuttaminen saattaa edellyttää erityissuojattavien tietojen vaihtoa.

Sopimuksen voimaansaattamisen myötä muista Pohjoismaista Suomeen toimitettuihin turvallisuusluokiteltuihin tietoihin ja materiaaleihin sovellettaisiin lakia kansainvälisistä tietoturvallisuusvelvoitteista. Lakiin sisältyy erityissäännös, jonka mukaan toisen sopimuspuolen salassa pidettävät ja turvallisuusluokitellut asiakirjat ja niihin sisältyvät tiedot ovat myös Suomessa salassa pidettäviä. Säännös poikkeaa muodoltaan julkisuuslain yleistä etua koskevista salassapitosäännöksistä, joissa salassapito on useimmissa tapauksissa riippuvainen siitä, minkälaisia vaikutuksia tietojen antamisella olisi suojattavalle edulle. Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain mukainen salassapito on näin ollen sanamuodon mukaan kattavampi kuin yleisessä julkisuuslaissa. Lain 6 §:ää on kuitenkin muutettu 1. päivänä marraskuuta 2010 voimaantulleella lailla siten, että jatkossa erityissuojattava tietoaineisto on pidettävä salassa, jollei kansainvälisestä tietoturvallisuusvelvoitteesta muuta johdu. Pohjoismaiden välisessä sopimuksessa on kysymys asiakirjoista, joita jokin sopimuspuoli pitää salassa pidettävinä ja jotka se on määritellyt ja merkinnyt korkean tietoturvallisuuden tasoa edellyttäviksi. Tällaisia asiakirjoja on säännönmukaisesti pidettävä salaisina myös julkisuuslain 24 §:n 1 momentin 2 kohdan mukaan. Merkittävimpänä erona on se, että viranomaisella ei olisi kansainvälisessä tietoturvallisuusvelvoitteessa tarkoitettuun asiakirjaan kohdistuvaa tiedonsaantipyyntöä ratkaistessaan velvollisuutta erikseen perustella tiedon antamisesta aiheutuvaa vahinkoa. Tiedonsaantipyyntö olisi muutoin käsiteltävä julkisuuslain mukaisesti. Jos luokituksen oikeellisuudesta tai siitä, minkä asiakirjan tietojen vuoksi luokitusmerkintä on tehty, syntyy epäselvyyttä, viranomaisen on otettava yhteyttä asiakirjan laatineeseen sopimuspuoleen.

Edellä olevan perusteella voidaan arvioida, että Pohjoismaiden välisen tietoturvallisuussopimuksen voimaansaattamista koskeva lakiehdotus ei asiallisesti vaikuta kansalaisten tiedonsaantia vähentävästi suhteessa siihen, mitä tiedonsaanti yleisen lainsäädännön mukaan on.

Henkilöstöturvallisuus on keskeinen tietoturvallisuuden osa-alue. Koska jo laki kansainvälisistä tietoturvavelvoitteista edellyttää turvallisuusselvityksistä annetun lain mukaisen menettelyn käyttämistä henkilöstön luotettavuuden varmistamisessa, ehdotetun voimaansaattamislain hyväksyminen ei merkitsisi kansalaisten yksityiselämän ja henkilötietojen suojan kaventumista aikaisempaan verrattuna.

Sopimus antaa suomalaiselle teollisuudelle mahdollisuuden saada sellaisia tilauksia tai osallistua sellaisiin hankkeisiin, joiden toteuttaminen edellyttää pääsyä Pohjoismaiden turvallisuusluokiteltuihin tietoihin. Vastaavasti sopimus antaa muiden Pohjoismaiden teollisuudelle mahdollisuuden saada sellaisia tilauksia tai osallistua sellaisiin hankkeisiin, joiden toteuttaminen edellyttää pääsyä Suomen turvallisuusluokiteltuun tietoon.

Esityksellä ei ole vaikutusta valtion talousarvioon eikä muitakaan vähäistä merkittävämpiä taloudellisia vaikutuksia.

Esitykseen sisältyvän sopimuksen ja lain hyväksymisestä ei aiheudu hallintoa koskevia muutosvelvoitteita tai -tarpeita.

Valtioneuvoston yleisistunto päätti neuvotteluvaltuuskunnan asettamisesta 26 päivänä toukokuuta 2005. Suomen neuvotteluvaltuuskuntaan kuului jäseninä oikeusministeriön, kauppa- ja teollisuusministeriön, puolustusministeriön sekä ulkoasiainministeriön edustajia.

Sopimusneuvottelut alkoivat neuvotteluvaltuuskunnan asettamisen jälkeen Norjan vetäminä kesällä 2005 ja sopimus neuvoteltiinkin vuoden 2005 aikana pitkälti valmiiksi. Sopimuksen viimeistelyä hidasti kuitenkin Tanskan haluttomuus edetä, koska Tanskan viranomaiset eivät nähneet sopimukselle suurta tarvetta. Suomi ja Ruotsi ajoivat voimakkaasti sopimusneuvottelujen jatkamista, koska sopimuksella on merkitystä erityisesti maiden puolustushallinnoille.

Syksyllä 2008 neuvotteluja jatkettiin Oslossa. Neuvottelujen aikana sopimusta uudistettiin ja yksinkertaistettiin vastaamaan uusimpia tietoturvallisuusvaatimuksia. Suomella oli neuvotteluissa aktiivinen rooli oman mallisopimuksensa ansiosta. Sopimus saatiin valmiiksi ja se jäi odottamaan Tanskan suostumusta allekirjoitukselle. Kuluvan vuoden alussa Tanska ilmoitti, että se on valmis sopimuksen allekirjoittamiseen, ja sopimus allekirjoitettiin 7 päivänä toukokuuta 2010 Oslossa. Hallituksen esitys on valmisteltu virkatyönä ulkoasiainministeriössä. Sopimuksen valmisteluun ja sen neuvotteluun on osallistunut edustajia ulkoasiainministeriöstä, oikeusministeriöstä, puolustusministeriöstä sekä työ- ja elinkeinoministeriöstä.

Esityksestä on pyydetty lausunnot oikeusministeriöltä, työ- ja elinkeinoministeriöltä, puolustusministeriöltä, valtiovarainministeriöltä, sisäasiainministeriöltä, liikenne- ja viestintäministeriöltä, suojelupoliisilta, pääesikunnalta, Viestintävirastolta sekä Elinkeinoelämän keskusliitolta (EK). Lausunnot on otettu huomioon esitystä viimeisteltäessä.

1 artikla. Tarkoitus ja soveltamisala. Artiklan 1 kappaleessa määritellään sopimuksen tarkoitukseksi suojata kahden Pohjoismaan kesken vaihdettu tai sopimuspuolten lainkäyttövaltaan kuuluvien hankeosapuolten vaihtama turvallisuusluokiteltu tieto. Artiklassa määritellään myös ne toiminnot, joihin sopimusta sovelletaan. Näitä ovat ulko-, puolustus-, turvallisuus- tai poliisiasiat sekä tiede-, elinkeino- ja teknologiayhteistyöasiat. Rajaturvallisuuden ylläpitämisen katsotaan sisältyvän edellä mainittuihin aloihin. Sopimusta sovelletaan myös sellaisen tiedon välittämiseen, joka syntyy tai jota tuotetaan vaihdettavan tiedon perusteella. Artiklan 2 kappaleen mukaan sopimuspuoli ei voi vedota sopimukseen saadakseen turvallisuusluokiteltua tietoa, jota muut sopimuspuolet ovat saaneet kolmannelta sopimuspuolelta.

2 artikla. Määritelmät. Artiklassa määritellään sopimuksen soveltamisen kannalta keskeiset käsitteet.

Turvallisuusluokitellulla tiedolla tarkoitetaan missä tahansa muodossa olevaa tietoa, joka jonkin sopimuspuolen lainsäädännön mukaan on suojattava katoamiselta, luvattomalta ilmaisemiselta tai muulta vaarantumiselta, ja joka on merkitty turvallisuusluokitelluksi. Määritelmä kattaa myös turvallisuusluokitellun tiedon pohjalta tuotetun tiedon, asiakirjan tai muun aineiston. Kohta on sopusoinnussa kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 2 §:n 2 kohdan kanssa.

Lähettävällä sopimuspuolella tarkoitetaan sopimuspuolta tai sen lainkäyttövaltaan kuuluvaa muuta valtion viranomaista tai julkis- tai yksityisoikeudellista oikeushenkilöä, joka välittää turvallisuusluokiteltua tietoa. Vastaanottavalla sopimuspuolella tarkoitetaan sopimuspuolta tai muuta sen lainkäyttövaltaan kuuluvan valtion viranomaista tai julkis- tai yksityisoikeudellista oikeushenkilöä, jolle lähettävä sopimuspuoli välittää turvallisuusluokiteltua tietoa.

Turvallisuusluokitellulla sopimuksella tarkoitetaan sopimusta, johon sisältyy tai liittyy turvallisuusluokiteltua tietoa. Kohta on sopusoinnussa kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 2 §:n 3 kohdan kanssa.

Toimivaltaisella turvallisuusviranomaisella tarkoitetaan turvallisuusasioista vastaavaa hallituksen viranomaista. Suomessa mainittuna viranomaisena toimii kansainvälisistä tietoturvallisuusvelvoitteista annetun lain mukaan ulkoasiainministeriö, missä tehtävää hoitaa Kansallinen turvallisuusviranomainen. Tämän lisäksi puolustusministeriö, suojelupoliisi, pääesikunta ja Viestintävirasto toimivat määrättyinä turvallisuusviranomaisina.

Hankeosapuolella tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, joka on oikeustoimikelpoinen tekemään sopimuksia.

Tietoturvaloukkauksella tarkoitetaan kansallisten turvallisuusmääräysten vastaista tekoa tai laiminlyöntiä, jonka johdosta turvallisuusluokiteltu tieto saattaa vaarantua tai olla vaarassa paljastua.

Turvallisuusselvityksellä tarkoitetaan tutkintamenettelyyn perustuvaa myönteistä arviota siitä, että luonnolliselle henkilölle tai oikeushenkilölle voidaan sallia pääsy tiettyyn turvallisuusluokkaan kuuluvaan turvallisuusluokiteltuun tietoon sekä antaa oikeus käsitellä sitä asianomaisten kansallisten turvallisuusmääräysten mukaisesti. Suomessa suojelupoliisi ja pääesikunta huolehtivat henkilöiden taustojen selvittämisestä turvallisuusselvityksistä annetun lain nojalla.

Tiedonsaantitarpeella (need to know) tarkoitetaan periaatetta, jonka mukaan luonnollisille henkilöille voidaan sallia pääsy turvallisuusluokiteltuun tietoon ainoastaan heidän virkavelvollisuuksiensa tai tehtäviensä yhteydessä. Vastaavantyyppinen määritelmä sisältyy myös kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 6 §:n 3 momenttiin.

Kolmannella osapuolella tarkoitetaan toimielintä, kansainvälistä tai kansallista järjestöä, oikeushenkilöä tai valtiota, joka ei ole sopimuksen sopimuspuoli. Sopimuksen sopimuspuolta pidetään ”kolmantena osapuolena” yhteistyössä, johon kyseinen sopimuspuoli ei osallistu.

3 artikla. Turvallisuusluokitellun tiedon suojaaminen. Artiklan 1 kappaleessa asetetaan sopimuspuolille velvollisuus toteuttaa kansallisen lainsäädäntönsä mukaisesti asianmukaiset toimet suojatakseen sopimuksessa tarkoitetun turvallisuusluokitellun tiedon. Sopimuspuolet antavat kaikelle sopimuksessa tarkoitetulle turvallisuusluokitellulle tiedolle samantasoisen suojan, kuin omalle vastaavaan 5 artiklan mukaiseen turvallisuusluokkaan kuuluvalle tiedolleen. Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 8 §:ssä velvoitetaan viranomaista merkitsemään turvallisuusluokka erityissuojattavaan tietoaineistoon. Tietoturvallisuusasetuksen 11 §:ssä on säädetty tarkemmin turvallisuusluokitusmerkinnöistä sekä 12 §:ssä niiden vastaavuudesta kansainvälisiä tietoturvallisuusvelvoitteita toteutettaessa.

Pääsy turvallisuusluokkaan CONFIDENTIAL tai sitä ylempään luokkaan kuuluvaan turvallisuusluokiteltuun tietoon, sekä paikkoihin ja tiloihin, joissa säilytetään turvallisuusluokiteltuun tietoon liittyvää toimintaa, sallitaan artiklan 2 kappaleen mukaisesti ainoastaan henkilöille, joista on tehty turvallisuusselvitys ja joilla on tiedonsaantitarve. Määräys vastaa kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 6 §:n 3 momentin ja tietoturvallisuusasetuksen 13 §:n säännöksiä sekä tilojen turvallisuuden osalta lain 10 §:n ja asetuksen 14 §:n säännöksiä.

Artiklan 3 kappaleen mukaan sopimuspuolet tunnustavat vastavuoroisesti toistensa tekemät turvallisuusselvitykset. Henkilöturvallisuusselvityksistä on säädetty turvallisuusselvityksistä annetussa laissa ja yhteisöturvallisuusselvityksistä kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 12 §:ssä.

Artiklan 4 kappaleen mukaan sopimuspuolet valvovat turvallisuuslainsäädännön, -määräysten ja -käytäntöjen noudattamista lainkäyttövaltaansa kuuluvissa virastoissa, toimistoissa ja tiloissa, joissa säilytetään, kehitetään, tuotetaan ja/tai käytetään toisten sopimuspuolten turvallisuusluokiteltua tietoa.

4 artikla. Turvallisuusluokitellun tiedon ilmaiseminen ja käyttö. Artiklan 1 kappale velvoittaa sopimuspuolet noudattamaan luovuttajan suostumuksen periaatetta perustuslakiensa sekä muiden kansallisten lakiensa ja määräystensä mukaisesti. Sopimuspuolet eivät saa ilmaista sopimuksessa tarkoitettua turvallisuusluokiteltua tietoa kolmansille osapuolille tai muiden maiden kansalaisille sopimatta asiasta ensin kirjallisesti lähettävän sopimuspuolen kanssa. Sopimuspuolen toisille sopimuspuolille välittämää turvallisuusluokiteltua tietoa saa käyttää ainoastaan sille määrättyyn tarkoitukseen.

Kaikki valtiot eivät takaa sopimuksen perusteella tietojen ehdotonta salassapitoa, vaan asia jää kansalliseen lainsäädäntöön perustuvan tapauskohtaisen vahinkoedellytysharkinnan varaan. Esimerkiksi Ruotsissa kansallisen lainsäädännön (tryckfrihetsförordning SFS 1949:105) mukaan pääsääntönä on virallisten asiakirjojen – myös muista valtioista saatujen – julkisuus ja siitä voidaan poiketa ainoastaan, mikäli kansallinen turvallisuus tai Ruotsin suhteet ulkovaltoihin tai kansainvälisiin järjestöihin ovat vaarassa. Käytännössä Ruotsissa ei ole kuitenkaan koskaan toimittu vastoin vieraan valtion salassapitopyyntöä. Mikäli tällaista tietoa luovutettaisiin luvatta, voitaisiin sen katsoa vaarantavan Ruotsin suhteet kyseiseen valtioon, jolloin vahinkoedellytys täyttyisi.

Edellä olevan johdosta katsottiin, että edellytyksenä pohjoismaisen tietoturvallisuussopimuksen hyväksymiselle ja voimaansaattamiselle Suomessa olisi kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 6 §:n 1 momentin muuttaminen (HE 53/2010 vp). Hallituksen esityksessä 6 §:n muutosta perusteltiin sillä, että Suomen käymissä tietoturvallisuussopimusten neuvotteluissa on tullut esiin tilanteita, joissa toinen sopimuspuoli ei takaa sopimuksen perusteella ehdotonta salassapitoa, vaan joissa asia jää kansalliseen lainsäädäntöön perustuvan tapauskohtaisen vahinkoedellytysharkinnan varaan. Tarkoituksenmukaista ei näissä tilanteissa ole, että Suomi noudattaa laajempaa salassapitovelvollisuutta, kuin toiset sopimuspuolet. Tästä syystä esityksessä ehdotettiin, että kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 6 §:n 1 momenttiin otetaan lauseke, jonka mukaan salassapitovelvollisuus olisi riippuvainen kunkin sopimuksen tai muun kansainvälisen velvoitteen sisällöstä. Lakiehdotus hyväksyttiin eduskunnassa muuttumattomana ja se on tullut voimaan 1 päivänä marraskuuta 2010.

Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 6 § 2 momentissa säädetään siitä, että erityissuojattavaa tietoaineistoa saa käyttää ja luovuttaa vain siihen tarkoitukseen, mihin se on tarkoitettu, ellei turvallisuusluokan määrittäjä ole antanut muuhun suostumustaan. Sopimuksen 4 artiklan 1 kappale on sopusoinnussa lainkohdan kanssa.

Artiklan 2 kappaleen mukaan, mikäli sopimuspuoli tai sen 1 artiklassa tarkoitettuja asioita käsittelevä virasto tai oikeushenkilö tekee toisen sopimuspuolen alueella toimeen- pantavan sopimuksen, johon liittyy turvallisuusluokiteltua tietoa, sopimuksen toimeenpanomaan sopimuspuoli vastaa tämän turvallisuusluokitellun tiedon hallinnoinnista omien normiensa ja vaatimustensa mukaisesti.

Artiklan 3 kappaleessa määritellään toimenpiteet, jotka sopimuspuolen on tehtävä ennen kuin se välittää toisilta sopimuspuolilta saamaansa turvallisuusluokiteltua tietoa lainkäyttövaltaansa kuuluville hankeosapuolille tai mahdollisille hankeosapuolille. Sopimuspuolen on a) varmistettava, että näillä hankeosapuolilla tai mahdollisilla hankeosapuolilla ja niiden organisaatioilla on valmiudet suojata turvallisuusluokiteltu tieto asianmukaisesti; b) tehtävä asianmukainen turvallisuusselvitys kyseisen hankeosapuolen organisaatioista sekä kaikista sen työntekijöistä, joiden tehtävät edellyttävät pääsyä turvallisuusluokiteltuun tietoon; c) varmistettava, että kaikille, joilla on pääsy turvallisuusluokiteltuun tietoon, tiedotetaan heidän velvollisuudestaan suojata turvallisuusluokiteltu tieto sovellettavan lainsäädännön mukaisesti; ja d) tehtävä määräajoin turvallisuustarkastuksia kyseisissä organisaatioissa, joista on tehty turvallisuusselvitys.

5 artikla. Turvallisuusluokitukset. Artiklassa määritellään, että turvallisuusluokiteltuun tietoon merkitään jokin seuraavista neljästä turvallisuusluokasta.

Korkein, ankarimpia tietoturvallisuustoimenpiteitä vaativa luokka on ”ERITTÄIN SALAINEN/YTTERST HEMLIG” (TOP SECRET). Suomessa luokkaan ”erittäin salainen” luetaan kuuluviksi tiedot, joiden luvaton ilmitulo voi aiheuttaa erittäin suurta vahinkoa maanpuolustukselle, turvallisuudelle, kansainvälisille suhteille tai muille yleisille eduille. Suomen kansainvälisiä suhteita suojaavat julkisuuslain 24 §:n 1 momentin 1 ja 2 kohta, maanpuolustusta momentin 10 kohta ja turvallisuutta momentin 5, 8 ja 9 kohdat. Muita määritelmässä tarkoitettuja yleisiä etuja voivat olla esimerkiksi valtionjohdon ja valtiovieraiden sekä tietojärjestelmien turvallisuusjärjestelyjen suojaaminen (24 § 1 mom. 7 kohta) sekä kansantalouden toimivuus (24 § 1 mom. 11 ja 12 kohta).

Toiseksi korkein turvallisuusluokka on ”SALAINEN/HEMLIG” (SECRET). Tähän kuuluvat Suomessa tiedot, joiden luvaton ilmitulo voi aiheuttaa merkittävää vahinkoa maanpuolustukselle, turvallisuudelle, kansainvälisille suhteille tai muille yleisille eduille.

Kolmanneksi korkein turvallisuusluokka on ”LUOTTAMUKSELLINEN / KONFIDENTIELL” (CONFIDENTIAL), jolla tarkoitetaan Suomessa tietoja, joiden luvaton ilmitulo voi aiheuttaa vahinkoa maanpuolustukselle, turvallisuudelle, kansainvälisille suhteille tai muille yleisille eduille.

Neljänteen turvallisuusluokkaan ”KÄYTTÖ RAJOITETTU/BEGRÄNSAD TILLGÅNG” (RESTRICTED) kuuluvat tiedot, joiden luvaton ilmitulo voi aiheuttaa haittaa yleisille eduille tai heikentää viranomaisen toimintaedellytyksiä.

Turvallisuusluokitusmerkintää koskevat erityissäännökset sisältyvät tietoturvallisuusasetuksen 11 §:ään, ja niiden vastaavuudesta kansainvälisen tietoturvallisuusvelvoitteen luokkien kanssa on säädetty asetuksen 12 §:ssä. Ruotsinkielisistä turvallisuusluokitusmerkinnöistä on erityissäännös asetuksen 11 §:n 4 momentissa.

Artiklan 2 kappaleen mukaan vastaanottava sopimuspuoli ei saa muuttaa vastaanottamansa turvallisuusluokitellun tiedon turvallisuusluokkaa ilman lähettävän sopimuspuolen kirjallista ennakkosuostumusta. Lähettävä sopimuspuoli ilmoittaa vastaanottavalle sopimuspuolelle vaihdetun tiedon turvallisuusluokan muutoksista.

Artiklan 3 kappaleen mukaan vastaanottava sopimuspuoli merkitsee saamaansa turvallisuusluokiteltuun tietoon oman vastaavan turvallisuusluokkansa. Käännöksiin ja kopioihin merkitään sama turvallisuusluokka kuin alkuperäiskappaleeseen.

Artiklan 4 kappaleen mukaan Ruotsista peräisin olevan tiedon, jossa on ainoastaan merkintä HEMLIG, katsotaan kuuluvan turvallisuusluokkaan HEMLIG/SECRET. Luokitellun asiakirjan kopion merkitsemisestä on säädetty tietoturvallisuusasetuksen 17 § 2 momentissa.

6 artikla. Toimivaltaiset turvallisuusviranomaiset ja turvallisuusyhteistyö. Artiklan 1 kappaleessa määritellään, että toimivaltaiset turvallisuusviranomaiset valvovat sopimuksen täytäntöönpanoa. Artiklan 2 kappaleen mukaan sopimuspuolet ilmoittavat toisilleen nimeämänsä toimivaltaiset turvallisuusviranomaiset ja niiden muutokset.

Artiklan 3 kappaleessa todetaan, että toimivaltaiset turvallisuusviranomaiset toimittavat pyynnöstä toisilleen tietoja turvallisuusluokitellun tiedon suojaamista koskevista kansallisista laeistaan ja määräyksistään, normeistaan, menettelyistään ja käytännöistään, jotta voitaisiin saavuttaa ja ylläpitää toisiaan vastaavat turvallisuustasot. Tätä tarkoitusta varten toimivaltaiset turvallisuusviranomaiset voivat tehdä keskinäisiä vierailuja.

Artiklan 4 kappaleessa todetaan, että toimivaltaiset turvallisuusviranomaiset ilmoittavat toisilleen kulloinkin esiintyvistä turvallisuusriskeistä, jotka voivat vaarantaa välitetyn turvallisuusluokitellun tiedon.

Artiklan 5 ja 6 kappaleissa määritellään toimivaltaisten turvallisuusviranomaisten velvollisuus avustaa pyynnöstä toisiaan kansallisen lainsäädännön mukaisesti turvallisuusselvitysten tekemisessä sekä ilmoittaa viipymättä toisilleen vastavuoroisesti tunnustettujen turvallisuusselvitysten muutoksista.

Artiklan 7 kappaleen mukaan sopimuspuolten tiedustelu- tai turvallisuuspalvelut voivat kansallisen lainsäädännön mukaisesti vaihtaa suoraan keskenään operatiivisia tietoja tai tiedustelutietoja.

7 artikla. Vierailut. Artikla sisältää määräykset niistä menettelytavoista, joita noudatetaan järjestettäessä sopimuspuolten välillä vierailuja, joihin liittyy pääsy turvallisuusluokiteltuun tietoon tai alueille, joissa harjoitetaan turvallisuusluokiteltuun tietoon liittyvää toimintaa, tai säilytetään tai käsitellään turvallisuusluokiteltua tietoa. Artiklan 1 kappaleen mukaan vierailut edellyttävät isäntämaan toimivaltaisen turvallisuusviranomaisen antamaa kirjallista ennakkolupaa, mikäli niihin liittyy pääsy turvallisuusluokkaan ”CONFIDENTIAL”, tai sitä ylempään luokkaan kuuluvaan turvallisuusluokiteltuun tietoon tai alueille, joilla tällaista turvallisuusluokiteltua tietoa kehitetään, käsitellään tai säilytetään, tai saatetaan kehittää, käsitellä tai säilyttää.

Artiklan 2 kappaleen mukaan vierailun sallimisen edellytyksenä on, että vieraat lähettävän sopimuspuolen toimivaltainen viranomainen on tehnyt vierailijoista turvallisuusselvityksen ja heillä on isäntävaltion kansallisten lakien ja määräysten mukainen lupa ottaa vastaan turvallisuusluokiteltua tietoa (esim. tiedonsaantitarve). Lisäksi vierailun sallimisen edellytyksenä on, että isäntäsopimuspuolen toimivaltainen viranomainen on antanut vierailijoille luvan tarvittavaan yhteen tai useampaan vierailuun. Jälkimmäinen edellytys koskee vain niitä sopimuspuolia, joiden kansallinen järjestelmä edellyttää luvan antamista.

Vierailupyyntö (Request for Visit, RfV) esitetään 3 kappaleen mukaan isäntämaan toimivaltaiselle turvallisuusviranomaiselle vähintään 10 päivää ennen vierailua. Kiireellisissä tapauksissa toimivaltaiset turvallisuusviranomaiset voivat sopia lyhyemmästä ajasta. Tarkemmat määräykset tiedoista, jotka on sisällytettävä vierailupyyntöön, määrätään 4 kappaleessa, ja 5 kappaleessa todetaan, että vierailupyyntö toimitetaan noudattaen asianomaisten toimivaltaisten turvallisuusviranomaisten kesken sovittuja periaatteita.

Artiklan 6 kappaleen mukaan toistuvia vierailuja koskevat luvat ovat voimassa enintään 12 kuukautta. Artiklan 7 kappaleen mukaan isäntäsopimuspuoli voi tarvittaessa pyytää todistusta turvallisuusselvityksestä. Muita vierailumenettelyjä voidaan 8 kappaleen mukaan soveltaa, jos asianomaisten sopimuspuolten toimivaltaiset turvallisuusviranomaiset sopivat siitä keskenään.

8 artikla. Turvallisuusluokitellut sopimukset. Artikla sisältää määräykset niitä tilanteita varten, joissa jokin sopimuspuoli tekee, taikka antaa luvan oman lainkäyttövaltansa piiriin kuuluvalle hankeosapuolelle tehdä, turvallisuusluokitellun sopimuksen toisen sopimuspuolen lainkäyttövallan piiriin kuuluvan hankeosapuolen kanssa.

Artiklan 1 kappaleen mukaan ennen turvallisuusluokitellun sopimuksen tekemistä toisen sopimuspuolen maassa sopimuspuolen toimivaltainen turvallisuusviranomainen voi pyytää turvallisuusselvitystä, jonka toisen sopimuspuolen toimivaltainen turvallisuusviranomainen on tehnyt kyseisen hankeosapuolen organisaatiosta. Jollei turvallisuusselvitystä ole tehty, turvallisuusluokitellun sopimuksen tekevä sopimuspuoli voi pyytää hankeosapuolen edustamaa sopimuspuolta tekemään turvallisuusselvityksen kansallisten lakien ja määräysten mukaisesti. Artiklan 2 kappaleen mukaan kuitenkin silloin, kun kyse on avoimesta tarjouskilpailusta, jota ei ole suunnattu erityisesti mihinkään maahan tai yritykseen, vastaanottavan sopimuspuolen turvallisuusviranomainen voi toimittaa lähettävän sopimuspuolen turvallisuusviranomaiselle asiaankuuluvat turvallisuustodistukset ilman tämän virallista pyyntöä. Määräyksen tarkoituksena on nopeuttaa suomalaisten tai vastavuoroisesti muiden pohjoismaisten yritysten pääsyä tarjouksen tekemiseen tarpeelliseen turvallisuusluokiteltuun tietoon, mikä puolestaan tehostaisi yritysten tarjousvalmistelua ja parantaisi niiden kilpailuasemaa.

Artiklan 3 kappaleen mukaan asianmukaiset turvallisuusmääräykset on kirjattava turvallisuusluokiteltuun sopimukseen ja sopimukseen on liitettävä asiakirjat, joissa määritetään kyseisessä sopimuksessa tarkoitetut turvallisuusluokitellut tiedot tai sen turvallisuusluokitellut osat tai osatekijät. Artiklan 4 kappaleessa määrätään turvallisuusluokitellun sopimuksen tekevän sopimuspuolen toimivaltaisen turvallisuusviranomaisen tehtäväksi varmistaa, että sopimuksen toimeenpanomaan toimivaltaiselle turvallisuusviranomaiselle toimitetaan kopiot kaikista asianmukaisista sopimukseen liittyvistä turvallisuusasiakirjoista.

Turvallisuusluokiteltuja sopimuksia koskevat kansalliset säännökset sisältyvät kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 1 § 2 momenttiin (lain soveltaminen elinkeinonharjoittajaan), 2 §:n 2 kohtaan (erityissuojattava tietoaineisto) sekä lain 3 lukuun, joka koskee tietoturvallisuustoimenpiteitä. Sopimuksen määräykset vastaavat tältä osin kansallista sääntelyä. Velvoitteen täyttämiseksi tarpeellisesta suomalaisen viranomaisen tietojenanto-oikeudesta säädetään kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 17 §:ssä.

9 artikla. Turvallisuusluokitellun tiedon kääntäminen, kopiointi ja hävittäminen.

Artikla sisältää määräykset siitä, miten eri turvallisuusluokkiin kuuluvia aineistoja saa kääntää, kopioida ja hävittää.

Artiklan 1 kappaleen mukaan kaikkiin turvallisuusluokitellun tiedon kopioihin ja käännöksiin tehdään asianmukainen turvallisuusluokitusmerkintä, ja ne suojataan kuten alkuperäinen turvallisuusluokiteltu tieto. Käännöksiä ja kopioita saadaan tehdä ainoastaan viralliseen tarkoitukseen tarvittava vähimmäismäärä. Artiklan 2 kappaleessa määrätään, että kaikkiin käännöksiin on tehtävä käännöskielinen merkintä siitä, että ne sisältävät turvallisuusluokiteltua tietoa. Vastaavat säännökset sisältyvät tietoturvallisuusasetuksen 17 §:ään.

Artiklan 3 kappaleessa edellytetään, että turvallisuusluokkaan TOP SECRET kuuluvaa tietoa ei saa kääntää eikä kopioida ilman aineiston lähettäneen sopimuspuolen siihen antamaa kirjallista lupaa. Artiklan 4 kappaleen mukaan luokkaan TOP SECRET kuuluvaa tietoa ei hävitetä ilman lähettävän sopimuspuolen kirjallista ennakkosuostumusta, vaan se palautetaan lähettävälle sopimuspuolelle sen jälkeen, kun sopimuspuolet eivät enää katso sitä tarvittavan. Määräyksellä turvataan tiedon säilyminen esimerkiksi tilanteissa, joissa aineisto tai sen osa on arkistolainsäädännön vuoksi säilytettävä. Turvallisuusluokkaan SECRET tai sitä alempaan turvallisuusluokkaan kuuluva tieto voidaan 5 kappaleen mukaan hävittää kansallisten lakien ja määräysten mukaisesti, kun vastaanottava sopimuspuoli ei enää katso sitä tarvittavan. Luokiteltujen asiakirjojen arkistoinnista säädetään arkistolaissa (831/1994). Niiden hävittämistä koskevat säännökset sisältyvät tietoturvallisuusasetuksen 21 §:ään.

Artiklan 6 kappaleessa määrätään tilanteesta, jossa kriisitilanteen vuoksi on mahdotonta suojata sopimuksen mukaisesti välitettyä turvallisuusluokiteltua tietoa. Näissä tapauksissa tieto hävitetään välittömästi ja vastaanottavan sopimuspuolen on ilmoitettava turvallisuusluokitellun tiedon hävittämisestä mahdollisimman pian lähettävän sopimuspuolen toimivaltaiselle turvallisuusviranomaiselle.

10 artikla. Turvallisuusluokitellun tiedon välittäminen. Artikla sisältää määräykset menettelystä siirrettäessä turvallisuusluokiteltuja tietoja sopimuspuolten kesken. Artiklan 1 kappaleen mukaan tieto välitetään diplomaattiteitse tai kuriiritse, jolleivät asianomaiset toimivaltaiset turvallisuusviranomaiset muuta sovi. Artiklan 2 kappaleessa määrätään, että mikäli sopimuspuoli haluaa siirtää turvallisuusluokiteltua tietoa alueensa ulkopuolelle, siirrosta on sovittava ennakolta lähettävän sopimuspuolen kanssa. Määräys on sopusoinnussa turvallisuusluokitellun tiedon välittämistä koskevan tietoturvallisuusasetuksen 18 §:n kanssa.

11 artikla. Tietoturvaloukkaus. Artiklan 1 kappaleen mukaan todettaessa tietoturvaloukkaus, jonka johdosta sopimuksessa tarkoitettua turvallisuusluokiteltua tietoa katoaa tai ilmaistaan luvatta, sen maan toimivaltaisen turvallisuusviranomaisen, jossa loukkaus on tapahtunut, on ilmoitettava asiasta mahdollisimman pian asianomaisten sopimuspuolten toimivaltaisille turvallisuusviranomaisille. Toimivaltainen sopimuspuoli toteuttaa 2 kappaleen mukaan kansallisen lainsäädäntönsä mukaisesti kaikki asianmukaiset toimenpiteet rajoittaakseen tietoturvan loukkausten seurauksia sekä estääkseen loukkausten jatkumisen. Muut sopimuspuolet avustavat artiklan 3 kappaleen mukaan pyynnöstä tutkinnassa. Sopimuspuolille toimitetaan tieto tutkinnan tuloksista sekä loukkauksen johdosta toteutetuista toimenpiteistä. Lisäksi sopimuspuolille toimitetaan loppulausunto tietoturvaloukkauksen syistä, laajuudesta ja toimista, jotka on toteutettu tietoturvaloukkauksen uusimisen estämiseksi. Artiklan tarkoittamien velvoitteiden täytäntöön panemiseksi tarpeelliset säännökset sisältyvät kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 19 §:ään.

12 artikla. Kustannukset. Sopimuspuolet eivät korvaa toisilleen sopimuksesta mahdollisesti syntyneitä kustannuksia.

13 artikla. Riitojen ratkaiseminen. Kaikki sopimuksen tulkintaan tai soveltamiseen liittyvät sopimuspuolten väliset riidat ratkaistaan sopimuspuolten välisissä neuvotteluissa, eikä niitä saateta kansallisiin tai kansainvälisiin tuomioistuimiin tai kolmannen osapuolen ratkaistavaksi.

14 artikla. Loppumääräykset. Artiklassa on sopimuksen hyväksymistä, ratifiointia, voimaantuloa, muuttamista, ja irtisanomista koskevat määräykset. Artiklan 1 kappaleen mukaan ratifioimis- tai hyväksymiskirjojen tallettaja on Norjan kuningaskunnan hallitus. Sopimus tulee artiklan 2 kappaleen mukaan voimaan kolmantenakymmenentenä päivänä siitä päivästä, jona viimeinen allekirjoittajahallitus on tallettanut ratifioimis- tai hyväksymiskirjansa. Artiklan 3 kappaleen mukaan sopimuspuoli voi kuitenkin voimaantuloon saakka ilmoittaa ratifioimis- tai hyväksymiskirjaansa tallettaessaan tai myöhemmin, että se katsoo sopimuksen sitovan sitä sen suhteissa muuhun sopimuspuoleen, joka on tehnyt samanlaisen ilmoituksen. Nämä ilmoitukset tulevat voimaan kolmantenakymmenentenä päivänä siitä päivästä, jona ne on vastaanotettu. Määräyksen tarkoituksena on mahdollistaa sopimuksen soveltaminen väliaikaisesti sopimuspuolten näin halutessa ennen sen voimaantuloa niiden valtioiden välillä, jotka saavat kansallisen hyväksymismenettelynsä päätökseen nopeammin. Suomen on tarkoitus jättää sanotunlainen ilmoitus.

Artiklan 4 kappaleen mukaan sopimusta voidaan muuttaa kirjallisesti sopimuspuolten yhteisestä sopimuksesta. Artiklan 5 kappaleen mukaan hyväksytty muutos tulee voimaan kolmantenakymmenentenä päivänä siitä päivästä, jona viimeinen sopimuspuoli on ilmoittanut tallettajalle hyväksyneensä muutoksen. Artiklan 6 kappaleen mukaan sopimus on voimaantultuaan avoinna liittymistä varten kolmansille valtioille allekirjoittajahallitusten suostumuksella. Liittymisasiakirjat talletetaan Norjan kuningaskunnan hallituksen huostaan. Sopimukseen liittyvän valtion osalta sopimus tulee 7 kappaleen mukaan voimaan kolmantenakymmenentenä päivänä liittymisasiakirjojen tallettamispäivästä.

Sopimus on artiklan 8 kappaleen mukaan voimassa toistaiseksi. Sopimuspuoli voi milloin tahansa irtisanoa sopimuksen ilmoittamalla siitä kirjallisesti tallettajalle. Sopimuksen irtisanominen tulee voimaan irtisanoutuvan sopimuspuolen osalta kuuden kuukauden kuluttua irtisanomisilmoituksen tallettamisesta. Mikäli sopimus irtisanotaan, sopimuksen määräysten mukaisesti välitetty turvallisuusluokiteltu tieto tai aineisto palautetaan artiklan 9 kappaleen mukaan mahdollisimman pian lähettävälle sopimuspuolelle. Sopimuksen irtisanomisesta huolimatta kaikki sopimuksen mukaisesti luovutettu palauttamaton turvallisuusluokiteltu tieto suojataan edelleen sopimuksen määräyksiä noudattaen. Artiklan 10 kappaleessa mainitaan ne sopimukset ja järjestelyt turvallisuusluokitellun tiedon suojaamiseksi, jotka sopimus korvaa tullessaan voimaan.

Suomen perustuslain 95 §:ssä edellytetään, että kansainvälisen velvoitteen lainsäädännön alaan kuuluvat määräykset saatetaan valtionsisäisesti voimaan erityisellä voimaansaattamislailla. Tällaiset määräykset tulee saattaa voimaan lailla myös silloin, kun velvoitteen johdosta ei ole tarpeen tarkistaa kansallisen lainsäädännön aineellista sisältöä. Koska Pohjoismaiden välinen tietoturvallisuussopimuksen velvoitteiden toteuttamiseksi ei aineellista lainsäädäntöä ole tarpeen muuttaa, esitys sisältää vain ehdotuksen blankettilaiksi.

1 §. Lakiehdotuksen 1 §:n säännöksellä saatettaisiin voimaan sopimuksen lainsäädännön alaan kuuluvat määräykset. Lainsäädännön alaan kuuluvia määräyksiä selostetaan jäljempänä eduskunnan suostumuksen tarpeellisuutta koskevassa jaksossa.

2 §. Lain voimaantulosta säädettäisiin tasavallan presidentin asetuksella. Lain on tarkoitus tulla voimaan samanaikaisesti kuin sopimus tulee Suomen osalta voimaan.

Pykälässä annettaisiin lisäksi tasavallan presidentille valtuus asetuksella säätää, että Suomi ilmoittaa ryhtyvänsä soveltamaan sopimusta jo ennen sen kansainvälistä voimaantuloa suhteissaan samanlaisen ilmoituksen tehneisiin sopimuspuoliin.

Suomen ja muiden Pohjoismaiden välisen sopimuksen 14 artiklan 1 kappaleen mukaan sopimuspuolet tallettavat hyväksymis- tai ratifioimiskirjansa Norjan kuningaskunnan hallituksen huostaan. Sopimus tulee voimaan kolmantenakymmenentenä päivänä siitä päivästä, jona viimeinen allekirjoittajahallitus on tallettanut ratifioimis- tai hyväksymiskirjansa

Sopimuksen 14 artiklan 3 kappaleen mukaan sopimuspuoli voi myös ilmoittaa, että se katsoo sopimuksen sitovan itseään suhteissa muihin sopimuspuoliin, jotka ovat tehneet vastaavanlaisen ilmoituksen. Ilmoitukset tulevat voimaan kolmantenakymmenentenä päivänä siitä päivästä, jona ne on vastaanotettu. Tarkoituksena on, että Suomi antaisi tällaisen ilmoituksen, joka mahdollistaisi sopimuksen määräysten soveltamisen väliaikaisesti ennen sen voimaantuloa suhteessa vastaavanlaisen ilmoituksen tehneisiin sopimuspuoliin nähden. Tällaisia olisivat alustavan tiedon mukaan ainakin Ruotsi ja Norja.

Sopimuksen voimaansaattamislaki on tarkoitettu tulemaan voimaan tasavallan presidentin asetuksella säädettävänä ajankohtana samaan aikaan, kuin sopimus tulee Suomen osalta voimaan.

Yleinen turvallisuussopimus korvaa voimaan tullessaan pohjoismaisen turvallisuusmateriaalialan yhteistyösopimuksen puitteissa laaditun turvallisuussuojaa koskevan yhteisymmärryksen Tanskan, Suomen, Norjan ja Ruotsin välillä.

Voimaansaattamislain 2§:ssä annettaisiin tasavallan presidentille valtuus asetuksella säätää, että Suomi ilmoittaa ryhtyvänsä soveltamaan sopimusta jo ennen sen kansainvälistä voimaantuloa suhteissaan samanlaisen ilmoituksen tehneisiin sopimuspuoliin.

Perustuslain 94 §:n 1 momentin mukaan eduskunta hyväksyy sellaiset valtiosopimukset ja muut kansainväliset velvoitteet, jotka sisältävät lainsäädännön alaan kuuluvia määräyksiä. Perustuslakivaliokunnan tulkintakäytännön mukaan määräys on luettava lainsäädännön alaan kuuluvaksi, jos se koskee jonkin perustuslaissa turvatun perusoikeuden käyttämistä tai rajoittamista, jos määräys muutoin koskee yksilön oikeuksien ja velvollisuuksien perusteita, jos määräyksen tarkoittamasta asiasta on perustuslain mukaan säädettävä lailla, tai jos määräyksessä tarkoitetusta asiasta on jo voimassa lain säännöksiä, taikka siitä on Suomessa vallitsevan käsityksen mukaan säädettävä lailla. Perustuslakivaliokunnan mukaan kansainvälisen velvoitteen määräys kuuluu näiden perusteiden mukaan lainsäädännön alaan siitä riippumatta, onko määräys ristiriidassa vai sopusoinnussa Suomessa lailla annetun säännöksen kanssa (kts. esimerkiksi PeVL 11/2000 vp ja PeVL 12/2000 vp).

Edellä mainituilla perusteilla esitykseen sisältyvässä sopimuksessa on lukuisia eduskunnan hyväksymistä edellyttäviä määräyksiä. Sopimuksen 1 artiklassa määrätään sopimuksen tarkoituksesta ja soveltamisalasta. Sopimuksen 2 artiklassa määritellään, mitä tarkoitetaan turvallisuusluokitellulla tiedolla, lähettävällä sopimuspuolella, vastaanottavalla sopimuspuolella, turvallisuusluokitellulla sopimuksella, toimivaltaisella turvallisuusviranomaisella, hankeosapuolella, tietoturvaloukkauksella, turvallisuusselvityksellä, tiedonsaantitarpeella ja kolmannella osapuolella. Koska nämä sopimusmääräykset vaikuttavat joko suoraan tai välillisesti sopimuksen lainsäädännön alaan kuuluvien aineellisten määräysten tulkintaan ja soveltamiseen, ne edellyttävät eduskunnan hyväksymistä (PeVL 6/2001 vp).

Sopimuksen 3 artiklan 1 kappaleessa edellytetään, että sopimuspuolet toteuttavat kansallisen lainsäädäntönsä mukaisesti asianmukaiset toimet turvallisuusluokitellun tiedon suojaamiseksi ja sitoutuvat siten suojaamaan tietoa samantasoisesti, kuin omaa vastaavaan turvallisuusluokkaan kuuluvaa tietoaan. Tämä edellyttää vastaanotetun turvallisuusluokitellun tiedon merkitsemistä asianmukaisesti. Laissa kansainvälisistä tietoturvallisuusvelvoitteista säädetään viranomaisten toimenpiteistä kansainvälisten tietoturvavelvoitteiden toteuttamiseksi. Lain 8 §:ssä velvoitetaan viranomaista merkitsemään turvallisuusluokka erityissuojattavaan tietoaineistoon. Määräys kuuluu lainsäädännön alaan.

Turvallisuusluokiteltua tietoa koskeva ilmaisu- ja käyttörajoitus on ilmaistu sopimuksen 4 artiklassa. Artiklassa määrätään velvollisuudesta suojata sopimuksen soveltamisalan piiriin kuuluva turvallisuusluokiteltu tieto kansallisin toimenpitein, jotka rajoittavat turvallisuusluokitellun tiedon välittämistä, käyttämistä ja pääsyä siihen. Vastaanottava sopimuspuoli ei saa luovuttaa turvallisuusluokiteltua tietoa, ellei asiasta ole sovittu kirjallisesti lähettävän sopimuspuolen kanssa. Suomessa viranomaisten asiakirjojen julkisuus on pääsääntö. Jokaisella on perustuslain 12 §:n 2 momentin mukaan oikeus saada tieto viranomaisen julkisesta asiakirjasta. Tätä oikeutta voidaan rajoittaa välttämättömistä syistä vain lailla. Yleisesti sovellettavat säännökset salassapito- ja luokitusmerkinnästä on säädetty julkisuuslain 25 §:ssä. Pykälän mukaan salassa pidettävään viranomaisen asiakirjaan on tehtävä merkintä asiakirjan salassapitämisestä, kun tällainen asiakirja annetaan asianosaiselle, ja kun asiakirja on pidettävä salassa toisen tai yleisen edun vuoksi. Muihin salaisiin asiakirjoihin tehtävä merkintä on harkinnanvarainen.

Julkisuuslain säännöksistä poiketen kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 6 §:n 1 momentissa, sen 1 päivänä marraskuuta 2010 voimaantulleessa muodossa (885/2010) erityissuojattava tietoaineisto on pidettävä salassa, jollei kansainvälisestä tietoturvallisuusvelvoitteesta muuta johdu. Hallituksen esityksessä muutosta perusteltiin Suomen käymissä sopimusneuvotteluissa syntyneillä tilanteilla, joissa toinen sopimuspuoli ei takaa sopimuksen perusteella ehdotonta salassapitoa, vaan joissa asia jää kansalliseen lainsäädäntöön perustuvan tapauskohtaisen vahinkoedellytysharkinnan varaan. Tarkoituksenmukaista ei ole, että Suomi noudattaa laajempaa salassapitovelvollisuutta, kuin toiset sopimuspuolet. Tästä syystä ehdotettiin, että pykälän 1 momenttiin otetaan lauseke, jonka mukaan salassapitovelvollisuus olisi riippuvainen kunkin sopimuksen tai muun kansainvälisen velvoitteen sisällöstä. Muutoksella varauduttaisiin tulevien kansainvälisten sopimusten, kuten nyt käsillä olevan Pohjoismaiden välillä tehdyn sopimuksen, käsittelyyn. Sopimusmääräys on siten sopusoinnussa voimassa olevan 6 §:n 1 momentin säännösten kanssa.

Samaisen lain 8 §:ssä on säännökset turvallisuusluokan merkitsemisestä erityissuojattavaan tietoaineistoon. Sen mukaisesti erityissuojattavaan tietoaineistoon on julkisuuslain säännöksistä riippumatta tehtävä kansainvälisessä tietoturvallisuusvelvoitteessa määritelty merkintä sen osoittamiseksi, millaisia tietoturvallisuusvaatimuksia käsittelyssä on noudatettava. Sopimusmääräykset asettavat näin ollen Suomen julkisuuslakia tiukemmat vaatimukset turvallisuusluokitellun tiedon merkitsemiselle. Määräykset edellyttävät eduskunnan hyväksymistä. Edelleen 4 artiklan 3 kappaleen b kohdassa määrätään sopimuspuolten velvollisuudesta teettää asianmukainen turvallisuusselvitys henkilöistä, joilla on pääsy sopimuksessa tarkoitettuun turvallisuusluokiteltuun tietoon. Turvallisuusselvitysten laadinnassa on otettava huomioon perustuslain 10 §:n 1 momentissa säädetty yksityiselämän suoja ja velvollisuus säätää henkilötietojen suojasta lailla. Suomessa turvallisuusselvityksen kohteena olevista henkilöistä sekä selvityksessä sovellettavasta menettelystä on säädetty turvallisuusselvityksistä annetussa laissa.

Sopimuksen 7 artiklassa on määräykset toisen sopimuspuolen luonnollisten henkilöiden vierailuista isäntäsopimuspuolen tiloihin, joissa käsitellään turvallisuusluokiteltua tietoa. Sopimuspuolen edustajien vierailuiden tarkoituksena on varmistaa sopimuksen tarkoituksen toteuttaminen turvallisuusluokiteltujen tietojen asianmukaiseksi suojaamiseksi. Tähän vierailuoikeuteen ei sisälly sellaista julkista vallan käyttöä ja tarkastusoikeutta, joka olisi ristiriidassa perustuslain kanssa (PeVL 179/1997). Sopimusmääräys luo välillisesti myös yksityisille tilausten saajille velvollisuuden sallia vierailut omiin toimitiloihinsa. Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 18 §:ssä on vastaavat säännökset vierailuja koskevan sopimusmääräyksen täytäntöönpanoon liittyvistä seikoista.

Sopimuksen 8 artiklassa on määräykset turvallisuusluokitelluista sopimuksista ja niihin tarvittavista turvallisuusselvityksistä. Yhteisöturvallisuusselvitystä koskevat säännökset sisältyvät kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 12 ja 13 §:ään, joten määräyksen on katsottava kuuluvan lainsäädännön alaan.

Sopimuksen 9 artiklassa on määräykset turvallisuusluokitellun tiedon kääntämisestä, kopioinnista ja hävittämisestä. Turvallisuusluokitellun tiedon arkistoinnista säädetään arkistolaissa. Sen sijaan aineiston kopioimista koskevat säännökset sisältyvät tietoturvallisuusasetuksen 17 §:ään ja hävittämistä koskevat säännökset asetuksen 21 §:ään, joten niiltä osin määräykset eivät edellytä eduskunnan suostumusta. Sopimuksen 11 artiklassa edellytetään, että sopimuspuoli ilmoittaa viipymättä asianomaisille sopimuspuolille, jos tietoturvaloukkauksen todetaan tapahtuneen. Sopimuspuolten on tutkittava turvallisuusluokitellun tiedon suojaamista koskevien säännösten rikkominen, sekä ryhdyttävä mahdollisuuksien mukaan toimenpiteisiin tietoturvaloukkauksen seurausten rajoittamiseksi ja loukkauksen jatkumisen estämiseksi, sekä annettava toisilleen tarvittaessa tutkinta-apua. Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 19 §:ssä säädetään kansallisen turvallisuusviranomaiselle kuuluvista velvoitteista sopimusmääräyksissä tarkoitetuissa tilanteissa.

Käsittelyjärjestyksen kannalta merkityksellisiä sopimusmääräyksiä sisältyy sopimuksen 4 artiklaan, joka asettaa rajoituksia turvallisuusluokitellun tiedon tai materiaalin julkisuudelle. Sopimusmääräykset ovat merkityksellisiä perustuslain 12 §:n 2 momentin suojaaman, julkisuusperiaatteelle rakentuvan tiedonsaantioikeuden kannalta. Tätä tiedonsaantioikeutta saa rajoittaa vain lailla ja vain välttämättömistä syistä. Tällaisena välttämättömänä syynä voidaan pitää sen turvaamista, että Suomi ja suomalaiset yritykset voivat osallistua sellaisiin kansainvälisiin sekä Pohjoismaiden välisiin toimintoihin ja hankkeisiin, joiden toteuttaminen edellyttää arkaluonteisten salassa pidettävien tietojen vaihtoa. Salassapitoa koskeva erityissäännös on otettu kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 6 §:ään.

Pohjoismaiden välillä turvallisuusluokitellun tiedon vastavuoroisesta suojaamisesta ja vaihtamisesta tehtyyn sopimukseen ei voida katsoa sisältyvän sellaisia määräyksiä, jotka koskisivat perustuslakia sen 94 §:n 2 momentissa ja 95 §:n 2 momentissa tarkoitetulla tavalla. Hallituksen näkemyksen mukaan sopimus voitaisiin näin ollen hyväksyä äänten enemmistöllä ja ehdotus sen lainsäädännön alaan kuuluvien sopimusmääräysten voimaansaattamiseksi tavallisen lain säätämisjärjestyksessä.

Edellä olevan perusteella ja perustuslain 94 §:n mukaisesti esitetään,

että Eduskunta hyväksyisi Oslossa 7 päivänä toukokuuta 2010 Tanskan, Suomen, Islannin, Norjan ja Ruotsin välillä turvallisuusluokitellun tiedon vastavuoroisesta suojaamisesta ja vaihtamisesta tehdyn yleisen turvallisuussopimuksen.

Koska sopimus sisältää määräyksiä, jotka kuuluvat lainsäädännön alaan, annetaan samalla Eduskunnan hyväksyttäväksi seuraava lakiehdotus:

                

                  Lakiehdotus
                
              

Eduskunnan päätöksen mukaisesti säädetään:

1 §

Turvallisuusluokitellun tiedon vastavuoroisesta suojaamisesta ja vaihtamisesta Tanskan, Suomen, Islannin, Norjan ja Ruotsin välillä Oslossa 7 päivänä toukokuuta 2010 tehdyn yleisen turvallisuussopimuksen lainsäädännön alaan kuuluvat määräykset ovat lakina voimassa sellaisina kuin Suomi on niihin sitoutunut.

2 §

Tämän lain voimaantulosta säädetään tasavallan presidentin asetuksella. Tasavallan presidentin asetuksella voidaan säätää, että tätä lakia sovelletaan ennen sopimuksen voimaantuloa suhteissa niihin sopimuspuoliin, jotka ovat ilmoittaneet tai ilmoittavat soveltavansa sopimusta ennen sen voimaantuloa suhteissa niihin sopimuspuoliin, jotka ovat tehneet samanlaisen ilmoituksen.

---

Helsingissä 5 päivänä marraskuuta 2010

Tasavallan Presidentti
TARJA HALONEN

Ulkoasiainministeri
Alexander Stubb